Astăzi, 28 ianuarie, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), în parteneriat cu Academia de e-Guvernare (eGA), organizează conferința națională „Noile prevederi legale în domeniul protecției datelor cu caracter personal în Republica Moldova”.

Scopul conferinței este de a crește gradul de conștientizare atât a reprezentanților instituțiilor publice, cât și a mediului privat cu privire la noile prevederi legale în domeniul protecției datelor cu caracter personal, garantând astfel un nivel adecvat de protecție pentru subiecții de date la nivel global.

Evenimentul a fost deschis de către Directorul CNPDCP, D-na Victoria Muntean: “În contextul actual, când tehnologiile emergente, cum ar fi inteligența artificială, analiza datelor de mari dimensiuni și supravegherea digitală sunt în expansiune rapidă, provocările pentru domeniul aferent protecției datelor sunt tot mai complexe. La nivel național, implimentarea noilor prevederi legale reflectă angajamentul nostru de a armoniza cadrul legislativ cu standardele internaționale, dar și de a răspunde particularităților și necesităților actuale. Aceste schimbări vin într-un moment crucial, de o deosebită importanță națională, când Republica Moldova, cu pași fermi, izbutește în parcursul de integrare în Uniunea Europeană, iar protecția datelor cu caracter personal reprezintă un pilon important în tot acest proces. Discuțiile din cadrul conferinței de astăzi vor oferi o oportunitate valoroasă de a analiza cum pot fi implementate aceste noi reglementări într-un mod eficient, asigurând, totodată, un echilibru între protecția drepturilor individuale ale cetățenilor și posibilitățile de dezvoltare economică și socială sustenabilă”.

Conferința este moderată de experți în protecția datelor cu caracter personal din cadrul CNPDCP, precum și din Estonia, Malta și România. Printre temele abordate de experți sunt: Noi prevederi legale în domeniul protecției datelor cu caracter personal în Republica Moldova; Cadrul legal privind protecția datelor: de la drepturile subiecților de date și responsabilitățile operatorilor la gestionarea breșelor; Ștergerea urmelor: explorarea dreptului de a fi uitat; Reducerea discrepanțelor: protecția datelor cu caracter personal versus securitatea rețelelor și a informației;  Inteligența artificială generativă și confidențialitatea datelor: Echilibrul între inovație și protejarea vieții private a persoanelor, precum și două paneluri de discuție:Dezvăluirea tehnicilor de îmbunătățire a confidențialității și modalități prin care acestea pot ajuta o organizație să facă fața reglementărilor în continuă evoluție și Ce ne poate învăța aplicarea securității cibernetice despre consolidarea protecției datelor?

În cadrul evenimentului participă peste 150 de reprezentanți atât ai instituțiilor publice, cât și a mediului privat.

Conferința națională este organizată cu suportul proiectului de Asistență Rapidă pentru Securitatea Cibernetică 2.0 al UE, implementat de Academia de E-Guvernare din Estonia.

Anual, la data de 28 ianuarie, comunitatea europeană celebrează „Ziua Europeană a Protecției Datelor”. În acest an, este marcată cea de-a 19 ediție a acesteia și 44 de ani de la adoptarea Convenției 108 pentru protecția persoanelor față de prelucrarea automatizată a datelor cu caracter personal, la Strasbourg la 28 ianuarie 1981.

Scopul Convenției nr. 108 este de a garanta pe teritoriul fiecărui stat parte, fiecărei persoane fizice, oricare ar fi cetățenia sau reședința sa, respectarea drepturilor și libertăților fundamentale și, în special, a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

Este o zi cu totul specială, nu numai pentru statele membre ale Consiliului Europei, ci și pentru întreaga Comunitate Globală de Protecție a Datelor și, mai presus de toate, pentru fiecare persoană protejată de acest drept fundamental.

În acest sens, statele membre ale Consiliului Europei, și nu doar, organizează diferite activități și evenimente publice pentru a marca această zi. Centrul Național pentru Protecția Datelor cu Caracter Personal marchează acest eveniment alături de toate statele/instituțiile europene prin  promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. 

Deși, domeniul protecției datelor cu caracter personal este unul relativ nou pentru societatea Republicii Moldova, totuși, am reușit pe parcursul ultimilor ani să avansăm mult întru atingerea obiectivului național trasat vizând asigurarea unui nivel adecvat de protecție a datelor cu caracter personal, în conformitate cu normele Uniunii Europene și ale Consiliului Europei, precum și garantarea protecției drepturilor și libertăților fundamentale ale cetățenilor, în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

 În acest context, la data de 23 august 2024, a fost publicată în Monitorul Oficial al Republicii Moldova Legea nr. 195/2024 privind protecția datelor cu caracter personal, care transpune fidel prevederile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – GDPR). Noul act normativ intră în vigoare peste 2 ani de la data publicării în Monitorul Oficial al Republicii Moldova. 

