Buletin Informativ Nr. 21

I.  Activitățile de sensibilizare, comunicare și instruire efectuate de CNPDCP

În primul trimestru al anului 2025 (ianuarie-martie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 28 ianuarie 2025. 

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

• 04 februarie – Inspectoratul de poliție Anenii Noi;

• 11 martie – Inspectoratul de poliție Basarabeasca.

În acest context, au fost instruiți 84 reprezentanți din cadrul subdiviziunilor IGP.

Totodată, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției de Frontieră (IGPF), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGPF, la data de 28 ianuarie 2025. Astfel, la data 12 martie a fost organizat cursul de instruire pentru Inspectoratul General al Poliției de Frontieră, fiind instruiți 45 de reprezentanți.

La data de 27 ianuarie 2025, a fost aprobat și semnat de către conducătorii CNPDCP și Inspectoratului General pentru Migrație (IGM) Planul de instruiri în domeniul protecției datelor cu caracter personal pentru angajații din cadrul subdiviziunilor structurale, specializate și teritoriale ale IGM.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

• 26 februarie – Direcția regională Sud a IGM;

• 26 martie – Direcția regională Centru a IGM;

• 28 martie – Subdiviziunile structurale și specializate ale IGM.

În acest context, au fost instruiți 61 reprezentanți din cadrul subdiviziunilor IGM.

În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice/private, la solicitarea acestora. 

Astfel, cursuri de instruire au fost organizate pentru următoarele instituții:

• 13 ianuarie – Întreprinderea de stat „Moldelectrica”;

• 14 februarie – maib;

• 13 martie – Școala Superioară de Turism și Servicii Hoteliere din cadrul ASEM;

• 18 martie – Agenția Națională de Prevenire și Combatere a Violenței împotriva Femeilor și a Violenței în Familie;

• 25 martie – Agenția Națională pentru Soluționarea Contestațiilor;

• 26 martie – Biroului de Probațiune Chișinău.

În acest context au fost instruiți 251 de reprezentanți ai instituțiilor menționate supra.

Cursurile de instruire au avut drept scop familiarizarea reprezentanților instituțiilor menționate supra cu aspectele ce țin de domeniul protecției datelor cu caracter personal, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc. 

Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost  creșterea gradului de conștientizare și educare a copiilor în ceea ce privește: importanța protecției datelor cu caracter personal; identificarea riscurilor din mediul online; adoptarea unui comportament responsabil, sigur și informat în spațiul digital pentru a sprijini copiii să navigheze internetul în mod sigur, etic și informat, reducând vulnerabilitatea lor în fața amenințărilor online. Tematicile abordate în cadrul instruirilor au vizat: ce sunt datele cu caracter personal; cum îți protejezi datele personale online; riscurile și amenințările în mediul online; siguranța pe platformele de comunicare și jocuri online, etc.

Astfel, au fost organizate mai multe cursuri de instruire:

• 27 ianuarie  – IPLT „Ștefan cel Mare”, Chișinău;

• 27 martie – Gimnaziului Fundul Galbenei, Hâncești;

• 27 martie – Gimnaziului „Anton Bunduchi”, Hâncești.

Evenimentele au avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a IV-a. În acest context, au fost instruiți 92 de elevi.

Mai mult, în perioada de referință, CNPDCP a găzduit două Vizite de Studiu:

• 25 februarie – Vizita de Studiu pentru membrii Asociației Europene a Studenților în Drept din Republica Moldova (ELSA);

• 26 martie – Vizita de Studiu a studenților Facultății de Drept a Universității de Stat din Moldova.

Scopul acțiunilor desfășurate în cadrul evenimentelor s-a axat pe sensibilizarea tinerei generații/comunității universitare privind domeniul protecției datelor cu caracter personal, consolidarea cunoștințelor în domeniu, precum și explorarea cadrului legal aplicabil, drepturile și obligațiile părților implicate și importanța conformității cu diverse domenii. Totodată, studenții au fost informați despre organizarea şi funcţionarea CNPDCP, atribuţiile subdiviziunilor CNPDCP, structura, misiunea, precum și rolul autorității în monitorizarea respectării legislaţiei cu privire la protecţia datelor cu caracter personal. Evenimentele s-au finalizat cu o sesiune de întrebări și răspunsuri documentate cu exemple practice, iar CNPDCP își propune să susțină, în continuare, astfel de eforturi de educare și conștientizare a tinerilor cu privire la importanța domeniului protecției datelor cu caracter personal.

