MODULUL 2 — PROTECȚIA DATELOR PERSONALE
1 / 18
Meniu Comun Modul 1 Modul 2 Modul 3 Modul 4 Modul 5 Blocul 6 Livrabile
Pro-Lex IT · Material Didactic Online
Modulul 2
Protecția Datelor
Personale
Un ghid practic pentru angajații și colaboratorii organizațiilor din Republica Moldova. Teorie aplicată, scenarii reale, atelier și evaluare.
2.1
GDPR și legislația moldoveană — obligații legale
⏱ 30 min
2.2
Clasificarea datelor: publice, interne, confidențiale, sensibile
⏱ 20 min
2.3
Colectarea și stocarea sigură a datelor beneficiarilor
⏱ 25 min
2.4
Drepturile persoanelor vizate
⏱ 20 min
2.5
Atelier: Checklist Protecția Datelor
⏱ 35 min
2.6
Evaluare și feedback
⏱ 10 min
2.1 · GDPR și legislația moldoveană
Ce este protecția datelor și de ce contează?
⏱ 30 min

Datele personale sunt orice informații care permit identificarea unei persoane fizice: nume, telefon, e-mail, CNP, adresă, IP, imagini video etc.

Exemplu moldovenesc: Dacă organizația ta colectează fișe ale beneficiarilor cu numele, vârsta și situația socială — acele fișe conțin date personale și trebuie protejate prin lege.

Două legi care se aplică simultan în Moldova

🇲🇩
Legea nr. 133/2011

Legea moldoveană privind protecția datelor cu caracter personal. Obligatorie pentru toate organizațiile din Republica Moldova.

🇪🇺
GDPR (UE 2016/679)

Regulamentul european. Se aplică și organizațiilor moldovenești care prelucrează date ale cetățenilor UE sau care activează pe piața europeană.

📌 Surse oficiale:
Legea nr. 133/2011: legis.md
GDPR: eur-lex.europa.eu
ANDPDCP (Autoritatea națională moldoveană): andpdcp.md
⚠️ Sancțiuni în Moldova (art. 29, Legea 133/2011): Amenzile pot ajunge la 50 000 MDL pentru persoane juridice. Sub GDPR, amenzile pot depăși 20 milioane EUR.
2.1 · Principii fundamentale
Cele 6 principii de bază ale prelucrării datelor

Atât Legea 133/2011 (art. 4), cât și GDPR (art. 5) stabilesc aceleași principii. Reține-le — ele sunt busola deciziilor zilnice.

1
Legalitate, echitate și transparență Prelucrezi date doar dacă ai un temei legal: consimțământ, contract, obligație legală, interes legitim. Beneficiarul trebuie să știe că datele lui sunt colectate.
2
Limitarea scopului Colectezi date numai pentru un scop precis. Dacă ai colectat CNP-ul pentru un contract de voluntariat, nu-l poți folosi pentru marketing.
3
Minimizarea datelor Colectezi doar ce îți trebuie. Nu cere adresa dacă nu o folosești. Nu cere data nașterii dacă îți ajunge doar vârsta.
4
Exactitate Datele trebuie să fie corecte și actualizate. Dacă un beneficiar și-a schimbat adresa, actualizezi înregistrarea.
5
Limitarea stocării Nu păstrezi datele mai mult decât este necesar. Definiți în organizație: cât timp păstrăm fișele beneficiarilor? 3 ani? 5 ani? Documentați.
6
Integritate și confidențialitate Protejezi datele față de acces neautorizat, pierdere sau distrugere. Dosarele nu stau pe biroul comun. Calculatoarele au parole.
Exercițiu rapid: Gândiți-vă la un formular pe care organizația voastră îl folosește. Care câmpuri sunt cu adevărat necesare? Eliminați ce e de prisos.
2.1 · Temeiul legal
Când ai dreptul să prelucrezi date?

