Buletin Informativ Nr. 22

I. Activitățile de informare și instruire efectuate de CNPDCP

       În trimestru doi al anului 2025 (aprilie-iunie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

       În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 28 ianuarie 2025.

       Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

·        15 aprilie – Inspectoratul de poliție Briceni;

·        20 mai – Inspectoratul de poliție Cahul;

·        10 iunie – Inspectoratul de poliție Cantemir.

       În acest context, au fost instruiți 211 reprezentanți din cadrul subdiviziunilor IGP.

       Totodată, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției de Frontieră (IGPF), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGPF, la data de 28 ianuarie 2025. Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

·        16 aprilie – Direcția regională Est a IGPF;

·        15 mai – Direcția regională Sud a IGPF;

·        24 iunie –  Direcția regională Nord a IGPF.

       În acest context, au fost instruiți 165 reprezentanți din cadrul subdiviziunilor IGPF.

       La fel, s-a continuat organizarea cursurilor de instruire pentru angajații din cadrul subdiviziunilor structurale, specializate și teritoriale ale Inspectoratului General pentru Migrație (IGM), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGM, la data de 27 ianuarie 2025.

       Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

·        16 mai – Subdiviziunile structurale și specializate ale IGM;

·        23 mai – Direcția regională Nord a IGM.

       În acest context, au fost instruiți 34 reprezentanți din cadrul subdiviziunilor IGM.

       La data de 27 martie 2025, a fost aprobat și semnat de către conducătorii CNPDCP și Serviciului Vamal (SV), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru funcționarii vamali din cadrul SV.

       Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

·        08 aprilie – Biroul vamal Centru și Aparatul Central, Centrul de Instruire (două cursuri de instruire);

·        10 aprilie – Biroul Vamal Centru și Aparatul Central, Centrul de Instruire (două cursuri de instruire);

·        06 mai – Biroul Vamal Sud;

·        08 mai – Biroul Vamal Nord, Bălți;

·        27 mai – Biroul Vamal Nord, Briceni;

·        29 mai – BiroulVamal Nord, Bălți.

       În acest context, au fost instruiți 343 de funcționari vamali din cadrul SV.

       În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice/private, la solicitarea acestora.

       Astfel, cursuri de instruire au fost organizate pentru următoarele instituții:

·        02 aprilie – Casa Națională de Asigurări Sociale, subdiviziunile teritoriale;

·        03 aprilie – Întreprinderea Municipală „Infocom”;

·        07 aprilie – Agenția Geodezie, Cartografie și Cadastru;

·        19 mai – Serviciul Tehnologia Informației și Securitate Cibernetică;

·        22 mai – Consiliul pentru refugiați Ungheni;

·        03 iunie – Fondul Națiunilor Unite pentru Populație (UNFPA), reprezentanții autorităților publice locale;

·        06 iunie – Cancelaria de Stat, APL-urile de nivelul I și II din raza de activitate a Oficiului teritorial Hâncești;

·        13 iunie – Consiliul pentru refugiați Cahul.

       În acest context au fost instruiți 247 reprezentanți ai instituțiilor menționate supra.

       Cursurile de instruire au avut drept scop familiarizarea reprezentanților instituțiilor menționate supra cu aspectele ce țin de domeniul protecției datelor cu caracter personal, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc.

       Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost  creșterea gradului de conștientizare și educare a copiilor în ceea ce privește: importanța protecției datelor cu caracter personal; identificarea riscurilor din mediul online; adoptarea unui comportament responsabil, sigur și informat în spațiul digital pentru a sprijini copiii să navigheze internetul în mod sigur, etic și informat, reducând vulnerabilitatea lor în fața amenințărilor online. Tematicile abordate în cadrul instruirilor au vizat: ce sunt datele cu caracter personal; cum îți protejezi datele personale online; riscurile și amenințările în mediul online; siguranța pe platformele de comunicare și jocuri online, etc.

       În acest sens, acțiuni de informare au fost organizate pe data de 04.04.2025 pentru:

·        IPLT “Mihai Stratulat”, comuna Boșcana;

·        IPLT “Nicolae Bălcescu”, comuna Ciorescu.

