În Monitorul Oficial nr. 994 din 29 octombrie 2025 a fost publicat Ordinul M.E.D.A.T. nr. 2147/17 octombrie 2025, care reglementează formatul Registrului beneficiarilor programelor de formare în domeniul digital, tipurile de date prelucrate, procedurile de acces, stocare și ștergere a datelor, precum și măsurile specifice de protecție a datelor cu caracter personal. Ordinul stabilește cadrul legal pentru gestionarea unitară și securizată a datelor persoanelor care participă la programe de formare digitală aferente investițiilor 17 și 19 din cadrul PNRR.
Registrul este administrat de Autoritatea pentru Digitalizarea României (ADR) și funcționează ca un sistem informatic centralizat, structurat sub formă de bază de date pentru interogarea eficientă și raportarea datelor beneficiarilor. Acesta prelucrează două categorii principale de informații: date cu caracter personal (nume, prenume, CNP sau identificator alternativ, e-mail și telefon opționale, numărul certificatului) și date privind formarea (denumirea IMM pentru investiția 19, cod fiscal, denumirea programului, furnizorul, durata cursului, perioada de desfășurare, tipul formării, competențele dobândite – conform DigCompRo pentru investiția 17, locația, evaluarea și data eliberării certificatului).
Datele sunt colectate exclusiv pentru monitorizarea și raportarea progresului către Comisia Europeană, conform obligațiilor din Planul Național de Redresare și Reziliență. Accesul la Registru este permis doar personalului autorizat al ADR, beneficiarilor și furnizorilor de formare, precum și altor autorități în limitele legii. Autentificarea se face prin credențiale unice – utilizator și parolă – sau prin dispozitive electronice (smart card/token) însoțite de cod PIN, toate fiind personale, unice și netransmisibile. Parolele trebuie să aibă minimum nouă caractere și se schimbă periodic: la minimum trei luni pentru utilizatori și șase luni pentru administratori.
Datele sunt stocate la nivelul ADR, cu copii de siguranță realizate automat la intervale de maximum 72 de ore, până la finalizarea investițiilor PNRR. Perioada de retenție minimă este de cinci ani de la finalizarea programului de formare, după care datele sunt șterse prin proceduri ireversibile, cu respectarea Regulamentului (UE) 679/2016 (GDPR). Persoanele vizate își pot exercita dreptul la ștergere prin solicitare transmisă ADR.
Sunt interzise orice prelucrări ulterioare în alte scopuri decât cele pentru care datele au fost colectate, cu excepția situațiilor prevăzute expres de lege. Măsurile de protecție includ limitarea strictă a accesului fizic la echipamentele server, păstrarea logurilor de acces minimum doi ani, monitorizarea operațiunilor de către ADR și de către responsabilul cu protecția datelor, precum și instruirea personalului autorizat. Înregistrarea accesului în Registru se face în fișiere log care includ identificatorul stației, utilizatorul, tipul operațiunii, informațiile accesate, data și ora exactă.
Beneficiarii sunt informați la înscriere despre operatorul Registrului, scopul prelucrării, temeiul juridic, destinatarii, perioada de stocare, drepturile acordate de GDPR, existența consimțământului și dreptul de retragere, posibilitatea formulării de plângeri la autoritatea de protecție a datelor, obligația furnizării datelor și consecințele refuzului, precum și despre eventuale procese decizionale automatizate.
Orice incident de securitate este notificat potrivit art. 33 și 34 din GDPR, iar responsabilul cu protecția datelor din cadrul ADR exercită atribuțiile prevăzute la art. 39, asigurând respectarea legislației privind protecția datelor. Prin aceste norme, cadrul legal urmărește protejarea datelor beneficiarilor, standardizarea proceselor și garantarea unui nivel ridicat de securitate în gestionarea informațiilor aferente formării digitale.