La data de 03 iulie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru membrii Asociației Băncilor din Moldova (ABM), la solicitarea acestora.

       Scopul cursului de instruire a fost de a oferi membrilor ABM cunoștințele și abilitățile necesare pentru a înțelege și implementa eficient reglementările și bunele practici privind protecția datelor cu caracter personal, asigurând conformitatea cu legislația în vigoare, precum și pentru a promova o cultură organizațională responsabilă și sigură în gestionarea datelor cu caracter  personal.

       În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

       Cursul de instruire a fost unul interactiv, fiind prezentate multiple exemple practice, în scop de a spori gradul de percepție a membrilor ABM asupra principiilor de protecție a datelor cu caracter personal. Totodată, noile prevederi legale în domeniul protecției datelor cu caracter personal, aspectele ce țin de obligațiile operatorului/persoanei împuternicite de către operator în raport cu desemnarea Responsabilului cu Protecția Datelor, obligațiile și sarcinile acestuia, condițiile în care este necesar de a fi efectuată Evaluarea Impactului asupra Protecției Datelor, precum și sancțiunile pecuniare în cazul constatării unei încălcări a legislației în domeniu, au prezentat un interes sporit pentru participanții la curs.

       Cursul de instruire a constituit un pas important pentru creșterea nivelului de conformitate în sectorul bancar din Moldova, consolidând atât cunoștințele tehnice, cât și atitudinea responsabilă față de protecția datelor cu caracter personal, iar aplicarea recomandărilor va contribui la reducerea riscurilor de securitate și la îmbunătățirea relației cu clienții prin transparență și respectarea drepturilor acestora. La finalul cursului, participanții au exprimat opinii pozitive, subliniind claritatea și aplicabilitatea informațiilor prezentate, utilitatea studiilor de caz în înțelegerea provocărilor reale, necesitatea implementării unor proceduri interne standardizate privind protecția datelor, precum și necesitatea instruirilor periodice pentru a rămâne la curent cu modificările  legislative.

       În cadrul evenimentului au fost instruiți circa 25 de membri ABM.

       La data de 02 iulie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru reprezentanții Agenției Naționale pentru Reglementare în Energetică (ANRE), la solicitarea acestora.

       Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților ANRE asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare.

       În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO); obligațiile și sarcinile unui DPO; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), etc.

       Totodată, un accent aparte a fost pus pe procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, examinarea solicitărilor de dezvăluire a datelor cu caracter personal și accesul la informațiile de interes public prin prisma legislației privind protecția datelor cu caracter personal.

       Evenimentul a fost apreciat de participanți pentru relevanța temelor abordate, pentru claritatea explicațiilor oferite și răspunsurile documentate cu exemple practice. Această instruire a contribuit la consolidarea culturii organizaționale bazate pe transparență și responsabilitate, la creșterea nivelului de conștientizare în rândul angajaților ANRE și la îmbunătățirea continuă a proceselor interne care implică proceduri de prelucrare a datelor cu caracter personal.

       Prin implementarea unor practici de instruire a angajaților privind gestionarea informațiilor ce conțin date cu caracter personal, ANRE se angajează să protejeze drepturile și libertățile fundamentale ale cetățenilor în legătură cu prelucrarea acestor date, consolidând încrederea subiecților de date în activitatea instituției. În acest sens, colaborarea continuă și deschisă cu CNPDCP reprezintă un pilon important pentru dezvoltarea unui cadru instituțional robust, care să asigure securitatea și confidențialitatea datelor în toate procesele desfășurate de ANRE.

       Evenimentul a avut loc în format hibrid, fiind instruiți circa 100 de reprezentanți ANRE.

     La data de 01 iulie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru angajații moldtelecom, la solicitarea acestora.

     Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților Moldtelecom asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare.

     În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi:

·        Definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal;

·        Drepturile subiecților de date cu caracter personal;

·        Prelucrarea categoriilor speciale de date cu caracter personal;

·        Principii și temeiuri legale pentru prelucrarea datelor cu caracter personal;

·        Aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO);

·        Obligațiile și sarcinile unui DPO;

·        Aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA);

·        Etapele și obligația efectuării unei DPIA, etc.

