Buletin Informativ

Buletin Informativ Nr. 24

427 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În cadrul ultimului trimestru al anului 2025 (octombrie – decembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a continuat să înregistreze evoluții importante în realizarea obiectivelor sale, punând un accent deosebit pe planificarea și desfășurarea unor activități orientate spre informarea și conștientizarea publicului cu privire la importanța protecției datelor cu caracter personal. În acest sens, au fost implementate diverse inițiative cu caracter educațional și campanii de informare, menite atât să clarifice drepturile cetățenilor în ceea ce privește prelucrarea datelor cu caracter personal, cât și să încurajeze adoptarea unui comportament responsabil în protejarea acestora.

Prin intermediul acestor acțiuni, CNPDCP a urmărit nu doar creșterea nivelului de cunoaștere a cadrului normativ aplicabil, ci și promovarea unei culturi organizaționale și sociale bazate pe respectarea confidențialității și securității datelor. Această abordare vizează atât asigurarea conformității cu legislația națională și europeană, cât și consolidarea încrederii cetățenilor în mecanismele de protecție a datelor cu caracter personal.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

21 octombrie – Inspectoratul de poliție Florești;
04 noiembrie – Inspectoratul de poliție Leova;
18 noiembrie – Inspectoratul de poliție Nisporeni;
03 decembrie – Inspectoratul de poliție Ocnița.

În acest context, au fost instruiți 212 reprezentanți din cadrul subdiviziunilor IGP.

Totodată, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției de Frontieră (IGPF), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGPF, la data de 28 ianuarie 2025. Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

01 octombrie – Inspectoratul General al Poliției de Frontieră, Direcția regională Vest;
15 octombrie – Sectorul Poliției de Frontieră “Aeroportul Internațional Chișinău”;
17 decembrie – Inspectoratului General al Poliției de Frontieră.

În acest context, au fost instruiți 213 reprezentanți din cadrul subdiviziunilor IGPF.

La fel, s-a continuat organizarea cursurilor de instruire pentru angajații din cadrul subdiviziunilor structurale, specializate și teritoriale ale Inspectoratului General pentru Migrație (IGM), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGM, la data de 27 ianuarie 2025.

Astfel, la data de 21 noiembrie a fost organizat cursul de instruire pentru Direcția regională Centru a IGM, fiind instruiți 16 reprezentanți.

Totodată, în perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice/private, la solicitarea acestora.

Astfel, cursuri de instruire au fost organizate pentru următoarele entități:

01 octombrie – Asociația Investitorilor din România;
03 octombrie – Agenția Digitalizare în Justiție și Administrare Judecătorească;
06 octombrie – Consiliul pentru refugiați Dondușeni;
13 octombrie – Serviciul Vamal;
17 octombrie – Centrul Național pentru Energie Durabilă;
22 octombrie – Academia Militară a Forțelor Armate „Alexandru cel Bun”;
31 octombrie – Ministerul Finanțelor;
06 noiembrie – Consiliul Superior al Magistraturii;
25 noiembrie – Parlamentul RM;
10 decembrie – Inspectoratul Social de Stat;
11 decembrie – Ministerul Infrastructurii și Dezvoltării Regionale;
12 decembrie – Ministerul Culturii.

În acest context au fost instruiți 633 de reprezentanți ai entităților menționate supra.

Cursurile de instruire au avut drept scop familiarizarea cu aspectele ce țin de domeniul protecției datelor cu caracter personal, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc.

Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost creșterea gradului de conștientizare și educare a copiilor în ceea ce privește: importanța protecției datelor cu caracter personal; identificarea riscurilor din mediul online; adoptarea unui comportament responsabil, sigur și informat în spațiul digital pentru a sprijini copiii să navigheze internetul în mod sigur, etic și informat, reducând vulnerabilitatea lor în fața amenințărilor online. Tematicile abordate în cadrul instruirilor au vizat: ce sunt datele cu caracter personal; cum îți protejezi datele personale online; riscurile și amenințările în mediul online; siguranța pe platformele de comunicare și jocuri online, etc.

Astfel, au fost organizate mai multe cursuri de instruire:

13 octombrie – IPLT „Tudor Vladimirescu”, Chișinău;
05 noiembrie – IPLT „Universul”, Chișinău;
14 noiembrie – ILPT „Ștefan cel Mare” , Chișinău;
03 decembrie – Școala de Artă, Ialoveni.

Evenimentele au avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a IV-a. În acest context, au fost instruiți 163 de elevi.

II. Activitatea de control

În perioada iulie – septembrie 2025, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 55 cazuri. În perioada de referință, au fost emise 106 decizii, dintre care în 41 de cazuri s-a constatat încălcarea prevederilor legale. În aceeași perioadă au fost încheiate 46 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce viza pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, manifestate prin dezvăluirea pe rețeaua de socializarea Facebook a copiei de pe sesizarea petentului adresată către o autoritate publică, care integra datele cu caracter personal ale subiectului de date, și anume: nume, prenume, adresa de domiciliu și număr de contact.

Publicarea online a unor astfel de date constituie o formă de prelucrare a datelor personale, în sensul art. 3 alin. (1) din Legea nr. 133/2011.

Rețeaua de socializare Facebook, prin natura sa, nu oferă un control efectiv asupra accesului la datele publicate, ceea ce determină un risc major de accesare, copiere, distribuire și reutilizare a informațiilor de către terți. Astfel, fapta operatorului a fost susceptibilă de a expune persoana vizată la atingeri aduse vieții private, demnității și securității personale, ceea ce contravine principiului garantat de art. 8 din Carta drepturilor fundamentale a Uniunii Europene și art. 4 alin. (1) lit. e) din Legea nr. 133/2011.

Deși operatorul a omis să ofere informații care ar justifica scopul publicării informațiilor conținute în sesizare, se notează că, chiar și în cazul unei eventuale dorințe de a-și manifesta dreptul la libertatea de exprimare, dreptul la protecția datelor cu caracter personal trebuie reconciliat cu dreptul la libertatea de exprimare și informare, iar operatorul urmează să se asigure că prelucrarea este proporțională, neexcesivă, necesară și justificată din motive semnificative de interes public.

Datele care nu sunt relevante pentru scopul atins nu ar trebui publicate. Chiar și în cazul în care informațiile au fost obținute și păstrate în mod corect, trebuie analizat separat ce informație este corect a fi publicată. Ar trebui să se stabilească cât de multe date personale este necesar să fie publicate pentru a relata în mod corespunzător o istorie, echilibrat față de nivelul de intruziune în viața privată a subiecților de date și potențialul prejudiciu pe care acest lucru îl poate provoca. Operatorul ar trebuie să depersonalizeze datele cu caracter personal înainte de publicare, în situațiile în care divulgarea acestora nu este necesară pentru prezentarea completă a faptelor relatate.

Astfel, CNPDCP a determinat, la caz, încălcarea prevederilor art. 4 alin. (1) lit. a), c) și art. 5 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal și la caz a inițiat procedura contravențională.

2. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce viza pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, efectuate de către persoana responsabilă din cadrul unui Consiliu comunal, manifestate prin publicarea unei Decizii cu privire la desemnarea candidaturilor membrilor pentru constituirea organelor electorale, cu anexa ce conține informații confidențiale ale membrilor organelor electorale (nume, prenume, IDNP, anul nașterii, date de contact), în Registrul de Stat al Actelor Locale (RSAL) și pe pagina web a autorității publice locale.

Astfel, prin Decizia CNPDCP s-a constatat că, prelucrarea datelor cu caracter personal ce vizează subiectul de date a fost efectuată cu încălcarea prevederilor art. 4 alin. (1) lit. a), b) și c), art. 5 și art. 29 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal, accentuând că, actele administrative care conțin asemenea date cu caracter personal nu pot fi publicate/vizualizate public în forma lor inițială/integrală, accesul la acestea în RSAL fiind restricționat, iar vizualizarea actelor în format integral este posibilă doar pentru angajații autorizați în modul stabilit de Hotărîrea Guvernului nr. 672/2017 pentru aprobarea regulamentelor cu privire la Registrul de stat al actelor locale. În context, spectrul de informații ce vizează subiectul ale căror date cu caracter personal au fost prelucrate, nu corespunde principiilor proporționalității, caracterului adecvat, pertinent și neexcesiv în ceea ce privește prelucrarea de date.

3. În adresa CNPDCP a parvenit plângerea unui subiect de date cu caracter personal referitor la pretinsa prelucrare ilegală a datelor cu caracter personal ce-l vizează efectuată de către un agent constatator al unei subdiviziuni specializate din cadrul unei autorități publice, care, fără un temei legal, a accesat/prelucrat și extras datele cu caracter personal după adoptarea soluției pe marginea unui proces contravențional și încheierea procesului-verbal cu privire la contravenție, cu expedierea ulterioară a informației către instanța de judecată.

În aceste circumstanțe, CNPDCP a inițiat verificarea respectării prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal, la prelucrarea datelor cu caracter personal ale subiectului de date.

Din materialele acumulate în cadrul procedurii de control, s-a stabilit că, operațiunea de prelucrare a datelor cu caracter personal ale subiectului de date, manifestată prin consultarea și extragerea informației dintr-un Sistem informațional automatizat de evidență de către agentul constatator, a avut drept scop pregătirea și remiterea dosarului contravențional în instanța de judecată, urmare a contestației împotriva procesului-verbal cu privire la contravenție depusă de către subiectul de date cu caracter personal.

În aceste condiții, s-a constatat lipsa încălcării prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal de către agentul constatator, or, anexarea și remiterea de către acesta, a unor probe/documente ce conțin datele cu caracter personal ale subiectului de date către instanța de judecată care examinează contestația depusă de către subiectul de date împotriva procesului-verbal cu privire la contravenție, nu poate fi calificată drept prelucrare neconformă, atât timp cât instanţa de judecată căreia i se comunică date cu caracter personal le utilizează în cadrul exercitării competenţelor stabilite de lege.

IV. Activitatea de prevenire

În perioada de referință, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 90 de consultații telefonic, prin intermediul poștei electronice sau la sediul autorității.

V. Știri internaționale și europene

Conducerea CNPDCP a participat la cea de-a 109-a Sesiune Plenară a Comitetului European pentru Protecția Datelor (EDPB), care s-a desfășurat în perioada 7-8 octombrie 2025 la Bruxelles, Belgia.

În cadrul ședinței, EDPB și Comisia Europeană au aprobat primele lor orientări comune referitoare la interacțiunea dintre Legea privind piețele digitale (DMA) și Regulamentul general privind protecția datelor (GDPR). Aceste orientări au fost elaborate pentru a facilita aplicarea coerentă a ambelor acte normative și pentru a consolida certitudinea juridică pentru autorități, companii, utilizatori și persoane fizice.

În conformitate cu Strategia EDPB 2024-2027 și cu obiectivele Declarației de la Helsinki, Comitetul a cooperat cu Comisia Europeană, fiecare în cadrul competențelor sale, pentru a sprijini implementarea coerentă a DMA și GDPR. Deși DMA și GDPR urmăresc scopuri diferite – GDPR protejează drepturile și confidențialitatea persoanelor fizice, iar DMA promovează corectitudinea și responsabilitatea pe piețele digitale – obiectivele lor se completează, abordând provocări interconectate în mediul digital.

Mai multe prevederi ale DMA implică prelucrarea datelor cu caracter personal de către persoanele responsabile cu controlul datelor, iar anumite articole fac referire explicită la definiții și concepte prevăzute în GDPR.

Pe baza acestor prime orientări comune, lucrările continuă pentru a clarifica cadrul interreglementar și pentru a asigura garanții coerente și consecvente în domeniul protecției datelor. În acest sens, EDPB colaborează cu Comisia Europeană, inclusiv cu Oficiul pentru Inteligență Artificială, pentru a dezvolta orientări comune privind interacțiunea dintre Legea privind IA și legislația UE privind protecția datelor.

În perioada 3-5 noiembrie curent, reprezentanții CNPDCP au participat la cea de-a 49-a ședință plenară a Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal (Convenția 108), care a avut loc la Strasbourg, Franța.

În cadrul Ședinței au fost discutate subiecte de importanță, printre care:

Convenția 108+, ratificările și aderările actuale;
Fluxurile transfrontaliere de date cu caracter personal;
Protecția datelor în contextul modelelor lingvistice mari (LLMs);
Cooperarea cu alte organisme și entități ale Consiliului Europei;
Evoluții și activități majore în domeniul protecției datelor, etc.

Totodată, după o analiză detaliată, Comitetul a adoptat Programul de lucru pentru perioada 2026–2029, care va fi implementat începând cu ianuarie 2026. Documentul trasează direcțiile strategice privind: consolidarea cadrului juridic al Convenției 108+; abordarea riscurilor emergente din domeniul IA și tehnologiilor neurodigitale; dezvoltarea instrumentelor de cooperare internațională și asistență tehnică pentru statele membre și partenere. De asemenea, a fost prezentat stadiul elaborării Ghidului privind protecția datelor în contextul cercetărilor neuroștiințifice, statele membre fiind invitate să transmită comentarii până la 21 noiembrie 2025, iar documentul va fi analizat în detaliu la următoarea sesiune plenară.

Reuniunea plenară a demonstrat caracterul dinamic și evolutiv al cadrului normativ european privind protecția datelor. Comitetul Consultativ al Convenției 108 continuă să joace un rol esențial în orientarea politicilor publice, în definirea principiilor etice ale digitalizării și în promovarea unei guvernanțe responsabile a datelor la nivel global. Participarea la această sesiune a constituit o ocazie valoroasă de schimb de expertiză și consolidare a cooperării internaționale, reafirmând angajamentul statului nostru pentru protejarea drepturilor fundamentale în era digitală.

În perioada 1-5 decembrie, reprezentanții CNPDCP au participat la cea de-a treia ediție a Săptămânii Protecției Datelor, care a avut loc la Bruxelles, Belgia, eveniment găzduit de Comisia Europeană și EDPB.

Cea de-a treia ediție a Săptămânii Protecției Datelor a reunit autoritățile de supraveghere din statele Parteneriatului Estic și din Balcanii de Vest, având drept obiectiv consolidarea capacităților instituționale și facilitarea alinierii continue la standardele europene în domeniul protecției datelor.

În cadrul evenimentului au fost abordate subiecte de importanță, cum ar fi: fluxuri internaționale de date și guvernanța globală a acestora, fiind analizate evoluțiile recente privind cadrul european pentru transferurile internaționale, mecanismele de conformitate și cooperare cu partenerii externi, precum și tendințele strategice ce definesc rolul tot mai influent al Uniunii Europene în arhitectura globală a guvernanței datelor; procese de luare a deciziilor algoritmice, experții au ilustrat riscurile asociate utilizării sistemelor automatizate, abordând principii esențiale precum transparența, acuratețea și evitarea discriminării; activități de supraveghere ale EDPB în domeniul inteligenței artificiale, fiind evidențiate rolurile și responsabilitățile EDPS și EDPB în supravegherea sistemelor AI și fiind descrise mecanismele de coordonare între autoritățile naționale și instituțiile europene în vederea aplicării coerente a standardelor de reglementare; monitorizarea tehnologiilor emergente, experții EDPS prezentând instrumentele și activitățile utilizate pentru evaluarea impactului soluțiilor digitale inovatoare; protecția datelor în contextul inteligenței artificiale, în care au fost analizate noile responsabilități ale EDPS în supravegherea sistemelor AI conform EU AI Act. Totodată, au fost desfășurate activități dedicate schimbului de experiență între autoritățile de protecție a datelor din Balcanii de Vest și cele din Parteneriatul Estic, facilitate de experții GIZ și SIGMA, discuțiile vizând consolidarea capacităților instituționale, provocările operaționale întâlnite în activitatea de supraveghere, precum și identificarea unor mecanisme eficiente de cooperare între regiuni.

Participarea reprezentanților CNPDCP la cea de-a treia Săptămână a Protecției Datelor a demonstrat importanța implicării active a Republicii Moldova în inițiativele regionale și europene în domeniul protecției datelor, contribuind la alinierea continuă a cadrului național la standardele Uniunii Europene și la întărirea rolului instituțional al CNPDCP în procesul de tranziție europeană.

Evenimentul, organizat în cadrul Proiectului “Reforma Administrației Publice în Țările Parteneriatului Estic”, faza III, implementat de către GIZ și mandatat de Ministerul Federal pentru Cooperare și Dezvoltare Economică, a reunit reprezentanți ai Autorităților de Protecție a Datelor din Armenia, Moldova, Ucraina, Albania, Bosnia și Herțegovina, Kosovo, Muntenegru, Macedonia de Nord și Serbia.

VI. Alte autorități pentru protecția datelor

Autoritatea Italiană pentru Protecția Datelor (SA) a aplicat amenzi în valoare de 3 milioane euro pentru compania Acea Energia spa și de 850 00 euro agențiilor implicate pentru încălcarea art. 5 alin. (1), art. 6, art. 7, art. 13, art. 24, art. 25, art. 28, art. 29, art. 32 din GDPR și art. 130 din Codul italian privind protecția datelor.

SA Italiană a efectuat investigații, alături de Guardia di Finanza, în urma unei plângeri privind activitatea ilegală a unor centre de apel neautorizate. Acestea contactau persoane pentru oferte referitor la furnizorul de energie sau telefonie, folosind baze de date obținute fără consimțământ și fără a fi înregistrate în Registrul Operatorilor de Comunicații (ROC).

Investigațiile au arătat că datele cu caracter personal ale clienților care își schimbaseră recent furnizorul de energie erau utilizate pentru a-i convinge, prin metode înșelătoare, să semneze noi contracte. Datele proveneau din rețeaua de companii partenere, fără informarea persoanelor vizate.

Deși reprezentanți ai companiei energetice erau în contact cu agențiile de telemarketing, aceasta a revocat colaborarea și a aplicat măsuri de corecție odată ce a aflat neregulile.

În acest context, SA Italiană a aplicat amenzi în valoare de 3 milioane euro companiei Acea Energia spa și de 850 00 euro agențiilor implicate. Compania trebuie să notifice persoanele afectate și să verifice legalitatea subcontractanților, iar agențiile nu mai pot folosi liste de contacte nejustificate legal.

Amenda administrativă în valoare de 4.022.773 euro pentru McDonald’s Polska și 43.680 euro pentru 24/7 Communication aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit), articolului 28 (Persoana împuternicită de operator), articolului 32 (Securitatea prelucrării), articolului 34 (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal) și articolului 38 (Funcția responsabilului cu protecția datelor) din GDPR.

Compania McDonald’s Polska sp. z o.o. (McDonald’s) a notificat o încălcare a securității datelor, în calitate de operator, constatând că următoarele date ale angajaților săi și ale francizaților săi erau incluse în fișierul partajat din catalogul public: nume, numere de identificare personală (numere PESEL), numere de pașaport (dacă numărul PESEL nu este disponibil), numărul restaurantului McDonald’s, data și ora începerii activității, data și ora încheierii activității, numărul de ore lucrate, concedii, tipul de activitate, etc.

În urma investigației s-a constatat că nici operatorul (McDonald’s Polska), nici persoana împuternicită de operator (24/7 Communication) nu au efectuat o analiză a riscurilor și nu au implementat măsuri tehnice și organizatorice suficiente pentru protecția datelor cu caracter personal. În plus, nu a fost implicat corespunzător responsabilul cu protecția datelor, iar obligațiile de audit și monitorizare a partenerilor nu au fost respectate.

SA Poloneză a subliniat că responsabilitatea pentru protecția datelor revine atât companiilor care colectează și gestionează date cu caracter personal, cât și partenerilor lor contractuali. Măsurile de securitate trebuie verificate și actualizate constant, nu doar la începutul prelucrării datelor.

În acest context, SA Poloneză a impus o amendă administrativă în valoare de 4.022.773 euro companiei McDonald’s Polska și 43.680 euro companiei 24/7 Communication.

Amenda administrativă în valoare de 1,8 milioane euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor (SA) companiei S-Bank pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

În urma notificării transmise de S-Bank în august 2022, SA Finlandeză a inițiat o investigație privind o breșă de securitate care a afectat un număr semnificativ de clienți ai băncii. Vulnerabilitatea a apărut în aprilie 2022, odată cu lansarea unui nou mecanism de autentificare. Din cauza unei erori software în serviciul de autentificare, logarea în banca online și accesul la serviciile digitale utilizând autentificarea puternică au fost posibile folosind datele de conectare ale altor clienți. Această defecțiune tehnică a rămas exploatabilă timp de mai mult de trei luni, iar o parte dintre clienți au fost afectați în mod direct.

Urmare a investigației s-a constatat lipsa unor măsuri adecvate de securitate și a unor controale tehnice și organizatorice corespunzătoare din partea băncii. Printre deficiențe se numără: testarea insuficientă a noilor funcționalități înainte de implementare; neidentificarea vulnerabilității în etapa de dezvoltare și testare și reacția inadecvată la semnalările clienților privind anomalii la autentificare.

În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 1,8 milioane euro pentru încălcarea prevederilor articolelor 5(1)(f), 25(1), 32(1) și 32(2) din GDPR și a emis o mustrare pentru nerespectarea legislației privind protecția datelor.

La stabilirea cuantumului amenzii, SA Finlandeză a ținut cont de necesitatea protejării drepturilor persoanelor vizate, de gravitatea generală a incidentului, precum și de faptul că banca fusese anterior avertizată în legătură cu obligațiile sale. De asemenea, amenda a fost ajustată în contextul unei sancțiuni separate emise în mai 2025 de către Autoritatea de Supraveghere Financiară din Finlanda, care a impus companiei S-Bank o amendă de 7 670 000 de euro pentru deficiențe în gestionarea riscurilor operaționale în legătură cu același set de evenimente.

Buletin Informativ Nr. 23

464 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În cadrul trimestrului al treilea al anului 2025 (iulie – septembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a continuat să înregistreze progrese semnificative în îndeplinirea obiectivelor sale, axându-se în mod deosebit pe dezvoltarea și implementarea unor activități menite să informeze și să sensibilizeze publicul larg cu privire la importanța domeniului protecției datelor cu caracter personal. În acest context, au fost derulate o serie de inițiative educaționale și campanii de conștientizare care au vizat, pe de o parte, explicarea drepturilor cetățenilor în ceea ce privește gestionarea datelor lor personale, iar pe de altă parte, promovarea unui comportament responsabil în ceea ce privește protecția acestora.

Prin intermediul acestor acțiuni, CNPDCP a urmărit nu doar sporirea gradului de înțelegere a reglementărilor legale în domeniu, dar și cultivarea unei culturi organizaționale și sociale în care respectarea confidențialității și a securității datelor să devină o practică integrată în viața cotidiană a fiecărui cetățean. Această abordare are scopul de a asigura nu doar conformitatea cu legislația națională și europeană, ci și de a întări încrederea publicului larg în procesul de protecție a datelor cu caracter personal.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

15 iulie – Inspectoratul de poliție Căușeni;
05 august – Inspectoratul de poliție Criuleni;
23 septembrie – Inspectoratul de poliție Dubăsari.

În acest context, au fost instruiți 225 reprezentanți din cadrul subdiviziunilor IGP.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

17 septembrie – Subdiviziunile structurale și specializate ale IGM;
19 septembrie – Direcția regională Sud a IGM.

În acest context, au fost instruiți 31 reprezentanți din cadrul subdiviziunilor IGM.

În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice/private, la solicitarea acestora.

Astfel, cursuri de instruire au fost organizate pentru următoarele entități:

01 iulie – Moldtelecom;
02 iulie – Agenția Națională pentru Reglementare în Energetică;
03 iulie – Asociația Băncilor din Moldova;
12 iulie – Școala administratorilor de bloc;
19 iulie – Școala administratorilor de bloc;
02 septembrie – Casa Națională de Asigurări Sociale;
08 septembrie – Serviciul Vamal;
11 septembrie – Poșta Moldovei.

În acest context au fost instruiți 325 de reprezentanți ai entităților menționate supra.

Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost creșterea gradului de conștientizare și educare a copiilor în ceea ce privește: importanța protecției datelor cu caracter personal; identificarea riscurilor din mediul online; adoptarea unui comportament responsabil, sigur și informat în spațiul digital pentru a sprijini copiii să navigheze internetul în mod sigur, etic și informat, reducând vulnerabilitatea lor în fața amenințărilor online. Tematicile abordate în cadrul instruirilor au vizat: ce sunt datele cu caracter personal; cum îți protejezi datele personale online; riscurile și amenințările în mediul online; siguranța pe platformele de comunicare și jocuri online, etc. Cursul de instruire a fost organizat la data de 07 iulie 2025 pentru Clasa Viitorului, fiind instruiți 38 de elevi.

II. Activitatea de control

În perioada iulie – septembrie 2025, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 116 cazuri. În perioada de referință, au fost emise 97 decizii, dintre care în 44 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 36 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1. CNPDCP a examinat plângerile mai multor petenți provenind din UTA Găgăuzia prin care au sesizat recepționarea mai multor mesaje în care se menționa despre alocarea unor surse financiare pe numele lor de la bănci din Federația Rusă.

În cadrul investigației, toți petenții au invocat că, nu au participat la întruniri organizate în perioada 2023–2024 de către partidele politice și nu au transmis nimănui datele cu caracter personal, iar ajutoarele sociale primite de la stat, erau oferite prin intermediul Oficiului poștal, sau prin altă metodă sigură. Astfel, petenții presupun că membrii grupării unui partid politic ar fi efectuat înregistrări pe platformele utilizate de entitățile bancare din Federația Rusă, folosind informații obținute de la Direcția de Sănătate și Asistență Socială din UTA Găgăuzia.

Pe parcursul controlului s-a determinat că, în contextul operațiunilor deplânse de petenți, aplicațiile/platformele „Centrify”, „Qsms” și „Authentify” sunt produse ale unor companii ce nu au sediul pe teritoriul Republicii Moldova. Totodată, din informația prezentată în spațiul public, inclusiv de organele de drept competente, s-a reținut că datele cu caracter personal au fost colectate și transferate transfrontalier către entități din Federația Rusă, or, anume entitățile din această țară puteau face transferuri în ruble rusești.

Pornind de la circumstanțele descrise, din materialele acumulate pe cazul dat, nu a fost posibil de a determina concret persoana/persoanele/entitățile care a/au transmis transfrontalier datele cu caracter personal în situațiile deplânse de petenți.

Totuși, este cert faptul că a avut loc o prelucrare a datelor cu caracter personal manifestată prin transmiterea transfrontalieră a acestora către un stat care nu asigură un nivel adecvat de protecție, în scopuri care pot prejudicia drepturile şi libertăţile fundamentale ale persoanei fizice în ceea ce priveşte protecția datelor cu caracter personal.

Astfel, in rem, CNPDCP a constatat încălcarea prevederilor art. 32 alin. (5) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, la prelucrarea prin transmiterea transfrontalieră a datelor cu caracter personal ale petenților.

2. În adresa CNPDCP a parvenit plângerea unui subiect de date cu caracter personal, care a solicitat verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal ce-l vizează, efectuate de către o companie (în continuare – operator de date), prin intermediul Registrului bunurilor imobile, în conformitate cu prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal.

În aceste circumstanțe, CNPDCP a inițiat verificarea respectării prevederilor art. 4 alin. (1) lit. a) și b) și art. 13 din Legea vizată, la prelucrarea datelor cu caracter personal ale subiectului de date.

În cadrul examinării materialului acumulat s-a constatat că, operatorul de date a consultat informația cu referire la 3 bunuri imobile ce conțineau date despre proprietarul bunurilor imobile; temeiul înscrierii – denumirea și datele actului prin care a fost dobîndit dreptul de proprietate.

Prin urmare, prelucrarea datelor urma să fie condiționată de consimțământul subiectului de date cu caracter personal și, respectiv, de dreptul acestuia de a decide în mod liber și neechivoc dacă sau când datele cu caracter personal ce-l vizează pot fi prelucrate de către operatorul de date cu respectarea prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal.

Mai mult decât atât, CNPDCP nu a reținut ca fondat argumentul invocat de către operatorul de date precum că, ar fi consultat partea publică a Registrului bunurilor imobile, or, partea publică a Registrului nu oferă informații despre dreptul de proprietate asupra bunului imobil și modul de dobândire a acestuia.

Astfel, în cadrul investigațiilor, CNPDCP a constatat că operatorul de date a prelucrat datele cu caracter personal ale subiectului de date nerespectând cerințele prevăzute de art. 4 alin. (1) lit. a) și b) din Legea nr.133/2011.

Subsecvent, operatorul de date nu a soluționat cerererea subiectului de date privind realizarea dreptului de acces, neoferindu-i un răspuns întemeiat/punctat prin care și-ar fi justificat operațiunile de prelucrare a datelor cu caracter personal realizate de către ultimul, fiind constatată inclusiv încălcarea art. 13 din Legea 133/2011. La caz CNPDCP a inițiat procedura contravențională.

3. CNPDCP s-a autosesizat în urma recepționării unei cereri parvenite din partea unui consilier raional, examinând astfel speța prin prisma competențelor legale, și anume, investigând un pretins fapt de prelucrare ilegală a categoriei speciale de date cu caracter personal ale unor subiecți de date, produs din cauza acțiunilor/inacțiunilor necorespunzătoare ale Președintelui Raionului.

În urma acumulării probatoriului, s-a stabilit că, Președintele raionului a emis și semnat un răspuns, adresat consilierilor raionali în legătură cu comportamentul personalului medical din unele puncte medicale din raion.

Pentru justificarea răspunsului, Președintele raionului a anexat extrase din fișele medicale ale unor pacienți, conținând: nume și prenume, data nașterii, IDNP, adresa de domiciliu și informații privind starea de sănătate.

În cadrul controlului demarat de Autoritatea de control, Președintele raionului a transmis două declarații de consimțământ semnate de unii pacienți, considerând că deține temei legal pentru prelucrarea datelor.

Totuși, analiza CNPDCP a relevat că, consimțămintele au fost obținute doar de la doi subiecți de date, în timp ce documentele anexate conțineau datele mai multor persoane. Totodată, formulările din consimțăminte erau generale și neclare, neîndeplinind condițiile unui consimțământ valabil (liber, specific, informat, neechivoc).

Mai mult, CNPDCP a relevat că, transmiterea către consilieri a fișelor medicale nu era necesară și proporțională scopului urmărit, întrucât verificarea și ulterior justificarea programului de muncă al personalului medical în răspunsul adresat consilierilor ar fi putut fi realizată prin mijloace administrative non-intruzive.