Totodată, în scopul informării atât a sectorului public, cât și a celui privat cu noile prevederi legale stipulate în Legea nr. 195/2024, la data de 28 ianuarie 2025, are loc conferința națională „Noile prevederi legale în domeniul protecției datelor cu caracter personal în Republica Moldova”, organizată în parteneriat cu Academia de e-Guvernare (eGA). 

Un alt eveniment public, organizat în contextul celebrării Zilei Europene a Protecției Datelor, este fortificarea colaborării interinstituționale la nivel național în scopul amplificării acțiunilor de sensibilizare a societății privind importanța domeniului protecției datelor cu caracter personal, precum și ridicarea nivelului de interpretare corectă și aplicare conformă a prevederilor legale din domeniul protecției datelor cu caracter personal de către actorii implicați în prelucrarea datelor cu caracter personal care rămâne a fi una din prioritățile CNPDCP pentru anul 2025. În acest sens, au fost încheiate Acorduri de colaborare cu mai multe instituții de stat, în scopul efectuării cursurilor de instruire în acest domeniu.

Rolul nostru, în calitate de Autoritate Națională de Protecție a Datelor, devine din ce în ce mai important, iar celebrarea anuală a acestei zile constituie un prilej de a aduce în atenția publicului importanța respectării principiilor de protecție a datelor cu caracter personal, a dreptului la viață privată și a dreptului la protecția datelor cu caracter personal.

La data de 27 ianuarie curent, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat campania de informare și sensibilizare a comunității școlare, organizând cursul de instruire „Protecția datelor cu caracter personal și siguranța copiilor în mediul on–line” pentru instituția Publică Liceul Teoretic „Ștefan cel Mare” din Chișinău. Evenimentul a avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a IV–a “A”, în contextul evenimentelor planificate pentru celebrarea celei de-a 19-a ediție a Zilei Europene a Protecției Datelor.

Scopul campaniei de informare și sensibilizare a comunității școlare este de a oferi o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin.

Tematicile abordate în cadrul instruirii au vizat: 

• Noțiuni generale de date cu caracter personal (ce înseamnă, cum le identificăm, cum operăm cu ele); 

• Atitudini și practici de transmitere a pozelor/înregistrărilor video on-line (caracterul privat al unei pagini de socializare, setări de confidențialitate, operarea cu poze/video în cadrul unui chat, atitudinea și acțiunile întreprinse în situația în care o imagine/video este preluată fără acordul tău și distribuită ulterior);

• Riscurile și amenințările din mediul online (malware, spam, hărțuirea online, furtul de informații, situații care atentează la intimitatea/securitatea copilului și soluții pentru astfel de situații);

• Comunicarea pe rețelele de socializare, etc.

În cadrul cursului de instruire, elevii au avut parte de jocuri interactive, au completat un rebus în baza materialului prezentat și au participat la runda de întrebări-răspunsuri, iar cei mai buni au fost premiați cu cadouri de rigoare.

Evenimentul a fost organizat la inițiativa CNPDCP, fiind instruiți 32 de elevi. Totodată, materialele informative, precum și cadourile oferite elevilor au fost elaborate cu suportul Fondului Națiunilor Unite pentru Copii (UNICEF).

De menționat că, campania de informare și sensibilizare a comunității școlare a fost lansată la data de 15 aprilie 2022, iar CNPDCP își propune să continue acest format de instruiri atât în instituțiile școlare din municipiului  Chișinău, cât și în cele din raioanele Republicii Moldova.

Conștientizând necesitatea informării, promovării și asigurării protecției drepturilor persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și necesitatea unor eforturi comune în vederea implementării acestor valori, la data de 27 ianuarie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), reprezentat de către directoarea Victoria MUNTEAN și Inspectoratul General pentru Migrațiune (IGM), reprezentat de către șeful Valentin FIODOROV, au semnat Planul de instruiri în domeniul protecției datelor cu caracter personal, pentru angajații din cadrul subdiviziunilor structurale IGM.