     Cursul de instruire a fost unul interactiv, participanții acordând multiple întrebări referior la modalitatea legală de prelucrare a datelor cu caracter personal în activitatea cotidiană desfășurată de către angajații companiei, examinarea solicitărilor de dezvăluire a datelor cu caracter personal, procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, asigurarea securității și confidențialității datelor cu caracter personal prelucrate,  precum și accesul la informațiile de interes public prin prisma legislației privind protecția datelor cu caracter personal.

     În cadrul evenimentului au participat circa 25 de reprezentanți din cadrul Moldtelecom.

Stimaţi colegi!

Cu prilejul Zilei funcţionarului public, marcată anual la data de 23 iunie, echipa Centrului Național pentru Protecția Datelor cu Caracter Personal, adresează cele mai sincere felicitări și mulțumiri tuturor funcționarilor publici care, prin profesionalism, responsabilitate și devotament, asigură dezvoltarea și bunăstarea statului nostru.

Cu aceste gânduri, stimați colegi, Vă felicităm cu prilejul sărbătorii şi Vă dorim multă sănătate, realizări frumoase, noi performanțe, idei inovatoare pe care să le valorificați cu succes și să activați în continuare cu mult zel și responsabilitate. Vă dorim să păstrați perseverența, integritatea, să aveți parte de împliniri profesionale și satisfacție deplină în exercitarea responsabilităților care Vă revin, iar munca Dumneavoastră să fie recunoscută și apreciată la justa valoare!

Cu respect,

Echipa CNPDCP

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ, comunică despre participarea conducerii Centrului Național Pentru Protecția Datelor cu Caracter Personal (CNPDCP) la cea de-a 106-a Sesiune Plenară a Comitetului European pentru Protecția Datelor (EDPB), care a avut loc în perioada 3-4 iunie 2025 la Bruxelles, Belgia. 

În cdadrul Ședinței au fost adoptate mai multe documente, printre care:

• În urma consultării publice, EDPB a adoptat versiunea finală a Orientărilor privind transferurile de date către autoritățile din țări terțe, care se concentrează asupra articolului 48 din GDPR și clarifică modul în care organizațiile pot evalua cel mai bine în ce condiții pot răspunde în mod legal la cererile de transfer de date cu caracter personal din partea autorităților din țări terțe (adică autorități din țări non-europene).

• EDPB a prezentat raportul „Legislație și conformitate în domeniul securității IA și protecției datelor” care se adresează profesioniștilor cu competențe juridice, cum ar fi Responsabili cu Protecția Datelor (DPO) sau profesioniști în domeniul confidențialității.

• EDPB a prezentat raportul „Fundamentele sistemelor IA securizate cu date cu caracter personal”, care se adresează profesioniștilor cu competențe tehnice, cum ar fi profesioniștii în domeniul securității cibernetice, dezvoltatorii sau implementatorii de sisteme IA cu risc ridicat.

• În cele din urmă, Comitetul a discutat solicitarea Comisiei Europene de a emite un aviz comun al EDPB și al Autorității Europene pentru Protecția Datelor (AEPD) cu privire la propunerea sa de simplificare a obligațiilor de păstrare a evidențelor pentru întreprinderile mici și mijlocii (IMM-uri), întreprinderile mici cu capitalizare medie și organizațiile cu mai puțin de 750 de angajați, ceea ce reprezintă o modificare specifică a articolului 30 alineatul (5) din GDPR. EDPB și AEPD vor emite avizul comun cu privire la această chestiune în termen de opt săptămâni.

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra importanței participării Republicii Moldova în cadrul Sesiunilor Plenare organizate de către EDPB, cât și despre ponderea documentelor adoptate în cadrul acestora, în scopul alinierii legislației naționale privind protecția datelor cu caracter personal cu standardele UE.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 900 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei SOLOCAL MARKETING SERVICES pentru încălcarea articolului 6 (Legalitatea prelucrării) și articolului 7 (Condiții privind consimțământul) din GDPR.