Ca urmare a celor constatate, CNPDCP a invocat următoarele dispoziții relevante din Legea nr. 133/2011 privind protecția datelor cu caracter personal: art. 4 alin. (1) lit. a), c), e) – prelucrarea trebuie să fie corectă, pertinentă, neexcesivă și limitată scopului; art. 6 alin. (1) – interzice prelucrarea categoriilor speciale de date, inclusiv cele privind starea de sănătate, cu excepțiile expres prevăzute de lege; art. 29 alin. (1) – impune obligația de a asigura confidențialitatea datelor și de a preveni divulgarea neautorizată.

Așadar, concluzionând cele menționate, CNPDCP a constatat că Președintele raionului, nu a respectat principiile legalității, proporționalității și confidențialității în procesul de prelucrare a datelor pacienților.

Prin transmiterea către consilieri a fișelor medicale conținând date sensibile, fără consimțământul persoanelor vizate și fără un temei legal valabil, s-a produs o divulgare neautorizată de date cu caracter personal, fapt ce constituie o încălcare a principiilor de protecție a datelor cu caracter personal. La caz CNPDCP a inițiat procedura contravențională.

4. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, prin care a reclamat acțiunile de prelucrare a datelor cu caracter personal ce îi aparțin, de către o companie.

Astfel, în cadrul investigației s-a constatat că, subiectul de date, într-o perioadă de timp, a avut încheiat contract cu compania în cauză, însă, operațiunile de prelucrare a datelor cu caracter personal efectuate de către operator (persoană juridică) au fost efectuate în mod automatizat, în lipsa consimțământului subiectului de date după expirarea contractului încheiat între aceștia.

Reieșind din materialele prezentate de către operator, s-a constatat faptul că subiectul de date nu a dat acordul/consimțământul său la prelucrarea de către compania în cauză a datelor sale cu caracter personal, ulterior încheierii/închiderii contractului, iar un alt temei legal de prelucrarea datelor cu caracter personal, la caz, nu a fost identificat.

Așadar, prin acțiunile descrise, operatorul de date a încălcat prevederile art. 4 alin. (1) lit. a), e) și art. 5 alin. (1) ale Legii nr.133/2011. La caz CNPDCP a inițiat procedura contravențională.

IV. Activitatea de prevenire

În perioada de referință, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 70 de consultații telefonic, prin intermediul poștei electronice sau la sediul autorității.

V. Știri internaționale și europene

– În perioada 02-03 iulie 2025, reprezentanții CNPDCP, au participat la cea de-a 75-a ședință a Grupului Internațional de Lucru privind Protecția Datelor în Tehnologie (cunoscut sub denumirea de „Berlin Group”), care a avut loc în orașul Tbilisi, Georgia.

Scopul evenimentului a fost de a reuni experți internaționali în domeniul protecției datelor pentru a discuta și analiza impactul noilor tehnologii asupra vieții private și securității datelor cu caracter personal. În cadrul reuniunii, participanții au făcut schimb de bune practici, au prezentat inovații naționale și au abordat provocări emergente precum neurodata, tehnologia 6G și identitatea digitală, în vederea dezvoltării unor recomandări comune care să sprijine îmbunătățirea standardelor de protecție a datelor la nivel internațional

Pe parcursul celor două zile de lucru, au fost abordate subiecte de importanță, cum ar fi:

Neurodata și implicațiile asupra vieții private;
Evoluția tehnologiei 6G și provocările aferente în domeniul protecției datelor;
Identitatea digitală;
Servicii digitale guvernamentale și protecția datelor în cadrul acestora (ex. MY.GOV.GE – portalul unificat de servicii electronice din Georgia);
Prezentări naționale privind inovații și bune practici în domeniul protecției datelor.

Evenimentul a reprezentat un cadru valoros pentru schimbul de experiență internațional, întărirea cooperării între autoritățile de supraveghere și identificarea unor direcții comune de acțiune în fața noilor provocări tehnologice, reunind reprezentanți din 14 țări, precum și delegați ai European Data Protection Supervisor (EDPS) și ai Electronic Privacy Information Center (EPIC).

-La 11 septembrie curent, reprezentanții CNPDCP au participat la ședința plenară Comitetul European pentru Protecția Datelor (EDPB) care a avut loc online. În cadrul reuniunii plenare, EDPB a adoptat ghidul referitor la interacțiunea dintre Legea Serviciilor Digitale (DSA) și Regulamentul General privind Protecția Datelor (GDPR). Acest ghid este primul de acest tip și are scopul de a asigura o aplicare consistentă a ambelor reglementări, având în vedere că unele dispoziții din DSA implică prelucrarea datelor cu caracter personal. În esență, DSA completează GDPR, garantând protecția drepturilor fundamentale ale utilizatorilor în mediul digital și reglementând servicii online, cum ar fi motoarele de căutare și platformele digitale.

Ghidul detaliază modul în care GDPR trebuie aplicat în cadrul obligațiilor DSA, în domenii precum raportarea conținutului ilegal, recomandările automatizate de conținut, protecția minorilor și transparența publicității. De asemenea, acestea sprijină cooperarea între autoritățile de reglementare pentru a oferi certitudine juridică furnizorilor de servicii online și pentru a proteja drepturile utilizatorilor. Ghidul va fi supus unei consultări publice, oferind părților interesate oportunitatea de a oferi feedback.

VI. Alte autorități pentru protecția datelor

-La data de 23 iunie 2025, Autoritatea Poloneză pentru Protecția Datelor Personale a emis o decizie finală prin care a aplicat amenzi administrative în valoare de 4.022.773 euro pentru McDonald’s Polska și 43.680 euro pentru 24/7 Communication pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit), articolului 28 (Persoana împuternicită de operator), articolului 32 (Securitatea prelucrării), articolului 34 (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal) și articolului 38 (Funcția responsabilului cu protecția datelor) din GDPR.

În acest context, SA Poloneză a impus o amendă administrativă în valoare de 4.022.773 euro companiei McDonald’s Polska și 43.680 euro companiei 24/7 Communication.

-Parlamentul Italiei a adoptat o nouă lege privind inteligența artificială (IA), devenind astfel prima țară din Uniunea Europeană cu reglementări cuprinzătoare în domeniul IA, aliniate la legislația UE. Scopul legii este de a promova „utilizarea IA centrată pe om, transparentă și sigură”, punând accent pe „inovație, securitate cibernetică și protecția vieții private”.

Noua legislație prevede:

Pedepse cu închisoarea (1–5 ani) pentru răspândirea ilegală de conținut generat de IA (precum deepfake-uri) atunci când acestea provoacă daune; sancțiuni mai aspre dacă tehnologia este folosită pentru fraude sau furt de identitate.
Protecția minorilor: copiii sub 14 ani vor putea folosi aplicații de IA doar cu acordul părinților.
Reguli stricte de transparență și supraveghere umană pentru utilizarea IA care vor reglementa modul în care tehnologia este utilizată la locul de muncă și în sectoare precum sănătatea, educația, justiția și sportul.
Drepturi de autor: operele create cu ajutorul IA sunt protejate doar dacă există o contribuție intelectuală reală; analiza automată a textelor și datelor va fi permisă doar pentru conținut liber sau pentru cercetare științifică efectuată de instituții autorizate.
Sprijin financiar: guvernul alocă până la 1 miliard de euro (870 de milioane de lire sterline) dintr-un fond susținut de stat pentru investiții de capital în întreprinderi mici și mijlocii, precum și în companii mari active în domeniile inteligenței artificiale, securității cibernetice, tehnologiilor cuantice și telecomunicațiilor.

Guvernul a desemnat Agenția pentru Italia Digitală și Agenția Națională de Securitate Cibernetică să aplice legislația, care a primit aprobarea finală în parlament după un an de dezbateri.

Buletin Informativ Nr. 22

778 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În trimestru doi al anului 2025 (aprilie-iunie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

· 15 aprilie – Inspectoratul de poliție Briceni;

· 20 mai – Inspectoratul de poliție Cahul;

· 10 iunie – Inspectoratul de poliție Cantemir.

În acest context, au fost instruiți 211 reprezentanți din cadrul subdiviziunilor IGP.

· 16 aprilie – Direcția regională Est a IGPF;

· 15 mai – Direcția regională Sud a IGPF;

· 24 iunie – Direcția regională Nord a IGPF.

În acest context, au fost instruiți 165 reprezentanți din cadrul subdiviziunilor IGPF.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

· 16 mai – Subdiviziunile structurale și specializate ale IGM;

· 23 mai – Direcția regională Nord a IGM.

În acest context, au fost instruiți 34 reprezentanți din cadrul subdiviziunilor IGM.

La data de 27 martie 2025, a fost aprobat și semnat de către conducătorii CNPDCP și Serviciului Vamal (SV), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru funcționarii vamali din cadrul SV.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

· 08 aprilie – Biroul vamal Centru și Aparatul Central, Centrul de Instruire (două cursuri de instruire);

· 10 aprilie – Biroul Vamal Centru și Aparatul Central, Centrul de Instruire (două cursuri de instruire);

· 06 mai – Biroul Vamal Sud;

· 08 mai – Biroul Vamal Nord, Bălți;

· 27 mai – Biroul Vamal Nord, Briceni;

· 29 mai – BiroulVamal Nord, Bălți.

În acest context, au fost instruiți 343 de funcționari vamali din cadrul SV.

Astfel, cursuri de instruire au fost organizate pentru următoarele instituții:

· 02 aprilie – Casa Națională de Asigurări Sociale, subdiviziunile teritoriale;

· 03 aprilie – Întreprinderea Municipală „Infocom”;

· 07 aprilie – Agenția Geodezie, Cartografie și Cadastru;

· 19 mai – Serviciul Tehnologia Informației și Securitate Cibernetică;

· 22 mai – Consiliul pentru refugiați Ungheni;

· 03 iunie – Fondul Națiunilor Unite pentru Populație (UNFPA), reprezentanții autorităților publice locale;

· 06 iunie – Cancelaria de Stat, APL-urile de nivelul I și II din raza de activitate a Oficiului teritorial Hâncești;

· 13 iunie – Consiliul pentru refugiați Cahul.

În acest context au fost instruiți 247 reprezentanți ai instituțiilor menționate supra.

Cursurile de instruire au avut drept scop familiarizarea reprezentanților instituțiilor menționate supra cu aspectele ce țin de domeniul protecției datelor cu caracter personal, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc.

În acest sens, acțiuni de informare au fost organizate pe data de 04.04.2025 pentru:

· IPLT “Mihai Stratulat”, comuna Boșcana;

· IPLT “Nicolae Bălcescu”, comuna Ciorescu.

Evenimentele au avut loc în cadrul orelor de Dezvoltare personală, cu participarea în total a 85 de elevi ai claselor IV-a.

Mai mult, în perioada de referință, CNPDCP lansat o campanie amplă de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal, desfășurată sub genericul „Vigilență maximă la transmiterea/oferirea datelor cu caracter personal” în colaborare cu IGP și IGPF. Campania urmărește creșterea gradului de conștientizare în rândul cetățenilor cu privire la riscurile asociate dezvăluirii necontrolate a datelor cu caracter personal. În cadrul acțiunilor desfășurate, cetățenilor li s-au oferit materiale informative și sfaturi practice, fiind atenționați asupra potențialelor pericole legate de transmiterea/oferirea datelor cu caracter personal consemnate în diferite acte, precum: buletinele de identitate, pașapoartele, certificatele de stare civilă, carnetele de pensionar, cardurile bancare și alte acte similare care conțin informații sensibile, precum și consemnarea acestor date în diferite liste, în diverse pretinse scopuri. Reprezentanții CNPDCP au subliniat faptul că, orice solicitare din partea unor persoane terțe privind accesul la asemenea date trebuie tratată cu maximă precauție. Este esențial ca deținătorii/titularii acestor date/acte să verifice legalitatea solicitării și scopul exact al colectării informațiilor ce conțin date cu caracter personal, înainte de a le furniza.

II. Activitatea de control

În perioada aprilie – iunie 2025, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 114 cazuri. În perioada de referință, au fost emise 99 decizii, dintre care în 39 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 27 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1. Centrul a examinat plângerea unui subiect de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a categoriilor speciale de date cu caracter personal, manifestate prin transmiterea de către un Inspectorat de poliție, către Autoritatea Publică Locală (APL), a informației stocate la materialele unui proces contravențional, inițiat în baza plângerii mamei subiectului de date, inclusiv nerealizarea, de către persoana cu funcție de răspundere din cadrul APL a dreptului de acces a subiectului de date la datele cu caracter personal ce îl vizează.

În cadrul investigației, Inspectoratul de poliție a invocat faptul că, divulgarea datelor/informațiilor către persoana cu funcție de răspundere din cadrul APL s-ar fi efectuat reieșind din funcția de agent public a subiectului de date cu caracter personal și Legea nr. 148/2023 privind accesul la informațiile de interes public.

Aplicând prevederile art. 6 alin. (2) din Legea nr. 148/2023 privind accesul la informațiile de interes public, și art. 8 alin. (1) lit. f) din legea vizată supra, s-a determinat că, accesul la informațiile de interes public poate fi limitat în corespundere cu criteriul proporționalității prevăzut la art. 9 dacă dezvăluirea informației va prejudicia protecția datelor cu caracter personal, or, art. 8 alin. (3) stabilește că, prin derogare de la alin. (1) lit. f), este interzisă limitarea accesului la informațiile de interes public care constituie date cu caracter personal referitoare la activitatea profesională a agenților publici, în sensul Legii integrității nr. 82/2017, inclusiv: numele și prenumele; funcția; studiile; experiența profesională; remunerația; conflictele de interese; sancțiunile disciplinare nestinse.

În speța examinată, Centru a constatat că argumentul Inspectoratului de poliție nu este susținut din punct de vedere legal/argumentat juridic, or, materialele acumulate în cadrul procesului contravențional nu aveau tangență cu activitatea de serviciu a subiectului de date, iar autoritatea reprezentativă a populaţiei unităţii administrativ-teritoriale şi executivă a consiliului local nu era parte a procesului contravențional.

Totodată, s-a stabilit că, prelucrarea datelor cu caracter personal/categoriilor speciale de date cu caracter personal a subiectului de date, manifestate prin dezvăluirea prin transmitere de către Inspectoratul de poliție către autoritatea reprezentativă a populaţiei unităţii administrativ-teritoriale şi executivă a consiliului local, a materialelor procesului contravențional, nu poate fi calificată drept conformă, or, cunoașterea acestor date de către persoane terțe, este o ingerință în viața privată a subiectului de date și a familiei acestuia, fiind reținută, la caz, încălcarea prevederilor art. 4 alin. (1) lit. a) și b), art. 6 alin. (1) și art. 7 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal.

Mai mult, CNPDCP a constatat faptul nesoluționării cererii subiectului de date de către autoritatea reprezentativă a populaţiei unităţii administrativ-teritoriale şi executivă a consiliului local, neoferindu-i un răspuns întemeiat/punctat prin care și-ar fi justificat operațiunile de prelucrare a datelor cu caracter personal, fiind constatată încălcarea art. 13 alin. (1) lit. a) din Legea nr. 133/2011 privind protecția datelor cu caracter personal.

2. CNPDCP a examinat plângerea unor subiecți de date cu caracter personal prin care reclamă pretinsa prelucrare neconformă a datelor cu caracter personal, manifestate prin plasarea imaginilor foto/video din care se desprinde domiciliul acestora, însoțite de un text defăimător, pe un cont, în rețeaua de socializare www.tiktok.com.

În cadrul investigației s-a determinat că, petentul și persoanele reclamate sunt rude. Pe fundalul unor relații conflictuale, pe contul utilizatorului din rețeaua de socializare www.tiktok.com, a fost publicat un material video, fiind dezvăluite următoarele date cu caracter personal: identificarea expresă a persoanei, prin mențiunea numelui și prenumelui, cât și a funcției anterior deținute (text inserat chiar pe video); ansamblu de mențiuni de date de localizare și identificare a domiciliului, fapt ce a generat dezvăluirea datelor cu caracter personal/inclusiv identificatorul de localizare a ambilor soți, comunicând și prezentând în înregistrarea video nr/adresa domiciliului, filmând inclusiv interiorul ogrăzii și vociferând intenția de a dezvălui datele cu caracter personal la un număr cât mai mare de persoane.

Supletiv, urmează a menționa că, plasarea cu bună/știință a unor informații/imagini ce conțin date cu caracter personal, pe rețelele de socializare, reprezintă în sine o conștientizare și acceptare a situației că astfel de informații vor căpăta imediat un caracter public, fiind disponibile terților spre vizualizare/colectare/utilizare/dezvăluire etc. În aceste circumstanțe, datele cu caracter personal publicate pe rețelele de socializare pot fi utilizate de persoane terțe în diferite scopuri, inclusiv în scopuri meschine și pot crea riscuri majore, daune psihice și fizice persoanei vizate etc.

În context, CNPDCP notează că datele cu caracter personal care fac obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sunt colectate şi/sau prelucrate ulterior; exacte şi, dacă este necesar, actualizate.

Subsecvent se notează că, în acord cu art. 5 alin. (1) al Legii nr.133/2011 privind protecția datelor cu caracter personal, prelucrarea datelor cu caracter personal se efectuează cu consimțământul subiectului datelor cu caracter personal, precum și în condițiile statuate la alin. (5) al aceluiași articol.

Succesiv, urmare a examinării cazului, nu a fost reținut care a fost necesitatea legitimă a dezvăluirii datelor cu caracter personal ale petenților pe pagina personală din „TikTok”, nefiind identificat temeiul legal care ar justifica dezvăluirea datelor cu caracter personal a petenților, prin publicarea acestora în rețeaua de socializare „TikTok”.

Mai mult, CNPDCP relevă că, circumstanțele unui conflict între rude, nu reprezintă un eveniment de interes public sporit, iar impactul negativ produs asupra petenților, ca urmare a postării înregistrării video, a lezat dreptul ultimilor la viața privată.

În acest context, fiind analizați identificatorii: numele/prenumele și adresa obiectului imobiliar a petenților, în cumul, duc la stabilirea identității subiecților de date și, eventual, a domiciliului persoanei.

Astfel, CNPDCP a determinat că, prelucrarea datelor cu caracter personal cu referire la domiciliu nu poate fi calificată drept conformă, or, cunoașterea acestor date de către publicul larg, este o ingerință în viața privată a subiecților de date, fiind reținută, la caz, încălcarea prevederilor art. 4 alin. (1) lit. a), b, c) și art. 5 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal.

3. CNPDCP, în urma unei sesizări, a efectuat o verificare a informațiilor publicate pe pagina web a Mecanismului oficial de stocare a informațiilor (MSI), în special a rapoartelor semestriale ale instituțiilor bancare licențiate de Banca Națională a Moldovei.

În urma examinării, s-au constatat bănuieli rezonabile privind prelucrarea neconformă a datelor cu caracter personal de către două instituții bancare, prin divulgarea/diseminarea numerelor de identificare de stat (IDNP) ale unor persoane fizice afiliate persoanelor cu funcție de răspundere, consemnate la pct. 14, rândul II din rapoartele semestriale publicate.

În temeiul art. 19–20 și art. 27 alin. (4) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, CNPDCP s-a autosesizat în vederea verificării conformității prelucrării datelor cu caracter personal de către cele două instituții bancare menționate, cu cerințele legale aplicabile în domeniu.

Astfel, una din instituțiile bancare a publicat pe site-ul propriu și în cadrul Mecanismului oficial de stocare a informațiilor (MSI) raportul semestrial, care conținea 47 de IDNP-uri ale unor persoane fizice afiliate persoanelor cu funcții de răspundere, fără a le depersonaliza. Conform Legii nr. 133/2011 privind protecția datelor cu caracter personal, această acțiune reprezintă o prelucrare excesivă și ilegală a datelor, contrar principiilor de legalitate, proporționalitate și confidențialitate.

Cealaltă instituție bancară a publicat pe site-ul oficial MSI raportul semestrial, care includea IDNP-urile a 11 persoane fizice afiliate, încălcând prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal. Conform legii, această informație trebuia transmisă doar autorităților competente și nu făcută publică, întrucât publicarea IDNP-urilor este considerată excesivă și disproporționată față de scopul declarat. Deși banca a invocat obligațiile legale de transparență, CNPDCP a constatat lipsa unui temei legal clar care să justifice publicarea acestor date. Astfel, operatorul a fost considerat responsabil pentru încălcarea condițiilor de prelucrare legală, confidențială și proporțională a datelor personale.

Deși bancile au invocat obligații legale din legislația financiar-bancară, CNPDCP a constatat că nu exista un temei pentru publicarea IDNP-urilor, iar acestea trebuiau raportate exclusiv autorităților competente, nu către publicul larg. La caz, CNPDCP a constatat încălcarea art. 4 alin. (1), art. 9 și art. 29 alin. (1) din Legea nr. 133/2011, intervenind în ordinea contravențională, conform art. 74/1 alin. (1) din Codul contravențional.

Se notează că, instituțiile bancare au demonstrat receptivitate asigurând depersonalizarea datelor publicate, urmare a intervenirii CNPDCP.

4. CNPDCP a examinat o sesizare a Comisiei Electorale Centrale (CEC), referitoare la colectarea semnăturilor de către o persoană neautorizată, în susținerea unui candidat la funcția de Președinte al Republicii Moldova.

În cadrul investigației s-a determinat că, grupul de inițiativă pentru colectarea semnăturilor în susținerea unui candidat al unui Partid Politic, în număr de 100 de persoane, a fost înregistrat la CEC, însă, persoana vizată nu s-a regăsit în lista membrilor grupului de inițiativă care au avut dreptul să colecteze semnături ale susținătorilor candidatului respectiv. În listele de subscripție au fost colectate următoarele date cu caracter personal: numele, prenumele, anul nașterii, seria și numărul din buletinul de identitate, semnătura.

Pornind de la circumstanțele descrise, CNPDCP a constatat că, colectarea de nume, prenume, anul nașterii, domiciliul, seria, numărul actului de identitate și semnătura, ca formă de prelucrare a datelor personale, trebuie să se realizeze într-un cadru legal corespunzător, cu respectarea reglementărilor legale privind protecția datelor și cu obținerea tuturor autorizațiilor necesare, în caz contrar, fiind susceptibilă de a aduce atingere drepturilor fundamentale ale subiecților de date vizați.

Astfel, prin colectarea semnăturilor fără a face parte dintr-un grup de inițiativă legal constituit și fără a obține autorizarea prealabilă din partea CEC, persoana vizată a încălcat prevederile art. 4 alin. (1) lit. a) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, care reglementează principiile fundamentale de prelucrare a datelor.

IV. Activitatea de prevenire

În perioada de referință, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 80 de consultații telefonic, prin intermediul poștei electronice sau la sediul autorității.

5. Știri internaționale și europene

-În perioada 06-09 mai 2025, reprezentanții CNPDCP, au participat la cea de-a 33–a ediție a Conferinței de primăvară a Autorităților Europene de Protecție a Datelor, care a avut loc în orașul Batumi, Georgia.

Conferința de primăvară din acest an, găzduită de Inspectoratul de Stat pentru Protecția Datelor din Georgia, a reunit Autoritățile de Protecție a Datelor din întreaga Europă, în scopul abordării problemelor de interes comun, a tendințelor emergente și a evoluțiilor inovatoare în domeniul confidențialității și a protecției datelor cu caracter personal. Totodată, un obiectiv-cheie al conferinței a fost promovarea cooperării prin încurajarea colaborării între diferitele organisme de protecție a datelor din Europa și profesioniștii care lucrează în cadrul acestora. În plus, conferința a servit drept o platformă europeană unică pentru schimb de experiență și bune practici în domeniul protecției datelor cu caracter personal.

Pe parcursul sesiunilor de lucru, au fost prezentate subiecte de actualitate din domeniul protecției datelor, precum:

Reglementarea inteligenței artificiale și a cadrelor juridice privind protecția datelor la nivel național, european și mondial;
Protecția vieții private și a datelor cu caracter personal ale copiilor;
Impactul evoluțiilor tehnologice moderne și al inteligenței artificiale asupra dreptului la viață privată;
Provocările actuale în ceea ce privește protecția datelor cu caracter personal privind sănătatea;
Rolul responsabililor cu protecția datelor (DPO) și al profesioniștilor din domeniul vieții private, etc.

La eveniment au participat 80 de reprezentanți, inclusiv lideri ai diferitelor Autorități Europene pentru Protecția Datelor. Totodată, au fost prezenți reprezentanții a patru instituții europene: EUROPOL, EUROJUST, EUROSTAT și AEPD.

– În perioada 27-29 mai 2025, reprezentanții CNPDCP, au participat la cea de-a 11 – a ediție a Conferinței internaționale e-Governance Conference 2025, care a avut loc în Tallinn, Estonia. Intitulată „De la octeți la beneficii” (From Bytes to Benefits), conferința a explorat impactul transformării digitale asupra economiei, precum și costurile și beneficiile financiare pe care le implică. Evenimentul a fost unul de referință în domeniul guvernării digitale, cu scopul de a acumula cunoștințe relevante privind transformarea digitală, interoperabilitatea, securitatea cibernetică și utilizarea inteligenței artificiale în administrația publică, precum și de a identifica bune practici și oportunități de colaborare internațională.

Pe parcursul sesiunilor de lucru, au fost prezentate subiecte de actualitate, precum:

De la octeți la beneficii: o abordare strategică a transformării digitale;
Costul real al transformării digitale: investiția pe termen lung;
Consolidarea încrederii și a valorii prin interoperabilitate: motorul eficienței digitale și al creșterii economice;
Modelarea prosperității: leadership politic și alegeri strategice pentru creșterea economică digitală;
Securitatea cibernetică și parteneriatele public-privat: puterea colaborării;
Strategii digitale: construirea unui viitor sigur și prosper.

Totodată, au avut loc sesiuni practice și prezentări tematice: exemple de bune practici din Estonia, Kenya, Ucraina și Brazilia în domenii precum securitatea cibernetică, educație digitală, apărare, date deschise și durabilitate, leadership politic în digitalizare, rolul infrastructurilor digitale centrate pe cetățean, parteneriate public-privat în securitatea cibernetică, workshop-uri tematice: focusate pe interoperabilitate, guvernanță digitală și cadre DPI (Digital Public Infrastructure), designul serviciilor publice asistat de AI, trecerea de la servicii pe hârtie la digitale, rolul societății civile în reziliența cibernetică și expoziții și demonstrații: exemple tehnologice aplicate în domeniul administrației publice și serviciilor de urgență.

Conferința e-Governance Conference 2025 a fost un punct de întâlnire global pentru liderii și practicienii din domeniul guvernanței digitale din întreaga lume, găzduind peste 600 de lideri în dezvoltarea digitală, implementatori de politici și donatori din peste 80 de țări. Evenimentul a fost organizat de Academia de e-Guvernanță (eGA), Ministerul Afacerilor Externe și Centrul Estonian de Cooperare Internațională pentru Dezvoltare și susținut de ITL, Uniunea Europeană, CybExer, Digital Nation, EstoniaHub, FIAP, Recorded Future, orașul Tallinn, Visit Estonia, Grupul Băncii Mondiale și Zetes.

-Conducerea CNPDCP a participat la cea de-a 106-a Sesiune Plenară a Comitetului European pentru Protecția Datelor (EDPB), care a avut loc în perioada 3-4 iunie 2025 la Bruxelles, Belgia.

În cadrul Ședinței au fost discutate și adoptate mai multe documente, printre care:

Orientările privind transferurile de date către autoritățile din țări terțe, care se concentrează asupra articolului 48 din GDPR și clarifică modul în care organizațiile pot evalua cel mai bine în ce condiții pot răspunde în mod legal la cererile de transfer de date cu caracter personal din partea autorităților din țări terțe (adică autorități din țări non-europene).
Raportul „Legislație și conformitate în domeniul securității IA și protecției datelor” prezentat de EDPB, care se adresează profesioniștilor cu competențe juridice, cum ar fi Responsabili cu Protecția Datelor (DPO) sau profesioniști în domeniul confidențialității.
Raportul „Fundamentele sistemelor IA securizate cu date cu caracter personal”, prezentat de EDPB, care se adresează profesioniștilor cu competențe tehnice, cum ar fi profesioniștii în domeniul securității cibernetice, dezvoltatorii sau implementatorii de sisteme IA cu risc ridicat.
Solicitarea Comisiei Europene de a emite un aviz comun al EDPB și al Autorității Europene pentru Protecția Datelor (AEPD) cu privire la propunerea sa de simplificare a obligațiilor de păstrare a evidențelor pentru întreprinderile mici și mijlocii (IMM-uri), întreprinderile mici cu capitalizare medie și organizațiile cu mai puțin de 750 de angajați, ceea ce reprezintă o modificare specifică a articolului 30 alineatul (5) din GDPR. EDPB și AEPD vor emite avizul comun cu privire la această chestiune în termen de opt săptămâni.

-În perioada 17-19 iunie 2025, reprezentanții CNPDCP au participat la cea de-a 48-a ședință plenară a Comitetului Consultativ al Convenției 108, care s-a desfășurat la Strasbourg, Franța. Comitetul a încurajat ferm toate statele părți să semneze și să ratifice Convenția 108+ cât mai curând posibil, or, pentru a intra în vigoare Convenția 108 + este necesar de minim 38 de ratificări. Convenția 108+ rămâne singurul instrument internațional obligatoriu din punct de vedere juridic care protejează datele cu caracter personal și dreptul la viață privată, urmărește să asigure o protecție adecvată a tuturor persoanelor într-o eră digitală în continuă expansiune. Comitetul a organizat o prezentare cu privire la situația actuală a procesului de semnare și ratificare în statele părți precum și a luat act de informațiile furnizate de membrii Comitetului.

În cadrul ședinței s-a adoptat documentul revizuit privind interpretarea articolului 11, cu abținerea Regatului Unit.

Totodată, a fost aleasă d-na Tamar Kaldani în funcția de Comisar pentru Protecția Datelor al Consiliului Europei, prin vot secret. Comitetul a mulțumit comisarului anterior, dl Jean-Philippe Walter, pentru activitatea sa remarcabilă. Dl Jean-Philippe Walter a fost felicitat pentru contribuțiile sale semnificative de peste patru decenii în promovarea dreptului la viață privată.

S-a decis acordarea statutului de observator pentru: Rețeaua Autorităților Africane pentru Protecția Datelor (NADPA), Ecuador, Asociația Profesională din Chile și Autoritatea din Columbia.