Scopul primordial stabilit prin Planul de instruiri menționat supra este de a spori gradul de percepție a angajaților din cadrul subdiviziunilor structurale IGM asupra principiilor de protecție a datelor cu caracter personal și asupra asigurării implementării/aplicării corecte a prevederilor legale din domeniul protecției datelor, în activitatea cotidiană. Planul de instruiri a fost elaborat și aprobat de comun acord și prevede petrecerea instruirilor în format  offline în cadrul subdiviziunilor structurale IGM.

Totodată, menționăm faptul că, fortificarea colaborării interinstituționale la nivel național în scopul amplificării acțiunilor de sensibilizare a societății privind importanța domeniului protecției datelor cu caracter personal, precum și ridicarea nivelului de interpretare corectă și aplicare conformă a prevederilor legale din domeniul protecției datelor cu caracter personal de către actorii implicați în prelucrarea datelor cu caracter personal, rămâne a fi una din prioritățile CNPDCP pentru anul 2025.

Planul de instruiri menționat supra face parte inclusiv din activitățile preconizate a fi organizate în contextul celebrării celei de-a 19 ediție a Zilei Europene a Protecției Datelor.

La data de 13 ianuarie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru angajații Întreprinderii de stat „Moldelectrica”, la solicitarea acestora.

Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților Întreprinderii de stat „Moldelectrica” asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare.

În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi:

• Definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal;

• Drepturile subiecților de date cu caracter personal;

• Prelucrarea categoriilor speciale de date cu caracter personal;

• Principii și temeiuri legale pentru prelucrarea datelor cu caracter personal;

• Aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO);

• Obligațiile și sarcinile unui DPO;

• Aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA);

• Etapele și obligația efectuării unei DPIA, etc.

Cursul de instruire a fost unul interactiv, participanții acordând multiple întrebări referior la modalitatea legală de prelucrare a datelor cu caracter personal în activitatea cotidiană desfășurată de către angajații întreprinderii, precum și asigurarea securității și confidențialității acestor date.

În cadrul evenimentului au participat circa 40 de reprezentanți din cadrul Întreprinderii de stat „Moldelectrica”.

Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (CNPDCP), informează că, în conformitate cu prevederile pct. 2.1 al Hotărârii Guvernului nr. 678/2024 cu privire la modificarea și abrogarea unor hotărâri ale Guvernului (facilitarea activității mediului de afaceri VI), care a întrat în vigoare la 15 noiembrie 2024 a fost abrogată Hotărârea Guvernului nr. 1123/2010 privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal (Cerințe). 

Accentuăm că abrogarea Cerințelor menționate nu exclude obligația operatorilor, cît şi a persoanelor împuternicite de către aceștia (dacă este cazul), prevăzută la art. 29 şi art. 30 ale Legii nr. 133/2011, de a implementa măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii, răspîndirii, precum şi împotriva altor acţiuni ilicite, măsuri menite să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor prelucrate, inclusiv și de asigurare a confidențialității acestora.

În acest context, recomandăm să consultați Liniile directorii privind măsurile de securitate pentru protecția și prelucrarea datelor cu caracter personal în cadrul sistemelor informaționale, care sunt publicate pe pagina oficială a Autorității naționale de protecție a datelor cu caracter personal la capitolul Recomandările CNPDCP (https://datepersonale.md/data-controllers/ncpdp-guidelines/).

Totodată, comunicăm că implicit, a fost exclusă obligația operatorilor de date cu caracter personal de a prezenta anual, pînă la 31 ianuarie, în adresa CNPDCP rapoarte generalizate despre incidentele de securitate a sistemelor informaționale de date cu caracter personal gestionate.

Pentru oricare informaţie suplimentară, urmează să contactați Direcţia prevenire, supraveghere și evidență a Direcției generale supraveghere și conformitate a CNPDCP, la telefonul de contact nr. 022-811-801/811-802.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda în valoare de 251 milioane de euro impusă de către Autoritatea Irlandeză pentru Protecția Datelor (DPA) companiei Meta Platforms Ireland Limited (Meta) în urma a două investigații privind o breșă de securitate care a afectat datele cu caracter personal ale 29 de milioane de utilizatori la nivel global.

