img mobile menu img close mobile menu

Recomandări generale privind protecția datelor personale

În atenția autorităților publice! CNPDCP recomandă întreprinderea măsurile necesare pentru protecția datelor cu caracter personal la accesarea registrelor/sistemelor informaționale de stat

Urmare a defășurării procedurilor de control asupra conformităţii prelucrării datelor cu caracter personal cu cerinţele Legii nr. 133/2011 privind protecția datelor cu caracter personal, inițiate în baza plângerilor recepționate din parte subiecților de date, CNPDCP a depistat următoarele neconformități: tendința de utilizare a credențialelor de acces (nume de utilizator și parola) a unui singur cont de utilizator autorizat de către mai mulți angajați ai entității beneficiare; deținerea/utilizarea numelui de utilizator și parolei de către persoane terțe; neactualizarea listei utilizatorilor autorizați după încetarea raporturilor de muncă, după schimbarea locului de muncă sau a funcției în entitate; neincluderea în listele de utilizatori a datelor personale ale utilizatorului autorizat (IDNP, numărul sau adresa de contact); neinformarea deținătorului sistemului informațional despre schimbarea administratorului responsabil de accesul la portalele informaționale menționate supra indicat în lista utilizatorilor; neactualizarea sistematică a parolelor de utilizator; lipsa evidenței manuale și/sau electronice a accesării/consultării datelor cu caracter personal stocate în sistemele informaționale de stat, etc.

         CNPDCP nu pune la îndoială și nu neagă dreptul autorității publice de a colecta/accesa/consulta sau verifica date cu caracter personal din diverse sisteme informaționale de stat, care sunt necesare pentru realizarea/executarea sarcinilor care rezultă din exercitarea prerogativelor de autoritate publică cu care este investită, însă, toate aceste potențiale operațiuni de prelucrare a datelor cu caracter personal urmează a fi efectuate cu respectarea tuturor condițiilor de prelucrare a datelor cu caracter personal statuate de Legea privind protecția datelor cu caracter personal, iar situațiile identificate generează riscuri iminente față de asigurarea confidențialității și securității datelor cu caracter personal prelucrate/stocate în registrele/sistemele informaționale de stat, care vizează practic toți cetățenii Republicii Moldova.

          În acest context, reieșind din prevederile art. 20 alin. (1) lit. a), c), o), q) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, în vederea asigurării unui nivel adecvat de integritate, confidențialitate și securitate a datelor cu caracter personal și având ca scop de a preveni admiterea încălcărilor similare celor indicate, CNPDCP a venit cu recomandări față de autoritățile publice în vederea:

a) Revizuirii și actualizării cu regularitate a listei utilizatorilor autorizați anexate la contractele de prestări servicii încheiate în contextul acordării accesului la registrele/sistemele informaționale de stat, în special cele gestionate de ASP;

b) Instituirii unui mecanism de ținere de către utilizatorii autorizați a evidenței manuale și/sau electronice a accesării/consultării datelor cu caracter personal, precum și instruirii angajaților din subordine despre neadmiterea accesării/utilizării neautorizate a datelor cu caracter personal din sistemele de evidență.

Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 100 consultații telefonice și 5 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

________________________________________________________________________

În atenția subiecților de date! Recomandări privind publicarea datelor cu caracter pesonal pe rețelele de socializare

Odată cu apariția rețelelor de socializare, precum Twitter, Tumblr, Facebook, Telegram, Instagram, Linked In, Tik Tok, Snapchat etc., viața socială s-a schimbat radical, acestea devenind un instrument puternic pentru a socializa, a face noi prieteni și cunoștințe, a distribui imagini foto, video sau pentru a promova o informație. Persoanele împărtășesc cu ușurință știri, imagini, opinii personale și aproape orice se întâmplă în viața lor. Divulgarea datelor cu caracter personal creează un mediu favorabil pentru companiile de publicitate, persoanele care lansează apeluri pretins caritabile (strângeri false de fonduri în scop umanitar), persoanele ce intenționează să se răzbune, infractorii cibernetici, iar acest lucru ar putea presupune colectarea datelor sensibile despre activitățile, interesele, caracteristicile personale, opiniile politice, obiceiurile și comportamentele online ale persoanelor.

Astfel, utilizatorii rețelelor de socializare, trebuie să demonstreze precauție maximă ce date cu caracter personal publică, ce scriu în public, ce fotografii/înregistrări video sau audio plasează sau cui acordă încredere pe o rețea de socializare.

