CENTRUL NAŢIONAL PENTRU PROTECŢIA DATELOR CU CARACTER PERSONAL

 

R A P O R T

de activitate pentru anul 2024

 

 din  17.03.2025

 

Monitorul Oficial nr.135-138/184 din 17.03.2025

 

* * *

 

PREZENTARE GENERALĂ

ANUL 2024 ÎN CIFRE

 

 

Capitolul I

EXAMINAREA PLÂNGERILOR ŞI ALTOR ADRESĂRI

Adresările parvenite către CNPDCP vizează diverse sectoare, cum ar fi: supraveghere video, reţele de socializare, telecomunicaţii, relaţii de muncă, sănătate, educaţie, financiar – bancar, sectorul public etc. La examinarea acestora CNPDCP aplică aceleaşi principii şi reguli/condiţii prevăzute de Legea nr.133/2011 privind protecţia datelor cu caracter personal, dar problemele înaintate în reclamaţii sunt foarte diferite şi de fiecare dată sunt sesizate subiecte/aspecte noi graţie evoluţiei domeniului şi interacţiunii acestuia cu activităţile de zi cu zi a cetăţenilor, care implică prelucrarea datelor cu caracter personal. Apariţia noilor tehnologii informaţionale generează în mod constant noi întrebări, cert este că aspectele deplânse vor continua să evolueze, făcând misiunea CNPDCP din ce în ce mai complexă dar şi mai interesantă. În fiecare zi, CNPDCP răspunde la zeci de cereri, adesea complexe, în care sunt abordate situaţii ce vizează domenii de competenţă diferite, înaintate de un public foarte variat.

În cursul anului 2024, CNPDCP a examinat şi emis 13 037 documente de corespondenţă, dintre care 5596 documente de intrare, din acestea 1160 fiind petiţii din partea subiecţilor de date cu caracter personal şi 5699 documente de ieşire.

 

 

Pentru a face faţă acestui flux de documente, CNPDCP şi-a mobilizat eforturile şi şi-a concentrat activitatea pe oferirea de informaţii şi acordarea suportului consultativ atât subiecţilor de date cu caracter personal, punându-le la dispoziţie informaţii juridice calificate despre exercitarea drepturilor lor, cât şi operatorilor de date, acordându-le asistenţă în vederea conformării operaţiunilor de prelucrare a datelor cu caracter personal la legislaţia privind protecţia datelor cu caracter personal, oferind în acest sens răspunsuri şi consultaţii atât în scris prin intermediul oficiului poştal, cât şi prin e-mail sau verbal, la telefon sau în cadrul audienţelor.

Dinamica numărului de documente de corespondenţă înregistrate de CNPDCP pe parcursul anilor 2014-2024 poate fi analizată în graficul prezentat mai jos.

 

Dinamica documentelor de corespondenţă pentru anii 2014-2024

 

 

Subiectele abordate în documentele de corespondenţă relevă preocuparea crescută a operatorilor de date cu caracter personal în asigurarea respectării cerinţelor de prelucrare a datelor cu caracter personal, instituite de Legea nr.133/2011 privind protecţia datelor cu caracter personal şi de legislaţia naţională conexă, în implementarea măsurilor organizatorice şi tehnice necesare pentru asigurarea confidenţialităţii şi securităţii datelor cu caracter personal prelucrate, inclusiv în contextul prelucrării datelor cu caracter personal prin intermediul sistemelor automatizate de evidenţă a datelor, utilizării procesului decizional automatizat pe baza categoriilor de date cu caracter personal colectate, care au generat noi provocări pentru domeniul protecţiei datelor cu caracter personal, precum şi interesul subiecţilor de date cu caracter personal în vederea realizării în fapt a drepturilor conferite de Legea nr.133/2011 şi tendinţa tot mai mare a ultimilor de a avea un control asupra propriilor date cu caracter personal, în special pe fonul intensificării schimbului de date cu caracter personal între actorii publici şi privaţi, inclusiv persoane fizice, asociaţii şi întreprinderi.

 

Activitatea de examinare a adresărilor subiecţilor de date cu caracter personal

În perioada de referinţă, în adresa CNPDCP au parvenit 1160 petiţii din partea persoanelor fizice – subiecţi de date cu caracter personal.

Din numărul total de petiţii înregistrate în perioada de raportare, în 312 cazuri au fost demarate controale privind legalitatea operaţiunilor de prelucrare a datelor cu caracter personal.

 

Dinamica numărului de petiţii examinate în anul 2014-2024

 

 

Astfel, în anul 2024, prin intermediul plângerilor şi sesizărilor transmise în adresa autorităţii naţionale de protecţie a datelor cu caracter personal au continuat să fie semnalate, în principal, aspecte referitoare la:

√ Prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video/audio: 435 cazuri;

√ Prelucrarea datelor cu caracter personal în lipsa consimţământului subiectului de date şi/sau a temeiului legal, inclusiv la prelucrarea datelor cu caracter personal din resursele informaţionale de stat: 346 cazuri;

√ Prelucrarea datelor cu caracter personal prin dezvăluire pe reţelele de socializare: 179 cazuri;

√ Realizarea drepturilor subiecţilor de date cu caracter personal (acces, informare, intervenţie, opoziţie): 134 cazuri;

√ Prelucrarea datelor cu caracter personal ale minorilor: 16 cazuri;

√ Prelucrarea datelor cu caracter personal în sectorul poliţienesc (MAI, CNA, Procuratura etc.): 15 cazuri;

√ Prelucrarea datelor cu caracter personal în sectorul financiar-bancar, a companiilor de asigurări: 8 cazuri;

√ Prelucrarea datelor cu caracter personal în domeniul medical: 6 cazuri;

√ Prelucrarea datelor cu caracter personal în sectorul comunicaţiilor electronice: 5 cazuri;

√ Prelucrarea datelor cu caracter personal în mediul on-line şi mass-media: 4 cazuri;

√ Verificarea legalităţii operaţiunilor de prelucrare: 4 cazuri;

√ Prelucrarea IDNP-ului subiectului de date: 4 cazuri;

√ Publicarea hotărârilor judecătoreşti fără depersonalizarea corectă a acestora: 2 cazuri;

√ Dezvăluirea datelor cu caracter personal către entităţile nerecunoscute din stânga Nistrului (Transnistria): 1 caz;

√ Transmiterea transfrontalieră a datelor cu caracter personal: 1 caz.

 

Capitolul II

ACTIVITATEA DE CONTROL

 

 

Controlul conformităţii prelucrării datelor cu caracter personal se iniţiază la plângerea subiectului de date cu caracter personal sau în baza autosesizării CNPDCP, în ordinea prevăzută la art.27 din Legea nr.133/2011, la deţinerea informaţiilor/indiciilor, susţinute prin probe, despre existenţa situaţiilor de încălcare a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, în special a dreptului la inviolabilitatea vieţii intime, familiale şi private.

Activitatea de control constă în verificarea legalităţii prelucrării datelor cu caracter personal de către operatorii de date cu caracter personal şi/sau persoanele împuternicite de către aceştia. La examinarea fiecărui material de control sunt întreprinse măsuri adecvate, necesare şi proporţionale în scop de a asigura conformitatea cu dispoziţiile legislaţiei, luând în considerare circumstanţele fiecărui caz în parte, cu respectarea dreptului oricărei persoane de a fi ascultată/audiată sau de a prezenta separat poziţia sa asupra celor invocate în plângere.

Controlul realizat permite CNPDCP să înţeleagă natura şi scopul prelucrării datelor cu caracter personal pe care le efectuează un operator şi/sau persoană împuternicită de operator iar, urmare a efectuării controlului, CNPDCP poate dispune întreprinderea unor acţiuni/măsuri care să conformeze operaţiunile de prelucrare a datelor cu caracter personal la cerinţele legii şi/sau să solicite instanţei de judecată aplicarea unei sancţiuni contravenţionale.

Controlul se efectuează de către angajaţii din cadrul Direcţiei Generale Supraveghere şi Conformitate şi Direcţiei Juridice, care sunt abilitaţi cu funcţii de control.

În mare parte a cazurilor supuse examinării, obiectivul realizării controalelor este de a stabili:

• scopul şi temeiul legal al prelucrării datelor cu caracter personal;

• proporţionalitatea, pertinenţa şi actualitatea datelor prelucrate;

• respectarea drepturilor subiecţilor de date cu caracter personal;

• respectarea gradului de asigurare a securităţii şi confidenţialităţii datelor cu caracter personal prelucrate, etc.

Activitatea de control reprezintă totalitatea acţiunilor întreprinse în vederea verificării conformităţii prelucrării datelor cu caracter personal, pentru clarificarea faptelor şi circumstanţelor în legătură cu prelucrarea datelor cu caracter personal şi colectarea probelor necesare pentru examinarea obiectivă a cazului reclamat.

Astfel, în perioada de referinţă au fost iniţiate şi examinate 312 materiale de control, în baza plângerilor subiecţilor de date cu caracter personal/autosesizărilor iniţiate la solicitarea persoanelor juridice sau din oficiu, fiind înregistrată o scădere a numărului de controale iniţiate comparativ cu anul 2023. În acest sens se va nota, că la depunerea unei plângeri, în dependenţă de obiectul acesteia, CNPDCP reaminteşte persoanelor despre necesitatea adresării în prealabil către operator sau persoana împuternicită de operator, or, respectarea procedurii prestabilite de art.27 alin.(1) din Legea privind protecţia datelor cu caracter personal este necesară pentru întrunirea condiţiilor de primire şi soluţionare a plângerilor. În final, aceasta este o procedură de a remedia de comun cu operatorul sau persoana împuternicită de operator eventuala incertitudine vizând pretinsa neconformitate, ordine în care decade necesitatea de a se adresa la CNPDCP pentru efectuarea unui control.

Tot aici se va nota că, controlul se iniţiază la plângerea subiectului de date. În situaţii generale, persoana deplânge acţiunile unui singur operator. Totuşi, tot mai des se înregistrează cazuri când într-o singură plângere, persoana contestă operaţiunile de prelucrare a datelor sale cu caracter personal efectuată de mai mulţi operatori vizând circumstanţe diferite. Or, asemenea controale sunt mult mai complexe şi necesită un timp mai îndelungat pentru acumularea informaţiilor şi probelor relevante, pentru audierea tuturor persoanelor implicate, precum şi o analiză multiaspectuală a operaţiunilor deplânse. În aceste cazuri, CNPDCP iniţiază un singur control şi, chiar dacă eforturile depuse la examinarea unor astfel de controale sunt mult mai impunătoare/complexe, acest fapt influenţează direct asupra numărului de controale iniţiate.

Este de remarcat că, în perioada de referinţă au fost efectuate controale asupra conformităţii prelucrării datelor cu caracter personal cu cerinţele Legii privind protecţia datelor cu caracter personal în legătură cu următoarele acţiuni deplânse de subiecţii de date:

dezvăluirea datelor cu caracter personal fără consimţământul subiecţilor de date;

încălcarea drepturilor şi a principiilor prevăzute de lege;

prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video de către persoane fizice şi juridice;

accesarea fără un temei legal a datelor cu caracter personal din sistemele informaţionale de stat;

publicarea în mediul on-line a datelor cu caracter personal etc.

În perioada de referinţă, urmare a efectuării controalelor au fost emise 372 decizii. Cu titlu de precizare se va menţiona că, la emiterea unei decizii, CNPDCP poate dispune atât lipsa încălcării prevederilor legale, cât şi încălcarea acestora, în dependenţă de obiectul controlului, de numărul de participanţi la procedura de control, precum şi de circumstanţele constatate în fapt. Astfel, la emiterea deciziilor, în 268 cazuri a fost constatată lipsa încălcării, în 173 cazuri a fost constatată încălcarea prevederilor legale din domeniul protecţiei datelor cu caracter personal.

În rezultatul examinării materialelor de control cu constatarea încălcării prevederilor legale din domeniul protecţiei datelor cu caracter personal, în funcţie de gravitatea încălcării, au fost dispuse măsuri de constrângere/corectare manifestate prin:

- Suspendarea operaţiunilor de prelucrare a datelor cu caracter personal – 47 cazuri;

- Încetarea operaţiunilor de prelucrare a datelor cu caracter personal – 28 cazuri;

- Distrugerea/ştergerea datelor cu caracter personal prelucrate cu încălcarea prevederilor legale – 8 cazuri;

- Necesitatea implementării măsurilor organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal – 17 cazuri.

Concomitent, prin prisma calităţii de agent constatator în raport cu faptele statuate la art.74ˡ – 74³ Cod contravenţional aferente încălcării prevederilor legale din domeniul protecţiei datelor cu caracter personal, pe parcursul anului 2024 au fost întocmite 135 procese-verbale cu privire la contravenţii, fiind constatate 143 fapte contravenţionale, cauzele contravenţionale fiind expediate spre examinare în instanţa de judecată competentă, în temeiul prevederilor Codului contravenţional.

Spectrul faptelor contravenţionale constatate prin prisma articolelor vizate de Codul contravenţional denotă că cele mai frecvente încălcări comise la prelucrarea datelor cu caracter personal s-au manifestat, după cum urmează:

- art.74¹ alin.(1): nerespectarea condiţiilor de bază pentru prelucrarea, stocarea şi utilizarea datelor cu caracter personal, cu excepţia cazurilor prevăzute la alin.(5) – 111 fapte;

- art.74¹ alin.(3): încălcarea drepturilor subiectului datelor cu caracter personal de a fi informat, de acces la datele cu caracter personal, de intervenţie asupra datelor cu caracter personal, de opoziţie şi de a nu fi supus unei decizii individuale – 10 fapte;

- art.74² alin.(1): refuzul de a furniza informaţiile sau documentele solicitate de Centrul Naţional pentru Protecţia Datelor cu Caracter Personal în procesul exercitării atribuţiilor de control, prezentarea unor informaţii neautentice sau incomplete, precum şi neprezentarea în termenul stabilit de lege a informaţiilor şi a documentelor solicitate – 18 fapte;

- art.74³: neîndeplinirea în termenul stabilit a deciziei Centrului Naţional pentru Protecţia Datelor cu Caracter Personal privind repunerea în drepturi a subiectului datelor cu caracter personal, inclusiv privind suspendarea sau încetarea prelucrării datelor cu caracter personal, privind blocarea, distrugerea parţială ori integrală a datelor cu caracter personal prelucrate cu încălcarea legislaţiei în domeniul protecţiei datelor cu caracter personal – 4 fapte.

 

 

Capitolul III

ACTIVITATEA DE REPREZENTARE ÎN INSTANŢELE DE JUDECATĂ

În ordine de contencios administrativ

Pe parcursul anului 2024, interesele CNPDCP au fost reprezentate în cadrul instanţelor de judecată în 224 de procese de judecată, dintre care: 210 în calitate de pârât; 14 în calitate de autoritate publică ce depune concluzii.

În perioada de referinţă, reprezentanţii CNPDCP au asigurat participarea în cadrul a 205 de şedinţe de judecată în ordine de contencios administrativ, întocmind 130 acte procedurale necesare pentru examinarea cât mai eficientă a cauzelor judiciare.

 

Dinamica comparativă a numărului de dosare şi şedinţe de judecată în ordine

de contencios administrativ, în perioada 2017-2024

 

 

 

La fel, pe parcursul anului 2024 a fost finalizată examinarea a 29 de dosare judecătoreşti în care hotărârile/deciziile instanţelor judecătoreşti au rămas definitive şi irevocabile, dintre acestea:

– 26 de hotărâri/decizii judecătoreşti au fost emise în favoarea CNPDCP;

– 3 cazuri s-au soldat cu insucces pentru CNPDCP, fiind vizate acte administrative emise în anii precedenţi perioadei de raportare: o decizie privind controlul legalităţii operaţiunilor de prelucrare a datelor cu caracter personal şi două răspunsuri oferite la petiţii.

 

 

Astfel, constatăm că în 90% din numărul dosarelor judiciare finalizate, acţiunile întreprinse de CNPDCP au fost recunoscute ca fiind legale şi întemeiate de către instanţele de judecată.

În context, reieşind din specificul aspectelor abordate în cererile de chemare în judecată, în majoritatea speţelor, obiect al examinării acţiunilor în contencios administrativ îl constituie anularea deciziilor emise în urma investigaţiilor efectuate de CNPDCP cu privire la constatarea încălcării sau lipsei încălcării legislaţiei privind protecţia datelor cu caracter personal.

 

Speţa nr.1:

În data de 20 noiembrie 2019, CNPDCP a recepţionat o plângere colectivă din partea unor judecători care au invocat încălcarea Legii nr.133/2011 de către colegul lor, urmare a publicării/disemninării în spaţiul internet (pe o reţea de socializare) a datelor cu caracter personal, cum ar fi: numele, prenumele, semnătura şi domiciliul judecătorilor, în lipsa consimţământului acestora. Urmare a examinării cazului CNPDCP a remarcat că, categoria de date cu caracter personal care prezintă risc sporit pentru persoane, reprezintă datele cu privire la domiciliul acestora, or, spre deosebire de celelalte categorii de date cu caracter personal care au fost publicate/dezvăluite, care pot fi considerate publice în pofida funcţiei deţinute de petenţi, domiciliul nu poate fi catalogat ca informaţii publice.

În urma examinării cazului, CNPDCP a constatat, prin decizie, încălcarea prevederilor legii în speţa deplânsă.

Nefiind de acord cu Decizia CNPDCP, reclamantul a depus cerere de chemare în judecată în ordine de contencios administrativ. În urma examinării, instanţa de fond a admis acţiunea şi a anulat actul administrativ emis de către CNPDCP.

În urma apelului depus de CNPDCP împotriva hotărârii instanţei de fond, Curtea de Apel Chişinău a casat hotărârea primei instanţe şi a emis o nouă decizie, prin care a respins acţiunea înaintată de intimat ca fiind neîntemeiată.

Curtea de Apel Chişinău a confirmat că decizia CNPDCP respectă normele legale şi principiile fundamentale de protecţie a datelor cu caracter personal, a corectat erorile de evaluare ale instanţei de fond şi a subliniat importanţa unei evaluări corespunzătoare şi detaliate a tuturor probelor şi aspectelor legale relevante.

Asupra cazului urmează să se pronunţe Curtea Supremă de Justiţie.

 

Speţa nr.2:

În urma examinării plângerii înaintate de către un cetăţean, pe numele administratorului unei asociaţii de proprietari din condominiu din mun. Chişinău, care a invocat pretinse încălcări ale prevederilor Legii nr.133/2011 privind protecţia datelor cu caracter personal, şi anume, prin accesarea în Registrul Bunurilor Imobile (RBI) a informaţiei cu privire la bunul imobil deţinut cu titlu de proprietate, CNPDCP a iniţiat procedura de control şi a emis Decizia prin care a constatat încălcarea prevederilor Legii nr.133/2011.

Astfel, asociaţia de proprietari din condominiu, administratorul căreia a accesat datele cu caracter personal ale petentului, avea semnat contract de prestare a serviciilor de furnizare a informaţiei din RBI cu Agenţia Servicii Publice în vederea realizării sarcinilor asociaţiei.

Totodată, asociaţia a semnat cu o altă asociaţie de proprietari din condominiu, membru a căreia era petentul, un contract pentru oferirea unor servicii de consultanţă. Urmare a examinării cazului s-a reţinut că, asociaţia de proprietari din condominiu care a efectuat accesarea datelor cu caracter personal ale petentului nu era în drept să acceseze datele cu caracter personal ale locatarilor altei asociaţii, ordine în care CNPDCP a constatat încălcarea prevederilor Legii nr.133/2011, nefiind stabilit temeiul legal care a stat la baza acţiunilor de prelucrare a datelor cu caracter personal.

În cele din urmă, asociaţia de proprietari din condominiu a contestat Decizia emisă de CNPDCP în instanţa de judecată şi a solicitat anularea acesteia, ca fiind neîntemeiată şi ilegală.

La data de 12 iunie 2024, Judecătoria Chişinău, sediul Râşcani a emis o hotărâre prin care a respins acţiunea în contencios administrativ înaintată de către asociaţie, recunoscând legalitatea actului administrativ emis la caz de CNPDCP.

Hotărârea în cauză nu a fost supusă nici unei căi de atac, astfel, a rămas definitivă şi irevocabilă de la data pronunţării.

