Buletin Informativ Nr. 25

I. Activitățile de informare și instruire efectuate de CNPDCP 

       În primul trimestru al anului 2026 (ianuarie-martie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a continuat să înregistreze evoluții semnificative în ceea ce privește activitățile de informare și conștientizare a publicului larg în domeniul protecției datelor cu caracter personal. Prin intermediul diverselor inițiative desfășurate, instituția a urmărit consolidarea nivelului de înțelegere a importanței respectării dreptului la viață privată și a regulilor aplicabile prelucrării datelor cu caracter personal. Aceste acțiuni au contribuit la sporirea gradului de responsabilizare atât a persoanelor fizice, cât și a operatorilor de date, în vederea asigurării conformității prelucrării și protecției informațiilor ce conțin date cu caracter personal.

       În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 28 ianuarie 2026. 

       Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

• 13 februarie – Centrul tehnico-criminalistic și expertize judiciare;
• 17 februarie – Direcția investigații Nord a Inspectoratului național de investigații;
• 20 februarie – Direcția investigații Sud a Inspectoratului național de Investigații; 
• 27 februarie – Inspectoratul de poliție Călărași.

       În acest context, au fost instruiți 166 de reprezentanți din cadrul subdiviziunilor IGP.

       Totodată, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției de Frontieră (IGPF), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGPF, la data de 28 ianuarie 2026.  

       Astfel, la data de 12 februarie au fost instruiți 45 de reprezentanți ai Direcției Regionale Est a IGPF.

       În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând o serie de cursuri de instruire pentru reprezentanții instituțiilor publice/private, la solicitarea acestora. 

       Astfel, cursuri de instruire au fost organizate pentru următoarele instituții:

• 19 februarie – Serviciul Tehnologii Informaţionale al MAI; 
• 23 și 24 februarie – Serviciul Vamal;
• 26 februarie – Instituția Publică Cadastrul Bunurilor Imobile.

       În acest context au fost instruiți 372 de reprezentanți ai instituțiilor menționate supra.

       Cursurile de instruire au avut drept scop familiarizarea participanților cu aspectele ce țin de domeniul protecției datelor cu caracter personal, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc. 

       Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost  creșterea gradului de conștientizare și educare a copiilor în ceea ce privește: importanța protecției datelor cu caracter personal; identificarea riscurilor din mediul online; adoptarea unui comportament responsabil, sigur și informat în spațiul digital pentru a sprijini copiii să navigheze internetul în mod sigur, etic și informat, reducând vulnerabilitatea lor în fața amenințărilor online. Tematicile abordate în cadrul campaniei au vizat: ce sunt datele cu caracter personal; cum îți protejezi datele personale online; riscurile și amenințările în mediul online; siguranța pe platformele de comunicare și jocuri online, etc. Cursul de instruire a fost organizat la data de 04 februarie pentru IPLT „Principesa Natalia Dadiani”, fiind instruiți 34 de elevi.

II. Activitatea de control

       În perioada ianuarie – martie 2026, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 68 cazuri. În perioada de referință, au fost emise 62 decizii, dintre care în 39 de cazuri s-a constatat încălcarea prevederilor legale. În aceeași perioadă au fost încheiate 35 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1.În urma examinării demersului Consiliului Audiovizualului al Republicii Moldova, prin care se solicită poziția CNPDCP referitoare la presupusa prelucrare neconformă a datelor cu caracter personal ale minorilor incluși într-un reportaj video difuzat de către o companie media, CNPDCP, în temeiul art. 27 alin. (4) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, a inițiat procedura de control.

       La caz s-a stabilit că, o companiei media a publicat un reportaj în care au fost difuzate imagini cu minori fără aplicarea măsurilor de anonimizare, inclusiv în sala de somn, ceea ce a constituit o ingerință disproporționată în viața privată a acestora.

       În cadrul controlului CNPDCP a constatat că, consimțământul părinților acordat grădinițelor, limita utilizarea imaginilor copiilor la scopuri didactice și la promovarea instituției, condiționate de acceptul conducerii, însă, difuzarea imaginii, fără a fi depersonalizate, a depășit aceste limite.

       Libertatea de exprimare, nu este un drept absolut și trebuie echilibrat cu dreptul la viață privată, mai ales în cazul minorilor. Identitatea copiilor nu era relevantă pentru subiectul reportajului, iar problema putea fi ilustrată prin cadre generale sau imagini blurate.

