(022) 820 801 centru@datepersonale.md
DP header logo
ico contacts phone (022) 820 801
ico contacts mail centru@datepersonale.md
DP Logo
img mobile menu img close mobile menu
ROENРу
ico search toggle
datepersonale.md
/
Buletin Informativ
/
Buletin Informativ Nr. 24

Buletin Informativ Nr. 24

img 212 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

        În cadrul ultimului trimestru al anului 2025 (octombrie – decembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a continuat să înregistreze evoluții importante în realizarea obiectivelor sale, punând un accent deosebit pe planificarea și desfășurarea unor activități orientate spre informarea și conștientizarea publicului cu privire la importanța protecției datelor cu caracter personal. În acest sens, au fost implementate diverse inițiative cu caracter educațional și campanii de informare, menite atât să clarifice drepturile cetățenilor în ceea ce privește prelucrarea datelor cu caracter personal, cât și să încurajeze adoptarea unui comportament responsabil în protejarea acestora.

Prin intermediul acestor acțiuni, CNPDCP a urmărit nu doar creșterea nivelului de cunoaștere a cadrului normativ aplicabil, ci și promovarea unei culturi organizaționale și sociale bazate pe respectarea confidențialității și securității datelor. Această abordare vizează atât asigurarea conformității cu legislația națională și europeană, cât și consolidarea încrederii cetățenilor în mecanismele de protecție a datelor cu caracter personal.

 

       În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 28 ianuarie 2025.       

       Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

  •  21 octombrie – Inspectoratul de poliție Florești; 
  • 04 noiembrie – Inspectoratul de poliție Leova;
  • 18 noiembrie – Inspectoratul de poliție Nisporeni;
  • 03 decembrie  – Inspectoratul de poliție Ocnița.

       În acest context, au fost instruiți 212 reprezentanți din cadrul subdiviziunilor IGP.

 

       Totodată, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției de Frontieră (IGPF), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGPF, la data de 28 ianuarie 2025. Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

  • 01 octombrie – Inspectoratul General al Poliției de Frontieră, Direcția regională Vest;
  • 15 octombrie – Sectorul Poliției de Frontieră “Aeroportul Internațional Chișinău”;
  • 17 decembrie – Inspectoratului General al Poliției de Frontieră.

       În acest context, au fost instruiți 213 reprezentanți din cadrul subdiviziunilor IGPF.

 

       La fel, s-a continuat organizarea cursurilor de instruire pentru angajații din cadrul subdiviziunilor structurale, specializate și teritoriale ale Inspectoratului General pentru Migrație (IGM), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGM, la data de 27 ianuarie 2025.

       Astfel, la data de 21 noiembrie a fost organizat cursul de instruire pentru  Direcția regională Centru a IGM, fiind instruiți 16 reprezentanți.

       Totodată, în perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice/private, la solicitarea acestora.

       Astfel, cursuri de instruire au fost organizate pentru următoarele entități:

  • 01 octombrie – Asociația Investitorilor din România;
  • 03 octombrie – Agenția Digitalizare în Justiție și Administrare Judecătorească;
  • 06 octombrie – Consiliul pentru refugiați Dondușeni;
  • 13 octombrie – Serviciul Vamal;
  • 17 octombrie – Centrul Național pentru Energie Durabilă;
  • 22 octombrie – Academia Militară a Forțelor Armate „Alexandru cel Bun”;
  • 31 octombrie – Ministerul Finanțelor;
  • 06 noiembrie – Consiliul Superior al Magistraturii;
  • 25 noiembrie – Parlamentul RM;
  • 10 decembrie – Inspectoratul Social de Stat;
  • 11 decembrie – Ministerul Infrastructurii și Dezvoltării Regionale;
  • 12 decembrie – Ministerul Culturii.

       În acest context au fost instruiți 633 de reprezentanți ai entităților menționate supra.

 

       Cursurile de instruire au avut drept scop familiarizarea cu aspectele ce țin de domeniul protecției datelor cu caracter personal, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc.

       Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost  creșterea gradului de conștientizare și educare a copiilor în ceea ce privește: importanța protecției datelor cu caracter personal; identificarea riscurilor din mediul online; adoptarea unui comportament responsabil, sigur și informat în spațiul digital pentru a sprijini copiii să navigheze internetul în mod sigur, etic și informat, reducând vulnerabilitatea lor în fața amenințărilor online. Tematicile abordate în cadrul instruirilor au vizat: ce sunt datele cu caracter personal; cum îți protejezi datele personale online; riscurile și amenințările în mediul online; siguranța pe platformele de comunicare și jocuri online, etc.

       Astfel, au fost organizate mai multe cursuri de instruire:

  •        13 octombrie – IPLT „Tudor Vladimirescu”, Chișinău;
  •        05 noiembrie – IPLT „Universul”, Chișinău;
  •        14 noiembrie – ILPT „Ștefan cel Mare” , Chișinău;
  •        03 decembrie – Școala de Artă, Ialoveni.

       Evenimentele au avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a IV-a. În acest context, au fost instruiți 163 de elevi.

 

II. Activitatea de control

 

       În perioada iulie – septembrie 2025, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 55 cazuri. În perioada de referință, au fost emise 106 decizii, dintre care în 41 de cazuri s-a constatat încălcarea prevederilor legale. În aceeași perioadă au fost încheiate 46 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

 

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

 

       1. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce viza pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, manifestate prin dezvăluirea pe rețeaua de socializarea Facebook a copiei de pe sesizarea petentului adresată către o autoritate publică, care integra datele cu caracter personal ale subiectului de date, și anume: nume, prenume, adresa de domiciliu și număr de contact.

       Publicarea online a unor astfel de date constituie o formă de prelucrare a datelor personale, în sensul art. 3 alin. (1) din Legea nr. 133/2011.

       Rețeaua de socializare Facebook, prin natura sa, nu oferă un control efectiv asupra accesului la datele publicate, ceea ce determină un risc major de accesare, copiere, distribuire și reutilizare a informațiilor de către terți. Astfel, fapta operatorului a fost susceptibilă de a expune persoana vizată la atingeri aduse vieții private, demnității și securității personale, ceea ce contravine principiului garantat de art. 8 din Carta drepturilor fundamentale a Uniunii Europene și art. 4 alin. (1) lit. e) din Legea nr. 133/2011.

       Deși operatorul a omis să ofere informații care ar justifica scopul publicării informațiilor conținute în sesizare, se notează că, chiar și în cazul unei eventuale dorințe de a-și manifesta dreptul la libertatea de exprimare, dreptul la protecția datelor cu caracter personal trebuie reconciliat cu dreptul la libertatea de exprimare și informare, iar operatorul urmează să se  asigure că prelucrarea este proporțională, neexcesivă, necesară și justificată din motive semnificative de interes public.

       Datele care nu sunt relevante pentru scopul atins nu ar trebui publicate. Chiar și în cazul în care informațiile au fost obținute și păstrate în mod corect, trebuie analizat separat ce informație este corect a fi publicată. Ar trebui să se stabilească cât de multe date personale este necesar să fie publicate pentru a relata în mod corespunzător o istorie, echilibrat față de nivelul de intruziune în viața privată a subiecților de date și potențialul prejudiciu pe care acest lucru îl poate provoca. Operatorul ar trebuie să depersonalizeze datele cu caracter personal înainte de publicare, în situațiile în care divulgarea acestora nu este necesară pentru prezentarea completă a faptelor relatate.

       Astfel, CNPDCP a determinat, la caz, încălcarea prevederilor art. 4 alin. (1) lit. a), c) și art. 5 alin. (1)  din Legea nr. 133/2011 privind protecția datelor cu caracter personal și la caz a inițiat procedura contravențională.

 

       2. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce viza pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, efectuate de către persoana responsabilă din cadrul unui Consiliu comunal, manifestate prin publicarea unei Decizii cu privire la desemnarea candidaturilor membrilor pentru constituirea organelor electorale, cu anexa ce conține informații confidențiale ale membrilor organelor electorale (nume, prenume, IDNP, anul nașterii, date de contact), în Registrul de Stat al Actelor Locale (RSAL) și pe pagina web a autorității publice locale.

