Buletin Informativ Nr. 23

I. Activitățile de informare și instruire efectuate de CNPDCP

       În cadrul trimestrului al treilea al anului 2025 (iulie – septembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a continuat să înregistreze progrese semnificative în îndeplinirea obiectivelor sale, axându-se în mod deosebit pe dezvoltarea și implementarea unor activități menite să informeze și să sensibilizeze publicul larg cu privire la importanța domeniului protecției datelor cu caracter personal. În acest context, au fost derulate o serie de inițiative educaționale și campanii de conștientizare care au vizat, pe de o parte, explicarea drepturilor cetățenilor în ceea ce privește gestionarea datelor lor personale, iar pe de altă parte, promovarea unui comportament responsabil în ceea ce privește protecția acestora.

       Prin intermediul acestor acțiuni, CNPDCP a urmărit nu doar sporirea gradului de înțelegere a reglementărilor legale în domeniu, dar și cultivarea unei culturi organizaționale și sociale în care respectarea confidențialității și a securității datelor să devină o practică integrată în viața cotidiană a fiecărui cetățean. Această abordare are scopul de a asigura nu doar conformitatea cu legislația națională și europeană, ci și de a întări încrederea publicului larg în procesul de protecție a datelor cu caracter personal.

       În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 28 ianuarie 2025.

        Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

• 15 iulie – Inspectoratul de poliție Căușeni;
•  05 august –   Inspectoratul de poliție Criuleni;
• 23 septembrie – Inspectoratul de poliție Dubăsari.

       În acest context, au fost instruiți 225 reprezentanți din cadrul subdiviziunilor IGP.

       La fel, s-a continuat organizarea cursurilor de instruire pentru angajații din cadrul subdiviziunilor structurale, specializate și teritoriale ale Inspectoratului General pentru Migrație (IGM), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGM, la data de 27 ianuarie 2025.

       Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

• 17 septembrie –  Subdiviziunile structurale și specializate ale IGM;   
• 19 septembrie – Direcția regională Sud a IGM.

       În acest context, au fost instruiți 31 reprezentanți din cadrul subdiviziunilor IGM.

       În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice/private, la solicitarea acestora.

       Astfel, cursuri de instruire au fost organizate pentru următoarele entități:

•  01 iulie – Moldtelecom;
• 02 iulie – Agenția Națională pentru Reglementare în Energetică;
• 03 iulie – Asociația Băncilor din Moldova;
• 12 iulie – Școala administratorilor de bloc;
• 19 iulie – Școala administratorilor de bloc;
• 02 septembrie – Casa Națională de Asigurări Sociale;
• 08 septembrie – Serviciul Vamal;
• 11 septembrie – Poșta Moldovei.

       În acest context au fost instruiți 325 de reprezentanți ai entităților menționate supra.

       Cursurile de instruire au avut drept scop familiarizarea cu aspectele ce țin de domeniul protecției datelor cu caracter personal, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc.

       Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost  creșterea gradului de conștientizare și educare a copiilor în ceea ce privește: importanța protecției datelor cu caracter personal; identificarea riscurilor din mediul online; adoptarea unui comportament responsabil, sigur și informat în spațiul digital pentru a sprijini copiii să navigheze internetul în mod sigur, etic și informat, reducând vulnerabilitatea lor în fața amenințărilor online. Tematicile abordate în cadrul instruirilor au vizat: ce sunt datele cu caracter personal; cum îți protejezi datele personale online; riscurile și amenințările în mediul online; siguranța pe platformele de comunicare și jocuri online, etc. Cursul de instruire a fost organizat la data de 07 iulie 2025 pentru Clasa Viitorului, fiind instruiți 38 de elevi.

II. Activitatea de control

       În perioada iulie – septembrie 2025, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 116 cazuri. În perioada de referință, au fost emise 97 decizii, dintre care în 44 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 36 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1.      CNPDCP a examinat plângerile mai multor petenți provenind din UTA Găgăuzia prin care au sesizat recepționarea mai multor mesaje în care se menționa despre alocarea unor surse financiare pe numele lor de la bănci din Federația Rusă.

       În cadrul investigației, toți petenții au invocat că, nu au participat la întruniri organizate în perioada 2023–2024 de către partidele politice și nu au transmis nimănui datele cu caracter personal, iar ajutoarele sociale primite de la stat, erau oferite prin intermediul Oficiului poștal, sau prin altă metodă sigură. Astfel, petenții presupun că membrii grupării unui partid politic ar fi efectuat înregistrări pe platformele utilizate de entitățile bancare din Federația Rusă, folosind informații obținute de la Direcția de Sănătate și Asistență Socială din UTA Găgăuzia.

