Sunteți pe pagina 1din 214

MANUAL

Manual de legislaie
european privind
protecia datelor

Agenia pentru Drepturi Fundamentale a Uniunii Europene, 2014


Consiliul Europei, 2014
Manuscrisul prezentului manual a fost finalizat n luna aprilie 2014.
Actualizrile vor fi disponibile n viitor pe site-ul FRA la adresa: fra.europa.eu, pe site.ul Consiliului
Europei la adresa: coe.int/dataprotection, i pe site-ul Curii Europene a Drepturilor Omului n meniul
de Jurispruden la adresa: echr.coe.int.
Reproducerea este permis, exceptnd utilizarea n scopuri comerciale, cu condiia menionrii sursei.

Europe Direct este un serviciu destinat s v ajute s gsii rspunsuri


la ntrebrile pe care vi le punei despre Uniunea European.
Un numr unic gratuit (*):

00 800 6 7 8 9 10 11
(*) Informaiile primite sunt gratuite, la fel ca i cea mai mare parte a apelurilor telefonice (unii operatori
i unele cabine telefonice i hoteluri taxeaz totui aceste apeluri).

Credite foto (copert & coninut): iStockphoto


Numeroase informaii despre Uniunea European sunt disponibile pe internet (http://europa.eu).
Cuprinsul informaiilor poate fi gsit la finalul prezentei publicaii.
Luxemburg: Oficiul pentru Publicaii al Uniunii Europene, 2014
ISBN 978-92-871-9938-6 (CoE)
ISBN 978-92-9239-339-7 (FRA)
doi:10.2811/55294
Printed in Belgium
Tiprit pe hrtie reciclat (PCF)
Prezentul manual a fost redactat n limba englez. Consiliul Europei i Curtea European a
Drepturilor Omului (CEDO) nu i asum responsabilitatea pentru calitatea traducerilor n alte limbi.
Opiniile exprimate n prezentul manual nu au caracter obligatoriu pentru Consiliul Europei i CEDO.
Manualul face referire la o selecie de comentarii i manuale. Consiliul Europei i CEDO nu i asum
responsabilitatea pentru coninutul acestora i nici includerea lor pe aceast list nu constituie
o form de aprobare a acestor publicaii. Alte publicaii sunt afiate pe paginile de internet ale
bibliotecii CEDO, la adresa echr.coe.int.

Manual de legislaie
european privind
proteciadatelor

Cuvnt nainte
Prezentul manual de legislaie european privind protecia datelor este ntocmit prin
cooperarea dintre Agenia pentru Drepturi Fundamentale a Uniunii Europene (FRA)
i Consiliul Europei alturi de Grefa Curii Europene a Drepturilor Omului. Este al treilea dintr-o serie de manuale juridice ntocmite prin cooperarea dintre FRA i Consiliul
Europei. n luna martieaanului2011 a fost publicat primul manual de legislaie european privind nediscriminarea, iar n luna iunieaanului2013, cel de al doilea manual
de legislaie european privind azilul, frontierele i imigraia.
Am hotrt s ne continum cooperarea cu privire la un subiect de actualitate, care
ne afecteaz pe toi n fiecare zi, i anume protecia datelor cu caracter personal.
Europa se bucur de unul dintre cele mai protective sisteme n acest domeniu, care
se bazeaz pe Convenia108 a Consiliului Europei, pe instrumentele Uniunii Europene(UE), precum i pe jurisprudena Curii Europene a Drepturilor Omului(CEDO) i
a Curii de Justiie a Uniunii Europene(CJUE).
Scopul prezentului manual este acela de a sensibiliza i de a ameliora cunoaterea
reglementrilor n materie de protecie a datelor n cadrul Uniunii Europene i n statele membre ale Consiliului Europei, servind drept principal punct de referin pentru cititori. Manualul se adreseaz profesionitilor nespecializai din domeniul juridic,
judectorilor, autoritilor naionale pentru protecia datelor i altor persoane care
activeaz n domeniul proteciei datelor.
Odat cu intrarea n vigoare a Tratatului de la Lisabona n luna decembrie a anului2009, Carta Drepturilor Fundamentale a Uniunii Europene a devenit obligatorie
din punct de vedere juridic i, astfel, dreptul la protecia datelor cu caracter personal
a fost ridicat la statutul de drept fundamental individual. O mai bun nelegere a
Conveniei108 a Consiliului Europei i a instrumentelor UE, care au pregtit drumul
pentru protecia datelor n Europa, precum i a jurisprudenei CJUE i a CEDO este
esenial pentru protecia acestui drept fundamental.
Dorim s mulumim Institutului pentru Drepturile Omului Ludwig Bolzmann pentru
contribuia sa la elaborarea acestui manual. De asemenea, adresm mulumiri biroului Autoritii Europene pentru Protecia Datelor pentru contribuia adus pe parcursul etapei de redactare. Mulumim n mod deosebit unitii pentru protecia datelor
a Comisiei Europene pentru sprijinul acordat pe parcursul ntocmirii acestui manual.
n cele din urm, am dori s ne exprimm recunotina fa de Autoritatea Naional
de Supraveghere a Prelucrrii Datelor cu Caracter Personal, care a revizuit traducerea
manualului n limba romn.
Philippe Boillat
Director General pentru Drepturile omului
i statul de drept Consiliul Europei