       Astfel, prin Decizia CNPDCP s-a constatat că, prelucrarea datelor cu caracter personal ce vizează subiectul de date a fost efectuată cu încălcarea prevederilor art. 4 alin. (1) lit. a), b) și c), art. 5 și art. 29 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal, accentuând că, actele administrative care conțin asemenea date cu caracter personal nu pot fi publicate/vizualizate public în forma lor inițială/integrală, accesul la acestea în RSAL fiind restricționat, iar vizualizarea actelor în format integral este posibilă doar pentru angajații autorizați în modul stabilit de Hotărîrea Guvernului nr. 672/2017 pentru aprobarea regulamentelor cu privire la Registrul de stat al actelor locale. În context, spectrul de informații ce vizează subiectul ale căror date cu caracter personal au fost prelucrate, nu corespunde principiilor proporționalității, caracterului adecvat, pertinent și neexcesiv în ceea ce privește prelucrarea de date.

 

       3. În adresa CNPDCP a parvenit plângerea unui subiect de date cu caracter personal referitor la pretinsa prelucrare ilegală a datelor cu caracter personal ce-l vizează efectuată de către un agent constatator al unei subdiviziuni specializate din cadrul unei autorități publice, care, fără un temei legal, a accesat/prelucrat și extras datele cu caracter personal după adoptarea soluției pe marginea unui proces contravențional și încheierea procesului-verbal cu privire la contravenție, cu expedierea ulterioară a informației către instanța de judecată.

       În aceste circumstanțe, CNPDCP a inițiat verificarea respectării prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal, la prelucrarea datelor cu caracter personal ale subiectului de date.

       Din materialele acumulate în cadrul procedurii de control, s-a stabilit că, operațiunea de prelucrare a datelor cu caracter personal ale subiectului de date, manifestată prin consultarea și extragerea informației dintr-un Sistem informațional automatizat de evidență de către agentul constatator, a avut drept scop pregătirea și remiterea dosarului contravențional în instanța de judecată, urmare a contestației împotriva procesului-verbal cu privire la contravenție depusă de către subiectul de date cu caracter personal.

       În aceste condiții, s-a constatat lipsa încălcării prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal de către  agentul constatator, or, anexarea și remiterea de către acesta, a unor probe/documente ce conțin datele cu caracter personal ale subiectului de date către instanța de judecată care examinează contestația depusă de către subiectul de date împotriva procesului-verbal cu privire la contravenție, nu poate fi calificată drept prelucrare neconformă, atât timp cât instanţa de judecată căreia i se comunică date cu caracter personal le utilizează în cadrul exercitării competenţelor stabilite de lege.

 

IV. Activitatea de prevenire

 

       În perioada de referință, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 90 de consultații telefonic, prin intermediul poștei electronice sau la sediul autorității.

 

V. Știri internaționale și europene

 

  • Conducerea CNPDCP a participat la cea de-a 109-a Sesiune Plenară a Comitetului European pentru Protecția Datelor (EDPB), care s-a desfășurat în perioada 7-8 octombrie 2025 la Bruxelles, Belgia.

       În cadrul ședinței, EDPB și Comisia Europeană au aprobat primele lor orientări comune referitoare la interacțiunea dintre Legea privind piețele digitale (DMA) și Regulamentul general privind protecția datelor (GDPR). Aceste orientări au fost elaborate pentru a facilita aplicarea coerentă a ambelor acte normative și pentru a consolida certitudinea juridică pentru autorități, companii, utilizatori și persoane fizice.

       În conformitate cu Strategia EDPB 2024-2027 și cu obiectivele Declarației de la Helsinki, Comitetul a cooperat cu Comisia Europeană, fiecare în cadrul competențelor sale, pentru a sprijini implementarea coerentă a DMA și GDPR. Deși DMA și GDPR urmăresc scopuri diferite – GDPR protejează drepturile și confidențialitatea persoanelor fizice, iar DMA promovează corectitudinea și responsabilitatea pe piețele digitale – obiectivele lor se completează, abordând provocări interconectate în mediul digital.