       Pe parcursul controlului s-a determinat că, în contextul operațiunilor deplânse de petenți, aplicațiile/platformele „Centrify”, „Qsms” și „Authentify” sunt produse ale unor companii ce nu au sediul pe teritoriul Republicii Moldova. Totodată, din informația prezentată în spațiul public, inclusiv de organele de drept competente, s-a reținut că datele cu caracter personal au fost colectate și transferate transfrontalier către entități din Federația Rusă, or, anume entitățile din această țară puteau face transferuri în ruble rusești.

       Pornind de la circumstanțele descrise, din materialele acumulate pe cazul dat, nu a fost posibil de a determina concret persoana/persoanele/entitățile care a/au transmis transfrontalier datele cu caracter personal în situațiile deplânse de petenți.

       Totuși, este cert faptul că a avut loc o prelucrare a datelor cu caracter personal manifestată prin transmiterea transfrontalieră a acestora către un stat care nu asigură un nivel adecvat de protecție, în scopuri care pot prejudicia drepturile şi libertăţile fundamentale ale persoanei fizice în ceea ce priveşte protecția datelor cu caracter personal.

       Astfel, in rem, CNPDCP a constatat încălcarea prevederilor art. 32 alin. (5) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, la prelucrarea prin transmiterea transfrontalieră a datelor cu caracter personal ale petenților.

2.        În adresa CNPDCP a parvenit plângerea unui subiect de date cu caracter personal, care a solicitat verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal ce-l vizează, efectuate de către o companie (în continuare – operator de date), prin intermediul Registrului bunurilor imobile, în conformitate cu prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal.

       În aceste circumstanțe, CNPDCP a inițiat verificarea respectării prevederilor art. 4 alin. (1) lit. a) și b) și art. 13 din Legea vizată, la prelucrarea datelor cu caracter personal ale subiectului de date.

       În cadrul examinării materialului acumulat s-a constatat că, operatorul de date a consultat informația cu referire la 3 bunuri imobile ce conțineau date despre proprietarul bunurilor imobile; temeiul înscrierii – denumirea și datele actului prin care a fost dobîndit dreptul de proprietate.

       Prin urmare, prelucrarea datelor urma să fie condiționată de consimțământul  subiectului de date cu caracter personal și, respectiv, de dreptul acestuia de a decide în mod liber și neechivoc dacă sau când datele cu caracter personal ce-l vizează pot fi prelucrate de către operatorul de date cu respectarea prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal.

       Mai mult decât atât, CNPDCP nu a reținut ca fondat argumentul invocat de către operatorul de date precum că, ar fi consultat partea publică a Registrului bunurilor imobile, or, partea publică a Registrului nu oferă informații despre dreptul de proprietate asupra bunului imobil și modul de dobândire a acestuia.

Astfel, în cadrul investigațiilor, CNPDCP a constatat că operatorul de date a prelucrat datele cu caracter personal ale subiectului de date nerespectând cerințele prevăzute de art. 4 alin. (1) lit. a) și b) din Legea nr.133/2011.

            Subsecvent, operatorul de date nu a soluționat cerererea subiectului de date privind realizarea dreptului de acces, neoferindu-i un răspuns întemeiat/punctat prin care și-ar fi justificat operațiunile de prelucrare a datelor cu caracter personal realizate de către ultimul, fiind constatată inclusiv încălcarea art. 13 din Legea 133/2011. La caz CNPDCP a inițiat procedura contravențională.

3.      CNPDCP s-a autosesizat în urma recepționării unei cereri parvenite din partea unui consilier raional, examinând astfel speța prin prisma competențelor legale, și anume, investigând un pretins fapt de prelucrare ilegală a categoriei speciale de date cu caracter personal ale unor subiecți de date, produs din cauza acțiunilor/inacțiunilor necorespunzătoare ale Președintelui Raionului.

            În urma acumulării probatoriului, s-a stabilit că, Președintele raionului a emis și semnat un răspuns, adresat consilierilor raionali în legătură cu comportamentul personalului medical din unele puncte medicale din raion.

            Pentru justificarea răspunsului, Președintele raionului a anexat extrase din fișele medicale ale unor pacienți, conținând: nume și prenume, data nașterii, IDNP, adresa de domiciliu și informații privind starea de sănătate.

            În cadrul controlului demarat de Autoritatea de control, Președintele raionului a transmis două declarații de consimțământ semnate de unii pacienți, considerând că deține temei legal pentru prelucrarea datelor.

            Totuși, analiza CNPDCP a relevat că, consimțămintele au fost obținute doar de la doi subiecți de date, în timp ce documentele anexate conțineau datele mai multor persoane. Totodată, formulările din consimțăminte erau generale și neclare, neîndeplinind condițiile unui consimțământ valabil (liber, specific, informat, neechivoc).