Reuniunea a fost extrem de valoroasă pentru urmărirea și înțelegerea evoluțiilor în domeniul protecției datelor. A oferit ocazia de a contribui la dezvoltarea de noi instrumente internaționale, de a sprijini dialogul între state și de a contura direcțiile strategice pentru perioada următoare. Participarea delegației moldovenești la reuniunea de la Strasbourg a consolidat angajamentul Republicii Moldova de a se alinia standardelor europene în domeniul protecției datelor. Evenimentul a facilitat stabilirea de contacte cu autorități omoloage și specialiști internaționali, contribuind la identificarea celor mai bune practici şi a recomandărilor europene relevante. În plus, poziția activă a RM în discuțiile Convenției 108 confirmă sprijinul comunității internaționale pentru eforturile sale de modernizare legislativă.

6. Alte autorități pentru protecția datelor

Amendă administrativă în valoare de 900 000 de euro a fost aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei SOLOCAL MARKETING SERVICES pentru încălcarea articolului 6 (Legalitatea prelucrării) și articolului 7 (Condiții privind consimțământul) din GDPR.

În cadrul tematicii sale prioritare privind controlul prospectării comerciale în 2022, CNIL s-a concentrat asupra practicilor profesioniștilor din acest ecosistem, în special asupra intermediarilor care revând date, numiți brokeri de date. Astfel, CNIL a efectuat investigații asupra SOLOCAL MARKETING SERVICES, care a obținut date de prospectare în principal de la alți brokeri de date, editori de concursuri de jocuri și site-uri de testare a produselor. SOLOCAL MARKETING SERVICES a utilizat aceste date pentru a efectua prospectare comercială prin e-mail către potențiali clienți în numele clienților săi agenți de publicitate. De asemenea, putea transmite o parte din aceste date clienților săi, astfel încât aceștia să poată efectua ei înșiși prospectare electronică.

În urma investigațiilor CNIL a constatat mai multe încălcări, cum ar fi :

– Nerespectarea obligației de a obține consimțământul persoanelor fizice pentru a primi oferte comerciale prin mijloace electronice (articolul L.34-5 din Codul poștal și al comunicațiilor electronice din Franța): aspectul înșelător al formularelor utilizate de brokerii de date a făcut imposibilă obținerea unui consimțământ liber și neechivoc, în conformitate cu cerințele GDPR, care ar fi constituit baza operațiunilor de prospectare efectuate de companie;

– Nerespectarea obligației de a demonstra că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal (articolul 7 din GDPR): Compania nu a furnizat autorității dovada consimțământului persoanelor fizice ale căror date i-au fost transferate de unul dintre principalii săi furnizori. În consecință, CNIL nu a putut examina formularele de colectare utilizate de acest furnizor și, prin urmare, validitatea consimțământului persoanelor vizate.

În acest context, CNIL a impus o amendă administrativă în valoare de 900 000 de euro companiei SOLOCAL MARKETING SERVICES, care a fost făcută publică și o ordonanță de încetare a prospectării comerciale electronice în absența unui consimțământ valabil, împreună cu o penalitate de 10 000 de euro pe zi de întârziere după o perioadă de 9 luni. Cuantumul amenzii a fost stabilit ținând cont de numărul foarte mare de persoane vizate (câteva milioane), de poziția istorică a companiei pe piață, de beneficiul financiar obținut din încălcări și de măsurile luate de companiei pentru a se conforma unor obligații ale sale de la efectuarea controalelor.

Amendă administrativă în valoare de 5 milioane de euro a fost aplicată de către Autoritatea Italiană pentru Protecția Datelor (SA) companiei Luka Inc pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 6 (Legalitatea prelucrării), articolul 12 (Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate), articolului 13 (Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată), articolului 24 (Responsabilitatea operatorului) și articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) din GDPR.

SA Italiană a inițiat o anchetă din proprie inițiativă în urma publicării unor articole de presă și a unei anchete preliminare efectuate cu privire la serviciul Replika, un chatbot cu interfață scrisă și vocală dezvoltat și gestionat de compania americană Luka Inc și bazat pe un sistem de IA generativ. Chatbotul dispune atât de o interfață scrisă, cât și de una vocală, permițând utilizatorilor să „genereze” un „companion virtual” care poate prelua rolul unui confident, terapeut, partener romantic sau mentor.

În urma anchetei, SA Italiană a constatat că presupusele încălcări notificate în februarie 2023 – când a dispus blocarea aplicației – au avut într-adevăr loc. Până la 2 februarie 2023, societatea americană nu a identificat temeiul legal al operațiunilor de prelucrare a datelor efectuate prin intermediul Replika. În plus, Luka Inc a furnizat o politică de confidențialitate care era neconformă din mai multe puncte de vedere. SA italiană a constatat, de asemenea, că, până la 2 februarie 2023, compania nu implementase niciun mecanism de verificare a vârstei – nici la înregistrare, nici în timpul utilizării serviciului – în ciuda faptului că declarase că minorii erau excluși din categoria potențialilor utilizatori.

Evaluările tehnice au relevat că sistemul de verificare a vârstei implementat în prezent de operator continuă să prezinte deficiențe în mai multe privințe.

În acest context, SA italiană a aplicat companiei Luka Inc o amendă administrativă în valoare de 5 milioane de euro pentru încălcarea articolelor 5.1 (a), 5.1 (c), 6, 12, 13, 24 și 25.1 din GDPR. În plus, SA italiană își rezervă dreptul de a investiga și evalua, într-o procedură separată și autonomă, aspectele privind legalitatea operațiunilor de prelucrare efectuate de Luka Inc, cu referire specifică la temeiurile legale pentru prelucrare aplicabile pe întreaga durată de viață a sistemului de IA generativ care stă la baza serviciului Replika.

Amenda administrativă în valoare de 262 500 de euro a fost aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) companiei Centrum Medyczne Ujastek Sp. z o.o. pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 6 (Legalitatea prelucrării), articolului 9 (Prelucrarea de categorii speciale de date cu caracter personal), articolului 13 (Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

Centrum Medyczne Ujastek Sp. z o.o., cu sediul în Cracovia, în perioada 1-23 iulie 2023 a efectuat o monitorizare prin intermediul supravegherii video, în departamentul de neonatologie, înregistrând imagini în care apăreau atât nou-născuți, cât și mamele acestora în timp ce efectuau activități intime, cum ar fi alăptarea. Potrivit explicațiilor furnizate de companie, copiii ale căror imagini au fost surprinse pe înregistrări nu mai necesitau îngrijiri intensive, iar sănătatea lor nu era în pericol.

În urma investigațiilor, SA Poloneză a constatat că supravegherea video efectuată de către centrul medical a fost efectuată cu încălcarea reglementărilor în vigoare și, în plus, a avut un caracter secret – nici pacienții, nici angajații unității nu au fost informați cu privire la înregistrarea continuă a imaginilor. Totodată, s-a stabilit că cardurile de memorie care conțineau înregistrările nu fuseseră criptate și că dispozitivele utilizate pentru înregistrarea imaginilor nu fuseseră configurate pentru a îndeplini cerințele unității. În plus, analiza riscurilor furnizată de centrul medical nu a acoperit riscurile care au fost cauza incidentului și nu a identificat măsurile de securitate care ar fi putut preveni producerea incidentului.

În acest context, SA Poloneză a impus o amendă administrativă în valoare de 157 500 euro pentru încălcarea articolului 6 alineatul (1), a articolului 9 alineatul (1) și articolului 13 alineatul (1,2) din GDPR și o amendă de 105 000 euro pentru încălcarea articolului 24 alineatul (1), a articolului 25 alineatul (1) și a articolului 32 alineatul (1,2) din GDPR.

Buletin Informativ Nr. 21

583 Views

I. Activitățile de sensibilizare, comunicare și instruire efectuate de CNPDCP

În primul trimestru al anului 2025 (ianuarie-martie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

04 februarie – Inspectoratul de poliție Anenii Noi;
11 martie – Inspectoratul de poliție Basarabeasca.

În acest context, au fost instruiți 84 reprezentanți din cadrul subdiviziunilor IGP.

Totodată, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției de Frontieră (IGPF), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGPF, la data de 28 ianuarie 2025. Astfel, la data 12 martie a fost organizat cursul de instruire pentru Inspectoratul General al Poliției de Frontieră, fiind instruiți 45 de reprezentanți.

La data de 27 ianuarie 2025, a fost aprobat și semnat de către conducătorii CNPDCP și Inspectoratului General pentru Migrație (IGM) Planul de instruiri în domeniul protecției datelor cu caracter personal pentru angajații din cadrul subdiviziunilor structurale, specializate și teritoriale ale IGM.

Astfel, cursuri de instruire au fost organizate pentru următoarele subdiviziuni:

26 februarie – Direcția regională Sud a IGM;

26 martie – Direcția regională Centru a IGM;

28 martie – Subdiviziunile structurale și specializate ale IGM.

În acest context, au fost instruiți 61 reprezentanți din cadrul subdiviziunilor IGM.

Astfel, cursuri de instruire au fost organizate pentru următoarele instituții:

13 ianuarie – Întreprinderea de stat „Moldelectrica”;
14 februarie – maib;
13 martie – Școala Superioară de Turism și Servicii Hoteliere din cadrul ASEM;
18 martie – Agenția Națională de Prevenire și Combatere a Violenței împotriva Femeilor și a Violenței în Familie;
25 martie – Agenția Națională pentru Soluționarea Contestațiilor;
26 martie – Biroului de Probațiune Chișinău.

În acest context au fost instruiți 251 de reprezentanți ai instituțiilor menționate supra.

Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost creșterea gradului de conștientizare și educare a copiilor în ceea ce privește: importanța protecției datelor cu caracter personal; identificarea riscurilor din mediul online; adoptarea unui comportament responsabil, sigur și informat în spațiul digital pentru a sprijini copiii să navigheze internetul în mod sigur, etic și informat, reducând vulnerabilitatea lor în fața amenințărilor online. Tematicile abordate în cadrul instruirilor au vizat: ce sunt datele cu caracter personal; cum îți protejezi datele personale online; riscurile și amenințările în mediul online; siguranța pe platformele de comunicare și jocuri online, etc.

Astfel, au fost organizate mai multe cursuri de instruire:

27 ianuarie – IPLT „Ștefan cel Mare”, Chișinău;
27 martie – Gimnaziului Fundul Galbenei, Hâncești;
27 martie – Gimnaziului „Anton Bunduchi”, Hâncești.

Evenimentele au avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a IV-a. În acest context, au fost instruiți 92 de elevi.

Mai mult, în perioada de referință, CNPDCP a găzduit două Vizite de Studiu:

25 februarie – Vizita de Studiu pentru membrii Asociației Europene a Studenților în Drept din Republica Moldova (ELSA);
26 martie – Vizita de Studiu a studenților Facultății de Drept a Universității de Stat din Moldova.

Scopul acțiunilor desfășurate în cadrul evenimentelor s-a axat pe sensibilizarea tinerei generații/comunității universitare privind domeniul protecției datelor cu caracter personal, consolidarea cunoștințelor în domeniu, precum și explorarea cadrului legal aplicabil, drepturile și obligațiile părților implicate și importanța conformității cu diverse domenii. Totodată, studenții au fost informați despre organizarea şi funcţionarea CNPDCP, atribuţiile subdiviziunilor CNPDCP, structura, misiunea, precum și rolul autorității în monitorizarea respectării legislaţiei cu privire la protecţia datelor cu caracter personal. Evenimentele s-au finalizat cu o sesiune de întrebări și răspunsuri documentate cu exemple practice, iar CNPDCP își propune să susțină, în continuare, astfel de eforturi de educare și conștientizare a tinerilor cu privire la importanța domeniului protecției datelor cu caracter personal.

II. Activitatea de control

În perioada ianuarie-martie 2025, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 85 cazuri. În perioada de referință, au fost emise 64 decizii, dintre care în 23 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 40 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

CNPDCP s-a autosesizat, în temeiul art. 20 alin. (1) lit. a), i) și art. 27 alin. (4) al Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal, în partea ce ține de pretinsele vulnerabilități ale paginii web a unui laborator de analize medicale, legate de încălcarea securității categoriilor speciale de date cu caracter personal.

În cadrul examinării materialului acumulat s-a stabilit că, terțe persoane, accesând opțiunea ”Organigrama companiei” și modificând ultimele 3 cifre a link-ului, puteau să vizualizeze sau chiar să descarce fișiere ce conțin date cu caracter personal ale subiecților de date, și anume: nume, prenume, data, luna, anul nașterii, adresa de domiciliu (în unele cazuri) și informații cu caracter medical în partea ce ține de starea de sănătate a acestora.

Astfel, având ca temei materialele acumulate în cadrul controlului inițiat în baza notei de autosesizare a fost confirmat faptul că, laboratorul de analize medicale nu a implementat măsuri organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii, răspândirii, precum şi împotriva altor acţiuni ilicite, măsuri menite să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor prelucrate.

În acest context, s-a constatat că laboratorul de analize medicale a prelucrat datele cu caracter personal ale subiecților de date/pacienților cu nerespectarea cerințelor prevăzute de art. 4 alin. (1) lit. a), art. 29 alin. (1) și 30 alin. (1) din Legea privind protecția datelor cu caracter personal nr. 133 din 08.07.2011.

CNPDCP a examinat o sesizare a Comisiei Electorale Centrale (CEC), referitoare la colectarea semnăturilor de către o persoană, în susținerea unui candidat la funcția de Președinte al Republicii Moldova.

În cadrul investigației s-a determinat că, grupul de inițiativă, în număr de 100 de persoane, pentru colectarea semnăturilor în susținerea unui candidat înaintat din partea unui Partid Politic, a fost înregistrat la CEC, însă, persoana vizată nu s-a regăsit în lista membrilor grupului de inițiativă care au avut dreptul să colecteze semnături ale susținătorilor candidatului respectiv. În listele de subscripție au fost colectate următoarele date cu caracter personal: numele, prenumele, anul nașterii, semnătura, seria și numărul din buletinul de identitate.

IV. Activitatea de prevenire

În perioada de referință, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, au fost acordate 379 de consultații telefonice, fie prin intermediul poștei electronice sau la sediul autorității.

5. Știri internaționale și europene

În perioada 04-05 februarie 2025 la Bruxelles, Belgia a avut loc atelierul de lucru TAIEX privind transpunerea Legii UE privind piețele digitale, organizat de către Direcția Generală pentru Rețele de Comunicații, Conținut și Tehnologie și Direcția Generală pentru Concurență, Comisia Europeană, la care a participat un reprezentant al CNPDCP.

Atelierul a avut ca scop familiarizarea participanților cu cadrul legal al Digital Markets Act (DMA), un act esențial din strategia digitală a Uniunii Europene. Acesta reglementează platformele digitale mari, cunoscute sub denumirea de „gatekeepers”, stabilind obligații și restricții clare pentru a promova un sector digital mai echitabil și mai responsabil.

Atelierul a fost adresat țărilor beneficiare din Balcanii de Vest și a celor din Parteneriatul Estic, inclusiv Albania, Bosnia și Herțegovina, Georgia, Kosovo, Moldova, Muntenegru, Macedonia de Nord, Serbia, Turcia și Ucraina.

Obiectivele principale ale DMA sunt protejarea concurenței, protecția consumatorilor și asigurarea unui acces echitabil pe piețele digitale.

Pentru țările candidate și vecine ale UE, a fost subliniat faptul că alinierea la DMA este esențială pentru integrarea în Uniunea Europeană, iar pașii necesari pentru aceasta sunt în continuare subiect de dezbatere și elaborare.
La 12 februarie curent a avut loc cea de-a 102 ședință plenară a Comitetului European pentru Protecția Datelor (EDPB), care a fost organizată cu prezența fizică la Bruxelles și în cadrul căreia Republica Moldova a participat, în calitate de observator.

EDPB a adoptat o declarație privind asigurarea vârstei și a decis să creeze un grup de lucru pentru aplicarea AI. În plus, Comitetul a adoptat, de asemenea, recomandări privind Codul mondial anti-doping din 2027 al Agenției Mondiale Anti-Doping (WADA). Atunci când se prelucrează date cu caracter personal în scopuri anti-doping, este esențial să se respecte și să se salveze datele personale ale sportivilor.

Obiectivul principal al EDPB este de a evalua compatibilitatea Codului antidoping WADA și a Standardului internațional pentru protecția datelor (ISDP) cu GDPR. Codul și standardele anti-doping ar trebui să supună organizațiilor naționale anti-doping (NADOS) un standard echivalent cu cel al GDPR atunci când procesează date cu caracter personal în scopuri anti-doping.

În timpul ședinței plenare, Comitetul a decis, de asemenea, să extindă domeniul de aplicare al grupului de lucru ChatGPT la aplicarea AI. În plus, membrii EDPB au subliniat necesitatea de a coordona acțiunile APD cu privire la chestiuni sensibile urgente și, în acest scop, vor înființa o echipă de răspuns rapid.
În perioada 20-21 februarie 2025, la Bruxelles, Belgia a avut loc workshop-ul Regional privind implementarea celui de-al Doilea Protocol la Convenția privind Criminalitatea Cibernetică, organizat de proiectul comun al Uniunii Europene și al Consiliului Europei CyberEast+ (Reuniune).

Evenimentul a fost dedicat în special reprezentanților Ministerelor Afacerilor Externe, Ministerelor Justiției, Procuraturilor Generale, Poliției Naționale, Ministerelor de Interne și serviciilor/agențiilor specializate de investigație din cadrul Parteneriatului Estic (Armenia, Azerbaidjan, Georgia, Moldova și Ucraina) în contextul discutării instrumentelor de cooperare sporită și dezvăluirea probelor electronice în cadrul celui de- al doilea protocol adițional la Convenția privind criminalitatea cibernetică (Budapesta).

A fost prezentat cel de-al Doilea Protocol, de asemenea au fost discutate strategii de implementare pentru articolele 6 și 7 (cooperarea directă cu furnizorii de servicii, schimbul de și articolele 8, 9 și 10 (cooperare între state, acces la probe electronice), implementarea articolelor 11 și 12 (proceduri judiciare pentru accesul la probe digitale), precum și articolelor 13 și 14 (cooperarea internațională și protecția datelor).
În perioada 3 – 7 martie 2025, la Paris, Franța a fost organizată Academia „Proiectarea și furnizarea serviciilor în era digitală”. Academia menționată a fost organizată în strânsă colaborare și sinergie între OCDE SIGMA și GIZ EAP Fondul Regional pentru Reforma Administrației Publice.

Raționamentul Academiei de la Paris consta în faptul că în cadrul proiectării și furnizării de servicii, administrațiile publice nu ar trebui să se bazeze doar pe propria experiență și cunoștințe, cum este la momentul actual în țările din cadrul Parteneriatului Estic. Astfel, utilizatorii serviciilor publice ar trebui să fie implicați în exprimarea necesităților și așteptărilor lor. Acolo unde relațiile tradiționale cu cetățenii-utilizatori erau/sunt birocratice și ierarhice, noile relații urmează a fi mai pluraliste și concentrate pe utilizator. Acest lucru necesită o abordare din partea administrațiilor publice pentru implicarea cetățenilor și a întreprinderilor, cu scopul de a obține o perspectivă asupra percepțiilor, așteptărilor și angajamentului lor prin participarea activă.

În cadrul Academiei s-au discutat următoarele aspecte: obiectivele academiei și importanța digitalizării serviciilor publice, principiile administrației publice moderne și guvernarea digitală, (totodată, reprezentanții OECD au prezentat recomandările pentru un design centrat pe utilizator în livrarea serviciilor), a fost analizat Programul „Services Publics +” implementat de Direcția interministerială a Transformării publice, a fost explicată metodologia „Design Thinking” și impactul său asupra inovării în serviciile publice, conceptul de management al schimbării și importanța acestuia, aspectele legate de definitivarea problemelor și la cartografierea părților interesate.

6. Alte autorități pentru protecția datelor
Autoritatea Franceză pentru Protecția Datelor (CNIL) a aplicat o amendă administrativă în valoare de 240 000 de euro companiei KASPR pentru încălcarea articolului 5 Principii legate de prelucrarea datelor cu caracter personal, articolului 6 Legalitatea prelucrării, articolului 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor subiectului de date, articolului 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la subiectul de date și articolului 15 Dreptul de acces al subiectului de date.

KASPR comercializează o aplicație pentru browserul Chrome care permite clienților plătitori să obțină datele de contact profesionale ale persoanelor ale căror profiluri le vizitează pe rețeaua socială LinkedIn. Pentru a face acest lucru, compania creează o bază de date cu detalii de contact de pe LinkedIn și de pe alte site-uri web. Datele de contact astfel colectate permit, în general, clienților companiei să contacteze persoanele vizate, de exemplu pentru prospectare comercială, recrutare sau verificarea identității. Baza de date a KASPR conține aproximativ 160 de milioane de contacte.

CNIL, a primit numeroase plângeri de la persoane care au fost contactate de entități care le-au obținut datele de contact prin intermediul aplicației KASPR.

În urma investigațiilor, CNIL a constatat mai multe încălcări ale GDPR-ului:

Nerespectarea obligației de a avea un temei legal (articolul 6 din GDPR);
Nerespectarea obligației de a defini și de a respecta o perioadă de păstrare a datelor proporțională cu scopul prelucrării (articolul 5-1-e din GDPR);
Nerespectarea obligației de a asigura transparența și informarea persoanelor vizate (articolele 12 și 14 din GDPR).

În acest context, CNIL a aplicat companiei KASPR o amendă administrativă în valoare de 240 000 de euro și a dispus acesteia să înceteze colectarea datelor persoanelor care au ales să limiteze vizibilitatea datelor lor de contact și să șteargă datele colectate în acest mod; să întrerupă reînnoirea automată a stocării datelor cu caracter personal ale persoanelor vizate; să informeze persoanele ale căror date sunt colectate într-un limbaj accesibil și să răspundă cererilor de acces din partea persoanelor vizate, furnizând toate informațiile disponibile privind sursele de colectare a datelor.

Autoritatea de Supraveghere din Hamburg (SA) a aplicat amendă administrativă în valoare de 900 000 de euro unei companii din domeniul serviciilor de colectare a creditelor, pentru încălcarea articolului 5(Principii legate de prelucrarea datelor cu caracter personal) și articolului 6 (Legalitatea prelucrării) din GDPR.

SA din Hamburg a auditat companii cu o prezență puternică pe piață în domeniul serviciilor de colectare a creditelor, în cadrul unui audit direcționat. Hamburg este o locație lider în Europa în acest sector. Datele prelucrate cu privire la debitorii rău-platnici tind să fie deosebit de sensibile și sunt partajate în mod regulat cu alte părți, cum ar fi agențiile de referință pentru credite și serviciile de investigare a adreselor. Prin urmare, persoanele vizate trebuie să poată avea încredere că datele lor vor fi tratate în mod responsabil. Indiferent de plângerile individuale, a fost examinat modul în care datele debitorilor sunt stocate și prelucrate de furnizorii de servicii respectivi. În acest scop, companiilor le-au fost trimise chestionare detaliate, ale căror răspunsuri au oferit o perspectivă cuprinzătoare asupra stocării datelor. În plus, companiilor li s-a cerut să furnizeze documente precum lista activităților de prelucrare, listele măsurilor de securitate și exemple de scrisori utilizate.

În cea mai mare parte, SA din Hamburg a fost în măsură să determine un grad ridicat de profesionalism și sensibilitate. În timpul dialogurilor, au fost obținute îmbunătățiri în ceea ce privește stocarea datelor și transparența față de persoanele vizate. Cu toate acestea, în cazul unei companii, echipa de la SA din Hamburg a constatat în timpul inspecției la fața locului că, înregistrările de date au continuat să fie stocate fără un temei legal, chiar dacă termenele de ștergere au expirat de mult, încălcând astfel art. 5.1 litera (a) și 6 alineatul (1) din GDPR. Chiar dacă înregistrările de date prelucrate inițial nu au fost transmise unor părți terțe în această perioadă, unele dintre acestea nu fuseseră încă șterse din baza de date a companiei la cinci ani după expirarea perioadei legale de păstrare.

În acest context, SA din Hamburg a impus o amendă administrativă în valoare de 900 000 de euro. Decizia este obligatorie din punct de vedere juridic. Compania a recunoscut încălcarea și a acceptat amenda. Aceasta a cooperat în mod profesionist cu Autoritatea de Supraveghere în cadrul urmăririi, motiv pentru care amenda este relativ mică.
Autoritatea Poloneză pentru Protecția Datelor (SA) a aplicat amendă administrativă în valoare de 330 000 de euro unei companii medicale pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului) și articolului 32 (Securitatea prelucrării) din GDPR.

Infrastructura IT a companiei American Heart of Poland S.A. a fost atacată de hackeri, care au obținut astfel acces la datele personale detaliate ale aproximativ 21 000 de persoane. Incidentul a vizat o gamă largă de date, și anume: nume, prenume, prenumele părinților, numele de familie al mamei, data nașterii, date privind veniturile sau activele deținute, date privind sănătatea, numărul contului bancar, adresa de reședință sau de ședere, numărul de identificare personală (numărul PESEL), numele de utilizator sau parola, seria și numărul actului de identitate, numărul de telefon și adresa de e-mail.

SA Poloneză, în cadrul controlului efectuat, a stabilit că:
compania nu a pus în aplicare toate măsurile necesare pentru a proteja datele pe care le prelucra și nu a fost în măsură să determine cauza scurgerii;
compania nu a respectat propriile recomandări privind securitatea datelor, și anume a stocat informațiile privind rezultatele testelor COVID ale clienților pe unități de rețea, în timp ce datele medicale ar trebui stocate pe un sistem dedicat pentru prelucrarea datelor medicale;
platforma cloud utilizată de companie era prea puțin securizată. Trei servere care funcționau la sediul companiei nu beneficiau de asistență tehnică actualizată din partea producătorului (asistența s-a încheiat în ianuarie 2020), software-ul de pe serverele companiei nu fusese actualizat din cauza unei neglijențe din partea personalului IT, astfel încât a fost creată o vulnerabilitate în sistemul IT care ar fi putut contribui la preluarea dispozitivelor de către hackeri;
compania nu s-a protejat în mod adecvat împotriva atacurilor de tip „phishing”, care implică faptul că persoana care atacă sistemul se dă drept o altă persoană. Conform concluziilor președintelui Oficiului pentru Protecția Datelor cu Caracter Personal, este foarte probabil ca hackerii să fi pătruns astfel în sistemul informatic.
Autoritatea Finlandeză pentru Protecția Datelor (SA) a aplicat o amendă administrativă în valoare de 950 000 euro companiei Sambla Group pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

SA Finlandeză a lansat o investigație pe baza unei plângeri depuse de un client. O investigație tehnică a evidențiat probleme grave de securitate a datelor cu privire la serviciile de comparare a împrumuturilor ale operatorului. Atunci când gravitatea problemelor de securitate a datelor a devenit evidentă, în primăvara anului 2024, companiei i s-a ordonat să înceteze imediat prelucrarea datelor cu caracter personal referitoare la solicitanții de împrumuturi în cadrul serviciilor sale electronice.

Serviciile de comparare a împrumuturilor ale Sambla Group nu au impus restricții adecvate pentru a împiedica accesul terților la datele din cererile de împrumut, astfel fiind încălcate prevederile art. 32, art. 25 și art. 5(1)(f)) din GDPR. Din cauza măsurilor precare de securitate a datelor, conținutul cererilor de împrumut ale clienților era accesibil terților prin intermediul URL-urilor personale destinate clienților. Oricine avea acces la URL și suficiente cunoștințe tehnice pentru a exploata vulnerabilitatea de securitate avea acces direct la date. Investigația tehnică a arătat că URL-urile fuseseră vizate de phishing și că datele cu caracter personal fuseseră divulgate unor terți. Informațiile disponibile prin intermediul link-urilor includeau cel puțin datele de contact ale solicitantului împrumutului, precum și informații privind venitul, costurile de întreținere a imobilului, starea civilă și numărul eventual de copii.

În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 950 000 euro, fiind obligat să notifice incidentul clienților săi. Operatorul a anunțat că a încetat să mai utilizeze URL-urile vulnerabile și că a îmbunătățit măsurile de securitate a datelor din serviciile sale.

Buletin Informativ Nr. 20

1138 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În trimestru patru al anului 2024 (octombrie-decembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției de Frontieră (IGPF), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGPF, la data de 21 februarie 2024. Astfel, cursuri de instruire au fost organizate pentru angajații Sectorului Poliției de Frontieră (SPF) în contextul elaborării / implementării de către IGPF a „Conceptului privind autonomia funcțională și decizională a patrulei Poliției de Frontieră în activitatea de supraveghere a frontierei de stat”. Scopul acestora a fost de a spori gradul de percepție a angajaților SPF care supraveghează frontiera în scopul combaterii migrației ilegale, a traficului de persoane și a criminalității transfrontaliere, asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

02 octombrie – Sectorul Poliției de Frontieră Tudora – 1 al Direcției Regionale Est;
09 octombrie – Sectorul Poliției de Frontieră Valea – Perjei al Direcției Regionale Sud.

În acest context, au fost instruiți circa 240 de reprezentanți din cadrul subdiviziunilor IGPF.

La data de 08 iulie 2024, a fost aprobat și semnat de către conducătorii CNPDCP și Casei Naționale de Asigurări Sociale (CNAS), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru angajații din cadrul subdiviziunilor structurale CNAS. Scopul cursurilor de instruire a fost de a spori gradul de percepție a angajaților CNAS asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor; asigurarea securității și confidențialității datelor cu caracter personal de către angajații CNAS, etc.

În acest context, la data de 01 octombrie au fost organizate două cursuri de instruire pentru Casa Teritorială de Asigurări Sociale, regiunea Sud, fiind instruiți 131 de reprezentanți.

În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice, la solicitarea acestora. Cursurile de instruire au avut drept scop familiarizarea funcționarilor publici cu aspectele ce țin de domeniul protecției datelor cu caracter personal în serviciul public, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc. Astfel, cursurile de instruire au fost organizate pentru următoarele instituții:

08 octombrie – Secretariatul Parlamentului;
10 octombrie – Asociația Auditorilor Interni;
15 octombrie – Agenția Națională pentru Ocuparea Forței de Muncă;
17 octombrie – Centrul Național Anticorupție;
18 octombrie – Serviciul Vamal;
24 octombrie – Inspectoratul Control Financiar de Stat;
25 octombrie – Direcţia generală teritorială „Nord” a Centrului Național Anticorupție;
28 octombrie – Direcția Generală Educație, Tineret și Sport a Consiliului Municipal Chișinău;
30 octombrie – Direcția Generală Educație, Tineret și Sport, directorii instituțiilor de educație timpurie din municipiul Chișinău;
05 noiembrie – Direcția Generală Asistență Medicală și Socială;
06 noiembrie – Direcția Generală Educație, Tineret și Sport, directorii instituțiilor de învățământ din municipiul Chișinău;
11 noiembrie – Serviciul Fiscal de Stat;
12 noiembrie – Direcţia generală teritorială „Sud” a Centrului Național Anticorupție;
13 noiembrie – Direcția Generală pentru Protecția Drepturilor Copilului;
22 noiembrie – Inspectoratul General pentru Migrație;
11 decembrie – Curtea Supremă de Justiție.