       Mai multe prevederi ale DMA implică prelucrarea datelor cu caracter personal de către persoanele responsabile cu controlul datelor, iar anumite articole fac referire explicită la definiții și concepte prevăzute în GDPR.

       Pe baza acestor prime orientări comune, lucrările continuă pentru a clarifica cadrul interreglementar și pentru a asigura garanții coerente și consecvente în domeniul protecției datelor. În acest sens, EDPB colaborează cu Comisia Europeană, inclusiv cu Oficiul pentru Inteligență Artificială, pentru a dezvolta orientări comune privind interacțiunea dintre Legea privind IA și legislația UE privind protecția datelor.

 

  • În perioada 3-5 noiembrie curent, reprezentanții CNPDCP au participat la cea de-a 49-a ședință plenară a Comitetului Consultativ al Convenției  pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal (Convenția 108), care a avut loc la Strasbourg, Franța.

        În cadrul Ședinței au fost discutate subiecte de importanță, printre care:

  •  Convenția 108+, ratificările și aderările actuale;
  •  Fluxurile transfrontaliere de date cu caracter personal;
  •   Protecția datelor în contextul modelelor lingvistice mari (LLMs);
  • Cooperarea cu alte organisme și entități ale Consiliului Europei;
  • Evoluții și activități majore în domeniul protecției datelor, etc.
           

       Totodată, după o analiză detaliată, Comitetul a adoptat Programul de lucru pentru perioada 2026–2029, care va fi implementat începând cu ianuarie 2026. Documentul trasează direcțiile strategice privind: consolidarea cadrului juridic al Convenției 108+; abordarea riscurilor emergente din domeniul IA și tehnologiilor neurodigitale; dezvoltarea instrumentelor de cooperare internațională și asistență tehnică pentru statele membre și partenere. De asemenea, a fost prezentat stadiul elaborării Ghidului privind protecția datelor în contextul cercetărilor neuroștiințifice, statele membre fiind invitate să transmită comentarii până la 21 noiembrie 2025, iar documentul va fi analizat în detaliu la următoarea sesiune plenară.

       Reuniunea plenară a demonstrat caracterul dinamic și evolutiv al cadrului normativ european privind protecția datelor. Comitetul Consultativ al Convenției 108 continuă să joace un rol esențial în orientarea politicilor publice, în definirea principiilor etice ale digitalizării și în promovarea unei guvernanțe responsabile a datelor la nivel global. Participarea la această sesiune a constituit o ocazie valoroasă de schimb de expertiză și consolidare a cooperării internaționale, reafirmând angajamentul statului nostru pentru protejarea drepturilor fundamentale în era digitală.  

  • În perioada 1-5 decembrie, reprezentanții CNPDCP au participat la cea de-a treia ediție a Săptămânii Protecției Datelor, care a avut loc la Bruxelles, Belgia, eveniment găzduit de Comisia Europeană și EDPB.

            Cea de-a treia ediție a Săptămânii Protecției Datelor a reunit autoritățile de supraveghere din statele Parteneriatului Estic și din Balcanii de Vest, având drept obiectiv consolidarea capacităților instituționale și facilitarea alinierii continue la standardele europene în domeniul protecției datelor.