            Mai mult, CNPDCP a relevat că, transmiterea către consilieri a fișelor medicale nu era necesară și proporțională scopului urmărit, întrucât verificarea și ulterior justificarea programului de muncă al personalului medical în răspunsul adresat consilierilor ar fi putut fi realizată prin mijloace administrative non-intruzive.

            Ca urmare a celor constatate, CNPDCP a invocat următoarele dispoziții relevante din Legea nr. 133/2011 privind protecția datelor cu caracter personal: art. 4 alin. (1) lit. a), c), e) – prelucrarea trebuie să fie corectă, pertinentă, neexcesivă și limitată scopului; art. 6 alin. (1) – interzice prelucrarea categoriilor speciale de date, inclusiv cele privind starea de sănătate, cu excepțiile expres prevăzute de lege; art. 29 alin. (1) – impune obligația de a asigura confidențialitatea datelor și de a preveni divulgarea neautorizată.

            Așadar, concluzionând cele menționate, CNPDCP a constatat că Președintele raionului, nu a respectat principiile legalității, proporționalității și confidențialității în procesul de prelucrare a datelor pacienților.

            Prin transmiterea către consilieri a fișelor medicale conținând date sensibile, fără consimțământul persoanelor vizate și fără un temei legal valabil, s-a produs o divulgare neautorizată de date cu caracter personal, fapt ce constituie o încălcare a principiilor de protecție a datelor cu caracter personal. La caz CNPDCP a inițiat procedura contravențională.

4.      CNPDCP a examinat plângerea unui subiect de date cu caracter personal, prin care a reclamat acțiunile de prelucrare a datelor cu caracter personal ce îi aparțin, de către o companie.

       Astfel, în cadrul investigației s-a constatat că, subiectul de date, într-o perioadă de timp, a avut încheiat contract cu compania în cauză, însă, operațiunile de prelucrare a datelor cu caracter personal efectuate de către operator (persoană juridică) au fost efectuate în mod automatizat, în lipsa consimțământului subiectului de date după expirarea contractului încheiat între aceștia.

       Reieșind din materialele prezentate de către operator, s-a constatat faptul că subiectul de date nu a dat acordul/consimțământul său la prelucrarea de către compania în cauză a datelor sale cu caracter personal, ulterior încheierii/închiderii contractului, iar un alt temei legal de prelucrarea datelor cu caracter personal, la caz, nu a fost identificat.

            Așadar, prin acțiunile descrise, operatorul de date a încălcat prevederile art. 4 alin. (1) lit. a), e) și art. 5 alin. (1) ale Legii nr.133/2011. La caz CNPDCP a inițiat procedura contravențională.

IV. Activitatea de prevenire

       În perioada de referință, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 70 de consultații telefonic, prin intermediul poștei electronice sau la sediul autorității.

V. Știri internaționale și europene

– În perioada 02-03 iulie 2025, reprezentanții CNPDCP, au participat la cea de-a 75-a ședință a Grupului Internațional de Lucru privind Protecția Datelor în Tehnologie (cunoscut sub denumirea de „Berlin Group”), care a avut loc în orașul Tbilisi, Georgia.

       Scopul evenimentului a fost de a reuni experți internaționali în domeniul protecției datelor pentru a discuta și analiza impactul noilor tehnologii asupra vieții private și securității datelor cu caracter personal. În cadrul reuniunii, participanții au făcut schimb de bune practici, au prezentat inovații naționale și au abordat provocări emergente precum neurodata, tehnologia 6G și identitatea digitală, în vederea dezvoltării unor recomandări comune care să sprijine îmbunătățirea standardelor de protecție a datelor la nivel internațional

       Pe parcursul celor două zile de lucru, au fost abordate subiecte de importanță, cum ar fi:

•  Neurodata și implicațiile asupra vieții private;
• Evoluția tehnologiei 6G și provocările aferente în domeniul protecției datelor;
• Identitatea digitală;
• Servicii digitale guvernamentale și protecția datelor în cadrul acestora (ex. MY.GOV.GE – portalul unificat de servicii electronice din Georgia);
• Prezentări naționale privind inovații și bune practici în domeniul protecției datelor.

       Evenimentul a reprezentat un cadru valoros pentru schimbul de experiență internațional, întărirea cooperării între autoritățile de supraveghere și identificarea unor direcții comune de acțiune în fața noilor provocări tehnologice, reunind reprezentanți din 14 țări, precum și delegați ai European Data Protection Supervisor (EDPS) și ai Electronic Privacy Information Center (EPIC).