Nu poți prelucra date personale fără un temei legal explicit. GDPR art. 6 și Legea 133/2011 art. 5 prevăd 6 temeiuri. Cele mai frecvente în organizațiile moldovenești:

Temei legal Când se aplică Exemplu Moldova
Consimțământ Persoana și-a dat acordul liber, informat și explicit Beneficiarul semnează un formular de consimțământ pentru a fi înscris în baza de date a organizației
Contract Prelucrarea e necesară pentru executarea unui contract Datele angajatului sunt necesare pentru calculul salariului și raportarea la CNAS
Obligație legală Legea cere explicit prelucrarea Organizația trebuie să raporteze date la Inspecția Muncii
Interes legitim Interesul organizației este justificat și nu prejudiciază persoana Camerele video la intrarea în sediu pentru securitate
⚠️ Greșeală frecventă în ONG-uri și instituții publice din Moldova: Colectarea datelor beneficiarilor fără niciun formular de consimțământ. Chiar dacă serviciul este gratuit și util, ai nevoie de temei legal.
📋 Scenariu — Gândește-te

O organizație din Chișinău organizează un atelier pentru tineri. La înscriere, colectează: nume, telefon, e-mail, CNP și situație familială. Participanții nu semnează nimic.

Ce temei legal există? Ce lipsește?

Lipsește temeiul legal! CNP-ul și situația familială sunt date sensibile sau cel puțin confidențiale. Fără un formular de consimțământ sau alt temei legal documentat, colectarea acestora este ilegală.

Soluție: Adăugați un formular de consimțământ simplu care specifică: ce date se colectează, scopul, cât timp se păstrează și drepturile participanților.
2.2 · Clasificarea datelor
Nu toate datele sunt la fel: 4 categorii esențiale
⏱ 20 min

Înainte de a proteja datele, trebuie să știi ce categorie reprezintă fiecare informație. Clasificarea determină nivelul de protecție necesar.

🟢
Date PUBLICE

Informații deja disponibile public. Nu necesită protecție specială.

Exemple: Numele organizației, adresa sediului, nr. de înregistrare la MDRC, anunțuri publice.

🔵
Date INTERNE

Informații pentru uz intern. Nu se divulgă publicului, dar accesul în organizație este larg.

Exemple: Proceduri interne, bugete preliminare, liste de personal.

🟡
Date CONFIDENȚIALE

Acces restricționat la persoane autorizate. Divulgarea poate cauza prejudicii.

Exemple: Date personale ale beneficiarilor, contracte, date bancare ale organizației.

🔴
Date SENSIBILE

Categorie specială — protecție maximă obligatorie prin lege (GDPR art. 9, Legea 133 art. 6).

Exemple: Stare de sănătate, origine etnică, convingeri religioase, date biometrice, orientare sexuală.

Date sensibile — interdicție de principiu

Prelucrarea datelor sensibile este interzisă în general. Sunt permise numai în cazuri expres prevăzute de lege (consimțământ explicit, obligație legală în sănătate/muncă, interes public vital).

⚠️ Atenție în Moldova: Multe ONG-uri care lucrează cu grupuri vulnerabile colectează informații despre starea de sănătate sau apartenența etnică fără să realizeze că acestea sunt date sensibile care necesită protecție suplimentară și consimțământ explicit.
2.2 · Exercițiu de clasificare
Clasifică aceste informații

Pentru fiecare element din tabel, stabilește categoria corectă. Gândește-te singur, apoi verifică răspunsul.