În acest context au fost instruiți circa 1520 de reprezentanți ai instituțiilor publice.

Totodată, a fost continuată campania de informare și sensibilizare pentru comunitatea școlară cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Astfel, au fost organizate mai multe cursuri de instruire:

04 octombrie – IPLT „Constantin Negruzzi”, Chișinău;
12 noiembrie – IPLT „Mihai Eminescu”, Cahul;
03 decembrie – IPLT „George Coșbuc”, Bălți;
03 decembrie – IPLT „ Lucian Blaga”, Bălți.

Evenimentele au avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a IV-a. În acest context, au fost instruiți 350 de elevi.

II. Activitatea de control

În perioada octombrie – decembrie 2024, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 63 cazuri. În perioada de referință, au fost emise 89 decizii, dintre care în 40 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 35 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1. CNPDCP a examinat plângerea unui subiect de date, care a invocat pretinse prelucrări neautorizate și în exces a datelor cu caracter personal referitoare la acesta, efectuate de către angajatul unei autorități publice, în lipsa unui temei legal.

În cadrul investigației s-a determinat că, angajatul autorității a prelucrat datele cu caracter personal ce aparțin petentei, prin intermediul portalului guvernamental www.date.gov.md, generându-se complimentar/suplimentar datele cu caracter personal a rudelor de gradul-I ale acesteia, ordine în care, în raportul generat de portal, se regăsesc date cu caracter personal despre mama petentei, soțul și feciorul, care, fiind imprimat, a fost anexat la materialul procedurii contravenționale pornite în privința subiectului de date.

Astfel, s-a determinat că agentul constatator din cadrul autorității, în vederea stabilirii identității și domiciliului persoanei în privința căreia a fost pornită cauza contravențională, a accesat datele cu caracter personal ce vizează petenta, urmând a fi consultate doar acele date cu caracter personal ce sunt necesare la întocmirea procesului verbal contravențional, în strictă conformitate cu art. 443 alin. (1) lit. c) Cod contravențional.

În context, se reține că, chiar dacă în extrasul/fișa personală generată automat de portalul guvernamental www.date.gov.md, se regăsesc, inclusiv, datele cu caracter personal ale rudelor persoanei în privința căreia a fost pornit procesul contravențional, agentul constatator din cadrul autorității urma să întreprindă măsuri de depersonalizare a acestor date, dacă se intenționa anexarea fișei la dosarul contravențional, în cazul în care, tehnic în sistem nu a fost posibilă delimitarea lor de subiectul de date cu caracter personal, care erau necesare pentru buna realizare a procedurii contravenționale.

Or, în cazul dat se constată că angajatul autorității a prelucrat excesiv datele cu caracter personal, în circumstanțele în care, operațiunea de prelucrare, manifestată prin imprimarea și atașarea extrasului generat de pe portalul www.date.gov.md, la dosarul contravențional, a categoriilor de date cu caracter personal referitoare la mama, soțul și feciorul petentei, nu au tangență cu cauza examinată și nu a fost necesar de a fi atașate la materialele cauzei, nefiind desprins existența unui temei legal, a unui scop determinat, explicit și legitim și legătura de cauzalitate dintre scop și identificatorii subiectului de date, fiind constatată încălcarea, de către angajatul autorității, a prevederilor art. 4 alin. (1) lit. a), c) și art. 5 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal, fapt ce a determinat existența elementelor constitutive a faptei contravenționale prevăzute de art.74¹ alin.(1) Cod contravențional (nerespectarea condițiilor de bază pentru prelucrarea, stocarea și utilizarea datelor cu caracter personal).

2. CNPDCP a examinat plângerea unui subiect de date, prin care a sesizat pretinsul fapt de prelucrare neconformă a datelor cu caracter personal ce îl vizează– nume, prenume, date privind starea de sănătate efectuate de către directorul Grădiniței în care activa, manifestată prin diseminarea/publicarea pe rețeaua de socializare „Facebook” a Deciziei Consiliului pentru egalitate, fără a asigura confidențialitatea acestor date.

În cadrul investigației, directorul Grădiniţei a recunoscut faptul publicării/diseminării Deciziei Consiliului pentru egalitate, fără depersonalizarea datelor cu caracter personal, pe profilul utilizatorului creat și gestionat de către aceasta pe rețeaua de socializare ,,Facebook”, în scop de transparență și pentru a anihila acțiunile de discriminare create față de personalitatea sa, invocând că, la angajare, în cadrul Instituției de Învățământ Preșcolar, petenta a semnat acordul privind prelucrarea datelor cu caracter personal ale salariaților.

Prin prisma art. 3 al Legii privind protecția datelor cu caracter personal, orice operațiune care se efectuează asupra datelor cu caracter personal prin mijloace automatizate sau neautomatizate, cum ar fi colectarea, utilizarea, dezvăluirea/diseminarea, ștergerea datelor cu caracter personal, corespunzător speței examinate – nume, prenume, date privind starea de sănătate ce duc la identificarea, directă sau indirectă a subiectului de date, constituie o formă de prelucrare a datelor cu caracter personal. Sub aspect de respectare a condițiilor de bază pentru prelucrarea datelor cu caracter personal, legiuitorul a stabilit la art. 4 alin. (1) lit. a) că datele cu caracter personal care fac obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii. Conform art. 5 alin. (1) al Legii menționate, prelucrarea datelor cu caracter personal se efectuează cu consimţămîntul subiectului datelor cu caracter personal.

Astfel, s-a determinat că, deși directorul Grădiniţei, ar avea temei legal de prelucrare a datelor cu caracter personal ale salariaților, în relația de muncă, prelucrarea datelor cu caracter personal ce vizează petenta, manifestată prin diseminarea/publicarea pe rețeaua de socializare „Facebook” a Deciziei Consiliului pentru egalitate, în care se regăsesc informații precum nume, prenume, date privind starea de sănătate nu poate avea loc, și nu poate fi justificată prin existența acordului privind prelucrarea datelor cu caracter personal ale acesteia semnată la data angajării, or, prin acest acord subiectul de date și-a exprimat consimțământul la prelucrarea datelor cu caracter personal de către angajator, în scopul ducerii evidenței angajaților și a realizării obligațiilor legale ce decurg din relațiile de muncă.

Din aceste considerente, CNPDCP a constatat că, operatorul a prelucrat datele cu caracter personal – nume, prenume, date privind starea de sănătate ale petentei în lipsa unui temei legal, nefiind asigurată confidențialitatea datelor prelucrate, acțiuni ce contravin prevederilor art. 4 alin. (1) lit. a), art. 5 alin. (1) și art. 29 alin. (1) ale Legii privind protecția datelor cu caracter personal.

Succesiv, având în vedere faptul că CNPDCP nu a identificat existența unui temei legal de diseminare a datelor cu caracter personal, în temeiul prevederilor art. 20 alin. (2) al actului normativ menționat, s-a dispus ștergerea imaginii foto a Deciziei Consiliului pentru egalitate în care se conțin datele cu caracter personal ale subiectului de date, publicată pe rețeaua de socializare „Facebook”, sau depersonalizarea datelor cu caracter personal, astfel încât detaliile privind circumstanțele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile ori să permită atribuirea doar în condițiile unei investigații care necesită cheltuieli disproporționate de timp, mijloace şi forță de muncă.

IV. Activitatea de supraveghere

În perioada de referință, CNPDCP a venit cu unele precizări și recomandări atât pentru subiecții de date, cât și pentru operatorii de date cu caracter personal:

Atenție! Fraude cu utilizarea datelor cu caracter personal

CNPDCP recomandă repetat vigilență maximă la transmiterea datelor cu caracter personal

În contextul aspectelor recent deplânse inclusiv Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), privind colectarea datelor cu caracter personal consemnate în buletinele de identitate, de către exponenții unei formațiuni politice, în scopul înregistrării pe platforma „PSB” pentru a beneficia de resurse financiare de la instituții bancare din Federația Rusă, acest fapt rezumându-se, în esență, la identificarea existenței unor credite pe numele subiecților de date ce urmează a fi restituite de către ultimii, CNPDCP, în mod repetat atenționează subiecții de date și vine cu următoarele precizări și recomandări pentru aceștia:

CNPDCP în repetate rânduri a îndemnat subiecții de date să demonstreze precauție maximă la dezvăluirea/transmiterea datelor cu caracter personal ce îi vizează, or, actele de identitate (cum ar fi buletinele de identitate, pașapoartele), consemnează o multitudine de date cu caracter personal, care necesită o protecție eficace din partea deținătorului/titularului acestora.

Reiterăm că, în cazul în care vi se solicită prezentarea actelor de identitate și/sau oferirea copiilor de pe aceste acte, sub pretexte diferite, urmează să vă încredințați de legalitatea colectării datelor personale și a utilizării ulterioare a acestor date. Or, oferirea/transmiterea datelor personale de pe aceste documente de către subiectul de date, în alte scopuri decât cele expres prevăzute de lege, poate genera utilizarea ilegală a acestora, în scopuri contrare celor prevăzute inițial, în detrimentul subiectului de date. La fel, subiectul de date cu caracter personal ar putea pierde controlul asupra datelor sale cu caracter personal.

La caz, spețele deplânse CNPDCP demonstrează cert faptul că, transmiterea de către subiecții de date a copiilor de pe buletinele de identitate pentru o pretinsă beneficiere de careva sume bănești, a dus la deschiderea, din numele ultimilor, de credite la instituții bancare de pe teritoriul Federației Ruse, care, în prezent, pretind restituirea datoriilor creditare acumulate (spre exemplu, de către „Promsvyazbank” (PSB Bank) din Federația Rusă).

CNPDCP reliefează că, în condițiile oferirii/transmiterii benevole a datelor cu caracter personal, la baza colectării acestor date personale se invocă/determină existența consimțământului subiectului datelor cu caracter personal (art. 5 alin. (1) al Legii 133/2011), chiar dacă ulterioara utilizare a acestor date se adeverește a fi efectuată în alte scopuri/ în detrimentul subiectului de date vizat.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității fiecărui cetățean în vederea asigurării protecției datelor cu caracter personal, or, securitatea și confidențialitatea acestor date trebuie să constituie o prioritate.

În atenția operatorilor de date cu caracter personal!

Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (CNPDCP), informează că, în conformitate cu prevederile pct. 2.1 al Hotărârii Guvernului nr. 678/2024 cu privire la modificarea și abrogarea unor hotărâri ale Guvernului (facilitarea activității mediului de afaceri VI), care a întrat în vigoare la 15 noiembrie 2024 a fost abrogată Hotărârea Guvernului nr. 1123/2010 privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal (Cerințe).

Accentuăm că abrogarea Cerințelor menționate nu exclude obligația operatorilor, cît şi a persoanelor împuternicite de către aceștia (dacă este cazul), prevăzută la art. 29 şi art. 30 ale Legii nr. 133/2011, de a implementa măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii, răspîndirii, precum şi împotriva altor acţiuni ilicite, măsuri menite să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor prelucrate, inclusiv și de asigurare a confidențialității acestora.

În acest context, recomandăm să consultați Liniile directorii privind măsurile de securitate pentru protecția și prelucrarea datelor cu caracter personal în cadrul sistemelor informaționale, care sunt publicate pe pagina oficială a Autorității naționale de protecție a datelor cu caracter personal la capitolul Recomandările CNPDCP (https://datepersonale.md/data-controllers/ncpdp-guidelines/).

Totodată, comunicăm că implicit, a fost exclusă obligația operatorilor de date cu caracter personal de a prezenta anual, pînă la 31 ianuarie, în adresa CNPDCP rapoarte generalizate despre incidentele de securitate a sistemelor informaționale de date cu caracter personal gestionate.

Pentru oricare informaţie suplimentară, urmează să contactați Direcţia prevenire, supraveghere și evidență a Direcției generale supraveghere și conformitate a CNPDCP, la telefonul de contact nr. 022-811-801/811-802.

Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 35 de consultații telefonice și 6 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

5. Știri internaționale și europene

În perioada 7-8 octombrie 2024 a avut loc cea de-a 97-a ședință plenară a Comitetului European pentru Protecția Datelor (EDPB), care a fost organizată cu prezență fizică. Reprezentantul CNPDCP a participat, ca de obicei, în calitate de observator.

În cadrul ședinței, EDPB a adoptat un șir de documente importante, printre care:
- Avizul cu privire la anumite obligații ca urmare a încrederii în operatori și persoanele împuternicite de operatori;
- Orientări privind prelucrarea datelor cu caracter personal pe baza interesului legitim;
- Declarația privind emiterea regulilor procedurale suplimentare pentru aplicarea GDPR.
Totodată, EDPB și-a adoptat programul de lucru pentru 2024-2025. Acesta este primul dintre cele două programe de lucru care va implementa strategia EDPB pentru anii 2024-2027 adoptată în aprilie 2024. Documentul se bazează pe prioritățile stabilite în strategia EDPB și ia în considerare, de asemenea, necesitățile identificate ca fiind cele mai importante pentru părțile interesate.
În perioada 15-17 octombrie 2024, delegația Republicii Moldova s-a aflat la Bruxelles pentru a prezenta stadiul pregătirilor privind adoptarea și implementarea acquis-ului comunitar al UE în cadrul screening-ului bilateral aferent Capitolului 23 „Justiție și Drepturi Fundamentale”, coordonat de Ministerul Justiției. Pe parcursul a trei zile, circa 25 de profesioniști din diverse instituții cheie din domeniul juridic au susținut 26 de prezentări.

Specialiștii din cadrul Ministerului Justiției, Procuraturii Anticorupție, Centrului Național Anticorupție, Administrației Naționale a Penitenciarelor, Comisiei Electorale Centrale, Ministerului Muncii și Protecției Sociale, Consiliului Audiovizualului, Agenției de Geodezie, Cartografie și Cadastru, și Agenției Relații Interetnice au explicat în fața Comisiei Europene nivelul de transpunere a acquis-ului comunitar și au răspuns la întrebările de precizare. Totodată, reprezentanții instituțiilor au comunicat despre acțiunile planificate pentru continuarea armonizării legislației naționale cu legislația UE.
În perioada 30 – 31 octombrie 2024, reprezentanții CNPDCP au participat în cadrul unei vizite de studiu la Inspectoratul de Stat al Datelor din Letonia (Inspectorat), eveniment organizat în cadrul proiectului intitulat „Consolidarea protecției datelor cu caracter personal în Republica Moldova. Faza I”.

Scopul vizitei de studiu a constat în preluarea celor mai bune practici legale și operaționale de către reprezentanții CNPDCP privind certificarea Responsabililor cu protecția datelor (DPO), Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și în consolidarea mecanismelor de protecție a datelor prin alinierea acestora la standardele și practicile europene.

Pe parcursul celor două zile au fost abordate subiecte de importanță, cum ar fi:

Certificarea Responsabilului cu protecția datelor: scopul certificării DPO, cine emite certificările DPO, cine poate solicita o certificare DPO, care este feedback-ul diferitelor părți interesate cu privire la aceste certificări DPO, etc.
Prezentarea sistemului de certificare DPO : conceperea, dezvoltarea și introducerea certificării DPO: experiențe, eșecuri, succese și lecții învățate;
Evaluarea impactului asupra vieții private în Letonia: cum are loc efectuarea unei DPIA, cine este obligat să efectueze o DPIA, necesitatea efectuării unei DPIA, instruirea altor persoane, cum ar fi angajații autorităților publice cu privire la aspecte legate de confidențialitatea datelor cu caracter personal etc.

În perioada 4-6 noiembrie 2024 la Strasbourg, Franța a avut loc cea de-a 47-a ședință plenară a Comitetului Consultativ al Convenției 108.

Principalele subiecte s-au axat pe situația actuală privind semnările și ratificările Protocolului de modificare a Convenției 108 (CETS nr. 223, denumită Convenția 108+), la moment fiind: 46 de state care au semnat, dintre care 31 de state au ratificat.

Comitetul a încurajat ferm toate statele părți să semneze și să ratifice Convenția 108+ cât mai curând posibil. Pentru a intra în vigoare Convenția 108 + sunt necesare minim 38 de ratificări. Convenția 108+ rămâne singurul instrument internațional obligatoriu din punct de vedere juridic care protejează datele cu caracter personal și dreptul la viață privată, urmărește să asigure o protecție adecvată a tuturor persoanelor într-o eră digitală în continuă expansiune. Comitetul a organizat o prezentare cu privire la situația actuală a procesului de semnare și ratificare în statele părți, a luat act de informațiile furnizate de membrii Comitetului.

Comitetul a discutat stadiul implementării programului de lucru 2022 – 2025 și a decis să înceapă să lucreze asupra considerentelor privind confidențialitatea și protecția datelor în învățarea automată și modelele lingvistice mari (LLM) ca subiect următor.

Comitetul a organizat alegeri pentru Birou. Componența noului Birou este următoarea:

Președinte: Beatriz de Anchorena (Argentina)
Prim-vicepreședinte: Caroline Gloor Scheidegger (Elveția)
Vicepreședinte al doilea: Anamarija Mladinic (Croația)

Membrii biroului:

Alessandra Pierucci (Italia)
Virpi Koivu (Finlanda)
Gonzalo Sosa Barreto (Uruguay)
Ousmane Thiongane (Senegal)

Pe 29 noiembrie 2024, la sediul Consiliului Europei din Strasbourg, a avut loc seminarul „Inteligența artificială și protecția datelor: complementaritate și abordare integrată”. Evenimentul a reunit experți internaționali și reprezentanți ai statelor membre, având ca scop analizarea interacțiunii dintre protecția datelor și dezvoltarea inteligenței artificiale (IA).

Seminarul a subliniat complementaritatea dintre reglementările privind IA și protecția datelor, necesitatea unui control uman în utilizarea tehnologiilor și importanța unei abordări integrate în reglementare. De asemenea, au fost discutate riscurile IA asupra drepturilor fundamentale și metodele de evaluare a impactului acestor tehnologii.

S-a concluzionat că: colaborarea internațională și flexibilitatea reglementărilor sunt esențiale pentru a asigura un cadru juridic robust, care să sprijine inovarea tehnologică, respectând drepturile fundamentale și principiile democratice.

Seminarul a fost organizat cu suportul Comitetului pentru Inteligența Artificială (CAI) și Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrare automatizată a datelor cu caracter personal (T-PD), în colaborarea cu Universitatea de la Strasbourg.
În perioada 2-3 decembrie 2024, la Brussels, s-a desfășurat cea de-a 99-a ședință plenară a Comitetului European pentru Protecția Datelor, un eveniment esențial pentru consolidarea reglementărilor privind protecția datelor în Europa. Republica Moldova a avut onoarea de a participa ca observator, contribuind la discuțiile și deciziile ce vor modela viitorul acestui domeniu.

Pe agenda ședinței s-au aflat subiecte precum aprobarea criteriilor de certificare națională, lansarea Sigiliului european pentru protecția datelor și publicarea Orientărilor privind transferurile de date către țări terțe. Aceste inițiative nu doar că întăresc cadrul legislativ european, ci și promovează transparența și încrederea în modul în care datele personale sunt gestionate.

De asemenea, au fost abordate provocările aduse de tehnologiile emergente, precum inteligența artificială, și s-a subliniat importanța protecției minorilor în mediul digital, prin nominalizarea unui reprezentant EDPB în Grupul de Lucru 6.

Deciziile luate în această ședință reprezintă pași semnificativi spre un viitor digital mai sigur, adaptat la noile provocări tehnologice și care asigură respectarea drepturilor fundamentale ale cetățenilor.
Atelierul European de Gestionare a Cazurilor (ECHW 2024) a avut loc în perioada 5-6 decembrie 2024, la Tallinn (Estonia), fiind organizat de Inspectoratul pentru Protecția Datelor din Estonia. Scopul principal al atelierului a fost de a împărtăși experiențe naționale și bune practici, precum și de a obține rezultate care au urmat unui caz specific sau unei investigații în domeniul încălcărilor dreptului la protecția datelor personale și a vieții private.

Atelierul a reprezentat un dialog participativ între autoritățile de protecție a datelor personale privind provocările cu care se confruntă și soluțiile pe care le aplică în practica lor cotidiană.

Subiectele propuse participanților pentru schimbul de experiențe au inclus cele mai importante provocări în domeniul protecției datelor personale, precum supravegherea video, relația dintre operatorii de date și persoanele împuternicite de operator, noile tehnologii de securitate IT în prelucrarea datelor cu caracter personal, rețelele de socializare etc.

6. Alte autorități pentru protecția datelor
Autoritatea Franceză pentru Protecția Datelor (CNIL) a aplicat o amendă administrativă companiei COSMOSPACE – 250 000 euro și companiei TELEMAQUE – 150 000 euro pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal) și articolului 9 (Prelucrarea de categorii speciale de date cu caracter personal) din GDPR.

Companiile COSMOSPACE și TELEMAQUE oferă servicii de clarviziune la distanță, unul prin telefon și celălalt prin chat online și mesaje text. Controalele efectuate de CNIL în 2021 au scos la iveală mai multe încălcări, printre care colectarea de date sensibile fără consimțământ explicit prealabil (în special date privind sănătatea și date privind orientarea sexuală), păstrarea datelor pentru o perioadă excesivă, trimiterea de mesaje de prospectare comercială către persoane care nu și-au dat consimțământul și, în cazul COSMOSPACE, înregistrarea sistematică a convorbirilor telefonice.

În acest context, CNIL a aplicat o amendă în valoare de 250 000 euro companiei COSMOSPACE și o amendă de 150 000 euro companiei TELEMAQUE. Aceste amenzi au fost adoptate în cooperare cu aproximativ cincisprezece omologi europeni ai CNIL în ambele cazuri. Cuantumurile amenzilor au fost stabilite pe baza gravității încălcărilor, a numărului de persoane vizate – baza de date comună a celor două companii conținând datele a peste 1,5 milioane de persoane – și a sensibilității datelor prelucrate. Situația financiară a companiilor și structurile acestora au fost, de asemenea, luate în considerare, pentru a stabili amenzi disuasive, dar proporționale.
Autoritatea Finlandeză pentru Protecția Datelor (SA) a aplicat o amenda administrativă în valoare de 2,4 milioane euro companiei Posti pentru încălcarea articolului 6 (Legalitatea prelucrării), articolului 13 (Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată), articolului 5 (Principii legate de prelucrarea datelor cu caracter personal) și articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) din GDPR.

SA Finlandeză a investigat prelucrarea datelor cu caracter personal de către compania Posti referitoare la crearea unei căsuțe poștale electronice, urmare a plângerilor primite cu privire la transmiterea de scrisori către serviciul online al Posti fără consimțământul clientului. Operatorul a creat automat o căsuță poștală electronică pentru clienți, fără o cerere separată. Aceasta fusese conectată la un set mai larg de servicii. Ancheta a arătat că clientul nu putea alege dacă să utilizeze sau nu căsuța poștală electronică, deoarece diferite servicii erau legate între ele într-un singur contract.

În urma investigațiilor, SA Finlandeză a constatat că serviciul solicitat de client ar fi putut fi furnizat fără crearea automată a unei căsuțe poștale electronice. De asemenea, operatorul nu și-a informat în mod clar clienții cu privire la activarea căsuței poștale electronice, iar serviciul conținea setări tehnice care nu îndeplineau cerințele de protecție a datelor. Acestea includeau o funcție de selectare activată automat și o casetă de selectare bifată în prealabil.

În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 2,4 milioane euro pentru prelucrare neconformă a datelor cu caracter personal. Totodată, operatorul a fost mustrat pentru lacunele în informare a clienților și i s-a adus la cunoștință faptul că serviciile electronice trebuie create de la început astfel încât să fie prelucrate numai datele cu caracter personal necesare.
Autoritatea Irlandeză pentru Protecția Datelor (DPA) a aplicat o amenda în valoare de 251 milioane de euro companiei Meta Platforms Ireland Limited (Meta) în urma a două investigații privind o breșă de securitate care a afectat datele cu caracter personal ale 29 de milioane de utilizatori la nivel global.

Incidentul, raportat de Meta în septembrie 2018, a implicat acces neautorizat la o serie de categorii de date cu caracter personal, cum ar fi: numele complet al utilizatorului; adresa de e-mail; numărul de telefon; locația; locul de muncă; data nașterii; religia; sexul; postările de pe timeline; grupurile din care făcea parte un utilizator și date cu caracter personal ale copiilor. Aproximativ trei milioane dintre utilizatorii afectați erau din Uniunea Europeană și Spațiul Economic European. Breșa a fost cauzată de exploatarea unor token-uri de utilizator pe platforma Facebook de către terți neautorizați. Deși încălcarea a fost remediată rapid de Meta și de compania mamă din SUA la scurt timp după descoperirea acesteia, DPA Irlandeză a constatat că gigantul tehnologic a încălcat Regulamentul General privind Protecția Datelor (GDPR) prin:

Nerespectarea obligațiilor de documentare a faptelor și a măsurilor luate pentru remediere – articolul 33 (3) și 33 (5);
Neasigurarea că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării -articolul 25 (1) și 25 (2).

În acest context, DPA Irlandeză a impus o amendă în valoare de 251 de milioane de euro companiei Meta. Valoarea acesteia subliniază accentul pus de Uniunea Europeană pe responsabilizarea marilor companii tehnologice, Autoritatea Irlandeză fiind principalul organism de reglementare responsabil pentru obligarea acestora la răspundere. Compania a anunțat că va face apel la decizie.

Buletin Informativ Nr. 19

743 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În trimestru trei al anului 2024 (iulie – septembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 26 ianuarie 2024. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

24 iulie – Inspectoratul de poliție Hâncești;
31 iulie – Inspectoratul de poliție Ciocana;
07 august – Inspectoratul de poliție Centru;
14 august – Inspectoratul de poliție Buiucani;
21 august – Inspectoratul de poliție Botanica;
29 august – Inspectoratul de poliție Râșcani al Direcției de poliție municipiul Chișinău;
10 septembrie – Direcția de poliție a UTA Găgăuzia;
10 septembrie – Inspectoratul de poliție Comrat;
18 septembrie – Inspectoratul de poliție Ciadîr-Lunga;
25 septembrie – Inspectoratul de poliție Vulcănești.

În acest context, au fost instruiți circa 420 de reprezentanți din cadrul subdiviziunilor IGP.

La data de 21 februarie 2024, a fost aprobat și semnat de către conducătorii CNPDCP și Inspectoratului General al Poliției de Frontieră (IGPF), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru personalul Poliției de Frontieră. În perioada de referință, cursuri de instruire au fost organizate pentru angajații Sectorului Poliției de Frontieră (SPF) în contextul elaborării / implementării de către IGPF a „Conceptului privind autonomia funcțională și decizională a patrulei Poliției de Frontieră în activitatea de supraveghere a frontierei de stat”. Scopul acestora a fost de a spori gradul de percepție a angajaților SPF care supraveghează frontiera în scopul combaterii migrației ilegale, a traficului de persoane și a criminalității transfrontaliere, asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

19 septembrie – SPF Briceni al Direcției regionale Nord;
24 septembrie – SPF Sculeni al Direcției regionale Vest.

În acest context, au fost instruiți circa 90 de reprezentanți din cadrul subdiviziunilor IGPF.

Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

08 august – Aparatului central al Casei Naționale de Asigurări Sociale (două cursuri de instruire);
09 august – Casa Teritorială de Asigurări Sociale, mun. Chișinău (două cursuri de instruire);
17 septembrie – Casa Teritorială de Asigurări Sociale, regiunea Nord (două cursuri de instruire);
30 septembrie – Casa Teritorială de Asigurări Sociale, regiunea Centru (două cursuri de instruire).

În acest context, au fost instruiți circa 775 de reprezentanți din cadrul subdiviziunilor CNAS.

În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând cursuri de instruire pentru reprezentanții instituțiilor publice, la solicitarea acestora. La data de 13 august au fost instruiți reprezentanții Centrului pentru Comunicare Strategică și Combatere a Dezinformării (Centrul). Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților Centrului asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare. În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate etc.

În perioada de referință au fost organizate cursuri de instruire pentru instituțiile medicale. La data de 26 septembrie a avut loc cursul de instruire cu genericul „Prevederi legale în domeniul protecției datelor cu caracter personal” pentru reprezentanții Spitalului Clinic de Psihiatrie, având drept scop de a consolida capacitățile personalului medical prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. În cadrul evenimentului au fost abordate subiecte, cum ar fi: definirea datelor cu caracter personal privind starea de sănătate; prelucrarea categoriilor obișnuite de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal privind starea de sănătate; principii de prelucrare a datelor cu caracter personal; drepturile pacienților; obligativitatea caracterului secret a datelor cu caracter personal; confidențialitatea și secretul profesional; divulgarea datelor cu caracter personal privind starea de sănătate; obligativitatea de asigurare a confidențialității și securității datelor cu caracter personal; reducerea la minimum a datelor și limitarea stocării, etc. În cadrul evenimentului au fost instruiți circa 60 de reprezentanți ai Spitalului Clinic de Psihiatrie.

Totodată, în perioada de referință a fost continuată campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Cursul de instruire a fost organizat la data de 10 iulie, pentru Centrul Republican pentru Copii și Tineret „Artico”, fiind instruiți 53 de elevi.

II. Activitatea de control

În perioada iulie – septembrie 2024, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 86 de cazuri. În perioada de referință, au fost emise 87 decizii, dintre care în 36 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 40 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

1. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, efectuate de către o persoană, manifestate prin publicarea mai multor secvențe video cu prezența unor minore pe rețelele de socializare „Facebook” și „Instagram” în lipsa consimțământului subiectului de date și a reprezentantului legal al acestora, invocând că prin acțiunile deplânse a fost încălcat primordial dreptul la viața privată a copiilor, aceste postări fiind contrare intereselor superioare ale copiilor, fapt ce ar reprezenta inclusiv un abuz asupra valorilor familiale.

Chiar dacă operatorul/persoana care a publicat secvențele video a invocat că scopul plasării acestora ar fi unul nobil, și anume: de a prezenta dorința fetelor de a-l aduce acasă pe tatăl acestora și nedorința de a merge cu mama biologică, totuși în ceea ce privește publicarea de imagini și informații despre minori, părinții, tutorii și alte persoane responsabile trebuie să fie conștienți de consecințele pe termen lung ale publicării acestor imagini și să acorde prioritate protejării vieții private și demnității copiilor.