       Evenimentele au avut loc în cadrul orelor de Dezvoltare personală, cu participarea  în total a 85 de elevi ai claselor IV-a.

       Mai mult, în perioada de referință, CNPDCP lansat o campanie amplă de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal, desfășurată sub genericul „Vigilență maximă la transmiterea/oferirea datelor cu caracter personal” în colaborare cu IGP și IGPF. Campania urmărește creșterea gradului de conștientizare în rândul cetățenilor cu privire la riscurile asociate dezvăluirii necontrolate a datelor cu caracter personal. În cadrul acțiunilor desfășurate, cetățenilor li s-au oferit materiale informative și sfaturi practice, fiind atenționați asupra potențialelor pericole legate de transmiterea/oferirea datelor cu caracter personal consemnate în diferite acte, precum: buletinele de identitate, pașapoartele, certificatele de stare civilă, carnetele de pensionar, cardurile bancare și alte acte similare care conțin informații sensibile, precum și consemnarea acestor date în diferite liste, în diverse pretinse scopuri. Reprezentanții CNPDCP au subliniat faptul că, orice solicitare din partea unor persoane terțe privind accesul la asemenea date trebuie tratată cu maximă precauție. Este esențial ca deținătorii/titularii acestor date/acte să verifice legalitatea solicitării și scopul exact al colectării informațiilor ce conțin date cu caracter personal, înainte de a le furniza.

II. Activitatea de control

       În perioada aprilie – iunie 2025, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 114 cazuri. În perioada de referință, au fost emise 99 decizii, dintre care în 39 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 27 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

       1. Centrul a examinat plângerea unui subiect de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a categoriilor speciale de date cu caracter personal, manifestate prin transmiterea de către un Inspectorat de poliție, către Autoritatea Publică Locală (APL), a informației stocate la materialele unui proces contravențional, inițiat în baza plângerii mamei subiectului de date, inclusiv nerealizarea, de către persoana cu funcție de răspundere din cadrul APL a dreptului de acces a subiectului de date la datele cu caracter personal ce îl vizează.

       În cadrul investigației, Inspectoratul de poliție a invocat faptul că, divulgarea datelor/informațiilor către persoana cu funcție de răspundere din cadrul APL s-ar fi efectuat reieșind din funcția de agent public a subiectului de date cu caracter personal și Legea nr. 148/2023 privind accesul la informațiile de interes public.

       Aplicând prevederile art. 6 alin. (2) din Legea nr. 148/2023 privind accesul la informațiile de interes public, și art. 8 alin. (1) lit. f) din legea vizată supra, s-a determinat că, accesul la informațiile de interes public poate fi limitat în corespundere cu criteriul proporționalității prevăzut la art. 9 dacă dezvăluirea informației va prejudicia protecția datelor cu caracter personal, or, art. 8 alin. (3) stabilește că, prin derogare de la alin. (1) lit. f), este interzisă limitarea accesului la informațiile de interes public care constituie date cu caracter personal referitoare la activitatea profesională a agenților publici, în sensul Legii integrității nr. 82/2017, inclusiv: numele și prenumele; funcția; studiile; experiența profesională; remunerația; conflictele de interese; sancțiunile disciplinare nestinse.

        În speța examinată, Centru a constatat că  argumentul Inspectoratului de poliție nu este susținut din punct de vedere legal/argumentat juridic, or, materialele acumulate în cadrul procesului contravențional nu aveau tangență cu activitatea de serviciu a subiectului de date, iar autoritatea reprezentativă a populaţiei unităţii administrativ-teritoriale şi executivă a consiliului local nu era parte a procesului contravențional.

       Totodată, s-a stabilit că, prelucrarea datelor cu caracter personal/categoriilor speciale de date cu caracter personal a subiectului de date, manifestate prin dezvăluirea prin transmitere de către Inspectoratul de poliție către autoritatea reprezentativă a populaţiei unităţii administrativ-teritoriale şi executivă a consiliului local, a materialelor procesului contravențional, nu poate fi calificată drept conformă, or, cunoașterea acestor date de către persoane terțe, este o ingerință în viața privată a subiectului de date și a familiei acestuia, fiind reținută, la caz, încălcarea prevederilor art. 4 alin. (1) lit. a) și b), art. 6 alin. (1) și art. 7 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal.

