La data de 23 decembrie 2025, în rezultatul promovării cu succes a perioadei de probă stabilită pentru funcționarul public debutant și confirmării în funcția publică de controlor de stat în Direcția Conformitate din cadrul Direcţiei Generale Supraveghere şi Conformitate a Centrului Naţional pentru Protecția Datelor cu Caracter Personal (CNPDCP), colegul nostru, Victor IPATII, a depus jurământul de credinţă, care prevede respectarea Constituţiei Republicii Moldova, drepturilor şi libertăţilor fundamentale ale omului, apărarea suveranității, independenţei şi integrității teritoriale a Republicii Moldova, executarea în mod obiectiv şi imparţial  a legilor ţării, îndeplinirea conştiincioasă a obligaţiilor în exercitarea funcţiei publice, precum şi respectarea normelor de conduită profesională.

       Jurământul de credință a fost depus în prezența conducerii și colegilor din cadrul CNPDCP, în fața simbolurilor de stat, în conformitate cu prevederile art. 32 din Legea nr. 158-XVI din 04 iulie 2008 cu privire la funcția publică și statutul funcționarului public.

       Cu această ocazie, Directoarea adjunctă a CNPDCP, doamna Angela COLOMIICENCO, a adresat tânărului funcționar urări de succes în activitatea profesională, subliniind importanța exercitării atribuțiilor de serviciu cu responsabilitate, integritate și profesionalism, precum și exprimând încrederea că acesta va contribui, prin activitatea sa, la consolidarea valorilor instituționale și la realizarea misiunii CNPDCP.

       Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 865 000 euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor (SA) companiei Aktia Bank pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

       Serviciul de autentificare electronică puternic al Aktia Bank a suferit o întrerupere din cauza unei modificări tehnice în ianuarie 2023. În timpul întreruperii de scurtă durată, unele persoane care s-au conectat la diverse servicii utilizând datele de autentificare pentru serviciile bancare online ale Aktia Bank au avut acces la datele cu caracter personal ale altor clienți, deoarece serviciul a confundat identitățile persoanelor. Breșa de securitate a afectat diverse servicii publice, fonduri de șomaj, companii de asigurări și furnizori de servicii medicale. Multe dintre aceste servicii conțin informații extrem de confidențiale, cum ar fi date privind starea de sănătate și situația financiară, astfel, fiind afectate aproximativ 350 de persoane. Până în prezent nu s-a raportat nicio utilizare abuzivă a acestor date.

       Investigația a evidențiat deficiențe în ceea ce privește: proiectarea și implementarea modificării tehnice, testarea insuficientă a noului sistem și lipsa unui management adecvat al schimbărilor. Testări mai extinse și utilizarea unor metode standard ar fi putut preveni incidentul.

       În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 865 000 euro pentru nerespectarea cerințelor legislației privind protecția datelor referitoare la prelucrarea în condiții de siguranță a datelor cu caracter personal și la protecția datelor începând cu momentul conceperii și în mod implicit. De asemenea, a fost emisă o mustrare.

       CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.

       Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 1,8 milioane euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor (SA) companiei S-Bank pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

       În urma notificării transmise de S-Bank în august 2022, SA Finlandeză a inițiat o investigație privind o breșă de securitate care a afectat un număr semnificativ de clienți ai băncii. Vulnerabilitatea a apărut în aprilie 2022, odată cu lansarea unui nou mecanism de autentificare. Din cauza unei erori software în serviciul de autentificare, logarea în banca online și accesul la serviciile digitale utilizând autentificarea puternică au fost posibile folosind datele de conectare ale altor clienți. Această defecțiune tehnică a rămas exploatabilă timp de mai mult de trei luni, iar o parte dintre clienți au fost afectați în mod direct.

