Buletin Informativ Nr. 20

647 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În trimestru patru al anului 2024 (octombrie-decembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției de Frontieră (IGPF), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGPF, la data de 21 februarie 2024. Astfel, cursuri de instruire au fost organizate pentru angajații Sectorului Poliției de Frontieră (SPF) în contextul elaborării / implementării de către IGPF a „Conceptului privind autonomia funcțională și decizională a patrulei Poliției de Frontieră în activitatea de supraveghere a frontierei de stat”. Scopul acestora a fost de a spori gradul de percepție a angajaților SPF care supraveghează frontiera în scopul combaterii migrației ilegale, a traficului de persoane și a criminalității transfrontaliere, asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

02 octombrie – Sectorul Poliției de Frontieră Tudora – 1 al Direcției Regionale Est;
09 octombrie – Sectorul Poliției de Frontieră Valea – Perjei al Direcției Regionale Sud.

În acest context, au fost instruiți circa 240 de reprezentanți din cadrul subdiviziunilor IGPF.

La data de 08 iulie 2024, a fost aprobat și semnat de către conducătorii CNPDCP și Casei Naționale de Asigurări Sociale (CNAS), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru angajații din cadrul subdiviziunilor structurale CNAS. Scopul cursurilor de instruire a fost de a spori gradul de percepție a angajaților CNAS asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor; asigurarea securității și confidențialității datelor cu caracter personal de către angajații CNAS, etc.

În acest context, la data de 01 octombrie au fost organizate două cursuri de instruire pentru Casa Teritorială de Asigurări Sociale, regiunea Sud, fiind instruiți 131 de reprezentanți.

În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice, la solicitarea acestora. Cursurile de instruire au avut drept scop familiarizarea funcționarilor publici cu aspectele ce țin de domeniul protecției datelor cu caracter personal în serviciul public, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc. Astfel, cursurile de instruire au fost organizate pentru următoarele instituții:

08 octombrie – Secretariatul Parlamentului;
10 octombrie – Asociația Auditorilor Interni;
15 octombrie – Agenția Națională pentru Ocuparea Forței de Muncă;
17 octombrie – Centrul Național Anticorupție;
18 octombrie – Serviciul Vamal;
24 octombrie – Inspectoratul Control Financiar de Stat;
25 octombrie – Direcţia generală teritorială „Nord” a Centrului Național Anticorupție;
28 octombrie – Direcția Generală Educație, Tineret și Sport a Consiliului Municipal Chișinău;
30 octombrie – Direcția Generală Educație, Tineret și Sport, directorii instituțiilor de educație timpurie din municipiul Chișinău;
05 noiembrie – Direcția Generală Asistență Medicală și Socială;
06 noiembrie – Direcția Generală Educație, Tineret și Sport, directorii instituțiilor de învățământ din municipiul Chișinău;
11 noiembrie – Serviciul Fiscal de Stat;
12 noiembrie – Direcţia generală teritorială „Sud” a Centrului Național Anticorupție;
13 noiembrie – Direcția Generală pentru Protecția Drepturilor Copilului;
22 noiembrie – Inspectoratul General pentru Migrație;
11 decembrie – Curtea Supremă de Justiție.

În acest context au fost instruiți circa 1520 de reprezentanți ai instituțiilor publice.

Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Astfel, au fost organizate mai multe cursuri de instruire:

04 octombrie – IPLT „Constantin Negruzzi”, Chișinău;
12 noiembrie – IPLT „Mihai Eminescu”, Cahul;
03 decembrie – IPLT „George Coșbuc”, Bălți;
03 decembrie – IPLT „ Lucian Blaga”, Bălți.

Evenimentele au avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a IV-a. În acest context, au fost instruiți 350 de elevi.

II. Activitatea de control

În perioada octombrie – decembrie 2024, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 63 cazuri. În perioada de referință, au fost emise 89 decizii, dintre care în 40 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 35 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1. CNPDCP a examinat plângerea unui subiect de date, care a invocat pretinse prelucrări neautorizate și în exces a datelor cu caracter personal referitoare la acesta, efectuate de către angajatul unei autorități publice, în lipsa unui temei legal.