Totodată, CNPDCP atenționează că, colectarea și prelucrarea de date cu caracter personal pe rețelele de socializare, ca și orice prelucrare de date, trebuie să fie efectuată în strictă conformitate cu prevederile Legii privind protecția datelor cu caracter personal, iar datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri;  adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior.

Astfel, CNPDCP îndeamnă subiecții de date să-și protejeze confidențialitatea vieții private înainte de a publica sau a distribui anumite informații pe rețelele de socializare sau pe  orice altă platformă online.

Este foarte important ca utilizatorii rețelelor de socializare să citească cu atenție și să înțelegă:

  • Termenii de confidențialitate (de exemplu, conținutul care poate fi partajat cu o terță parte, posibilitatea de a șterge conținutul de pe site etc.);
  • Caracteristicile site-ului (de exemplu, cine vă poate vedea mesajele, dacă vor fi doar destinatari specificați sau toți utilizatorii de pe platformă etc.);
  • Ce informații biografice ar trebui furnizate (de exemplu, datele biografice, cum ar fi: numele complet, anul nașterii, vârsta sau adresa, ar trebui să fie utilizate doar la înregistrarea contului și nicidecum oferite altor utilizatori de pe rețelele de socializare),
  • Informații despre cont (de exemplu, informațiile sensibile, cum ar fi: școala frecventată, afilierea politică, informații despre contul bancar, locul de trai/domiciliul etc., nu ar trebui furnizate niciodată);
  • Cine sunt potențialii „Prieteni” (de exemplu, prin analiza profilului persoanelor respective, pentru a înțelege cine sunt, ce fac și ce fel de conținut distribuie);
  • Necesitatea de a dezactiva funcțiile de partajare a locației gadgetului utilizat;
  • Atenție maximă la postarea online a fotografiilor/înregistrărilor video sau audio (ar putea fi foarte dificil să fie șterse, cum ar fi în cazul metadatelor sau dacă cineva le-a copiat, le-a partajat sau le-a distribuit pe alte site-uri sau rețele de socializare) etc.

________________________________________________________________________

În atenția subiecților de date! CNPDCP recomandă vigilență maximă la transmiterea/oferirea datelor cu caracter personal

Reieșind din multitudinea de cazuri mediatizate, precum și din specificul abordat în tot mai multe plângeri și sesizări aflate în examinare, CNPDCP a îndemnat subiecții de date să demonstreze precauție maximă la dezvăluirea, transmiterea, diseminarea datelor cu caracter personal ce îi vizează.

CNPDCP amintește că, actele de identitate (cum ar fi buletinele de identitate, pașapoartele), certificatele de stare civilă, carnetele de pensionar, cardurile bancare etc. consemnează o multitudine de date cu caracter personal, care necesită o protecție eficace din partea deținătorului/titularului acestora.

Astfel, oferirea/transmiterea de copii de pe aceste documente, precum și scrierea datelor cu caracter personal în diferite liste/acte de către subiectul de date, în alte scopuri decât cele expres prevăzute de lege, poate genera utilizarea ilegală a acestora, în scopuri contrare celor prevăzute inițial, în detrimentul subiectului de date. La fel,  subiectul de date cu caracter personal ar putea pierde controlul asupra datelor sale cu caracter personal.

În cazul în care subiecților de date li se solicită prezentarea actelor de identitate și/sau oferirea copiilor de pe aceste acte, precum și prezentarea datelor personale precum: numele, prenumele, IDNP-ul, adresa de domiciliu, datele cardului bancar, venitul, cuantumul pensiei, etc. sub pretexte diferite de persoane terțe, aceștia urmează să se încredințeze de legalitatea colectării datelor personale și a utilizării ulterioare a acestor date.

Or, potrivit prevederilor Legii 133/2011 privind protecția datelor cu caracter personal, datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri;  adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior.

Totodată, CNPDCP reliefează că, în condițiile oferirii/transmiterii benevole a datelor cu caracter personal, consemnate pe diferite acte sau prin înscrierea acestora în careva liste/documente, la baza colectării acestor date personale se invocă/determină existența  consimțământului subiectului datelor cu caracter personal (art. 5 alin. (1) al Legii 133/2011), chiar dacă ulterioara utilizare a acestor date se adeverește a fi efectuată în alte scopuri/ în detrimentul subiectului de date vizat.