       În cadrul evenimentului au fost abordate  subiecte de importanță, cum ar fi: fluxuri internaționale de date și guvernanța globală a acestora, fiind analizate evoluțiile recente privind cadrul european pentru transferurile internaționale, mecanismele de conformitate și cooperare cu partenerii externi, precum și tendințele strategice ce definesc rolul tot mai influent al Uniunii Europene în arhitectura globală a guvernanței datelor; procese de luare a deciziilor algoritmice, experții au ilustrat riscurile asociate utilizării sistemelor automatizate, abordând principii esențiale precum transparența, acuratețea și evitarea discriminării; activități de supraveghere ale EDPB în domeniul inteligenței artificiale, fiind evidențiate rolurile și responsabilitățile EDPS și EDPB în supravegherea sistemelor AI și fiind descrise mecanismele de coordonare între autoritățile naționale și instituțiile europene în vederea aplicării coerente a standardelor de reglementare; monitorizarea tehnologiilor emergente, experții EDPS prezentând instrumentele și activitățile utilizate pentru evaluarea impactului soluțiilor digitale inovatoare; protecția datelor în contextul inteligenței artificiale, în care au fost analizate noile responsabilități ale EDPS în supravegherea sistemelor AI conform EU AI Act. Totodată, au fost desfășurate activități dedicate schimbului de experiență între autoritățile de protecție a datelor din Balcanii de Vest și cele din Parteneriatul Estic, facilitate de experții GIZ și SIGMA, discuțiile vizând consolidarea capacităților instituționale, provocările operaționale întâlnite în activitatea de supraveghere, precum și identificarea unor mecanisme eficiente de cooperare între regiuni.

       Participarea reprezentanților CNPDCP la cea de-a treia Săptămână a Protecției Datelor a demonstrat importanța implicării active a Republicii Moldova în inițiativele regionale și europene în domeniul protecției datelor, contribuind la alinierea continuă a cadrului național la standardele Uniunii Europene și la întărirea rolului instituțional al CNPDCP în procesul de tranziție europeană.

       Evenimentul, organizat în cadrul Proiectului “Reforma Administrației Publice în Țările Parteneriatului Estic”, faza III, implementat de către GIZ și mandatat de Ministerul Federal pentru Cooperare și Dezvoltare Economică, a reunit reprezentanți ai Autorităților de Protecție a Datelor din Armenia, Moldova, Ucraina, Albania, Bosnia și Herțegovina, Kosovo, Muntenegru, Macedonia de Nord și Serbia.

 

VI. Alte autorități pentru protecția datelor

  • Autoritatea Italiană pentru Protecția Datelor (SA) a aplicat amenzi în valoare de 3 milioane euro pentru compania Acea Energia spa și de 850 00 euro agențiilor implicate pentru încălcarea art. 5 alin. (1), art. 6, art. 7, art. 13, art. 24, art. 25, art. 28, art. 29, art. 32 din GDPR și art. 130 din Codul italian privind protecția datelor.

       SA Italiană a efectuat investigații, alături de Guardia di Finanza, în urma unei plângeri privind activitatea ilegală a unor centre de apel neautorizate. Acestea contactau persoane pentru oferte referitor la furnizorul de energie sau telefonie, folosind baze de date obținute fără consimțământ și fără a fi înregistrate în Registrul Operatorilor de Comunicații (ROC).

       Investigațiile au arătat că datele cu caracter personal ale clienților care își schimbaseră recent furnizorul de energie erau utilizate pentru a-i convinge, prin metode înșelătoare, să semneze noi contracte. Datele proveneau din rețeaua de companii partenere, fără informarea persoanelor vizate.

       Deși reprezentanți ai companiei energetice erau în contact cu agențiile de telemarketing, aceasta a revocat colaborarea și a aplicat măsuri de corecție odată ce a aflat neregulile.

       În acest context, SA Italiană a aplicat amenzi în valoare de 3 milioane euro companiei Acea Energia spa și de 850 00 euro agențiilor implicate. Compania trebuie să notifice persoanele afectate și să verifice legalitatea subcontractanților, iar agențiile nu mai pot folosi liste de contacte nejustificate legal.

 

  • Amenda administrativă în valoare de 4.022.773 euro pentru McDonald’s Polska și 43.680 euro pentru 24/7 Communication aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit), articolului 28 (Persoana împuternicită de operator), articolului 32 (Securitatea prelucrării), articolului 34 (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal) și articolului 38 (Funcția responsabilului cu protecția datelor) din GDPR.

       Compania McDonald’s Polska sp. z o.o. (McDonald’s) a notificat o încălcare a securității datelor, în calitate de operator, constatând că următoarele date ale angajaților săi și ale francizaților săi erau incluse în fișierul partajat din catalogul public: nume, numere de identificare personală (numere PESEL), numere de pașaport (dacă numărul PESEL nu este disponibil), numărul restaurantului McDonald’s, data și ora începerii activității, data și ora încheierii activității, numărul de ore lucrate, concedii, tipul de activitate, etc.