În cadrul investigației s-a determinat că, angajatul autorității a prelucrat datele cu caracter personal ce aparțin petentei, prin intermediul portalului guvernamental www.date.gov.md, generându-se complimentar/suplimentar datele cu caracter personal a rudelor de gradul-I ale acesteia, ordine în care, în raportul generat de portal, se regăsesc date cu caracter personal despre mama petentei, soțul și feciorul, care, fiind imprimat, a fost anexat la materialul procedurii contravenționale pornite în privința subiectului de date.

Astfel, s-a determinat că agentul constatator din cadrul autorității, în vederea stabilirii identității și domiciliului persoanei în privința căreia a fost pornită cauza contravențională, a accesat datele cu caracter personal ce vizează petenta, urmând a fi consultate doar acele date cu caracter personal ce sunt necesare la întocmirea procesului verbal contravențional, în strictă conformitate cu art. 443 alin. (1) lit. c) Cod contravențional.

În context, se reține că, chiar dacă în extrasul/fișa personală generată automat de portalul guvernamental www.date.gov.md, se regăsesc, inclusiv, datele cu caracter personal ale rudelor persoanei în privința căreia a fost pornit procesul contravențional, agentul constatator din cadrul autorității urma să întreprindă măsuri de depersonalizare a acestor date, dacă se intenționa anexarea fișei la dosarul contravențional, în cazul în care, tehnic în sistem nu a fost posibilă delimitarea lor de subiectul de date cu caracter personal, care erau necesare pentru buna realizare a procedurii contravenționale.

Or, în cazul dat se constată că angajatul autorității a prelucrat excesiv datele cu caracter personal, în circumstanțele în care, operațiunea de prelucrare, manifestată prin imprimarea și atașarea extrasului generat de pe portalul www.date.gov.md, la dosarul contravențional, a categoriilor de date cu caracter personal referitoare la mama, soțul și feciorul petentei, nu au tangență cu cauza examinată și nu a fost necesar de a fi atașate la materialele cauzei, nefiind desprins existența unui temei legal, a unui scop determinat, explicit și legitim și legătura de cauzalitate dintre scop și identificatorii subiectului de date, fiind constatată încălcarea, de către angajatul autorității, a prevederilor art. 4 alin. (1) lit. a), c) și art. 5 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal, fapt ce a determinat existența elementelor constitutive a faptei contravenționale prevăzute de art.74¹ alin.(1) Cod contravențional (nerespectarea condițiilor de bază pentru prelucrarea, stocarea și utilizarea datelor cu caracter personal).

2. CNPDCP a examinat plângerea unui subiect de date, prin care a sesizat pretinsul fapt de prelucrare neconformă a datelor cu caracter personal ce îl vizează– nume, prenume, date privind starea de sănătate efectuate de către directorul Grădiniței în care activa, manifestată prin diseminarea/publicarea pe rețeaua de socializare „Facebook” a Deciziei Consiliului pentru egalitate, fără a asigura confidențialitatea acestor date.

În cadrul investigației, directorul Grădiniţei a recunoscut faptul publicării/diseminării Deciziei Consiliului pentru egalitate, fără depersonalizarea datelor cu caracter personal, pe profilul utilizatorului creat și gestionat de către aceasta pe rețeaua de socializare ,,Facebook”, în scop de transparență și pentru a anihila acțiunile de discriminare create față de personalitatea sa, invocând că, la angajare, în cadrul Instituției de Învățământ Preșcolar, petenta a semnat acordul privind prelucrarea datelor cu caracter personal ale salariaților.

Prin prisma art. 3 al Legii privind protecția datelor cu caracter personal, orice operațiune care se efectuează asupra datelor cu caracter personal prin mijloace automatizate sau neautomatizate, cum ar fi colectarea, utilizarea, dezvăluirea/diseminarea, ștergerea datelor cu caracter personal, corespunzător speței examinate – nume, prenume, date privind starea de sănătate ce duc la identificarea, directă sau indirectă a subiectului de date, constituie o formă de prelucrare a datelor cu caracter personal. Sub aspect de respectare a condițiilor de bază pentru prelucrarea datelor cu caracter personal, legiuitorul a stabilit la art. 4 alin. (1) lit. a) că datele cu caracter personal care fac obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii. Conform art. 5 alin. (1) al Legii menționate, prelucrarea datelor cu caracter personal se efectuează cu consimţămîntul subiectului datelor cu caracter personal.