Informație Categorie De ce?
Adresa sediului organizației PUBLICĂ Disponibilă în registre publice (MDRC)
Numărul de telefon al unui beneficiar CONFIDENȚIALĂ Identifică o persoană, acces restricționat
Diagnosticul medical al unui beneficiar SENSIBILĂ Date privind sănătatea — GDPR art. 9 lit. a)
Lista internă a angajaților INTERNĂ Uz intern, nu se publică dar nu e secretă
Apartenența la o comunitate religioasă SENSIBILĂ Convingeri religioase — GDPR art. 9 lit. b)
Bugetul aprobat al unui proiect (raport public) PUBLICĂ Publicat în rapoarte anuale, transparență NGO
CNP-ul unui beneficiar CONFIDENȚIALĂ Identificator unic personal — protecție obligatorie
Imaginile de pe camerele video din sediu CONFIDENȚIALĂ Date biometrice / identificare persoane; regulament separat necesar
💡 Regulă practică: Dacă nu știi sigur categoria, aplică principiul prudenței: tratează informația ca confidențială până la clarificare. Mai bine protejezi în exces decât insuficient.
2.2 · Măsuri pe categorii
Ce faci concret cu fiecare categorie?
Categorie Stocare Transmitere Ștergere
PUBLICĂ Oriunde Liber, orice canal Opțional
INTERNĂ Servere interne / cloud autorizat, acces cu parolă Doar intern, nu prin WhatsApp personal Conform politicii interne
CONFIDENȚIALĂ Criptat, acces pe bază de rol, jurnal de acces Criptat (TLS), doar persoane autorizate Obligatoriu la expirarea termenului
SENSIBILĂ Criptat puternic, server separat, acces minim absolut Criptat end-to-end, acord explicit al persoanei Obligatoriu și verificat, cu dovadă de ștergere
📋 Scenariu real din Moldova

O asistentă socială dintr-o primărie trimite prin WhatsApp personal fișa unui beneficiar (cu CNP, diagnostic și adresă) către un coleg care lucrează de acasă.

Minimum 3 probleme:
1. Canal nesigur — WhatsApp personal nu este un canal autorizat de organizație pentru date confidențiale/sensibile.
2. Date sensibile (diagnostic) transmise fără criptare end-to-end controlată de organizație.
3. Lipsa jurnalului de acces — nu există o evidență cine, când și de ce a accesat fișa.

Soluție: Utilizați platforma autorizată a instituției (email securizat, platformă internă) și instruiți personalul cu privire la canalele permise.
2.3 · Colectare și stocare
Colectarea sigură a datelor beneficiarilor
⏱ 25 min

Primul pas în protecția datelor este colectarea corectă. Greșelile de la colectare sunt greu de corectat ulterior.

Regula de aur: Colectezi cât mai puțin și numai ce este necesar

DO — Ce trebuie să faci
  • Explică beneficiarului ce date colectezi și de ce
  • Oferă un formular de consimțământ clar, în română
  • Colectează numai datele necesare scopului
  • Menționează cât timp păstrezi datele
  • Oferă date de contact pentru întrebări
DON'T — Ce trebuie să eviți
  • Nu colecta CNP dacă nu este obligatoriu legal
  • Nu folosi formulare fotocopiate fără dată și semnătură
  • Nu stoca date pe laptop personal fără parolă
  • Nu trimite liste de beneficiari prin email nesigur
  • Nu păstra date nedefinit „pentru orice eventualitate"

Consimțământul valid — 4 condiții cumulative

1
Liber — Persoana nu a fost presată sau condiționată să accepte. Nu „dacă nu semnezi, nu primești serviciul".
2
Specific — Consimțământul este dat pentru un scop concret, nu „pentru orice utilizare".
3
Informat — Persoana înțelege ce date se colectează, de cine, în ce scop și cât timp.
4
Neambiguu — Acțiune clară: semnătură, bifă, confirmare verbală documentată. Nu presupuneri sau tăcere.
2.3 · Stocare sigură
Unde și cum stocăm datele în siguranță?

Stocarea datelor are reguli clare. Distingem între date fizice (dosare, fișe pe hârtie) și date digitale (fișiere, baze de date).