Morten Kjaerum
Director al Ageniei Europene
pentru Drepturi Fundamentale
3

Cuprins
CUVNT NAINTE

............................................................................................................................................................................................................ 3

ABREVIERI I ACRONIME

...................................................................................................................................................................................... 9

MODUL DE UTILIZARE A ACESTUI MANUAL

............................................................................................................................. 11

1. CONTEXTUL I CADRUL LEGISLAIEI EUROPENE PRIVIND PROTECIA DATELOR ............ 13


1.1. Dreptul la protecia datelor .......................................................................................................................................... 14
Puncte-cheie ........................................................................................................................................................................................................ 14
1.1.1. Convenia european a drepturilor omului
1.1.2. Convenia 108 a Consiliului Europei

.......................................................................................... 14

............................................................................................................ 15

1.1.3. Legislaia Uniunii Europene privind protecia datelor

................................................................. 17

1.2. Echilibrarea drepturilor ...................................................................................................................................................... 22


Puncte-cheie ........................................................................................................................................................................................................ 22
1.2.1. Libertatea de exprimare
1.2.2. Accesul la documente

........................................................................................................................................ 23

............................................................................................................................................. 26

1.2.3. Libertatea artelor i tiinelor


1.2.4. Protecia proprietii

............................................................................................................................ 31

.................................................................................................................................................. 32

2. TERMINOLOGIA N DOMENIUL PROTECIEI DATELOR ....................................................................................... 35


2.1. Datele cu caracter personal ........................................................................................................................................ 36
Puncte-cheie ........................................................................................................................................................................................................ 36
2.1.1. Aspecte principale ale conceptului de date cucaracter personal
2.1.2. Categorii speciale de date cu caracter personal
2.1.3. Date anonimizate i pseudonimizate

................................... 37

.............................................................................. 44

........................................................................................................ 45

2.2. Prelucrarea datelor ................................................................................................................................................................. 47


Puncte-cheie ........................................................................................................................................................................................................ 47
2.3. Utilizatorii de date cu caracter personal ....................................................................................................... 49
Puncte-cheie ........................................................................................................................................................................................................ 49
2.3.1. Operatori i persoane mputernicite de ctre operatori
2.3.2. Destinatari i teri

........................................................... 50

......................................................................................................................................................... 55

2.4. Consimmntul ........................................................................................................................................................................ 57


Puncte-cheie ........................................................................................................................................................................................................ 57
2.4.1. Elementele unui consimmnt valabil

................................................................................................... 57

2.4.2. Dreptul de retragere a consimmntului norice moment

................................................ 62

3. PRINCIPIILE-CHEIE ALE LEGISLAIEI EUROPENE PRIVIND PROTECIA DATELOR ............... 63


3.1. Principiul prelucrrii legale ............................................................................................................................................ 64
Puncte-cheie ........................................................................................................................................................................................................ 64
3.1.1. Cerine privind intervenia legitim n temeiul Conveniei europene a
drepturilor omului

........................................................................................................................................................ 65

3.1.2. Condiiile limitrilor legale n temeiul Cartei UE

................................................................................ 68

3.2. Principiul limitrii i specificitii scopului .................................................................................................... 70


Puncte-cheie ........................................................................................................................................................................................................ 70
3.3. Principiile calitii datelor ................................................................................................................................................ 72
Puncte-cheie ........................................................................................................................................................................................................ 72
3.3.1. Principiul pertinenei datelor
3.3.2. Principiul exactitii datelor

............................................................................................................................. 72

................................................................................................................................. 73

3.3.3. Principiul limitrii duratei de pstrare a datelor

................................................................................ 75

3.4. Principiul prelucrrii corecte ........................................................................................................................................ 76


Puncte-cheie ........................................................................................................................................................................................................ 76
3.4.1. Transparena

.................................................................................................................................................................... 76

3.4.2. Stabilirea unei relaii de ncredere

................................................................................................................ 77

3.5. Principiul responsabilitii ............................................................................................................................................... 78


Puncte-cheie ........................................................................................................................................................................................................ 78
4. NORMELE LEGISLAIEI EUROPENE PRIVIND PROTECIA DATELOR .................................................. 81
4.1. Normele privind prelucrarea legal ................................................................................................................... 83
Puncte-cheie ........................................................................................................................................................................................................ 83
4.1.1. Prelucrarea legal a datelor nesensibile
4.1.2. Prelucrarea legal a datelor sensibile

................................................................................................. 83

........................................................................................................ 89

4.2. Normele privind securitatea prelucrrii ........................................................................................................ 93


Puncte-cheie ........................................................................................................................................................................................................ 93
4.2.1. Elementele securitii datelor
4.2.2. Confidenialitate

........................................................................................................................... 93

........................................................................................................................................................... 96

4.3. Normele privind transparena prelucrrii ................................................................................................... 98