       Urmare a investigației s-a constatat lipsa unor măsuri adecvate de securitate și a unor controale tehnice și organizatorice corespunzătoare din partea băncii. Printre deficiențe se numără: testarea insuficientă a noilor funcționalități înainte de implementare; neidentificarea vulnerabilității în etapa de dezvoltare și testare și reacția inadecvată la semnalările clienților privind anomalii la autentificare.

       În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 1,8 milioane euro pentru  încălcarea prevederilor articolelor 5(1)(f), 25(1), 32(1) și 32(2) din GDPR și a emis o mustrare pentru nerespectarea legislației privind protecția datelor.

       La stabilirea cuantumului amenzii, SA Finlandeză a ținut cont de necesitatea protejării drepturilor persoanelor vizate, de gravitatea generală a incidentului, precum și de faptul că banca fusese anterior avertizată în legătură cu obligațiile sale. De asemenea, amenda a fost ajustată în contextul unei sancțiuni separate emise în mai 2025 de către Autoritatea de Supraveghere Financiară din Finlanda, care a impus companiei S-Bank o amendă de 7 670 000 de euro pentru deficiențe în gestionarea riscurilor operaționale în legătură cu același set de evenimente.

       CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.

       Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 100 000 de euro aplicată de către Autoritatea Italiană pentru Protecția Datelor (SA) companiei Banco Bilbao Vizcaya Argentaria SA pentru încălcarea articolului 12 (Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate) și articolului 15 (Dreptul de acces al persoanei vizate) din GDPR.

       Un client al băncii, victimă a unei fraude, a solicitat acces la înregistrările apelurilor efectuate către serviciul de relații cu clienții, acestea fiind esențiale pentru contestarea unui transfer de aproximativ 10 000 de euro și pentru clarificarea circumstanțelor incidentului. Deoarece banca nu a furnizat un răspuns satisfăcător în termenul legal, clientul a depus o plângere la SA Italiană. Înregistrările au fost transmise doar după inițierea unei anchete de către Autoritate, depășindu-se astfel termenul de 30 de zile prevăzut de GDPR.

       Pe parcursul investigației, SA Italiană a subliniat că, în conformitate cu Ghidul 01/2022 al Comitetului European pentru Protecția Datelor privind dreptul de acces, inclusiv apelurile telefonice între clienți și bănci constituie date cu caracter personal. Prin urmare, acestea trebuie puse la dispoziția persoanei vizate la cerere, cu respectarea drepturilor eventualilor terți implicați.

       În acest context, SA Italiană a impus companiei Banco Bilbao Vizcaya Argentaria SA o amendă administrativă în valoare de 100 000 de euro. La stabilirea cuantumului amenzii, Autoritatea a ținut cont de cifra de afaceri a băncii, de cooperarea acesteia în timpul anchetei și de absența unor încălcări anterioare.

       CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.

       La data de 17 decembrie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat ultimul curs de instruire din anul 2025 în domeniul protecției datelor cu caracter personal pentru reprezentanții Inspectoratului General al Poliției de Frontieră (IGPF). Activitatea s-a desfășurat în conformitate cu Planul de instruiri pentru anul 2025, aprobat și semnat de către conducerea CNPDCP și IGPF la data de 28 ianuarie 2025, plan care a stat la baza organizării unui șir de instruiri pe parcursul întregului an.

       Scopul instruirilor a constat în consolidarea capacităților profesionale ale angajaților IGPF privind aplicarea corectă a legislației în domeniul protecției datelor cu caracter personal, în contextul specific al activităților Poliției de Frontieră. Totodată, cursurile au urmărit creșterea nivelului de conștientizare a responsabilităților ce revin personalului implicat în prelucrarea datelor și prevenirea riscurilor de încălcare a drepturilor subiecților de date.

       Importanța acestor activități de instruire este determinată de specificul atribuțiilor IGPF, care presupun prelucrarea frecventă a volumelor semnificative de date cu caracter personal, inclusiv date cu grad sporit de sensibilitate, în cadrul procedurilor de control la frontieră și al activităților ce țin de asigurarea securității frontierei de stat. În acest context, respectarea principiilor legalității, proporționalității, transparenței și securității prelucrării datelor reprezintă o condiție esențială pentru desfășurarea activităților instituționale în conformitate cu normele în vigoare.

