Anual, la data de 8 Martie, este sărbătorită Ziua Internațională a Femeii. Cu acest prilej, echipa CNPDCP Vă adresează cele mai sincere felicitări și urări de bine! Sunteți o sursă neîncetată de putere, înțelepciune și inspirație. Fie ca fiecare zi să vă aducă doar zâmbete, multă sănătate, prosperitate, pace și belșug, iar împlinirile frumoase să vă însoțească pretutindeni!

La Mulți Ani, Dragi Femei!

În contextul neadmiterii perceperii distorsionate a poziției Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) vizând transmiterea datelor cu caracter personal de către presupuși reprezentanți ai organizației Șor către AON ,,Eurasia” și SAP ,,Promsviazbank” din Federația Rusă, dar și în scopul informării repetate a subiecților de date cu caracter personal în legătură cu riscurile care pot surveni urmare a oferirii/transmiterii datelor cu caracter personal pentru diverse pretinse scopuri, precum și în vederea reiterării recomandărilor înaintate în acest sens, CNPDCP publică răspunsul integral oferit grupului de presă Realitatea.

La data de 26 februarie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru angajații Inspectoratului General pentru Migrație (IGM), Direcția regională Sud, la solicitarea acestora.

Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților IGM,  Direcția regională Sud, asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare.

În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: 

• Definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; 

• Drepturile subiecților de date cu caracter personal; 

• Prelucrarea categoriilor speciale de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; 

• Cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; 

• Aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO); 

• Obligațiile și sarcinile unui DPO; 

• Asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Cursul de instruire a fost unul interactiv, participanții acordând multiple întrebări formatorilor referior la solicitările de dezvăluire a datelor cu caracter personal care parvin din țări ce nu asigură un nivel adecvat de protecție a datelor, aspectele ce țin de procedura corectă de accesare a datelor cu caracter personal prin intermediul Sistemelor Informaționale de Stat, ducerea evidenței corecte a auditului acestor accesări, precum și depersonalizarea corectă a informațiilor ce conțin date cu caracter personal.

În cadrul evenimentului au fost instruiți 21 de reprezentanți din cadrul IGM, Direcția regională Sud.

La data de 25 februarie 2025, în cadrul Centrului Național pentru Protecția Datelor cu Caracter Personal s-a desfășurat vizita de studiu a unui grup de studenți – membri ai Asociației Europene a Studenților în Drept din Republica Moldova (ELSA) – cea mai mare organizație internațională, independentă, apolitică și non-profit condusă de/și pentru studenți.

Scopul acțiunilor desfășurate în cadrul evenimentului s-a axat pe sensibilizarea tinerii generații/comunității universitare privind domeniul protecției datelor cu caracter personal, consolidarea cunoștințelor în domeniu, precum și explorarea cadrului legal aplicabil, drepturile și obligațiile părților implicate și importanța conformității cu diverse domenii.

Totodată, studenții au fost informați despre organizarea şi funcţionarea CNPDCP, atribuţiile subdiviziunilor CNPDCP, structura, misiunea, precum și rolul autorității în monitorizarea respectării legislaţiei cu privire la protecţia datelor cu caracter personal.

De asemenea, aceștea au fost familiarizați cu:  noțiuni generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Evenimentul s-a finalizat cu o sesiune de întrebări și răspunsuri documentate cu exemple practice, iar CNPDCP își propune să susțină, în continuare, astfel de eforturi de educare și conștientizare a tinerilor cu privire la importanța domeniului protecției datelor cu caracter personal.

 Vizita de studiu a fost organizată la solicitarea Asociației Europene a Studenților în Drept, organizație care numără în prezent 40.000 de membri din 42 de țări din Europa.

La data de 20 ianuarie, Comitetul European pentru Protecția Datelor (EDPB) a adoptat un raport privind punerea în aplicare a dreptului de acces la datele cu caracter personal de către operatorii de date. Raportul sintetizează rezultatul unei serii de acțiuni naționale coordonate, desfășurate pe parcursul anului 2024 în temeiul Cadrului coordonat de aplicare a legii (CEF). Acesta enumeră problemele care au fost observate în cazul anumitor operatori de date, împreună cu o serie de recomandări pentru a-i ajuta să pună în aplicare dreptul de acces la datele cu caracter personal. Un element fundamental este cunoașterea de către operatori a Orientărilor EDPB 01/2022 privind drepturile persoanelor vizate – Dreptul de acces și dacă aceste orientări au fost respectate în practică.

CEF este o inițiativă valoroasă care contribuie la consolidarea cooperării între autoritățile de protecție a datelor (APD), abordând subiecte selectate într-un mod coordonat și obținând o mai mare eficiență în aplicarea legii. Pe parcursul anului 2024, 30 de APD-uri din întreaga Europă au demarat investigații coordonate privind respectarea dreptului de acces la datele cu caracter personal de către operatori, prin demararea de investigații oficiale, prin evaluarea necesității unei investigații oficiale și/sau prin desfășurarea de exerciții de stabilire a faptelor.  În total, 1 185 de operatori, constând din întreprinderi mici și mijlocii (IMM-uri) și companii mari active în diferite industrii și domenii, precum și diferite tipuri de entități publice, au răspuns la acțiune.