       Mai mult,  CNPDCP a constatat faptul nesoluționării cererii subiectului de date de către autoritatea reprezentativă a populaţiei unităţii administrativ-teritoriale şi executivă a consiliului local, neoferindu-i un răspuns  întemeiat/punctat prin care și-ar fi justificat operațiunile de prelucrare a datelor cu caracter personal, fiind constatată încălcarea art. 13 alin. (1) lit. a) din Legea nr. 133/2011 privind protecția datelor cu caracter personal.

       2. CNPDCP a examinat plângerea unor subiecți de date cu caracter personal prin care reclamă pretinsa prelucrare neconformă a datelor cu caracter personal, manifestate prin plasarea imaginilor foto/video din care se desprinde domiciliul acestora, însoțite de un text defăimător, pe un cont, în rețeaua de socializare www.tiktok.com.

       În cadrul investigației s-a determinat că, petentul și persoanele reclamate sunt rude. Pe fundalul unor relații conflictuale, pe contul utilizatorului din rețeaua de socializare www.tiktok.com, a fost publicat un material video, fiind dezvăluite următoarele date cu caracter personal: identificarea expresă a persoanei, prin mențiunea numelui și prenumelui, cât și a funcției anterior deținute (text inserat chiar pe video); ansamblu de mențiuni de date de localizare și identificare a domiciliului, fapt ce a generat dezvăluirea datelor cu caracter personal/inclusiv identificatorul de localizare a ambilor soți, comunicând și prezentând în înregistrarea video  nr/adresa domiciliului, filmând inclusiv interiorul ogrăzii și vociferând intenția de a dezvălui datele cu caracter personal la un număr cât mai mare de persoane.

       Supletiv, urmează a menționa că, plasarea cu bună/știință a unor informații/imagini ce conțin date cu caracter personal, pe rețelele de socializare, reprezintă în sine o conștientizare și acceptare a situației că astfel de informații vor căpăta imediat un caracter public, fiind disponibile terților spre vizualizare/colectare/utilizare/dezvăluire etc. În aceste circumstanțe, datele cu caracter personal publicate pe rețelele de socializare pot fi utilizate de persoane terțe în diferite scopuri, inclusiv în scopuri meschine și pot crea riscuri majore, daune psihice și fizice persoanei vizate etc.

       În context, CNPDCP notează că datele cu caracter personal care fac obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sunt colectate şi/sau prelucrate ulterior; exacte şi, dacă este necesar, actualizate. 

       Subsecvent se notează că, în acord cu art. 5 alin. (1) al Legii nr.133/2011 privind protecția datelor cu caracter personal, prelucrarea datelor cu caracter personal se efectuează cu consimțământul subiectului datelor cu caracter personal, precum și în condițiile statuate la alin. (5) al aceluiași articol.

       Succesiv, urmare a examinării cazului, nu a fost reținut care a fost necesitatea legitimă a dezvăluirii datelor cu caracter personal ale petenților pe pagina personală din „TikTok”, nefiind identificat temeiul legal care ar justifica dezvăluirea datelor cu caracter personal a petenților, prin publicarea acestora în rețeaua de socializare „TikTok”.

       Mai mult, CNPDCP relevă că, circumstanțele unui conflict între rude, nu reprezintă un eveniment de interes public sporit, iar impactul negativ produs asupra petenților, ca urmare a postării înregistrării video, a lezat dreptul ultimilor la viața privată. 

       În acest context, fiind analizați identificatorii: numele/prenumele și adresa obiectului imobiliar a petenților, în cumul, duc la stabilirea identității subiecților de date și, eventual, a domiciliului persoanei.

       Astfel, CNPDCP a determinat că, prelucrarea datelor cu caracter personal cu referire la domiciliu nu poate fi calificată drept conformă, or, cunoașterea acestor date de către publicul larg, este o ingerință în viața privată a subiecților de date, fiind reținută, la caz, încălcarea prevederilor art. 4 alin. (1) lit. a), b, c) și art. 5 alin. (1)  din Legea nr. 133/2011 privind protecția datelor cu caracter personal.