 

În ordinea procedurii contravenţionale

Corespunzător prevederilor art.27 alin.(3) din Legea privind protecţia datelor cu caracter personal, în baza deciziilor emise prin care au fost constatate încălcări la prelucrarea datelor cu caracter personal, agenţii constatatori ai CNPDCP, în perioada de referinţă, au întocmit 135 procese-verbale cu privire la contravenţii, constatând 143 fapte contravenţionale. În conformitate cu prevederile art.423⁴ din Codul contravenţional, procesele-verbale cu privire la contravenţii întocmite au fost remise spre examinare în instanţa de judecată competentă.

 

Spectrul faptelor contravenţionale constatate

 

 

În perioada de referinţă, agenţii constatatori ai CNPDCP au participat la peste 487 şedinţe de judecată pe cauzele contravenţionale aflate în examinare. Totodată, de menţionat că, pe parcursul perioadei de referinţă, în 162 de proceduri examinate CNPDCP a avut câştig de cauză, instanţa de judecată recunoscând vinovăţia persoanelor în privinţa cărora au fost întocmite procese-verbale cu privire la contravenţie, inclusiv pe cauzele transmise instanţei de judecată anterior perioadei de raportare, cu stabilirea sancţiunilor în formă de amendă. Totodată, în perioada raportată au fost încetate/anulate 5 procese-verbale cu privire la contravenţii. Suplimentar, urmează a fi menţionat că alte 106 proceduri contravenţionale se află pe rol, inclusiv pe marginea cauzelor contravenţionale iniţiate în anul 2023.

Examinarea în instanţele de judecată atât în procedura contenciosului administrativ, cât şi în procedura contravenţională a aceloraşi constatări ale CNPDCP, emise în urma verificării legalităţii prelucrării datelor cu caracter personal, îngreunează semnificativ activitatea autorităţii.

Or, în rezultatul examinării materialelor de control privind legalitatea prelucrării datelor cu caracter personal, în ordinea statuată de art.27 alin.(3) al Legii privind protecţia datelor cu caracter personal, […] decizia emisă de CNPDCP privind constatarea încălcării legislaţiei în domeniul protecţiei datelor cu caracter personal şi probele acumulate servesc drept temei pentru întocmirea procesului-verbal cu privire la contravenţie, în condiţiile Codului contravenţional.

Este de menţionat faptul că, potrivit practicii, se constată soluţii contradictorii adoptate de instanţele de judecată, în care, pentru aceeaşi faptă, în ordine de contencios administrativ, operatorul este recunoscut vinovat de către instanţa de judecată iar, în ordine contravenţională, instanţa constată lipsa faptei contravenţionale anulând procesul-verbal cu privire la contravenţie sau viceversa.

Existenţa unor astfel de proceduri cu caracter dificultos au dus, în unele cazuri, la determinarea ineficienţei acţiunilor întreprinse de CNPDCP pentru a contracara prelucrările neconforme de date şi a preveni săvârşirea altor încălcări ce vizează dreptul la inviolabilitatea vieţii intime, familiale şi private a subiecţilor de date cu caracter personal.

 

Capitolul IV

EXEMPLE DE SPEŢE EXAMINATE ÎN ANUL 2024

Periodic, CNPDCP informează societatea despre problemele şi iregularităţile determinate în cadrul activităţii desfăşurate de operatorii de date cu caracter personal în legătură cu prelucrarea datelor cu caracter personal.

În acest sens, autoritatea prezintă, inclusiv prin intermediul raportului anual de activitate, cazuri semnificative şi problematici identificate în cadrul controalelor efectuate asupra conformităţii prelucrării datelor cu caracter personal. Astfel, printre speţele examinate de CNPDCP în anul 2024, au fost următoarele:

Speţa nr.1: Prelucrarea excesivă şi fără un temei legal a datelor cu caracter personal referitoare la rudele de gradul I a contravenientului la întocmirea procesului-verbal cu privire la contravenţie, în privinţa ultimului.

CNPDCP a examinat plângerea unei persoane fizice, care a invocat prelucrări excesive de date cu caracter personal ce o vizează, inclusiv în lipsa unui temei legal, efectuate de către angajatul unei autorităţi publice, în calitate de agent constatator.

În cadrul investigaţiei s-a determinat că, angajatul autorităţii publice, în vederea stabilirii identităţii şi domiciliului persoanei în privinţa căreia a fost pornită cauza contravenţională a prelucrat datele ei cu caracter personal, prin intermediul portalului guvernamental www.date.gov.md, accesând complimentar/suplimentar date cu caracter personal referitoare la rudele de gradul I ale acesteia, ordine în care, în raportul generat de portal, se regăsesc date cu caracter personal despre mama, soţul şi feciorul acesteia, care, fiind imprimat, a fost anexat la materialul procedurii contravenţionale pornite în privinţa petentului.

Examinând circumstanţele cazului, s-a determinat că agentul constatator, urma să acceseze/consulte doar acele date cu caracter personal care erau strict necesare pentru întocmirea procesului-verbal cu privire la contravenţie, în strictă conformitate cu art.443 alin.(1) lit.c) Cod contravenţional.

Chiar dacă, în extrasul/fişa personală generată automat de portalul guvernamental www.date.gov.md, se regăseau, inclusiv, datele cu caracter personal ale rudelor persoanei în privinţa căreia a fost pornit procesul contravenţional, agentul constatator urma să întreprindă măsuri de depersonalizare a acestor date, dacă se intenţiona anexarea fişei la dosarul contravenţional, în cazul în care, tehnic, în sistem nu a fost posibilă delimitarea lor de datele referitoare la contravenient, care erau necesare pentru buna realizare a procedurii contravenţionale.

Or, în cazul dat s-a constatat că agentul constatator a prelucrat excesiv datele cu caracter personal referitoare la mama, soţul şi feciorul contravenientului, care nu au avut tangenţă cu cauza examinată şi nu a fost necesar de a fi ataşate la materialele cauzei, nefiind desprinsă existenţa unui temei legal, a unui scop determinat, explicit şi legitim şi legătura de cauzalitate dintre scop şi identificatorii rudelor contravenientului, fiind constatată încălcarea prevederilor art.4 alin.(1) lit.a), c) şi art.5 ale Legii nr.133/2011 privind protecţia datelor cu caracter personal.

Suplimentar, în contextul celor constatate, CNPDCP a solicitat entităţii publice în cadrul căreia activează agentul constatator, să reevalueze categoriile de date cu caracter personal pe care le prelucrează, prin prisma sarcinilor ce îi revin, raportat la setul de date la care i s-a oferit accesul şi, la necesitate, să se adreseze instituţiei publice care oferă accesul la portalul guvernamental vizat pentru a remedia situaţia, prin identificarea şi implementarea unor măsuri organizatorice şi tehnice care ar preveni situaţii similare de prelucrare excesivă a datelor cu caracter personal din partea angajaţilor săi.

 

Speţa nr.2: Anexarea copiei buletinului de identitate la un dosar în care nu era vizată persoana fizică.

CNPDCP a examinat plângerea prin care petentul a solicitat verificarea legalităţii operaţiunilor de prelucrare a datelor sale cu caracter personal urmare a anexării copiei fişei buletinului său de identitate, la un dosar civil în care nu era vizat.

Astfel, în cadrul investigaţiei s-a constatat că, copia buletinului de identitate ce aparţine petentului a fost colectată şi ataşată la dosarul personal întocmit la angajarea unei persoane terţe, fapt ce nu este prevăzut în regulamentele sau instrucţiunile aferente ţinerii dosarului personal.

Ulterior, copia fişei buletinului de identitate ce aparţine petentului, a fost anexată, împreună cu alte acte ale persoanei terţe, la dosarul civil în care era vizată ultima.

În urma celor descrise supra, CNPDCP a determinat că operaţiunile de prelucrare a datelor cu caracter ce aparţin subiectului de date contravin prevederilor art.4 alin.(1), lit.a) şi b) şi art.5 ale Legii privind protecţia datelor cu caracter personal, or, acestea au fost efectuate de către operatorul de date – la caz, autoritate publică, în lipsa unui scop determinat, explicit şi legitim.

 

Speţa nr.3: Dezvăluirea datelor cu caracter personal consemnate în decizia Consiliului pentru Egalitate, fără a asigura confidenţialitatea acestora.

CNPDCP a examinat plângerea unui subiect de date, care a deplâns prelucrarea neconformă a datelor sale cu caracter personal, precum: nume, prenume, date privind starea de sănătate, de către directorul grădiniţei în care activa, urmare a diseminării/publicării pe reţeaua de socializare „Facebook” a acestor date.

În cadrul investigaţiei directorul grădiniţei a recunoscut faptul publicării/diseminării deciziei Consiliului pentru Egalitate, fără depersonalizarea datelor cu caracter personal, pe profilul creat şi gestionat de către aceasta pe reţeaua de socializare „Facebook” şi a invocat că decizia a fost publicată pentru asigurarea transparenţei şi pentru a anihila acţiunile de discriminare faţă de persoana sa. Totodată, a pretins că, la angajare, în cadrul instituţiei de învăţământ preşcolar, petenta a semnat acordul privind prelucrarea datelor cu caracter personal ale salariaţilor, ceea ce i-ar fi oferit un temei legal în acest sens.

Deşi directorul grădiniţei, avea temei legal de prelucrare a datelor cu caracter personal ale petentei în calitate de salariat, în relaţia de muncă, diseminarea/publicarea pe reţeaua de socializare „Facebook” a deciziei Consiliului pentru Egalitate, în care se regăsesc informaţii precum nume, prenume, date privind starea de sănătate nu poate fi justificată prin acordarea de către petentă a consimţământului pentru prelucrarea datelor cu caracter personal la data angajării, or, corespunzător acestuia persoana nu şi-a exprimat consimţământul la publicarea datelor sale pe careva reţele de socializare.

Din aceste considerente, CNPDCP a constatat că, operatorul a prelucrat datele cu caracter personal ale petentei în lipsa unui temei legal, nefiind asigurată confidenţialitatea datelor cu caracter personal prelucrate, acţiuni ce contravin prevederilor art.4 alin.(1) lit.a), art.5 alin.(1) şi art.29 alin.(1) ale Legii privind protecţia datelor cu caracter personal.

Succesiv, în temeiul art.20 alin.(2) al actului normativ menţionat, CNPDCP a dispus ştergerea deciziei Consiliului pentru Egalitate în care se conţin datele cu caracter personal ale subiectului de date, publicată pe reţeaua de socializare „Facebook” sau depersonalizarea datelor cu caracter personal, astfel încât detaliile privind circumstanţele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile ori să permită atribuirea doar în condiţiile unei investigaţii care necesită cheltuieli disproporţionate de timp, mijloace şi forţă de muncă.

 

Speţa nr.4: Publicarea datelor cu caracter personal pe reţele de socializare.

CNPDCP a examinat plângerea unui subiect de date, prin care a sesizat pretinsul fapt de prelucrare neconformă a datelor cu caracter personal ce-l vizează, urmare a publicării pe reţelele de socializare, a unei secvenţe video care conţine datele cu caracter personal ale ultimului.

Astfel, analizând conţinutul publicat pe reţeaua de socializare, s-a identificat existenţa unei secvenţe video, care debutează cu prezentarea a două imagini fotografice ale petentului imprimate pe o foaie (se presupune că acestea fac parte componentă a unui dosar), conţinând: imaginea, numele, prenumele, prenumele tatălui (patronimicul), data naşterii, sexul, locul naşterii şi cetăţenia. Totodată, pe aceeaşi filă se regăseşte un tabel în care sunt inserate alte informaţii referitoare la petent. Ulterior, în secvenţa video este prezentată o cerere depusă de către petent către organul de poliţie, care conţine datele cu caracter personal ale subiectului de date, după cum urmează: numele, prenumele, patronimicul, domiciliul, ziua, luna, anul naşterii, seria buletinului de identitate, nr. de telefon mobil.

În cadrul investigaţiei s-a determinat că, utilizatorul cu pseudonim neidentificat, dezvăluind video-ul litigios pe reţeaua de socializare „TikTokˮ nu a implementat careva acţiuni care să asigure confidenţialitatea datelor cu caracter personal ale subiectului de date, încălcând astfel principiile de protecţie a datelor cu caracter personal.

Respectiv, urmare a examinării tuturor informaţiilor/materialelor administrate, careva probe ce ar identifica, indubitabil, persoana care ar fi colectat datele cu caracter personal ale subiectului de date şi ulterior a publicat secvenţa video litigioasă pe reţeaua de socializare „TikTokˮ, nu au putut fi acumulate, fiind doar reţinut că cet. I. E. a preluat secvenţa video litigioasă de pe o sursă publică şi a republicat-o pe pagina sa de profil în reţeaua de socializare „Facebook”.

Prin urmare, CNPDCP a fost în imposibilitate de a interveni pe alte căi pentru a identifica persoana care este înregistrată pe reţeaua de socializare „TikTokˮ cu numele de utilizator (pseudonimul neidentificat), deoarece platforma nu face publice astfel de informaţii din motive de confidenţialitate.

Totuşi, având în vedere că din materialele acumulate nu a fost identificat scopul şi temeiul legal al publicării/diseminării datelor cu caracter personal pe reţeaua de socializare „TikTokˮ, CNPDCP a constatat in rem, că utilizatorul reţelei de socializare sus-menţionate cu numele de utilizator (pseudonim neidentificat), a publicat o secvenţă video ce cuprinde datele cu caracter personal ale petentului, contrar prevederilor art.4 alin.(1) lit.a), c) şi art.5 alin.(1) ale Legii privind protecţia datelor cu caracter personal.

Totodată, în raport cu cet. I.E., care a republicat pe pagina sa de profil în reţeaua de socializare „Facebook”, acelaşi video, care cuprinde: imaginea, numele, prenumele, patronimicul, domiciliul, ziua, luna, anul naşterii, seria buletinului de identitate, nr.de telefon mobil al petentului – date care au fost şi pot fi consultate de utilizatorii reţelei de socializare „Facebook” care vizualizează postarea respectivă, invocând în acest sens informarea publicului larg/ libertatea de exprimare, s-a dispus ca acesta să efectueze modificări (de ex. obturări/blurări) a datelor cu caracter personal publicate, pentru a asigura confidenţialitatea acestora, fiind excesive în raport cu scopul declarat, or, la caz, chiar dacă se pretinde că persoana vizată în postare ar fi activist civic/persoană publică, şi în raport cu acesta urmează a fi asigurat principiul reducerii la minim a datelor cu caracter personal, în măsura în care acestea să fie adecvate şi neexcesive scopului declarat.

 

Speţa nr.5: Prelucrarea datelor cu caracter personal la transmiterea live a şedinţei consiliului local.

CNPDCP a examinat plângerea privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal, urmare a transmiterii live a şedinţei consiliului local, în cadrul căreia a fost pus în discuţie subiectul privind acordarea ajutorului material unei persoane vulnerabile.

În cadrul investigaţiei, CNPDCP a constatat că datele cu caracter personal ce vizează persoana în cauză, au fost publicate pe reţeaua de socializare „Facebook”, urmare a transmiterii live, a şedinţei consiliului local de către un consilier, cu scopul de a asigura transparenţa deciziilor luate de consiliu. Drept urmare, au fost divulgate numele, prenumele, boala de care suferă persoana şi cuantumul ajutorului.

Potrivit art.4 alin.(1) lit.a), b) şi c) din Legea nr.133/2011 privind protecţia datelor cu caracter personal, datele cu caracter personal care fac obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri, adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sunt colectate şi/sau prelucrate ulterior. Astfel, consilierul local ar fi trebuit să înceteze transmisiunea live, imediat ce a fost informat că urmează să fie discutate informaţii ce conţin date sensibile cu caracter personal ale unor persoane fizice, în special conştientizând că informaţia privind starea de sănătate constituie categorie specială de date cu caracter personal.

În context, în rezultatul soluţionării plângerii, CNPDCP a constatat încălcarea prevederilor art.4 alin.(1) lit.a), b), c), art.5 alin.(1), art.7 şi art.29 alin.(1) ale Legii nr.133/2011 privind protecţia datelor cu caracter personal de către consilierul local, la divulgarea datelor cu caracter personal ale subiectului de date.

 

Speţa nr.6: Publicarea datelor cu caracter personal pe reţele de socializare ale persoanelor vulnerabile.

Urmare a recepţionării unei plângeri, CNPDCP s-a autosesizat pe pretinsul fapt de prelucrare ilegală a datelor cu caracter personal ce vizau persoane din diferite localităţi ale ţării, urmare a publicării pe reţelele de socializare „Facebook” şi „YouTube” a unor secvenţe video privind oferirea de pachete cu produse alimentare persoanelor în etate, inclusiv a celor ţintuite la pat, cu dezvăluirea imaginii, vocii, precum şi a datelor despre vârsta, caracteristicile fizice şi domiciliul acestora.

În cadrul investigaţiei, s-a constatat că, persoana, efectuând acte de caritate, a realizat numeroase înregistrări video la domiciliul persoanelor vizate, care, ulterior, au fost diseminate/publicate pe reţelele de socializare, în absenţa consimţământului acordat de ultimii pentru prelucrarea datelor cu caracter personal.

CNPDCP nu neagă beneficiul acţiunilor de caritate efectuate, în cazul dat, însă publicarea pe reţelele de socializare/internet a datelor cu caracter personal ale persoanelor vizate, în lipsa consimţământului acestora, încalcă condiţiile de protecţie a datelor cu caracter personal, în special atunci cînd are loc dezvăluirea informaţiilor despre starea socială/vulnerabilă sau/şi starea de sănătate, care constituie o categorie specială de date cu caracter personal şi prezintă riscuri ridicate pentru drepturile şi libertăţile persoanelor.

În consecinţă, CNPDCP a constatat că prelucrarea datelor cu caracter personal ale persoanelor ce se regăseau în secvenţele video publicate a fost efectuată cu încălcarea art.4 alin.(1) lit.a), b) şi c), art.5 alin.(1) şi art.29 alin.(1) din Legea privind protecţia datelor cu caracter personal.

 

Speţa nr.7: Prelucrarea datelor cu caracter personal în scop de prospectare comercială de către o instituţie de învăţământ preşcolar.

Către CNPDCP s-au adresat părinţii unui copil minor care au deplâns acţiunile unei instituţii de învăţământ preşcolar urmare a difuzării unor spoturi video pe pagina sa de Instagram, care ar conţine imagini ale copilului, fără acordul lor.

În cadrul investigaţiei, din materialele acumulate, CNPDCP a reţinut că părinţii au încheiat un contract educaţional, care prevedea că la semnarea acestuia, elevii şi părinţii/reprezentanţii legali îşi dau acordul pentru folosirea de către şcoală a înregistrărilor foto-audio-video a activităţii acestora şi a numelor lor, în scop exclusiv educativ sau pentru promovare, pe diferite canale, a imaginii şcolii şi a rezultatelor activităţilor şcolare şi extraşcolare.

Astfel, în cadrul investigaţiei s-a constatat că utilizarea/publicarea datelor cu caracter personal ale copilului a avut loc după rezilierea contractului educaţional, or, potrivit circumstanţelor indicate în plângere, un consimţământ prin care se acceptă prelucrarea datelor cu caracter personal, după rezilierea contractului, de către reprezentantul legal al copilului minor, nu a fost exprimat. Deşi părinţii au solicitat ştergerea datelor cu caracter personal, videourile în care apare imaginea copilului minor, au rulat pe pagina de „Instagramˮ a instituţiei mai mult de 3 luni, fără consimţământul acestora, fiind constatată încălcarea de către instituţia de învăţământ preşcolar a prevederilor art.4 alin.(1) lit.a),c), art.5 alin.(3) ale Legii nr.133/2011.

 

Speţa nr.8: Nerespectarea măsurilor organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal.

CNPDCP a examinat plângerea unei persoane, care a solicitat verificarea legalităţii operaţiunilor de prelucrare a datelor cu caracter personal ce-l vizează, efectuate prin intermediul mai multor resurse informaţionale de stat.