II. Activitatea de control

În perioada ianuarie-martie 2025, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 85 cazuri. În perioada de referință, au fost emise 64 decizii, dintre care în 23 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 40 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1. CNPDCP s-a autosesizat, în temeiul art. 20 alin. (1) lit. a), i) și art. 27 alin. (4) al Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal, în partea ce ține de pretinsele vulnerabilități ale paginii web a unui laborator de analize medicale, legate de încălcarea securității categoriilor speciale de date cu caracter personal.

În cadrul examinării materialului acumulat s-a stabilit că, terțe persoane, accesând opțiunea ”Organigrama companiei” și modificând ultimele 3 cifre a link-ului, puteau să vizualizeze sau chiar să descarce fișiere ce conțin date cu caracter personal ale subiecților de date, și anume: nume, prenume, data, luna, anul nașterii, adresa de domiciliu (în unele cazuri) și informații cu caracter medical în partea ce ține de starea de sănătate a acestora.

Astfel, având ca temei materialele acumulate în cadrul controlului inițiat în baza notei de autosesizare a fost confirmat faptul că, laboratorul de analize medicale nu a implementat măsuri organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii, răspândirii, precum şi împotriva altor acţiuni ilicite, măsuri menite să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor prelucrate. 

În acest context, s-a constatat că laboratorul de analize medicale a prelucrat datele cu caracter personal ale subiecților de date/pacienților cu nerespectarea cerințelor prevăzute de art. 4 alin. (1) lit. a), art. 29 alin. (1)  și 30 alin. (1) din Legea privind protecția datelor cu caracter personal nr. 133 din 08.07.2011.

2. CNPDCP a examinat o sesizare a Comisiei Electorale Centrale (CEC), referitoare la colectarea semnăturilor de către o persoană, în susținerea unui candidat la funcția de Președinte al Republicii Moldova.

În cadrul investigației s-a determinat că, grupul de inițiativă, în număr de 100 de persoane, pentru colectarea semnăturilor în susținerea unui candidat înaintat din partea unui Partid Politic, a fost înregistrat la CEC, însă, persoana vizată nu s-a regăsit în lista membrilor grupului de inițiativă care au avut dreptul să colecteze semnături ale susținătorilor candidatului respectiv. În listele de subscripție au fost colectate următoarele date cu caracter personal: numele, prenumele, anul nașterii, semnătura, seria și numărul din buletinul de identitate.

Pornind de la circumstanțele descrise, CNPDCP a constatat că, colectarea de nume, prenume, anul nașterii, domiciliul, seria, numărul actului de identitate și semnătura, ca formă de prelucrare a datelor personale, trebuie să se realizeze într-un cadru legal corespunzător, cu respectarea reglementărilor legale privind protecția datelor și cu obținerea tuturor autorizațiilor necesare, în caz contrar, fiind susceptibilă de a aduce atingere drepturilor fundamentale ale subiecților de date vizați.

Astfel, prin colectarea semnăturilor fără a face parte dintr-un grup de inițiativă legal constituit și fără a obține autorizarea prealabilă din partea CEC, persoana vizată a încălcat prevederile art. 4 alin. (1) lit. a) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, care reglementează principiile fundamentale de prelucrare a datelor.

IV. Activitatea de prevenire

În perioada de referință, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 379 de consultații telefonice, fie prin intermediul poștei electronice sau la sediul autorității.

5. Știri internaționale și europene

• În perioada 04-05 februarie 2025 la Bruxelles, Belgia a avut loc atelierul de lucru TAIEX privind transpunerea Legii UE privind piețele digitale, organizat de către Direcția Generală pentru Rețele de Comunicații, Conținut și Tehnologie și Direcția Generală pentru Concurență, Comisia Europeană, la care a participat un reprezentant al CNPDCP.

  Atelierul a avut ca scop familiarizarea participanților cu cadrul legal al Digital Markets Act (DMA), un act esențial din strategia digitală a Uniunii Europene. Acesta reglementează platformele digitale mari, cunoscute sub denumirea de „gatekeepers”, stabilind obligații și restricții clare pentru a promova un sector digital mai echitabil și mai responsabil.

  Atelierul a fost adresat țărilor beneficiare din Balcanii de Vest și a celor din Parteneriatul Estic, inclusiv Albania, Bosnia și Herțegovina, Georgia, Kosovo, Moldova, Muntenegru, Macedonia de Nord, Serbia, Turcia și Ucraina.

  Obiectivele principale ale DMA sunt protejarea concurenței, protecția consumatorilor și asigurarea unui acces echitabil pe piețele digitale.