       În urma investigației s-a constatat că nici operatorul (McDonald’s Polska), nici persoana împuternicită de operator (24/7 Communication) nu au efectuat o analiză a riscurilor și nu au implementat măsuri tehnice și organizatorice suficiente pentru protecția datelor cu caracter personal. În plus, nu a fost implicat corespunzător responsabilul cu protecția datelor, iar obligațiile de audit și monitorizare a partenerilor nu au fost respectate.

       SA Poloneză a subliniat că responsabilitatea pentru protecția datelor revine atât companiilor care colectează și gestionează date cu caracter personal, cât și partenerilor lor contractuali. Măsurile de securitate trebuie verificate și actualizate constant, nu doar la începutul prelucrării datelor.

       În acest context, SA Poloneză a impus o amendă administrativă în valoare de 4.022.773 euro companiei McDonald’s Polska și 43.680 euro companiei 24/7 Communication.

  • Amenda administrativă în valoare de 1,8 milioane euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor (SA) companiei S-Bank pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

       În urma notificării transmise de S-Bank în august 2022, SA Finlandeză a inițiat o investigație privind o breșă de securitate care a afectat un număr semnificativ de clienți ai băncii. Vulnerabilitatea a apărut în aprilie 2022, odată cu lansarea unui nou mecanism de autentificare. Din cauza unei erori software în serviciul de autentificare, logarea în banca online și accesul la serviciile digitale utilizând autentificarea puternică au fost posibile folosind datele de conectare ale altor clienți. Această defecțiune tehnică a rămas exploatabilă timp de mai mult de trei luni, iar o parte dintre clienți au fost afectați în mod direct.

       Urmare a investigației s-a constatat lipsa unor măsuri adecvate de securitate și a unor controale tehnice și organizatorice corespunzătoare din partea băncii. Printre deficiențe se numără: testarea insuficientă a noilor funcționalități înainte de implementare; neidentificarea vulnerabilității în etapa de dezvoltare și testare și reacția inadecvată la semnalările clienților privind anomalii la autentificare.

       În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 1,8 milioane euro pentru  încălcarea prevederilor articolelor 5(1)(f), 25(1), 32(1) și 32(2) din GDPR și a emis o mustrare pentru nerespectarea legislației privind protecția datelor.

       La stabilirea cuantumului amenzii, SA Finlandeză a ținut cont de necesitatea protejării drepturilor persoanelor vizate, de gravitatea generală a incidentului, precum și de faptul că banca fusese anterior avertizată în legătură cu obligațiile sale. De asemenea, amenda a fost ajustată în contextul unei sancțiuni separate emise în mai 2025 de către Autoritatea de Supraveghere Financiară din Finlanda, care a impus companiei S-Bank o amendă de 7 670 000 de euro pentru deficiențe în gestionarea riscurilor operaționale în legătură cu același set de evenimente.

img
Reprezentanții Direcției Regionale Nord a Inspectoratului General al Poliției de Frontieră instruiți în domeniul protecției datelor cu caracter personal

       La data de 12 martie 2026, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat un curs de instruire în domeniul protecției datelor cu caracter personal destinat reprezentanților Direcției Regionale Nord a Inspectoratului General al Poliției de Frontieră (IGPF). Activitatea s-a desfășurat la sediul acestora din municipiul Edineț.     […]

img 35 Views
img
Mesaj de felicitare din partea echipei CNPDCP, cu prilejul Zilei Internaționale a Femeii – 8 Martie

Anual, la data de 8 Martie, marcăm Ziua Internațională a Femeii – un prilej de a celebra curajul, devotamentul, sensibilitatea și forța care definesc femeile în toate rolurile pe care le îndeplinesc. Cu această ocazie, echipa Centrului Național pentru Protecția Datelor cu Caracter Personal vă adresează cele mai alese gânduri și sincere felicitări. Vă mulțumim […]

img 88 Views
img Galerie Video
img Materiale informative