În cadrul examinării materialului acumulat s-a constatat că, unul din operatorii supuşi verificării, nu a întreprins măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal, acţiuni menite să asigure un nivel de integritate, confidenţialitate şi securitate adecvat în ceea ce priveşte riscurile aferente prelucrării datelor cu caracter personal consemnate în Banca Centrală de Date a Cadastrului Bunurilor Imobile. Or, la încetarea raportului de muncă cu angajatul, căruia i-a fost atribuit cont de utilizator la Registrul bunurilor imobile pentru exercitarea atribuţiilor de serviciu, operatorul (autoritatea publică locală) nu i-a retras dreptul de acces la resursa informaţională menţionată, ceea ce a dus la accesarea datelor cu caracter personal în alte scopuri decât cele ce rezultă din competenţele atribuite operatorului.

În aceste circumstanţe, în raport cu utilizatorul, care a accesat datele cu caracter personal, CNPDCP a constatat încălcarea prevederilor art.4 alin.(1) lit.a), b), c), art.5 alin.(1) din Legea privind protecţia datelor cu caracter personal, iar în raport cu operatorul, încălcarea prevederilor art.4 alin.(1) lit.a) şi art.30 din aceiaşi lege, la prelucrarea datelor cu caracter personal ale persoanei vizate.

 

Speţa nr.9: Prelucrarea datelor cu caracter personal prin intermediul unui sistem de supraveghere video instalat în perimetrul unui bloc locativ.

CNPDCP a recepţionat plângerea unei persoane fizice care a deplâns acţiunile vecinului său în legătură cu prelucrarea datelor cu caracter personal prin intermediul unui sistem de supraveghere video care a fost instalat în scara unui bloc locativ, precum şi pe peretele exterior al blocului.

La caz, CNPDCP a constatat că prin intermediul sistemului de supraveghere video sunt prelucrate datele cu caracter personal (imaginea) ale locatarilor blocului locativ şi ale vizitatorilor/trecătorilor, întrucât unghiul de captare al camerelor de supraveghere monitorizează/înregistrează video spaţiul ce constituie parte comună a blocului (intrarea în bloc, scările blocului, curtea comună) şi drumul public. Astfel, datele cu caracter personal care fac obiectul prelucrării prin intermediul sistemului de supraveghere video reclamat sunt excesive scopului declarat, ceea ce nu poate fi considerată drept o activitate realizată exclusiv „pentru nevoi personale sau familiale”, operaţiuni care prezintă o ingerinţă în viaţa privată a persoanelor supuse monitorizării.

Or, în cazul blocurilor de locuit, un sistem de supraveghere video ar putea fi montat doar de către Asociaţia de Proprietari din Condominiu, spre exemplu, la intrarea/ieşirea în/din blocurile de locuit, în perimetrul clădirii, precum şi în spaţiile adiacente acestora (spaţii de parcare, căi de acces etc.) corespunzător prevederilor art.34 alin.(3) lit.f) din Legea cu privire la condominiu, art.546 alin.(1) şi alin.(2) din Codul Civil.

Totodată, s-a determinat că camera de supraveghere video dispunea de funcţie „înscriere audio”.

Înainte de instalarea unor camere de supraveghere video cu înregistrare audio, operatorul trebuie întotdeauna să examineze critic dacă această măsură este, în primul rând, adecvată pentru îndeplinirea obiectivului dorit şi, în al doilea rând, proporţională şi necesară pentru scopurile sale, în raport cu drepturile şi libertăţile fundamentale ale subiecţilor de date. Or, în timpul prelucrării datelor sunt înregistrate şi stocate nu doar conversaţiile private ale membrilor familiei, ci şi a persoanelor terţe ce nimeresc în raza de acţiune a dispozitivelor de înregistrare video/audio, ceea ce constituie o măsură excesivă şi disproporţionată în raport cu scopul declarat, astfel, încălcându-se dreptul altor persoane la inviolabilitatea vieţii private.

În acest caz s-a determinat că, prelucrarea datelor cu caracter personal, prin intermediul sistemului de supraveghere video reclamat, s-a efectuat cu încălcarea art.4 alin.(1) lit.a) şi c), art.5 alin.(1) ale Legii privind protecţia datelor cu caracter personal, fiind dispusă încetarea prelucrării datelor cu caracter personal prin sistemul de supraveghere video.

 

Speţa nr.10: Prelucrarea datelor cu caracter personal pentru realizarea unui interes legitim.

CNPDCP a examinat cazul privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal ale 96 de angajaţi de către un fost angajat al entităţii.

În cadrul investigaţiei, din materialele acumulate, CNPDCP a dedus că ultimul, având acces la arhiva entităţii în perioada când a activat în cadrul acesteia, a colectat şi dezvăluit informaţii ce conţin date cu caracter personal ale angajaţilor instituţiei precum: numele, prenumele, funcţia şi salariul către Ministerul Educaţiei şi Cercetării prin înaintarea unei sesizări privind anumite abuzuri comise de administraţia instituţiei în perioada când acesta era angajat, iar documentele anexate la sesizare au servit drept material probatoriu pentru a demonstra cele invocate de către ultimul.

În acest context, se va nota că dezvăluirea unor informaţii ce conţin date cu caracter personal, nu pot să contravină principiilor de protecţie a datelor cu caracter personal, atât timp cât acestea sunt necesare în scopul adresării faţă de organele competente, pentru sesizarea anumitor fraude şi prezentarea probelor în acest sens, pentru apărarea drepturilor şi intereselor sale sau a societăţii în întregime. Astfel, în speţa supusă examinării, prelucrarea datelor cu caracter personal a fost pertinentă în ceea ce priveşte scopul pentru care au fost dezvăluite, în circumstanţele în care, situaţia deplânsă către Ministerul Educaţiei şi Cercetării viza şi angajaţii a căror date cu caracter personal erau consemnate în documentele anexate la sesizare, or, potrivit art.5 alin.(5) lit.e) al Legii 133/2011, consimţământul subiectului datelor cu caracter personal nu este cerut în cazul în care prelucrarea este necesară pentru realizarea unui interes legitim al operatorului sau al terţului căruia îi sunt dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal.

 

Capitolul V

RECOMANDĂRI ŞI OPINII ALE CNPDCP

În scopul prevenirii încălcării regulilor de prelucrare a datelor cu caracter personal, precum şi în scopul asigurării informării societăţii cu problemele şi situaţiile cu care se confruntă domeniul de competenţă, CNPDCP emite recomandări şi opinii în domeniul protecţiei datelor cu caracter personal, care pot fi consultate pe pagina web a autorităţii la compartimentul Recomandări generale privind protecţia datelor sau la compartimentul Operator de date/Recomandările CNPDCP.

În perioada de referinţă, CNPDCP a venit cu mai multe precizări şi recomandări atât pentru subiecţii de date, cât şi cu recomandări şi opinii pentru operatorii de date, precum:

 

Liniile directorii privind măsurile de securitate pentru protecţia şi prelucrarea datelor cu caracter

personal în cadrul sistemelor informaţionale

În prezent, obligaţia asigurării securităţii prelucrării datelor cu caracter personal este prevăzută de art.30 din Legea nr.133/2011 privind protecţia datelor cu caracter personal.

Această prevedere are un caracter general, ceea ce poate crea dificultăţi în înţelegerea de către operatori şi persoanele împuternicite de operatori a responsabilităţilor specifice legate de securitatea datelor. Referinţele făcute în liniile directorii vor contribui la o mai bună înţelegere şi aplicare a cerinţelor legale privind asigurarea securităţii datelor cu caracter personal.

Identificarea măsurilor adecvate de protecţie a datelor cu caracter personal mereu reprezintă o provocare pentru operatori şi persoanele împuternicite de aceştia întrucât nu există o regulă universală aplicabilă. Prin urmare, liniile directorii nu pot furniza un model unic aplicabil tuturor tipurilor de prelucrare a datelor cu caracter personal. Totuşi, scopul lor este de a prezenta elementele esenţiale ale procedurilor aferente, pentru a facilita o înţelegere general comună cu privire la „cine, cum şi când trebuie să acţioneze".

Textul integral al liniilor directorii poate fi vizualizat accesând linkul: https://datepersonale.md/wp-content/uploads/2025/01/cerinte-masuri-securitate-acualizat_26_02_24.pdf

 

Lucruri bine de ştiut despre datele cu caracter personal

► Ce sunt datele cu caracter personal?

Prenumele, numele, adresa, numărul de telefon, adresa electronică, datele de localizare, adresa IP, starea civilă, fotografia feţei, obiceiurile şi preferinţele, identificatorii online şi orice alte date ce ţin de identitatea fizică, fiziologică, economică, culturală sau socială care pot fi utilizate pentru identificarea directă sau indirectă a unei persoane fizice.

► Categoria specială de date cu caracter personal

Datele care se referă la originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenenţa la sindicate, datele privind sănătatea, datele genetice, biometrice, datele de identificare a unei persoane fizice sau datele ce ţin de viaţa sau orientarea sexuală. Prelucrarea acestor date se permite numai în cazurile strict prevăzute de lege.

► Când pot să-mi transmit datele cu caracter personal către alte persoane?

În caz dacă vi se solicită date cu caracter personal, acestea pot fi transmise atunci când acest lucru este necesar pentru îndeplinirea unor obligaţii sau când acest fapt este prevăzut de lege. Spre exemplu, oferi adresa de domiciliu unui magazin online pentru livrarea comenzii, prezinţi buletinul de identitate pentru confirmarea vârstei atunci când cumperi alcool într-un magazin, oferi datele cu caracter personal unui spital pentru a primi tratament etc.

► Când pot divulga datele cu caracter personal ale altor persoane?

Poţi prelucra datele cu caracter personal ale altor persoane, dacă acestea sunt necesare pentru realizarea unui scop legal, spre exemplu: oferi această informaţie atunci când ea este solicitată de către organele de ocrotire a legii; poţi transmite date cu caracter personal către instanţa de judecată pentru a-ţi apăra drepturile. Totodată, volumul şi categoriile datelor transmise nu trebuie să depăşească scopul stabilit.

► Când trebuie să respecţi prevederile Legii privind protecţia datelor cu caracter personal?

Trebuie să respecţi legislaţia din domeniul protecţiei datelor cu caracter personal, dacă colectezi, stochezi, transferi, divulgi prin transmitere sau diseminare sau în cazul în care, prin intermediul mijloacelor automatizate, prelucrezi date cu caracter personal care fac parte dintr-un sistem de evidenţă în legătură cu o activitate profesională sau comercială. Legislaţia din domeniu nu se aplică prelucrării datelor cu caracter personal efectuate exclusiv pentru nevoi personale sau familiale (numerele de telefon înregistrate în agenda telefonului, albumul fotografiilor de familie etc).

► Companiile pot utiliza date cu caracter personal numai în anumite scopuri

O companie trebuie să stabilească scopul şi temeiul legal pentru care urmează să colecteze datele cu caracter personal, precum şi modul în care le va utiliza. O companie poate prelucra aceste date numai în scopul pentru care ele au fost colectate. Compania trebuie să informeze subiecţii de date cu privire la scopurile colectării şi utilizării datelor. Compania poate utiliza datele cu caracter personal în alte scopuri numai dacă noul scop este compatibil cu scopul pentru care datele au fost iniţial colectate (un acord conex, interes legitim sau vital).

► Consimţământul nu este unicul temei legal de prelucrare a datelor cu caracter personal

Acordarea consimţământului nu este unicul mod legal prin care poate avea loc o prelucrare a datelor. Legislaţia prevede şi alte posibilităţi care ar putea fi mai oportune decât consimţământul, cum ar fi, un contract la care subiectul de date este parte (de prestare a serviciilor), o activitate de interes public (o obligaţie prevăzută de lege), protejarea intereselor vitale ale persoanelor fizice sau intereselor legitime a unei entităţi sau persoane fizice.

► Copii de pe actele de identitate pot fi efectuate numai în cazurile prevăzute de lege

Compania sau o altă organizaţie poate solicita o copie a actului de identitate numai dacă acest lucru este necesar pentru îndeplinirea unei obligaţii prevăzute de legislaţie. De exemplu, o bancă poate face o copie a actului de identitate pentru deschiderea unui cont bancar. Însă, pentru a semna un contract de prestare a serviciilor, de obicei, e suficient de a fi prezentat actul de identitate pentru a transcrie datele necesare din acesta. Actul de identitate va fi prezentat doar pentru a verifica/confirma identitatea persoanei.

► Supravegherea video de către o persoană fizică poate fi efectuată numai pe teritoriul proprietăţii acesteia

Poţi instala camere de supraveghere video pe teritoriul proprietăţii tale pentru activităţi/nevoi personale sau familiale. În acest caz, atât timp cât spaţiul supus supravegherii video nu depăşeşte proprietatea gestionarului/operatorului, legislaţia privind protecţia datelor cu caracter personal nu se aplică, dacă nu se încalcă drepturile subiectului de date. Totuşi, atunci când camera de supraveghere video cuprinde un spaţiu public (stradă, trotuar sau proprietatea vecinului) se aplică legislaţia privind protecţia datelor cu caracter personal.

► Companiile care trebuie să desemneze un responsabil cu protecţia datelor

Compania trebuie să desemneze un responsabil cu protecţia datelor în cazurile prevăzute de legislaţia privind protecţia datelor cu caracter personal. De exemplu, dacă activităţile de bază ale companiei implică prelucrarea datelor cu caracter personal care necesită o monitorizare regulată a unui număr mare de persoane fizice sau dacă compania prelucrează categorii speciale de date pe scară largă.

Textul recomandărilor poate fi vizualizat accesând linkul: https://datepersonale.md/wp-content/uploads/2024/08/Lucruri-bune-de-%C8%99tiut-despre-datele-cu-caracter-personal.pdf

 

Precizări vizând prelucrarea datelor cu caracter personal în contextul Recensământului

Populaţiei şi Locuinţelor în anul 2024

Reieşind din multitudinea de informaţii diseminate în spaţiul public, în legătură cu prelucrarea datelor cu caracter personal în contextul efectuării Recensământului Populaţiei şi Locuinţelor din Republica Moldova în anul 2024, CNPDCP a venit cu următoarele precizări:

Scopul Legii nr.133/2011 privind protecţia datelor cu caracter personal, este de a asigura protecţia drepturilor şi libertăţilor fundamentale ale persoanei fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, în acest sens stabilind cerinţe-cadru pentru a asigura conformitatea prelucrării datelor cu caracter personal în diverse sectoare, cum ar fi: medical, financiar-bancar, poliţienesc, educaţional, telecomunicaţii etc.

Respectiv, legea în cauză conţine prevederi generale iar, prin acte normative sectoriale, pot fi prevăzute norme specifice în ceea ce priveşte scopul prelucrării datelor cu caracter personal, categoriile de date care fac obiectul prelucrării, persoanele vizate, condiţiile în care are loc prelucrarea, măsurile de asigurare a confidenţialităţii şi securităţii datelor cu caracter personal, entităţile cărora le pot fi divulgate datele cu caracter personal etc.

Raţionamentele expuse supra sunt valabile şi în raport cu actele normative care reglementează organizarea şi efectuarea Recensământului populaţiei şi a locuinţelor din Republica Moldova în anul 2024.

Urmează a menţiona că, prin prisma competenţelor atribuite, CNPDCP a participat activ în procesul de avizare a actelor normative care reglementează prelucrarea datelor cu caracter personal aferentă statisticii oficiale, înaintând comentarii şi propuneri de rigoare pentru îmbunătăţirea conţinutului acestora, în vederea corespunderii cu cerinţele statuate de legislaţia din domeniul protecţiei datelor cu caracter personal.

Având în vedere aspectele abordate în spaţiul public vizând prelucrarea datelor cu caracter personal în procesul desfăşurării Recensământului populaţiei şi a locuinţelor în anul 2024, s-a subliniat că, prelucrarea datelor cu caracter personal este considerată legală, atunci când este efectuată pe baza temeiurilor legale prevăzute la art.5 din Legea privind protecţia datelor cu caracter personal. În acest sens, alin.(5) al articolului prenotat, prevede situaţii când consimţământul subiectului de date nu este cerut la prelucrarea datelor cu caracter personal, spre exemplu, corespunzător speţei, pentru: îndeplinirea unei obligaţii care îi revine operatorului conform legiisau pentru executarea sarcinilor de interes public sau care rezultă din exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terţul căruia îi sunt dezvăluite datele cu caracter personal.

Astfel, în scopul oferirii informaţiilor de interes public despre populaţia rezidentă şi locuinţe pentru elaborarea, monitorizarea şi evaluarea politicilor, pentru argumentarea deciziilor de dezvoltare umană, pentru cercetarea ştiinţifică şi dezvoltarea mediului de afaceri, legiuitorul a adoptat Legea nr.231/2022 privind recensământul populaţiei şi locuinţelor, ulterior fiind aprobat cadrul normativ secundar aferent, acte care implică/generează prelucrarea datelor cu caracter personal în scopul efectuării recensământului.

Respectiv, prelucrarea datelor cu caracter personal în cadrul acestui exerciţiu este efectuată având la bază actele normative care reglementează organizarea şi efectuarea Recensământului populaţiei şi a locuinţelor din Republica Moldova în anul 2024, or, Legea privind protecţia datelor cu caracter personal nu vine cu reglementări/condiţii specifice în acest sens.

Astfel, prezintă relevanţă dispoziţiile art.7 din Legea privind recensământul populaţiei şi locuinţelor, care prevăd obligativitatea participării la recensământ. De exemplu: la alin.(1) al acestui articol este prevăzut că participarea la recensământ a persoanelor care îndeplinesc condiţiile de la art.3 alin.(1) pct.1) lit.a)–c) este obligatorie. În continuare, alin.(5) statuează că în cazul în care unul sau mai mulţi membri ai gospodăriei casnice lipsesc, recenzorul completează chestionarele de recensământ în baza informaţiilor furnizate de ceilalţi membri care au capacitate deplină de exerciţiu, dacă aceştia cunosc răspunsurile la întrebările din chestionare. Informaţia necesară despre copiii minori este furnizată de către reprezentanţii legali. Art.23 din acelaşi act normativ prevede că încălcarea prevederilor legii atrage, după caz, răspunderea disciplinară, civilă, contravenţională şi/sau penală.

În calitatea sa de operator de date, Biroul Naţional de Statistică este abilitat prin lege de a colecta, prelucra şi stoca date cu caracter personal, cu asigurarea confidenţialităţii şi securităţii adecvate a datelor individuale, inclusiv a protecţiei împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, distrugerii sau a deteriorării accidentale, prin măsurile tehnice, organizatorice şi administrative implementate, conform Politicii de protecţie a datelor cu caracter personal şi altor acte normative conexe domeniului sesizat.

În corespundere cu art.14 alin.(4) din Legea privind recensământul populaţiei şi locuinţelor, se interzice BNS de a transmite altor persoane fizice sau juridice datele cu caracter personal colectate în scopul efectuării recensământului.

În contextul subiectului abordat supra, CNPDCP a menţionat că, nu a recepţionat plângeri din partea subiecţilor de date în legătură cu eventuala prelucrare neconformă a datelor lor cu caracter personal efectuată în cadrul Recensământului populaţiei şi a locuinţelor din Republica Moldova în anul 2024, inclusiv în ceea ce vizează pretinse transmiteri către persoane neautorizate a datelor cu caracter personal.

În final, s-a recomandat populaţiei să se informeze din surse oficiale, iar atunci când apar anumite neclarităţi cu privire la regimul juridic al protecţiei datelor cu caracter personal sau al statisticii oficiale, să se adreseze către autorităţile competente.

Textul comunicatului poate fi vizualizat, accesând următorul link: https://datepersonale.md/7829/

 

O nouă schemă frauduloasă! Atenţie la furnizarea datelor cu caracter personal!