Astfel, s-a determinat că, deși directorul Grădiniţei, ar avea temei legal de prelucrare a datelor cu caracter personal ale salariaților, în relația de muncă, prelucrarea datelor cu caracter personal ce vizează petenta, manifestată prin diseminarea/publicarea pe rețeaua de socializare „Facebook” a Deciziei Consiliului pentru egalitate, în care se regăsesc informații precum nume, prenume, date privind starea de sănătate nu poate avea loc, și nu poate fi justificată prin existența acordului privind prelucrarea datelor cu caracter personal ale acesteia semnată la data angajării, or, prin acest acord subiectul de date și-a exprimat consimțământul la prelucrarea datelor cu caracter personal de către angajator, în scopul ducerii evidenței angajaților și a realizării obligațiilor legale ce decurg din relațiile de muncă.

Din aceste considerente, CNPDCP a constatat că, operatorul a prelucrat datele cu caracter personal – nume, prenume, date privind starea de sănătate ale petentei în lipsa unui temei legal, nefiind asigurată confidențialitatea datelor prelucrate, acțiuni ce contravin prevederilor art. 4 alin. (1) lit. a), art. 5 alin. (1) și art. 29 alin. (1) ale Legii privind protecția datelor cu caracter personal.

Succesiv, având în vedere faptul că CNPDCP nu a identificat existența unui temei legal de diseminare a datelor cu caracter personal, în temeiul prevederilor art. 20 alin. (2) al actului normativ menționat, s-a dispus ștergerea imaginii foto a Deciziei Consiliului pentru egalitate în care se conțin datele cu caracter personal ale subiectului de date, publicată pe rețeaua de socializare „Facebook”, sau depersonalizarea datelor cu caracter personal, astfel încât detaliile privind circumstanțele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile ori să permită atribuirea doar în condițiile unei investigații care necesită cheltuieli disproporționate de timp, mijloace şi forță de muncă.

IV. Activitatea de supraveghere

În perioada de referință, CNPDCP a venit cu unele precizări și recomandări atât pentru subiecții de date, cât și pentru operatorii de date cu caracter personal:

Atenție! Fraude cu utilizarea datelor cu caracter personal

CNPDCP recomandă repetat vigilență maximă la transmiterea datelor cu caracter personal

În contextul aspectelor recent deplânse inclusiv Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), privind colectarea datelor cu caracter personal consemnate în buletinele de identitate, de către exponenții unei formațiuni politice, în scopul înregistrării pe platforma „PSB” pentru a beneficia de resurse financiare de la instituții bancare din Federația Rusă, acest fapt rezumându-se, în esență, la identificarea existenței unor credite pe numele subiecților de date ce urmează a fi restituite de către ultimii, CNPDCP, în mod repetat atenționează subiecții de date și vine cu următoarele precizări și recomandări pentru aceștia:

CNPDCP în repetate rânduri a îndemnat subiecții de date să demonstreze precauție maximă la dezvăluirea/transmiterea datelor cu caracter personal ce îi vizează, or, actele de identitate (cum ar fi buletinele de identitate, pașapoartele), consemnează o multitudine de date cu caracter personal, care necesită o protecție eficace din partea deținătorului/titularului acestora.

Reiterăm că, în cazul în care vi se solicită prezentarea actelor de identitate și/sau oferirea copiilor de pe aceste acte, sub pretexte diferite, urmează să vă încredințați de legalitatea colectării datelor personale și a utilizării ulterioare a acestor date. Or, oferirea/transmiterea datelor personale de pe aceste documente de către subiectul de date, în alte scopuri decât cele expres prevăzute de lege, poate genera utilizarea ilegală a acestora, în scopuri contrare celor prevăzute inițial, în detrimentul subiectului de date. La fel, subiectul de date cu caracter personal ar putea pierde controlul asupra datelor sale cu caracter personal.

La caz, spețele deplânse CNPDCP demonstrează cert faptul că, transmiterea de către subiecții de date a copiilor de pe buletinele de identitate pentru o pretinsă beneficiere de careva sume bănești, a dus la deschiderea, din numele ultimilor, de credite la instituții bancare de pe teritoriul Federației Ruse, care, în prezent, pretind restituirea datoriilor creditare acumulate (spre exemplu, de către „Promsvyazbank” (PSB Bank) din Federația Rusă).

CNPDCP reliefează că, în condițiile oferirii/transmiterii benevole a datelor cu caracter personal, la baza colectării acestor date personale se invocă/determină existența consimțământului subiectului datelor cu caracter personal (art. 5 alin. (1) al Legii 133/2011), chiar dacă ulterioara utilizare a acestor date se adeverește a fi efectuată în alte scopuri/ în detrimentul subiectului de date vizat.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității fiecărui cetățean în vederea asigurării protecției datelor cu caracter personal, or, securitatea și confidențialitatea acestor date trebuie să constituie o prioritate.