  Pentru țările candidate și vecine ale UE, a fost subliniat faptul că alinierea la DMA este esențială pentru integrarea în Uniunea Europeană, iar pașii necesari pentru aceasta sunt în continuare subiect de dezbatere și elaborare.

• La 12 februarie curent a avut loc cea de-a 102 ședință plenară a Comitetului European pentru Protecția Datelor (EDPB), care a fost organizată cu prezența fizică la Bruxelles și  în cadrul căreia  Republica Moldova a participat, în calitate de observator.

  EDPB a adoptat o declarație privind asigurarea vârstei și a decis să creeze un grup de lucru pentru aplicarea AI. În plus, Comitetul a adoptat, de asemenea, recomandări privind Codul mondial anti-doping din 2027 al Agenției Mondiale Anti-Doping (WADA). Atunci când se prelucrează date cu caracter personal în scopuri anti-doping, este esențial să se respecte și să se salveze datele personale ale sportivilor.

  Obiectivul principal al EDPB este de a evalua compatibilitatea Codului antidoping WADA și a Standardului internațional pentru protecția datelor (ISDP) cu GDPR. Codul și standardele anti-doping ar trebui să supună organizațiilor naționale anti-doping (NADOS) un standard echivalent cu cel al GDPR atunci când procesează date cu caracter personal în scopuri anti-doping.

  În timpul ședinței plenare, Comitetul a decis, de asemenea, să extindă domeniul de aplicare al grupului de lucru ChatGPT la aplicarea AI. În plus, membrii EDPB au subliniat necesitatea de a coordona acțiunile APD cu privire la chestiuni sensibile urgente și, în acest scop, vor înființa o echipă de răspuns rapid.

• În perioada 20-21 februarie 2025, la Bruxelles, Belgia a avut loc workshop-ul Regional privind implementarea celui de-al Doilea Protocol la Convenția privind Criminalitatea Cibernetică, organizat de proiectul comun al Uniunii Europene și al Consiliului Europei CyberEast+ (Reuniune).

  Evenimentul a fost dedicat în special reprezentanților Ministerelor Afacerilor Externe, Ministerelor Justiției, Procuraturilor Generale, Poliției Naționale, Ministerelor de Interne și serviciilor/agențiilor specializate de investigație din cadrul Parteneriatului Estic (Armenia, Azerbaidjan, Georgia, Moldova și Ucraina) în contextul discutării instrumentelor de cooperare sporită și dezvăluirea probelor electronice în cadrul celui de- al doilea protocol adițional la Convenția privind criminalitatea cibernetică (Budapesta).

  A fost prezentat cel de-al Doilea Protocol, de asemenea au fost discutate strategii de implementare pentru articolele 6 și 7 (cooperarea directă cu furnizorii de servicii, schimbul de  și articolele 8, 9 și 10 (cooperare între state, acces la probe electronice), implementarea articolelor 11 și 12 (proceduri judiciare pentru accesul la probe digitale), precum și articolelor 13 și 14 (cooperarea internațională și protecția datelor).

• În perioada 3 – 7 martie 2025, la Paris, Franța a fost organizată Academia „Proiectarea și furnizarea serviciilor în era digitală”. Academia menționată a fost organizată în strânsă colaborare și sinergie între OCDE SIGMA și GIZ EAP Fondul Regional pentru Reforma Administrației Publice.

  Raționamentul Academiei de la Paris consta în faptul că în cadrul proiectării și furnizării de servicii, administrațiile publice nu ar trebui să se bazeze doar pe propria experiență și cunoștințe, cum este la momentul actual în țările din cadrul Parteneriatului Estic. Astfel, utilizatorii serviciilor publice ar trebui să fie implicați în exprimarea necesităților și așteptărilor lor. Acolo unde relațiile tradiționale cu cetățenii-utilizatori erau/sunt birocratice și ierarhice, noile relații urmează a fi mai pluraliste și concentrate pe utilizator. Acest lucru necesită o abordare din partea administrațiilor publice pentru implicarea cetățenilor și a întreprinderilor, cu scopul de a obține o perspectivă asupra percepțiilor, așteptărilor și angajamentului lor prin participarea activă. 

  În cadrul Academiei s-au discutat următoarele aspecte: obiectivele academiei și importanța digitalizării serviciilor publice, principiile administrației publice moderne și guvernarea digitală, (totodată, reprezentanții OECD au prezentat recomandările pentru un design centrat pe utilizator în livrarea serviciilor), a fost analizat  Programul „Services Publics +” implementat de Direcția interministerială a Transformării publice, a fost explicată metodologia „Design Thinking” și impactul său asupra inovării în serviciile publice, conceptul de management al schimbării și importanța acestuia, aspectele legate de definitivarea problemelor și la cartografierea părților interesate.