Puncte-cheie ........................................................................................................................................................................................................ 98
4.3.1. Informare

............................................................................................................................................................................ 99

4.3.2. Notificare

..........................................................................................................................................................................102

4.4. Normele privind promovarea conformitii ........................................................................................ 102


Puncte-cheie .................................................................................................................................................................................................... 102
4.4.1. Verificare prealabil

................................................................................................................................................103

4.4.2. Responsabili de protecia datelor cu caracter personal


4.4.3. Coduri de conduit

........................................................104

...................................................................................................................................................104

5. DREPTURILE PERSOANELOR VIZATE I PUNEREA NAPLICARE A ACESTORA ............... 107


5.1. Drepturile persoanelor vizate ............................................................................................................................... 109
Puncte-cheie .................................................................................................................................................................................................... 109
5.1.1. Dreptul de acces

........................................................................................................................................................110

5.1.2. Dreptul de opoziie

..................................................................................................................................................117

5.2. Supraveghere independent ................................................................................................................................ 119


Puncte-cheie .................................................................................................................................................................................................... 119
5.3. Ci de atac i sanciuni .................................................................................................................................................. 124
Puncte-cheie .................................................................................................................................................................................................... 124
5.3.1. Cereri adresate operatorului

...........................................................................................................................124

5.3.2. Cereri naintate autoritii de supraveghere


5.3.3. Cereri naintate unei instane
5.3.4. Sanciuni

....................................................................................126

.........................................................................................................................127

............................................................................................................................................................................132

6. FLUXURI TRANSFRONTALIERE DEDATE ......................................................................................................................... 135


6.1. Natura fluxurilor transfrontaliere de date .............................................................................................. 136
Puncte-cheie .................................................................................................................................................................................................... 136
6.2. Fluxurile libere de date ntre statele membre sau ntre prile
contractante ............................................................................................................................................................................... 137
Puncte-cheie .................................................................................................................................................................................................... 137
6.3. Fluxuri libere de date ctre ri tere ............................................................................................................ 139
Puncte-cheie .................................................................................................................................................................................................... 139
6.3.1. Flux liber de date datorit unei protecii adecvate
6.3.2. Flux liber de date n cazuri specifice

....................................................................139

........................................................................................................141

6.4. Fluxuri restricionate de date ctre ritere ...................................................................................... 142


Puncte-cheie .................................................................................................................................................................................................... 142
6.4.1. Clauze contractuale

.................................................................................................................................................143

6.4.2. Reguli corporatiste obligatorii

........................................................................................................................145

6.4.3. Acorduri internaionale specifice

................................................................................................................145

7. PROTECIA DATELOR NCONTEXTUL POLIIEI ICERCETRII PENALE ..................................... 151


7.1. Legislaia CoE privind protecia datelor ndomeniul poliiei i cercetrii
penale ................................................................................................................................................................................................ 152
Puncte-cheie .................................................................................................................................................................................................... 152
7.1.1. Recomandarea privind sectorul poliienesc

.....................................................................................152

7.1.2. Convenia de la Budapesta privind criminalitatea informatic

.......................................156

7.2.

Legislaia UE privind protecia datelor ndomeniul poliiei i cercetrii


penale ................................................................................................................................................................................................ 157
Puncte-cheie .................................................................................................................................................................................................... 157
7.2.1. Decizia-cadru privind protecia datelor

...............................................................................................158

7.2.2. Mai multe instrumente juridice specifice privind protecia datelor n


contextul cooperrii poliieneti i de aplicare a legii transfrontaliere .....................159
7.2.3. Protecia datelor la Europol i Eurojust ..................................................................................................161
7.2.4. Protecia datelor n cadrul sistemelor informatice comune la nivelul UE ..............165

8. ALTE LEGISLAII EUROPENE SPECIFICE PRIVIND PROTECIA DATELOR .................................... 173


8.1. Comunicaii electronice ................................................................................................................................................ 174
Puncte-cheie .................................................................................................................................................................................................... 174
8.2. Date privind angajarea .................................................................................................................................................. 178
Puncte-cheie .................................................................................................................................................................................................... 178
8.3. Date medicale .......................................................................................................................................................................... 181
Puncte-cheie .................................................................................................................................................................................................... 181
8.4. Prelucrarea datelor n scopuri statistice .................................................................................................... 184
Puncte-cheie .................................................................................................................................................................................................... 184
8.5. Date financiare ....................................................................................................................................................................... 187
Puncte-cheie .................................................................................................................................................................................................... 187
LECTURI SUPLIMENTARE

............................................................................................................................................................................... 191

JURISPRUDEN ....................................................................................................................................................................................................... 197


Jurispruden selectat a Curii Europene a Drepturilor Omului ......................................................... 197
Jurispruden selectat a Curii de Justiie aUniunii Europene ............................................................. 201
LISTA CAUZELOR

...................................................................................................................................................................................................... 205