Astfel, CNPDCP subliniază importanța protejării dreptului la viață privată al copiilor, având în vedere vulnerabilitatea acestora și necesitatea de a le asigura un mediu sigur și protejat, inclusiv în mediul digital.

În context, prin decizie s-a constatat că, prelucrarea datelor cu caracter personal ce vizează minorele a fost efectuată cu încălcarea prevederilor art. 4 alin. (1) lit. a), b) și c) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.

Mai mult, având în vedere că speța implica minori, CNPDCP a reținut că, scopul invocat de operator putea fi atins prin utilizarea unor mijloace mai puțin intruzive în viața privată a acestora.

2. CNPDCP a examinat plângerea subiectului de date privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal, materializată prin dezvăluirea datelor cu caracter personal de către un consilier local, urmare a transmiterii live a ședinței consiliului local, fapt ce a dus la divulgarea datelor cu caracter personal a unei persoane despre care se discuta, pentru a-i oferi un ajutor material.

În cadrul investigației, CNPDCP a constatat că datele cu caracter personal ce vizează persoana în cauză, au fost publicate pe rețeaua de socializare ,,Facebook”, urmare a transmiterii live, de către un consilier a ședinței consiliului local cu scopul de a asigura transparența deciziilor luate de consiliu. Drept urmare, au fost divulgate numele, prenumele, boala de care suferă și cuantumul ajutorului. Totuși, potrivit art. 4 alin. (1) lit. a), b) și c) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, datele cu caracter personal care fac obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri, adecvate, pertinente şi neexcesive în ceea ce privește scopul pentru care sunt colectate şi/sau prelucrate ulterior. Or, consilierul local ar fi trebuit să înceteze transmisiunea live, imediat ce a fost informat că urmează să fie discutate informații ce conțin date sensibile cu caracter personal ale unor persoanele fizice, în special conștientizând că informația privind starea de sănătate constituie categorie specială de date cu caracter personal.

În context, în cadrul soluționării plângerii, CNPDCP a constatat prin decizie încălcări ale prevederilor art. 4 alin. (1) lit. a), b), c), art. 5 alin. (1), art. 7 și art. 29 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal de către consilierul local, la divulgarea datelor cu caracter personal ale subiectului de date.

3. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, prin care a solicitat verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal ce îi aparțin de către o persoană necunoscută, acțiuni ce s-au manifestat prin anexarea copiei fișei buletinului de identitate ce îi aparține, la dosarul civil al unei alte persoane.

Astfel, în cadrul investigației s-a constatat că, operațiunile de prelucrare a datelor cu caracter personal efectuate de către operator (autoritate publică), au fost efectuate în vederea pregătirii dosarului personal la angajare a persoanei terțe, unde a fost solicitată și copia buletinului de identitate ce aparține subiectului de date, fapt ce nu este prevăzut în regulamente sau instrucțiuni aferente.

Ulterior, copia fișei buletinului de identitate ce aparține subiectului de date, a fost anexată, împreună cu alte acte ale persoanei terțe, la dosarul civil al acesteia.

În acest sens, urmează a menționa faptul că, conform art. 3 al Legii nr. 133/2011, calitatea de destinatar are orice persoană fizică sau persoană juridică de drept public ori de drept privat, inclusiv autoritatea publică şi subdiviziunile ei teritoriale, căreia îi sunt dezvăluite date cu caracter personal, indiferent dacă este sau nu terţ. Nu sunt considerate destinatari organele din domeniul apărării naţionale, securităţii statului şi ordinii publice, organele de urmărire penală şi instanţele judecătoreşti cărora li se comunică date cu caracter personal în cadrul exercitării competenţelor stabilite de lege.

În urma celor descrise supra, Centru, prin decizie, a determinat că operațiunile de prelucrare a datelor cu caracter ce aparțin subiectului de date contravin prevederilor art. 4 alin. (1), lit. a) și b) și art. 5 ale Legii privind protecția datelor, or, acestea au fost efectuate de către operatorul de date – la caz, autoritate publică, în lipsa unui scop de determinat, explicit și legitim.

IV. Activitatea de supraveghere

În perioada de referință, CNPDCP a venit cu unele precizări și recomandări pentru subiecții de date:

O nouă schemă frauduloasă! Atenție la furnizarea datelor cu caracter personal!

În contextul informațiilor mediatizate, privind colectarea datelor cu caracter personal de către pretinse persoane acreditate de către Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), autoritatea a venit cu următoarele precizări și recomandări pentru subiecții de date:

CNPDCP este o autoritate publică autonomă, independentă şi imparţială faţă de alte autorităţi publice, persoane fizice şi juridice, care îşi exercită atribuţiile ce îi sunt date în competenţă prin Legea privind protecţia datelor cu caracter personal.
În calitate de organ de control al prelucrărilor de datelor cu caracter personal, CNPDCP are o serie de atribuții, cum ar fi: monitorizează respectarea legislaţiei cu privire la protecţia informaţiei şi controlează aplicarea acesteia, în special dreptul la informare, de acces la date, de intervenţie asupra datelor şi de opoziţie; oferă subiecţilor datelor cu caracter personal informaţii referitoare la drepturile lor; dispune suspendarea sau încetarea prelucrării datelor cu caracter personal efectuate cu încălcarea prevederilor legale; efectuează controlul legalităţii prelucrărilor de date cu caracter personal; sesizează organele de drept în cazul existenţei unor indicii privind săvârşirea infracţiunilor legate de încălcarea drepturilor subiecţilor datelor cu caracter personal; constată contravenţii şi încheie procese-verbale conform Codului contravenţional al Republicii Moldova etc.

Angajații CNPDCP pot prelucra date cu caracter personal doar în scopul exercitării atribuțiilor de serviciu/competențelor menționate supra, solicitând informații concrete despre obiectul sesizării aflate în examinare sau controlului inițiat/desfășurat. Datele instituționale oficiale de contact, pot fi verificate pe pagina web a autorității.

Totodată, CNPDCP nu acreditează/autorizează persoane pentru a prelucra date cu caracter personal și/sau pentru a acționa în numele său. Mai mult, persoanele care solicită informații prin asemenea căi dubioase sunt escroci și cel mai probabil, scopul acestora este deposedarea de mijloace financiare, utilizând date cu caracter personal.

În acest context, CNPDCP recomandă cetățenilor:

Nu accesați link-uri din mesaje sau anunțuri publicitare suspecte;
Evitați înregistrarea și completarea sondajelor online dubioase;
Nu furnizați informații ce conțin date cu caracter personal pe site-uri neverificate;
Nu răspundeți la mesajele suspicioase și marcați-le ca SPAM;
Descărcați aplicații numai din surse oficiale;
Nu introduceți date cu caracter personal, la cerere, chiar dacă vi se propun câștiguri fabuloase;
Nu oferiți persoanelor necunoscute acces de la distanță la dispozitive prin aplicații specializate (de exemplu, AnyDesk și TeamViewer);
Nu comunicați nimănui datele cardului bancar;
Nu transferați bani persoanelor necunoscute și nu transmiteți nimănui mijloace bănești prin intermediul persoanelor terțe necunoscute, indiferent de scop.

Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 45 de consultații telefonice și 8 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

5. Știri internaționale și europene

În perioada 09-13 septembrie, reprezentanții CNPDCP au participat în cadrul Academiei pentru Protecția Datelor din Balcanii de Vest și Regiunea Parteneriatului Estic, care a avut loc la Bruxelles, Belgia.

Academia pentru Protecția Datelor este un proiect creat de Comisia Europeană (DG JUST) care oferă suport și instruire pentru Autoritățile de Protecție a Datelor (DPA) din țările din afara UE, oferind acestora o platformă pentru a face schimb de opinii, bune practici și lecții învățate cu omologii lor din UE.

Scopul evenimentului a fost de a prezenta experiența instituțiilor și organismelor relevante ale UE în procesul de implementare a GDPR-ului, oferind o imagine de ansamblu cuprinzătoare și practică a provocărilor apărute în procesul de aplicare a acestuia.

În cadrul Academiei pentru Protecția Datelor din Balcanii de Vest și Regiunea Parteneriatului Estic au fost abordate subiecte de importanță, cum ar fi:

Aspecte cheie din domeniul protecției datelor începând cu septembrie 2023, cu accent pe legislație, implementare și cooperare internațională;
Principii ale administrației publice, cu accent pe furnizarea de servicii și sfera digitală, rolul confidențialității și al protecției datelor cu caracter personal;
Rolul unei Autorități Independente de Protecție a Datelor în ecosistemul de protecție a datelor;
Rolul Responsabililor cu protecția datelor;
Protecția datelor în era digitalizării serviciilor și a inteligenței artificiale;
Asigurarea echilibrului între cerințele legale privind protecția datelor și legislația privind libertatea de informare;
Protecția datelor în contextul acordurilor de colaborare cu EUROPOL și Eurojust;
Regulamentul digital al UE: interacțiunea dintre GDPR și noile reglementări europene privind datele (DSA, DMA, DGA, Data Act);
Transferurile internaționale și reglementarea fluxurilor globale de date, etc.

Evenimentul, organizat de Comisia Europeană, în colaborare cu programul SIGMA, Fondul regional al Parteneriatului estic pentru reformele administrației publice al GIZ, Consiliul de Cooperare Regională și Școala Regională de Administrație Publică, a reunit reprezentanți ai Autorităților de Protecție a Datelor din 10 țări, cum ar fi: Albania, Armenia, Bosnia și Herzegovina, Georgia, Kosovo, Moldova, Muntenegru, Macedonia de Nord, Serbia și Ucraina.

6. Alte autorități pentru protecția datelor

La data de 26 iulie, a fost publicată decizia Autorității Lituaniane pentru Protecția Datelor privind aplicarea amenzii administrative în valoare de 2 385 276 euro operatorului platformei online de comercializare și schimb de haine second-hand – Vinted, UAB pentru încălcarea articolului 5 – Principii referitoare la prelucrarea datelor cu caracter personal, articolului 6 – Legalitatea prelucrării, articolului 12 – Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate și articolului 83 – Condiții generale pentru impunerea amenzilor administrative, din GDPR.

SA Lituaniană a inițiat o investigație în urma plângerilor reclamanților (utilizatori ai platformei Vinted) transmise de SA Franceză și SA Poloneză în 2021 și, respectiv, 2022, susținând că compania nu a pus în aplicare în mod corespunzător cererile acestora cu privire la dreptul de ștergere („dreptul de a fi uitat”) și dreptul de acces.

În urma investigațiilor, SA Lituaniană a constatat că, compania în răspunsurile sale la solicitările de ștergere a datelor cu caracter personal, a declarat că nu va acționa în baza unei cereri specifice, deoarece solicitantul în cauză nu a identificat un motiv specific în temeiul articolului 17 alineatul (1) din GDPR și nu a identificat toate scopurile pentru care datele cu caracter personal specifice ale solicitanților ar continua să fie prelucrate după depunerea cererii.

Totodată, compania pentru a asigura securitatea platformei și a utilizatorilor săi, a aplicat în mod ilegal „shadow blocking” (prelucrarea datelor cu caracter personal cu intenția ca o persoană care se presupune că încalcă principiile de funcționare ale platformei Vinted să părăsească platforma fără a fi conștientă de această prelucrare a datelor sale cu caracter personal) în ceea ce privește unii dintre solicitanți, cu încălcarea principiilor echității și transparenței, iar punerea în aplicare necorespunzătoare a acestor principii au afectat negativ capacitatea utilizatorilor platformei de a-și exercita alte drepturi și de a solicita despăgubiri în temeiul GDPR.

În plus, compania nu a asigurat suficiente măsuri tehnice și organizatorice pentru punerea în aplicare a principiului responsabilității și pentru a putea demonstra că a luat (sau a refuzat în mod rezonabil să ia) măsuri cu privire la dreptul de acces.

În acest context, SA Lituaniană a decis să impună o amendă administrativă în valoare de 2 385 276 euro companiei Vinted, UAB. Atunci când a decis cuantumul amenzii, SA Lituaniană s-a bazat pe Orientările 04/2022 din 24 mai 2023 ale Comitetului European pentru Protecția Datelor privind calcularea amenzilor administrative în temeiul GDPR și a luat în considerare domeniul de aplicare transfrontalier al prelucrării efectuate de companie, faptul că încălcările au afectat un număr mare de persoane vizate și au durat o perioadă lungă de timp.

La data de 02 septembrie, a fost publicată decizia Autorității Suedeze pentru Protecția Datelor privind amenda administrativă în valoare de 1 300 000 euro aplicată companiei Avanza Bank AB pentru încălcarea articolului 5 Principii legate de prelucrarea datelor cu caracter personal, articolul 32 Securitatea prelucrării și articolului 83 Condiții generale pentru impunerea amenzilor administrative din GDPR.

O bancă suedeză a raportat către SA Suedeză o încălcare a securității datelor cu caracter personal. Notificarea precizează că banca a utilizat pixelul Facebook (acum Meta Pixel) pe site-ul său web și în aplicația sa pentru a optimiza marketingul băncii pe Facebook. O setare incorectă a Meta Pixel a însemnat că datele cu caracter personal au fost transferate către Meta pe o perioadă mai lungă de timp. Notificarea băncii precizează că, în perioada 15 noiembrie 2019 – 2 iunie 2021, datele cu caracter personal ale până la un milion de clienți au fost transferate în mod eronat către Meta.

Atunci când banca a luat cunoștință de incident, pixelul Meta a fost dezactivat, iar datele cu caracter personal colectate prin intermediul pixelului au fost șterse de Meta. Totodată, banca și-a revizuit procedurile interne pentru a asigura prelucrarea corectă și sigură a datelor cu caracter personal.

Compania Avanza Bank AB a încălcat prevederile legale stipulate în GDPR, prin faptul că nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a asigura un nivel adecvat de securitate a datelor cu caracter personal ale vizitatorilor site-ului web și ale utilizatorilor aplicațiilor.

În acest context SA Suedeză a impus o amendă administrativă în valoare de 1 300 000 companiei Avanza Bank AB.

La data de 03 septembrie, a fost publicată decizia finală a Autorității Olandeze de Supraveghere cu privire la impunerea amenzii administrative în valoare de 30,5 milioane de euro companiei Clearview pentru încălcarea articolului 6 Legalitatea prelucrării, articolului 9 Prelucrarea de categorii speciale de date cu caracter personal, articolului 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate, articolului 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, articolului 15 Dreptul de acces al persoanei vizate, articolului 27 Reprezentanții operatorilor sau ai persoanelor împuternicite de operatori care nu își au sediul în Uniune și articolului 84 Sancțiuni.

Clearview este o companie americană care oferă servicii de recunoaștere facială. Clienții Clearview pot furniza imagini de pe camere pentru a afla identitatea persoanelor care apar în imagini. În acest scop, Clearview dispune de o bază de date cu mai mult de 30 de miliarde de fotografii ale persoanelor. Compania colectează automat aceste fotografii de pe internet și apoi le convertește într-un cod biometric unic pentru fiecare față fără ca aceste persoane să știe acest lucru și fără ca ele să își fi dat consimțământul în acest sens.

În urma investigațiilor, SA Olandeză a constatat că, în scopul serviciului său „Clearview for law-enforcement and public defenders” (Clearview pentru autoritățile de aplicare a legii și avocați din oficiu), compania prelucrează, fără a avea un temei juridic în acest sens, date cu caracter personal ale persoanelor vizate care se află pe teritoriul Țărilor de Jos, încălcând, astfel, articolul 5 alineatul (1) (a), coroborat cu articolul 6 alineatul (1) din GDPR. Totodată, Clearview încalcă articolul 9 alineatul (1) din GDPR prin prelucrarea unei categorii speciale de date cu caracter personal (date biometrice) ale persoanelor vizate care se află pe teritoriul Țărilor de Jos. SA Olandeză a determinat că Clearview nu informează în mod adecvat persoanele vizate, acționând, în acest caz contrar articolului 12 alineatul (1), coroborat cu articolul 14 alineatele (1) și (2) și contrar articolului 5 alineatul (1) (a) din GDPR. Nu în ultimul rând, Clearview a încălcat articolul 12 alineatul (3), coroborat cu articolul 15 din GDPR, prin faptul că nu a răspuns la două cereri de acces din partea persoanelor vizate și articolul 12 alineatul (2), coroborat cu articolul 15 din GDPR, întrucât Clearview nu facilitează persoanelor vizate de pe teritoriul Țărilor de Jos exercitarea dreptului lor de acces. Faptul că compania nu a desemnat un reprezentant în Uniunea Europeană în sensul articolului 4 alineatul (17) din GDPR, deși sunt obligați să facă acest lucru în temeiul articolului 27 alineatul (1) din GDPR, constituie, de asemenea, o încălcare a GDPR-ului.

În acest context, SA Olandeză a impus companiei Clearview o amendă administrativă în valoare de 30,5 milioane de euro și patru măsuri care fac obiectul unei sancțiuni pentru neconformitate, măsuri care se referă la încetarea încălcărilor încă în curs. Dacă Clearview nu reușește să facă acest lucru, compania va trebui să plătească penalități pentru nerespectare în valoare totală maximă de 5,1 milioane de euro pe lângă amendă.

Buletin Informativ Nr. 18

1134 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În trimestru doi al anului 2024 (aprilie – iunie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

21 mai – Direcția de poliție a municipiului Chișinău;
28 iunie – Direcția patrulare „Sud” a Inspectoratului Național de Securitate Publică.

În acest context, au fost instruiți circa 155 de reprezentanți din cadrul subdiviziunilor IGP.

Astfel, au fost organizate mai multe cursuri de instruire, cum ar fi:

19 aprilie – Instituția Publică Liceul Teoretic „Liviu Rebreanu”;
23 aprilie – Instituția Publică Liceul Teoretic „Iulia Hașdeu”.

Evenimentele a avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii claselor a IV-a “A”, IV-a “B” și IV-a “C”.

În acest context au fost instruiți circa 200 de elevi.

03 aprilie – Sectorului Poliției de Frontieră “Aeroportul Internațional Chișinău” a IGPF;
10 aprilie – Inspectoratul General al Poliției de Frontieră.

În acest context, au fost instruiți circa 120 de reprezentanți din cadrul subdiviziunilor IGPF.

În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc. Astfel, cursurile de instruire au fost organizate pentru următoarele instituții:

04 aprilie – Cancelariei de Stat, oficiile teritoriale;
16 aprilie – Serviciul Național Unic pentru Apelurile de Urgență 112;
18 aprilie – Universitatea Pedagogică de Stat „Ion Creangă”;
16 mai – Institutul de Standardizare din Moldova;
30 mai – Agenția de Guvernare Electronică;
05 iunie – Primăria Municipiului Chișinău;
07 iunie – Ministerul Afacerilor Externe și Integrării Europene;
21 iunie – Serviciului Fiscal de Stat;
25 iunie – Centrul Unificat de Prestare a Serviciilor Publice;
26 iunie – Serviciului Fiscal de Stat, funcționarii fiscali din teritoriu;
27 iunie – Proiectul de înregistrare și evaluare funciară.

În acest context au fost instruiți circa 710 reprezentanți ai instituțiilor publice.

II. Activitatea de control

În perioada aprilie – iunie 2024, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 75 de cazuri. În perioada de referință, au fost emise 83 decizii, dintre care în 34 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 25 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

I. CNPDCP a examinat plângerea unui subiect de date privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal ce-l vizează, de către angajații unei instituții de stat, manifestate prin accesarea/consultarea informației cu caracter personal stocată în resurse informaționale de stat – Registrul de Stat al populației și Registrul de Stat al conducătorilor de vehicule.

În cadrul investigației s-a determinat că, petentul, aflându-se la volanul autoturismului pe care îl deținea, deplasându-se pe un drum public, a fost antrenat într-un conflict cu conducătorul și pasagerul altui autoturism, contrar Regulamentului circulației rutiere. În același timp, un angajat al Serviciului de patrulare a accesat datele cu caracter personal ce vizează subiectul de date prin intermediul Modulului E-Data, invocând ca a fost o accesare eronată, întrucât fiind după orele de serviciu, ar fi fost solicitat de a identifica proprietarul unui autoturism care ar fi fost parcat neregulamentar.

Potrivit pct. 2 și pct. 1 subpct.1 din Regulamentul privind funcționarea Modulului Е-data al sistemului informațional automatizat ”Evidența contravențiilor din domeniul circulației rutiere, a persoanelor care au săvârșit contravenții și a punctelor de реnalizare aplicate”, utilizatorul Modulului are obligația să acceseze informația în strictă conformitate cu prevederile Regulamentului, numai de pe echipamente mobile și fixe din dotare cu uz departamental și doar în timpul exercitării atribuțiilor de serviciu.

Astfel, prin prisma normelor precitate, CNPDCP a constatat сă, angajatul Serviciului patrulare а acționat independent, realizând operațiuni de рrеlucrare а datelor сu саracter personal ale subiectului de date, manifestate prin consultarea, vizualizarea informațiilor сu caracter personal, cum ar fi: nume, рrеnume, раtrоnimic, IDNP, nr. de înmatriculare а vehiculului, datele din permisul de conducere (nr. de permis și categoria, рunсtеlе de penalizare), informații referitor la faptul dacă реrsоаnа este privată sau nu de dreptul special de а conduce etc., în lipsa unui temei legal și fără соnsimțământul subiectului de date, ignorând prevederile art. 4 alin. (1) lit. a), b), c) și art. 5 alin. (1) și art. 9 ale Legii privind protecția datelor cu caracter personal.

Or, la caz, justificarea angajatului serviciului patrulare, рrесum сă а accesat eronat, prin intermediul Modulului E-Data, datele vehiculului antrenat în conflictul din trafic, al cărui număr ar fi asemănător cu cel parcat neregulamentar, obligație ce îi revine prin prisma atribuțiilor de serviciu, nu poate fi reținută drept veridică, întrucât informația în cauză a fost accesată în afara orelor de serviciu.

II. Urmare a unei plângeri depuse de către un subiect de date, CNPDCP s-a autosesizat pe pretinsul fapt de prelucrare ilegală de către un cetățean a datelor cu caracter personal ale persoanelor din diferite localități ale R. Moldova, manifestat prin publicarea pe rețelele de socializare „Facebook” și „YouTube” a unor secvențe video, efectuate prin intermediul unui telefon mobil care determină oferirea unor pachete cu produse alimentare persoanelor în etate, inclusiv a celor țintuite la pat, înregistrându-se imaginea și vocea acestora, precum și date ce țin de vârsta și domiciliul acestora.

În cadrul investigației, Autoritatea de control a constatat că, acesta efectuând acte de caritate, a realizat numeroase înregistrări video în incinta bunurilor imobile ale subiecților de date din diferite localități, în absența consimțământului, în mod deliberat divulgând/dezvăluind prin intermediul postărilor pe rețelele de socializare datele cu caracter personal ale subiecților de date vizați.

Respectiv, utilizând profilul de utilizator din rețeaua de socializare Facebook, precum și canalul de YouTube pe care îl gestionează, operatorul a prelucrat prin divulgare către acces public nerestricționat, date cu caracter personal ce vizează subiecți de date din diferite localități ale R. Moldova, cum ar fi: numele, prenumele, vârsta, domiciliul, precum și imaginea persoanelor, în lipsa unui scop și temei legal care să justifice ingerința în inviolabilitatea vieții private a subiectului de date, situație în care subiecții de date cu caracter personal nu și-au exprimat consimțământul pentru o prelucrare ulterioară a datelor cu caracter personal.

Prin urmare, CNPDCP reiterează că, orice prelucrare de date cu caracter personal trebuie să fie necesară pentru scopul preconizat. Această condiție impune o legătură între prelucrare și interesele urmărite. Cerința necesității se aplică pentru a se asigura că prelucrarea datelor cu caracter personal nu va conduce la o interpretare nejustificat de largă a necesității de a prelucra date. Acest lucru înseamnă că ar trebui să se analizeze dacă sunt disponibile și alte mijloace mai puțin invazive în viața privată a persoanei fizice pentru a servi scopului propus.

CNPDCP nu neagă caracterul benefic al acțiunilor de caritate efectuate, la caz, de către operator, însă publicarea pe rețelele de socializare/internet a datelor cu caracter personal ale persoanelor vizate, în lipsa consimțământului acestora, spre acces public nerestricționat, încalcă principiile de protecție a datelor cu caracter personal, cu atât mai mult că, în multiple cazuri, se constată dezvăluirea informațiilor privind starea de sănătate a subiecților de date, care constituie o categorie specială de date cu caracter personal, necesitând un nivel înalt de protecție.

În consecință, Autoritatea de control a constatat că prelucrarea datelor cu caracter personal ale persoanelor reflectate în secvențele video publicate de către operator se află în contradicție cu principiile de protecție a datelor cu caracter personal, or, asemenea acțiuni contravin dispozițiilor art. 4 alin. (1) lit. a), b) și c), art. 5 alin. (1) și art. 29 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal.

III. CNPDCP a examinat sesizarea parvenită din partea unui organ al puterii de stat cu referire la plângerea unui subiect de date cu caracter personal, care a solicitat verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal ce-l vizează, efectuate prin intermediul mai multor sisteme de evidență automatizate, de către 13 operatori de date dintre care și un organ central de specialitate al administrației publice locale (în continuare – operator de date), în conformitate cu prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal.

În aceste circumstanțe, CNPDCP a inițiat verificarea respectării prevederilor art. 4 lit. a) și b), art. 5 și art. 30 din Legea nr. 133/2011, la prelucrarea datelor cu caracter personal ale subiectului de date.

În cadrul examinării materialului acumulat s-a constatat că, operatorul de date nu a întreprins acțiunile corespunzătoare vizând măsurile organizatorice și tehnice necesare pentru protecția datelor cu caracter personal, menite să asigure un nivel de integritate, confidențialitate și securitate adecvată în ceea ce privește riscurile de prelucrare și caracterul/natura datelor prelucrate în Banca Centrală de Date a cadastrului bunurilor imobile, or, la încetarea raportului de muncă cu angajatul administrației publice locale căruia i-a fost atribuit cont de utilizator la banca centrală de date a cadastrului bunurilor imobile pentru exercitarea atribuțiilor în cadrul acestei entități, acestuia nu i-a fost retras dreptul de acces la resursa informațională menționată.

Astfel, utilizatorul dat, care la moment deține o funcție de demnitate publică, a efectuat operațiunile de prelucrare a datelor cu caracter personal ale subiectului de date cu caracter personal în alt scop, utilizând contul oferit de către administrația publică locală.

IV. CNPDCP a examinat plângerea subiecților de date privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal, materializată prin publicarea datelor cu caracter personal de către Primarul localității, în cadrul unui grup din rețeaua de socializare „Facebook”, a listei de plată a angajaților unei instituții subordonate Administrației Publice Locale, care conținea: numele, prenumele, patronimicul și valoarea salariului per persoană.

În cadrul investigației, CNPDCP a constatat că datele cu caracter personal ce vizează 54 de subiecți, au fost publicate de către primar pe rețeaua de socializare cu scopul de a combate dezinformarea și falsurile răspândite de angajații instituției, precum că primarul ar îngrădi dreptul de a primi salariul.

Astfel, s-a determinat că primarul era convins că datele folosite, precum: numele, prenumele și cuantumul/valoarea salariului sunt date publice, fiind axat pe prevederile Legii nr. 148/2023. Însă, s-a constatat că, persoanele vizate în lista publicată nu sunt funcționari publici, nefiind supuși reglementărilor statuate de Legea 148/2023, cu excepția directorului care este numit în baza de concurs de către Consiliul Local și angajat contractual de către Primar. Mai mult, Legea 148/2023 a intrat în vigoare la data de 08.01.2024.

În rezultatul soluționării plângerii, CNPDCP a constatat prin decizie încălcarea prevederilor art. 4 alin. (1) lit. a), b), c), art. 5 alin. (1) și art. 29 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal de către primarul comunei, la prelucrarea datelor cu caracter personal a subiecților de date vizați în Lista de plată noiembrie 2023.

Totodată, CNPDCP a dispus ștergerea de către primarul comunei din grupul din rețeaua de socializare ,,Facebook” a imaginii unde sunt ilustrate informații ce conțin datele cu caracter personal a subiecților de date vizați în Lista de plată noiembrie 2023.

IV. Activitatea de supraveghere

În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 50 de consultații telefonice și 6 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

5. Știri internaționale și europene

În perioada de 16-17 aprilie curent, reprezentanții CNPDCP a participat la cea de-a 92-a ședință plenară a Comitetului European pentru Protecția Datelor (EDPB). În cadrul ședinței au fost discutate mai multe subiecte și adoptate câteva documente esențiale:

1. Un aviz ca urmare a unei sesizări în temeiul art. 64 alineatul (2) din RGPD privind consimțământul pentru prelucrarea datelor în publicitatea comportamentală: autoritățile din Țările de Jos, Norvegia și Hamburg au solicitat un aviz EDPB privind modelele de tip „consimțământ sau plată” utilizate de marile platforme online. Avizul concluzionează că, de obicei, aceste modele nu oferă un consimțământ valabil, deoarece utilizatorii sunt forțați să aleagă între consimțământul pentru prelucrarea datelor sau plata unei taxe. EDPB recomandă ca platformele să ofere utilizatorilor alternative reale, inclusiv opțiuni gratuite fără publicitate comportamentală.

2. Strategia EDPB pentru perioada 2024-2027, care definește patru piloni principali:

– Consolidarea armonizării și promovarea conformității.

– Consolidarea unei culturi comune de punere în aplicare și a unei cooperări eficiente.

– Salvgardarea protecției datelor în contextul dezvoltării peisajului digital și al reglementărilor încrucișate.

– Contribuția la dialogul global privind protecția datelor.

3. EDPB a adoptat un regulament de procedură, o notă de informare a publicului și modele de formulare de reclamații pentru a facilita punerea în aplicare a mecanismelor de despăgubire din Cadrul UE-SUA privind confidențialitatea datelor. Aceste mecanisme se ocupă de reclamațiile legate de securitatea națională și scopurile comerciale pentru datele transmise după 10 iulie 2023.

În perioada 14-16 mai 2024, reprezentanții CNPDCP au participat la cea de-a 32–a ediție a Conferinței de primăvară a Autorităților Europene de Protecție a Datelor.

Conferința de Primăvară din acest an, găzduită de Inspectoratul de Stat pentru Protecția Datelor din Letonia, a reunit Autoritățile de Protecție a Datelor din întreaga Europă, în scop de a stabili un cadru comun de cooperare pentru a proteja datele persoanelor fizice la nivel european. Totodată, conferința a servit drept o platformă europeană unică pentru schimb de experiență și bune practici în domeniul protecției datelor.