  6. Alte autorități pentru protecția datelor

• Autoritatea Franceză pentru Protecția Datelor (CNIL) a aplicat o amendă administrativă în valoare de 240 000 de euro companiei KASPR pentru încălcarea articolului 5 Principii legate de prelucrarea datelor cu caracter personal, articolului 6 Legalitatea prelucrării, articolului 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor subiectului de date, articolului 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la subiectul de date și articolului 15 Dreptul de acces al subiectului de date.

  KASPR comercializează o aplicație pentru browserul Chrome care permite clienților plătitori să obțină datele de contact profesionale ale persoanelor ale căror profiluri le vizitează pe rețeaua socială LinkedIn. Pentru a face acest lucru, compania creează o bază de date cu detalii de contact de pe LinkedIn și de pe alte site-uri web. Datele de contact astfel colectate permit, în general, clienților companiei să contacteze persoanele vizate, de exemplu pentru prospectare comercială, recrutare sau verificarea identității. Baza de date a KASPR conține aproximativ 160 de milioane de contacte.

  CNIL, a primit numeroase plângeri de la persoane care au fost contactate de entități care le-au obținut datele de contact prin intermediul aplicației KASPR. 

  În urma investigațiilor, CNIL a constatat mai multe încălcări ale GDPR-ului:

• Nerespectarea obligației de a avea un temei legal (articolul 6 din GDPR);

• Nerespectarea obligației de a defini și de a respecta o perioadă de păstrare a datelor proporțională cu scopul prelucrării (articolul 5-1-e din GDPR);

• Nerespectarea obligației de a asigura transparența și informarea persoanelor vizate (articolele 12 și 14 din GDPR).

În acest context, CNIL a aplicat companiei KASPR o amendă administrativă în valoare de 240 000 de euro și a dispus acesteia să înceteze colectarea datelor persoanelor care au ales să limiteze vizibilitatea datelor lor de contact și să șteargă datele colectate în acest mod; să întrerupă reînnoirea automată a stocării datelor cu caracter personal ale persoanelor vizate; să informeze persoanele ale căror date sunt colectate într-un limbaj accesibil și să răspundă cererilor de acces din partea persoanelor vizate, furnizând toate informațiile disponibile privind sursele de colectare a datelor. 

• Autoritatea de Supraveghere din Hamburg (SA) a aplicat amendă administrativă în valoare de 900 000 de euro unei companii din domeniul serviciilor de colectare a creditelor, pentru încălcarea articolului 5(Principii legate de prelucrarea datelor cu caracter personal) și articolului 6 (Legalitatea prelucrării) din GDPR.

  SA din Hamburg a auditat companii cu o prezență puternică pe piață în domeniul serviciilor de colectare a creditelor, în cadrul unui audit direcționat. Hamburg este o locație lider în Europa în acest sector. Datele prelucrate cu privire la debitorii rău-platnici tind să fie deosebit de sensibile și sunt partajate în mod regulat cu alte părți, cum ar fi agențiile de referință pentru credite și serviciile de investigare a adreselor. Prin urmare, persoanele vizate trebuie să poată avea încredere că datele lor vor fi tratate în mod responsabil. Indiferent de plângerile individuale, a fost examinat modul în care datele debitorilor sunt stocate și prelucrate de furnizorii de servicii respectivi. În acest scop, companiilor le-au fost trimise chestionare detaliate, ale căror răspunsuri au oferit o perspectivă cuprinzătoare asupra stocării datelor. În plus, companiilor li s-a cerut să furnizeze documente precum lista activităților de prelucrare, listele măsurilor de securitate și exemple de scrisori utilizate.

  În cea mai mare parte, SA din Hamburg a fost în măsură să determine un grad ridicat de profesionalism și sensibilitate. În timpul dialogurilor, au fost obținute îmbunătățiri în ceea ce privește stocarea datelor și transparența față de persoanele vizate. Cu toate acestea, în cazul unei companii, echipa de la SA din Hamburg a constatat în timpul inspecției la fața locului că, înregistrările de date au continuat să fie stocate fără un temei legal, chiar dacă termenele de ștergere au expirat de mult, încălcând astfel art. 5.1 litera (a) și 6 alineatul (1) din GDPR. Chiar dacă înregistrările de date prelucrate inițial nu au fost transmise unor părți terțe în această perioadă, unele dintre acestea nu fuseseră încă șterse din baza de date a companiei la cinci ani după expirarea perioadei legale de păstrare.