În atenția operatorilor de date cu caracter personal!

Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (CNPDCP), informează că, în conformitate cu prevederile pct. 2.1 al Hotărârii Guvernului nr. 678/2024 cu privire la modificarea și abrogarea unor hotărâri ale Guvernului (facilitarea activității mediului de afaceri VI), care a întrat în vigoare la 15 noiembrie 2024 a fost abrogată Hotărârea Guvernului nr. 1123/2010 privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal (Cerințe).

Accentuăm că abrogarea Cerințelor menționate nu exclude obligația operatorilor, cît şi a persoanelor împuternicite de către aceștia (dacă este cazul), prevăzută la art. 29 şi art. 30 ale Legii nr. 133/2011, de a implementa măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii, răspîndirii, precum şi împotriva altor acţiuni ilicite, măsuri menite să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor prelucrate, inclusiv și de asigurare a confidențialității acestora.

În acest context, recomandăm să consultați Liniile directorii privind măsurile de securitate pentru protecția și prelucrarea datelor cu caracter personal în cadrul sistemelor informaționale, care sunt publicate pe pagina oficială a Autorității naționale de protecție a datelor cu caracter personal la capitolul Recomandările CNPDCP (https://datepersonale.md/data-controllers/ncpdp-guidelines/).

Totodată, comunicăm că implicit, a fost exclusă obligația operatorilor de date cu caracter personal de a prezenta anual, pînă la 31 ianuarie, în adresa CNPDCP rapoarte generalizate despre incidentele de securitate a sistemelor informaționale de date cu caracter personal gestionate.

Pentru oricare informaţie suplimentară, urmează să contactați Direcţia prevenire, supraveghere și evidență a Direcției generale supraveghere și conformitate a CNPDCP, la telefonul de contact nr. 022-811-801/811-802.

Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 35 de consultații telefonice și 6 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

5. Știri internaționale și europene

În perioada 7-8 octombrie 2024 a avut loc cea de-a 97-a ședință plenară a Comitetului European pentru Protecția Datelor (EDPB), care a fost organizată cu prezență fizică. Reprezentantul CNPDCP a participat, ca de obicei, în calitate de observator.

În cadrul ședinței, EDPB a adoptat un șir de documente importante, printre care:
- Avizul cu privire la anumite obligații ca urmare a încrederii în operatori și persoanele împuternicite de operatori;
- Orientări privind prelucrarea datelor cu caracter personal pe baza interesului legitim;
- Declarația privind emiterea regulilor procedurale suplimentare pentru aplicarea GDPR.
Totodată, EDPB și-a adoptat programul de lucru pentru 2024-2025. Acesta este primul dintre cele două programe de lucru care va implementa strategia EDPB pentru anii 2024-2027 adoptată în aprilie 2024. Documentul se bazează pe prioritățile stabilite în strategia EDPB și ia în considerare, de asemenea, necesitățile identificate ca fiind cele mai importante pentru părțile interesate.
În perioada 15-17 octombrie 2024, delegația Republicii Moldova s-a aflat la Bruxelles pentru a prezenta stadiul pregătirilor privind adoptarea și implementarea acquis-ului comunitar al UE în cadrul screening-ului bilateral aferent Capitolului 23 „Justiție și Drepturi Fundamentale”, coordonat de Ministerul Justiției. Pe parcursul a trei zile, circa 25 de profesioniști din diverse instituții cheie din domeniul juridic au susținut 26 de prezentări.

Specialiștii din cadrul Ministerului Justiției, Procuraturii Anticorupție, Centrului Național Anticorupție, Administrației Naționale a Penitenciarelor, Comisiei Electorale Centrale, Ministerului Muncii și Protecției Sociale, Consiliului Audiovizualului, Agenției de Geodezie, Cartografie și Cadastru, și Agenției Relații Interetnice au explicat în fața Comisiei Europene nivelul de transpunere a acquis-ului comunitar și au răspuns la întrebările de precizare. Totodată, reprezentanții instituțiilor au comunicat despre acțiunile planificate pentru continuarea armonizării legislației naționale cu legislația UE.
În perioada 30 – 31 octombrie 2024, reprezentanții CNPDCP au participat în cadrul unei vizite de studiu la Inspectoratul de Stat al Datelor din Letonia (Inspectorat), eveniment organizat în cadrul proiectului intitulat „Consolidarea protecției datelor cu caracter personal în Republica Moldova. Faza I”.