În cadrul tematicii sale prioritare privind controlul prospectării comerciale în 2022, CNIL s-a concentrat asupra practicilor profesioniștilor din acest ecosistem, în special asupra intermediarilor care revând date, numiți brokeri de date. Astfel, CNIL a efectuat investigații asupra SOLOCAL MARKETING SERVICES, care a obținut date de prospectare în principal de la alți brokeri de date, editori de concursuri de jocuri și site-uri de testare a produselor. SOLOCAL MARKETING SERVICES a utilizat aceste date pentru a efectua prospectare comercială prin e-mail către potențiali clienți în numele clienților săi agenți de publicitate. De asemenea, putea transmite o parte din aceste date clienților săi, astfel încât aceștia să poată efectua ei înșiși prospectare electronică.

În urma investigațiilor CNIL a constatat mai multe încălcări, cum ar fi :

• Nerespectarea obligației de a obține consimțământul persoanelor fizice pentru a primi oferte comerciale prin mijloace electronice (articolul L.34-5 din Codul poștal și al comunicațiilor electronice din Franța): aspectul înșelător al formularelor utilizate de brokerii de date a făcut imposibilă obținerea unui consimțământ liber și neechivoc, în conformitate cu cerințele GDPR, care ar fi constituit baza operațiunilor de prospectare efectuate de companie;

• Nerespectarea obligației de a demonstra că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal (articolul 7 din GDPR): Compania nu a furnizat autorității dovada consimțământului persoanelor fizice ale căror date i-au fost transferate de unul dintre principalii săi furnizori. În consecință, CNIL nu a putut examina formularele de colectare utilizate de acest furnizor și, prin urmare, validitatea consimțământului persoanelor vizate.

În acest context, CNIL a impus o amendă administrativă în valoare de 900 000 de euro companiei SOLOCAL MARKETING SERVICES, care a fost făcută publică și o ordonanță de încetare a prospectării comerciale electronice în absența unui consimțământ valabil, împreună cu o penalitate de 10 000 de euro pe zi de întârziere după o perioadă de 9 luni. Cuantumul amenzii a fost stabilit ținând cont  de numărul foarte mare de persoane vizate (câteva milioane), de poziția istorică a companiei pe piață, de beneficiul financiar obținut din încălcări și de măsurile luate de compamie pentru a se conforma unor obligații ale sale de la efectuarea controalelor.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare

La data de 13 iunie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru reprezentanții Consiliului pentru Refugiați Cahul, la solicitarea Înaltului Comisariat al Națiunilor Unite pentru Refugiați (UNHCR).

Cursul de instruire a avut drept scop informarea acestora cu privire la domeniul protecției datelor cu caracter personal, în contextul în care refugiații sunt adesea expuși unor riscuri de securitate și confidențialitate.  Totodată, participanților la eveniment li s-au oferit toate instrumentele necesare pentru a acționa în deplină conformitate cu legislația în vigoare și etica profesională.

În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi:

• Respectarea principiilor fundamentale privind colectarea, prelucrarea și stocarea datelor cu caracter personal;

• Asigurarea confidențialității și securității informațiilor sensibile referitoare la refugiați, solicitanți de azil și alte persoane aflate în evidența UNHCR;

• Prevenirea și raportarea incidentelor de securitate a datelor, etc.

În cadrul evenimentului au fost instruiți circa 15 reprezentanți: membri ai Consiliului pentru refugiați, reprezentanți ai autorităților locale, precum și membri ai 

organizațiilor nonguvernamentale.

