Comunica experienta
MonitorulJuridic.ro
ORDIN nr. 2.147 din 17 octombrie 2025 privind stabilirea formatului Registrului beneficiarilor programelor de formare în domeniul digital, categoriilor de date prelucrate, procedurilor de accesare, stocare şi ştergere a datelor şi măsurilor specifice de protecţie a datelor cu caracter personal
EMITENT: Ministerul Economiei, Digitalizării, Antreprenoriatului şi Turismului PUBLICAT: Monitorul Oficial nr. 994 din 29 octombrie 2025
Având în vedere:
- prevederile art. 1 alin. (2) şi (3) din Ordonanţa de urgenţă a Guvernului nr. 27/2025 pentru aprobarea Cadrului de competenţe digitale pentru cetăţenii României;
– necesitatea instituirii Registrului beneficiarilor programelor de formare în domeniul digital pentru monitorizarea şi raportarea progresului în cadrul Planului naţional de redresare şi rezilienţă (PNRR),
în temeiul art. 2 din Ordonanţa de urgenţă a Guvernului nr. 27/2025 pentru aprobarea Cadrului de competenţe digitale pentru cetăţenii României şi al art. 10 alin. (6) din Hotărârea Guvernului nr. 189/2025 privind organizarea şi funcţionarea Ministerului Economiei, Digitalizării, Antreprenoriatului şi Turismului,
ministrul economiei, digitalizării, antreprenoriatului şi turismului emite următorul ordin:
ART. 1
Obiectivul Registrului
Prin prezentul ordin se stabilesc formatul Registrului beneficiarilor programelor de formare în domeniul digital, denumit în continuare Registru, categoriile de date cu caracter personal prelucrate, procedurile de accesare, stocare şi ştergere a datelor, precum şi măsurile specifice de protecţie a datelor cu caracter personal.
ART. 2
Formatul Registrului
(1) Registrul este un sistem informatic centralizat, gestionat de Autoritatea pentru Digitalizarea României (ADR), care centralizează datele beneficiarilor programelor de formare în domeniul digital, prevăzute la art. 3.
(2) Formatul Registrului este o bază de date structurată pentru a permite interogarea şi raportarea datelor.
ART. 3
Categoriile de date prelucrate
(1) În Registru se prelucrează următoarele categorii de date:
a) date cu caracter personal:
1. numele şi prenumele;
2. codul numeric personal, denumit în continuare CNP, sau alt identificator cu aplicabilitate generală;
3. adresa de e-mail, opţional;
4. numărul de telefon, opţional;
5. numărul certificatului emis;
b) date privind formarea:
1. denumirea IMM, în cazul formărilor prin investiţia 19 PNRR;
2. cod de identificare fiscală, în cazul formărilor prin investiţia 19 PNRR;
3. denumirea programului de formare;
4. furnizorul de formare;
5. durata cursului;
6. data începerii programului de formare;
7. data finalizării programului de formare;
8. tipul de formare;
9. conţinut şi competenţele dobândite (conform DigCompRo), pentru investiţia 17 PNRR;
10. forma de organizare;
11. locaţia;
12. data evaluării;
13. rezultatul evaluării;
14. nivelul de performanţă atins, pentru investiţia 17 PNRR;
15. data emiterii certificatului.
(2) Datele sunt colectate exclusiv în scopul monitorizării şi raportării către Comisia Europeană, în baza prevederilor din cadrul PNRR, a progresului formării competenţelor digitale aferente investiţiei 17 şi investiţiei 19.
ART. 4
Procedurile de accesare a datelor
(1) Registrul este accesat de către personalul autorizat al ADR, desemnat prin decizie a preşedintelui ADR, precum şi de beneficiarii programelor de formare, furnizorul de formare şi alte autorităţi, în condiţiile legii.
(2) Accesul se realizează printr-un sistem de autentificare securizat, bazat pe credenţiale unice: nume de utilizator şi parolă.
(3) Administratorul Registrului stabileşte un cont unic de acces în Registru care să permită identificarea, autentificarea şi autorizarea operaţiunilor de prelucrare a datelor cu caracter personal, asigurând totodată înregistrarea operaţiunilor efectuate.
(4) Identificarea şi autentificarea utilizatorilor Registrului se realizează prin introducerea unui cod de identificare de la tastatură (nume de utilizator) însoţit de introducerea unei parole şi/sau prin utilizarea unui dispozitiv electronic de tip smart card/token însoţit de introducerea unui cod PIN.
(5) Smart cardurile, tokenurile, codurile de identificare, numele de utilizator, parolele şi codurile PIN sunt unice, personale şi netransmisibile. Se interzice folosirea lor în comun de către mai mulţi utilizatori.
(6) Parolele trebuie să aibă minimum 9 caractere alfanumerice - litere mari, litere mici, cifre, semne şi caractere speciale, iar introducerea acestora nu trebuie să conducă la identificarea lor prin afişarea pe ecran. Se interzice păstrarea parolei la vedere, astfel încât să nu fie accesibilă altor persoane.
(7) Parolele se schimbă ori de câte ori este nevoie, dar cel puţin o dată la 3 luni pentru utilizatori şi la 6 luni pentru administratorii Registrului.
(8) Nivelurile de acces sunt stabilite prin decizia preşedintelui ADR.
ART. 5
Procedurile de stocare a datelor
(1) Datele sunt stocate şi gestionate la nivelul ADR, inclusiv prin efectuarea copiilor de siguranţă.
(2) Stocarea datelor pentru o perioadă mai mare decât cea necesară realizării scopului poate avea loc în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare sau în scopuri statistice.