În contextul informaţiilor mediatizate privind colectarea datelor cu caracter personal de către pretinse persoane acreditate de către CNPDCP, autoritatea a venit cu următoarele precizări şi recomandări pentru subiecţii de date:

CNPDCP este o autoritate publică autonomă, independentă şi imparţială faţă de alte autorităţi publice, persoane fizice şi juridice, care îşi exercită atribuţiile ce îi sunt date în competenţă prin Legea privind protecţia datelor cu caracter personal. În calitate de organ de control al prelucrărilor de date cu caracter personal, CNPDCP are o serie de atribuţii, cum ar fi: monitorizează respectarea legislaţiei cu privire la protecţia informaţiei şi controlează aplicarea acesteia, în special dreptul la informare, de acces la date, de intervenţie asupra datelor şi de opoziţie; oferă subiecţilor datelor cu caracter personal informaţii referitoare la drepturile lor; dispune suspendarea sau încetarea prelucrării datelor cu caracter personal efectuate cu încălcarea prevederilor legale; efectuează controlul legalităţii prelucrărilor de date cu caracter personal; sesizează organele de drept în cazul existenţei unor indicii privind săvârşirea infracţiunilor legate de încălcarea drepturilor subiecţilor datelor cu caracter personal; constată contravenţii şi încheie procese-verbale conform Codului contravenţional al Republicii Moldova etc.

Angajaţii CNPDCP pot prelucra date cu caracter personal doar în scopul exercitării atribuţiilor de serviciu/competenţelor menţionate supra, solicitând informaţii concrete despre obiectul sesizării aflate în examinare sau controlului iniţiat/desfăşurat. Datele instituţionale oficiale de contact, pot fi verificate pe pagina web a autorităţii.

 

Totodată, CNPDCP a atras atenţia că, nu acreditează/autorizează persoane pentru a prelucra date cu caracter personal şi/sau pentru a acţiona în numele său.Mai mult, persoanele care solicită informaţii prin asemenea căi dubioase sunt escroci şi cel mai probabil, scopul acestora este deposedarea de mijloace financiare, utilizând date cu caracter personal.

În acest context, CNPDCP a recomandat cetăţenilor:

• Să nu acceseze link-uri din mesaje sau anunţuri publicitare suspecte;

• Să evite înregistrarea şi completarea sondajelor online dubioase;

• Să nu furnizeze informaţii ce conţin date cu caracter personal pe site-uri neverificate;

• Să nu răspundă la mesajele suspicioase şi să le marcheze ca SPAM;

• Să descarce aplicaţii necesare numai din surse oficiale;

• Să nu introducă date cu caracter personal, la cerere, chiar dacă li se propun câştiguri fabuloase;

• Să nu ofere persoanelor necunoscute acces de la distanţă la dispozitive prin aplicaţii specializate (de exemplu, AnyDesk şi TeamViewer);

• Să nu comunice nimănui datele cardului bancar;

• Să nu transfere bani persoanelor necunoscute şi să nu transmită nimănui mijloace băneşti prin intermediul persoanelor terţe necunoscute, indiferent de scop.

Textul recomandărilor poate fi vizualizat, accesând următorul link: https://datepersonale.md/o-noua-schema-frauduloasa-atentie-la-furnizarea-datelor-cu-caracter-personal/

 

În atenţia subiecţilor de date! CNPDCP recomandă vigilenţă maximă la

transmiterea/oferirea datelor cu caracter personal

Reieşind din multitudinea de cazuri mediatizate, precum şi din specificul abordat în tot mai multe plângeri şi sesizări aflate în examinare, CNPDCP a îndemnat subiecţii de date să demonstreze precauţie maximă la dezvăluirea, transmiterea, diseminarea datelor cu caracter personal ce îi vizează. Or, actele de identitate (cum ar fi buletinele de identitate, paşapoartele), certificatele de stare civilă, carnetele de pensionar, cardurile bancare etc., consemnează o multitudine de date cu caracter personal, care necesită o protecţie eficace din partea deţinătorului/titularului acestora.

Oferirea/transmiterea de copii de pe aceste documente, precum şi scrierea datelor cu caracter personal în diferite liste/acte de către subiectul de date, în alte scopuri decât cele expres prevăzute de lege, poate genera utilizarea ilegală a acestora, în scopuri contrare celor prevăzute iniţial, în detrimentul subiectului de date. La fel, subiectul de date cu caracter personal ar putea pierde controlul asupra datelor sale cu caracter personal.

În cazul în care se solicită prezentarea actelor de identitate şi/sau oferirea copiilor de pe aceste acte, precum şi prezentarea datelor personale precum: numele, prenumele, IDNP-ul, adresa de domiciliu, datele cardului bancar, venitul, cuantumul pensiei, etc. sub pretexte diferite de persoane terţe, persoanele urmează să se încredinţeze de legalitatea colectării datelor personale şi a utilizării ulterioare a acestor date.

Potrivit prevederilor Legii 133/2011 privind protecţia datelor cu caracter personal, datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior.

În condiţiile oferirii/transmiterii benevole a datelor cu caracter personal, consemnate pe diferite acte sau prin înscrierea acestora în careva liste/documente, la baza colectării acestor date personale se determină existenţa consimţământului subiectului datelor cu caracter personal (art.5 alin.(1) al Legii 133/2011). Totodată, ulterior se poate adeveri că aceste date ar fi fost utilizate în alte scopuri/ în detrimentul subiectului de date vizat, ordine în care fiecărui cetăţean îi revine responsabilitatea în vederea asigurării protecţiei datelor sale cu caracter personal, or, securitatea şi confidenţialitatea acestor date trebuie să constituie o prioritate.

Textul recomandărilor poate fi vizualizat, accesând următorul link: https://datepersonale.md/in-atentia-subiectilor-de-date-cnpdcp-recomanda-vigilenta-maxima-la-transmiterea-oferirea-datelor-cu-caracter-personal/

 

Atenţie! Fraude cu utilizarea datelor cu caracter personal. CNPDCP recomandă repetat vigilenţă maximă

la transmiterea datelor cu caracter personal

În contextul aspectelor deplânse privind colectarea datelor cu caracter personal consemnate în buletinele de identitate, de către exponenţii unei formaţiuni politice, în scopul înregistrării pe platforma „PSB” pentru a beneficia de resurse financiare de la instituţii bancare din Federaţia Rusă, acest fapt rezumându-se, în esenţă, la identificarea existenţei unor credite pe numele subiecţilor de date ce urmează a fi restituite de către ultimii, CNPDCP, a îndemnat subiecţii de date să demonstreze precauţie maximă la dezvăluirea/transmiterea datelor cu caracter personal ce îi vizează, or, actele de identitate (cum ar fi buletinele de identitate, paşapoartele), consemnează o multitudine de date cu caracter personal, care necesită o protecţie eficace din partea deţinătorului/titularului acestora.

Astfel, în cazul în care se solicită prezentarea actelor de identitate şi/sau oferirea copiilor de pe aceste acte, sub pretexte diferite, persoanele urmează să se încredinţeze de legalitatea colectării datelor personale şi a utilizării ulterioare a acestor date. Or, oferirea/transmiterea datelor personale de pe aceste documente de către subiectul de date, în alte scopuri decât cele expres prevăzute de lege, poate genera utilizarea ilegală a acestora, în scopuri contrare celor prevăzute iniţial, în detrimentul subiectului de date. La fel, subiectul de date cu caracter personal ar putea pierde controlul asupra datelor sale cu caracter personal.

La caz, speţele deplânse CNPDCP demonstrează cert faptul că, transmiterea de către subiecţii de date a copiilor de pe buletinele de identitate pentru o pretinsă beneficiere de careva sume băneşti, a dus la deschiderea, din numele ultimilor, de credite la instituţii bancare de pe teritoriul Federaţiei Ruse, care, în prezent, pretind restituirea datoriilor creditare acumulate (spre exemplu, de către „Promsvyazbank” (PSB Bank) din Federaţia Rusă).

Textul recomandărilor poate fi vizualizat, accesând următorul link: https://datepersonale.md/atentie-fraude-cu-utilizarea-datelor-cu-caracter-personal-cnpdcp-recomanda-repetat-vigilenta-maxima-la-transmiterea-datelor-cu-caracter-personal/

 

În atenţia operatorilor de date cu caracter personal!

În conformitate cu prevederile pct.2.1 al Hotărârii Guvernului nr.678/2024 cu privire la modificarea şi abrogarea unor hotărâri ale Guvernului (facilitarea activităţii mediului de afaceri VI), care a întrat în vigoare la 15 noiembrie 2024, a fost abrogată Hotărârea Guvernului nr.1123/2010 privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal (Cerinţe), fiind exclusă şi obligaţia operatorilor de date cu caracter personal de a prezenta anual, până la 31 ianuarie, în adresa CNPDCP rapoarte generalizate despre incidentele de securitate a sistemelor informaţionale de date cu caracter personal gestionate.

Totodată, abrogarea Cerinţelor menţionate nu a exclus obligaţia operatorilor, cît şi a persoanelor împuternicite de către aceştia (dacă este cazul), prevăzută la art.29 şi art.30 ale Legii nr.133/2011, de a implementa măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii, răspândirii, precum şi împotriva altor acţiuni ilicite, măsuri menite să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor prelucrate, inclusiv de asigurare a confidenţialităţii acestora.

În acest context, pe pagina oficială a autorităţii, la capitolul Recomandările CNPDCP (https://datepersonale.md/data-controllers/ncpdp-guidelines/) pot fi consultate Liniile directorii privind măsurile de securitate pentru protecţia şi prelucrarea datelor cu caracter personal în cadrul sistemelor informaţionale, care sunt publicate.

Textul comunicatului poate fi vizualizat, accesând următorul link: https://datepersonale.md/in-atentia-operatorilor-de-date-cu-caracter-personal-4/

 

Capitolul VI

ACTIVITATEA DE PREVENIRE ŞI SUPRAVEGHERE A PRELUCRĂRILOR DE DATE

CU CARACTER PERSONAL

În vederea realizării misiunii sale, CNPDCP îi revine sarcina de a monitoriza şi asigura aplicarea legii; de a sensibiliza publicul în vederea înţelegerii riscurilor aferente prelucrării, a normelor, a garanţiilor şi a drepturilor în materie de prelucrare, de a sensibiliza operatorii şi persoanele împuternicite de operatori cu privire la obligaţiile ce le revin în temeiul legii.

Astfel, în scopul realizării sarcinilor de consiliere, pe lângă multiplele răspunsuri oferite, cu titlu consultativ, pe parcursul anului de raportare au fost acordate 1893 de consultaţii telefonice, fie prin intermediul poştei electronice sau la sediul autorităţii.

Cel mai des în timpul consultărilor au fost abordate tematici ce au vizat: supravegherea video efectuată de către persoanele fizice atunci când prelucrarea datelor cu caracter personal se efectuează exclusiv pentru nevoi personale sau familiale; condiţiile/metodele de informare a persoanelor vizate la realizarea supravegherii video; acţiunile ce urmează a fi întreprinse pentru ajustarea unghiurilor de captare a camerelor video, atunci când acestea monitorizează spaţii în afara proprietăţii private, cum ar fi drumurile publice sau gospodăriile vecinilor fără a avea consimţământul lor; publicarea datelor cu caracter personal pe site-urile web şi în media de socializare online; mecanismele de realizare a drepturilor persoanelor vizate, precum şi aspecte ce ţin de prelucrarea datelor cu caracter personal efectuate de autorităţile/instituţiile din sectorul public.

Oferirea de consultaţii şi educarea cetăţenilor, inclusiv a reprezentanţilor persoanelor juridice (ca parte a consultărilor şi controalelor) în chestiuni de prelucrare a datelor cu caracter personal, precum şi recomandarea întreprinderii unor măsuri/acţiuni în vederea asigurării conformităţii prelucrării datelor cu caracter personal, contribuie substanţial la prevenirea posibilelor încălcări.

 

Prelucrarea datelor cu caracter personal stocate în principalele resurse informaţionale automatizate de stat

Accesarea principalelor registre/sisteme informaţionale de stat reprezintă în sine un proces de prelucrare a datelor cu caracter personal la scară largă, fiind în permanenţă în vizorul CNPDCP pe parcursul ultimilor ani.

Ca şi în anii precedenţi, CNPDCP a analizat în dinamică statistica accesărilor efectuate în anul 2024, de către utilizatorii din cadrul: Ministerului Afacerilor Interne, Centrului Naţional Anticorupţie, Procuraturii Generale, Autorităţii Naţionale de Integritate, Ministerului Apărării, Serviciului Vamal, Serviciului Fiscal de Stat, entităţi care s-au evidenţiat cu cel mai mare număr de accesări a datelor cu caracter personal efectuate în domeniul de competenţă.

Informaţia din tabelul de mai jos, este bazată pe datele oferite de Agenţia Servicii Publice şi Agenţia de Guvernare Electronică, entităţi care oferă acces la informaţii conţinute în principalele registre/sisteme informaţionale de stat pentru diferite instituţii publice şi organizaţii private.

 

 

După cum se observă, ponderea accesărilor efectuate de către entităţile vizate prin intermediul tehnologiilor de accesare oferite de Agenţia Servicii Publice (COI – 38.701.102 accesări) este de 3,5 ori mai mare decât cele oferite de Agenţia de Guvernare Electronică (10.972.049).

În contextul informaţiilor prezentate supra se va nota, că în conformitate cu Hotărârea Guvernului nr.959/2023 cu privire la organizarea şi funcţionarea Agenţiei Geodezie, Cartografie şi Cadastru (restructurarea domeniului geodezie, cartografie şi cadastru şi modificarea unor acte normative), din 20 decembrie 2023, Instituţia Publică Cadastrul Bunurilor Imobile (IPCBI) a preluat de la Agenţia Servicii Publice următoarele domenii de activitate: crearea şi ţinerea cadastrului bunurilor imobile, altor sisteme informaţionale şi registre de domeniu, executarea lucrărilor cadastrale şi celor de evaluare a bunurilor imobile, administrarea băncii centrale de date a cadastrului bunurilor imobile, efectuarea înregistrărilor de stat ale bunurilor imobile şi ale drepturilor asupra acestora, prestarea serviciilor publice din domeniul cadastrului şi va fi succesor de drepturi şi obligaţii aferente domeniilor de activitate preluate, ordine în care mai jos prezentăm numărul de accesări efectuate în Registrul Bunurilor Imobile în anul 2024, informaţie oferită de IPCBI.

 

 

Analizând lista entităţilor publice conectate la registrele/sistemele informaţionale de stat prin intermediul COI, prezentată de către Agenţia Servicii Publice, a fost reţinut că la momentul actual figurează 16 beneficiari cu drept de acces la date cu caracter personal prin tehnologia respectivă.

În context menţionăm, că în anul 2024, CNPDCP s-a adresat Agenţiei de Guvernare Electronică, Agenţiei Servicii Publice, precum şi a informat Guvernul Republicii Moldova şi Comisia securitate naţională, apărare şi ordine publică a Parlamentului Republicii Moldova, în legătură cu faptul că asigurarea în continuare a interconexiunii prin intermediul COI a entităţilor vizate contravine prevederilor Legii nr.142/2018 cu privire la schimbul de date şi interoperabilitate.

Spre regret, putem constata că 16 din 18 entităţi publice care rămâneau conectate prin intermediul COI la începutul anului 2024, până în prezent au acces nelimitat la principalele resurse informaţionale de stat gestionate de Agenţia Servicii Publice prin intermediul COI.

Mai mult, din informaţiile prezentate de Agenţia Servicii Publice şi Agenţia de Guvernare Electronică, reflectate în tabelul de mai sus, a fost reţinut volumul enorm al accesărilor efectuate prin intermediul COI, spre exemplu: 24.699.955 de accesări au fost efectuate de Ministerul Afacerilor Interne prin tehnologia respectivă şi doar 2.863.276 prin intermediul platformei de interoperabilitate, ceea ce constituie de 8,6 ori mai puţin.

Reamintim, că potrivit art.6 alin.(3) al Legii nr.142/2018 cu privire la schimbul de date şi interoperabilitate, participanţii publici sunt obligaţi să efectueze schimbul de date prin intermediul platformei de interoperabilitate şi să asigure condiţiile tehnice necesare realizării schimbului de date, cu excepţia cazurilor prevăzute la art.2 alin.(4), şi anume, în cazul schimbului de date atribuite la secretul de stat, secretul bancar sau de alte date cu regim juridic special, unde se va aplica legislaţia specială în vigoare.

În context, pe parcursul ultimilor ani, CNPDCP în repetate rânduri a comunicat despre faptul că problematica utilizării COI rămâne a fi una nesoluţionată pe deplin până în prezent, în condiţiile în care autorităţile statului accesează date cu caracter personal printr-o tehnologie care, în fapt, nu corespunde cerinţelor de asigurare a securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale automatizate şi nu asigură identificarea nominală a utilizatorilor care au efectuat operaţiuni de accesare a datelor, având obligaţia de a justifica scopul şi temeiul legal al acestor operaţiuni. Or, în contextul intensificării procesului de digitalizare a serviciilor publice, este şi mai stringentă asigurarea şi implementarea adecvată a regulilor/normelor aferente domeniului protecţiei datelor cu caracter personal.

Reamintim că operatorii de date cu caracter personal au obligaţia să respecte principiile statuate de prevederile art.4 din Legea privind protecţia datelor cu caracter personal, potrivit cărora datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior; exacte şi, dacă este necesar actualizate, stocate într-o formă care să permită identificarea subiecţilor datelor cu caracter personal pe o perioadă care nu va depăşi durata necesară atingerii scopurilor pentru care sunt colectate şi ulterior prelucrate.

În context, subliniem că atât operatorul, cât şi persoana împuternicită de către acesta (dacă este cazul), conform prevederilor art.29 şi art.30 din Legea privind protecţia datelor cu caracter personal, au obligaţia să asigure confidenţialitatea şi securitatea datelor cu caracter personal prelucrate.

În altă ordine de idei, urmează a reliefa prevederile art.13 alin.(3) şi (5) din Legea nr.142/2018 cu privire la schimbul de date şi interoperabilitate, potrivit cărora, contractele sau acordurile bilaterale de schimb de date existente, încheiate între participanţi publici, vor fi reziliate de drept, odată cu realizarea schimbului de date corespunzător prin platforma de interoperabilitate, cu excepţia situaţiei în care sunt aplicabile prevederile legale speciale din domeniul activităţii de supraveghere a entităţilor din sectorul financiar, al apărării naţionale, al securităţii statului, al menţinerii ordinii publice, al contracarării infracţionalităţii, al prevenirii şi combaterii corupţiei, a actelor conexe corupţiei şi a faptelor de comportament corupţional, precum şi al protecţiei drepturilor şi libertăţilor persoanelor. În termen de 36 de luni de la data publicării legii, participanţii publici care, la data adoptării legii, utilizează, fiecare pentru scopul său legal, sisteme informaţionale ce nu corespund cerinţelor legii, se vor conforma cerinţelor tehnice aplicabile în cadrul platformei de interoperabilitate.

Astfel, putem constata depăşirea crasă (cu mai mult de 3 ani) a executării acestor prevederi de către entităţile vizate.

Totodată urmează a menţiona că, în continuare, sunt identificate situaţii privind admiterea de către diferite entităţi beneficiare de servicii de acces la resursele informaţionale de stat, cum ar fi Registrul Bunurilor Imobile, a încălcărilor precum:

• utilizarea credenţialelor de acces (username şi parola) a unui singur cont de acces de utilizator autorizat de către mai mulţi angajaţi ai entităţii beneficiare;

• oferirea username şi parolei persoanelor terţe;

• neactualizarea listei utilizatorilor după schimbarea locului de muncă sau funcţiei în entitate;

• neincluderea în listele de utilizatori a datelor personale ale utilizatorului (IDNP, numărul sau adresa de contact);

• neinformarea Agenţiei Servicii Publice/Instituţiei Publice Cadastrul Bunurilor Imobile despre schimbarea administratorului din partea beneficiarului;

• neactualizarea la timp a parolelor de utilizator etc.

Reieşind din cele menţionate supra, CNPDCP a solicitat de la entităţile de resort, în repetate rânduri, întreprinderea acţiunilor de rigoare în vederea asigurării conformităţii tuturor operaţiunilor de prelucrare/accesare a datelor cu caracter personal stocate în resursele informaţionale de stat, prin admiterea la accesarea şi utilizarea acestor informaţii exclusiv prin metode corespunzătoare cerinţelor de securitate şi confidenţialitate, cu informarea asupra acţiunilor efectuate în acest sens.