Rezultatele sugerează că este necesară o mai mare sensibilizare cu privire la Orientările EDPB 01/2022 privind drepturile persoanelor vizate, atât la nivelul fiecărui stat în parte, cât și la nivelul UE, deoarece acestea ajută operatorii să pună în aplicare dreptul de acces la datele cu caracter personal, explică modul în care exercitarea acestui drept poate fi facilitată și enumeră excepțiile și limitările dreptului de acces.

Ca urmare a acțiunii CEF 2024, au fost identificate șapte provocări. Una dintre acestea este lipsa unor proceduri interne documentate pentru gestionarea cererilor de acces la datele cu caracter personal. În plus, au fost observate și interpretări inconsecvente și excesive ale restricțiilor dreptului de acces, cum ar fi invocarea excesivă a anumitor excepții pentru a refuza automat cererile de acces. Un alt exemplu este reprezentat de barierele pe care persoanele le-ar putea întâmpina atunci când își exercită dreptul de acces, cum ar fi cerințele formale sau solicitarea de a furniza documente de identificare excesive. Pentru fiecare provocare identificată, raportul oferă o listă de recomandări, fără caracter obligatoriu, care trebuie luate în considerare de către operatorii de date și de către APD-uri.

CEF este o acțiune-cheie a EDPB în cadrul strategiei sale 2024-2027, care vizează armonizarea măsurilor de aplicare a legii și cooperarea între APD-uri. Acțiunea CEF 2025 se va referi la punerea în aplicare a dreptului la ștergerea datelor.

La data de 14 februarie, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru reprezentanții maib, la solicitarea acestora.

Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților din sectorul bancar asupra principiilor de protecție a datelor cu caracter personal, precum și asupra aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară.

În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Cursul de instruire a fost unul interactiv, fiind prezentate multiple exemple practice, în scop de a spori gradul de percepție a reprezentanților maib asupra principiilor de protecție a datelor cu caracter personal. Totodată, noile prevederi legale în domeniul protecției datelor cu caracter personal, aspectele ce țin de obligațiile operatorului/persoanei împuternicite de către operator în raport cu desemnarea Responsabilului cu Protecția Datelor, obligațiile și sarcinile acestuia, condițiile în care este necesar de a fi efectuată Evaluarea Impactului asupra Protecției Datelor, anonimizarea/pseudonimizarea datelor cu caracter personal, precum și sancțiunile pecuniare în cazul constatării unei încălcări a legislației în domeniu, au prezentat un interes sporit pentru participanții la curs.

În cadrul evenimentului, moderat de către experți în domeniul protecției datelor cu caracter personal din cadrul CNPDCP, au fost instruiți circa 100 de reprezentanți maib.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 330 000 de euro aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) unei companii medicale pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului) și articolului 32 (Securitatea prelucrării) din GDPR.

Infrastructura IT a companiei American Heart of Poland S.A. a fost atacată de hackeri, care au obținut astfel acces la datele personale detaliate ale aproximativ 21 000 de persoane. Incidentul a vizat o gamă largă de date, și anume: nume, prenume, prenumele părinților, numele de familie al mamei, data nașterii, date privind veniturile sau activele deținute, date privind sănătatea, numărul contului bancar, adresa de reședință sau de ședere, numărul de identificare personală (numărul PESEL), numele de utilizator sau parola, seria și numărul actului de identitate, numărul de telefon și adresa de e-mail. 

SA Poloneză, în cadrul controlului efectuat, a stabilit că:

• compania nu a pus în aplicare toate măsurile necesare pentru a proteja datele pe care le prelucra și nu a fost în măsură să determine cauza scurgerii;

• compania nu a respectat propriile recomandări privind securitatea datelor, și anume a stocat informațiile privind rezultatele testelor COVID ale clienților pe unități de rețea, în timp ce datele medicale ar trebui stocate pe un sistem dedicat pentru prelucrarea datelor medicale;

• platforma cloud utilizată de companie era prea puțin securizată. Trei servere care funcționau la sediul companiei nu beneficiau de asistență tehnică actualizată din partea producătorului (asistența s-a încheiat în ianuarie 2020), software-ul de pe serverele companiei nu fusese actualizat din cauza unei neglijențe din partea personalului IT, astfel încât a fost creată o vulnerabilitate în sistemul IT care ar fi putut contribui la preluarea dispozitivelor de către hackeri;

• compania nu s-a protejat în mod adecvat împotriva atacurilor de tip „phishing”, care implică faptul că persoana care atacă sistemul se dă drept o altă persoană. Conform concluziilor președintelui Oficiului pentru Protecția Datelor cu Caracter Personal, este foarte probabil ca hackerii să fi pătruns astfel în sistemul informatic.