📂 Date fizice (hârtie)

  • Dosarele se păstrează în dulapuri închise cu cheie
  • Accesul se limitează la personalul autorizat
  • Distrugerea se face prin tocat documente (shredder)
  • Nu lăsați dosare cu date personale pe birouri nesupravegheate
  • Registrele de evidență să fie completate și datate

💻 Date digitale

  • Parole unice, complexe pentru fiecare calculator
  • Criptarea fișierelor cu date sensibile
  • Backup regulat (3-2-1: 3 copii, 2 medii, 1 off-site)
  • Antivirus și actualizări de securitate la zi
  • Nu stocați date personale pe cloud personal (Google Drive personal, Dropbox neautorizat)

Operatori și persoane împuternicite (GDPR art. 28)

Dacă folosiți un serviciu extern (ex: o firmă IT care gestionează baza de date, o platformă cloud, o firmă de arhivare) — acea firmă devine persoană împuternicită. Trebuie să existe un contract scris care specifică exact ce date procesează și cum le protejează.

Exemplu Moldova: O organizație din Bălți folosește un programator independent pentru a gestiona baza de date a beneficiarilor. Fără un contract de confidențialitate și un acord de prelucrare date, aceasta este o încălcare a legii.
📚 Surse GDPR art. 28 — Persoana împuternicită de operator: eur-lex.europa.eu
Legea 133/2011 art. 17 — Securitatea prelucrării: legis.md
2.3 · Incidente de securitate
Ce faci când datele sunt compromise?

Un incident de securitate = orice eveniment care afectează confidențialitatea, integritatea sau disponibilitatea datelor personale. Nu înseamnă neapărat un atac cibernetic — poate fi și un dosar pierdut sau un email trimis greșit.

Exemple de incidente frecvente în organizații din Moldova

📧
Email trimis greșit

Lista beneficiarilor trimisă accidental la o adresă greșită sau la toți destinatarii în CC vizibil.

💻
Laptop pierdut / furat

Calculatorul cu baza de date a beneficiarilor, neprotejat cu parolă sau necriptat.

🔓
Acces neautorizat

Un angajat accesează dosarele unui coleg sau ale unor beneficiari fără atribuții.

🦠
Virus / Ransomware

Fișierele cu date personale sunt criptate de un atac cibernetic și inaccesibile.

Ce faci în 72 de ore (GDPR art. 33, Legea 133 art. 22)

1
Constatare — Identifici incidentul și oprești accesul neautorizat (dacă e posibil).
2
Evaluare — Determini ce date au fost afectate, câte persoane, ce risc există pentru ele.
3
Notificare ANDPDCP — Dacă există risc pentru drepturile persoanelor, notifici autoritatea națională în maxim 72 ore.
4
Notificare persoane vizate — Dacă riscul este ridicat, informezi direct persoanele afectate.
5
Documentare — Consemnezi tot în registrul incidentelor, indiferent dacă ai notificat sau nu autoritatea.
⚠️ Notificarea ANDPDCP: Se face la andpdcp.md. Nenotificarea în termen este sancționabilă separat de incidentul în sine.
2.4 · Drepturile persoanelor vizate
Ce drepturi au beneficiarii și cetățenii?
⏱ 20 min

Orice persoană ale cărei date le prelucrezi are drepturi legale. Organizația ta trebuie să le respecte și să știe cum să răspundă la solicitări.

👁️
Dreptul de acces (art. 18, Legea 133 / art. 15 GDPR)
Termen: 30 zile

Persoana poate cere să afle dacă organizația prelucrează date despre ea, care sunt acelea, în ce scop și cui i-au fost transmise.

Exemplu: Un beneficiar din Cahul cere să vadă ce informații are organizația despre el în baza de date.

✏️
Dreptul la rectificare (art. 19, Legea 133 / art. 16 GDPR)
Termen: fără întârzieri nejustificate

Persoana poate cere corectarea datelor incorecte sau completarea celor incomplete.

Exemplu: Beneficiarul constată că adresa înregistrată este greșită și cere corectarea ei.