Abrevieri i acronime
AELS

Asociaia European a Liberului Schimb

AEPD

Autoritatea European pentru Protecia Datelor

BCR

Reguli corporatiste obligatorii

Carta

Carta Drepturilor Fundamentale a Uniunii Europene

CE

Comunitatea European

CEDO

Curtea European a Drepturilor Omului

CETS

Seria Tratatelor Consiliului Europei

CIS

Sistemul de informaii al vmilor

CJUE

Curtea de Justiie a Uniunii Europene (denumit Curtea European


de Justiie, CEJ, nainte de luna decembrie a anului 2009)

CoE

Consiliul Europei

Convenia108

Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (Consiliul Europei)

CRM

Gestionarea relaiei cu clienii

C-SIS

Sistemul Central de Informaii Schengen

DUDO

Declaraia Universal a Drepturilor Omului

EAW

Mandat european de arestare

ECHR Convenia european a drepturilor omului


ENISA

Agenia Uniunii Europene pentru Securitatea Reelelor i a


Informaiilor

ESMA

Autoritatea European pentru Valori Mobiliare i Piee

eTEN

Reele transeuropene de telecomunicaii

eu-LISA

Agenia European pentru Gestionarea Operaional a Sistemelor


Informatice la Scar Larg

EuroPriSe

Marca european de protecie a vieii private

FRA

Agenia pentru Drepturi Fundamentale a Uniunii Europene

10

GPS

Sistem de poziionare global

JSB

Organismul comun de supraveghere

N-SIS

Sistemul Naional de Informaii Schengen

OCDE

Organizaia pentru Cooperare i Dezvoltare Economic

ONG

Organizaie neguvernamental

ONU

Organizaia Naiunilor Unite

PIN

Numr personal de identificare

PNR

Registrul cu numele pasagerilor

SEE

Spaiul Economic European

SEPA

Zona unic de pli n euro

SIS

Sistemul de Informaii Schengen

SWIFT

Societatea pentru Telecomunicaii Financiare Interbancare


Mondiale

TFUE

Tratatul privind funcionarea Uniunii Europene

TUE

Tratatul privind Uniunea European

TVCI

Televiziune cu circuit nchis

UE

Uniunea European

UNE

Unitatea Naional Europol

VIS

Sistemul de informaii privind vizele

Modul de utilizare a acestui manual


Prezentul manual ofer o privire de ansamblu asupra legislaiei aplicabile n domeniul proteciei datelor n legtur cu Uniunea European (UE) i Consiliul Europei
(CoE).
Manualul este conceput astfel nct s sprijine practicienii n domeniul dreptului care
nu sunt specializai n domeniul proteciei datelor; se adreseaz avocailor, judectorilor sau altor practicieni, precum i acelor persoane care lucreaz pentru alte organisme, inclusiv organizaii neguvernamentale (ONG-uri), care se pot confrunta cu
probleme juridice legate de protecia datelor.
Este primul punct de referin att pentru legislaia UE, ct i pentru Convenia european a drepturilor omului (ECHR) cu privire la protecia datelor, explicnd modul n
care acest domeniu este reglementat n conformitate cu dreptul european i ECHR,
precum i cu Convenia CoE pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (Convenia 108) i alte instrumente ale CoE.
Fiecare capitol prezint la nceput un tabel unic cu dispoziiile juridice aplicabile,
inclusiv o selecie de acte importante din jurispruden, conform celor dou sisteme
juridice europene separate. Apoi sunt prezentate succesiv legile relevante ale acestor dou ordini europene, n msura n care sunt aplicabile pentru fiecare subiect.
Acest lucru permite cititorului s observe punctele de convergen ale celor dou
sisteme juridice i aspectele n care acestea difer.
Tabelele de la nceputul fiecrui capitol enumer subiectele tratate n cadrul acelui
capitol i indic dispoziiile juridice aplicabile i alte materiale relevante, cum ar fi
jurisprudena. Ordinea subiectelor poate fi uor diferit fa de structura textului din
cadrul capitolului, dac se consider c se favorizeaz astfel prezentarea concis a
coninutului capitolului. Tabelele vizeaz att legislaia CoE, ct i dreptul european.
Acest lucru ar trebui s ajute utilizatorii s gseasc informaiile-cheie referitoare la
propria situaie, n special dac se afl exclusiv sub incidena legislaiei CoE.
Practicienii din statele non-membre ale UE, dar membre ale CoE i pri la Convenia
european a drepturilor omului i la Convenia 108 pot accesa informaiile relevante
pentru ara lor prin consultarea direct a seciunilor privind CoE. Practicienii din statele membre ale UE vor trebui s acceseze ambele seciuni, ntruct aceste state se
afl sub incidena ambelor ordini juridice. Persoanele care au nevoie de informaii
suplimentare despre un anumit aspect au la dispoziie o list de trimiteri la materiale
mai specializate n seciunea Lecturi suplimentare din manual.