       Jurisprudența CEDO confirmă că publicarea imaginilor minorilor fără acordul părinților încalcă art. 8 CEDO. În acest caz, compania media – operator de date, a încălcat obligațiile prevăzute de Legea nr. 133/2011 privind protecția datelor cu caracter personal, inclusiv principiile proporționalității și confidențialității.

       CNPDCP a stabilit că, prelucrarea datelor cu caracter personal ale minorilor vizați în reportaj, difuzat de către compania media, contravin prevederilor legale statuate la art. 4 alin. (1) lit. a) și c), art. 29 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.

       Totodată, CNPDCP reiterează importanța protejării datelor cu caracter personal ale minorilor de către instituțiile educaționale, subliniind că respectarea acestor drepturi este esențială pentru siguranța și demnitatea copiilor.

2. În adresa CNPDCP a parvenit plângerea unui subiect de date cu caracter personal, prin care s-a solicitat verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal ce îl vizează, efectuate de către o companie din Republica Moldova (în continuare – operator de date), în contextul utilizării acestora în scopuri de prospectare comercială.

       În vederea examinării circumstanțelor cauzei, CNPDCP a inițiat procedura de control, solicitând operatorului informații privind temeiul și scopul prelucrării datelor, modalitatea de colectare și utilizare a acestora, existența consimțământului, precum și mecanismele de informare și de opoziție a subiecților de date.

       În rezultatul verificărilor efectuate, Autoritatea de control a reținut că datele cu caracter personal au fost colectate în contextul achiziționării unor bilete prin intermediul unei platforme digitale, acceptarea termenelor și condițiilor fiind o condiție obligatorie pentru finalizarea tranzacției. În același timp, informațiile privind utilizarea datelor în scop de prospectare comercială erau incluse în politica de confidențialitate, fără a exista un mecanism distinct de exprimare a consimțământului pentru acest scop.

       Concomitent, CNPDCP a constatat că operatorul a urmărit două scopuri distincte de prelucrare, respectiv, executarea contractului și transmiterea ulterioară de comunicări comerciale, însă nu a asigurat separarea consimțământului pentru fiecare dintre acestea. În aceste condiții, subiectul de date nu a beneficiat de o opțiune reală și efectivă de a accepta sau refuza prelucrarea datelor în scop de prospectare comercială, fără a fi afectată posibilitatea de a achiziționa serviciul.

       S-a stabilit că acordul exprimat prin acceptarea globală a termenelor și condițiilor nu întrunește cerințele legale ale unui consimțământ valabil, întrucât nu este liber exprimat, specific, informat și lipsit de ambiguitate. De asemenea, simpla furnizare a datelor în vederea executării contractului nu poate fi interpretată ca o manifestare neechivocă de voință pentru un scop suplimentar.

       În ceea ce privește invocarea interesului legitim al companiei prenotate ca temei al prelucrării, Autoritatea a constatat că operatorul nu a reușit să demonstreze existența unui interes legitim real și prevalența acestuia asupra drepturilor și libertăților persoanei fizice, nefiind efectuat un test de proporționalitate corespunzător. În consecință, acest temei a fost apreciat ca fiind neîntemeiat.

       CNPDCP a subliniat că temeiurile juridice ale prelucrării au caracter distinct și nu pot fi confundate sau utilizate cumulativ pentru același scop. Executarea contractului justifică exclusiv prelucrările necesare realizării obligațiilor contractuale, în timp ce prelucrările pentru scopuri suplimentare, precum prospectarea comercială, necesită un temei juridic separat.

       Totodată, s-a determinat că includerea unor clauze în regulamente interne sau politici de confidențialitate nu poate deroga de la normele imperative în materia protecției datelor cu caracter personal și nu poate substitui cerințele legale privind obținerea consimțământului valabil.

       Astfel, în urma examinării plângerii, CNPDCP a constatat, prin decizie, că prelucrarea datelor cu caracter personal care viza subiectul de date, în scop de prospectare comercială, a fost realizată cu încălcarea prevederilor art. 4 alin. (1) lit. a), b), c) și art. 5 alin. (1) din Legea nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal.