Scopul vizitei de studiu a constat în preluarea celor mai bune practici legale și operaționale de către reprezentanții CNPDCP privind certificarea Responsabililor cu protecția datelor (DPO), Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și în consolidarea mecanismelor de protecție a datelor prin alinierea acestora la standardele și practicile europene.

Pe parcursul celor două zile au fost abordate subiecte de importanță, cum ar fi:

Certificarea Responsabilului cu protecția datelor: scopul certificării DPO, cine emite certificările DPO, cine poate solicita o certificare DPO, care este feedback-ul diferitelor părți interesate cu privire la aceste certificări DPO, etc.
Prezentarea sistemului de certificare DPO : conceperea, dezvoltarea și introducerea certificării DPO: experiențe, eșecuri, succese și lecții învățate;
Evaluarea impactului asupra vieții private în Letonia: cum are loc efectuarea unei DPIA, cine este obligat să efectueze o DPIA, necesitatea efectuării unei DPIA, instruirea altor persoane, cum ar fi angajații autorităților publice cu privire la aspecte legate de confidențialitatea datelor cu caracter personal etc.

În perioada 4-6 noiembrie 2024 la Strasbourg, Franța a avut loc cea de-a 47-a ședință plenară a Comitetului Consultativ al Convenției 108.

Principalele subiecte s-au axat pe situația actuală privind semnările și ratificările Protocolului de modificare a Convenției 108 (CETS nr. 223, denumită Convenția 108+), la moment fiind: 46 de state care au semnat, dintre care 31 de state au ratificat.

Comitetul a încurajat ferm toate statele părți să semneze și să ratifice Convenția 108+ cât mai curând posibil. Pentru a intra în vigoare Convenția 108 + sunt necesare minim 38 de ratificări. Convenția 108+ rămâne singurul instrument internațional obligatoriu din punct de vedere juridic care protejează datele cu caracter personal și dreptul la viață privată, urmărește să asigure o protecție adecvată a tuturor persoanelor într-o eră digitală în continuă expansiune. Comitetul a organizat o prezentare cu privire la situația actuală a procesului de semnare și ratificare în statele părți, a luat act de informațiile furnizate de membrii Comitetului.

Comitetul a discutat stadiul implementării programului de lucru 2022 – 2025 și a decis să înceapă să lucreze asupra considerentelor privind confidențialitatea și protecția datelor în învățarea automată și modelele lingvistice mari (LLM) ca subiect următor.

Comitetul a organizat alegeri pentru Birou. Componența noului Birou este următoarea:

Președinte: Beatriz de Anchorena (Argentina)
Prim-vicepreședinte: Caroline Gloor Scheidegger (Elveția)
Vicepreședinte al doilea: Anamarija Mladinic (Croația)

Membrii biroului:

Alessandra Pierucci (Italia)
Virpi Koivu (Finlanda)
Gonzalo Sosa Barreto (Uruguay)
Ousmane Thiongane (Senegal)

Pe 29 noiembrie 2024, la sediul Consiliului Europei din Strasbourg, a avut loc seminarul „Inteligența artificială și protecția datelor: complementaritate și abordare integrată”. Evenimentul a reunit experți internaționali și reprezentanți ai statelor membre, având ca scop analizarea interacțiunii dintre protecția datelor și dezvoltarea inteligenței artificiale (IA).

Seminarul a subliniat complementaritatea dintre reglementările privind IA și protecția datelor, necesitatea unui control uman în utilizarea tehnologiilor și importanța unei abordări integrate în reglementare. De asemenea, au fost discutate riscurile IA asupra drepturilor fundamentale și metodele de evaluare a impactului acestor tehnologii.

S-a concluzionat că: colaborarea internațională și flexibilitatea reglementărilor sunt esențiale pentru a asigura un cadru juridic robust, care să sprijine inovarea tehnologică, respectând drepturile fundamentale și principiile democratice.