11

Manual de legislaie european privind proteciadatelor

Legislaia CoE este prezentat prin scurte trimiteri la o selecie de cazuri ale Curii
Europene a Drepturilor Omului (CEDO). Acestea au fost alese dintr-un numr mare
de hotrri i decizii CEDO existente cu privire la aspecte legate de protecia datelor.
Legislaia UE este disponibil n msurile legislative adoptate, n dispoziiile relevante
ale tratatelor i n Carta Drepturilor Fundamentale a Uniunii Europene, astfel cum
sunt interpretate n jurisprudena Curii de Justiie a Uniunii Europene [CJUE, denumit
Curtea European de Justiie (CEJ) nainte de anul 2009 ].
Jurisprudena descris sau citat n prezentul manual ofer exemple de o importan
semnificativ att pentru jurisprudena CEDO, ct i pentru cea a CJUE. Orientrile
de la sfritul prezentului ghid sunt destinate s ajute cititorul n cutarea online a
jurisprudenei.
n plus, ilustraii practice cu scenarii ipotetice sunt oferite n casete de text pentru o
mai bun exemplificare a aplicrii n practic a normelor europene privind protecia
datelor, n special acolo unde nu exist o jurispruden CEDO sau CJUE specific pe
tema respectiv.
Manualul ncepe cu o scurt descriere a rolului celor dou sisteme juridice, rol stabilit prin legislaia Conveniei europene a drepturilor omului i dreptul UE (capitolul1).
Capitolele2-8 trateaz urmtoarele aspecte:
terminologia n domeniul proteciei datelor;
principiile-cheie ale legislaiei europene privind protecia datelor;
normele legislaiei europene privind protecia datelor;
drepturile persoanei vizate i aplicarea acestora;
fluxurile transfrontaliere de date;
protecia datelor n contextul poliiei i justiiei penale;
alte legi europene specifice privind protecia datelor.

12


Contextul i cadrul
legislaiei europene
privind protecia datelor
UE

Aspecte vizate

Dreptul la protecia datelor


Directiva 95/46/CE privind protecia
persoanelor fizice n ceea ce privete
prelucrarea datelor cu caracter personal
i libera circulaie a acestor date (Directiva
privind protecia datelor), MO1995L281

CoE
Convenia european
a drepturilor omului,
articolul8 (dreptul la
respectarea vieii private i
de familie, a domiciliului i a
corespondenei)
Convenia pentru protejarea
persoanelor fa de
prelucrarea automatizat a
datelor cu caracter personal
(Convenia 108)

Echilibrarea drepturilor
CJUE, Cauzele conexate C-92/09 i
C-93/09, Volker und Markus Schecke GbR
i Hartmut Eifert /Land Hessen, 2010
CJUE, C-73/07, Tietosuojavaltuutettu/
Satakunnan Markkinaprssi Oy i
Satamedia Oy, 2008

CJUE, C-275/06, Productores de Msica


de Espaa (Promusicae)/Telefnica de
Espaa SAU, 2008
CJUE, C-28/08P, Comisia European/The
Bavarian Lager Co. Ltd, 2010

n general

Libertatea de
exprimare

CEDO, Axel Springer AG/


Germania, 2012

CEDO, Mosley/Regatul Unit,


2011
Libertatea artelor i CEDO, Vereinigung bildender
tiinelor
Knstler/Austria, 2007
Protecia
proprietii
Accesul la
documente

CEDO, Trsasg a
Szabadsgjogokrt/Ungaria,
2009

13

Manual de legislaie european privind proteciadatelor

1.1. Dreptul la protecia datelor


Puncte-cheie

n conformitate cu articolul 8 din Convenia european a drepturilor omului, dreptul


de protecie mpotriva colectrii i utilizrii datelor cu caracter personal face parte din
dreptul la respectarea vieii private i de familie, a domiciliului i a corespondenei.

Convenia108 a CoE este primul instrument internaional obligatoriu din punct de


vedere juridic care trateaz n mod explicit protecia datelor.

n temeiul dreptului UE, protecia datelor a fost reglementat pentru prima dat prin
Directiva privind protecia datelor.

n temeiul dreptului UE, protecia datelor a fost recunoscut ca drept fundamental.

Dreptul de a proteja sfera privat a unei persoane fizice mpotriva intruziunii din partea altora, n special din partea statului, a fost prevzut pentru prima dat n cadrul
unui instrument juridic internaional n articolul12 din Declaraia Universal a Drepturilor Omului(DUDO) din 1948 a Organizaiei Naiunilor Unite(ONU) privind respectarea vieii private i de familie1. DUDO a influenat dezvoltarea n Europa a altor
instrumente pentru drepturile omului.

1.1.1. Convenia european a drepturilor omului


Consiliul Europei a luat fiin imediat dup cel de-al Doilea Rzboi Mondial pentru a
reuni statele Europei n vederea promovrii principiului statului de drept, democraiei, drepturilor omului i dezvoltrii sociale. n acest sens, a adoptat n 1950 Convenia european a drepturilor omului (ECHR), care a intrat n vigoare n1953.
Statele au obligaia internaional de a respecta ECHR. Toate statele membre ale CoE
au integrat sau au aplicat deja Convenia european a drepturilor omului n legislaia lor naional, fapt care le oblig s acioneze n conformitate cu dispoziiile
conveniei.
Pentru a garanta respectarea de ctre prile contractante a obligaiilor ce le revin n
conformitate cu Convenia european a drepturilor omului, n anul1959 a fost nfiinat la Strasbourg, n Frana, Curtea European a Drepturilor Omului(CEDO). CEDO se
1 OrganizaiaNaiunilorUnite(ONU), Declaraia Universal a Drepturilor Omului (DUDO),
10decembrie1948.