Cu titlu de informare, mai jos, se prezintă informaţii privind numărul petiţionarilor care au realizat dreptul de acces la date, solicitând informaţii privind accesarea datelor cu caracter personal ce îi vizează din registrele/sistemele informaţionale gestionate de către Agenţia de Guvernare Electronică, Agenţia Servicii Publice şi Instituţia Publică Cadastrul Bunurilor Imobile.

 

 

În context, urmează a menţiona că la dispoziţia cetăţenilor este pus Portalul Guvernamental al cetăţeanului (MCabinet) oferit de către Agenţia de Guvernare Electronică, prin intermediul căruia subiecţii de date pot vizualiza istoricul accesării datelor lor cu caracter personal de către autorităţile şi instituţiile publice şi alte persoane fizice şi juridice de drept privat inclusiv. Portalul prezintă informaţii cu privire la entităţile juridice care au accesat datele personale ale cetăţeanului, precum şi data accesării şi temeiul legal. Informaţiile sunt preluate din serviciul guvernamental de jurnalizare MLog, în care toate entităţile guvernamentale sunt obligate să înscrie informaţii despre accesarea de date, inclusiv în procesul de schimb de date prin intermediul platformei MConnect.

 

Capitolul VII

AVIZAREA ŞI ELABORAREA PROIECTELOR DE ACTE NORMATIVE

Ce reprezintă avizul CNPDCP? Proiectele actelor normative care ţin de domeniile de competenţă ale CNPDCP, se transmit acestuia spre avizare. CNPDCP poate fi contactat de diverşi actori publici cu privire la proiecte de acte normative, precum legi sau hotărâri de Guvern înainte de adoptarea acestora. Opiniile date ajută la informarea autorităţilor publice cu privire la problemele privind protecţia datelor cu caracter personal şi au ca scop asigurarea drepturilor şi libertăţilor fundamentale ale persoanei fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, în special a dreptului la inviolabilitatea vieţii intime, familiale şi private, dar nu constituie o „validare”, o „autorizare” sau chiar un „refuz”.

Înaintarea propunerilor privind perfecţionarea legislaţiei în vigoare în domeniul protecţiei şi prelucrării datelor cu caracter personal este una din atribuţiile CNPDCP prevăzute de Legea privind protecţia datelor cu caracter personal.

Pe parcursul anului 2024, în adresa CNPDCP au parvenit spre avizare 170 de proiecte de acte normative naţionale/tratate internaţionale care au fost examinate sub aspectul protecţiei drepturilor şi libertăţilor persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal, dintre care:

- 42 proiecte de acorduri/tratate internaţionale;

- 48 proiecte de modificare a legilor, codurilor;

- 80 proiecte de acte normative ale Guvernului şi altor autorităţi.

 

 

În cazul majorităţii proiectelor prezentate spre avizare, CNPDCP a apreciat că este necesară completarea, modificarea sau revizuirea textelor respective, oferind o serie de recomandări şi propuneri în vederea ajustării proiectelor cu dispoziţii specifice aferente operaţiunilor de prelucrare a datelor cu caracter personal, cum ar fi: condiţiile care reglementează legalitatea prelucrării de către operator a datelor cu caracter personal; tipurile de date care fac obiectul prelucrării; persoanele vizate; entităţile cărora le pot fi divulgate datele şi scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitările legate de scop; perioadele de stocare; operaţiunile şi procedurile de prelucrare, măsurile de asigurare a securităţii şi confidenţialităţii datelor etc.

 

Dinamica proiectelor parvenite spre avizare în perioada 2009-2024

 

 

Cu titlu de exemplu, mai jos sunt reflectate cele mai relevante proiecte de acte normative avizate pe parcursul anului 2024, după cum urmează:

- proiectul de lege pentru modificarea Legii nr.1104-XV din 06 iunie 2002 cu privire la Centrul Naţional Anticorupţie;

- proiectul de lege pentru modificarea unor acte normative (evidenţa infracţiunilor, a cauzelor penale şi a persoanelor care au săvârşit infracţiuni şi evidenţa contravenţiilor, a cauzelor contravenţionale şi a persoanelor care au săvârşit contravenţii);

- proiectul de hotărâre de Guvern cu privire la aprobarea Conceptului şi Regulamentului Sistemului informaţional „Constatarea medicală a naşterii şi decesului”;

- proiectul de hotărâre de Guvern cu privire la aprobarea Strategiei naţionale de dezvoltare economică 2030;

- proiectul de hotărâre de Guvern cu privire la aprobarea Conceptului Sistemului informaţional „Registrul de stat al controalelor”;

- proiectul de hotărâre de Guvern privind aprobarea Conceptului şi Regulamentului Sistemului informaţional de monitorizare şi evaluare a infecţiei HIV;

- proiectul de hotărâre de Guvern pentru modificarea unor hotărâri ale Guvernului (organizarea şi funcţionarea Sistemului automatizat de supraveghere a circulaţiei rutiere „Controlul traficului”);

- proiectul de hotărâre de Guvern cu privire la aprobarea proiectului de lege privind contractele de furnizare de conţinut digital şi de servicii digitale;

- proiectul de hotărâre de Guvern cu privire la aprobarea Conceptului Sistemului informaţional „Registrul fiduciilor” şi a Regulamentului Registrului fiduciilor;

- proiectul de hotărâre de Guvern cu privire la identificarea furnizorilor de servicii (în contextul prevederilor Legii nr.48/2023 privind securitatea cibernetică);

- proiectul de hotărâre de Guvern pentru punerea în aplicare a prevederilor Legii nr.28/2024 cu privire la frontiera de stat a Republicii Moldova;

- proiectul Convenţiei între Guvernul Republicii Moldova şi Guvernul Belgiei privind cooperarea poliţienească.

Pe parcursul anului 2024, activitatea CNPDCP pe segmentul creaţiei legislative a fost focusată pe definitivarea şi promovarea proiectului noii legi privind protecţia datelor cu caracter personal.

Astfel, la data de 25 iulie 2024, Parlamentul Republicii Moldova a adoptat Legea nr.195/2024 privind protecţia datelor cu caracter personal, publicată în Monitorul Oficial al Republicii Moldova din 23 august 2024, nr.367-369, art.574.

Scopul legii este asigurarea protecţiei drepturilor şi libertăţilor fundamentale ale persoanei fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, în special a dreptului la inviolabilitatea vieţii intime, familiale şi private.

Reamintim că, pentru atingerea obiectivului naţional trasat vizând asigurarea unui nivel adecvat de protecţie a datelor cu caracter personal, în conformitate cu normele Uniunii Europene şi ale Consiliului Europei, precum şi pentru garantarea protecţiei drepturilor şi libertăţilor fundamentale ale cetăţenilor, în special a dreptului la viaţa privată în ceea ce priveşte prelucrarea datelor cu caracter personal, pe platforma Ministerului Justiţiei a fost creat Grupul de lucru în componenţa căruia au fost incluşi reprezentanţi din partea CNPDCP, Ministerului Justiţiei, Parlamentului RM, Cancelariei de Stat, Consiliului Economic pe lângă Prim-ministrul RM, Ministerului Economiei, Ministerului Afacerilor Interne, Procuraturii Generale, Centrului Naţional Anticorupţie, Camerei de Comerţ Americane din Moldova, Asociaţiei Businessului European, Asociaţiei Investitorilor Străini, Asociaţiei Naţionale a Companiilor din Domeniul TIC.

De menţionat, că proiectul de lege a fost supus expertizării din partea Comisiei Europene, Direcţia Generală pentru Justiţie şi Consumatori. Astfel, în cadrul exerciţiului de screening bilateral aferent Capitolului 23 „Justiţie şi drepturi fundamentale”, care a avut loc în perioada 15-17 octombrie 2024 la Bruxelles, experţii din cadrul Comisiei Europene au apreciat foarte înalt eforturile depuse şi rezultatul obţinut la elaborarea şi adoptarea noului cadru legal în domeniul protecţiei datelor cu caracter personal, fiind menţionat cert că statul urmează să asigure capacităţi şi mecanisme adecvate pentru Autoritatea naţională de protecţie a datelor cu caracter personal pentru a fi în stare să implementeze noile reguli ce survin odată cu intrarea în vigoare a cadrului legal adoptat, care este unul foarte complex.

Legea nr.195/2024 privind protecţia datelor cu caracter personal transpune fidel prevederile Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE.

Reglementările stipulate în noua lege vor acorda persoanelor fizice un control sporit asupra propriilor date cu caracter personal, fiind detaliate o serie de aspecte, cum ar fi:

- Principiile diriguitoare privind prelucrarea datelor cu caracter personal;

- Drepturile persoanelor în raport cu prelucrarea datelor cu caracter personal ce îi vizează şi modul de exercitare al acestora;

- Responsabilităţile operatorilor şi ale persoanelor împuternicite de operator în procesul de prelucrare a datelor cu caracter personal;

- Modalitatea realizării transferurilor de date către alte state sau către organizaţii internaţionale;

- Reglementarea modului de organizare şi funcţionare a autorităţii de supraveghere – CNPDCP;

- Procedura depunerii şi examinării plângerilor subiecţilor de date în cazul presupuselor prelucrări neconforme, precum şi modul de efectuare a investigaţiilor de către CNPDCP;

- Sancţiunile pecuniare aplicate de CNPDCP operatorilor şi persoanelor împuternicite de operatori pentru încălcarea prevederilor legale etc.

Noul act normativ, Legea nr.195/2024 privind protecţia datelor cu caracter personal, intră în vigoare peste 2 ani de la data publicării în Monitorul Oficial al Republicii Moldova. Până atunci, se aplică prevederile Legii nr.133/2011 privind protecţia datelor cu caracter personal.

Pe lângă participarea şi implicarea activă în alinierea cadrului naţional la acquis-ul Uniunii Europene în domeniul protecţiei datelor cu caracter personal, se va accentua că reprezentanţii CNPDCP participă în mod direct la realizarea sarcinilor prioritare în contextul implementării cerinţelor de aderare la Uniunea Europeană, contribuind la procedura de screening bilateral şi la realizarea acţiunilor din Planul naţional de acţiuni pentru aderarea Republicii Moldova la Uniunea Europeană pentru anii 2024-2027, inclusiv pe alte domenii care implică prelucrarea datelor cu caracter personal şi transmiterea transfrontalieră a acestora, în cadrul: Grupului de Lucru nr.2 „Libera circulaţie a lucrătorilor”, Grupului de Lucru nr.10 „Societatea informaţională şi mass-media”, Grupului de Lucru nr.14 „Transport”, Grupului de Lucru nr.19 „Politica socială şi a muncii”, Grupului de Lucru nr.23 „Sistem judiciar şi drepturile fundamentale”, Grupului de Lucru nr.24 „Justiţie, libertate, securitate”, Grupului de Lucru nr.28 „Protecţia consumatorilor şi sănătate publică”.

La 10 iulie 2024 prin Ordinul nr.25 al Directorului CNPDCP a fost aprobat Regulamentul privind controlul legalităţii prelucrării datelor cu caracter personal, publicat în Monitorul Oficial nr.318-320/594 din 25.07.2024.

Elaborarea documentului a fost condiţionată de adoptarea Legii nr.95/2024 pentru modificarea unor acte normative (în domeniul controlului de stat asupra activităţii de întreprinzător) prin care au fost aduse modificări şi completări la art.20, 21, 26, 27 din Legea nr.133/2011 privind protecţia datelor cu caracter personal, fiind ajustat cadrul legal privind controlul legalităţii prelucrării datelor cu caracter personal. Astfel, în conformitate cu prevederile art.26 alin.(2) al legii precizate, controlul se efectuează în conformitate cu un regulament elaborat şi aprobat de CNPDCP. La efectuarea controlului legalităţii prelucrării datelor cu caracter personal de către persoanele care practică o activitate de întreprinzător, CNPDCP aplică prevederile Legii nr.133/2011 şi ale Legii nr.131/2012 privind controlul de stat în măsura în care aceasta nu contravine Legii nr.133/2011.

În corespundere cu art.19 din Legea nr.133/2011, CNPDCP efectuează controlul asupra conformităţii prelucrării datelor cu caracter personal în corespundere cu cerinţele Legii privind protecţia datelor cu caracter personal, în condiţii de imparţialitate şi independenţă. Controlul legalităţii prelucrării datelor este reglementat la Capitolul V din lege, în special, art.26 şi 27, care statuează procedura primirii şi soluţionării plângerilor de către CNPDCP.

În lumina noilor reglementări operate, CNPDCP a elaborat şi aprobat Regulamentul privind controlul legalităţii prelucrării datelor cu caracter personal.

Actul normativ reglementează în totalitate procedura şi condiţiile de desfăşurare a controlului, drepturile şi obligaţiile controlorului şi persoanei supuse controlului, inclusiv în cazul cercetării la faţa locului. După obţinerea tuturor informaţiilor şi analiza acestora, CNPDCP emite o decizie motivată prin care constată lipsa încălcării sau încălcarea legislaţiei în domeniul protecţiei datelor cu caracter personal, cu dispunerea, după caz, a suspendării, încetării operaţiunilor de prelucrare a datelor cu caracter personal, rectificării, blocării sau distrugerii datelor neveridice ori obţinute ilicit. În cazul lipsei sau insuficienţei probelor ce ar demonstra încălcarea, CNPDCP constată, prin decizie motivată, lipsa încălcării. Decizia privind constatarea încălcării legislaţiei în domeniul protecţiei datelor cu caracter personal şi probele acumulate servesc drept temei pentru întocmirea procesului-verbal cu privire la contravenţie, în condiţiile Codului contravenţional al Republicii Moldova. Dacă este cazul, instrucţiunile din decizie se includ în planul de remediere a contravenţiei. Prin urmare, la efectuarea controlului legalităţii prelucrării datelor cu caracter personal de către orice persoană fizică sau juridică de drept public sau privat, CNPDCP va aplica prevederile Legii nr.133/2011 şi ale Regulamentului privind controlul legalităţii prelucrării datelor cu caracter personal.

Prevederile Regulamentului privind controlul legalităţii prelucrării datelor cu caracter personal, au scopul de a asigura efectuarea unui control coerent al prelucrării datelor cu caracter personal în baza plângerilor parvenite din partea subiecţilor de date.

Modificarea Contractului standard pentru transmiterea transfrontalieră a datelor cu caracter personal către statele care nu asigură un nivel adecvat de protecţie a datelor cu caracter personal, aprobat prin Ordinul Directorului CNPDCP nr.33/2022, a fost necesară urmare a intervenirii modificărilor statuate în Legea nr.60/2023 pentru modificarea unor acte normative (stimularea comerţului electronic) prin care au fost aduse completări la art.30 al Legii nr.133/2011 privind protecţia datelor cu caracter personal. Noile modificări au fost aprobate prin Ordinul directorului CNPDCP nr.33/2024.

Astfel, prin modificările aduse la articolul menţionat s-au introdus reglementări privind condiţiile de recrutare/sub-contractare de către persoanele împuternicite de operatorii de date a unei alte persoane împuternicite pentru efectuarea de operaţiuni de prelucrare a datelor cu caracter personal specifice în numele operatorului.

De menţionat, că transmiterea datelor cu caracter personal către state care nu asigură un nivel adecvat de protecţie poate avea loc doar în condiţiile statuate la art.32 alin.(5) al Legii nr.133/2011 privind protecţia datelor cu caracter personal.

În acest context, în temeiul art.32 alin.(5) lit.i) din Legea nr.133/2011, prin Ordinul nr.33 din 22 aprilie 2022, a fost aprobat Contractul standard pentru transmiterea transfrontalieră a datelor cu caracter personal către statele care nu asigură un nivel adecvat de protecţie a datelor cu caracter personal.

Rolul Contractului standard este de a stabili măsuri tehnice şi organizatorice adecvate, inclusiv drepturi opozabile ale subiecţilor de date cu caracter personal şi căi eficiente de atac în ceea ce priveşte transmiterile transfrontaliere de date de la operatori la operatori, de la operatori către persoane împuternicite de operatori şi/sau de la persoane împuternicite de operatori către operatori.

Având în vedere că legislaţia naţională în domeniul protecţiei datelor cu caracter personal nu conţinea norme care să permită operatorilor sau persoanelor împuternicite de operatori sub-contractarea persoanelor terţe care să fie implicate în operaţiunile de prelucrare a datelor cu caracter personal, Contractul standard, aprobat prin Ordinul nr.33/2022, nu prevedea norme privind transferul datelor cu caracter personal de la o persoană împuternicită de operator către o altă persoană împuternicită.

În lumina modificărilor la Legea nr.133/2011, Clauzele standard au fost aliniate la noile prevederi legale.

 

PROPUNERI ÎNAINTATE ÎN VEDEREA MODIFICĂRII UNOR ACTE NORMATIVE

Cu privire la iniţierea evaluării ex-post de impact a Legii cu privire la schimbul de date şi interoperabilitate urmare a adoptării Deciziei CSN-o3 nr.139 din 24 aprilie 2024, la demersul Comisiei securitate naţională, apărare şi ordine publică a Parlamentului RM prin care a solicitat autorităţilor vizate informarea vizavi de implementarea actului menţionat supra, inclusiv în contextul oferirii accesului prea larg la resursele informaţionale de stat persoanelor interesate, cum ar fi: persoane fizice, asociaţii non-profit, diverselor persoane juridice de drept privat etc., CNPDCP a comunicat următoarele:

[...] Potrivit art.2 alin.(1) şi (2) din Legea nr.142/2018 cu privire la schimbul de date şi interoperabiltate:

(1) Legea se aplică participanţilor publici la schimbul de date, respectiv autorităţilor şi instituţiilor publice, inclusiv autorităţilor administrative autonome, autorităţilor administrative centrale subordonate Guvernului şi structurilor organizaţionale din sfera lor de competenţă (autorităţilor administrative din subordine, inclusiv serviciilor publice desconcentrate şi celor aflate în subordine, precum şi instituţiilor publice în care ministerul, Cancelaria de Stat sau altă autoritate administrativă centrală are calitatea de fondator), precum şi persoanelor juridice de drept privat care, în numele autorităţilor şi instituţiilor publice, gestionează sau deţin sisteme informaţionale de stat.

(2) Legea se aplică de asemenea persoanelor juridice de drept privat, inclusiv notarilor, executorilor judecătoreşti, registratorilor, avocaţilor, administratorilor autorizaţi, experţilor judiciari, interpreţilor şi traducătorilor, mediatorilor şi altor persoane autorizate potrivit legislaţiei în vigoare, în măsura în care acestea deţin sisteme informaţionale, dispun de date ce prezintă interes pentru autorităţile şi instituţiile publice sau pentru alte persoane fizice şi persoane juridice de drept privat şi îşi manifestă disponibilitatea şi intenţia de a participa la schimbul de date, precum şi persoanelor fizice în condiţiile în care acestea sunt consumatori de date.

În context, prezintă relevanţă, prevederile art.11 alin.(2) lit.g) şi i) din Legea cadastrului bunurilor imobile nr.1543/1998, potrivit cărora instituţia de implementare: g) deţine şi administrează banca centrală de date a cadastrului; i) furnizează informaţia cadastrală sistematizată autorităţilor administraţiei publice, altor persoane juridice, precum şi persoanelor fizice.

În acord cu art.6 alin.(1¹) din acelaşi act normativ, datele despre numărul de identificare de stat (IDNP), data naşterii şi domiciliul persoanei fizice se eliberează persoanelor care au drepturi înregistrate în capitolul A, B sau C al registrului bunurilor imobile, reprezentanţilor acestora, precum şi notarilor, avocaţilor, instituţiilor financiare, întreprinderilor care prestează servicii imobiliare sau execută lucrări cadastrale, persoanelor şi autorităţilor indicate la art.6 alin.(2³) lit.b)–i) şi art.8 alin.(3) din prezenta lege, altor persoane care justifică scopul prelucrării datelor cu caracter personal în conformitate cu Legea nr.133 din 8 iulie 2011 privind protecţia datelor cu caracter personal.

În continuare, alin.(2¹) din articolul prenotat prevede că informaţia despre drepturile înregistrate asupra bunului imobil se furnizează persoanelor fizice şi juridice la solicitare, prin acordarea accesului la banca centrală de date a cadastrului bunurilor imobile în condiţiile legislaţiei în vigoare cu privire la schimbul de date şi interoperabilitate.