Evenimentul menționat supra, subliniază angajamentul CNPDCP față de dezvoltarea unui cadru de protecție a datelor care să răspundă necesităților unei societăți tot mai diversificate și interconectate. Prin acest tip de instruiri, CNPDCP își propune să contribuie la creșterea gradului de conștientizare și responsabilitate privind protecția datelor, atât în rândul autorităților, cât și al organizațiilor internaționale implicate în sprijinul refugiaților.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 80 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei CALOGA pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 6 (Legalitatea prelucrării) și articolului 7 (Condiții privind consimțământul) din GDPR.

În cadrul tematicii sale prioritare privind controlul prospectării comerciale în 2022, CNIL s-a concentrat asupra practicilor profesioniștilor din acest ecosistem, în special asupra intermediarilor care revând date, numiți brokeri de date. Astfel, CNIL a efectuat investigații asupra CALOGA, care a obținut date de prospectare în principal de la alți brokeri de date, editori de concursuri de jocuri și site-uri de testare a produselor. CALOGA a utilizat aceste date pentru a efectua prospectare comercială prin e-mail către potențiali clienți în numele clienților săi agenți de publicitate. De asemenea, putea transmite o parte din aceste date clienților săi, astfel încât aceștia să poată efectua ei înșiși prospectare electronică.

În urma investigațiilor CNIL a constatat mai multe încălcări, cum ar fi :

• Nerespectarea obligației de a obține consimțământul persoanelor fizice pentru a primi oferte comerciale prin mijloace electronice (articolul L.34-5 din Codul poștal și al comunicațiilor electronice din Franța): aspectul înșelător al formularelor utilizate de brokerii de date a făcut imposibilă obținerea unui consimțământ liber și neechivoc, în conformitate cu cerințele GDPR, care ar fi constituit baza operațiunilor de prospectare efectuate de companie;

• Nerespectarea obligației de a accepta retragerea consimțământului (articolul L. 34-5 din CPCE, astfel cum se menționează la articolul 7 din GDPR): în cadrul sistemului implementat de CALOGA, potențialii clienți nu aveau posibilitatea de a se dezabona cu un singur clic din diversele baze de date CALOGA în care erau înregistrați. Prin urmare, potențialilor clienți nu le era la fel de ușor să își retragă consimțământul pe cât le era să îl acorde;

• Nerespectarea obligației de a avea un temei juridic pentru prelucrarea datelor (articolul 6 din GDPR): în cadrul activității sale de broker de date, compania a transmis baze de date și altor parteneri, care au trimis prospecțiuni comerciale prin e-mail pentru clienții lor agenți de publicitate;

• Nerespectarea obligației de a defini și respecta o perioadă de păstrare a datelor proporțională cu scopul prelucrării (articolul 5-1-e din GDPR): de fiecare dată când un potențial client deschidea un e-mail de la companie – chiar și din greșeală – compania prelungea stocarea datelor acestui potențial client în bazele sale de date, potențial fără limitare.

În acest context, CNIL a impus o amendă administrativă în valoare de 80 000 de euro, care a fost făcută publică. Cuantumul amenzii a fost stabilit ținând cont  de numărul mare de persoane implicate, de poziția istorică a companiei pe piață, de beneficiul financiar obținut din încălcări și de încetarea completă a activității companiei în 2024.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare

            Autoritatea de supraveghere din Slovenia  (SA) a inițiat o inspecție din oficiu după ce a primit o notificare oficială privind încălcarea securității datelor. O școală a raportat un acces neautorizat la datele cu caracter personal ale elevilor de către furnizorul extern de servicii de catering, contractat pentru servirea meselor în școală. Furnizorului i se acordase acces la întreaga bază de date a elevilor școlii, inclusiv la date sensibile precum subvenții și solduri contabile, deși acesta avea nevoie doar de numele și prenumele elevilor pentru monitorizarea serviciilor de catering.