IV. Activitatea de prevenire

       În perioada de referință, CNPDCP a reluat organizarea cursurilor de instruire pentru persoanele desemnate de către operator sau persoana împuternicită de către operator, în calitate de  Responsabil cu Protecția Datelor. Această obligație este statuată de prevederile Legii nr.133/2011 privind protecția datelor cu caracter personal, prin care este instituită sarcina operatorului și a persoanei împuternicite de operator de a desemna un Responsabil cu protecția datelor cu caracter personal, în cazurile prevăzute de art. 25 al legii precitate.

       Scopul cursului de instruire, care a avut loc în data de 05 februarie, a constat în consolidarea cunoștințelor teoretice în domeniul protecției datelor cu caracter personal și a deprinderilor practice privind aplicarea actelor normative și cerințelor legislației din domeniu. În cadrul evenimentului au fost abordate subiecte specifice activității Responsabilului cu protecția datelor (DPO), precum: rolul și poziția DPO în cadrul organizației; atribuțiile și responsabilitățile acestuia conform legislației; monitorizarea respectării prevederilor legale privind protecția datelor; consilierea operatorului sau a persoanei împuternicite; cooperarea cu autoritatea de supraveghere; gestionarea solicitărilor din partea subiecților de date; implicarea în evaluarea impactului asupra protecției datelor (DPIA); asigurarea conformității prin politici interne și instruirea personalului, precum și gestionarea incidentelor de securitate a datelor cu caracter personal. În cadrul evenimentului au fost instruiți 15 DPO atât din cadrul sectorului public, cât și a mediului privat.

       Totodată, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 70 de consultații telefonic, prin intermediul poștei electronice sau la sediul autorității.

       În perioada de referință, CNPDCP a venit cu unele precizări, recomandări și îndrumări pentru subiecții de date:

 

Îndrumări/explicații în vederea aplicării corecte a Legii nr. 195/2024 privind protecția datelor cu caracter personal

       Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ, comunică despre elaborarea Îndrumărilor/explicațiilor în vederea aplicării corecte a Legii nr. 195/2024 privind protecția datelor cu caracter personal, act normativ care va intra în vigoare începând cu data de 23 august 2026.

       Scopul acestor Îndrumări este de a sprijini operatorii de date, persoanele împuternicite de operatori, precum și alte părți interesate, în înțelegerea, interpretarea și aplicarea corectă a noilor prevederi legale, într-un context marcat de evoluții tehnologice rapide și de intensificarea fluxurilor de date cu caracter personal. Documentul oferă explicații și raționamente menite să clarifice noile cerințe introduse de lege, promovând o abordare modernă, bazată pe evaluarea și gestionarea riscurilor și pe responsabilitatea proactivă a operatorilor.

       Îndrumările au fost elaborate având la bază raționamentele consacrate de Regulamentul (UE) 2016/679, fiind orientate spre asigurarea unui nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, consolidarea securității juridice și crearea unui cadru clar și coerent, care să sprijine o practică consecventă în domeniul protecției datelor cu caracter personal.

       Totodată, CNPDCP precizează că, documentul are caracter orientativ și constituie un instrument de referință pentru aplicarea corectă și unitară a dispozițiilor Legii nr. 195/2024 privind protecția datelor cu caracter personal, fiind recomandată consultarea constantă a acestuia.

       Textul integral al Îndrumărilor/explicațiilor în vederea aplicării corecte a Legii nr. 195/2024 poate fi consultat accesând următorul link:

CONSIDERENTE_Legea_195/2024

V. Știri internaționale și europene

La data de 28 ianuarie 2026, CNPDCP a organizat Conferința națională „Implementarea cadrului legal privind protecția datelor: provocări, beneficii, reziliență”, un eveniment de referință dedicat consolidării cadrului de protecție a datelor cu caracter personal în Republica Moldova, în contextul parcursului său de integrare europeană.

       Evenimentul a avut loc într-un moment esențial pentru Republica Moldova, în calitate de stat candidat la integrarea în Uniunea Europeană, marcat de adoptarea Legii nr. 195/2024 privind protecția datelor cu caracter personal, care va intra în vigoare la 23 august 2026 și care transpune Regulamentul general privind protecția datelor (GDPR). Noua lege instituie un regim modern de protecție a datelor, aplicabil atât sectorului public, cât și celui privat, contribuind la consolidarea drepturilor fundamentale ale persoanelor și la creșterea încrederii în procesele digitale.