Potrivit alin.(3), informaţia despre drepturile înregistrate asupra bunurilor imobile se furnizează contra plată, cu excepţia cazurilor indicate în art.8 alin.(3).

Astfel, conform art.13 alin.(3) din aceeaşi lege, Metodologia de calculare a tarifelor şi tarifele la serviciile prestate de instituţia de implementare şi structurile sale teritoriale, servicii ce ţin de înregistrarea bunurilor imobile şi a drepturilor asupra lor, precum şi la alte servicii ce ţin de competenţa exclusivă a instituţiei de implementare şi a structurilor sale teritoriale, se aprobă de Guvern.

Pornind de la prevederile legale menţionate supra, se desprinde că persoanelor fizice şi juridice le pot fi furnizate informaţii despre drepturile înregistrate asupra bunului imobil, cu acordarea accesului la banca centrală de date a cadastrului bunurilor imobile în condiţiile Legii nr.142/2018 cu privire la schimbul de date şi interoperabiltate.

În context, se va remarca că, până la intrarea în vigoare a Legii cu privire la schimbul de date şi interoperabiltate şi a modificărilor sectoriale în acest domeniu, redacţia veche a art.6 alin.(2¹) din Legea nr.1543/1998 cadastrului bunurilor imobile prevedea că informaţia despre drepturile înregistrate asupra bunului imobil se furnizează persoanelor fizice şi juridice la solicitare, prin acordarea accesului la banca centrală de date a cadastrului bunurilor imobile prin intermediul reţelelor de calcul şi de telecomunicaţii locale şi globale. Or, în lumina modificărilor legale survenite, derivă că contractele încheiate, până la intrarea în vigoare a acestor modificări, de către ASP cu beneficiari – persoane fizice şi juridice, urmau a fi revizuite şi, eventual, reziliate.

În aceiaşi ordine de idei, cu titlu de exemplificare, se vor nota prevederile din Concepţia sistemului informaţional automatizat „Registrul de stat al populaţiei”, aprobată prin Hotărârea Guvernului Republicii Moldova nr.333/2002.

Astfel, potrivit pct.8 din Capitolul III – Spaţiul funcţional al RSP, informaţia din baza de date a R.S.P. se furnizează, în conformitate cu legislaţia naţională în vigoare, conducerii Republicii Moldova, organelor administraţiei publice centrale şi locale, persoanelor fizice şi juridice şi în cadrul schimbului de date. Organele administraţiei publice, persoanele fizice şi juridice, care folosesc informaţii din R.S.P., poartă răspundere pentru divulgarea ei în condiţiile legii.

Totodată, potrivit pct.15 din Capitolul IV – Furnizarea informaţiei din R.S.P. din Regulamentul cu privire la Registrul de stat al populaţiei, aprobat prin aceeaşi hotărâre de Guvern, informaţia din R.S.P. se furnizează autorităţilor publice, persoanelor juridice şi fizice în bază de contract sau, respectiv, cerere.

Contractul sau cererea va conţine scopul solicitării informaţiei şi modul de utilizare a ei, volumul şi structura datelor, forma şi limba documentului, tipul suporţilor pe care se furnizează datele, periodicitatea eliberării, măsurile de protecţie a datelor personale, procedurile de control, precum şi modul de oferire a informaţiei (cu/sau fără plată). În cazul în care informaţia este oferită cu plată, în costul ei se includ suplimentar suma şi devizul cheltuielilor materiale aferente exploatării, prelucrării şi furnizării ei.

Informaţia se furnizează gratuit pentru instituţiile publice finanţate din bugetul de stat, iar pentru persoanele fizice şi juridice de drept privat contra plată, cu excepţia cazurilor prevăzute expres de lege.

Astfel, în contextul subiectului abordat privind acordarea accesului unor categorii largi de persoane, sub aspectul prevenirii prelucrărilor neconforme de date cu caracter personal stocate în diverse sisteme informaţionale de stat, cum ar fi: Registrul bunurilor imobile, Registrul de Stat al Populaţiei etc., chiar dacă în ultima perioadă au fost operate unele modificări în legislaţia de resort care vin să schimbe/îmbunătăţească situaţia la acest capitol, se determină, în continuare, necesitatea intervenirii pe platforma parlamentară/guvernamentală în vederea analizării revizuirii cadrului legal care reglementează accesul la datele stocate în resursele informaţionale de stat, în special din considerentul că volumul şi specificul informaţiilor stocate în resursele informaţionale de stat sunt de o importanţă naţională strategică, care necesită un nivel adecvat de securitate.

În contextul audierilor parlamentare pe tema „Fraudele electorale semnalate în cadrul alegerilor prezidenţiale şi al referendumului republican din 2024”, CNPDCP, reieşind din competenţele funcţionale, în vederea prevenirii folosirii datelor care reflectă identitatea persoanei în scopuri ce ar putea prejudicia interesele sau drepturile cetăţenilor, prin demersul adresat Comisiei juridice, numiri şi imunităţi a Parlamentului RM, a propus modificarea următoarelor acte normative:

- Art.9 „Răspunderea pentru încălcarea prezentei legi” din Legea nr.273/1994 privind actele de identitate din sistemul naţional de paşapoarte, la alin.(1) se va completa cu două litere noi, cu următorul text:

n) colectarea copiilor de pe actele de identitate, cu excepţia situaţiilor prevăzute de legislaţia în vigoare sau a cazurilor singulare în situaţii specifice, care nu implică colectări frecvente şi masive a copiilor de pe actele de identitate;

o) publicarea în spaţiul internet a copiilor de pe actele de identitate sau a datelor care reflectă numărul de identificare de stat al persoanei fizice, seria şi numărul actului.

- Art.18 „Obligaţiile organizatorului” din Legea nr.26/2008 privind întrunirile, se va completa cu un nou alineat:

(3) În cazul în care în cadrul întrunirilor sunt colectate semnături ale cetăţenilor pentru susţinerea unor iniţiative sau pentru consultarea în probleme locale, regionale sau naţionale, de interes deosebit, listele completate vor conţine următoarele date referitoare la persoanele care îşi exprimă poziţia pe subiectul abordat: nume, prenume, anul naşterii, localitatea, numărul de telefon şi semnătura.

Propunerea a fost înaintată în contextul în care pe parcursul ultimilor ani, în special în perioada 2023 – 2024, a luat amploare colectarea, nemijlocit de la persoanele vizate, a datelor cu caracter personal şi a copiilor de pe actele de identitate pentru diverse pretinse scopuri, cum ar fi: oferirea de ajutoare/compensaţii, susţinerea realizării unor proiecte sociale, la nivel local sau naţional, sau pentru diverse iniţiative cetăţeneşti, în fapt, creându-se circumstanţe pentru utilizarea acestor date în diferite/multiple scheme frauduloase.

Oferirea/transmiterea de copii de pe actele de identitate, precum şi scrierea datelor din actele de identitate în diferite liste/documente de către cetăţeni, poate genera utilizarea ilegală a acestora, în scopuri contrare celor declarate iniţial de persoanele ce colectează asemenea date, în detrimentul cetăţenilor. Or, în cazul în care se solicită oferirea copiilor de pe actele de identitate, precum şi prezentarea datelor referitoare la: numele, prenumele, IDNP, adresa de domiciliu, datele cardului bancar, venitul, cuantumul pensiei etc., sub diferite pretexte de anumite persoane, cetăţenii, de regulă, nu se încredinţează de legalitatea colectării datelor solicitate, de onestitatea/credibilitatea persoanelor care le colectează şi riscurile utilizării ulterioare a acestor date.

 

Capitolul VIII

COOPERAREA INTERNAŢIONALĂ

În anul 2024, CNPDCP a continuat să îşi consolideze şi extindă relaţiile internaţionale, jucând un rol activ în promovarea principiilor şi standardelor europene în domeniul protecţiei datelor cu caracter personal. Prin participarea la diverse iniţiative internaţionale, seminare şi grupuri de lucru, autoritatea a contribuit la dezvoltarea unui cadru coerent pentru protecţia vieţii private, în contextul evoluţiilor tehnologice şi al reglementărilor emergente.

Colaborările cu autorităţile de protecţia datelor din alte state membre ale Uniunii Europene (UE) şi din alte organizaţii internaţionale au fost esenţiale în asigurarea unui mediu sigur şi echitabil pentru gestionarea datelor cu caracter personal, aliniate la cele mai bune practici internaţionale. Totodată, colaborările bilaterale şi multilaterale au fost esenţiale nu doar pentru schimbul de bune practici, dar şi pentru implementarea de soluţii comune în faţa provocărilor emergente în domeniul protecţiei datelor.

Acest capitol reflectă eforturile şi realizările CNPDCP în consolidarea poziţiei sale pe plan internaţional şi în promovarea unui dialog continuu pe domeniul de protecţie a datelor cu caracter personal.

 

Şedinţele plenare ale Comitetului European pentru Protecţia Datelor

Pe parcursul anului 2024, reprezentanţii CNPDCP au participat la 6 şedinţe plenare în format online şi 5 şedinţe cu prezenţa fizică la Bruxelles. În cadrul plenarelor Comitetului European pentru Protecţia Datelor, au fost adoptate avize şi orientări de o importanţă majoră, printre care:

- Orientările privind interesul legitim;

- Orientările 01/2023 revizuite privind articolul 37 din Directiva de aplicare a legii;

- Orientările 04/2022 privind calcularea amenzilor administrative în temeiul GDPR;

- Avizul 11/2024 privind utilizarea tehnologiilor de recunoaştere facială de către operatorii aeroportuari şi companiile aeriene (compatibilitate cu Articolul 5 alineatul (1) literele (e) şi (f), 25 şi 32 GDPR).

Participarea CNPDCP la şedinţele plenare ale Comitetului European pentru Protecţia Datelor a avut un impact semnificativ atât asupra consolidării rolului autorităţii cât şi asupra armonizării şi consolidării cadrului normativ naţional aferent domeniului protecţiei datelor. Această colaborare strânsă a permis autorităţii să îşi îmbunătăţească practica internă, să adopte bune practici europene şi să asigure o aplicare uniformă a legislaţiei naţionale, având un impact pozitiv asupra protecţiei drepturilor persoanelor în RM.

 

Şedinţele plenare în cadrul Consiliul Europei

Comitetul Consultativ al Convenţiei pentru protecţia persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal (Convenţia 108)

Pe parcursul anului 2024, conducerea CNPDCP a participat cu prezenţa fizică, la două şedinţe plenare a Comitetului Consultativ a Convenţiei 108.

În cadrul şedinţelor au fost abordate diverse subiecte importante, printre care Convenţia 108+ şi stadiul ratificărilor şi aderărilor curente, protecţia datelor cu caracter personal în combaterea spălării banilor şi finanţării terorismului, clauzele contractuale în contextul fluxurilor transfrontaliere de date, interpretarea articolului 11 din Convenţia 108+, tehnologiile de îmbunătăţire a confidenţialităţii, cooperarea cu alte organisme şi entităţi ale Consiliului Europei, evoluţiile şi activităţile majore în domeniul protecţiei datelor etc.

Delegaţia CNPDCP a informat despre evoluţiile şi activităţile în domeniul protecţiei datelor la nivel naţional şi stadiul ratificării Protocolului CETS 223 la Convenţia 108, menţionând că la 25 iulie 2024, Parlamentul Republicii Moldova a adoptat noua Legea nr.195/2024 privind protecţia datelor cu caracter personal care a fost publicată în Monitorul Oficial al Republicii Moldova nr.367-369, art.574, la data de 23 august 2024, care va intra în vigoare peste doi ani de la data publicării, ordine în care Ministerul Justiţiei consideră oportună ratificarea Protocolului odată cu intrarea în vigoare a noii legi. Proiectul de lege privind ratificarea Protocolului de modificare a Convenţiei pentru protecţia persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal şi documentele aferente au fost transmise Ministerului Justiţiei pentru efectuarea procedurilor de consultare interguvernamentală.

În context se va nota că, din cele 46 de state membre la Consiliul Europei şi 9 state non-membre (total 55 de state), Protocolul de Amendament la Convenţia 108 pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal a fost semnat de 45 de state din numărul total şi ratificat de 31. Pentru a intra în vigoare Convenţia 108 + este necesar de minim 38 de ratificări. Convenţia 108+ rămâne singurul instrument internaţional obligatoriu din punct de vedere juridic care protejează datele cu caracter personal şi dreptul la viaţă privată, urmăreşte să asigure o protecţie adecvată a tuturor persoanelor într-o eră digitală în continuă expansiune.

 

Cooperarea cu agenţiile Uniunii Europene

În conformitate cu prevederile stipulate la art.19 alin.(2) din Acordul de cooperare dintre Republica Moldova şi Eurojust, potrivit căruia ofiţerul de protecţie a datelor Eurojust şi Autoritatea de protecţie a datelor din Republica Moldova îşi vor raporta reciproc, minim o dată în an, asupra implementării prevederilor acordului menţionat supra, CNPDCP a prezentat către Eurojust informaţia privind activitatea sa, stadiul implementării prevederilor legale în materie de protecţie a datelor cu caracter personal, cât şi privind colaborarea interinstituţională cu Procuratura Generală.

Menţionăm că cooperarea cu Eurojust reprezintă un punct-cheie în dezvoltarea raporturilor de asistenţă juridică internaţională în materie penală în concordanţă cu standardele europene şi în sensul vectorului de integrare europeană a Republicii Moldova.

 

Cooperarea cu Autorităţile europene de protecţie a datelor cu caracter personal

♦ În perioada 14-16 mai 2024, reprezentanţii CNPDCP au participat la cea de-a 32-a ediţie a Conferinţei de primăvară a Autorităţilor Europene de Protecţie a Datelor, care a avut loc în oraşul Riga, Letonia.

Conferinţa de primăvară, găzduită de Inspectoratul de Stat pentru Protecţia Datelor din Letonia, a reunit Autorităţile de Protecţie a Datelor din întreaga Europă, în scopul de a stabili un cadru comun de cooperare pentru a proteja datele persoanelor fizice la nivel european. Conferinţa a servit drept o platformă europeană unică pentru schimb de experienţă şi bune practici în domeniul protecţiei datelor.

Pe parcursul sesiunilor de lucru, au fost prezentate subiecte de actualitate, precum:

- Rolul Autorităţilor de Protecţie a Datelor în era evoluţiei reglementărilor digitale;

- Gestionarea domeniul protecţiei datelor şi al vieţii private în era tehnologiilor şi inovaţiilor emergente;

- Protecţia datelor privind sănătatea în era digitalizării;

- Modelarea protecţiei datelor prin experienţa de cooperare a Autorităţilor de Protecţie a Datelor;

- Gestionarea reglementărilor Combaterii Spălării Banilor (AML) şi Regulamentului General privind Protecţia Datelor (GDPR): provocări, cooperare şi conformitate;

- Consolidarea conformităţii cu reglementările AML şi GDPR prin strategii de colaborare.

Pentru a doua oară în cadrul unei Conferinţe de primăvară a Autorităţilor Europene de Protecţie a Datelor, a fost organizată ziua uşilor deschise. Această practică a oferit posibilitatea mai multor instituţii, ONG-uri sau altor organizaţii care şi-au manifestat interesul pentru subiectele abordate în cadrul evenimentului, să participe, inclusiv în format on-line.

La eveniment au participat 145 de reprezentanţi din 43 de ţări, cum ar fi: Austria, Belgia, Bulgaria, Croaţia, Danemarca, Franţa, Georgia, Germania, Grecia, Ungaria, Italia, Malta, Moldova, Portugalia, România, Spania, Elveţia, Ucraina etc. Totodată, au fost prezenţi reprezentanţii a patru organizaţii: FRA, EDPS, EDPB şi Comisia Europeană.

 

♦ În perioada 30 – 31 octombrie 2024, reprezentanţii CNPDCP au participat în cadrul unei vizite de studiu la Inspectoratul de Stat al Datelor din Letonia (Inspectorat), eveniment organizat în cadrul proiectului intitulat „Consolidarea protecţiei datelor cu caracter personal în Republica Moldova. Faza I”.

Scopul vizitei de studiu a constat în preluarea celor mai bune practici legale şi operaţionale de către reprezentanţii CNPDCP privind certificarea Responsabililor cu protecţia datelor (DPO), Evaluarea Impactului asupra Protecţiei Datelor (DPIA), precum şi în consolidarea mecanismelor de protecţie a datelor prin alinierea acestora la standardele şi practicile europene.

În cadrul evenimentului, Directoarea Inspectoratului, Jekaterina Macuka, a prezentat principalele sarcini/activităţi ale instituţiei, rolul acesteia în promovarea domeniului protecţiei datelor cu caracter personal în Letonia, evidenţiind, totodată, provocările şi oportunităţile în materie de protecţie a datelor cu caracter personal ale ambelor ţări, precum şi continuarea cooperării şi a schimbului de bune practici.

Pe parcursul celor două zile au fost abordate subiecte de importanţă, cum ar fi:

- Certificarea Responsabilului cu protecţia datelor: scopul certificării DPO, cine emite certificările DPO, cine poate solicita să primească o certificare DPO, care este feedback-ul diferitelor părţi interesate cu privire la aceste certificări DPO etc.

- Prezentarea sistemului de certificare DPO: conceperea, dezvoltarea şi introducerea certificării DPO, experienţe, eşecuri, succese şi lecţii învăţate;

- Evaluarea impactului asupra vieţii private în Letonia: cum are loc efectuarea unei DPIA, cine este obligat să efectueze o DPIA, necesitatea efectuării unei DPIA, instruirea altor persoane, cum ar fi angajaţii autorităţilor publice cu privire la aspecte legate de confidenţialitatea datelor cu caracter personal etc.

Vizita de studiu a fost organizată cu suportul Unităţii de Protecţie a Datelor din cadrul Consiliului Europei şi Inspectoratului de Stat al Datelor din Letonia.

 

Proiecte UE

♦ La 26 ianuarie, CNPDCP în colaborare cu experţii proiectului TAIEX, au organizat conferinţa naţională „Creşterea gradului de conştientizare cu privire la Convenţia 108 +”.

Scopul conferinţei a fost de a creşte gradul de conştientizare atât a reprezentanţilor instituţiilor publice cât şi a mediului privat cu privire la Convenţia 108 +, instrument viabil pentru a facilita transferurile internaţionale de date, garantând astfel un nivel adecvat de protecţie pentru subiecţii de date la nivel global.

Conferinţa a fost moderată de experţi în protecţia datelor cu caracter personal din Italia, Slovenia şi Spania, fiind abordate următoarele teme:

- Impactul Convenţiei 108+ asupra deciziilor de adecvare şi a transferurilor de date, cu accent pe conformitatea cu acquis-ul UE;

- Convenţia 108+, instrument viabil pentru a facilita transferurile internaţionale de date, garantând în acelaşi timp un nivel adecvat de protecţie a persoanelor fizice la nivel mondial;

- Convenţia 108+, punte de legătură între regimurile juridice şi tări;

- Procesul de ratificare a Convenţiei 108+;

- Lecţii învăţate şi sfaturi de la ţările ratificatoare;

- Convenţia 108+: Mecanismul de evaluare şi analiză etc.

Evenimentul a fost organizat şi finanţat de instrumentul de asistenţă tehnică şi schimb de informaţii a Comisiei Europene (TAIEX), la care au participat circa 100 de reprezentanţi atât ai instituţiilor publice cât şi a mediului privat.

 

♦ În perioada 11-13 martie, reprezentanţii CNPDCP au efectuat vizita de studiu „Prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video”, găzduită de Autoritatea pentru Protecţia Datelor din Spania (AEPD) – Agencia Española de Protección de Datos.

Scopul evenimentului a constat în preluarea celor mai bune practici legale şi operaţionale privind utilizarea mijloacelor de supraveghere video, cât şi în preluarea de către angajaţii CNPDCP a abilităţilor şi resurselor necesare pentru a aborda în mod eficient aspecte legate de prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video, în conformitate cu legislaţia în vigoare şi în interesul protejării drepturilor subiecţilor de date.