🗑️
Dreptul la ștergere — „dreptul de a fi uitat" (art. 20, Legea 133 / art. 17 GDPR)
Termen: fără întârzieri nejustificate

Persoana poate cere ștergerea datelor dacă: scopul a încetat, și-a retras consimțământul, sau datele au fost prelucrate ilegal.

Notă: Nu este absolut — poate fi refuzat dacă există obligație legală de păstrare (ex: documente contabile).

Dreptul la opoziție (art. 23, Legea 133 / art. 21 GDPR)
Termen: fără întârzieri

Persoana poate obiecta față de prelucrarea datelor sale în scop de marketing direct sau pe baza interesului legitim.

2.4 · Gestionarea solicitărilor
Cum răspunzi la o cerere a persoanei vizate?
1
Primești cererea (scrisă sau verbală) Orice canal este valid: email, scrisoare, față în față. Documentează data primirii — termenul de 30 zile curge de atunci.
2
Verifici identitatea solicitantului Trebuie să te asiguri că datele sunt transmise persoanei corecte, nu unui terț. Poți cere o copie a buletinului (dar nu o stoca mai mult decât e necesar).
3
Analizezi cererea Este întemeiată? Există motive legale pentru a refuza (ex: obligație legală de păstrare)?
4
Răspunzi în scris în 30 de zile Confirmi executarea sau explici motivul refuzului. Răspunsul trebuie să fie clar, în română, fără jargon tehnic.
5
Documentezi tot în registrul intern Data, solicitarea, răspunsul, acțiunile întreprinse.
Cost: Răspunsul la solicitări este gratuit. Numai în cazul solicitărilor excesive sau vădit neîntemeiate poți percepe o taxă rezonabilă sau poți refuza.
📋 Scenariu practic

Pe 1 martie, Maria, fostă beneficiară a organizației voastre din Orhei, trimite un email cerând ștergerea tuturor datelor ei din sistemul vostru. Organizația păstrează fișele beneficiarilor 5 ani conform politicii interne, dar Maria a încheiat serviciile acum 3 ani.

Pași de urmat:
1. Înregistrezi cererea — data: 1 martie.
2. Verifici dacă există un temei legal pentru a păstra datele (ex: contract, raportare la finanțator, obligație fiscală). Dacă nu există → datele trebuie șterse.
3. Dacă politica internă de 5 ani nu are o bază legală solidă, ea nu poate prevala asupra dreptului la ștergere.
4. Ștergi datele și răspunzi Mariei în scris până pe 31 martie, confirmând ștergerea.
5. Documentezi în registrul de solicitări.
2.4 · Responsabilul cu protecția datelor
Cine răspunde în organizație? DPO și obligațiile de documentare
👤
DPO — Responsabilul cu Protecția Datelor

Persoana desemnată intern (sau externalizată) care supraveghează respectarea regulilor de protecție a datelor.

Obligatoriu dacă: prelucrezi date sensibile la scară largă, ești autoritate publică, sau efectuezi monitorizare sistematică.

📋
Registrul Activităților de Prelucrare

Document intern obligatoriu (GDPR art. 30, Legea 133 art. 24). Conține: ce date prelucrezi, de ce, unde le stochezi, cât timp, cui le transmiți.

📄
Politica de Confidențialitate

Document public (sau distribuit beneficiarilor) care explică în limbaj simplu cum prelucrezi datele lor. Obligatorie conform art. 13-14 GDPR.

⚖️
ANDPDCP — Autoritatea Moldoveană

Agenția Națională pentru Protecția Datelor cu Caracter Personal. Primești reclamații, efectuează controale și aplică sancțiuni.

andpdcp.md

Documentele minime recomandate pentru orice organizație din Moldova

2.5 · Atelier practic
Implementarea Checklist-ului Protecția Datelor
⏱ 35 min

Acum aplicăm tot ce am învățat. Atelierul are două parți:

📋
Partea 1 (15 min)

Completați Checklist-ul Protecția Datelor pentru organizația voastră. Marcați ce există deja și ce lipsește.