       3. CNPDCP, în urma unei sesizări, a efectuat o verificare a informațiilor publicate pe pagina web a Mecanismului oficial de stocare a informațiilor (MSI), în special a rapoartelor semestriale ale instituțiilor bancare licențiate de Banca Națională a Moldovei.

       În urma examinării, s-au constatat bănuieli rezonabile privind prelucrarea neconformă a datelor cu caracter personal de către două instituții bancare, prin divulgarea/diseminarea numerelor de identificare de stat (IDNP) ale unor persoane fizice afiliate persoanelor cu funcție de răspundere, consemnate la pct. 14, rândul II din rapoartele semestriale publicate.

       În temeiul art. 19–20 și art. 27 alin. (4) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, CNPDCP s-a autosesizat în vederea verificării conformității prelucrării datelor cu caracter personal de către cele două instituții bancare menționate, cu cerințele legale aplicabile în domeniu.

       Astfel, una din instituțiile bancare a publicat pe site-ul propriu și în cadrul Mecanismului oficial de stocare a informațiilor (MSI) raportul semestrial, care conținea 47 de IDNP-uri ale unor persoane fizice afiliate persoanelor cu funcții de răspundere, fără a le depersonaliza. Conform Legii nr. 133/2011 privind protecția datelor cu caracter personal, această acțiune reprezintă o prelucrare excesivă și ilegală a datelor, contrar principiilor de legalitate, proporționalitate și confidențialitate.

       Cealaltă instituție bancară a publicat pe site-ul oficial MSI raportul semestrial, care includea IDNP-urile a 11 persoane fizice afiliate, încălcând prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal. Conform legii, această informație trebuia transmisă doar autorităților competente și nu făcută publică, întrucât publicarea IDNP-urilor este considerată excesivă și disproporționată față de scopul declarat. Deși banca a invocat obligațiile legale de transparență, CNPDCP a constatat lipsa unui temei legal clar care să justifice publicarea acestor date. Astfel, operatorul a fost considerat responsabil pentru încălcarea condițiilor de prelucrare legală, confidențială și proporțională a datelor personale.

Deși bancile au  invocat obligații legale din legislația financiar-bancară, CNPDCP a constatat că nu exista un temei pentru publicarea IDNP-urilor, iar acestea trebuiau raportate exclusiv autorităților competente, nu către publicul larg. La caz, CNPDCP a constatat încălcarea art. 4 alin. (1), art. 9 și art. 29 alin. (1) din Legea nr. 133/2011, intervenind în ordinea contravențională, conform art. 74/1 alin. (1) din Codul contravențional.

       Se notează că, instituțiile bancare au demonstrat receptivitate asigurând depersonalizarea datelor publicate, urmare a intervenirii CNPDCP.

       4. CNPDCP a examinat o sesizare a Comisiei Electorale Centrale (CEC), referitoare la colectarea semnăturilor de către o persoană neautorizată, în susținerea unui candidat la funcția de Președinte al Republicii Moldova.

       În cadrul investigației s-a determinat că, grupul de inițiativă pentru colectarea semnăturilor în susținerea unui candidat al unui Partid Politic, în număr de 100 de persoane, a fost înregistrat la CEC, însă, persoana vizată nu s-a regăsit în lista membrilor grupului de inițiativă care au avut dreptul să colecteze semnături ale susținătorilor candidatului respectiv. În listele de subscripție au fost colectate următoarele date cu caracter personal: numele, prenumele, anul nașterii, seria și numărul din buletinul de identitate, semnătura.

       Pornind de la circumstanțele descrise, CNPDCP a constatat că, colectarea de nume, prenume, anul nașterii, domiciliul, seria, numărul actului de identitate și semnătura, ca formă de prelucrare a datelor personale, trebuie să se realizeze într-un cadru legal corespunzător, cu respectarea reglementărilor legale privind protecția datelor și cu obținerea tuturor autorizațiilor necesare, în caz contrar, fiind susceptibilă de a aduce atingere drepturilor fundamentale ale subiecților de date vizați.