       Pe parcursul instruirilor desfășurate în anul 2025, participanții au beneficiat de o abordare integrată, care a îmbinat aspectele teoretice cu cele practice. Reprezentanții IGPF și-au aprofundat cunoștințele privind cadrul legal aplicabil protecției datelor cu caracter personal, principiile fundamentale ale prelucrării datelor, temeiurile juridice ale prelucrării în activitatea IGPF, drepturile subiecților de date, precum și obligațiile ce revin operatorilor de date.

       Un accent deosebit a fost pus pe implementarea măsurilor tehnice și organizatorice adecvate, pe gestionarea incidentelor de securitate și pe analiza studiilor de caz, adaptate situațiilor reale din activitatea curentă a IGPF.

       Desfășurarea ultimului curs prevăzut în Planul de instruiri pentru anul 2025 marchează finalizarea cu succes a cooperării dintre CNPDCP și IGPF pentru acest an și reconfirmă angajamentul comun al celor două instituții pentru consolidarea unei culturi organizaționale bazate pe respectarea dreptului la viață privată și a protecției datelor cu caracter personal.

       În cadrul evenimentului au participat 65 de reprezentanți ai IGPF, iar pe parcursul întregului ciclu de instruiri aferent anului 2025 au fost instruiți, în total, 443 de reprezentanți ai instituției.

       La data de 12 decembrie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a desfășurat un curs de instruire în domeniul protecției datelor cu caracter personal pentru reprezentanții Ministerului Culturii (MC), organizat la solicitarea instituției.

       Scopul cursului de instruire a fost de a consolida nivelul de cunoaștere și aplicare a normelor legale privind protecția datelor în activitățile curente ale MC, în special în contextul gestionării informațiilor referitoare la angajați, beneficiari, artiști, participanți la proiecte culturale și alte categorii de persoane vizate.

       În cadrul sesiunii, experții CNPDCP au prezentat subiecte esențiale precum: principiile fundamentale ale prelucrării datelor cu caracter personal; temeiurile legale aplicabile activităților specifice sectorului cultural; măsurile tehnice și organizatorice necesare pentru asigurarea protecției datelor; bune practici în gestionarea datelor în cadrul evenimentelor și proiectelor culturale; obligațiile instituționale privind transparența, securitatea datelor și notificarea incidentelor de securitate.

       Instruirea a avut o importanță semnificativă pentru MC, având în vedere multitudinea de situații în care datele cu caracter personal sunt prelucrate în activitățile culturale și administrative ale instituției. Respectarea cerințelor legale contribuie la: protejarea drepturilor subiecților de date; gestionarea sigură a informațiilor sensibile; creșterea încrederii publicului în instituțiile publice; alinierea la standardele naționale și europene în domeniul protecției datelor.

       Lecțiile învățate în urma cursului au evidențiat necesitatea:

• consolidării unei culturi organizaționale orientate spre protecția datelor;
• actualizării procedurilor interne privind colectarea, stocarea și utilizarea datelor cu caracter personal;
• creșterii atenției față de riscurile asociate prelucrărilor neconforme;
• asigurării unei comunicări transparente cu persoanele vizate;
• dezvoltării continue a competențelor personalului, pentru a răspunde provocărilor din sectorul cultural.

       CNPDCP își reafirmă angajamentul de a sprijini instituțiile publice prin instruiri și asistență de specialitate, contribuind la dezvoltarea unui sistem eficient de protecție a datelor la nivel național.

       În cadrul evenimentului au fost instruiți 32 de reprezentanți din cadrul Ministerului Culturii.