________________________________________________________________________

În atenția utilizatorilor aplicației Yandex Go 

În contextul informațiilor mediatizate, vizând accesul la datele cu caracter personal prelucrate prin intermediul aplicației „Yandex Go” (cum ar fi: datele dispozitivelor mobile ale utilizatorilor, numele, numărul de telefon, adresa de e-mail, date bancare și adresele călătoriilor cu taxiul), CNPDCP a îndemnat subiecții de date să fie prudenți și să se informeze, în prealabil instalării aplicației Yandex Go pe dispozitivele mobile, asupra condițiilor stipulate în Politica de confidențialitate Yandex, deoarece, odată instalată această aplicație, prelucrarea datelor cu caracter personal se efectuează pe baza consimțământului subiectului de date cu caracter personal.

De altfel, în cazul utilizării unor sisteme/platforme străine, gestionate/create de operatori nerezidenți, serverele cărora se află în afara țării, survine implicit situația de transmitere transfrontalieră a datelor cu caracter personal, colectate/prelucrate prin intermediul acestor sisteme/platforme, fapt care determină aplicabilitatea obligatorie a prevederilor art. 32 al Legii 133/2011 privind protecția datelor cu caracter personal.

În aceste condiții, transmiterea transfrontalieră a datelor cu caracter personal către statele care nu asigură un nivel adecvat de protecție (cum ar fi spre ex. Federația Rusă), poate avea loc în condițiile statuate la art. 32 alin. (5) al Legii privind protecția datelor cu caracter personal.

Totodată, este de menționat că, în cazul unor platforme de management a comenzilor de taxi deținute de titulari nerezidenți, dar care își desfășoară activitatea și/sau produc efecte juridice pe teritoriul Republicii Moldova, autoritățile de stat competente vor întâmpina impedimente și/sau nu vor putea exercita un control efectiv asupra acțiunilor eventual prejudiciabile a acestora.

Mai mult, în circumstanțele expuse supra, inclusiv subiectul de date cu caracter personal va pierde controlul asupra datelor sale cu caracter personal și va fi în dificultate de a-și exercita drepturile consacrate de Legea privind protecția datelor cu caracter personal.

În contextul informațiilor menționate supra, precum și ținând cont de faptul că datele cu caracter personal, transferate tranfrontalier în state care nu asigură un nivel adecvat de protecție, ar putea fi utilizate în detrimentul subiecților de date sau în alte scopuri decât cele declarate de operator, prin avizul înaintat Guvernului asupra proiectului de inițiativă legislativă nr. 252 din 13.07.2023, CNPDCP a propus inclusiv:

în contextul asigurării protecției eficiente a datelor cu caracter personal prelucrate, ar fi oportună examinarea posibilității instituirii normei vizând utilizarea sistemelor (platformelor) electronice de management gestionate/păstrate/stocate pe teritoriul Republicii Moldova. Or, ținând cont de prevederile art. 4 și art. 5 alin. (5) lit. b) ale Legii nr. 133/2011, obligațiile/regulile de prelucrare a datelor cu caracter personal (cum ar fi spre exemplu: utilizarea sistemelor/platformelor electronice de management naționale, precum și păstrarea serverelor pe teritoriul Republicii Moldova, fără a fi admisă transmiterea transfrontalieră de date cu caracter personal) trebuie să fie prevăzute de lege.

________________________________________________________________________

Recomandări privind publicarea datelor cu caracter pesonal pe rețelele de socializare 

Reieșind din creșterea semnificativă a numărului de rețele de socializare din ultimul deceniu, precum și din necesitatea stringentă de a proteja confidențialitatea datelor cu caracter personal ale persoanelor fizice, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) vine cu următoarele recomandări privind publicarea datelor cu caracter pesonal pe rețelele de socializare.

Textul integral al documentului poate fi vizualizat aici

________________________________________________________________________

Linii directorii privind prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video

Persoanele care intenționează să utilizeze camere video sau sisteme de supraveghere video s-ar putea întreba, de ce ar trebui să se conformeze cerințelor stipulate de legislația în domeniul protecției datelor cu caracter personal care reglementează utilizarea acestor tehnologii? Unii ar putea susține că înregistrarea imaginilor, în majoritatea cazurilor a persoanelor total necunoscute, neidentificate sau captarea imaginilor prin transmisiuni în timp real (monitorizare) nu constituie o prelucrare a datelor cu caracter personal în sensul înțeles de ei.

Cu toate acestea, Legea nr. 133/2011 explică în mod clar că termenul „date cu caracter personal” trebuie să fie interpretat în sens larg.