🎭
Partea 2 (20 min)

Analizați 3 scenarii reale din activitatea organizațiilor moldovenești și identificați problemele de conformitate.

📌 Instrucțiuni: Dacă lucrați individual, bifați onest situația actuală a organizației voastre. Dacă lucrați în grup, discutați fiecare punct înainte de a bifa. Scopul nu este să obțineți un scor perfect, ci să identificați lacunele reale care trebuie adresate.
Navigare atelier: Slide-ul următor conține checklist-ul interactiv, iar slide-ul 15 conține scenariile de analiză.
2.5 · Checklist interactiv
Checklist: Protecția Datelor în organizația mea

Bifați ce există în organizația voastră în acest moment:

A. Documente și politici

B. Procese operaționale

C. Securitate tehnică

D. Securitate fizică

E. Personal și cultură organizațională

0/17
Completați checklist-ul
2.5 · Scenarii de analiză
Analizați aceste scenarii reale

Citiți fiecare scenariu, identificați problemele de conformitate și propuneți soluții. Apăsați „Arată analiza" după ce ați deliberat.

📋 Scenariu A — ONG din Chișinău

Un ONG care oferă servicii juridice gratuite ține o bază de date Excel cu numele, CNP-urile și problemele legale ale clienților (unele implică divorț, custodie, violență domestică). Fișierul se numește „clienti.xlsx" și se află pe un folder partajat la care au acces toți cei 12 angajați. Fișierul nu este protejat cu parolă.

Probleme identificate:
🔴 Acces nerestricționat — nu toți angajații trebuie să vadă datele tuturor clienților (principiul „need to know").
🔴 Fișier necriptat — datele sensibile (violență domestică, divorț) necesită criptare.
🔴 Date sensibile fără protecție suplimentară — informațiile despre violență domestică și custodie intră sub incidența datelor sensibile.
🟡 Denumire banală — „clienti.xlsx" pe un folder partajat este ușor de accesat accidental.

Soluții:
✅ Restricționați accesul pe bază de rol (avocatul X vede doar clienții lui).
✅ Criptați fișierul cu parolă sau mutați în aplicație dedicată (CRM) cu autentificare.
✅ Separați datele sensibile cu un nivel suplimentar de protecție.
📋 Scenariu B — Primărie din raionul Soroca

Primăria publică pe site-ul oficial lista beneficiarilor de ajutor social pentru „transparență", incluzând: numele, adresa și suma primită. Nici un beneficiar nu a fost informat și nu a semnat un acord pentru publicarea datelor sale.

Probleme identificate:
🔴 Lipsă temei legal — publicarea online a datelor personale ale beneficiarilor de asistență socială fără consimțământ sau fără o prevedere legală expresă este ilegală.
🔴 Lipsă informare prealabilă — beneficiarii nu știau că datele vor fi publice.
🟡 Risc de stigmatizare — publicarea că o persoană primește ajutor social poate afecta demnitatea și viața privată.

Soluții:
✅ Publicarea transparenței se poate face la nivel agregat (ex: „150 beneficiari, total 200 000 MDL") fără date individuale.
✅ Dacă legea cere publicarea unor liste, verificați exact ce câmpuri sunt obligatorii și limitați-vă la acelea.
✅ Consultați ANDPDCP pentru ghidaj specific autorităților publice.
📋 Scenariu C — Organizație medicală privată din Bălți

O clinică stomatologică folosește un grup de WhatsApp între medicii și asistentele clinicii pentru a comunica despre pacienți. Mesajele includ: „pacientul Ion M., 45 ani, alergic la penicilină, vine azi la 14:00". Grupul are 8 persoane, inclusiv recepționerul și o persoana de la curățenie.