14

Contextul i cadrul legislaiei europene privind protecia datelor

asigur c statele i respect obligaiile ce le revin n conformitate cu convenia prin


tratarea plngerilor formulate de persoane fizice, grupuri de persoane, ONG-uri sau
persoane juridice, care invoc nclcri ale conveniei. n anul2013, Consiliul Europei
cuprindea 47de state membre, 28dintre acestea fiind i state membre ale UE. Un
reclamant la CEDO nu trebuie s fie resortisant al unuia dintre statele membre. CEDO
poate examina i cauzele interstatale introduse de unul sau mai multe state membre
ale CoE mpotriva unui alt stat membru.
Dreptul la protecia datelor cu caracter personal se numr printre drepturile protejate n temeiul articolului8 din Convenia european a drepturilor omului, care garanteaz dreptul la respectarea vieii private i de familie, a domiciliului i a corespondenei i stabilete condiiile n baza crora sunt permise limitri ale acestui drept2.
Jurisprudena CEDO a examinat numeroase situaii n care au aprut aspecte legate
de protecia datelor, n special situaii cu privire la intercepia comunicrilor3, diferite
forme de supraveghere4 i protecia mpotriva stocrii datelor cu caracter personal
de ctre autoritile publice5. Aceasta a clarificat faptul c articolul8 din Convenia
european a drepturilor omului nu numai c oblig statele s nu ntreprind vreo
aciune care ar putea nclca dreptul prevzut de convenie, ci prevede i c acestea
sunt supuse, n anumite mprejurri, obligaiilor pozitive de a asigura n mod activ
respectarea efectiv a vieii private i de familie6. Multe dintre aceste cazuri vor fi
analizate n detaliu n capitolele corespunztoare.

1.1.2. Convenia 108 a Consiliului Europei


Odat cu apariia tehnologiei informaiei n anii1960, a crescut tot mai mult necesitatea unor norme mai detaliate pentru protecia persoanelor fizice prin protejarea
datelor acestora (cu caracter personal). Pn la mijlocul anilor 1970, Comitetul de
Minitri al Consiliului Europei a adoptat diferite rezoluii privind protecia datelor cu
caracter personal, cu referire la articolul8 din Convenia european a drepturilor

2 CoE, Convenia european a drepturilor omului, CETS nr. 005, 1950.


3

A se vedea, de exemplu, Hotrrea CEDO din 2 august 1984 n cauza Malone/Regatul Unit, nr. 8691/79;
Hotrrea CEDO din 3aprilie2007 n cauza Copland/Regatul Unit, nr.62617/00.

A se vedea, de exemplu, Hotrrea CEDO din 6 septembrie 1978 n cauza Klass i alii/Germania,
nr.5029/71; Hotrrea CEDO din 2septembrie2010 n cauza Uzun/Germania, nr.35623/05.

A se vedea, de exemplu, Hotrrea CEDO din 26martie1987 n cauza Leander/Suedia, nr.9248/81;


Hotrrea CEDO din 4decembrie2008 n cauza S. i Marper/Regatul Unit, nr.30562/04 i nr.30566/04.

A se vedea, de exemplu, Hotrrea CEDO din 17 iulie 2008, I./Finlanda, nr.20511/03; Hotrrea CEDO
din 2decembrie2008 n cauza K.U./Finlanda, nr.2872/02.

15

Manual de legislaie european privind proteciadatelor

omului7. n anul 1981, a fost deschis spre semnare o Convenie pentru protejarea
persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (Convenia 108)8. Convenia 108 a fost, i rmne nc, singurul instrument internaional
obligatoriu din punct de vedere juridic n domeniul proteciei datelor.
Convenia108 se aplic tuturor prelucrrilor de date efectuate att n sectorul

public,
ct i n cel privat, cum ar fi prelucrrile de date efectuate de sistemul judiciar i autoritile de aplicare a legii. Aceasta protejeaz persoanele mpotriva abuzurilor care
pot nsoi colectarea i prelucrarea datelor cu caracter personal i, totodat, urmrete s reglementeze fluxul transfrontalier de date cu caracter personal. n ceea ce
privete colectarea i prelucrarea datelor cu caracter personal, principiile stabilite n
convenie se refer, n special, la colectarea i prelucrarea automatizat corect i
legal a datelor, stocarea n scopuri determinate i legitime, utilizarea numai n scopuri compatibile cu acestea i pstrarea ntr-o form care s permit identificarea
persoanelor n cauz pe o durat ce nu o depete pe cea necesar scopurilor pentru care datele sunt nregistrate. Principiile vizeaz, de asemenea, calitatea datelor, n
special faptul c acestea trebuie s fie adecvate, pertinente i neexcesive (principiul
proporionalitii), precum i exacte
Pe lng faptul c ofer garanii pentru colectarea i prelucrarea datelor cu caracter
personal, convenia interzice, n absena unor garanii juridice adecvate, prelucrarea
datelor sensibile, precum cele referitoare la originea rasial, opiniile politice, starea
de sntate, convingerile religioase, viaa sexual sau condamnrile penale.
Convenia consacr, de asemenea, dreptul unei persoane fizice de a fi informat cu
privire la stocarea informaiilor sale cu caracter personal i, dac este cazul, de a solicita corectarea acestora. Limitarea drepturilor prevzute n convenie este posibil
numai atunci cnd sunt n joc interese prioritare, cum ar fi securitatea statului sau
aprarea.
Dei convenia prevede libera circulaie a datelor cu caracter personal ntre statele
semnatare ale conveniei, aceasta impune i unele restricii asupra fluxurilor de date
ctre statele n care reglementrile juridice nu prevd o protecie echivalent.