ART. 6
Procedurile de ştergere a datelor
(1) Dreptul la ştergerea datelor cu caracter personal se exercită de către persoanele vizate în conformitate cu prevederile art. 17 din Regulamentul (UE) nr. 679/2016, printr-o cerere adresată ADR, transmisă prin poştă, la adresa: Bulevardul Libertăţii nr. 14, sectorul 5, municipiul Bucureşti sau la adresa de e-mail: dpo@adr.gov.ro.
(2) Datele cu caracter personal vor fi şterse din Registru după o perioadă de retenţie de minimum 5 ani de la finalizarea programului de formare sau în cazurile prevăzute de art. 17 alin. (1) din Regulamentul (UE) nr. 679/2016.
(3) Ştergerea se efectuează prin eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din Registru, cu respectarea prevederilor art. 17 alin. (2) şi (3) din Regulamentul (UE) nr. 679/2016. La împlinirea termenului prevăzut la alin. (2) datele cu caracter personal sunt şterse prin proceduri ireversibile.
(4) Cererile prevăzute la alin. (1) se soluţionează în conformitate cu dispoziţiile Regulamentului (UE) nr. 679/2016.
(5) Se interzice prelucrarea datelor cu caracter personal din Registru în alte scopuri decât cele în care au fost colectate, cu excepţia situaţiilor prevăzute expres de lege şi numai dacă sunt asigurate garanţiile necesare pentru protejarea drepturilor persoanelor vizate.
ART. 7
Măsurile specifice de protecţie a datelor cu caracter personal
(1) ADR, în calitate de operator de date cu caracter personal, implementează următoarele măsuri tehnice şi organizatorice:
a) Datele cu caracter personal prelucrate în cadrul Registrului sunt salvate, prin copii de siguranţă securizate, la un interval de timp de 72 de ore până la finalizarea investiţiilor 17 şi 19;
b) ADR ţine evidenţa copiilor de siguranţă, care se vor realiza în mod automat şi vor fi stocate pe sisteme dedicate salvării copiilor de siguranţă;
c) Accesul fizic în încăperile în care se află echipamente tip server sau storage care stochează date cu caracter personal din cadrul Registrului este strict limitat la personalul desemnat de preşedintele ADR şi numai pentru îndeplinirea atribuţiilor de serviciu;
d) Pentru prelucrările efectuate în cadrul Registrului, acesta va înregistra orice accesare într-un fişier de acces, denumit în continuare log. Stocarea acestor informaţii se face într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator, după caz;
e) Informaţiile înregistrate în log sunt:
- codul de identificare a staţiei de lucru folosite sau adresa IP şi codul/numele utilizatorului, după caz;
– categoriile de informaţii accesate;
– tipul operaţiunii de prelucrare;
– informaţii care să facă posibilă identificarea motivului prelucrării datelor cu caracter personal care trebuie să permită identificarea documentului/situaţiei concrete care a stat la bază şi a justificat prelucrarea datelor;
– data accesului - anul, luna, ziua, ora, minutul, secunda;
f) Log-urile se păstrează cel puţin 2 ani, iar la acoperirea capacităţii de stocare logurile vor fi transferate şi păstrate pe suport amovibil în condiţiile prevăzute pentru copiile de siguranţă;
g) Informaţiile din fişierele log sunt accesate în următoarele situaţii:
- de către ADR pentru utilizatorii proprii, în scopul efectuării de autoevaluări/automonitorizări cu privire la legalitatea şi la oportunitatea operaţiunilor, pentru soluţionarea cererilor de acces, pentru cercetări şi pentru verificări de ordin administrativ ori de control intern şi pentru valorificarea informaţiilor, conform destinaţiei sistemului informatic;
– de către ADR pentru toţi utilizatorii Registrului în scopul soluţionării cererilor de acces;
– la solicitarea organelor de urmărire penală sau, după caz, EPPO, DLAF, OLAF, AA, CC, ANSPDCP, în condiţiile legii;
h) Responsabilul cu protecţia datelor cu caracter personal împreună cu administratorul Registrului efectuează periodic, prin sondaj sau la nevoie, controlul autentificărilor şi tipurilor de acces, precum şi periodic, prin sondaj sau la nevoie, controlul respectării măsurilor de securitate specifice folosite pentru transmiterea datelor cu caracter personal;
i) Instruirea personalului autorizat privind respectarea prevederilor legale naţionale şi europene referitoare la prelucrarea datelor cu caracter personal;
j) Acorduri de confidenţialitate semnate de personalul ADR cu acces la Registru.
(2) Beneficiarii sunt informaţi, la înscrierea în programele de formare, despre:
a) identitatea şi datele de contact ale operatorului Registrului, după caz, ale reprezentantului acestuia;
b) datele de contact ale responsabilului cu protecţia datelor, după caz;
c) scopul/scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
d) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
e) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, despre criteriile utilizate pentru a stabili această perioadă;
f) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;
g) atunci când prelucrarea se bazează pe consimţământul beneficiarului, existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;
h) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
i) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;
j) existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru beneficiari.
(3) Orice incident de securitate este notificat conform dispoziţiilor art. 33 din Regulamentul (UE) 2016/679, iar persoana vizată este informată potrivit art. 34 din acelaşi act normativ.
(4) Responsabilul cu protecţia datelor personale desemnat la nivelul ADR îndeplineşte sarcinile prevăzute de art. 39 din Regulamentul (UE) 2016/679 în ceea ce priveşte prelucrarea datelor cu caracter personal în cadrul Registrului.
ART. 8
Dispoziţii finale
Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Ministrul economiei, digitalizării, antreprenoriatului şi turismului,
Radu-Dinel Miruţă
Bucureşti, 17 octombrie 2025.
Nr. 2.147.
-------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
