Im Amtsblatt Nr. 994 vom 29. Oktober 2025 wurde der Erlass des M.E.D.A.T. Nr. 2147 vom 17. Oktober 2025 veröffentlicht, der das Format des Registers der Begünstigten von Schulungsprogrammen im digitalen Bereich, die Kategorien der verarbeiteten Daten, die Verfahren zum Zugriff, zur Speicherung und zur Löschung der Daten sowie die spezifischen Maßnahmen zum Schutz personenbezogener Daten festlegt. Der Erlass bildet den rechtlichen Rahmen für die einheitliche und sichere Verwaltung der Daten von Personen, die an digitalen Schulungen im Rahmen der Investitionen 17 und 19 des nationalen Aufbau- und Resilienzplans (PNRR) teilnehmen.
Das Register wird von der Behörde für die Digitalisierung Rumäniens (ADR) verwaltet und funktioniert als zentralisiertes IT-System, strukturiert als Datenbank zur effizienten Abfrage und Berichterstattung von Begünstigtendaten. Es verarbeitet zwei Hauptkategorien von Informationen: personenbezogene Daten (Name, Vorname, persönliche Kennnummer oder alternativer Identifikator, optionale E-Mail-Adresse und Telefonnummer, Zertifikatsnummer) sowie schulungsbezogene Daten (Name des KMU und Steuercode für Investition 19, Bezeichnung des Schulungsprogramms, Anbieter, Kursdauer, Beginn und Ende der Schulung, Art der Schulung, erworbene Kompetenzen gemäß DigCompRo für Investition 17, Ort, Bewertung und Datum der Zertifikatsausstellung).
Die Daten werden ausschließlich zum Zweck der Überwachung und Berichterstattung gegenüber der Europäischen Kommission gemäß den Vorgaben des PNRR erhoben. Der Zugriff auf das Register ist nur befugtem ADR-Personal, den Begünstigten, Schulungsanbietern und anderen Behörden im Rahmen der gesetzlichen Bestimmungen gestattet. Die Authentifizierung erfolgt über eindeutige Zugangsdaten – Benutzername und Passwort – oder über elektronische Geräte (Smartcards/Tokens) mit PIN-Code, die persönlich, einzigartig und nicht übertragbar sind. Passwörter müssen mindestens neun Zeichen umfassen und werden regelmäßig geändert: mindestens alle drei Monate von den Nutzern und alle sechs Monate von Administratoren.
Die Daten werden innerhalb der ADR gespeichert, wobei gesicherte Backups automatisch in Intervallen von höchstens 72 Stunden erstellt werden, bis die Investitionen des PNRR abgeschlossen sind. Die Mindestaufbewahrungsfrist beträgt fünf Jahre nach Abschluss des Schulungsprogramms, danach werden die Daten gemäß der Datenschutz-Grundverordnung (EU) 679/2016 (DSGVO) irreversibel gelöscht. Betroffene Personen können ihr Recht auf Löschung mittels Antrag an die ADR ausüben.
Jegliche Weiterverarbeitung zu anderen Zwecken ist verboten, außer in den gesetzlich vorgesehenen Fällen. Die Schutzmaßnahmen umfassen den strikt begrenzten physischen Zugang zu Serverräumen, die Aufbewahrung von Zugriffsprotokollen für mindestens zwei Jahre, die regelmäßige Überwachung der Zugriffe durch die ADR und den Datenschutzbeauftragten sowie die Schulung des berechtigten Personals. Protokolldateien enthalten den Arbeitsplatz- oder IP-Identifikator, den Benutzer, die Art der Verarbeitung, die Kategorien der aufgerufenen Informationen sowie Datum und Uhrzeit.
Die Begünstigten werden bei der Anmeldung über den Verantwortlichen des Registers, den Zweck der Verarbeitung, die Rechtsgrundlage, mögliche Empfänger der Daten, die Speicherdauer, die ihnen nach der DSGVO zustehenden Rechte, die Rolle der Einwilligung und ihr Widerrufsrecht, das Beschwerderecht, die Pflicht zur Bereitstellung der Daten und die Folgen einer Verweigerung sowie über etwaige automatisierte Entscheidungsprozesse informiert.
Sicherheitsvorfälle werden gemäß den Artikeln 33 und 34 der DSGVO gemeldet. Der bei der ADR benannte Datenschutzbeauftragte erfüllt die in Artikel 39 vorgesehenen Aufgaben. Ziel des Rahmens ist es, die Daten der Begünstigten zu schützen, die Prozesse zu standardisieren und ein hohes Maß an Sicherheit bei der Verwaltung der Informationen im Bereich der digitalen Schulungen zu gewährleisten.