Seminarul a fost organizat cu suportul Comitetului pentru Inteligența Artificială (CAI) și Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrare automatizată a datelor cu caracter personal (T-PD), în colaborarea cu Universitatea de la Strasbourg.
În perioada 2-3 decembrie 2024, la Brussels, s-a desfășurat cea de-a 99-a ședință plenară a Comitetului European pentru Protecția Datelor, un eveniment esențial pentru consolidarea reglementărilor privind protecția datelor în Europa. Republica Moldova a avut onoarea de a participa ca observator, contribuind la discuțiile și deciziile ce vor modela viitorul acestui domeniu.

Pe agenda ședinței s-au aflat subiecte precum aprobarea criteriilor de certificare națională, lansarea Sigiliului european pentru protecția datelor și publicarea Orientărilor privind transferurile de date către țări terțe. Aceste inițiative nu doar că întăresc cadrul legislativ european, ci și promovează transparența și încrederea în modul în care datele personale sunt gestionate.

De asemenea, au fost abordate provocările aduse de tehnologiile emergente, precum inteligența artificială, și s-a subliniat importanța protecției minorilor în mediul digital, prin nominalizarea unui reprezentant EDPB în Grupul de Lucru 6.

Deciziile luate în această ședință reprezintă pași semnificativi spre un viitor digital mai sigur, adaptat la noile provocări tehnologice și care asigură respectarea drepturilor fundamentale ale cetățenilor.
Atelierul European de Gestionare a Cazurilor (ECHW 2024) a avut loc în perioada 5-6 decembrie 2024, la Tallinn (Estonia), fiind organizat de Inspectoratul pentru Protecția Datelor din Estonia. Scopul principal al atelierului a fost de a împărtăși experiențe naționale și bune practici, precum și de a obține rezultate care au urmat unui caz specific sau unei investigații în domeniul încălcărilor dreptului la protecția datelor personale și a vieții private.

Atelierul a reprezentat un dialog participativ între autoritățile de protecție a datelor personale privind provocările cu care se confruntă și soluțiile pe care le aplică în practica lor cotidiană.

Subiectele propuse participanților pentru schimbul de experiențe au inclus cele mai importante provocări în domeniul protecției datelor personale, precum supravegherea video, relația dintre operatorii de date și persoanele împuternicite de operator, noile tehnologii de securitate IT în prelucrarea datelor cu caracter personal, rețelele de socializare etc.

6. Alte autorități pentru protecția datelor
Autoritatea Franceză pentru Protecția Datelor (CNIL) a aplicat o amendă administrativă companiei COSMOSPACE – 250 000 euro și companiei TELEMAQUE – 150 000 euro pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal) și articolului 9 (Prelucrarea de categorii speciale de date cu caracter personal) din GDPR.

Companiile COSMOSPACE și TELEMAQUE oferă servicii de clarviziune la distanță, unul prin telefon și celălalt prin chat online și mesaje text. Controalele efectuate de CNIL în 2021 au scos la iveală mai multe încălcări, printre care colectarea de date sensibile fără consimțământ explicit prealabil (în special date privind sănătatea și date privind orientarea sexuală), păstrarea datelor pentru o perioadă excesivă, trimiterea de mesaje de prospectare comercială către persoane care nu și-au dat consimțământul și, în cazul COSMOSPACE, înregistrarea sistematică a convorbirilor telefonice.

În acest context, CNIL a aplicat o amendă în valoare de 250 000 euro companiei COSMOSPACE și o amendă de 150 000 euro companiei TELEMAQUE. Aceste amenzi au fost adoptate în cooperare cu aproximativ cincisprezece omologi europeni ai CNIL în ambele cazuri. Cuantumurile amenzilor au fost stabilite pe baza gravității încălcărilor, a numărului de persoane vizate – baza de date comună a celor două companii conținând datele a peste 1,5 milioane de persoane – și a sensibilității datelor prelucrate. Situația financiară a companiilor și structurile acestora au fost, de asemenea, luate în considerare, pentru a stabili amenzi disuasive, dar proporționale.
Autoritatea Finlandeză pentru Protecția Datelor (SA) a aplicat o amenda administrativă în valoare de 2,4 milioane euro companiei Posti pentru încălcarea articolului 6 (Legalitatea prelucrării), articolului 13 (Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată), articolului 5 (Principii legate de prelucrarea datelor cu caracter personal) și articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) din GDPR.