Textul integral al documentului poate fi vizualizat aici

________________________________________________________________________

GHID PRIVIND EVALUAREA IMPACTULUI ASUPRA PROTECȚIEI DATELOR CU CARACTER PERSONAL (DPIA)

Evaluarea impactului asupra protecției datelor este un proces destinat să descrie operațiunile de prelucrare preconizate, să evalueze necesitatea și proporționalitatea acestora și să contribuie la gestionarea riscurilor privind drepturile și libertățile subiecților de date rezultate din prelucrarea datelor cu caracter personal, prin evaluarea acestora și stabilirea de măsuri pentru atenuarea lor. 

Evaluarea impactului asupra protecției datelor reprezintă un instrument important pentru responsabilizare, deoarece ajută operatorii de date cu caracter personal nu numai să respecte cerințele Legii nr. 133/2011 privind protecția datelor cu caracter personal (în continuare – Legea nr. 133/2011), ci și să demonstreze că au fost luate măsuri adecvate pentru a asigura conformitatea cu prevederile legale naționale, precum și cu cele europene –  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – în continuare GDPR) .

Textul integral al documentului poate fi vizualizat aici

________________________________________________________________________

Recomandări pentru prestatorii de servicii de instalare a sistemelor de supraveghere video în vederea oferirii consultațiilor beneficiarilor finali de servicii la montarea sistemelor de supraveghere video

Colectarea imaginilor ce surprind persoane fizice, prin intermediul unui sistem de supraveghere video, atât în cazurile în care ele înregistrează, cât și în cele în care are loc o transmisie în timp real, constituie o formă de prelucrare a datelor cu caracter personal, în sensul art. 3 din Legea nr. 133/2011 privind protecția datelor cu caracter personal (în continuare – Legea nr. 133/2011). În acest context, remarcăm că, orice persoană fizică sau juridică de drept public sau de drept privat, care, în mod individual sau împreună cu altele, stabilește scopul prelucrării datelor cu caracter personal – fiind unul determinat, explicit, ce constă în necesitatea de a asigura securitatea persoanelor, spațiilor și/sau a bunurilor, precum și mijloacele (automatizate) de prelucrare a datelor cu caracter personal – prin intermediul dispozitivelor de supraveghere video, obține calitatea de operator de date cu caracter personal. .

Textul integral al documentului poate fi vizualizat aici

________________________________________________________________________

Aspecte practice și legale în legătură cu instalarea și gestionarea mijloacelor de supraveghere video

Utilizarea supravegherii prin intermediul mijloacelor video reclamă respectarea anumitor cerințe și garanții din partea proprietarului/gestionarului de sistem, referitor la prelucrarea și protecția datelor cu caracter personal colectate prin intermediul acestuia, care sunt reglementate prin Legea nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal.

Textul integral al documentului poate fi vizualizat aici

________________________________________________________________________

Considerente în legătură cu utilizarea tot mai frecventă a sistemului de supraveghere video înzestrat cu funcții de înregistrare audio

Potrivit prevederilor Legii nr. 175/2021 pentru modificarea unor acte normative a fost exclusă obligația operatorului de a notifica Centrul National pentru Protecția Datelor cu Caracter Personal al Republicii Moldova (CNPDCP) operațiunile de prelucrare a datelor cu caracter personal, precum și a fost instituită obligația operatorului de a efectua evaluarea impactului asupra protecției datelor cu caracter personal, în cazul în care prelucrarea datelor poate genera un risc sporit pentru drepturile și libertățile persoanelor, inclusiv de a desemna o persoană responsabilă cu protecția datelor cu caracter personal.

Textul integral al documentului poate fi vizualizat aici

________________________________________________________________________

Opinia Centrului Național pentru Protecția Datelor cu Caracter Personal în legătură cu prelucrarea datelor cu caracter personal în contextul pandemiei de coronavirus (COVID-19) în Republica Moldova

Prelucrarea datelor cu caracter personal în contextul pandemiei de coronavirus (COVID-19) în Republica Moldova Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova accentuează asupra riscurilor și provocărilor privind protecția persoanelor în partea ce vizează prelucrarea datelor cu caracter personal în contextul combaterii Coronavirusului (COVID-19), în special, a datelor privind starea de sănătate a pacienților. Lupta împotriva COVID-19 este un obiectiv valoros împărtășit de toate națiunile, inclusiv de Republica Moldova și, prin urmare, trebui susținut în cel mai bun mod posibil pentru a diminua și lichida răspândirea acestui virus. Din momentul declanșării COVID-19, se asistă zilnic la diverse operațiuni de prelucrare a datelor cu caracter personal privind starea de sănătate în contextul combateriiCOVID-19. Toate aceste operațiuni de prelucrare a datelor cu caracter personal privind starea de sănătate trebuie să reprezinte o parte componentă a eforturilor concertate întru menținerea sănătății publice, iar protecția datelor nu poate fi în niciun caz și nu este sub nici o formă un obstacol în calea salvării vieții, respectiv principiile aplicabile de legislația națională în domeniul protecției datelor cu caracter personale permit întotdeauna o echilibrare a intereselor puse în joc.