Pe parcursul vizitei de studiu, moderată de către experţi din cadrul AEPD, au fost analizate în profunzime subiecte de importanţă, cum ar fi: evoluţia reglementărilor privind supravegherea video; ultimele modificări legislative şi reglementări legate de prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video, cu accent pe reglementările GDPR; drepturile subiecţilor de date şi etica în supravegherea video; recepţionarea şi clasificarea plângerilor; proceduri de inspecţie şi instrucţiuni; măsuri tehnice şi organizatorice pentru asigurarea securităţii datelor cu caracter personal; promovarea tehnologiilor aplicate referitor la supravegherea video etc.

Vizita de studiu a fost organizată cu suportul proiectului UE TAIEX – Instrument de asistenţă tehnică şi schimb de informaţii, gestionat şi finanţat de Direcţia Generală Politica Europeană de Vecinătate şi Negocieri privind Extinderea (DG NEAR) a Comisiei Europene.

 

Colaborare cu Fondul Regional pentru Reforma Administraţiei

Publice în ţările din Parteneriatul Estic (GIZ)

♦ În anul 2024, datorită parteneriatului de colaborare fructuoasă cu „Fondul Regional pentru Reforma Administraţiei Publice în Parteneriatul Estic”, implementat de Agenţia de Cooperare Internaţională a Germaniei (GIZ) şi finanţat de Ministerul Federal German pentru Cooperare Economică şi Dezvoltare (BMZ), reprezentanţii CNPDCP au participat în cadrul „Săptămânii de învăţare şi networking privind protecţia datelor cu caracter personal în era digitală”, care a avut loc la Tallinn, Estonia.

Scopul evenimentului a fost de a prelua experienţa estoniană în procesul de implementare a GDPR-ului, oferind o imagine de ansamblu cuprinzătoare şi practică a provocărilor apărute în procesul de aplicare a acestuia.

Având în vedere că Estonia este cunoscută ca lider global în digitalizarea serviciilor publice şi se situează pe locul 3 în topul celor mai sigure ţări în Indexul global de securitate cibernetică, au fost prezentate informaţii despre modul în care este organizată prelucrarea datelor cu caracter personal în cadrul instituţiilor publice, precum şi care sunt noile tendinţe în procesul de asigurare a securităţii cibernetice.

Pe parcursul „Săptămânii de învăţare şi networking privind protecţia datelor cu caracter personal în era digitală” au fost abordate subiecte de importanţă, cum ar fi:

- Provocările Autorităţii de Protecţie a Datelor din Estonia înainte şi după GDPR;

- Prelucrarea datelor cu caracter personal în bazele de date publice: practicile de prelucrare şi accesul la aceste date;

- Cazuistica GDPR: tendinţe şi constatări semnificative din practica judiciară şi de supraveghere din Estonia;

- Confidenţialitatea vizavi reutilizarea datelor în contextul unei societăţi modernizată digital: provocări şi recomandări;

- Schimbul de date şi protecţia datelor cu caracter personal;

- Securitatea informaţională etc.

Evenimentul, organizat de către Fondul regional GIZ pentru reformele administraţiei publice din cadrul Parteneriatului Estic, în colaborare cu Ministerul Federal pentru Cooperare Economică şi Dezvoltare din Germania, a reunit reprezentanţi ai Autorităţilor de Protecţie a Datelor din Moldova, Armenia, Georgia şi Ucraina.

 

♦ În anul 2024 a fost lansat spotul video „Protejează-ţi datele personale”. Scopul acestui video cu caracter social este de a informa şi sensibiliza publicul larg asupra domeniului protecţiei datelor cu caracter personal atât din perspectiva respectării/cunoaşterii drepturilor subiecţilor de date, cât şi asigurării/respectării obligaţiilor operatorilor de date cu caracter personal. Prin intermediul acestuia sunt punctate cele mai importante aspecte ce ţin de domeniul protecţiei datelor cu caracter personal, cum ar fi: noţiuni generale de date cu caracter personal, care sunt aceste date, cui le putem divulga, cine le poate solicita, precum şi care sunt obligaţiile operatorilor de date întru asigurarea securităţii şi confidenţialităţii acestor date.

Spotul video a fost elaborat cu suportul proiectului „Fondul Regional pentru Reforma Administraţiei Publice în Parteneriatul Estic”, implementat de Agenţia de Cooperare Internaţională a Germaniei (GIZ) şi finanţat de Ministerul Federal German pentru Cooperare Economică şi Dezvoltare (BMZ) şi poate fi vizualizat accesând următorul link: https://datepersonale.md/videogalerie/

Pe parcursul anului 2024, spotul video a fost mediatizat prin intermediul mai multor mijloace de comunicare în masă, cum ar fi: a dispozitivelor TV instalate în troleibuzele şi autobuzele din capitală timp de 1 lună (în perioada lunilor ianuarie – februarie); a dispozitivelor TV instalate în incinta instanţelor judecătoreşti timp de 1 lună (martie). De asemenea, spotul video a fost difuzat prime time (înainte de buletinul principal al zilei) prin intermediul canalului public de televiziune Moldova 1, timp de 2 săptămâni, în perioada 1-14 octombrie.

 

Capitolul IX

ACTIVITĂŢI DE SENSIBILIZARE ŞI INSTRUIRE

Pe parcursul anului 2024, CNPDCP a înregistrat progrese substanţiale în partea ce ţine de activităţile de promovare în rândul publicului larg a domeniului protecţiei datelor cu caracter personal.

În acest sens, CNPDCP a continuat campania de informare şi sensibilizare a comunităţii şcolare, a organizat acţiuni stradale cu diferite tematici în contextul mai multor evenimente, a organizat o multitudine de instruiri cu prezenţă fizică, precum şi în format on-line sau hibrid, pentru un număr record de instituţii publice, în special pentru subdiviziunile Inspectoratului General al Poliţiei, Inspectoratului General al Poliţiei de Frontieră şi a Casei Naţionale de Asigurări Sociale, atât din Chişinău, cât şi din teritoriu, conform planurilor de instruiri aprobate şi semnate de către conducătorii instituţiilor menţionate.

 

Acţiuni de sensibilizare

Având în vedere interesul copiilor prezentat în cadrul campaniei „Protecţia datelor cu caracter personal şi siguranţa copiilor în mediul on-line” aceasta a fost realizată şi pe parcusul anului 2024.Scopul campaniei a fost de a oferi comunităţii şcolare o vizibilitate ridicată cu privire la protecţia datelor cu caracter personal şi siguranţa copiilor în mediul on-line la nivel local şi naţional prin promovarea responsabilizării şi a celor mai bune practici de intervenţie şi sprijin. Tematicile abordate în cadrul instruirilor au vizat: familiarizarea copiilor cu conceptul de date cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile şi ameninţările în mediul online; comunicarea pe reţelele de socializare etc., fiind organizate mai multe sesiuni de instruire în cadrul comunităţii şcolare, atât în Chişinău, cât şi în nordul şi sudul ţării, şi anume:

• 25 ianuarie – Instituţia Publică Liceul Teoretic „Spiru Haret”, Chişinău

• 19 aprilie – Instituţia Publică Liceul Teoretic „Liviu Rebreanu”, Chişinău

• 23 aprilie – Instituţia Publică Liceul Teoretic „Iulia Haşdeu”, Chişinău

• 10 iulie – Centrul Republican pentru Copii şi Tineret „Artico”

• 04 octombrie – Instituţia Publică Liceul Teoretic „Constantin Negruzzi”, Chişinău

• 12 noiembrie – Instituţia Publică Liceul Teoretic „Mihai Eminescu”, Cahul

• 03 decembrie – Instituţia Publică Liceul Teoretic „George Coşbuc”, Bălţi

• 03 decembrie – Instituţia Publică Liceul Teoretic „ Lucian Blaga”, Bălţi

În total, în perioada de referinţă au fost instruiţi circa 640 de elevi.

La data de 24 ianuarie 2024, a fost desfăşurată acţiunea stradală organizată de reprezentanţii CNPDCP în contextul celebrării Zilei Europene a Protecţiei Datelor. În acest context, un grup de angajaţi ai CNPDCP au distribuit materiale informative trecătorilor, în faţa Arcului de Triumf din mun. Chişinău. Aceştia au fost informaţi despre „Ziua Protecţiei Datelor”, conceptul de date cu caracter personal, drepturile subiecţilor de date, măsurile de securitate şi confidenţialitate a datelor, precum şi despre principiile de protecţie a datelor cu caracter personal. Totodată, cetăţenii au fost informaţi cu privire la posibilele situaţii de prelucrare neconformă a datelor cu caracter personal, fiindu-le oferite îndrumări şi recomandări practice care ar trebui întreprinse în astfel de cazuri.

La data de 10 iulie 2024, CNPDCP a celebrat 16 ani de activitate. Cu prilejul acestei zile, instituţia, a organizat activităţi specifice pentru a creşte gradul de conştientizare şi a promova cele mai bune practici de confidenţialitate şi de protecţie a datelor. Printre aceste activităţi se numără şi acţiunile stradale adresate publicului larg, organizate în scopul informării şi sensibilizării acestora cu domeniul protecţiei datelor cu caracter personal. În acest context, inclusiv la data de 09 iulie, mai mulţi angajaţi ai CNPDCP au distribuit trecătorilor materiale informative, în scop de a disemina mesaje utile vizând domeniul protecţiei datelor cu caracter personal, de a informa şi încuraja cetăţenii Republicii Moldova să acorde o atenţie sporită domeniului respectiv.

La data de 10-11 decembrie, CNPDCP a participat la Forumul Drepturilor Omului şi Egalităţii – Ediţia a III-a, organizat în contextul marcării Zilei Internaţionale a Drepturilor Omului. Forumul a creat o platformă unică pentru discuţii şi schimb de idei între instituţiile publice, organizaţiile societăţii civile, experţi naţionali şi internaţionali în domeniul drepturilor şi libertăţilor fundamentale ale omului. Forumul a inclus activităţi interactive, jocuri, ateliere, proiecţii de filme şi standuri informative. În acest context, reprezentanţii CNPDCP, au amenajat un stand cu materiale educativ-informative şi articole promoţionale, iar publicul larg a fost informat despre domeniul protecţiei datelor cu caracter personal. Totodată, cetăţenii au fost informaţi cu privire la posibilele situaţii de prelucrare neconformă a datelor cu caracter personal, fiindu-le oferite îndrumări şi recomandări practice care ar trebui întreprinse în astfel de cazuri.

Evenimentul a fost organizat sub egida Oficiului Avocatului Poporului şi Consiliului pentru Egalitate, cu sprijinul partenerilor de dezvoltare, precum Agenţiile ONU şi Consiliului Europei.

 

 Activităţi de instruire

Anul 2024 a fost marcat de un număr record de instruiri organizate pentru reprezentanţii instituţiilor publice, atât din municipiul Chişinău, cât şi din teritoriu ţării, în total fiind instruite 5690 de persoane.

La data de 26 ianuarie 2024, a fost aprobat şi semnat de către conducătorii CNPDCP şi Inspectoratului General al Poliţiei (IGP), planul de instruiri în cadrul subdiviziunilor IGP, astfel organizându-se mai multe cursuri de instruire. Scopul acestora a fost de a spori gradul de percepţie a angajaţilor subdiviziunilor IGP asupra principiilor de protecţie a datelor cu caracter personal, precum şi asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfăşoară. În cadrul evenimentelor au fost abordate subiecte de importanţă, cum ar fi: definirea noţiunilor generale aferente domeniului protecţiei datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfăşurată de către angajaţii subdiviziunilor IGP; cerinţele privind protecţia datelor cu caracter personal, în exercitarea atribuţiilor de serviciu; obligaţiile organului de poliţie în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaţionale de stat, precum şi ducerea evidenţei corecte a auditului acestor accesări; asigurarea securităţii şi confidenţialităţii datelor cu caracter personal prelucrate, etc.

În acest context au fost organizate 16 cursuri de instruire, fiind instruiţi circa 775 de reprezentanţi ai subdiviziunilor IGP.

La data de 21 februarie 2024, a fost aprobat şi semnat de către conducătorii CNPDCP şi Inspectoratului General al Poliţiei de Frontieră (IGPF), Planul de instruiri în domeniul protecţiei datelor cu caracter personal pentru personalul Poliţiei de Frontieră, astfel organizându-se mai multe cursuri de instruire. Scopul acestora, a fost de a spori gradul de percepţie a angajaţilor subdiviziunilor IGPF asupra principiilor de protecţie a datelor cu caracter personal, precum şi asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfăşoară. Astfel, au fost organizate 14 cursuri de instruire fiind instruiţi circa 710 reprezentanţi din cadrul subdiviziunilor IGPF.

La data de 08 iulie 2024, a fost aprobat şi semnat de către conducătorii CNPDCP şi Casei Naţionale de Asigurări Sociale (CNAS) Planul de instruiri în domeniul protecţiei datelor cu caracter personal pentru angajaţii din cadrul subdiviziunilor structurale CNAS. Scopul cursurilor de instruire a fost de a spori gradul de percepţie a angajaţilor CNAS asupra principiilor de protecţie a datelor cu caracter personal, precum şi familiarizarea acestora cu regimul de confidenţialitate şi securitate a datelor cu caracter personal în conformitate cu prevederile legislaţiei în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanţă, cum ar fi: definirea noţiunilor generale aferente domeniului protecţiei datelor cu caracter personal; drepturile subiecţilor de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; principii şi temeiuri legale pentru prelucrarea datelor cu caracter personal; aspecte ce ţin de desemnarea responsabilului cu protecţia datelor (DPO); aspecte ce ţin de Evaluarea Impactului asupra Protecţiei Datelor; asigurarea securităţii şi confidenţialităţii datelor cu caracter personal de către angajaţii CNAS etc.

Astfel, au fost organizate 10 cursuri de instruire pentru Aparatul central al Casei Naţionale de Asigurări Sociale; Casa Teritorială de Asigurări Sociale, mun. Chişinău; Casa Teritorială de Asigurări Sociale, regiunea Nord; Casa Teritorială de Asigurări Sociale, regiunea Centru; Casa Teritorială de Asigurări Sociale, regiunea Sud, fiind instruiţi, în total, 910 angajaţi.

Şi în acest an, CNPDCP a manifestat deschidere şi spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanţii instituţiilor publice, la solicitarea acestora. Cursurile de instruire au avut drept scop familiarizarea funcţionarilor publici cu aspecte specifice ce ţin de prelucrarea datelor cu caracter personal în serviciul public, reglementarea procedurilor de prelucrare, precum şi cu regimul de confidenţialitate şi securitate a datelor cu caracter personal ce urmează a fi asigurat în conformitate cu legislaţia în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanţă, cum ar fi: definirea noţiunilor generale aferente domeniului protecţiei datelor cu caracter personal; principii şi temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecţilor de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerinţele privind protecţia datelor cu caracter personal, în exercitarea atribuţiilor de serviciu; asigurarea securităţii şi confidenţialităţii datelor cu caracter personal prelucrate; aspecte ce ţin de desemnarea responsabilului cu protecţia datelor (DPO), precum şi obligaţiile şi sarcinile acestuia; aspecte ce ţin de Evaluarea Impactului asupra Protecţiei Datelor (DPIA), precum şi etapele efectuării unei DPIA etc. Astfel, cursurile de instruire au fost organizate pentru următoarele instituţii:

• 07 februarie – Primăria municipiului Chişinău;

• 08 februarie – Comisia Naţională a Pieţei Financiare;

• 23 februarie – Ministerul Sănătăţii;

• 15 martie – Pretura Sectorului Râşcani, mun.Chişinău;

• 21 martie – Judecătoria Chişinău;

• 22 martie – Agenţia de Intervenţie şi Plăţi pentru Agricultură;

• 26 martie – Ministerul Dezvoltării Economice şi Digitalizării;

• 04 aprilie – Cancelaria de Stat, oficiile teritoriale;

• 16 aprilie – Serviciul Naţional Unic pentru Apelurile de Urgenţă 112;

• 18 aprilie – Universitatea Pedagogică de Stat „Ion Creangă”;

• 16 mai – Institutul de Standardizare din Moldova;

• 30 mai – Agenţia de Guvernare Electronică;

• 05 iunie – Primăria Municipiului Chişinău;

• 07 iunie – Ministerul Afacerilor Externe şi Integrării Europene;

• 21 iunie – Serviciului Fiscal de Stat;

• 25 iunie – Centrul Unificat de Prestare a Serviciilor Publice;

• 26 iunie – Serviciul Fiscal de Stat, funcţionarii fiscali din teritoriu;

• 27 iunie – Proiectul de înregistrare şi evaluare funciară a Băncii Mondiale;

• 13 august – Centrul pentru Comunicare Strategică şi Combatere a Dezinformării;

• 26 septembrie – Spitalul Clinic de Psihiatrie;

• 08 octombrie – Secretariatul Parlamentului;

• 10 octombrie – Asociaţia Auditorilor Interni;

• 15 octombrie – Agenţia Naţională pentru Ocuparea Forţei de Muncă;

• 17 octombrie – Centrul Naţional Anticorupţie;

• 18 octombrie – Serviciul Vamal;

• 24 octombrie – Inspectoratul Control Financiar de Stat;

• 25 octombrie – Direcţia generală teritorială „Nord” a Centrului Naţional Anticorupţie;

• 28 octombrie – Direcţia Generală Educaţie, Tineret şi Sport a Consiliului Municipal Chişinău;

• 30 octombrie – Direcţia Generală Educaţie, Tineret şi Sport, directorii instituţiilor de educaţie timpurie din municipiul Chişinău;

• 05 noiembrie – Direcţia Generală Asistenţă Medicală şi Socială a Consiliului Municipal Chişinău;

• 06 noiembrie – Direcţia Generală Educaţie, Tineret şi Sport, directorii instituţiilor de învăţământ din municipiul Chişinău;

• 11 noiembrie – Serviciul Fiscal de Stat;

• 12 noiembrie – Direcţia generală teritorială „Sud” a Centrului Naţional Anticorupţie;

• 13 noiembrie – Direcţia Generală pentru Protecţia Drepturilor Copilului;

• 22 noiembrie – Inspectoratul General pentru Migraţie;

• 11 decembrie – Curtea Supremă de Justiţie.

În cadrul evenimentelor menţionate au fost instruiţi circa 3295 de reprezentanţi ai autorităţilor publice.

 

Capitolul X

ACTIVITATEA MANAGERIALĂ A CNPDCP

Managementul resurselor umane

Performanţa CNPDCP este dependentă de succesele angajaţilor săi – de cunoştinţele şi profesionalismul lor, iar realizările şi reuşitele angajaţilor depind de asigurarea drepturilor acestora printr-un management relevant, leadership, siguranţă profesională şi personală.

Conform structurii, aprobată prin Legea nr.182/2008, CNPDCP este constituit din 8 subdiviziuni structurale, iar efectivul-limită este în mărime de 45 de unităţi, inclusiv personal auxiliar.

La finele anului 2024, numărul total de angajaţi alcătuieşte 34 de persoane, dintre care 2 persoane cu statut de demnitari publici, 31 persoane deţin statut de funcţionari publici (dintre care 10 funcţionari publici de conducere şi 21 funcţionari publici de execuţie) şi 1 persoană cu funcţie auxiliară (conducător auto).

Astfel, la sfârşitul anului de raportare, gradul de ocupare a funcţiilor/posturilor a constituit aproximativ 76%.

 

 

În anul 2024, comparativ cu anii precedenţi, se evidenţiază o mică creştere a nivelului de ocupare a funcţiilor publice în cadrul CNPDCP, în deosebi a funcţiilor de execuţie.

Această creştere se datorează faptului reîncadrării în funcţiile publice de execuţie a unor angajaţi în legătură cu încetarea suspendării raporturilor de serviciu, urmare a aflării acestora în concediul parţial plătit pentru îngrijirea copilului până la vârsta de 3 ani.

Cei mai mulţi angajaţi ai instituţiei sunt licenţiaţi în drept, fiind completaţi de profesionişti în domeniul relaţiilor internaţionale, administraţie publică, economişti, precum şi în alte domenii specifice activităţii instituţiei. Angajaţii, care conform atribuţiilor de serviciu realizează activităţi de verificare a conformităţii prelucrării datelor cu caracter personal deţin, în mare parte, studii superioare din domeniul juridic, fiind absolvenţi, cel puţin, a unei instituţii superioare de învăţământ.