Probleme identificate:
🔴 Canal neautorizat pentru date medicale (sensibile) — WhatsApp personal nu este un canal autorizat pentru date de sănătate.
🔴 Acces nepotrivit — persoana de la curățenie nu are nevoie să cunoască datele medicale ale pacienților.
🔴 Date medicale = date sensibile — alergii, istoricul medical necesită protecție maximă.
🟡 Risc de scurgere — WhatsApp-ul personal al oricărei persoane din grup poate fi accesat, telefoanele pot fi pierdute/furate.

Soluții:
✅ Folosiți un sistem informatic medical autorizat (HIS) cu autentificare individuală.
✅ Limitați accesul la datele medicale strict la personalul medical implicat în îngrijire.
✅ Instruiți personalul că comunicarea datelor pacienților prin aplicații personale este interzisă.
2.6 · Evaluare
Test de evaluare — Modulul 2
⏱ 10 min

10 întrebări. Selectați răspunsul corect. Rezultatul apare la final.

Întrebarea 1 / 10
Legea principală care reglementează protecția datelor personale în Republica Moldova este:
  • Legea nr. 122/2005 privind securitatea cibernetică
  • Legea nr. 133/2011 privind protecția datelor cu caracter personal
  • Codul Civil al Republicii Moldova
  • GDPR — Regulamentul UE 2016/679
Legea nr. 133/2011 este actul normativ moldovenesc de bază. GDPR se aplică suplimentar în anumite circumstanțe (prelucrarea datelor cetățenilor UE).
Întrebarea 2 / 10
Care dintre următoarele reprezintă un exemplu de date SENSIBILE conform GDPR art. 9?
  • Adresa de email a unui angajat
  • Numărul de telefon al unui beneficiar
  • Diagnosticul medical al unui pacient
  • Numele și prenumele unei persoane
Datele privind sănătatea (diagnostice, tratamente) sunt date sensibile conform art. 9 GDPR și art. 6 Legea 133/2011, necesitând protecție suplimentară.
Întrebarea 3 / 10
Principiul „minimizării datelor" înseamnă că:
  • Colectezi doar datele strict necesare scopului declarat
  • Ștergi datele după minimum 1 an
  • Transmiți datele unui număr minim de persoane
  • Folosești criptare minimă pentru datele nesensibile
Minimizarea datelor (GDPR art. 5 lit. c) presupune că datele colectate trebuie să fie adecvate, relevante și limitate la ce este necesar în raport cu scopurile prelucrării.
Întrebarea 4 / 10
Într-un incident de securitate cu risc pentru drepturile persoanelor, autoritatea moldoveană (ANDPDCP) trebuie notificată în:
  • 24 de ore
  • 7 zile
  • 30 de zile
  • 72 de ore
Conform GDPR art. 33 și Legea 133/2011 art. 22, operatorul notifică autoritatea de supraveghere în termen de 72 de ore de la constatarea incidentului.
Întrebarea 5 / 10
Un beneficiar vă cere să ștergeți toate datele sale din sistemul organizației. Aveți dreptul să refuzați dacă:
  • Datele au fost colectate cu mai mult de 3 ani în urmă
  • Există o obligație legală de a păstra datele (ex: documente contabile, rapoarte obligatorii)
  • Beneficiarul nu a achitat o taxă pentru servicii
  • Nu aveți timp să procesați cererea în luna respectivă
Dreptul la ștergere nu este absolut. Poate fi limitat când prelucrarea este necesară pentru respectarea unei obligații legale sau pentru exercitarea unui drept în instanță (GDPR art. 17 alin. 3).
Întrebarea 6 / 10
Consimțământul valid pentru prelucrarea datelor personale trebuie să fie:
  • Verbal și înregistrat audio
  • Obligatoriu în scris, altfel nu este valid
  • Liber, specific, informat și neambiguu
  • Semnat de un notar
GDPR art. 4(11) definește consimțământul ca „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate". Forma scrisă este recomandată pentru evidență, dar nu este singura opțiune.
Întrebarea 7 / 10
O angajată trimite lista beneficiarilor prin WhatsApp personal colegului de acasă. Această practică este:
  • Interzisă — WhatsApp personal nu este canal autorizat pentru date confidențiale
  • Permisă dacă mesajul este șters după citire
  • Permisă dacă sunt colegi din aceeași instituție
  • Permisă dacă lista conține mai puțin de 10 persoane
Transmiterea datelor personale prin canale neautorizate (aplicații personale de mesagerie) încalcă principiul integrității și confidențialității și expune organizația la riscuri legale.
Întrebarea 8 / 10
Termenul de răspuns la o cerere de acces la date personale (dreptul de acces) este:
  • 15 zile lucrătoare
  • 30 de zile calendaristice (extensibil cu încă 60 în cazuri complexe)
  • 72 de ore
  • 6 luni
GDPR art. 12(3) prevede că operatorul răspunde în termen de o lună (30 zile). Termenul poate fi prelungit cu două luni suplimentare în cazuri complexe, cu notificarea persoanei.
Întrebarea 9 / 10
Dacă organizația utilizează un programator extern care gestionează baza de date a beneficiarilor, ce document este obligatoriu?
  • Un email de confirmare de la programator
  • O declarație verbală că va păstra confidențialitatea
  • O aprobare de la ANDPDCP
  • Un contract scris de prelucrare a datelor (DPA) conform GDPR art. 28
GDPR art. 28 impune ca relația cu orice persoană împuternicită (procesator extern) să fie reglementată printr-un contract scris care specifică obiectul, natura, scopul prelucrării și obligațiile de securitate.
Întrebarea 10 / 10
Autoritatea moldoveană responsabilă cu supravegherea respectării legislației privind protecția datelor se numește:
  • ANDPDCP — Agenția Națională pentru Protecția Datelor cu Caracter Personal
  • CERT-MD — Centrul de Răspuns la Incidente Cibernetice
  • CNA — Centrul Național Anticorupție
  • ANRC — Agenția Națională pentru Reglementare în Comunicații Electronice
ANDPDCP (andpdcp.md) este autoritatea de supraveghere moldoveană în domeniul protecției datelor, echivalentul autorităților de tip CNIL (Franța) sau ICO (UK).
0/10