Pe parcursul sesiunilor de lucru, au fost prezentate subiecte de actualitate, precum:

Rolul Autorităților de Protecție a Datelor în era evoluției reglementărilor digitale;
Gestionarea domeniul protecției datelor și al vieții private în era tehnologiilor și inovațiilor emergente;
Protecția datelor privind sănătatea în era digitalizării;
Modelarea protecției datelor prin experiența de cooperare a Autorităților de Protecție a Datelor;
Gestionarea reglementărilor Combaterii Spălării Banilor (AML) și Regulamentului General privind Protecția Datelor (GDPR): provocări, cooperare și conformitate;
Consolidarea conformității cu reglementările AML și GDPR prin strategii de colaborare.

Pentru a doua oară în cadrul unei Conferințe de primăvară a Autorităților Europene de Protecție a Datelor, a fost organizată ziua ușilor deschise. Această practică a oferit posibilitatea mai multor instituții, ONG-uri sau altor organizații care și-au manifestat interesul pentru subiectele abordate în cadrul evenimentului, să participe, inclusiv în format on-line.

La eveniment au participat 145 de reprezentanți din 43 de țări, cum ar fi: Austria, Belgia, Bulgaria, Croația, Danemarca, Franța, Georgia, Germania, Grecia, Ungaria, Italia, Malta, Moldova, Portugalia, România, Spania, Elveția, Ucraina, etc. Totodată, au fost prezenți reprezentanții a patru organizații: FRA, EDPS, EDPB și Comisia Europeană.

În perioada 03-06 iunie, la Bruxelles, Belgia, reprezentanții CNPDCP au participat la evenimentul ”Consiliul de progres al guvernării din țările Parteneriatului Estic”, implementat de GIZ și cofinanțat în comun de Uniunea Europeană și Ministerul Federal German pentru Cooperare și Dezvoltare Economică.

Obiectivul evenimentului a fost de a facilita un dialog practic, la nivel de experți, între instituțiile selectate din țările Parteneriatului Estic (EaP) pe tema bunei guvernanțe. Aceasta include utilizarea criteriilor de referință ale principiilor revizuite ale administrației publice în domenii care se aliniază aspectelor bunei guvernanțe. Aceste aspecte cuprind eficiența guvernamentală, calitatea reglementării, statul de drept, vocea și responsabilitatea, stabilitatea politică și măsurile anticorupție. Evenimentul a avut ca scop aprofundarea practicilor de aplicare a principiilor revizuite la temele bunei guvernanțe, subliniind importanța unei abordări centrate pe cetățean, a responsabilității, transparenței și eficienței ca piloni-cheie ai bunei guvernanțe.

În cadrul evenimentului, participanții au fost împărțiți pe 5 grupuri de lucru, printre care:

– Grupul 1. Supravegherea parlamentară eficientă ca modalitate de creștere a încrederii în guvern;

– Grupul 2: Creșterea eficacității guvernului prin îmbunătățirea proceselor de elaborare a politicilor și de luare a deciziilor;

– Grupul 3: Construirea unui serviciu public profesionist;

– Grupul 4: Transformare prin digitalizare incluzivă;

– Grupul 5: Statul de drept.

În perioada 04-06 iunie, a avut loc cea de-a 46-a ședință plenară a Comitetului Consultativ al Convenției 108, care s-a desfășurat în Strasbourg, Franța.

În cadrul ultimei reuniuni a Comitetului, s-a discutat programul de lucru pentru anii 2022-2025 și situația referitor la semnarea și ratificarea Protocolului de modificare a Convenției 108+, necesar pentru protejarea datelor cu caracter personal. Din cele 46 de state semnatare, 31 au ratificat protocolul, fiind necesare 38 de ratificări pentru intrarea în vigoare. Delegația Republicii Moldova a prezentat progresul în ratificarea protocolului și aprobarea unei noi legi privind protecția datelor, care transpune GDPR, de către Parlament. Ministerul Justiției a menționat că ratificarea Protocolului va fi realizată după adoptarea noii legi.

Comitetul a luat act de angajamentul Costa Ricăi pentru aderare și a discutat modelul de clauze contractuale pentru fluxurile transfrontaliere de date, adoptând documentul final. S-a prezentat și proiectul revizuit privind interpretarea articolului 11 din Convenția 108 modernizată. Profesorul Colin J. Bennett a prezentat un document despre prelucrarea datelor în procesul electoral, adoptat ulterior de Comitet.

Cooperarea cu alte organe ale Consiliului Europei a fost discutată, salutând adoptarea noii Convenții-cadru privind IA. Biroul a luat act de raportul de expertiză și a îndemnat la elaborarea ghidurilor privind neuroștiința și protecția datelor. Delegația Republicii Moldova a relatat despre conferința națională „Creșterea gradului de conștientizare cu privire la Convenția 108+”, organizată în colaborare cu experții TAIEX.

Reuniunea plenară a avut loc cu participarea reprezentanților din 54 de țări, următoarea întâlnire fiind programată pentru 4-6 noiembrie 2024, iar următoarea reuniune a Biroului pentru 11-13 septembrie 2024.

În perioada 18-19 iunie 2024, a avut loc cea de-a94-a ședință plenară a Comitetului European pentru Protecția Datelor la Bruxelles, Belgia, la care Republica Moldova a participat în calitate de observator. În cadrul ședinței, Zdravko Vukić, directorul Agenției Croate pentru Protecția Datelor, a fost ales vicepreședinte al EDPB, succedându-l pe Aleid Wolfsen. Vukić, împreună cu Irene Loizidou Nikolaidou și Anu Talus, vor asigura aplicarea consistentă a normelor UE privind protecția datelor și vor promova cooperarea între autoritățile de protecție a datelor din Spațiul Economic European.

În cadrul reuniunii, au fost adoptate Orientările 01/2023 privind articolul 37 din Directiva privind aplicarea legii. Aceste orientări oferă îndrumări referitoare la garanțiile adecvate ce trebuie aplicate de autoritățile competente conform articolului 37 LED și așteptările EDPB în negocierile între statele membre și terțe părți sau organizații internaționale.

De asemenea, s-a discutat despre cele mai bune practici pentru organizarea reuniunilor plenare ale EDPB, subliniind importanța transparenței, eficienței procedurilor, consensului în decizii și urmărirea implementării acestora. Printre recomandări s-au numărat respectarea principiului transparenței, utilizarea eficientă a instrumentelor digitale, promovarea dialogului constructiv și evaluarea periodică a eficacității reuniunilor. Aceste practici sunt esențiale pentru asigurarea unei guvernanțe eficiente și a unei protecții adecvate a datelor personale în Uniunea Europeană.

6. Alte autorități pentru protecția datelor

La data de 08 mai, a fost anunțat despre decizia Autorității Finlandeze pentru Protecția Datelor (FI SA) privind aplicarea amenzii administrative în valoare de 856 000 euro companiei Verkkokauppa.com pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal și art. 25 Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit din GDPR.

FI SA a investigat activitățile retailer-ului online Verkkokauppa.com în urma unei plângeri depuse de un client. Operatorul îi ceruse acestuia să se înregistreze în calitate de client înainte de a face cumpărături online. Cumpărăturile în magazinul online nu erau posibile fără crearea unui cont de client.

În urma investigațiilor s-a constatat că, operatorul nu a specificat perioada de stocare a datelor colectate pentru conturile de client din magazinul său online, iar acestea au fost stocate pe un termen nelimitat. Totodată, practica operatorului de a solicita crearea unui cont de client pentru a face achiziții online a încălcat legislația privind protecția datelor. Crearea unui cont de client sau stocarea datelor cu caracter personal care rezultă din această creare poate să nu fie o cerință obligatorie pentru a face achiziții individuale online.

În acest context, FI SA a impus o amendă administrativă în valoare de 856 000 de euro operatorului pentru că nu a definit perioada de stocare a datelor cu caracter personal privind conturile clienților. Operatorului i s-a impus să precizeze o perioadă de stocare adecvată pentru datele din conturile clienților și să își rectifice practica de înregistrare obligatorie. De asemenea, compania Verkkokauppa.com a primit o mustrare pentru practici care încalcă legislația privind protecția datelor.

La data de 02 mai, a fost anunțat despre decizia Autorității pentru Protecția Datelor din Republica Cehă (SA) din 10 aprilie 2024 privind aplicarea amenzii administrative în valoare de 13,9 milioane de euro unei companii înregistrată în Republica Cehă pentru încălcarea art. 6 Legalitatea prelucrării și art. 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată din GDPR.

Cazul se referă la transferul de către operator a datelor cu caracter personal colectate de către acesta de la utilizatorii software-ului său antivirus către o companie afiliată. Procedura a fost inițiată pe baza rapoartelor din mass-media și a unui dosar anonim.

În urma investigațiilor, SA Cehă a constatat că operatorul a transferat datele cu caracter personal ale utilizatorilor de software antivirus și de extensii de browser către compania afiliată fără a avea un temei legal pentru o astfel de prelucrare. Datele transferate se refereau la aproximativ 100 de milioane de utilizatori și cuprindeau în special istoricul de navigare pe internet pseudonimizat al utilizatorilor, legat de un identificator unic. În plus, SA Cehă a constatat că operatorul și-a informat în mod eronat utilizatorii (subiecții de date) cu privire la transferurile de date menționate, întrucât a susținut că datele transferate au fost anonimizate și utilizate exclusiv pentru analiza statistică a vânzărilor. Totodată, Autoritatea Cehă pentru Protecția Datelor a concluzionat că istoricul de navigare pe internet, chiar dacă nu este complet, poate constitui date cu caracter personal, deoarece ar putea avea loc o reidentificare a cel puțin unora dintre subiecții de date. Încălcarea operatorului este cu atât mai gravă cu cât acesta este unul dintre cei mai importanți experți în domeniul securității cibernetice, care oferă publicului instrumente de protecție a datelor și a vieții private.

În acest context, operatorului de date i-a fost impusă o amendă administrativă în valoare de 13,9 milioane de euro (351 milioane coroane cehe). Decizia este definitivă și executorie.

Buletin Informativ Nr. 17

870 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În primul trimestru al anului 2024 (ianuarie – martie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), inițiate în 2023, conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 26 ianuarie 2024. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

30 ianuarie – Inspectoratul Național de Securitate Publică al IGP (Direcția coordonare operațională, Direcția poliției de patrulare, Direcția ordine publică, etc.);
02 februarie – Inspectoratul Național de Securitate Publică al IGP (Secția escortă misiuni speciale, Secția patrulare „Chișinău” a Direcției patrulare “Centru”, etc.);
26 februarie -Direcția patrulare „Nord” a INSP;
26 februarie – Direcția „Nord” a INI.

În acest context, au fost instruiți circa 200 de reprezentanți din cadrul subdiviziunilor IGP.

Totodată, în perioada de referință a fost continuată campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Cursul de instruire a fost organizat la data de 25 ianuarie, pentru instituția Publică Liceul Teoretic „Spiru Haret” din Chișinău. Evenimentul a avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a V-a “B”. În acest context, au fost instruiți 36 de elevi.

06 martie – Direcția regională Nord a IGPF (2 cursuri de instruire);
13 martie – Direcția Regională Sud a IGPF (2 cursuri de instruire);
20 martie – Direcția Regională Est a IGPF (2 cursuri de instruire);
27 martie – Direcția Regională Vest a IGPF (2 cursuri de instruire).

În acest context, au fost instruiți circa 250 de reprezentanți din cadrul subdiviziunilor IGPF.

07 februarie – Primăria municipiului Chișinău;
08 februarie – Comisia Națională a Pieței Financiare;
23 februarie – Ministerul Sănătății;
15 martie – Pretura Sectorului Râșcani;
21 martie – Judecătoria Chișinău;
22 martie – Agenția de Intervenție și Plăți pentru Agricultură;
26 martie – Ministerul Dezvoltării Economice și Digitalizării;

În acest context au fost instruiți circa 285 de reprezentanți ai instituțiilor publice.

II. Activitatea de control

În perioada ianuarie – martie 2024, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 87 de cazuri. În perioada de referință, au fost emise 96 decizii, dintre care în 34 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 38 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

I. CNPDCP a examinat plângerea unui subiect de date – director al unei instituții de învățământ profesional tehnic privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal ale 96 de angajați din cadrul instituției de către un fost angajat.

În cadrul investigației, din materialele acumulate, CNPDCP a dedus că ultimul, avînd acces la arhiva școlii în perioada sa de activitate, a colectat și dezvăluit informații ce conțin date cu caracter personal ale angajaților instituției precum: numele, prenumele, funcția și salariul către Ministerul Educației și Cercetării sub forma de sesizare privind anumite abuzuri comise de administrația instituției în perioada când acesta era angajat, iar documentele anexate la sesizare au servit drept material probatoriu pentru a demonstra cele invocate de către ultimul.

Urmează a fi menționate prevederile art. 69 alin. (2) Cod administrativ, care statuează că, în cazul depunerii unei petiţii, autoritatea publică este obligată să inițieze o procedură administrativă.

În acest context, CNPDCP relevă că dezvăluirea unor informații ce conțin date cu caracter personal, nu pot să contravină principiilor de protecție a datelor cu caracter personal, atât timp cât acestea sunt necesare pentru realizarea unui interes legitim al persoanei față de organele competente, în scopul probării anumitor fapte pentru apărarea drepturilor și intereselor sale sau a societății în întregime, or, în speța supusă examinării, prelucrarea datelor cu caracter personal a fost pertinentă în ceea ce priveşte scopul pentru care au fost dezvăluite, în circumstanțele în care, situația deplânsă de operator către Ministerul Educației și Cercetării viza și angajații a căror date cu caracter personal erau consemnate în documentele anexate la sesizare.

În circumstanțele expuse supra, urmează a menționa că, prin prisma art. 5 alin. (5) lit. e) al Legii 133/2011, consimțământul subiectului datelor cu caracter personal nu este cerut în cazul în care prelucrarea este necesară pentru realizarea unui interes legitim al operatorului sau al terţului căruia îi sunt dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal.

Astfel, CNPDCP a constatat că prelucrarea datelor cu caracter personal ale persoanelor reflectate în listele transmise de către fostul angajat către Ministerul Educației și Cercetării, nu a fost în contradicție cu principiile de protecție a datelor cu caracter personal, or, o astfel de prelucrare de date cu caracter personal a avut la bază un interes legitim, fapt prevăzut de art. 5 alin. (5) lit. e) al Legii 133/2011.

II. CNPDCP a recepționat plângerea unei persoane fizice privind verificarea legalității prelucrării datelor cu caracter personal prin intermediul unui sistem de supraveghere video care a fost instalat în scara unui bloc locativ, precum și pe peretele exterior al blocului de către vecinul acesteia.

Respectiv, la caz, CNPDCP a constatat că prin intermediul sistemului de supraveghere video sunt prelucrate datele cu caracter personal (imaginea) ale subiecților de date care au domiciliul pe adresa aplasării blocului locativ și ale vizitatorilor, întrucât unghiul de captare al camerelor de supraveghere monitorizează/înregistrează video spațiul ce constituie parte comună a blocului (intrarea în bloc, scările blocului, curtea comună și drumul public) care zilnic este traversat de un număr impunător de persoane fizice (locatarii altor scări), operațiuni prin care se încalcă drepturile şi libertățile fundamentale ale acestora, excesiv scopului declarat.

Astfel, CNPDCP a constatat că, în cazul în care supravegherea video efectuată prin intermediul camerei de supraveghere video gestionată de către operator se extinde asupra spațiului comun sau spațiului public și, în consecință, este îndreptată în afara sferei private a persoanei care efectuează prelucrarea datelor cu caracter personal prin aceste mijloace, aceasta nu poate fi considerată drept o activitate exclusiv „pentru nevoi personale sau familiale”.

Or, chiar dacă există consimțimântul/acordul locatarilor din scară de a prelucra datele cu caracter personal prin intermediul sistemului de supraveghere video, se notează că în cazul blocurilor de locuit, un sistem de supraveghere video ar putea fi montat doar de către Asociația de Proprietari în Condominiu la intrarea/ieșirea în/din blocurile de locuit, pe perimetrul exterior al clădirii, precum și în spațiile adiacente acestora (spații de parcare, căi de acces, etc.).

Pornind de la dispozițiile art.34 alin. (3) lit. ,,f” din Legea cu privire la condominiu și art. 546 alin. (1) si alin. (2) din Codul Civil, în cazul în care are loc supravegherea video a spațiului comun din condominiu, atunci doar Asociația de Coproprietari în Condominiu ar avea temei legal de prelucrare a datelor cu caracter personal în acest scop.

Mai mult, s-a determinat că camera de supraveghere video dispunea de funcție ,,înscriere audio”.

Astfel, s-a accentuat că, înainte de instalarea unor camere de supraveghere video cu înregistrarea audio, operatorul trebuie întotdeauna să examineze critic dacă această măsură este, în primul rând, adecvată pentru îndeplinirea obiectivului dorit și, în al doilea rând, proporțională și necesară pentru scopurile sale, în raport cu drepturile și libertățile fundamentale ale subiecților de date. Or, în timpul prelucrării datelor sunt înregistrate și stocate nu doar conversațiile private ale membrilor familiei, persoanelor interesate, ci și a persoanelor terțe ce nimeresc în raza de acțiune a dispozitivelor de înregistrare video/audio, nerespectându-se astfel principiul inviolabilității vieții private, consacrat la art. 28 al Constituției Republicii Moldova, conform căruia, statul respectă și ocrotește viața intimă, familială și privată.

Prin urmare, colectarea/înregistrarea imaginii și vocii subiecților de date cu caracter personal, prin intermediul camerelor de supraveghere video în cauză, constituie o măsură excesivă și disproporționată în raport cu scopul declarat.

În această ordine de idei, s-a determinat că, colectarea categoriei de date cu caracter personal, precum imaginea și vocea, prin intermediul sistemului de supraveghere video reclamat, se efectua contrar prevederilor art. 4 alin. (1) lit. a) și c), art. 5 alin. (1) ale Legii privind protecția datelor cu caracter personal, fiind dispusă încetarea prelucrării datelor cu caracter personal prin sistemul de supaveghere video reclamat.

III. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, privind pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, efectuate de către o instituție de învățământ, manifestate prin publicarea unei înregistrări audio, în care este vizat acesta și copilul său minor, pe rețeaua de socializare „Facebook” a instituției, invocând dreptul la replică, ca urmare a unui conflict mediatizat.

În context, prin decizie s-a constatat că, prelucrarea datelor cu caracter personal ce vizează subiectul de date a fost efectuată cu încălcarea prevederilor art. 4 alin. (1) lit. a), b), c) și art. 5 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal, accentuându-se că nu a fost identificat nici un temei legal pentru publicarea datelor cu caracter personal pe pagina de „Facebook”, care este deschisă publicului larg, precum și invocarea dreptului la replică nu este relevant, or, CNPDCP nu a pus la îndoială și nu a negat dreptul operatorului la replică sau la dezmințirea relatărilor false, însă, toate aceste acțiuni urmau a fi efectuate cu respectarea tuturor principiilor de prelucrare a datelor cu caracter personal statuate de Legea 133/2011. Mai mult, având în vedere că speța implica un minor, CNPDCP a reținut că, scopul invocat putea fi atins prin utilizarea unor mijloace inofensive și mai puțin intruzive în viața privată a acestuia.

IV. CNPDCP a examinat sesizarea unei Asociații Obștești, prin care a fost solicitată verificarea legalității prelucrării datelor cu caracter personal, efectuată de către o persoană publică, manifestată prin publicarea unei secvențe video pe canalul de ,,Youtube’’, în care se regăsesc datele cu caracter personal ale unei minore.

În cadrul investigației s-a determinat că, imaginea minorei a fost clară și a dus la identificarea acesteia, fiind comunicate mai multe date cu caracter personal ale acesteia, precum numele și prenumele, adresa, data și anul nașterii, vârsta, sexul, starea de sănătate etc.

Pornind de la circumstanțele descrise, CNPDCP a constatat că, plasarea în spațiul on-line a informațiilor ce conțin date cu caracter personal ale minorei, a fost excesivă și neîntemeiată și a avut loc contrar prevederilor legale statuate la art. 4, art. 5 și art. 29 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.

Or, persoana publică, în calitate de operator de date, urma să asigure confidențialitatea datelor cu caracter personal, blurarea imaginii feței și nedivulgarea în spațiul public a informației care duce la identificarea minorei.

IV. Activitatea de supraveghere

În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 30 de consultații telefonice și 10 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

V. Știri internaționale și europene

La data de 26 ianuarie 2024, CNPDCP, în colaborare cu experții proiectului TAIEX, a organizat conferința națională “Creșterea gradului de conștientizare cu privire la Convenția 108+”.

Scopul conferinței a fost de a crește gradul de conștientizare atât a reprezentanților instituțiilor publice, cât și a mediului privat cu privire la Convenția 108+ – un instrument viabil pentru a facilita transferurile internaționale de date, garantând astfel un nivel adecvat de protecție pentru subiecții de date la nivel global.

Conferința a fost moderată de experți în protecția datelor cu caracter personal din Italia, Slovenia și Spania. Printre temele abordate de experți a fost:

Impactul Convenției 108+ asupra deciziilor de adecvare și a transferurilor de date, cu accent pe conformitatea cu acquis-ul UE;
Convenția 108+ ca instrument viabil pentru a facilita transferurile internaționale de date, garantând în același timp un nivel adecvat de protecție a persoanelor fizice la nivel mondial;
Convenția 108+ ca o punte de legătură între regimurile juridice și țări; procesul de ratificare a Convenției 108+;
Lecții învățate și sfaturi de la țările ratificatoare;
Convenția 108+: Mecanismul de evaluare și analiză etc.

În cadrul evenimentului au participat circa 100 de reprezentanți atât ai instituțiilor publice cât și a mediului privat.

Evenimentul a fost organizat şi finanțat de instrumentul de asistență tehnică și schimb de informații a Comisiei Europene (TAIEX).

În perioada 13 -14 februarie, reprezentantul CNPDCP a participat la cea de-a 90-a ședință plenară a Comitetului European pentru Protecția Datelor (EDPB), care a fost organizată cu prezență fizică. În cadrul ședinței au fost discutate, analizate și adoptate unele documente importante pentru activitatea EDPB și care urmează a fi înaintate drept recomandări pentru Autoritățile de Protecție a Datelor.

Unul din aspectele de lucru ale plenarei s-a axat pe adoptarea Avizului privind noțiunea de sediu principal și criteriile de aplicare a mecanismului Ghișeului unic, în urma unei sesizări în temeiul articolului 2 alineatul (1) din Regulamentul (CE) nr. 64 alineatul (2) din GDPR la solicitarea Autorității Franceze pentru Protecția Datelor. S-a specificat că, EDPB consideră că mecanismul Ghișeului unic se poate aplica numai dacă există dovezi că una dintre unitățile din Uniune ale operatorului ia deciziile privind scopurile și mijloacele pentru operațiunile de prelucrare relevante și are competența de a pune în aplicare aceste decizii. Prin urmare, atunci când deciziile privind scopurile, mijloacele și competența de a pune în aplicare aceste decizii sunt exercitate în afara Uniunii, nu ar trebui să existe un sediu principal în temeiul articolului 4 alineatul (16) litera (a) din GDPR, iar mecanismul ghișeului unic nu ar trebui să se aplice.

În cadrul ședinței plenare s-a clarificat modul în care Autoritățile de Supraveghere ar trebui să aplice în practică art. 4 alin. (16) lit. a) din GDPR pentru a asigura aplicarea consecventă a acestuia. În special, s-a reiterat faptul că sarcina probei în ceea ce privește locul în care se iau deciziile de prelucrare relevante și unde există puterea de a pune în aplicare astfel de decizii în Uniune revine, în cele din urmă, operatorilor și că aceștia au obligația de a coopera cu autoritățile de supraveghere.

Următorul aspect analizat în cadrul ședinței plenare a EDPB a fost adoptarea Declarației privind evoluțiile legislative referitoare la propunerea de regulament de stabilire a normelor de prevenire și combatere a abuzului sexual asupra copiilor. Declarația este o continuare a Avizului comun al EDPB și EDPS privind propunerea de regulament a Comisiei Europene și se concentrează pe cele mai recente evoluții legislative, în special pe poziția Parlamentului European din noiembrie 2023.

În cadrul ședinței plenare, s-a discutat despre domeniul de aplicare al orientărilor legate de modelul „Consimțământ sau plată„. În plus față de viitorul art. 64 (2), care va aborda modelul „Consimțământ sau plată” în contextul marilor platforme online, s-a convenit că este necesar să se elaboreze consecutiv orientări cu un domeniu de aplicare mai larg.

În perioada 11-13 martie 2024, reprezentanții CNPDCP au participat la “Săptămâna de învățare și networking privind protecția datelor cu caracter personal în era digitală”, care a avut loc la Tallinn, Estonia.

Scopul evenimentului a fost de a prezenta experiența estoniană în procesul de implementare a GDPR-ului, oferind o imagine de ansamblu cuprinzătoare și practică a provocărilor apărute în procesul de aplicare a acestuia.

Totodată, având în vedere că Estonia este cunoscută ca un lider global în digitalizarea serviciilor publice și se situează pe locul 3 în topul celor mai sigure țări în Indexul global de securitate cibernetică, au fost prezentate informații despre modul în care este organizată prelucrarea datelor cu caracter personal în cadrul instituțiilor publice, precum și care sunt noile tendințe în procesul de asigurare a securității cibernetice.

Pe parcursul “Săptămânii de învățare și networking privind protecția datelor cu caracter personal în era digitală” au fost abordate subiecte de importanță, cum ar fi:

Provocările Autorității de Protecție a Datelor din Estonia înainte și după GDPR;
Prelucrarea datelor cu caracter personal în bazele de date publice: practicile de prelucrare și accesul la aceste date;
Cazuistica GDPR: tendințe și constatări semnificative din practica judiciară și de supraveghere din Estonia;
Confidențialitatea vs. reutilizarea datelor în contextul unei societăți modernizată digital: provocări și recomandări;
Schimbul de date și protecția datelor cu caracter personal;
Securitatea informațională, etc.

Evenimentul, organizat de către Fondul regional GIZ pentru reformele administrației publice din cadrul Parteneriatului Estic, în colaborare cu Ministerul Federal pentru Cooperare Economică și Dezvoltare din Germania, a reunit reprezentanți ai Autorităților de Protecție a Datelor din Moldova, Armenia, Georgia și Ucraina.

În perioada 11-13 martie 2024, reprezentanții CNPDCP au efectuat vizita de studiu „Prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video”. Evenimentul a fost găzduit de Autoritatea pentru Protecția Datelor din Spania (AEPD) – Agencia Española de Protección de Datos.

Scopul evenimentului a constat atât în preluarea celor mai bune practici legale și operaționale privind utilizarea mijloacelor de supraveghere video, cât și în preluarea de către angajații CNPDCP a abilităților și resurselor necesare pentru a aborda în mod eficient aspectele legate de prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video, în conformitate cu legislația în vigoare și în interesul protejării drepturilor subiecților de date.

Pe parcursul vizitei de studiu, moderată de către experți în domeniul protecției datelor cu caracter personal din cadrul AEPD, au fost analizate în profunzime subiecte de importanță, cum ar fi:

Evoluția reglementărilor privind supravegherea video, ultimele modificări legislative și reglementări legate de prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video, cu accent pe reglementările GDPR;
Drepturile subiecților de date și etica în supravegherea video;
Recepționarea și clasificarea plângerilor;
Proceduri de inspecție și instrucțiuni;
Măsuri tehnice și organizatorice pentru asigurarea securității datelor cu caracter personal;
Promovarea tehnologiilor aplicate referitor la supravegherea video etc.

Vizita de studiu a fost organizată cu suportul proiectului UE TAIEX – Instrument de asistență tehnică și schimb de informații, gestionat și finanțat de Direcția Generală Politica Europeană de Vecinătate și Negocieri privind Extinderea (DG NEAR) a Comisiei Europene.

VI. Alte autorități pentru protecția datelor

La data de 22 ianuarie, a fost anunțată decizia finală a Autorității de supraveghere din Belgia din 16 ianuarie 2024, cu privire la impunerea amenzii în valoare de 174 640 de euro pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal, art. 6 Legalitatea prelucrării, art. 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor subiectului de date, art. 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la subiectul de date, art. 15 Dreptul de acces al subiectului de date, art. 24 Responsabilitatea operatorului, art. 25 Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit și art. 30 Evidențele activităților de prelucrare, din GDPR, de către Black Tiger Belgium.

Autoritatea de supraveghere belgiană a primit o plângere cu privire la activitățile de prelucrare desfășurate de BISNODE BELGIUM, care a fost ulterior preluată de grupul francez BLACK TIGER GROUP și redenumită BLACK TIGER BELGIUM (denumită în continuare „BTB”), susținând că compania a colectat indirect și a prelucrat în mod ilegal datele cu caracter personal ale reclamanților timp de peste 15 ani, fără a-i informa în prealabil în mod corespunzător.

În urma investigațiilor, Autoritatea de supraveghere belgiană a constatat că BTB nu se putea baza pe interesele sale legitime, deoarece datele cu caracter personal colectate indirect nu puteau fi considerate necesare pentru a urmări interesul de a menține la zi registrul de evidență a subiecților de date. Totodată, interesele BTB au fost excluse de drepturile fundamentale ale subiecților de date, din cauza lipsei de informații furnizate în mod proactiv și individual acestora, a contextului prelucrării și a naturii datelor cu caracter personal, precum și a perioadei de păstrare timp de 15 ani. În plus, BTB nu a luat în considerare în mod corespunzător toate riscurile care decurg din prelucrare, stabilind că BTB nu a răspuns în mod adecvat la solicitările reclamanților în temeiul art.15. În cele din urmă, Autoritatea de supraveghere din Belgia a constatat că registrul activităților de prelucrare este incomplet.

În acest context, BTB i-au fost aplicate trei amenzi administrative, în valoare totală de 174 640 de euro. Aceste amenzi se referă la prelucrarea ilegală a datelor cu caracter personal fără informarea subiecților de date într-un mod proactiv, individual și transparent, la faptul că nu a răspuns în mod corespunzător la cererile de acces la date și, în cele din urmă, la diverse încălcări legate de înregistrarea activităților de prelucrare. În plus, Autoritatea de supraveghere din Belgia a impus BTB mai multe măsuri corective, inclusiv o interdicție temporară de prelucrare a datelor cu caracter personal ale subiecților de date pentru care BTB deține datele de contact, până când compania nu îi va notifica în mod individual cu privire la prelucrarea datelor lor și nu le va oferi posibilitatea de a se opune prelucrării.