16

CoE, Comitetul de Minitri (1973), Rezoluia(73)22 privind protejarea vieii private a persoanelor n ceea
ce privete bazele de date electronice din sectorul privat, 26septembrie1973; CoE, Comitetul de Minitri
(1974), Rezoluia(74)29 privind protejarea vieii private a persoanelor n ceea ce privete bazele de
date electronice din sectorul public, 20septembrie1974.

CoE, Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter


personal, Consiliul Europei, CETS nr. 108, 1981.

Contextul i cadrul legislaiei europene privind protecia datelor

Pentru a dezvolta n continuare principiile generale i normele prevzute de Convenia 108, Comitetul de Minitri al CoE a adoptat mai multe recomandri fr caracter
obligatoriu din punct de vedere juridic (a se vedea capitolele 7 i 8).
Toate statele membre ale UE au ratificat Convenia 108. n 1999, Convenia 108 a
fost modificat pentru a permite UE s devin parte la aceasta.9 n 2001, a fost adoptat un Protocol adiional la Convenia 108, care introduce dispoziii privind fluxurile
transfrontaliere de date ctre rile care nu sunt parte la convenie, aa-numitele ri
tere, i cu privire la nfiinarea obligatorie a autoritilor naionale de supraveghere
a proteciei datelor.10.

Perspective
Ca urmare a deciziei de modernizare a Conveniei108, o consultare public desfurat n 2011 a fcut posibil confirmarea celor dou obiective principale ale acestei
lucrri: sporirea proteciei vieii private n domeniul digital i consolidarea mecanismului de urmrire al conveniei.
Convenia108 este deschis pentru aderare statelor non-membre ale CoE, inclusiv
rilor din afara Europei. Potenialul conveniei ca standard universal i caracterul su
deschis pot servi drept baz pentru promovarea proteciei datelor la nivel mondial.
Pn n prezent, 45 dintre cele 46 de pri contractante ale Conveniei108 sunt state
membre ale CoE. Uruguay, prima ar din afara Europei, a aderat n luna august a
anului 2013, iar Maroc, care a fost invitat de Comitetul de Minitri s adere la Convenia108, se afl n proces de oficializare a aderrii.

1.1.3. Legislaia Uniunii Europene privind protecia datelor


Dreptul UE este format din tratate i legislaie european secundar. Tratatele, i
anume Tratatul privind Uniunea European (TUE) i Tratatul privind funcionarea Uniunii Europene (TFUE), au fost aprobate de toate statele membre ale UE i sunt, de
asemenea, denumite legislaia european primar. Regulamentele, directivele i
9

CoE, Amendamente la Convenia pentru protecia persoanelor cu privire la prelucrarea automat a datelor
cu caracter personal (ETS No.108), care s permit Uniunii Europene s adere, adoptat de Comitetul de
Minitri, la Strasbourg, la 15iunie1999; Art.23(2) din Convenia108, n forma sa modificat.

10 CoE, Protocol adiional la Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a


datelor cu caracter personal privind autoritile de supraveghere i fluxurile transfrontaliere de date,
CETSnr.181,2001.

17

Manual de legislaie european privind proteciadatelor

deciziile UE au fost adoptate de instituiile UE care au primit aceast autoritate n