       Evenimentul a avut ca scop principal sprijinirea autorităților publice și a mediului privat în procesul de pregătire pentru aplicarea Legii nr. 195/2024, prin consolidarea nivelului de conformare cu noile obligații legale.      

       Dezbaterile au beneficiat de contribuțiile experților din state membre ale Uniunii Europene, inclusiv din Estonia, Letonia, Lituania și România, precum și de intervenții din partea reprezentanților mediului privat și ai sectorului IT, oferind participanților perspective practice și soluții aplicabile în procesul de implementare a noii legislații.

       Evenimentul a fost organizat cu sprijinul proiectului „Îmbunătățirea rezilienței cibernetice în țările Parteneriatului Estic”, implementat de e-Governance Academy (eGA) și finanțat de Uniunea Europeană, precum și cu suportul Misiunii de Parteneriat a Uniunii Europene în Republica Moldova (EUPM Moldova).

În perioada 10–11 februarie 2026, la Bruxelles, a avut loc cea de-a 115-a reuniune plenară a Comitetului European pentru Protecția Datelor.

       Pe parcursul reuniunii au fost examinate și adoptate mai multe puncte de pe ordinea de zi, începând cu aprobarea procesului-verbal și a agendei, urmate de adoptarea unor opinii emise în temeiul art. 64 alin. (1) din GDPR referitoare la proiectele de decizie ale autorității olandeze privind Regulile Corporative Obligatorii (BCR-P pentru Arcadis Group și BCR-C pentru ABN AMRO Bank). Discuțiile au evidențiat importanța asigurării unor garanții adecvate pentru transferurile internaționale de date și a unei aplicări unitare a cerințelor GDPR în context transfrontalier.

       În continuare, au fost abordate aspecte legate de Cadrul Coordonat de aplicare a legii (Coordinated Enforcement Framework), fiind prezentat raportul privind aplicarea dreptului la ștergere. Totodată, au fost analizate opiniile comune EDPB–EDPS referitoare la inițiative legislative precum Digital Omnibus, precum și aspecte preliminare privind propunerea unui viitor European Biotech Act. Reuniunea a inclus, de asemenea, discuții privind Programul de lucru pentru perioada 2026–2027, care prevede priorități strategice, dezvoltarea de instrumente și șabloane pentru organizații și consolidarea cooperării trans-regulatorii.

       În cadrul sesiunilor informative, au fost prezentate experiențe naționale privind gestionarea notificărilor de breșe de securitate, inclusiv modelul aplicat de Danemarca, precum și riscurile la care pot fi expuși cetățenii Uniunii Europene în contextul călătoriilor în țări terțe. Totodată, au fost discutate concluziile unui eveniment dedicat părților interesate în domeniul anonimizării și pseudonimizării datelor, evidențiindu-se importanța clarificării conceptelor și a aplicării corecte a acestora în practică.

În perioada 18–19 martie 2026, reprezentanții CNPDCP  au participat la cea de-a 65-a reuniune a Biroului Comitetului Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal (Convenția 108) – TPD-BUR, desfășurată la Paris, Franța.

       Reuniunea a avut drept obiectiv implicarea în discuțiile strategice privind dezvoltarea cadrului internațional de protecție a datelor cu caracter personal, precum și contribuirea la implementarea activităților prevăzute în Programul de lucru 2026–2029.

       În cadrul reuniunii au fost abordate subiecte de importanță majoră, printre care:

• stadiul implementării Convenției 108+ și evoluția procesului de ratificare a Protocolului de amendare (CETS nr. 223);
• fluxurile transfrontaliere de date cu caracter personal și promovarea clauzelor contractuale model (MCC);
• protecția datelor în contextul modelelor lingvistice de mari dimensiuni (LLMs);
• elaborarea ghidurilor privind protecția datelor în domeniul neuroștiințelor;

       În cadrul evenimentului, delegația Republicii Moldova a informat participanții despre progresele realizate în procesul național de ratificare, menționând aprobarea proiectului de lege de către Guvern la 4 martie 2026 și transmiterea acestuia Parlamentului spre examinare și adoptare. Participarea la această reuniune a constituit o oportunitate importantă de implicare în procesele decizionale la nivel internațional, de schimb de bune practici și de consolidare a cooperării în domeniul protecției datelor cu caracter personal.