Buletin Informativ Nr. 16

1101 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În ultimul trimestru al anului 2023 (octombrie – decembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 25 ianuarie 2023. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

03 octombrie – Inspectoratul de poliție Telenești al IGP;
10 octombrie – Inspectoratul de Poliție Taraclia al IGP;
07 noiembrie – DAI, DCPI Interpolal IGP, DPC și DPI al IGP;
27 noiembrie – Inspectoratul de Poliție Centru al Direcției de Poliție;
05 decembrie – Direcția de Poliție a municipiului Chișinău.

În acest context, au fost instruiți circa 200 de reprezentanți din cadrul subdiviziunilor IGP.

Totodată, au fost continuate cursurile de instruire pentru instituțiile medicale. La data de 03 noiembrie a avut loc cursul de instruire cu genericul „Prevederi legale în domeniul protecției datelor cu caracter personal” pentru reprezentanții IMPS de Ftiziopneumologie „Chiril Draganiuc”, având drept scop de a consolida capacitățile personalului medical prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. În cadrul evenimentului au fost abordate subiecte, cum ar fi: definirea datelor cu caracter personal privind sănătatea; prelucrarea categoriilor obișnuite de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal privind sănătatea; principii de prelucrare a datelor cu caracter personal; drepturile pacienților; obligativitatea caracterului secret a datelor cu caracter personal; confidențialitatea și secretul profesional; divulgarea datelor cu caracter personal privind starea de sănătate; obligativitatea de asigurare a confidențialității și securității datelor cu caracter personal; reducerea la minimum a datelor și limitarea stocării, etc. În cadrul evenimentului au fost instruiți circa 80 de reprezentanți ai IMPS de Ftiziopneumologie „Chiril Draganiuc”.

În perioada de referință a fost continuată campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei, a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Cursul de instruire a fost organizat la data de 07 decembrie, pentru instituția Publică Liceul Teoretic „Dante Alighieri” din Chișinău. Evenimentul a avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a V-a “B”. În acest context, au fost instruiți 37 de elevi.

În ultimul trimestru a anului 2023, de altfel ca pe întreg parcursul anului, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice, la solicitarea acestora. Cursurile de instruire au avut drept scop familiarizarea funcționarilor publici cu aspectele ce țin de domeniul protecției datelor cu caracter personal în serviciul public, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare.

02 octombrie – Inspectoratul General de Carabinieri;
06 octombrie – Centrul de Instrucție al Inspectoratului General de Carabinieri;
11 octombrie – Direcţia regională „Centru” al Inspectoratului General de Carabinieri;
12 octombrie – Agenția de Administrare a Instanțelor Judecătorești, regiunea Nord;
13 octombrie – Agenția de Administrare a Instanțelor Judecătorești, regiunea Centru;
18 octombrie – Direcţia regională „Centru” al Inspectoratului General de Carabinieri;
20 octombrie – Direcţia regională „SUD” al Inspectoratului General de Carabinieri;
25 octombrie – Direcţia regională „NORD” al Inspectoratului General de Carabinieri;
31 octombrie – Ministerul Energiei;
01 noiembrie – Direcția Generală Educație, Tineret și Sport a Consiliului Municipal Chișinău;
09 noiembrie – Autoritatea Națională de Integritate;
16 noiembrie – Cancelaria de Stat;
17 noiembrie – Directorii instituțiilor de educație timpurie din municipiul Chișinău;
22 noiembrie – Directorii instituțiilor de învățământ din municipiul Chișinău;
23 noiembrie – Ministerul Infrastructurii și Dezvoltării Regionale;
28 noiembrie – Ministerul Muncii și Protecției Sociale;
29 noiembrie – Centrul Republican de Asistență Psihopedagogică;
06 decembrie – Serviciul de Protecție și Pază de Stat;
08 decembrie – Ministerul Agriculturii și Industriei Alimentare;
18 decembrie – Agenţia Naţională pentru Siguranţa Alimentelor.

În acest context au fost instruiți circa 1200 de reprezentanți ai instituțiilor publice.

II. Activitatea de control

În perioada octombrie – decembrie 2023, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 85 de cazuri. În perioada de referință, au fost emise 89 decizii, dintre care în 43 cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 42 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

I. CNPDCP a examinat plângerea unui subiect de date privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal, materializată prin stocarea și utilizarea frauduloasă a datelor cu caracter personal ce îi aparțin (nume, prenume, data/luna/anul nașterii, IDNP).

În cadrul investigației, CNPDCP a constatat că datele cu caracter personal ce vizează subiectul de date au fost transmise anterior de către petentă, către proprietarul unui magazin, în vederea oferirii suportului la achitarea unei amenzi, prin intermediul terminalului RunPay, din sediul localului unde acesta își desfășoară activitatea.

Ulterior, datele cu caracter personal ale subiectului de date au mai fost utilizate în vederea depunerii unei cereri de obținere a unui credit prin introducerea în terminal a IDNP-ului și data/luna/anul nașterii. Deși, proprietarul magazinului a invocat faptul că din greșeală a introdus datele de identitate ale petentei, (considerând că a introdus datele cu caracter personal ale fiicei ultimului), CNPDCP nu a determinat existența unei justificări privind introducerea datei, lunii și anului nașterii în cererea de solicitare a creditului, or, orice părinte cunoaște data de naștere a copilului său.

În mod imperios, urmează a fi precizat că potrivit art. 11 al Legii privind protecția datelor cu caracter personal condițiile şi termenele de stocare a datelor cu caracter personal sunt prevăzute de legislaţie, ţinându-se cont de prevederile art. 4 alin. (1) lit. e). La încheierea operațiunilor de prelucrare a datelor cu caracter personal, dacă subiectul acestor date nu şi-a dat consimțământul pentru o altă destinație sau pentru o prelucrare ulterioară, acestea vor fi distruse.

Întrucât, subiectul de date nu și-a dat acordul la o prelucrare ulterioară a datelor cu caracter personal, înscrisul cu datele de identificare ale petentei urma a fi distrus imediat după ce a fost achitată amenda prin intermediul terminalului.

Astfel, CNPDCP verificând întrunirea elementelor obligatorii care implică conformitatea și legalitatea operațiunilor de prelucrare a datelor cu caracter personal, a reținut lipsa unui scop și temei legal care să justifice acțiunile proprietarului magazinului de stocare și utilizare ulterioară a datelor cu caracter personal ale subiectului de date, manifestată prin transmiterea acestora către o companie de creditare, acțiuni contrare prevederilor art. 4 alin. (1) lit. a) și e), art. 5 alin. (1), precum și art. 11 ale Legii privind protecția datelor cu caracter personal.

II. CNPDCP a examinat sesizarea unei Autorități publice remisă conform competenței, prin care a fost solicitată verificarea legalității prelucrării datelor cu caracter personal ale unui subiect de date și a copilului acestuia, manifestate prin accesarea/consultarea/extragerea informației cu caracter personal stocate în o resursă informațională de stat.

În cadrul investigației s-a determinat că, de la un cont de utilizator ce a fost atribuit unui fost angajat al autorității, care a demisionat în anul 2019, utilizându-se calculatorul de serviciu al unui actual angajat, a fost dată în căutare informația privind traversarea frontierei de stat de către subiectul de date, fiind salvată informația în format PDF, ulterior, fiind printată, a fost transmisă persoanelor terțe.

Astfel, s-a reținut că, contul de utilizator al fostului angajat era activ și după 3 ani de la demisionarea angajatului, fiind deconectat doar după două luni de la accesarea vizată în sesizare.

Subsecvent, s-a determinat că, calculatorul de serviciu care a fost utilizat pentru operațiunea de prelucrare a datelor cu caracter personal a subiectului de date se regăsea în biroul de serviciu comun pentru mai mulți angajați, iar la data efectuării accesării, angajatul care avea în gestiune calculatorul vizat, nu se afla la locul de muncă. Totodată, s-a stabilit că sub IP-dispozitivului (utilizator VPN de la distanța) erau conectate și alte calculatoare de serviciu, iar biroul de

serviciu unde se află calculatorul de serviciu servește ca sediu comun pentru toți funcționarii secției, accesul fizic la calculator nefiind restricționat.

În aceste circumstanțe, nu a fost posibil de a identifica cert persoana/operatorul care a prelucrat date cu caracter personal ale subiecților de date, ordine în care CNPDCP a constatat in rem că prelucrarea datelor cu caracter personal ale subiecților de date vizați a fost efectuată contrar prevederilor art. 4 alin. (1) lit. a), b), c) și art. 5 alin. (1) și alin. (3) ale Legii privind protecția datelor cu caracter personal, în lipsa unui temei legal și fără consimțământul subiectului de date, întrucât incidentul de securitate a fost generat din cauza gestionării şi organizării necorespunzătoare a sarcinilor stabilite pentru personalul din interiorul instituției, care prin acțiuni rău intenționate sau chiar erori sau neglijență în utilizarea resurselor informaționale a generat incidentul dat, or operatorul era obligat să revizuiască drepturile de acces ale utilizatorilor la intervale regulate, precum: – analizarea drepturilor de acces a utilizatorului SIIV – o dată în 6 luni și după fiecare modificare care a survenit în activitatea utilizatorului, iar analiza acordării drepturilor de acces a rolurilor privilegiate – o dată în 3 luni.

Totodată, Centru a determinat că entitatea se face responsabilă de încălcarea prevederilor art. 30 alin. (1) al Legii privind protecția datelor cu caracter personal, deoarece nu a asigurat măsurile organizatorice și tehnice necesare pentru protecția datelor cu caracter care au fost puse la dispoziția sa, ceea ce a dus în consecință la prelucrarea ilegală a datelor cu caracter personal ale subiecților de date.

III. CNPDCP a recepționat, conform competenței, un demers din partea poliției, care viza solicitarea unei persoane fizice privind verificarea legalității prelucrării datelor cu caracter personal.

În fapt, subiectul de date a sesizat că a recepționat numeroase apeluri telefonice de la diferite companii de creditare din Republica Moldova, care l-au informat despre examinarea cererilor de acordare a creditelor în baza datelor cu caracter personal ale acestuia, prezentate prin intermediul cererilor online aplicate.

Urmare acțiunilor desfășurate în cadrul controlului, prin prisma Legii nr. 133/2011 privind protecția datelor cu caracter personal, CNPDCP a identificat persoana care a prelucrat datele cu caracter personal, astfel încadrându-se în noțiunea de operator de date și fiind responsabil pentru operațiunile de prelucrare a datelor cu caracter personal, precum și de asigurarea confidențialității și securității datelor cu caracter personal.

În context, Autoritatea de protecție datelor cu caracter personal a constatat că, prelucrarea datelor cu caracter personal ale subiectului de date, efectuată de către operatorul de date, prin divulgarea numelui, prenumelui, numărului de identificare de stat (IDNP) și datele de contact ale petentei către companiile de creditare, a avut loc contrar prevederilor legale statuate la art. 4 alin. (1) lit. a), b), c), art. 5 alin. (1), art. 9 și art. 29 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.

IV. CNPDCP a fost sesizat de un grup de inițiativă, care au invocat că, prin Legea nr. 356/2022 pentru modificarea unor acte normative au fost aduse modificări la Legea nr. 93/1998 cu privire la patenta de întreprinzător, ce ar fi creat condiții pentru încălcarea prevederilor legale privind protecția datelor cu caracter personal ale titularilor de patente de întreprinzători.

Astfel, întreprinzătorii care activează în piețe și care s-au conformat noului regim fiscal, au constatat că în bonurile fiscale eliberate cumpărătorilor se regăsesc date cu caracter personal, în special, numărul de identificare de stat, indicat la câmpul codul fiscal – C. F.

Din prevederile stipulate, s-a determinat că legislația fiscală reglementează evidența obligațiilor fiscale ale persoanelor fizice în baza codurilor fiscale atribuite în ordinea prevăzută, reieșind din exercițiul unei activități economice independente.

Examinând temeiurile de drept existente în vigoare, în special – art. 5 pct. 28), art. 162 alin. (1) lit. b), art. 163 din Codul fiscal, pct. 10 lit. i) din Instrucțiunea privind evidența contribuabililor, pct. 24 din Regulamentul cu privire la Registrul unic al echipamentelor de casă și de control, care încadrează faptul prelucrării IDNP-ului persoanelor fizice, în contextul desfășurării activității independente, supuse din 01 iulie 2023 documentării comercializării bunurilor și utilizării doar a echipamentului de casă și de control conectat la Sistemul informațional automatizat „Monitorizarea electronică a vânzărilor”, în coroborare cu prevederile art. 5 alin. (5) lit. b), art. 9 lit. b) ale Legii nr. 133/2011, operațiunile de prelucrare a datelor cu caracter personal în speța sesizată sunt efectuate pentru îndeplinirea unei obligații care îi revine operatorului conform legii.

Totodată, a fost identificat ca fiind vulnerabil aspectul că orice persoană fizică care practică activitate independentă este impusă, reieșind din cadrul juridic existent, în special cel ce vizează algoritmul de funcționare a echipamentelor de casă și de control, de a-și face public/cunoscut IDNP -ul în bonurile fiscale eliberate zilnic.

Or, reglementări similare au fost supuse controlului constituționalității de către Curtea Constituțională, care a apreciat obligația pozitivă a autorităților competente ca, și în cazul supus examinării de către CNPDCP, să asigure protejarea IDNP-ului subiecților de date ce practică activitatea independentă în mod eficient și similar.

În rezultat, CNPDCP a atestat existența cadrului legal defectuos care reglementează regimul juridic al evidenței fiscale a persoanelor fizice ce practică activități independente, și anume, faptul consemnării IDNP-ului în bonul fiscal eliberat de titularul de patentă fiecărui client, aduce ingerință vieții private a persoanei, fiind o măsură disproporțională în raport cu scopul urmărit.

Subsidiar s-a recomandat Ministerului Finanțelor/Serviciului Fiscal de Stat să instituie măsuri tehnice și organizatorice care să asigure protecția datelor cu caracter personal ale persoanelor ce practică activitate independentă, prin identificarea și implementarea mecanismelor adecvate și eficiente în vederea ținerii evidenței fiscale, fără a aduce prejudicii dreptului la protecția datelor cu caracter personal, spre exemplu: prin depersonalizarea IDNP-ului persoanei fizice ce practică activitate independentă consemnat în bonul fiscal sau prin atribuirea unui nou cod fiscal distinct de IDNP, în contextul circumstanțelor reliefate la pct. II din partea constatatoare a prezentei decizii, cu informarea CNPDCP despre acțiunile întreprinse în acest sens.

IV. Activitatea de supraveghere

În perioada de referință, CNPDCP a continuat organizarea cursurilor de instruire pentru persoanele desemnate de către operator sau persoana împuternicită de către operator, în calitate de Responsabil cu Protecția Datelor. Această obligație este statuată de prevederile Legii nr.133/2011 privind protecția datelor cu caracter personal, prin care este instituită sarcina operatorului și a persoanei împuternicite de operator de a desemna un Responsabil cu protecția datelor cu caracter personal, în cazurile prevăzute de art. 25 al legii precitate.

Scopul cursului de instruire, care a avut loc în data de 21 decembrie, a constat în dezvoltarea cunoștințelor teoretice în domeniul protecției datelor cu caracter personal și a deprinderilor practice privind aplicarea actelor normative și cerințelor legislației din domeniu. În cadrul evenimenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de Responsabilul cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor, etc. În cadrul evenimentului au fost instruiți circa 10 DPO atât din cadrul sectorului public, cât și a mediului privat.

Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 50 de consultații telefonice și 15 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

V. Știri internaționale și europene

La data de 17 octombrie 2023, reprezentanții CNPDCP au participat la Conferința “GDPR4BUSINESS”, organizată de către Asociația Națională a Companiilor din domeniul TIC în cadrul Proiectului ABA Rule of Law Initiative “Protecția datelor cu caracter personal – drepturi și obligații în Republica Moldova” în parteneriat cu Asociația Businessului European (EBA Moldova).

Expertul CNPDCP a abordat tematica „Persoana Responsabilă cu Protecția Datelor” (RPD), punctând cele mai noi și importante aspecte impuse de prevederile Legii 133/2011 privind protecția datelor cu caracter personal: desemnarea RPD; funcția RPD; sarcinile RPD.

Totodată, în cadrul conferinței au fost prezentate practici cu conținut aplicativ pentru mediul de afaceri și reprezentanți ai autorităților publice, cum ar fi:

aspecte cheie din Proiectul de lege cu privire la Protecția Datelor cu Caracter Personal;
experiența internațională și regională în aplicarea GDPR-ului;
soluții și răspunsuri la situații, spețe și provocări cu care se confruntă business-ul și autoritățile publice în implementarea cadrului legal armonizat.

În cadrul evenimentului, în calitate de vorbitori, au participat funcționari și demnitari de stat, experți naționali și internaționali de specialitate.

În perioada 18–19 octombrie 2023, reprezentanții CNPDCP au efectuat vizita de studiu „Reconcilierea dreptului de acces la informație și protecția datelor cu caracter personal”. Evenimentul a fost găzduit de Comisia Națională pentru Informatică și Libertăți din Franța (CNIL) (Commission Nationale de l’Informatique et des Libertés).

Scopul evenimentului a constat în preluarea celor mai bune practici legale și operaționale de către CNPDCP privind mecanismele de reconciliere a dreptului de acces la informație și protecția datelor cu caracter personal.

Pe parcursul vizitei de studiu, moderată de către experți în domeniul protecției datelor cu caracter personal din cadrul CNIL și CADA – Comisia pentru Acces la Documentele Administrative, au fost analizate în profunzime subiecte de importanță, cum ar fi: protecția datelor cu caracter personal în cadrul exercitării dreptului de acces la informație; reconcilierea dreptului de acces la informație și a dreptului la protecția datelor cu caracter personal; cerere de acces la documente administrative sau exercitarea dreptului de acces de către subiectul de date, cum să le distingem și care este impactul; publicarea și reutilizarea datelor de interes public; reutilizarea datelor de interes public în scopuri de cercetare științifică, etc.

Vizita de studiu a fost organizată cu suportul proiectului UE TAIEX – Instrument de asistență tehnică și schimb de informații, gestionat și finanțat de Direcția Generală Politica Europeană de Vecinătate și Negocieri privind Extinderea (DG NEAR) a Comisiei Europene.

În perioada 01 – 03 noiembrie 2023, reprezentantul CNPDCP a participat la evenimentul Internet Freedom Summit 2023, care a avut loc la Ohrid, Macedonia de Nord.

În cadrul evenimentului au avut loc sesiuni interactive, ateliere de lucru, mese rotunde și sesiuni de formare, axându-se pe probleme de actualitate în domeniul protecției datelor cu caracter personal și confidențialitate, cum ar fi:

Confidențialitatea într-o lume conectată: Navigarea și provocările legate de protecția datelor în era digitală;
Standardele internaționale de protecție a datelor și importanța armonizării pentru transferuri transfrontaliere eficiente de date;
Echilibrul între confidențialitate și inovare tehnologică;
Rolul organismelor de reglementare în promovarea unei culturi a inovației care ține cont de confidențialitate;
Strategii de monitorizare și aplicare a reglementărilor privind protecția datelor pe platformele online;
Rolul autorităților de protecție a datelor în asigurarea conformității și abordarea încălcărilor depistate;
Viitorul confidențialității: Tehnologii și tendințe emergente, etc.

La eveniment, reprezentantul CNPDCP a abordat tematica – „Echilibrul între confidențialitate și protecția datelor din perspectiva Europei de Sud-Est”. Totodată, participanții și-au împărtășit opiniile cu privire la strategiile de monitorizare și aplicare a reglementărilor privind protecția datelor pe platformele online, în special, cu privire la viitorul confidențialității într-o eră a inteligenței artificiale, a blockchain și a altor tehnologii noi cu impact asupra confidențialității.

Evenimentul, organizat de ABA ROLI, a reunit reprezentanți ai societății civile, profesori universitari, avocați, jurnaliști din Macedonia de Nord, România, Moldova și Serbia.

În perioada 08-09 noiembrie, reprezentanții CNPDCP au participat la Atelierul European de gestionare a cazurilor 2023, care a avut loc în Berna, Elveția, un eveniment, care se organizează anual, reprezentând astfel un forum de dialog participativ între Autoritățile de Protecție a Datelor cu privire la provocările cu care se confruntă și la soluțiile pe care le aplică în practica lor cotidiană.

Scopul evenimentului a fost axarea pe probleme de actualitate în domeniul protecției datelor cu caracter personal și confidențialitate, în special cum ar fi:

Gestionarea în mod vădit a solicitărilor nefondate sau excesive – conform art. 57 (4) din GDPR;
Garanțiile esențiale de protecție a datelor cu caracter personal pentru cooperarea în materie de aplicare a legii între autoritățile de protecție a datelor din SEE;
Urmărirea prin GPS în cadrul relațiilor de muncă;
Recunoașterea și detectarea facială prin prisma protecției datelor cu caracter personal;
Conceptul de prejudicii legate de protecția datelor cu caracter personal aduse subiecților de date, etc.

În cadrul Atelierul European de gestionare a cazurilor 2023 au participat 82 de reprezentanți din 29 de țări și 37 de Autorități de Protecție a Datelor.

În perioada 15-17 noiembrie curent, reprezentanții CNPDCP au participat la cea de-a 45-a ședință plenară a Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal (Convenția 108), care a avut loc la Strasbourg, Franța.

În cadrul Ședinței au fost discutate subiecte de importanță, printre care:

Convenția 108+, ratificările și aderările actuale;
Clauze contractuale în contextul fluxurilor transfrontaliere de date;
Interpretarea articolului 11 din Convenția 108 modernizată;
Protecția datelor cu caracter personal în cadrul procesul electoral;
Cooperarea cu alte organisme și entități ale Consiliului Europei;
Evoluții și activități majore în domeniul protecției datelor, etc.

Delegația CNPDCP s-a expus cu privire la stadiul ratificării Protocolului de modificare CETS 223 la Convenția 108, indicând că proiectul de lege privind ratificarea Protocolului de modificare a Convenției nr. 108 pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal și documentele aferente au fost transmise Ministerului Justiției pentru efectuarea procedurilor ce se impun în vederea asigurării înaintării acestuia de către Guvernul RM spre aprobare, ulterior va fi înaintat Parlamentului spre ratificare. Ce ține de revizuirea legislativă în domeniul protecției datelor cu caracter personal, la moment, Republica Moldova este în proces de a asigura transpunerea Regulamentului (UE) 2016/679 și a Directivei (UE) 2016/680 în legislația națională.

Totodată, delegația RM a menționat și despre evoluțiile și activitățile în domeniul protecției datelor la nivel național.

VI. Alte autorități pentru protecția datelor

La data de 05 octombrie, a fost emisă decizia Autorității Croate pentru Protecția Datelor privind aplicarea amenzii administrative în valoare de 5 470 000 euro Agenției de colectare a creanțelor EOS Matrix pentru încălcarea articolelor 5, 6, 9, 12, 13 și 32 din GDPR.

Investigația a fost demarată urmare a unei petiții anonime în care se afirma că a existat o prelucrare neautorizată a unui număr mai mare de date cu caracter personal ale persoanelor fizice (debitori) de către EOS Matrix (operator de date). Petiția a fost însoțită de un stick USB care conținea 181641 date cu caracter personal ale persoanelor fizice cum ar fi: numele, prenumele, data nașterii și numărul de identificare personală care aveau datorii restante față de instituțiile de credit. În plus, în petiția în cauză se menționa că 294 de persoane fizice incluse în baza de date erau minori la momentul întocmirii acesteia.

În urma investigației s-a constatat că:

Agenția de colectare a creanțelor EOS Matrix nu a implementat suficiente măsuri tehnice în sistemul de prelucrare – baza de date principală în cadrul căreia sunt prelucrate datele cu caracter personal a aproximativ 370 000 subiecți de date, contrar prevederilor stipulate la art. 32 din GDPR.
Operatorul de date a prelucrat și date cu caracter personal ale unor persoane fizice care nu sunt debitori și nici reprezentanți legali ai moștenitorilor în relații debitor-creditor, contrar prevederilor stipulate la art. 6 alineatul (1) din GDPR.
În ceea ce privește prelucrarea datelor privind sănătatea, s-a stabilit că operatorul de date a înregistrat în mod activ comentarii legate de starea de sănătate a debitorului contrar prevederilor stipulate la art. 9 alineatul (2) din GDPR. Examinând primele trei politici de confidențialitate (care au fost în vigoare între mai 2018 și octombrie 2020), s-a stabilit că operatorul de date a specificat că nu prelucrează și nu va prelucra date privind sănătatea. Prin urmare, prelucrarea datelor cu caracter personal a fost netransparentă, ceea ce nu este în conformitate cu art. 12 alineatul (1) și cu art. 13 alineatele (1) și (2) din GDPR.
În plus, în perioada mai 2018 – ianuarie 2019, operatorul de date a prelucrat date referitoare la 49 850 de persoane vizate prin înregistrarea convorbirilor telefonice fără a fi stabilit temeiul juridic menționat la articolul 6 alineatul (1) din GDPR, ceea ce a condus, de asemenea, la încălcarea articolului 5 alineatul (2) din GDPR.
La data de 12 octombrie, a fost emisă decizia Autorității Franceze pentru Protecția Datelor (CNIL) privind aplicarea amenzii administrative în valoare de 600 000 euro operatorului GROUPE CANAL+ pentru încălcarea prevederilor legale stipulate în GDPR.

CNIL a primit numeroase plângeri referitoare la dificultățile întâmpinate de persoanele fizice în ceea ce privește luarea în considerare a drepturilor lor de către GROUPE CANAL+, care produce canale media și distribuie oferte de televiziune cu plată.

Pe baza constatărilor rezultate din investigații, CNIL a considerat că operatorul nu a respectat mai multe obligații prevăzute de GDPR și de Codul francez al poștei și comunicațiilor electronice (CPCE), cum ar fi:

Nerespectarea obligației de a obține consimțământul persoanelor fizice pentru a primi prospectări comerciale prin mijloace electronice (articolele L. 34-5 din CPCE și 7 din GDPR);
Nerespectarea obligației de a furniza informații (articolele 13 și 14 din GDPR) și nerespectarea exercitării drepturilor subiecților de date (articolele 12 și 15 din GDPR);
Nerespectarea obligației de a oferi un cadru contractual pentru operațiunile de prelucrare efectuate de o persoană împuternicită de către operator (articolul 28.3 din GDPR);
Nerespectarea obligației de asigurare a securității datelor cu caracter personal (articolul 32 din GDPR);
Nerespectarea obligației de a notifica CNIL cu privire la o încălcare a securității datelor (articolul 33 din GDPR).

Cuantumul acestei amenzi a fost decis în funcție de încălcările identificate, precum și ținând cont de cooperarea operatorului de date și de toate măsurile pe care acesta le-a întreprins pentru a se conforma cu prevederile legale.

La data de 11 decembrie, a fost anunțată decizia finală a Autorității norvegiene de supraveghere (Datatilsynet) din 06 februarie 2023, cu privire la impunerea amenzii administrative în valoare de 10 milioane de coroane norvegiene (aproximativ 850 de mii de euro) companiei SATS pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal, art. 6 Legalitatea prelucrării, art. 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate, art. 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată, art. 15 Dreptul de acces al persoanei vizate, art. 17 Dreptul la ștergerea datelor („dreptul de a fi uitat”) din GDPR.

Datatilsynet a primit mai multe plângeri cu privire la compania SATS în perioada 2018-2021. Aceste se referau la presupuse încălcări ale drepturilor reclamanților în temeiul Regulamentului general privind protecția datelor în calitate de clienți ai rețelei sălilor de fitness, precum și la nerespectare a cererilor de acces și ștergere de către societate.

SATS este cel mai mare lanț de centre de fitness din țările scandinave, cu săli de sport în Norvegia, Suedia, Danemarca și Finlanda. Compania are sediul central în Norvegia și, prin urmare, Datatilsynet s-a ocupat de acest caz în cooperare cu mai multe autorități de supraveghere, folosind mecanismul de Ghișeul Unic. În calitate de autoritate de supraveghere principală, Datatilsynet a fost principalul responsabil pentru investigarea, analiza și luarea unei decizii în acest caz, fiind autoritatea principală de supraveghere.

Buletin Informativ Nr. 15

1681 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În trimestru al treilea al anului curent (iulie-septembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 25 ianuarie curent. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

11 iulie – Inspectoratul de Poliție Ialoveni al IGP
17 iulie – Inspectoratul Național de Securitate Publică (INSP), Direcția Sud al IGP
03 august – Inspectoratul de Poliție Botanica al Direcției de Poliție
29 august – Inspectoratul Național de Securitate Publică (INSP), Direcția Nord al IGP
05 septembrie – Inspectoratul de Poliție Sângerei al IGP
19 septembrie – Inspectoratul de Poliție Strășeni al IGP

În acest context, au fost instruiți circa 300 de reprezentanți din cadrul subdiviziunilor IGP.

Totodată, au fost continuate cursurile de instruire pentru instituțiile medicale. La data de 27 septembrie a avut loc cursul de instruire cu genericul „Prevederi legale în domeniul protecției datelor cu caracter personal” pentru reprezentanții Spitalului Clinic Municipal pentru Copii nr. 1, având drept scop de a consolida capacitățile personalului medical prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. În cadrul evenimentului au fost abordate subiecte, cum ar fi: definirea datelor cu caracter personal privind sănătatea; prelucrarea categoriilor obișnuite de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal privind sănătatea; principii de prelucrare a datelor cu caracter personal; drepturile pacienților; obligativitatea caracterului secret a datelor cu caracter personal; confidențialitatea și secretul profesional; divulgarea datelor cu caracter personal privind starea de sănătate; obligativitatea de asigurare a confidențialității și securității datelor cu caracter personal; reducerea la minimum a datelor și limitarea stocării, etc. În cadrul evenimentului au fost instruiți circa 70 de reprezentanți ai Spitalului Clinic Municipal pentru Copii nr. 1.

La data de 13 septembrie 2023, CNPDCP a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru auditorii interni din cadrul autorităților publice, la solicitarea Ministerului Finanțelor (MF). MF în comun cu autoritățile publice centrale desfășoară misiuni de audit intern orizontale, tematica de interes comun identificată pentru anul 2023 fiind „Evaluarea procesului de prelucrare a datelor cu caracter personal în cadrul autorităților publice”. Scopul cursului de instruire a fost sporirea vizibilității și mediatizarea rolului auditului intern de a adăuga valoare și de a îmbunătăți activitatea entității, inclusiv a proceselor de management al riscului, control și guvernanță, prin prisma legislației privind protecția datelor cu caracter personal. În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de Responsabilul cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor, etc. În cadrul evenimentului au participat circa 50 de auditori interni din cadrul a 30 de autorități publice.