2.6 · Rezumat și resurse
Ce am învățat în Modulul 2
⚖️
2.1 Cadrul legal

Legea 133/2011 + GDPR. 6 principii. Temeiul legal e obligatoriu înainte de orice prelucrare.

🗂️
2.2 Clasificare

Publice → Interne → Confidențiale → Sensibile. Nivelul de protecție crește cu clasificarea.

🔐
2.3 Colectare și stocare

Consimțământ valid. Canale autorizate. Contract cu procesatorii externi. Plan de incidente.

👤
2.4 Drepturi

Acces, rectificare, ștergere, opoziție. Răspuns în 30 de zile. Documentați tot.

Resurse oficiale recomandate

🇲🇩 Moldova:
ANDPDCP — andpdcp.md (ghiduri, formulare, notificări)
Legea nr. 133/2011 — legis.md

🇪🇺 European:
GDPR în română — eur-lex.europa.eu
Ghidurile EDPB în română — edpb.europa.eu

📖 Materiale practice:
Recomandări ANDPDCP pentru operatori
✅ Pașii următori pentru organizația voastră:
1. Completați Registrul activităților de prelucrare (slide 14)
2. Redactați sau actualizați Politica de confidențialitate
3. Verificați dacă formularele de consimțământ existente îndeplinesc cele 4 condiții
4. Desemnați un responsabil intern cu protecția datelor
5. Planificați o sesiune de instruire anuală pentru tot personalul
Felicitări pentru parcurgerea Modulului 2!
Pro-Lex IT · Chișinău, Republica Moldova