       Astfel, prin colectarea semnăturilor fără a face parte dintr-un grup de inițiativă legal constituit și fără a obține autorizarea prealabilă din partea CEC, persoana vizată a încălcat prevederile art. 4 alin. (1) lit. a) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, care reglementează principiile fundamentale de prelucrare a datelor. 

IV. Activitatea de prevenire

       În perioada de referință, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 80 de consultații telefonic, prin intermediul poștei electronice sau la sediul autorității.

5. Știri internaționale și europene

       -În perioada 06-09 mai 2025, reprezentanții CNPDCP, au participat la cea de-a 33–a ediție a Conferinței de primăvară a Autorităților Europene de Protecție a Datelor, care a avut loc în orașul Batumi, Georgia.

       Conferința de primăvară din acest an, găzduită de Inspectoratul de Stat pentru Protecția Datelor din Georgia, a reunit Autoritățile de Protecție a Datelor din întreaga Europă, în scopul abordării problemelor de interes comun, a tendințelor emergente și a evoluțiilor inovatoare în domeniul confidențialității și a protecției datelor cu caracter personal. Totodată, un obiectiv-cheie al conferinței a fost promovarea cooperării prin încurajarea colaborării între diferitele organisme de protecție a datelor din Europa și profesioniștii care lucrează în cadrul acestora. În plus, conferința a servit drept o platformă europeană unică pentru schimb de experiență și bune practici în domeniul protecției datelor cu caracter personal. 

     Pe parcursul sesiunilor de lucru, au fost prezentate subiecte de actualitate din domeniul protecției datelor, precum:

• Reglementarea inteligenței artificiale și a cadrelor juridice privind protecția datelor la nivel național, european și mondial;
• Protecția vieții private și a datelor cu caracter personal ale copiilor;
• Impactul evoluțiilor tehnologice moderne și al inteligenței artificiale asupra dreptului la viață privată;
• Provocările actuale în ceea ce privește protecția datelor cu caracter personal privind sănătatea;
• Rolul responsabililor cu protecția datelor (DPO) și al profesioniștilor din domeniul vieții private, etc.

La eveniment au participat 80 de reprezentanți, inclusiv lideri ai diferitelor Autorități Europene pentru Protecția Datelor. Totodată, au fost prezenți reprezentanții a patru instituții europene: EUROPOL, EUROJUST, EUROSTAT și AEPD.

       – În perioada 27-29 mai 2025, reprezentanții CNPDCP, au participat la cea de-a 11 – a ediție a Conferinței internaționale e-Governance Conference 2025, care a avut loc în Tallinn, Estonia. Intitulată „De la octeți la beneficii” (From Bytes to Benefits), conferința a explorat impactul transformării digitale asupra economiei, precum și costurile și beneficiile financiare pe care le implică. Evenimentul a fost unul de referință în domeniul guvernării digitale, cu scopul de a acumula cunoștințe relevante privind transformarea digitală, interoperabilitatea, securitatea cibernetică și utilizarea inteligenței artificiale în administrația publică, precum și de a identifica bune practici și oportunități de colaborare internațională.

       Pe parcursul sesiunilor de lucru, au fost prezentate subiecte de actualitate, precum:

• De la octeți la beneficii: o abordare strategică a transformării digitale;
• Costul real al transformării digitale: investiția pe termen lung;
• Consolidarea încrederii și a valorii prin interoperabilitate: motorul eficienței digitale și al creșterii economice;
• Modelarea prosperității: leadership politic și alegeri strategice pentru creșterea economică digitală;
• Securitatea cibernetică și parteneriatele public-privat: puterea colaborării;
• Strategii digitale: construirea unui viitor sigur și prosper.

       Totodată, au avut loc sesiuni practice și prezentări tematice: exemple de bune practici din Estonia, Kenya, Ucraina și Brazilia în domenii precum securitatea cibernetică, educație digitală, apărare, date deschise și durabilitate, leadership politic în digitalizare, rolul infrastructurilor digitale centrate pe cetățean, parteneriate public-privat în securitatea cibernetică, workshop-uri tematice: focusate pe interoperabilitate, guvernanță digitală și cadre DPI (Digital Public Infrastructure), designul serviciilor publice asistat de AI, trecerea de la servicii pe hârtie la digitale, rolul societății civile în reziliența cibernetică și expoziții și demonstrații: exemple tehnologice aplicate în domeniul administrației publice și serviciilor de urgență.