       La data de 11 decembrie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a desfășurat un curs de instruire în domeniul protecției datelor cu caracter personal pentru reprezentanții Ministerului Infrastructurii și Dezvoltării Regionale (MIDR), organizat la solicitarea instituției.

       Evenimentul a avut drept scop consolidarea capacităților personalului MIDR în ceea ce privește implementarea corectă și responsabilă a cerințelor legale în domeniul protecției datelor, asigurând astfel un nivel înalt de conformitate și o abordare unitară în procesele interne de prelucrare a informațiilor ce conțin date cu caracter personal.

      Pe parcursul sesiunii de instruire, au fost analizate și explicate cele mai relevante aspecte din cadrul normativ național și european, printre care: principiile fundamentale ale prelucrării datelor cu caracter personal; temeiurile legale ce permit prelucrarea datelor în activitatea autorităților publice; responsabilitățile operatorului și ale persoanelor împuternicite; evaluarea riscurilor și aplicarea măsurilor tehnice și organizatorice adecvate; transparența și informarea subiecților de date; managementul incidentelor de securitate și notificarea acestora.

       Instruirea a contribuit la armonizarea practicilor interne ale MIDR cu normele în vigoare, facilitând o cultură instituțională bazată pe protecția datelor cu caracter personal și responsabilitate. Evenimentul a oferit participanților claritate asupra modului în care pot preveni erorile de prelucrare, dar și asupra obligațiilor care le revin în activitatea zilnică.

       Participanții au evidențiat următoarele beneficii esențiale ale instruirii:

• necesitatea revizuirii și actualizării procedurilor interne;
•  importanța documentării corespunzătoare a proceselor de prelucrare;
•  rolul critic al cooperării între subdiviziuni pentru asigurarea conformității;
• relevanța aplicării unei abordări proactive în prevenirea incidentelor de securitate și protejarea drepturilor subiecților de date.

       CNPDCP își reafirmă angajamentul de a sprijini autoritățile publice în implementarea corectă a standardelor privind protecția datelor și rămâne deschis colaborărilor viitoare dedicate consolidării culturii de protecție a datelor cu caracter personal în Republica Moldova.

       În cadrul evenimentului au participat 38 de reprezentanți din cadrul Ministerului Infrastructurii și Dezvoltării Regionale.

       La data de 10 decembrie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru reprezentanții Inspectoratului Social de Stat, la solicitarea acestora.

       Scopul cursului a fost de a oferi participanților o înțelegere aprofundată asupra cadrului legal privind protecția datelor cu caracter personal, precum și a modului în care acesta se aplică în activitățile specifice domeniului social. Instruirea a vizat atât aspectele teoretice — principiile de prelucrare, drepturile subiecților de date, responsabilitățile operatorilor și persoanelor împuternicite — cât și componențe practice, orientate spre soluționarea situațiilor reale întâlnite în activitatea profesională.

       Importanța acestui curs derivă din necesitatea tot mai mare de a asigura un management responsabil al datelor cu caracter personal, în special într-un sector în care sunt prelucrate categorii variate și sensibile de informații. În contextul în care digitalizarea serviciilor publice este în continuă expansiune, iar riscurile privind securitatea datelor devin mai complexe, instruirea oferită de CNPDCP reprezintă un instrument esențial pentru prevenirea incidentelor, protejarea persoanelor vulnerabile și consolidarea încrederii în instituțiile statului.

       Pe parcursul sesiunii, participanții au beneficiat de exemple practice, recomandări personalizate pentru domeniul lor de activitate, precum și de clarificări privind gestionarea situațiilor cu grad ridicat de risc. Au fost abordate tematici precum: evaluarea conformității proceselor de prelucrare; aplicarea corectă a măsurilor tehnice și organizatorice de securitate; responsabilitățile instituționale privind transparența și legalitatea prelucrării; prevenirea breșelor și gestionarea incidentelor de securitate etc.