La data de 28 septembrie, CNPDCP a organizat un curs de instruire cu genericul „Asigurarea protecției datelor cu caracter personal în activitatea Centrului Național Anticorupție (CNA)”. Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților CNA asupra principiilor de protecție a datelor cu caracter personal, în vederea cunoașterii și asimilării celor mai bune practici din domeniu, precum și asupra asigurării aplicării corecte a prevederilor legale în activitatea pe care o desfășoară, ceea ce va contribui ulterior la sporirea performanței angajaților CNA în depistarea și contracararea fenomenului corupției. În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații CNA; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat și evidența dusă de CNA a acestor acesări; cadrul normativ care reglementează protecția informațiilor din cauzele penale ce conțin date cu caracter personal; verificarea conformității prelucrării datelor cu caracter personal / etapele investigației; aspecte ce țin de Responsabilul cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor, etc. În cadrul evenimentului au fost instruiți circa 150 de reprezentanți ai CNA.

La data de 29 septembrie, CNPDCP a organizat un curs de instruire cu genericul „Evaluarea, prin prisma sistemului de control intern managerial existent, funcționalitatea procesului de prelucrare a datelor cu caracter personal în cadrul judecătoriilor și curților de apel” pentru reprezentanții Agenției de Administrare a Instanțelor Judecătorești (AAIJ), Zona Sud, la solicitatea acestora. Evenimentul a avut loc la sediul Curții de Apel Comrat. Scopul cursului de instruire a fost de a spori gradul de percepție a reprezentanților AAIJ asupra principiilor de protecție a datelor cu caracter personal, precum și de a indentifica un mecanism de evaluare a impactului asupra protecției datelor cu caracter personal în judecătorii și curțile de apel. În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; examinarea solicitărilor de dezvăluire a datelor cu caracter personal; verificarea conformității prelucrării datelor cu caracter personal; etc. În cadrul evenimentului au fost instruiți circa 40 de reprezentanți ai AAIJ.

În aceiași perioadă de referință, și anume în data de 10 iulie, CNPDCP în colaborare cu experții proiectului TAIEX, au organizat conferința națională ”Evaluarea Impactului asupra Protecției Datelor și rolul Responsabilului cu protecția datelor”. Scopul conferinței a constat în preluarea celor mai bune practici legale și operaționale de către reprezentanții instituțiilor publice privind mecanismele de Evaluare a Impactului asupra Protecției Datelor (DPIA), operațiunile de prelucrare care necesită o DPIA, precum și rolul Responsabilului cu protecția datelor (DPO) în cadrul operatorilor de date cu caracter personal din sectorul public. Conferința a fost moderată de experți în protecția datelor cu caracter personal din Italia și Malta. Printre temele abordate de experți au fost: evaluarea necesității și proporționalității operațiunilor de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor; scenarii de evaluare a impactului asupra protecției datelor cu caracter personal; mecanisme practice de efectuare a consultărilor prealabile dacă evaluarea impactului asupra protecției datelor, indică faptul că prelucrarea ar genera un risc sporit, iar acesta nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile și al costurilor implementării, de către angajații DPA-urilor; mijloacele acordate Responsabilului cu protecția datelor pentru a-și îndeplini misiunile; exemple de cele mai bune practici pentru a ajuta instituțiile de stat / organizațiile în numirea și sprijinirea Responsabilului cu protecția datelor, în scopul evitării unor eventuale conflicte de interese; etc. În cadrul evenimentului au participat circa 60 de reprezentanți ai sectorului public.

II. Activitatea de control

În perioada iulie – septembrie 2023, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 93 de cazuri. În perioada de referință, au fost emise 94 decizii, dintre care în 52 cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 27 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

În rezultatul examinării multiplelor plângeri din partea diferitor subiecți de date, precum și ținând cont de mediatizările în spațiul public a faptului accesării datelor cu caracter personal ale unui număr excesiv de subiecți de date cu caracter personal în Banca centrală de date a cadastrului bunurilor imobile, efectuat de către un ONG, CNPDCP a inițiat controlul în vederea stabilirii circumstanțelor ce au dus la situația identificată.

Urmare a acțiunilor efectuate în cadrul controlului vizat, s-a determinat că în perioada mai 2022 – iulie 2022, utilizatorul autorizat al ONG-ului vizat a efectuat 680263 de accesări în Registrul Bunurilor Imobile (RBI) la aproximativ 378261 de bunuri imobile, fiecare dintre ele având unu, doi și mai mulți proprietari, noi și vechi. Numărul persoanelor fizice, ale căror date cu caracter personal au fost accesate, a constituit 362533.

Potrivit materialelor acumulate în cadrul controlului, în scopul realizării unor rapoarte independente de verificare a integrității candidaților la funcția de membru în Consiliul Superior al Magistraturii și Consiliul Superior al Procurorilor, ONG-ul vizat a contractat o persoană fizică pentru a analiza datele privind subiecții evaluați în rapoartele independente de verificare a integrității în cadrul procedurilor de pre-vetting și vetting și a colecta date deschise din spațiului online și consultanță în domeniul IT. Accesările datelor cu caracter personal a persoanelor vizate s-ar fi produs din cauza folosirii unui robot automat de căutare a adreselor juridice în motorul de căutare al serviciului web cadastru.

În rezultatul controlului, CNPDCP a constatat că acțiunile utilizatorului autorizat care a efectuat operațiunea de accesare a datelor cu caracter personal ale unui număr impunător de subiecți de date care nu au nici o legătură cauzală cu persoanele/candidații care au fost obiectul studiului și bunurile imobile ale acestora, au fost prelucrate excesiv, fără a avea la bază un scop bine-determinat, explicit și legitim, adecvat, pertinent și neexcesiv, în raport cu obiectivul stabilit, precum și fără a deține consimțământul subiectului de date cu caracter personal.

La fel, CNPDCP a constatat că, o altă circumstanță ce a contribuit la efectuarea accesărilor excesive a fost inacțiunile operatorului în raport cu persoana împuternicită de către operator, în sensul evaluării corectitudinii prelucrării datelor cu caracter personal. În perioada nominalizată supra, ONG-ul nu a întreprins nici o acțiune de verificare a implementării măsurilor tehnice și organizatorice de către utilizatorul autorizat privind prelucrarea în mod corect şi conform prevederilor legii a datelor cu caracter personal stocate în RBI, cu toate că, pornind de la prevederile expuse în Declarația privind obligația de confidențialitate și securitate a datelor cu caracter personal, semnată de către utilizatorul autorizat, această obligație se regăsea.

Totodată, I.P. ,,Agenția Servicii Publice”, în calitate de posesoare a Băncii Centrală de Date a cadastrului bunurilor imobile, avea obligațiunea legală să ia măsurile organizatorice şi tehnice necesare pentru protecția datelor cu caracter personal stocate în această resursă informațională de stat, fapt ignorat de către aceasta la etapa corespunzătoare.

Pornind de la circumstanțele descrise, CNPDCP a constatat încălcarea prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal de către utilizatorul autorizat, de către ONG-ul vizat și de către ASP.

CNPDCP a examinat plângerea unui subiect de date cu caracter personal, prin care a fost solicitată verificarea legalității acțiunilor efectuate de către un operator de date, manifestate prin plasarea pe rețeaua de socializare ,,Facebook”, a unei postări însoțită de pozele actelor de identitate a petentului.

În cadrul investigației s-a determinat că, operatorul de date este administratorul contului de Facebook unde au fost publicate doua imagini a actelor de identitate (buletinul de identitate și pașaportul), însă postarea a fost publicată nu de dânsul, ci de o altă persoană care se află în relații de rudenie, căruia i-a oferit accesul la contul său. În cadrul efectuării controlului, operatorul de date (administratorul contului de Facebook), și-a recunoscut vina și a conștientizat că a fost săvârșită o abatere de la normele privind protecția datelor cu caracter personal.

În context, CNPDCP, prin Decizie a constatat că, operațiunea de prelucrare a datelor cu caracter personal manifestate prin postarea/publicarea actelor de identitate, pe rețeaua de socializare ,,Facebook”, efectuate de către operatorul de date, constituie o încălcare a prevederilor art. 4 alin (1) lit a), art. 9 și art. 29 alin (1) ale Legii nr. 133 din 08.07.2011, la prelucrarea datelor cu caracter personal a subiectului de date, fără a avea un temei legal în acest sens, fără a garanta confidențialitatea datelor prelucrate și fără consimțământul petentului.

CNPDCP a examinat plângerea unui subiect de date prin care se solicita intervenția autorității de control, conform competențelor atribuite prin Legea privind protecția datelor cu caracter personal, pentru a stabili și a sancționa persoana-(le) din cadrul entități publice ce se fac responsabile de răspândirea cu bună-știință a informațiilor confidențiale, ocrotite de lege, care au transmis prin intermediul e-mail-ului de serviciu către toți angajații documente ce conțin informații personale, inclusiv informații privind starea de sănătate a subiectului de date. Prin urmare, subiectul datelor cu caracter personal consideră că de către persoana-(le) responsabile din cadrul entității publice au fost comise acțiuni ilegale, prin diseminarea informațiilor confidențiale, în lipsa consimțămîntului acesteia, fiindu-i grav încălcat dreptul la protecția datelor privind starea de sănătate.

În rezultatul soluționării plângerii subiectului datelor cu caracter personal, CNPDCP a constatat prin decizie că, angajata din cadrul entității publice a acționat în mod individual stabilind scopul şi mijlocele de prelucrare a datelor privind starea de sănătate a subiectului vizat, fără a ține cont de instrucțiunile/dispozițiile conducerii entității, a stabilit transmiterea/dezvăluirea către toți angajații a informațiilor conținute în certificatul medical eliberat pe numele subiectului de date, în lipsa unei obligații legale/temei legal, fără a asigura confidențialitatea datelor cu caracter personal, acțiune ce contravine condițiilor de drept prevăzute de art. 4 alin. (1) lit. a), art. 6 alin. (1) și art. 29 alin. (1) din Legea privind protecția datelor cu caracter personal.

IV. Activitatea de supraveghere

În perioada de referință, CNPDCP a venit cu mai multe precizări și recomandări atât pentru subiecții de date, cât și cu recomandări pentru autoritățile publice:

În atenția utilizatorilor aplicației Yandex Go

În contextul informațiilor mediatizate, vizând accesul la datele cu caracter personal prelucrate prin intermediul aplicației „Yandex Go” (cum ar fi: datele dispozitivelor mobile ale utilizatorilor, numele, numărul de telefon, adresa de e-mail, date bancare și adresele călătoriilor cu taxiul), CNPDCP a îndemnat subiecții de date să fie prudenți și să se informeze, în prealabil instalării aplicației Yandex Go pe dispozitivele mobile, asupra condițiilor stipulate în Politica de confidențialitate Yandex, deoarece, odată instalată această aplicație, prelucrarea datelor cu caracter personal se efectuează pe baza consimțământului subiectului de date cu caracter personal.

De altfel, în cazul utilizării unor sisteme/platforme străine, gestionate/create de operatori nerezidenți, serverele cărora se află în afara țării, survine implicit situația de transmitere transfrontalieră a datelor cu caracter personal, colectate/prelucrate prin intermediul acestor sisteme/platforme, fapt care determină aplicabilitatea obligatorie a prevederilor art. 32 al Legii 133/2011 privind protecția datelor cu caracter personal.

În aceste condiții, transmiterea transfrontalieră a datelor cu caracter personal către statele care nu asigură un nivel adecvat de protecție (cum ar fi spre ex. Federația Rusă), poate avea loc în condițiile statuate la art. 32 alin. (5) al Legii privind protecția datelor cu caracter personal.

Totodată, este de menționat că, în cazul unor platforme de management a comenzilor de taxi deținute de titulari nerezidenți, dar care își desfășoară activitatea și/sau produc efecte juridice pe teritoriul Republicii Moldova, autoritățile de stat competente vor întâmpina impedimente și/sau nu vor putea exercita un control efectiv asupra acțiunilor eventual prejudiciabile a acestora.

Mai mult, în circumstanțele expuse supra, inclusiv subiectul de date cu caracter personal va pierde controlul asupra datelor sale cu caracter personal și va fi în dificultate de a-și exercita drepturile consacrate de Legea privind protecția datelor cu caracter personal.

În contextul informațiilor menționate supra, precum și ținând cont de faptul că datele cu caracter personal, transferate tranfrontalier în state care nu asigură un nivel adecvat de protecție, ar putea fi utilizate în detrimentul subiecților de date sau în alte scopuri decât cele declarate de operator, prin avizul înaintat Guvernului asupra proiectului de inițiativă legislativă nr. 252 din 13.07.2023, CNPDCP a propus inclusiv:

… în contextul asigurării protecției eficiente a datelor cu caracter personal prelucrate, ar fi oportună examinarea posibilității instituirii normei vizând utilizarea sistemelor (platformelor) electronice de management gestionate/păstrate/stocate pe teritoriul Republicii Moldova. Or, ținând cont de prevederile art. 4 și art. 5 alin. (5) lit. b) ale Legii nr. 133/2011, obligațiile/regulile de prelucrare a datelor cu caracter personal (cum ar fi spre exemplu: utilizarea sistemelor/platformelor electronice de management naționale, precum și păstrarea serverelor pe teritoriul Republicii Moldova, fără a fi admisă transmiterea transfrontalieră de date cu caracter personal) trebuie să fie prevăzute de lege.

În atenția subiecților de date! CNPDCP recomandă vigilență maximă la transmiterea/oferirea datelor cu caracter personal

Reieșind din multitudinea de cazuri mediatizate, precum și din specificul abordat în tot mai multe plângeri și sesizări aflate în examinare, CNPDCP a îndemnat subiecții de date să demonstreze precauție maximă la dezvăluirea, transmiterea, diseminarea datelor cu caracter personal ce îi vizează.

CNPDCP amintește că, actele de identitate (cum ar fi buletinele de identitate, pașapoartele), certificatele de stare civilă, carnetele de pensionar, cardurile bancare etc. consemnează o multitudine de date cu caracter personal, care necesită o protecție eficace din partea deținătorului/titularului acestora.

Astfel, oferirea/transmiterea de copii de pe aceste documente, precum și scrierea datelor cu caracter personal în diferite liste/acte de către subiectul de date, în alte scopuri decât cele expres prevăzute de lege, poate genera utilizarea ilegală a acestora, în scopuri contrare celor prevăzute inițial, în detrimentul subiectului de date. La fel, subiectul de date cu caracter personal ar putea pierde controlul asupra datelor sale cu caracter personal.

În cazul în care subiecților de date li se solicită prezentarea actelor de identitate și/sau oferirea copiilor de pe aceste acte, precum și prezentarea datelor personale precum: numele, prenumele, IDNP-ul, adresa de domiciliu, datele cardului bancar, venitul, cuantumul pensiei, etc. sub pretexte diferite de persoane terțe, aceștia urmează să se încredințeze de legalitatea colectării datelor personale și a utilizării ulterioare a acestor date.

Or, potrivit prevederilor Legii 133/2011 privind protecția datelor cu caracter personal, datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior.

Totodată, CNPDCP reliefează că, în condițiile oferirii/transmiterii benevole a datelor cu caracter personal, consemnate pe diferite acte sau prin înscrierea acestora în careva liste/documente, la baza colectării acestor date personale se invocă/determină existența consimțământului subiectului datelor cu caracter personal (art. 5 alin. (1) al Legii 133/2011), chiar dacă ulterioara utilizare a acestor date se adeverește a fi efectuată în alte scopuri/ în detrimentul subiectului de date vizat.

În atenția subiecților de date! Recomandări privind publicarea datelor cu caracter pesonal pe rețelele de socializare

Odată cu apariția rețelelor de socializare, precum Twitter, Tumblr, Facebook, Telegram, Instagram, Linked In, Tik Tok, Snapchat etc., viața socială s-a schimbat radical, acestea devenind un instrument puternic pentru a socializa, a face noi prieteni și cunoștințe, a distribui imagini foto, video sau pentru a promova o informație. Persoanele împărtășesc cu ușurință știri, imagini, opinii personale și aproape orice se întâmplă în viața lor. Divulgarea datelor cu caracter personal creează un mediu favorabil pentru companiile de publicitate, persoanele care lansează apeluri pretins caritabile (strângeri false de fonduri în scop umanitar), persoanele ce intenționează să se răzbune, infractorii cibernetici, iar acest lucru ar putea presupune colectarea datelor sensibile despre activitățile, interesele, caracteristicile personale, opiniile politice, obiceiurile și comportamentele online ale persoanelor.

Astfel, utilizatorii rețelelor de socializare, trebuie să demonstreze precauție maximă ce date cu caracter personal publică, ce scriu în public, ce fotografii/înregistrări video sau audio plasează sau cui acordă încredere pe o rețea de socializare.

Totodată, CNPDCP atenționează că, colectarea și prelucrarea de date cu caracter personal pe rețelele de socializare, ca și orice prelucrare de date, trebuie să fie efectuată în strictă conformitate cu prevederile Legii privind protecția datelor cu caracter personal, iar datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior.

Astfel, CNPDCP îndeamnă subiecții de date să-și protejeze confidențialitatea vieții private înainte de a publica sau a distribui anumite informații pe rețelele de socializare sau pe orice altă platformă online.

Este foarte important ca utilizatorii rețelelor de socializare să citească cu atenție și să înțelegă:

Termenii de confidențialitate (de exemplu, conținutul care poate fi partajat cu o terță parte, posibilitatea de a șterge conținutul de pe site etc.);
Caracteristicile site-ului (de exemplu, cine vă poate vedea mesajele, dacă vor fi doar destinatari specificați sau toți utilizatorii de pe platformă etc.);
Ce informații biografice ar trebui furnizate (de exemplu, datele biografice, cum ar fi: numele complet, anul nașterii, vârsta sau adresa, ar trebui să fie utilizate doar la înregistrarea contului și nicidecum oferite altor utilizatori de pe rețelele de socializare),
Informații despre cont (de exemplu, informațiile sensibile, cum ar fi: școala frecventată, afilierea politică, informații despre contul bancar, locul de trai/domiciliul etc., nu ar trebui furnizate niciodată);
Cine sunt potențialii „Prieteni” (de exemplu, prin analiza profilului persoanelor respective, pentru a înțelege cine sunt, ce fac și ce fel de conținut distribuie);
Necesitatea de a dezactiva funcțiile de partajare a locației gadgetului utilizat;
Atenție maximă la postarea online a fotografiilor/înregistrărilor video sau audio (ar putea fi foarte dificil să fie șterse, cum ar fi în cazul metadatelor sau dacă cineva le-a copiat, le-a partajat sau le-a distribuit pe alte site-uri sau rețele de socializare) etc.

Textul integral al Recomandărilor privind publicarea datelor cu caracter pesonal pe rețelele de socializare, pate fi vizualizat accesând următorul link:

https://datepersonale.md/in-atentia-subiectilor-de-date-recomandari-privind-publicarea-datelor-cu-caracter-pesonal-pe-retelele-de-socializare/

În atenția autorităților publice! CNPDCP recomandă întreprinderea măsurile necesare pentru protecția datelor cu caracter personal la accesarea registrelor/sistemelor informaționale de stat

Urmare a defășurării procedurilor de control asupra conformităţii prelucrării datelor cu caracter personal cu cerinţele Legii nr. 133/2011 privind protecția datelor cu caracter personal, inițiate în baza plângerilor recepționate din parte subiecților de date, CNPDCP a depistat următoarele neconformități: tendința de utilizare a credențialelor de acces (nume de utilizator și parola) a unui singur cont de utilizator autorizat de către mai mulți angajați ai entității beneficiare; deținerea/utilizarea numelui de utilizator și parolei de către persoane terțe; neactualizarea listei utilizatorilor autorizați după încetarea raporturilor de muncă, după schimbarea locului de muncă sau a funcției în entitate; neincluderea în listele de utilizatori a datelor personale ale utilizatorului autorizat (IDNP, numărul sau adresa de contact); neinformarea deținătorului sistemului informațional despre schimbarea administratorului responsabil de accesul la portalele informaționale menționate supra indicat în lista utilizatorilor; neactualizarea sistematică a parolelor de utilizator; lipsa evidenței manuale și/sau electronice a accesării/consultării datelor cu caracter personal stocate în sistemele informaționale de stat, etc.

CNPDCP nu pune la îndoială și nu neagă dreptul autorității publice de a colecta/accesa/consulta sau verifica date cu caracter personal din diverse sisteme informaționale de stat, care sunt necesare pentru realizarea/executarea sarcinilor care rezultă din exercitarea prerogativelor de autoritate publică cu care este investită, însă, toate aceste potențiale operațiuni de prelucrare a datelor cu caracter personal urmează a fi efectuate cu respectarea tuturor condițiilor de prelucrare a datelor cu caracter personal statuate de Legea privind protecția datelor cu caracter personal, iar situațiile identificate generează riscuri iminente față de asigurarea confidențialității și securității datelor cu caracter personal prelucrate/stocate în registrele/sistemele informaționale de stat, care vizează practic toți cetățenii Republicii Moldova.

În acest context, reieșind din prevederile art. 20 alin. (1) lit. a), c), o), q) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, în vederea asigurării unui nivel adecvat de integritate, confidențialitate și securitate a datelor cu caracter personal și având ca scop de a preveni admiterea încălcărilor similare celor indicate, CNPDCP a venit cu recomandări față de autoritățile publice în vederea:

a) Revizuirii și actualizării cu regularitate a listei utilizatorilor autorizați anexate la contractele de prestări servicii încheiate în contextul acordării accesului la registrele/sistemele informaționale de stat, în special cele gestionate de ASP;

b) Instituirii unui mecanism de ținere de către utilizatorii autorizați a evidenței manuale și/sau electronice a accesării/consultării datelor cu caracter personal, precum și instruirii angajaților din subordine despre neadmiterea accesării/utilizării neautorizate a datelor cu caracter personal din sistemele de evidență.

Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 100 consultații telefonice și 5 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

V. Știri internaționale și europene

În perioada 01 iulie – 30 septembrie 2023, reprezentanții CNPDCP au participat la 2 ședințe plenare on-line și o ședință cu prezență fizică a Comitetului European pentru Protecția Datelor (EDPB). În cadrul plenarelor au fost discutate și adoptate în varianta finală mai multe documente, printre care:

Nota informativă pentru persoanele și entitățile care transferă date în SUA în limitele Cadrului UE-SUA privind confidențialitatea datelor (DPF);
Declarație privind prima revizuire a Deciziei de adecvare a Japoniei;

În cadrul ședinței plenare din 19-20 septembrie curent, conducerea și membrii EDPB s-au întâlnit cu reprezentanții autorităților de protecția datelor atât din țările Parteneriatului Estic cât și din țările Balcanilor de Vest, unde au fost prezentate structurat situația actuală și provocările/oportunitățile cheie privind protecția datelor în țările delegațiilor invitate.

Comitetul European pentru Protecția Datelor este un organism european independent, care contribuie la aplicarea consecventă a normelor de protecție a datelor în întreaga Uniune Europeană și promovează cooperarea între autoritățile UE de protecție a datelor.

În perioada 03 – 07 iulie 2023, în cadrul proiectelor regionale GIZ „Reingineria serviciilor publice în EaP” și „E-Guvernare și digitalizare în EaP”, a fost organizată prima întâlnire de rețea dedicată doar autorităților de protecția datelor din cadrul țărilor Parteneriatului Estic. Autoritatea de Protecție a Datelor cu Caracter Personal din Georgia a fost co-gazdă și co-organizator al acestei întâlniri de lucru.

În cadrul acestei întrevederi au fost discutate următoarele subiecte:

Lansarea primului eveniment de rețea și prezentarea cadrului legal, a proceselor de lucru a autorităților de protecție a datelor;
Organizarea întâlnirii pregătitoare pentru viitorul eveniment la nivel înalt;
Prezentarea priorităților, activităților comune în curs a țărilor Parteneriatului estic și planificarea de comun a noilor activități pentru anul 2024;
Discutarea despre conferința internațională a autorităților de protecția datelor, programată pentru anul 2024 în Georgia.

În perioada 04-08 septembrie, la Tbilisi, Georgia, a fost organizată cea de-a III-a Academie cu genericul ”Sistemele de management al calității și cultura calității” găzduită de Agenția de Dezvoltare a Serviciului Public din Georgia.

Au fost abordate următoarele subiecte de discuție:

Managementul calității totale (TQM);
Managementul proceselor;
Re-inginerie;
Cadrul comun de evaluare (CAF);
Evaluarea organizațională și planul de îmbunătățire.

Această serie de Academii este un efort de colaborare între Programul SIGMA și proiectele GIZ, „Re-ingineria serviciilor publice în Parteneriatul Estic” și „Guvernare electronică și digitalizare în țările Parteneriatului Estic”, făcând parte din cadrul GIZ „Fondul Regional pentru Reformele Administrației Publice al Parteneriatului Estic”. În cadrul acestei Academii au participat reprezentanții CNPDCP, Agenției Servicii Publice și Agenției de Guvernare Electronică.

În perioada 18-22 septembrie, la Bruxelles, Belgia, a avut loc „Evenimentul la nivel înalt în domeniul protecției datelor” organizat de OECD-SIGMA și Fondul Regional pentru Parteneriatul Estic (GiZ) în strânsă colaborare cu Autoritatea Europeană pentru Protecția Datelor și diferite instituții ale UE (DGJUST, DGNEAR și Parlamentul European).

Scopul evenimentului a fost de a permite crearea de rețele și de a face schimb de experiență între instituțiile de protecție a datelor cu caracter personal din regiunea Parteneriatului Estic și Balcanii de Vest, precum și de a consolida relațiile cu instituțiile UE responsabile de domeniul protecției datelor.

Pe parcursul sesiunilor de lucru, au fost abordate subiecte de actualitate din domeniul protecției datelor, precum:

Necesitatea protecției datelor cu caracter personal. Provocări și oportunități pentru regiunea Balcanii de Vest și Parteneriatului Estic;
Activitatea Unității de politici și consultare, evoluțiile legislative recente ale UE / Ghidul digital;
Sensibilizarea și informarea publicului larg privind provocările și problemele legate de protecția datelor, creșterea gradului de conștientizare și crearea de legături între transformarea digitală și protecția datelor;
Provocările și necesitățile protecției datelor cu caracter personal în era digitală.

La evenimentul menționat supra au participat reprezentanți din 11 țări ale parteneriatului Estic și din regiunile Balcanii de Vest precum: Albania, Armenia, Azerbaidjan, Bosnia și Herțegovina, Georgia, Kosovo, Muntenegru, Macedonia de Nord, Moldova, Serbia și Ucraina.

VI. Alte autorități pentru protecția datelor

La data de 21 august, a fost anunțată decizia finală a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal din România (ANSPDCP) din 18 iulie 2023, cu privire la impunerea sancțiunii contravenționale cu o amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 de euro aplicată companiei UIPATH SRL pentru încălcarea prevederilor art. 25 și art. 32 din GDPR.

Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul GDPR-ului. Astfel, UiPath SRL a notificat o încălcare a confidențialității datelor cu caracter personal, constând în publicarea datelor cu caracter personal a unui număr semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL.

În cadrul investigației, ANSPDCP a constatat că UiPath SRL nu a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane, incluzând capacitatea de a asigura confidențialitatea și rezistența continuă ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodică ale eficacității măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. Acest fapt a condus la divulgarea și accesul neautorizat la datele cu caracter personal (numele și prenumele utilizatorului, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.

ANSPDCP a considerat că această încălcare a prelucrării datelor cu caracter personal este de natură să aducă persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidențialității datelor cu caracter personal.

În urma investigației efectuate, ANSPDCP a informat celelalte autorități de supraveghere implicate, în cadrul unei proceduri de consultare informală, bazată pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigațiile efectuate în acest caz cu impact transfrontalier și măsurile propuse.

În același timp, în temeiul art. 58 alin. (2) lit. d) din GDPR, ANSPDCP a dispus față de operator măsura corectivă de a implementa un mecanism aplicat la intervale regulate de timp, privind testarea, evaluarea și aprecierea periodică a eficacității măsurilor adoptate, ținând cont de riscul prezentat de prelucrare, în vederea asigurării unui nivel de securitate corespunzător și evitării pe viitor a unor incidente de securitate similare.

La data de 28 august, a fost emisă decizia Autorității Suedeze pentru Protecția Datelor (IMY) privind aplicarea amenzii administrative în valoare de 5 000 000 euro companiei Spotify AB pentru încălcarea articolului 15 – Dreptul de acces la date, articolului 12.1, articolului 12.3, articolului 58 și articolului 83 – Condiții generale pentru impunerea amenzilor administrative, din GDPR.

IMY a auditat modul în care Spotify gestionează dreptul clienților de acces la datele cu caracter personal. IMY a constatat că Spotify furnizează persoanelor fizice datele cu caracter personal pe care compania le prelucrează, la solicitare, dar că aceștia nu sunt informați suficient de clar despre modul în care aceste date sunt utilizate de companie. Totodată, IMY a constatat anumite deficiențe în activitatea companiei Spotify.

Având în vedere acest lucru, numărul de utilizatori înregistrați și cifra de afaceri a Spotify, IMY a emis o amendă administrativă de aproximativ 5 milioane euro (58 milioane SEK), companiei Spotify pentru că nu a furnizat informații suficient de clare subiecților de date.

Totodată, IMY a constatat că Spotify nu a reușit să gestioneze solicitările de acces legate de plângerile examinate. Decizia în această parte include încălcarea articolelor 12.1, 12.3, 15.3 și 15.1 a-h și 15.2 din GDPR. În legătură cu aceste încălcări, IMY a emis o mustrare și un ordin de conformare referitor la cererea de acces a unui reclamant.

Cookie	Durată	Descriere
cookielawinfo-checkbox-necessary	11 months	Acest cookie este utilizat pentru a ține evidența modulelor cookie pe care le-ați consimțit, în raport cu categoria de cookies “necessary” (cookies necesare);
cookielawinfo-checkbox-non-necessary	11 months	Acest cookie este utilizat pentru a ține evidența modulelor cookie pe care le-ați consimțit, în raport cu categoria de cookies “non-necessary” (cookies care nu sunt necesare);
viewed_cookie_policy	11 months	Acest cookie este utilizat pentru a vedea dacă ați citit politica noastră privind modulele cookie. Nu stochează date cu caracter personal;