În acest context, SA Poloneză a impus o amendă administrativă în valoare de 330 000 euro pentru încălcarea articolelor 5, 24 și 32 din GDPR și a dispus operatorului să-și conformeze operațiunile de prelucrare a datelor cu caracter personal cu prevederile GDPR-ului.

 CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ, comunică despre lansarea video-ului aferent Conferinței naționale „Noile prevederi legale în domeniul protecției datelor cu caracter personal în Republica Moldova”.

Importanța lansării video-ului vizat este incontestabilă, acesta oferind o retrospectivă a evenimentului menționat supra, având scopul de a crește gradul de conștientizare a subiecților de date, a reprezentanților instituțiilor publice și a mediului de afaceri cu privire la noile prevederi legale în domeniul protecției datelor cu caracter personal, care vin să transpună reglementările europene din domeniu.

Video-ul a fost elaborat cu suportul proiectului de Asistență Rapidă pentru Securitatea Cibernetică 2.0 al UE, implementat de Academia de E-Guvernare din Estonia și poate fi vizualizat accesând următorul link: https://datepersonale.md/videogalerie/

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 900 000 de euro aplicată de către Autoritatea de Supraveghere din Hamburg (SA) unei companii din domeniul serviciilor de colectare a creditelor, pentru încălcarea articolului 5(Principii legate de prelucrarea datelor cu caracter personal) și articolului 6 (Legalitatea prelucrării) din GDPR.

SA din Hamburg a auditat companii cu o prezență puternică pe piață în domeniul serviciilor de colectare a creditelor, în cadrul unui audit direcționat. Hamburg este o locație lider în Europa în acest sector. Datele prelucrate cu privire la debitorii rău-platnici tind să fie deosebit de sensibile și sunt partajate în mod regulat cu alte părți, cum ar fi agențiile de referință pentru credite și serviciile de investigare a adreselor. Prin urmare, persoanele vizate trebuie să poată avea încredere că datele lor vor fi tratate în mod responsabil. Indiferent de plângerile individuale, a fost examinat modul în care datele debitorilor sunt stocate și prelucrate de furnizorii de servicii respectivi. În acest scop, companiilor le-au fost trimise chestionare detaliate, ale căror răspunsuri au oferit o perspectivă cuprinzătoare asupra stocării datelor. În plus, companiilor li s-a cerut să furnizeze documente precum lista activităților de prelucrare, listele măsurilor de securitate și exemple de scrisori utilizate.

În cea mai mare parte, SA din Hamburg a fost în măsură să determine un grad ridicat de profesionalism și sensibilitate. În timpul dialogurilor, au fost obținute îmbunătățiri în ceea ce privește stocarea datelor și transparența față de persoanele vizate. Cu toate acestea, în cazul unei companii, echipa de la SA din Hamburg a constatat în timpul inspecției la fața locului că, înregistrările de date au continuat să fie stocate fără un temei legal, chiar dacă termenele de ștergere au expirat de mult, încălcând astfel art. 5.1 litera (a) și 6 alineatul (1) din GDPR. Chiar dacă înregistrările de date prelucrate inițial nu au fost transmise unor părți terțe în această perioadă, unele dintre acestea nu fuseseră încă șterse din baza de date a companiei la cinci ani după expirarea perioadei legale de păstrare.

În acest context, SA din Hamburg a impus o amendă administrativă în valoare de 900 000 de euro. Decizia este obligatorie din punct de vedere juridic. Compania a recunoscut încălcarea și a acceptat amenda. Aceasta a cooperat în mod profesionist cu Autoritatea de Supraveghere în cadrul urmăririi, motiv pentru care amenda este relativ mică.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.

La data de 04 februarie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru angajații Inspectoratului de poliție Anenii Noi.

Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților Inspectoratului de poliție Anenii Noi asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară.

În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: 

• Definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; 

• Drepturile subiecților de date cu caracter personal; 

• Prelucrarea categoriilor speciale de date cu caracter personal; 

• Modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către organele poliției; 

• Cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; 

• Asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Cursul de instruire s-a dovedit a fi unul foarte util și interactiv, formatorii din cadrul CNPDCP oferind participanților răspunsuri practice, la multiplele întrebări acordate de către aceștia. Totodată, aspectele ce țin de procedura corectă de accesare a datelor cu caracter personal prin intermediul Sistemelor Informaționale de Stat, inclusiv aplicarea excepțiilor și restricțiilor reglementate la articolul 15 din Legea 133/2011, precum și aspectele legale privind prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video, au prezentat un interes sporit pentru participanții la curs.

În cadrul evenimentului au fost instruiți circa 60 de reprezentanți ai Inspectoratului de poliție Anenii Noi.

Cursul de instruire face parte din planul de instruiri în cadrul subdiviziunilor IGP pentru anul 2025, aprobat și semnat de către conducătorii CNPDCP și IGP la data de 28 ianuarie curent.