       În urma cursului, reprezentanții Inspectoratului Social de Stat au obținut beneficii semnificative, precum:

• îmbunătățirea capacității de a identifica și gestiona corect datele cu caracter personal în procesele operaționale;
• consolidarea abilităților de evaluare a riscurilor și de aplicare a măsurilor de securitate;
• creșterea gradului de responsabilizare privind respectarea cadrului legal național și european;
• formarea unei perspective unitare asupra modului în care protecția datelor contribuie la eficientizarea activității instituționale.

       CNPDCP își reafirmă angajamentul de a sprijini instituțiile publice în procesul de implementare corectă a normelor privind protecția datelor și de a promova un climat instituțional bazat pe respectarea dreptului fundamental la viața privată.

       Evenimentul a avut loc on-line, fiind instruiți  18 reprezentanți ai Inspectoratului Social de Stat.

       În perioada 1-5 decembrie, reprezentanții Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) au participat la cea de-a treia ediție a Săptămânii Protecției Datelor, care a avut loc la Bruxelles, Belgia, eveniment găzduit de Comisia Europeană și Comitetul European pentru Protecția Datelor (EDPB).

       Cea de-a treia ediție a Săptămânii Protecției Datelor a reunit autoritățile de supraveghere din statele Parteneriatului Estic și din Balcanii de Vest, având drept obiectiv consolidarea capacităților instituționale și facilitarea alinierii continue la standardele europene în domeniul protecției datelor.

       În cadrul evenimentului au fost abordate  subiecte de importanță, cum ar fi: fluxuri internaționale de date și guvernanța globală a acestora, fiind analizate evoluțiile recente privind cadrul european pentru transferurile internaționale, mecanismele de conformitate și cooperare cu partenerii externi, precum și tendințele strategice ce definesc rolul tot mai influent al Uniunii Europene în arhitectura globală a guvernanței datelor; procese de luare a deciziilor algoritmice, experții au ilustrat riscurile asociate utilizării sistemelor automatizate, abordând principii esențiale precum transparența, acuratețea și evitarea discriminării; activități de supraveghere ale EDPB în domeniul inteligenței artificiale, fiind evidențiate rolurile și responsabilitățile EDPS și EDPB în supravegherea sistemelor AI și fiind descrise mecanismele de coordonare între autoritățile naționale și instituțiile europene în vederea aplicării coerente a standardelor de reglementare; monitorizarea tehnologiilor emergente, experții EDPS prezentând instrumentele și activitățile utilizate pentru evaluarea impactului soluțiilor digitale inovatoare; protecția datelor în contextul inteligenței artificiale, în care au fost analizate noile responsabilități ale EDPS în supravegherea sistemelor AI conform EU AI Act. Totodată, au fost desfășurate activități dedicate schimbului de experiență între autoritățile de protecție a datelor din Balcanii de Vest și cele din Parteneriatul Estic, facilitate de experții GIZ și SIGMA, discuțiile vizând consolidarea capacităților instituționale, provocările operaționale întâlnite în activitatea de supraveghere, precum și identificarea unor mecanisme eficiente de cooperare între regiuni.

       Participarea reprezentanților CNPDCP la cea de-a treia Săptămână a Protecției Datelor a demonstrat importanța implicării active a Republicii Moldova în inițiativele regionale și europene în domeniul protecției datelor, contribuind la alinierea continuă a cadrului național la standardele Uniunii Europene și la întărirea rolului instituțional al CNPDCP în procesul de tranziție europeană.

       Evenimentul, organizat în cadrul Proiectului “Reforma Administrației Publice în Țările Parteneriatului Estic”, faza III, implementat de către GIZ și mandatat de Ministerul Federal pentru Cooperare și Dezvoltare Economică, a reunit reprezentanți ai Autorităților de Protecție a Datelor din Armenia, Moldova, Ucraina, Albania, Bosnia și Herțegovina, Kosovo, Muntenegru, Macedonia de Nord și Serbia.