-La 11 septembrie curent, reprezentanții CNPDCP au participat la ședința plenară  Comitetul European pentru Protecția Datelor (EDPB) care a avut loc online. În cadrul reuniunii plenare, EDPB a adoptat ghidul referitor la interacțiunea dintre Legea Serviciilor Digitale (DSA) și Regulamentul General privind Protecția Datelor (GDPR). Acest ghid este primul de acest tip și are scopul de a asigura o aplicare consistentă a ambelor reglementări, având în vedere că unele dispoziții din DSA implică prelucrarea datelor cu caracter personal. În esență, DSA completează GDPR, garantând protecția drepturilor fundamentale ale utilizatorilor în mediul digital și reglementând servicii online, cum ar fi motoarele de căutare și platformele digitale.

       Ghidul detaliază modul în care GDPR trebuie aplicat în cadrul obligațiilor DSA, în domenii precum raportarea conținutului ilegal, recomandările automatizate de conținut, protecția minorilor și transparența publicității. De asemenea, acestea sprijină cooperarea între autoritățile de reglementare pentru a oferi certitudine juridică furnizorilor de servicii online și pentru a proteja drepturile utilizatorilor. Ghidul va fi supus unei consultări publice, oferind părților interesate oportunitatea de a oferi feedback.

VI. Alte autorități pentru protecția datelor

-La data de 23 iunie 2025, Autoritatea Poloneză pentru Protecția Datelor Personale a emis o decizie finală prin care a aplicat amenzi administrative în valoare de 4.022.773 euro pentru McDonald’s Polska și 43.680 euro pentru 24/7 Communication pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit), articolului 28 (Persoana împuternicită de operator), articolului 32 (Securitatea prelucrării), articolului 34 (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal) și articolului 38 (Funcția responsabilului cu protecția datelor) din GDPR.

       Compania McDonald’s Polska sp. z o.o. (McDonald’s) a notificat o încălcare a securității datelor, în calitate de operator, constatând că următoarele date ale angajaților săi și ale francizaților săi erau incluse în fișierul partajat din catalogul public: nume, numere de identificare personală (numere PESEL), numere de pașaport (dacă numărul PESEL nu este disponibil), numărul restaurantului McDonald’s, data și ora începerii activității, data și ora încheierii activității, numărul de ore lucrate, concedii, tipul de activitate, etc.

       În urma investigației s-a constatat că nici operatorul (McDonald’s Polska), nici persoana împuternicită de operator (24/7 Communication) nu au efectuat o analiză a riscurilor și nu au implementat măsuri tehnice și organizatorice suficiente pentru protecția datelor cu caracter personal. În plus, nu a fost implicat corespunzător responsabilul cu protecția datelor, iar obligațiile de audit și monitorizare a partenerilor nu au fost respectate.

       SA Poloneză a subliniat că responsabilitatea pentru protecția datelor revine atât companiilor care colectează și gestionează date cu caracter personal, cât și partenerilor lor contractuali. Măsurile de securitate trebuie verificate și actualizate constant, nu doar la începutul prelucrării datelor.

       În acest context, SA Poloneză a impus o amendă administrativă în valoare de 4.022.773 euro companiei McDonald’s Polska și 43.680 euro companiei 24/7 Communication.

-Parlamentul Italiei a adoptat o nouă lege privind inteligența artificială (IA), devenind astfel prima țară din Uniunea Europeană cu reglementări cuprinzătoare în domeniul IA, aliniate la legislația UE. Scopul legii este de a promova „utilizarea IA centrată pe om, transparentă și sigură”, punând accent pe „inovație, securitate cibernetică și protecția vieții private”.

Noua legislație prevede:

• Pedepse cu închisoarea (1–5 ani) pentru răspândirea ilegală de conținut generat de IA (precum deepfake-uri) atunci când acestea provoacă daune; sancțiuni mai aspre dacă tehnologia este folosită pentru fraude sau furt de identitate.
• Protecția minorilor: copiii sub 14 ani vor putea folosi aplicații de IA doar cu acordul părinților.
• Reguli stricte de transparență și supraveghere umană pentru utilizarea IA care vor reglementa modul în care tehnologia este utilizată la locul de muncă și în sectoare precum sănătatea, educația, justiția și sportul.
• Drepturi de autor: operele create cu ajutorul IA sunt protejate doar dacă există o contribuție intelectuală reală; analiza automată a textelor și datelor va fi permisă doar pentru conținut liber sau pentru cercetare științifică efectuată de instituții autorizate.
• Sprijin financiar: guvernul alocă până la 1 miliard de euro (870 de milioane de lire sterline) dintr-un fond susținut de stat pentru investiții de capital în întreprinderi mici și mijlocii, precum și în companii mari active în domeniile inteligenței artificiale, securității cibernetice, tehnologiilor cuantice și telecomunicațiilor.

       Guvernul a desemnat Agenția pentru Italia Digitală și Agenția Națională de Securitate Cibernetică să aplice legislația, care a primit aprobarea finală în parlament după un an de dezbateri.