       Conferința e-Governance Conference 2025 a fost un punct de întâlnire global pentru liderii și practicienii din domeniul guvernanței digitale din întreaga lume, găzduind peste 600 de lideri în dezvoltarea digitală, implementatori de politici și donatori din peste 80 de țări. Evenimentul a fost organizat de Academia de e-Guvernanță (eGA), Ministerul Afacerilor Externe și Centrul Estonian de Cooperare Internațională pentru Dezvoltare și susținut de ITL, Uniunea Europeană, CybExer, Digital Nation, EstoniaHub, FIAP, Recorded Future, orașul Tallinn, Visit Estonia, Grupul Băncii Mondiale și Zetes.

       -Conducerea CNPDCP a participat la cea de-a 106-a Sesiune Plenară a Comitetului European pentru Protecția Datelor (EDPB), care a avut loc în perioada 3-4 iunie 2025 la Bruxelles, Belgia. 

       În cadrul Ședinței au fost discutate și adoptate mai multe documente, printre care:

• Orientările privind transferurile de date către autoritățile din țări terțe, care se concentrează asupra articolului 48 din GDPR și clarifică modul în care organizațiile pot evalua cel mai bine în ce condiții pot răspunde în mod legal la cererile de transfer de date cu caracter personal din partea autorităților din țări terțe (adică autorități din țări non-europene).
• Raportul „Legislație și conformitate în domeniul securității IA și protecției datelor” prezentat de EDPB, care se adresează profesioniștilor cu competențe juridice, cum ar fi Responsabili cu Protecția Datelor (DPO) sau profesioniști în domeniul confidențialității.
• Raportul „Fundamentele sistemelor IA securizate cu date cu caracter personal”, prezentat de EDPB, care se adresează profesioniștilor cu competențe tehnice, cum ar fi profesioniștii în domeniul securității cibernetice, dezvoltatorii sau implementatorii de sisteme IA cu risc ridicat.
  Solicitarea Comisiei Europene de a emite un aviz comun al EDPB și al Autorității Europene pentru Protecția Datelor (AEPD) cu privire la propunerea sa de simplificare a obligațiilor de păstrare a evidențelor pentru întreprinderile mici și mijlocii (IMM-uri), întreprinderile mici cu capitalizare medie și organizațiile cu mai puțin de 750 de angajați, ceea ce reprezintă o modificare specifică a articolului 30 alineatul (5) din GDPR. EDPB și AEPD vor emite avizul comun cu privire la această chestiune în termen de opt săptămâni.

       -În perioada 17-19 iunie 2025, reprezentanții CNPDCP au participat la cea de-a  48-a ședință plenară a Comitetului Consultativ al Convenției 108, care s-a desfășurat la Strasbourg, Franța. Comitetul a încurajat ferm toate statele părți să semneze și să ratifice Convenția 108+ cât mai curând posibil, or, pentru a intra în vigoare Convenția 108 + este necesar de minim 38 de ratificări. Convenția 108+ rămâne singurul instrument internațional obligatoriu din punct de vedere juridic care protejează datele cu caracter personal și dreptul la viață privată, urmărește să asigure o protecție adecvată a tuturor persoanelor într-o eră digitală în continuă expansiune. Comitetul a organizat o prezentare cu privire la situația actuală a procesului de semnare și ratificare în statele părți precum și a luat act de informațiile furnizate de membrii Comitetului.

       În cadrul ședinței s-a adoptat documentul revizuit privind interpretarea articolului 11, cu abținerea Regatului Unit.

       Totodată, a fost aleasă d-na Tamar Kaldani în funcția de Comisar pentru Protecția Datelor al Consiliului Europei, prin vot secret. Comitetul a mulțumit comisarului anterior, dl Jean-Philippe Walter, pentru activitatea sa remarcabilă. Dl Jean-Philippe Walter a fost felicitat pentru contribuțiile sale semnificative de peste patru decenii în promovarea dreptului la viață privată.