 

Textul integral al documentului poate fi vizualizat aici

 

_______________________________________________________________________

Opinia Centrului Național pentru Protecția Datelor cu Caracter Personal în legătură cu prelucrarea datelor cu caracter personal în procesul electoral

 

CNPDCP, 19 februarie 2019

Dreptul la vot, dreptul de a fi ales, precum și dreptul la inviolabilitatea vieții private constituie drepturi de forță constituțională și fundamentală. Ordine în care, Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova, în exercitarea jurisdicției sale de garant al respectării protecției datelor cu caracter personal, având drept premisă cel din urmă raționament, recepționând o serie de sesizări care cristalizează existența unei problematici privind valorificarea pragmatică a principiilor de protecție datelor cu caracter personal în perioada electorală, diseminează următoarea reacție instituțională în scop de prevenire și informare:

Textul integral al Opiniei Centrului Național pentru Protecția Datelor cu Caracter Personal  în legătură cu prelucrarea datelor cu caracter personal în procesul electoral

______________________________________________________________________

,,Orizonturile confidențialității în epoca inteligenței artificiale”

CNPDCP, 18 februarie 2019

La 29 octombrie 1968, a fost realizată prima transmisie prin rețeaua ARPANET (Advanced Research Projects Agency Network). Inițial, rețeaua, dezvoltarea căreia a fost finanțată de Departamentul Apărării al SUA, includea conectarea a 4 universități americane: Universitatea California – Los Angeles, Institutul de Cercetare Stanford, Universitatea Utah și Universitatea California – Santa Barbara.
Acest prim sistem reprezintă predecesorul Internetului așa cum îl cunoaștem astăzi, iar la aproape 50 de ani de la lansarea sa, se constată valențele istorice ale anului 1969.
În 2019 Internetul va marca 50 de ani, omenirea reușind în timp să-i ,,guste” din plin bunele și relele și (nu) se pregătește de un alt salt în evoluție, care deja face parte din realitate: Inteligența Artificială.

Textul  integral al publicații inteligența artificiala

 

______________________________________________________________________

Aspecte privind practica de a depune la materialele dosarelor examinate de instanțele de judecată, a documentelor ce integrează date cu caracter personal ale persoanelor fizice, care nu sunt vizate în cazul examinat

Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (CNPDCP), comunică că în activitatea sa a fost sesizat asupra practicii de a depune la materialele dosarelor examinate de instanțele de judecată, în calitate de probe, documente care conțin date cu caracter personal ale persoanelor fizice, care, nu sunt vizate în cazul examinat de instanța de judecată, respectiv, nefiind identificată existența unei legături cauzale dintre datele cu caracter personal dezvăluite și cauza examinată.

Potrivit speței sesizate la cererea de chemare în judecată au fost anexate înscrisuri care conțineau datele cu caracter personal (numele, prenumele, IDNP, data și numărul contractului, suma contractată, datoriile) ale unui număr impunător de persoane care nu aveau nici o tangență cu cauza aflată spre examinare în instanța de judecată. În consecință, CNPDCP s-a autosesizat în temeiul art. 27 alin. (4) din Legea privind protecția datelor cu caracter personal în privința neconformităților evocate supra, în vederea efectuării unei investigații mai ample asupra tuturor circumstanțelor privind legalitatea prelucrării datelor cu caracter personal.

Textul integral poate descărcat aici.

______________________________________________________________________

Linii directorii în ceea ce privește accesul la informație

prin prisma legislației privind protecția datelor cu caracter personal

Urmează a fi menționat faptul că, prezenta poziție integrează linii directorii care pot constitui un punct de reper în adoptarea deciziei de către operatorii de date cu caracter personal, însă nu constituie o soluție obligatorie pentru acesta, întrucât în lumina autonomiei decizionale de autoritate publică și în lumina principiului responsabilității operatorului de date cu caracter personal, aceștia urmează independent și individual să decidă asupra furnizării sau refuzului de furnizare a informației solicitate de către persoane fizice sau juridice.

Textul integral poate descărcat aici.