SA Finlandeză a investigat prelucrarea datelor cu caracter personal de către compania Posti referitoare la crearea unei căsuțe poștale electronice, urmare a plângerilor primite cu privire la transmiterea de scrisori către serviciul online al Posti fără consimțământul clientului. Operatorul a creat automat o căsuță poștală electronică pentru clienți, fără o cerere separată. Aceasta fusese conectată la un set mai larg de servicii. Ancheta a arătat că clientul nu putea alege dacă să utilizeze sau nu căsuța poștală electronică, deoarece diferite servicii erau legate între ele într-un singur contract.

În urma investigațiilor, SA Finlandeză a constatat că serviciul solicitat de client ar fi putut fi furnizat fără crearea automată a unei căsuțe poștale electronice. De asemenea, operatorul nu și-a informat în mod clar clienții cu privire la activarea căsuței poștale electronice, iar serviciul conținea setări tehnice care nu îndeplineau cerințele de protecție a datelor. Acestea includeau o funcție de selectare activată automat și o casetă de selectare bifată în prealabil.

În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 2,4 milioane euro pentru prelucrare neconformă a datelor cu caracter personal. Totodată, operatorul a fost mustrat pentru lacunele în informare a clienților și i s-a adus la cunoștință faptul că serviciile electronice trebuie create de la început astfel încât să fie prelucrate numai datele cu caracter personal necesare.
Autoritatea Irlandeză pentru Protecția Datelor (DPA) a aplicat o amenda în valoare de 251 milioane de euro companiei Meta Platforms Ireland Limited (Meta) în urma a două investigații privind o breșă de securitate care a afectat datele cu caracter personal ale 29 de milioane de utilizatori la nivel global.

Incidentul, raportat de Meta în septembrie 2018, a implicat acces neautorizat la o serie de categorii de date cu caracter personal, cum ar fi: numele complet al utilizatorului; adresa de e-mail; numărul de telefon; locația; locul de muncă; data nașterii; religia; sexul; postările de pe timeline; grupurile din care făcea parte un utilizator și date cu caracter personal ale copiilor. Aproximativ trei milioane dintre utilizatorii afectați erau din Uniunea Europeană și Spațiul Economic European. Breșa a fost cauzată de exploatarea unor token-uri de utilizator pe platforma Facebook de către terți neautorizați. Deși încălcarea a fost remediată rapid de Meta și de compania mamă din SUA la scurt timp după descoperirea acesteia, DPA Irlandeză a constatat că gigantul tehnologic a încălcat Regulamentul General privind Protecția Datelor (GDPR) prin:

Nerespectarea obligațiilor de documentare a faptelor și a măsurilor luate pentru remediere – articolul 33 (3) și 33 (5);
Neasigurarea că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării -articolul 25 (1) și 25 (2).

În acest context, DPA Irlandeză a impus o amendă în valoare de 251 de milioane de euro companiei Meta. Valoarea acesteia subliniază accentul pus de Uniunea Europeană pe responsabilizarea marilor companii tehnologice, Autoritatea Irlandeză fiind principalul organism de reglementare responsabil pentru obligarea acestora la răspundere. Compania a anunțat că va face apel la decizie.

Reprezentanții Centrului Național pentru Energie Durabilă instruiți în domeniul protecției datelor cu caracter personal

La data de 17 octombrie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru reprezentanții Centrului Național pentru Energie Durabilă (CNED), la solicitarea acestora. Cursul de instruire a avut drept scop familiarizarea funcționarilor din […]

22 Views

Representatives of the Border Police Sector „Chisinau International Airport” of the Border Control General Directorate trained in the field of personal data protection

On October 15, 2025, the National Center for Personal Data Protection (NCPDP) organized a training session in the field of personal data protection for representatives of the Border Police sector „Chisinau International Airport” of the General Inspectorate of Border Police (GIBP), according to the training plan within the GIBP subdivisions for 2025, […]

20 Views

Galerie Video

Materiale informative

Cookie	Durată	Descriere
cookielawinfo-checkbox-necessary	11 months	Acest cookie este utilizat pentru a ține evidența modulelor cookie pe care le-ați consimțit, în raport cu categoria de cookies “necessary” (cookies necesare);
cookielawinfo-checkbox-non-necessary	11 months	Acest cookie este utilizat pentru a ține evidența modulelor cookie pe care le-ați consimțit, în raport cu categoria de cookies “non-necessary” (cookies care nu sunt necesare);
viewed_cookie_policy	11 months	Acest cookie este utilizat pentru a vedea dacă ați citit politica noastră privind modulele cookie. Nu stochează date cu caracter personal;