SA Slovenă a identificat deficiențe semnificative în practicile școlii în materie de protecție a datelor. Un furnizor extern de servicii de catering a primit acces nelimitat la întreaga bază de date a elevilor, inclusiv la informații inutile, cum ar fi subvențiile și soldurile conturilor. Școala a neglijat să implementeze măsuri adecvate pentru a respecta principiul asigurării protecției datelor începând cu momentul conceperii și în mod implicit, astfel cum prevede articolul 25 din GDPR. Deși instituția de învățământ a raportat prompt încălcarea, aceasta nu a implementat măsuri tehnice și organizatorice eficiente pe termen lung pentru a elimina cauzele principale și a preveni repetarea incidentului. Cazul subliniază importanța adoptării unor protocoale adecvate de protecție a datelor în instituțiile de învățământ pentru a asigura securitatea și integritatea datelor cu caracter personal ale elevilor. 

SA slovenă a emis o mustrare către școală și directorul acesteia, în calitate de persoană responsabilă. Operatorul a depus o cerere de protecție judiciară la tribunalul local, care a respins cererea și a confirmat decizia Autorității Slovene de supraveghere. Instanța a subliniat faptul că, punerea în aplicare corespunzătoare a principiului protecției datelor începând cu momentul conceperii și în mod implicit ar fi putut preveni  abordările abuzive ulterioare, inclusiv modificările neautorizate ale datelor de către furnizorul extern și chiar potențiale fraude.

Exemplul atrage atenția asupra specificității mediului școlar, unde prelucrarea datelor cu caracter personal ale elevilor necesită o atenție deosebită. Sistemele informatice sunt adesea utilizate în școli în diverse scopuri (de la gestionarea documentației școlare până la organizarea meselor). Tocmai datorită complexității acestor soluții este esențial ca școlile, atunci când stabilesc cooperarea cu furnizori externi, să determine în mod clar domeniul de aplicare al datelor la care oferă acces furnizorilor și, prin implementarea unor măsuri adecvate, să asigure respectarea strictă a principiului reducerii la minimum a datelor.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 5 milioane de euro aplicată de către Autoritatea Italiană pentru Protecția Datelor (SA) companiei Luka Inc pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 6 (Legalitatea prelucrării), articolul 12 (Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate), articolului 13 (Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată), articolului 24 (Responsabilitatea operatorului) și articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) din GDPR.

SA Italiană a inițiat o anchetă din proprie inițiativă în urma publicării unor articole de presă și a unei anchete preliminare efectuate cu privire la serviciul Replika, un chatbot cu interfață scrisă și vocală dezvoltat și gestionat de compania americană Luka Inc și bazat pe un sistem de IA generativ. Chatbotul dispune atât de o interfață scrisă, cât și de una vocală, permițând utilizatorilor să „genereze” un „companion virtual” care poate prelua rolul unui confident, terapeut, partener romantic sau mentor.

În urma anchetei, SA Italiană a constatat că presupusele încălcări notificate în februarie 2023 – când a dispus blocarea aplicației – au avut într-adevăr loc. Până la 2 februarie 2023, societatea americană nu a identificat temeiul legal al operațiunilor de prelucrare a datelor efectuate prin intermediul Replika. În plus, Luka Inc a furnizat o politică de confidențialitate care era neconformă din mai multe puncte de vedere. SA italiană a constatat, de asemenea, că, până la 2 februarie 2023, compania nu implementase niciun mecanism de verificare a vârstei – nici la înregistrare, nici în timpul utilizării serviciului – în ciuda faptului că declarase că minorii erau excluși din categoria potențialilor utilizatori.

Evaluările tehnice au relevat că sistemul de verificare a vârstei implementat în prezent de operator continuă să prezinte deficiențe în mai multe privințe.

În acest context, SA italiană a aplicat companiei Luka Inc o amendă administrativă în valoare de 5 milioane de euro pentru încălcarea articolelor 5.1 (a), 5.1 (c), 6, 12, 13, 24 și 25.1 din GDPR. În plus, SA italiană își rezervă dreptul de a investiga și evalua, într-o procedură separată și autonomă, aspectele privind legalitatea operațiunilor de prelucrare efectuate de Luka Inc, cu referire specifică la temeiurile legale pentru prelucrare aplicabile pe întreaga durată de viață a sistemului de IA generativ care stă la baza serviciului Replika.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.