       S-a decis acordarea statutului de observator pentru: Rețeaua Autorităților Africane pentru Protecția Datelor (NADPA), Ecuador, Asociația Profesională din Chile și Autoritatea din Columbia.

       Reuniunea a fost extrem de valoroasă pentru urmărirea și înțelegerea evoluțiilor în domeniul protecției datelor. A oferit ocazia de a contribui la dezvoltarea de noi instrumente internaționale, de a sprijini dialogul între state și de a contura direcțiile strategice pentru perioada următoare. Participarea delegației moldovenești la reuniunea de la Strasbourg a consolidat angajamentul Republicii Moldova de a se alinia standardelor europene în domeniul protecției datelor. Evenimentul a facilitat stabilirea de contacte cu autorități omoloage și specialiști internaționali, contribuind la identificarea celor mai bune practici şi a recomandărilor europene relevante. În plus, poziția activă a RM în discuțiile Convenției 108 confirmă sprijinul comunității internaționale pentru eforturile sale de modernizare legislativă.

6. Alte autorități pentru protecția datelor

• Amendă administrativă în valoare de 900 000 de euro a fost aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei SOLOCAL MARKETING SERVICES pentru încălcarea articolului 6 (Legalitatea prelucrării) și articolului 7 (Condiții privind consimțământul) din GDPR.

       În cadrul tematicii sale prioritare privind controlul prospectării comerciale în 2022, CNIL s-a concentrat asupra practicilor profesioniștilor din acest ecosistem, în special asupra intermediarilor care revând date, numiți brokeri de date. Astfel, CNIL a efectuat investigații asupra SOLOCAL MARKETING SERVICES, care a obținut date de prospectare în principal de la alți brokeri de date, editori de concursuri de jocuri și site-uri de testare a produselor. SOLOCAL MARKETING SERVICES a utilizat aceste date pentru a efectua prospectare comercială prin e-mail către potențiali clienți în numele clienților săi agenți de publicitate. De asemenea, putea transmite o parte din aceste date clienților săi, astfel încât aceștia să poată efectua ei înșiși prospectare electronică.

       În urma investigațiilor CNIL a constatat mai multe încălcări, cum ar fi :

–                     Nerespectarea obligației de a obține consimțământul persoanelor fizice pentru a primi oferte comerciale prin mijloace electronice (articolul L.34-5 din Codul poștal și al comunicațiilor electronice din Franța): aspectul înșelător al formularelor utilizate de brokerii de date a făcut imposibilă obținerea unui consimțământ liber și neechivoc, în conformitate cu cerințele GDPR, care ar fi constituit baza operațiunilor de prospectare efectuate de companie;

–                     Nerespectarea obligației de a demonstra că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal (articolul 7 din GDPR): Compania nu a furnizat autorității dovada consimțământului persoanelor fizice ale căror date i-au fost transferate de unul dintre principalii săi furnizori. În consecință, CNIL nu a putut examina formularele de colectare utilizate de acest furnizor și, prin urmare, validitatea consimțământului persoanelor vizate.

În acest context, CNIL a impus o amendă administrativă în valoare de 900 000 de euro companiei SOLOCAL MARKETING SERVICES, care a fost făcută publică și o ordonanță de încetare a prospectării comerciale electronice în absența unui consimțământ valabil, împreună cu o penalitate de 10 000 de euro pe zi de întârziere după o perioadă de 9 luni. Cuantumul amenzii a fost stabilit ținând cont  de numărul foarte mare de persoane vizate (câteva milioane), de poziția istorică a companiei pe piață, de beneficiul financiar obținut din încălcări și de măsurile luate de companiei pentru a se conforma unor obligații ale sale de la efectuarea controalelor.

• Amendă administrativă în valoare de 5 milioane de euro a fost aplicată de către Autoritatea Italiană pentru Protecția Datelor (SA) companiei Luka Inc pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 6 (Legalitatea prelucrării), articolul 12 (Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate), articolului 13 (Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată), articolului 24 (Responsabilitatea operatorului) și articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) din GDPR.