  În acest context, SA din Hamburg a impus o amendă administrativă în valoare de 900 000 de euro. Decizia este obligatorie din punct de vedere juridic. Compania a recunoscut încălcarea și a acceptat amenda. Aceasta a cooperat în mod profesionist cu Autoritatea de Supraveghere în cadrul urmăririi, motiv pentru care amenda este relativ mică.

• Autoritatea Poloneză pentru Protecția Datelor (SA) a aplicat amendă administrativă în valoare de 330 000 de euro unei companii medicale pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului) și articolului 32 (Securitatea prelucrării) din GDPR.

  Infrastructura IT a companiei American Heart of Poland S.A. a fost atacată de hackeri, care au obținut astfel acces la datele personale detaliate ale aproximativ 21 000 de persoane. Incidentul a vizat o gamă largă de date, și anume: nume, prenume, prenumele părinților, numele de familie al mamei, data nașterii, date privind veniturile sau activele deținute, date privind sănătatea, numărul contului bancar, adresa de reședință sau de ședere, numărul de identificare personală (numărul PESEL), numele de utilizator sau parola, seria și numărul actului de identitate, numărul de telefon și adresa de e-mail. 

  SA Poloneză, în cadrul controlului efectuat, a stabilit că:

• compania nu a pus în aplicare toate măsurile necesare pentru a proteja datele pe care le prelucra și nu a fost în măsură să determine cauza scurgerii;

• compania nu a respectat propriile recomandări privind securitatea datelor, și anume a stocat informațiile privind rezultatele testelor COVID ale clienților pe unități de rețea, în timp ce datele medicale ar trebui stocate pe un sistem dedicat pentru prelucrarea datelor medicale;

• platforma cloud utilizată de companie era prea puțin securizată. Trei servere care funcționau la sediul companiei nu beneficiau de asistență tehnică actualizată din partea producătorului (asistența s-a încheiat în ianuarie 2020), software-ul de pe serverele companiei nu fusese actualizat din cauza unei neglijențe din partea personalului IT, astfel încât a fost creată o vulnerabilitate în sistemul IT care ar fi putut contribui la preluarea dispozitivelor de către hackeri;

• compania nu s-a protejat în mod adecvat împotriva atacurilor de tip „phishing”, care implică faptul că persoana care atacă sistemul se dă drept o altă persoană. Conform concluziilor președintelui Oficiului pentru Protecția Datelor cu Caracter Personal, este foarte probabil ca hackerii să fi pătruns astfel în sistemul informatic.

• Autoritatea Finlandeză pentru Protecția Datelor (SA) a aplicat o amendă administrativă în valoare de 950 000 euro companiei Sambla Group pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

  SA Finlandeză a lansat o investigație pe baza unei plângeri depuse de un client. O investigație tehnică a evidențiat probleme grave de securitate a datelor cu privire la serviciile de comparare a împrumuturilor ale operatorului. Atunci când gravitatea problemelor de securitate a datelor a devenit evidentă, în primăvara anului 2024, companiei i s-a ordonat să înceteze imediat prelucrarea datelor cu caracter personal referitoare la solicitanții de împrumuturi în cadrul serviciilor sale electronice.

  Serviciile de comparare a împrumuturilor ale Sambla Group nu au impus restricții adecvate pentru a împiedica accesul terților la datele din cererile de împrumut, astfel fiind încălcate prevederile art. 32, art. 25 și art. 5(1)(f)) din GDPR. Din cauza măsurilor precare de securitate a datelor, conținutul cererilor de împrumut ale clienților era accesibil terților prin intermediul URL-urilor personale destinate clienților. Oricine avea acces la URL și suficiente cunoștințe tehnice pentru a exploata vulnerabilitatea de securitate avea acces direct la date. Investigația tehnică a arătat că URL-urile fuseseră vizate de phishing și că datele cu caracter personal fuseseră divulgate unor terți. Informațiile disponibile prin intermediul link-urilor includeau cel puțin datele de contact ale solicitantului împrumutului, precum și informații privind venitul, costurile de întreținere a imobilului, starea civilă și numărul eventual de copii. 

  În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 950 000  euro, fiind obligat să notifice incidentul clienților săi. Operatorul a anunțat că a încetat să mai utilizeze URL-urile vulnerabile și că a îmbunătățit măsurile de securitate a datelor din serviciile sale.