În cadrul autorităţii se aplică o politică de egalitate de gen în procesul de recrutare şi gestionare a resurselor umane, constatându-se, totuşi, o prevalare esenţială a angajaţilor de sex feminin vizavi de cei de sex masculin, respectiv, ponderea femeilor în anul 2024 fiind de 71% (24), iar a bărbaţilor de 29% (10).

Vârsta medie a angajaţilor pe autoritate constituie 40 ani. În structura pe vârste, se menţine ponderea persoanelor cu vârsta cuprinsă între 35-45 ani, reprezentând – 35,3% din numărul total de angajaţi real încadraţi.

Tabelul de mai jos reflectă ponderea angajaţilor CNPDCP pe categorii de vârstă şi gen, pe tipuri de funcţii.

 

 

Cadrul naţional de reglementare a politicilor salariale din sectorul bugetar, existent în anul 2024, a condiţionat plecarea a 7 specialişti din cadrul CNPDCP în instituţii bugetare cu condiţii de salarizare mai atractive.

Astfel, în anul 2024 rata de fluctuaţie a personalului a constituit 21%, fiind cu 3 puncte procentuale mai mare decât cea înregistrată în anul 2023 (18%).

 

 

În procesul de asigurare cu personal necesar, în anul 2024, CNPDCP s-a bazat pe procedurile de ocupare a funcţiilor publice prin promovare şi concurs.

Dintre procedurile de ocupare a funcţiilor publice a prevalat procedura de ocupare a funcţiilor publice prin concurs, fiind angajate 7 persoane, dintre care 5 fiind debutanţi.

În acest sens, au fost organizate şi desfăşurate 5 concursuri la care au fost depuse şi acceptate 33 de dosare ale candidaţilor.

În perioada de referinţă în privinţa a 3 angajaţi au fost modificate raporturile de serviciu prin promovare în funcţii imediat superioare.

În anul de raportare, CNPDCP s-a confruntat cu o insuficienţă de personal calificat. Cauzele capacităţii reduse a autorităţii de a acoperi necesarul de personal s-au datorat nivelului disproporţionat al salarizării funcţionarilor din cadrul CNPDCP în raport cu cel prevăzut pentru alte organe de control cu statut similar sau pentru ministere, complexităţii atribuţiilor şi competenţelor specifice activităţii desfăşurate, volumului mare de muncă pentru personalul existent şi numărului redus de candidaţi la concursurile pentru ocuparea funcţiilor publice vacante.

Or, după o bună pregătire profesională şi asimilare a cunoştinţelor, priceperilor şi deprinderilor de muncă necesare, angajaţii decid să plece în alte autorităţi publice pentru un pachet salarial mai atractiv.

Ca şi în anii precedenţi, în anul 2024 se menţine ponderea personalului cu vechimea în muncă în cadrul CNPDCP între 1 şi 2 ani, fiind de 32%.

Fenomenul fluctuaţiei prezintă o serie de dezavantaje, iar procedura de selectare şi angajare a noului personal este una anevoioasă şi complicată din motivul lipsei specialiştilor competenţi, cu experienţă în domeniul protecţiei datelor cu caracter personal.

 

INSTRUIREA PROFESIONALĂ

În vederea consolidării instituţionale, CNPDCP acordă o atenţie deosebită dezvoltării profesionale a resurselor umane ca vector important în creşterea nivelului calităţii activităţii desfăşurate.

Dezvoltarea profesională continuă a angajaţilor este realizată în conformitate cu prevederile Anexei nr.10 la Hotărârea Guvernului nr.201/2009 privind punerea în aplicare a prevederilor Legii nr.158/2008 cu privire la funcţia publică şi statutul funcţionarului public, precum şi în baza Planului anual de dezvoltare profesională continuă, potrivit căruia, 38 de angajaţi au beneficiat de cursuri de instruire, inclusiv şi dintre cei care au demisionat deja.

Activităţile de instruire au avut loc sub diferite tipuri şi forme, cum ar fi:

7 sesiuni de instruire externe, organizate şi desfăşurate preponderent de către Institutul de Administraţie Publică, fiind centrul elitar de promovare a politicii de stat în domeniul instruirii şi dezvoltării profesionale a funcţionarilor publici de toate nivelurile;

9 sesiuni de instruire interne, inclusiv instruiri pe domeniile specifice de activitate, moderate de către formatorii din cadrul instituţiei.

Totodată, angajaţii CNPDCP au fost antrenaţi în diverse deplasări de serviciu peste hotarele ţării. În acest sens, schimbul de experienţă cu omologii de peste hotare şi studierea bunelor practici ale acestora au fost asigurate în cadrul vizitelor de studii, atelierelor de lucru, conferinţelor, precum şi participării la diverse evenimente şi întruniri de nivel înalt. Pe parcursul perioadei raportate, angajaţii au participat la 16 activităţi de acest gen, care s-au desfăşurat în străinătate.

Activitatea economico-financiară

În conformitate cu art.19 din Legea privind protecţia datelor cu caracter personal, activitatea CNPDCP se finanţează din bugetul de stat, în limita fondurilor aprobate prin legea bugetară anuală. Pentru anul 2024, autorităţii i-au fost alocate resurse financiare în valoare de 12 315,10 mii lei, destinate asigurării unei funcţionări optime pentru dotarea cu echipamente şi tehnică de birou, întreţinerea sediului şi acoperirea altor cheltuieli curente necesare.

Pentru realizarea sarcinilor atribuite în competenţa sa, pe parcursul anului 2024 au fost executate cheltuieli în sumă de 12 081,60 mii lei (ceea ce constituie 98,10 %), dintre care:

► cheltuielile de personal – 10 285,04 mii lei (nivel de executare 100,0%);

► cheltuielile pentru bunuri şi servicii – 1 152,81 mii lei (nivel de executare 88,46%);

► active nefinanciare – 587,47 mii lei (nivel de executare 90,83%);

► prestaţii sociale – 56,27 mii lei (nivel de executare 56,27%).

 

Bugetul CNPDCP, (mii lei)

 

 

 

În decursul anilor, executarea bugetelor alocate a înregistrat o tendinţă de creştere, iar evoluţia acestora poate fi vizualizată mai jos:

 

Gradul de executare a bugetului, %

 

 

Conform obiectivului privind realizarea Planului anual şi trimestrial de efectuare a procedurilor de achiziţie publică pentru anul 2024, precum şi implementarea acestuia prin organizarea şi desfăşurarea procedurilor de achiziţie publică, pentru perioada de referinţă au fost întocmite contracte de valoare mică privind achiziţionarea de bunuri şi servicii cu înregistrarea acestora, după necesitate, la Trezoreria de Stat.

Procedurile de achiziţii publice au fost gestionate prin platforma MTender, iar raportarea acestora a fost realizată ulterior.

Ţinând cont de necesităţile planificate, pe parcursul perioadei, au fost atribuite 50 contracte de achiziţie (1 419,5 mii lei), dintre care 32 pentru servicii (878,1 mii lei) şi 18 pentru bunuri (541,4 mii lei).

 

 

Activitatea Serviciului audit intern

Un rol esenţial în asigurarea transparenţei şi eficienţei activităţii CNPDCP îi revine Serviciului audit intern, care asigură realizarea misiunii şi funcţiilor de bază în următoarele domenii:

- efectuarea misiunilor de audit;

- evaluarea sistemului de control intern managerial.

Misiunea serviciului audit intern este de a acorda consultanţă şi asigurări obiective privind eficacitatea sistemului de management financiar şi control, contribuind la obţinerea plusvalorii şi oferind recomandări pentru îmbunătăţirea acestuia.

În vederea realizării misiunii Serviciului audit intern, în obiectul activităţii auditului intern sunt incluse toate sistemele, procesele şi activităţile CNPDCP.

Serviciul audit intern al CNPDCP a desfăşurat activitatea sa conform Planului de activitate de audit intern pentru anul 2024, realizând 4 misiuni de audit planificate.

Misiunile de audit efectuate au acoperit următoarele procese şi activităţi:

- evaluarea performanţelor profesionale ale funcţionarilor publici din cadrul CNPDCP;

- executarea bugetului CNPDCP pentru anul 2023;

- evaluarea procesului de integrare a funcţionarilor publici debutanţi în funcţii publice din cadrul CNPDCP;

- evaluarea procesului privind casarea bunurilor materiale.

Rapoartele de audit intern au fost prezentate Directorului CNPDCP şi managerilor operaţionali ale subdiviziunilor auditate pentru luare de atitudine şi, eventual, executare, conform competenţelor.

Pe parcursul anului 2024, Serviciul audit intern a monitorizat implementarea a 15 recomandări de audit intern, inclusiv 4 recomandări din misiunea de audit de la finele anului 2023.

Gradul de implementare a 14 recomandări din misiunile de audit a fost de 100%.

Implementarea unei recomandări din ultima misiune de audit, este în proces, termenul de raportare fiind luna mai 2025.

Totodată, a fost monitorizată implementarea a 12 recomandări a auditului extern, finisat de Curtea de Conturi în ianuarie 2024. Termenul de raportare privind implementarea recomandărilor de audit extern este luna februarie 2025. Monitorizarea implementării recomandărilor este ţinută la control permanent.

Ca rezultat al misiunilor de audit, în trei subdiviziuni ale CNPDCP în ultimul an de activitate au fost identificate, descrise sau modificate mai multe procese de bază.

Evaluarea Raportului anual privind controlul intern managerial (CIM), pentru anul 2023, a fost efectuată în termenul stabilit cu elaborarea şi prezentarea conducerii autorităţii Raportului respectiv.

Totodată, întru realizarea propunerilor şi obiecţiilor expuse în procesul de evaluare a sistemului de control intern managerial, în cadrul autorităţii au fost elaborate şi aprobate modificări la Regulamentul intern cu privire la evaluarea performanţelor profesionale, precum şi modul de stabilire a sporului pentru performanţă angajaţilor CNPDCP.

În procesul de implementare şi dezvoltare a sistemului CIM şi a propunerilor expuse în raport, au fost acordate consultări managerilor operaţionali referitor la responsabilităţile de control intern managerial ale şefilor de subdiviziuni din cadrul CNPDCP.

Totodată, pe parcursul anului, în peste 80 de cazuri a fost acordată consultanţă şi consiliere personalului CNPDCP pe domeniul controlului financiar public intern.

Procedura de management al riscurilor în cadrul CNPDCP este aprobată. Riscurile se actualizează şi se evaluează în dependenţă de obiectivele şi acţiunile de activitate aprobate.

Măsurile de control privind gestionarea riscurilor asigură un nivel acceptabil, corespunzător toleranţei la risc.

Monitorizarea măsurilor de control în cadrul subdiviziunilor autorităţii se efectuează periodic, în funcţie de tipul de risc cu raportarea respectivă.

În scopul realizării Planului anual de instruire a personalului CNPDCP, Serviciul audit intern a elaborat material instructiv-metodologic şi a petrecut 2 şedinţe de instruire internă pe domeniul implementării şi dezvoltării sistemului de control intern managerial (CIM). Instruirile respective au oferit îndrumări şi tehnici pentru manageri şi angajaţi pe diverse aspecte, precum: responsabilităţile de control managerial, stabilirea obiectivelor, documentarea proceselor, managementul riscurilor, activităţile de control şi instrumente importante pentru o gestionare corectă şi transparentă, în conformitate cu legislaţia şi reglementările în vigoare, a resurselor. La şedinţele de instruite internă au participat peste 85% din numărul funcţionarilor publici ai CNPDCP.

 

PROBLEME ŞI OBIECTIVE ÎN ACTIVITATEA CNPDCP

Problemele cu care s-a confruntat CNPDCP pe parcursul anilor, persistă şi în perioada de raportare, acestea fiind de ordin legal, instituţional, de percepţie şi de aplicabilitate şi necesită o soluţionare stringentă întru dezvoltarea domeniului protecţiei datelor cu caracter personal la nivel naţional şi care, rezumându-le, constituie următoarele:

- neconcordanţa între cadrul legal naţional şi reglementările existente la nivel european în domeniul protecţiei datelor cu caracter personal. Aici urmează a fi remarcat faptul că, la data de 23 august 2024, în Monitorul Oficial al Republicii Moldova nr.367-369, art.574 a fost publicată Legea nr.195/2024 privind protecţia datelor cu caracter personal, act normativ care transpune fidel prevederile Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE. Astfel, legea preia reglementările comunitare privind protecţia datelor cu caracter personal, fiind implementate corespunzător normele cu caracter terminologic, instituţional şi material.

Totuşi, în continuare rămâne a fi de o prioritate stringentă transpunerea Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului. Proiectul legii privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, prin care se va transpune Directiva (UE) 2016/680 este elaborat urmând a fi definitivat şi supus dezbaterilor în cadrul Grupului de lucru creat în acest sens. Subsecvent, urmează a sublinia importanţa şi stringenţa intrării în vigoare, la aceeaşi dată, a ambelor legi, menţionate la acest capitol, exact după modelul pe care a mers Uniunea Europeană la adoptarea Regulamentului (UE) 2016/679 şi a Directivei (UE) 2016/680 (acte adoptate şi intrate în vigoare concomitent), în caz contrar, ar surveni riscul generării unui vid de reglementare/legiferare pentru toţi operatorii de date din domeniul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, fapt inadmisibil.

Accelerarea procesului de aducere a proiectului legii privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor pe agenda de lucru a Parlamentului Republicii Moldova şi de adoptare a acestuia, este imperativă.

- nivelul discriminatoriu al salarizării funcţionarilor din cadrul CNPDCP în raport cu cel prevăzut pentru alte organe de control cu statut similar sau autorităţi care, ţinând cont de specificul activităţii desfăşurate, prelucrează volume considerabile de date cu caracter personal, fiind supuse verificării legalităţii prelucrării datelor de către CNPDCP, circumstanţe care generează fluctuaţia cadrelor, iar insuficienţa/lipsa la nivel naţional a specialiştilor calificaţi în domeniul protecţiei datelor cu caracter personal face şi mai resimţită această problemă.

Se va nota că, în contextul aspiraţiilor de integrare europeană, domeniul protecţiei datelor cu caracter personal rămâne o prioritate pe agenda Republicii Moldova, care este condiţionată nu doar de armonizarea cadrului juridic naţional la acqius-ul comunitar din domeniu dar şi de existenţa unor specialişti calificaţi pentru monitorizarea aplicării corecte a legislaţiei în domeniu, însă, atragerea şi menţinerea acestora poate avea loc doar în condiţiile asigurării unei remunerări decente şi atractive. Or, mecanismul existent de salarizare stratifică serviciul public în categorii de funcţionari publici cărora statul le oferă salarii atractive şi categorii de funcţionari publici cărora statul le oferă un salariu precar, fapt care, ab initio vine în contradicţie cu prevederile Legii nr.270 din 23.11.2018 privind sistemul unitar de salarizare în sectorul bugetar, care la art.3 alin.(1) lit.b) reglementează principiul nediscriminării, echităţii şi coerenţei, potrivit căruia statul asigură un tratament egal şi o remunerare egală pentru muncă de valoare egală.

- numărul mic de angajaţi în raport cu specificul şi volumul tot mai mare de lucru, în special în subdiviziunile de bază ale autorităţii: Direcţia generală supraveghere şi conformitate şi Direcţia juridică, mai ales în contextul în care aceiaşi angajaţi examinează petiţii, participă la elaborarea şi avizarea proiectelor de acte normative, efectuează controale/investigaţii ale conformităţii prelucrării datelor cu caracter personal, realizează atribuţiile de agent constatator, participă în calitate de formatori la instruiri, reprezintă CNPDCP în instanţele de judecată în ordine de contencios administrativ şi în ordinea procedurii contravenţionale, fără a fi create/asigurate şi mecanisme instituţionale fiabile întru realizarea sarcinilor prescrise.

Sporirea considerabilă a volumului activităţilor în care sunt implicaţi angajaţii CNPDCP a crescut fluctuaţia de personal, cauzat de nivelul de salarizare precar în raport cu complexitatea şi volumul activităţilor. Astfel, se impune, în mod stringent şi imperios consolidarea şi asigurarea funcţionării eficiente a Autorităţii de control a prelucrării datelor cu caracter personal;

- inexistenţa garanţiilor corespunzătoare pentru personalul CNPDCP în ceea ce priveşte riscurile generate de activitatea de control şi acţiunile de imixtiune a unor organe de drept supuse controlului din partea CNPDCP, având scopul de a intimida angajaţii CNPDCP;

- ineficienţa şi insuficienţa pârghiilor coercitive pentru prelucrarea ilegală a datelor cu caracter personal, motivul fiind caracterul dublu, contradictoriu şi susceptibil a procedurilor de examinare a constatărilor rezultate în urma verificării legalităţii prelucrării datelor cu caracter personal, manifestat prin dublarea examinării în instanţele de judecată, în aceeaşi perioadă, a aceloraşi acte şi constatări emise de CNPDCP, atât în ordine de contencios administrativ, cât şi în procedură contravenţională. Urmează a menţiona că această problemă va fi depăşită odată cu intrarea în vigoare a noii legi privind protecţia datelor cu caracter personal (Legea nr.195/2024);

- utilizarea abuzivă a prevederilor legale din domeniul protecţiei datelor cu caracter personal, în special de către reprezentanţii autorităţilor publice, la pretinsa argumentare a refuzului în prezentarea informaţiilor solicitate prin prisma realizării dreptului de acces la informaţiile de interes public;

- numărul mare al operaţiunilor de accesare a datelor cu caracter personal stocate în resursele informaţionale automatizate de stat cu utilizarea tehnologiei SIC „Acces-Web” şi COI, ceea ce creează dificultăţi la identificarea utilizatorului ce a accesat datele cu caracter personal şi, respectiv, a scopului şi temeiului legal al accesării, or, la caz, survine necesitatea asigurării acordării accesului la registrele/sistemele informaţionale de stat prin intermediul platformei de interoperabilitate (MConnect);

- insuficienţa conştientizării de către persoanele fizice a eventualelor riscuri care pot surveni urmare a oferirii către persoane terţe, sub diferite pretexte, a copiilor de pe actele de identitate, precum şi prezentării datelor referitoare la: numele, prenumele, IDNP, adresa de domiciliu, datele cardului bancar, venitul, cuantumul pensiei etc., fără a da dovată de precauţie la dezvăluirea, transmiterea datelor cu caracter personal, fără a se încredinţa de legalitatea colectării datelor cu caracter personal şi de utilizare ulterioară a acestor date.

Obiectivele CNPDCP pentru anul 2025 se rezumă în esenţă la întreprinderea acţiunilor de rigoare în vederea remedierii preocupărilor reliefate supra. Astfel, obiectivele de bază trasate pentru perioada imediat următoare, dar fără a se limita la cele descrise în continuare, se vor centra în vederea asigurării:

▪ conformării cadrului legal naţional din domeniul protecţiei datelor cu caracter personal la reglementările noi existente la nivel european, prin aprobarea de către Parlamentul Republicii Moldova a proiectului de lege privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor;

▪ consolidarea capacităţilor administrative şi instituţionale ale CNPDCP atât în ceea ce priveşte resursele financiare, cât şi cele umane, inclusiv prin desfăşurarea activităţilor pentru îmbunătăţirea abilităţilor şi cunoştinţelor angajaţilor;

▪ realizării în continuare a sarcinilor ce derivă din Planul naţional de acţiuni pentru aderarea Republicii Moldova la Uniunea Europeană pe anii 2024-2027;

▪ continuării şi amplificării acţiunilor de sensibilizare a societăţii privind importanţa domeniului protecţiei datelor cu caracter personal, atât din perspectiva respectării/cunoaşterii drepturilor subiecţilor de date, cât şi asigurării exercitării obligaţiilor aferente operatorilor de date cu caracter personal;

▪ contribuirii la ridicarea nivelului de interpretare corectă şi aplicare conformă a prevederilor legale din domeniul protecţiei datelor cu caracter personal de către actorii implicaţi în prelucrarea datelor cu caracter personal, inclusiv prin asigurarea echilibrului între prevederile legale aferente drepturilor de acces la informaţii de interes public, libertăţii de exprimare şi protecţiei datelor cu caracter personal;

▪ sensibilizării partenerilor de dezvoltare în realizarea proiectelor comune, în vederea asigurării nivelului adecvat de protecţie a datelor cu caracter personal în Republica Moldova.