       SA Italiană a inițiat o anchetă din proprie inițiativă în urma publicării unor articole de presă și a unei anchete preliminare efectuate cu privire la serviciul Replika, un chatbot cu interfață scrisă și vocală dezvoltat și gestionat de compania americană Luka Inc și bazat pe un sistem de IA generativ. Chatbotul dispune atât de o interfață scrisă, cât și de una vocală, permițând utilizatorilor să „genereze” un „companion virtual” care poate prelua rolul unui confident, terapeut, partener romantic sau mentor.

       În urma anchetei, SA Italiană a constatat că presupusele încălcări notificate în februarie 2023 – când a dispus blocarea aplicației – au avut într-adevăr loc. Până la 2 februarie 2023, societatea americană nu a identificat temeiul legal al operațiunilor de prelucrare a datelor efectuate prin intermediul Replika. În plus, Luka Inc a furnizat o politică de confidențialitate care era neconformă din mai multe puncte de vedere. SA italiană a constatat, de asemenea, că, până la 2 februarie 2023, compania nu implementase niciun mecanism de verificare a vârstei – nici la înregistrare, nici în timpul utilizării serviciului – în ciuda faptului că declarase că minorii erau excluși din categoria potențialilor utilizatori.

       Evaluările tehnice au relevat că sistemul de verificare a vârstei implementat în prezent de operator continuă să prezinte deficiențe în mai multe privințe.

       În acest context, SA italiană a aplicat companiei Luka Inc o amendă administrativă în valoare de 5 milioane de euro pentru încălcarea articolelor 5.1 (a), 5.1 (c), 6, 12, 13, 24 și 25.1 din GDPR. În plus, SA italiană își rezervă dreptul de a investiga și evalua, într-o procedură separată și autonomă, aspectele privind legalitatea operațiunilor de prelucrare efectuate de Luka Inc, cu referire specifică la temeiurile legale pentru prelucrare aplicabile pe întreaga durată de viață a sistemului de IA generativ care stă la baza serviciului Replika.

• Amenda administrativă în valoare de 262 500 de euro a fost aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) companiei Centrum Medyczne Ujastek Sp. z o.o. pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 6 (Legalitatea prelucrării), articolului 9 (Prelucrarea de categorii speciale de date cu caracter personal), articolului 13 (Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

       Centrum Medyczne Ujastek Sp. z o.o., cu sediul în Cracovia, în perioada 1-23 iulie 2023 a efectuat o monitorizare prin intermediul supravegherii video, în departamentul de neonatologie, înregistrând imagini în care apăreau atât nou-născuți, cât și mamele acestora în timp ce efectuau activități intime, cum ar fi alăptarea. Potrivit explicațiilor furnizate de companie, copiii ale căror imagini au fost surprinse pe înregistrări nu mai necesitau îngrijiri intensive, iar sănătatea lor nu era în pericol.

       În urma investigațiilor, SA Poloneză a constatat că supravegherea video efectuată de către centrul medical a fost efectuată cu încălcarea reglementărilor în vigoare și, în plus, a avut un caracter secret – nici pacienții, nici angajații unității nu au fost informați cu privire la înregistrarea continuă a imaginilor. Totodată, s-a stabilit că cardurile de memorie care conțineau înregistrările nu fuseseră criptate și că dispozitivele utilizate pentru înregistrarea imaginilor nu fuseseră configurate pentru a îndeplini cerințele unității. În plus, analiza riscurilor furnizată de centrul medical nu a acoperit riscurile care au fost cauza incidentului și nu a identificat măsurile de securitate care ar fi putut preveni producerea incidentului. 

       În acest context, SA Poloneză a impus o amendă administrativă în valoare de 157 500 euro pentru încălcarea articolului 6 alineatul (1), a articolului 9 alineatul (1) și articolului 13 alineatul (1,2) din GDPR și o amendă de 105 000 euro pentru încălcarea articolului 24 alineatul (1), a articolului 25 alineatul (1) și a articolului 32 alineatul (1,2) din GDPR.