Incidentul, raportat de Meta în septembrie 2018, a implicat acces neautorizat la o serie de categorii de date cu caracter personal, cum ar fi: numele complet al utilizatorului; adresa de e-mail; numărul de telefon; locația; locul de muncă; data nașterii; religia; sexul; postările de pe timeline; grupurile din care făcea parte un utilizator și date cu caracter personal ale copiilor. Aproximativ trei milioane dintre utilizatorii afectați erau din Uniunea Europeană și Spațiul Economic European. Breșa a fost cauzată de exploatarea unor token-uri de utilizator pe platforma Facebook de către terți neautorizați. Deși încălcarea a fost remediată rapid de Meta și de compania mamă din SUA la scurt timp după descoperirea acesteia, DPA Irlandeză a constatat că gigantul tehnologic a încălcat Regulamentul General privind Protecția Datelor (GDPR) prin:

• Nerespectarea obligațiilor de documentare a faptelor și a măsurilor luate pentru remediere – articolul 33 (3) și 33 (5);

• Neasigurarea că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării -articolul 25 (1) și 25 (2).

În acest context, DPA Irlandeză a impus o amendă în valoare de 251 de milioane de euro companiei Meta. Valoarea acesteia subliniază accentul pus de Uniunea Europeană pe responsabilizarea marilor companii tehnologice, Autoritatea Irlandeză fiind principalul organism de reglementare responsabil pentru obligarea acestora la răspundere. Compania a anunțat că va face apel la decizie.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 9 300 euro aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) Centrului Public Independent de Asistență Medicală (Centrul)pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit), articolului 32 (Securitatea prelucrării) și articolului 34 (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal) din GDPR.

Urmare a unui atac cibernetic, Centrul a pierdut accesul la datele pacienților și ale angajaților, luând măsuri corective abia după aceea. Atacul a avut loc în februarie 2022. Un ransomware malițios a criptat datele cu caracter personal ale 30 000 de pacienți și ale peste 1000 de angajați. Centrul Public Independent de Asistență Medicală a notificat Oficiul pentru Protecția Datelor cu Caracter Personal și poliția. S-a constatat că atacul nu a fost unul grav, deoarece datele nu s-au scurs – acestea au devenit doar inaccesibile (un expert extern a indicat că datele nu puteau fi decriptate). Cu toate acestea, compania nu a notificat persoanele vizate cu privire la faptul că a pierdut controlul asupra unor date precum: numele și prenumele, numele părinților, data nașterii, numărul contului bancar, adresa de reședință sau de ședere, numărul de identificare personală (numărul PESEL), numele de utilizator și/sau parola, detalii privind veniturile sau bunurile deținute, numele de familie al mamei, seria și numărul buletinului de identitate, numărul de telefon și datele medicale. 

În acest context, Președintele Oficiului pentru Protecția Datelor cu Caracter Personal a aplicat o amendă în valoare de 9 300 euro Centrului Public Independent de Asistență Medicală din Pajęczno pentru încălcarea articolelor 5, 24, 25, 32 și 34 din GDPR. În plus, pe lângă amenda aplicată, s-a dispus punerea în aplicare, în termen de 30 de zile, a măsurilor tehnice și organizatorice adecvate pentru a asigura securitatea prelucrării datelor în cadrul sistemelor informatice. De asemenea, s-a dispus notificarea persoanelor vizate cu privire la incident, explicându-le ce s-a întâmplat, subliniind posibilele consecințe ale incidentului și indicând cine poate oferi mai multe informații cu privire la subiectul în cauză din cadrul companiei.

 CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.

La data de 17 decembrie 2024, în rezultatul promovării cu succes a perioadei de probă stabilită pentru funcționarul public debutant și confirmării în funcția publică de controlor de stat în Direcția Conformitate din cadrul Direcţiei Generale Supraveghere şi Conformitate a Centrului Naţional pentru Protecția Datelor cu Caracter Personal (CNPDCP), colega noastră, Daniela MUNTEANU, a depus jurământul de credinţă, care prevede respectarea Constituţiei Republicii Moldova, drepturilor şi libertăţilor fundamentale ale omului, apărarea suveranității, independenţei şi integrității teritoriale a Republicii Moldova, executarea în mod obiectiv şi imparţial  a legilor ţării, îndeplinirea conştiincioasă a obligaţiilor în exercitarea funcţiei publice, precum şi respectarea normelor de conduită profesională.

Jurământul de credință a fost depus în prezența conducerii și colegilor din cadrul CNPDCP, în fața simbolurilor de stat, în conformitate cu prevederile art. 32 din Legea nr. 158-XVI din 04 iulie 2008 cu privire la funcția publică și statutul funcționarului public.

Cu această ocazie, Directorul adjunct al CNPDCP, doamna Angela COLOMIICENCO, i-a dorit tânărului funcționar succese, verticalitate, noi performanțe în realizarea aspirațiilor profesionale și aprecieri la justa sa valoare!