baza tratatelor; deseori, acestea sunt denumite legislaia european secundar.
Principalul instrument juridic al UE pentru protecia datelor este Directiva 95/46/CE a
Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i libera
circulaie a acestor date (Directiva privind protecia datelor)11. A fost adoptat n
anul1995, ntr-un moment n care mai multe state membre adoptaser deja legislaii naionale privind protecia datelor. Libera circulaie a mrfurilor, capitalurilor, serviciilor i persoanelor n cadrul pieei interne necesita un flux liber de date, care nu se
putea realiza dac statele membre nu se puteau baza pe un nivel uniform ridicat de
protecie a datelor.
ntruct scopul adoptrii Directivei privind protecia datelor a fost armonizarea12
legislaiei privind protecia datelor la nivel naional, directiva i permite un grad de
specificitate comparabil cu cel al legislaiilor naionale privind protecia datelor existente (la acel moment). Pentru CJUE, Directiva 95/46 urmrete s asigure c nivelul de protecie a drepturilor i libertilor persoanelor n ceea ce privete prelucrarea
datelor cu caracter personal este echivalent n toate statele membre. [] Apropierea
legislaiilor naionale n acest domeniu nu trebuie s duc la scderea proteciei pe
care o ofer, ci trebuie, dimpotriv, s ncerce asigure un nivel nalt de protecie n
cadrul UE. Aadar, [] armonizarea acestor reglementri naionale nu se limiteaz la
o minim concordan, ci nseamn o armonizare complet.13 n consecin, statele
membre au limitat doar libertatea de aciune n momentul implementrii directivei
Directiva privind protecia datelor este conceput astfel nct s concretizeze principiile dreptului la via privat incluse deja n Convenia108 i s le extind. Faptul c
toate cele 15 state membre ale UE din 1995 erau i pri contractante ale Conveniei108 exclude adoptarea unor norme contradictorii n cadrul acestor dou instrumente juridice. Cu toate acestea, Directiva privind protecia datelor se sprijin pe
posibilitatea, prevzut la articolul11 din Convenia108, de adugare a unor instrumente de protecie. n special, introducerea supravegherii independente ca instrument de mbuntire a conformitii cu normele privind protecia datelor sa dovedit
a fi o contribuie important la funcionarea eficient a legislaiei europene privind

18

11

Directiva privind protecia datelor, MO1995L281, p.31.

12

A se vedea, de exemplu, Directiva privind protecia datelor, considerentele1, 4, 7 i 8.

13

Hotrrea CJUE din 24 noiembrie 2011 n cauzele comune C-468/10 i C-469/10, Asociacin Nacional
de Establecimientos Financieros de Crdito (ASNEF) i Federacin de Comercio Electrnico y Marketing
Directo (FECEMD)/Administracin del Estado, alineatele2829.

Contextul i cadrul legislaiei europene privind protecia datelor

protecia datelor (n consecin, aceast caracteristic a fost preluat n cadrul legislaiei CoE n 2001 prin Protocolul adiional la Convenia108).
Aplicarea teritorial a Directivei privind protecia datelor se extinde dincolo de cele
28 de state membre ale UE, incluznd i statele non-membre ale UE care fac parte
din Spaiul Economic European (SEE)14 i anume, Islanda, Liechtenstein i Norvegia.
CJUE de la Luxemburg are jurisdicia de a stabili dac un stat membru i-a ndeplinit
obligaiile n conformitate cu Directiva privind protecia datelor i de a adopta decizii
preliminare cu privire la valabilitatea i interpretarea directivei, pentru a asigura aplicarea eficient i uniform a acesteia n statele membre. O excepie important de
la aplicabilitatea Directivei privind protecia datelor este aa-numita excepie referitoare la activitile domestice, i anume prelucrarea datelor cu caracter personal de
ctre o persoan fizic n cursul unei activiti exclusiv personale sau domestice15.
Acest tip de prelucrare este considerat, n general, ca fcnd parte din libertile persoanelor fizice.
Corespunztor legislaiei primare a UE n vigoare la data adoptrii Directivei privind
protecia datelor, domeniul de aplicare material al directivei se limiteaz la aspectele
pieei interne. n afara domeniului su de aplicare se situeaz, cel mai important,
aspectele legate de cooperarea poliieneasc i judiciar n materie penal. Protecia
datelor n aceste privine rezult din diferite instrumente juridice, care sunt descrise
detaliat n capitolul7.
Avnd n vedere c Directiva privind protecia datelor se adresa numai statelor
membre ale UE, era necesar un instrument juridic suplimentar pentru a stabili protecia datelor pentru prelucrarea datelor cu caracter personal de ctre instituiile i
organismele UE. Regulamentul (CE) nr.45/2001 privind protecia persoanelor fizice
cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele
comunitare i privind libera circulaie a acestor date (Regulamentul privind protecia
datelor de ctre instituiile europene) ndeplinete aceast atribuie16.
n plus, chiar i n domeniile vizate de Directiva privind protecia datelor, sunt deseori necesare dispoziii mai detaliate privind protecia datelor n scopul obinerii
14

Acordul privind Spaiul Economic European, MO1994L1, care a intrat n vigoare la 1ianuarie1994.

15

Directiva privind protecia datelor, articolul3alineatul (2) a doua liniu.

16

Regulamentul (CE) nr.45/2001 al Parlamentului European i al Consiliului din 18decembrie2000 privind


protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i
organele comunitare i privind libera circulaie a acestor date, MO2001L8.

19

Manual de legislaie european privind proteciadatelor

claritii necesare pentru echilibrarea altor interese legitime. Dou astfel de exemple
sunt Directiva2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice (Directiva asupra confidenialitii i
comunicaiilor electronice)17 i Directiva2006/24/CE privind pstrarea datelor generate sau prelucrate n legtur cu furnizarea serviciilor de comunicaii electronice
accesibile publicului sau de reele de comunicaii publice i de modificare a Directivei2002/58/CE (Directiva privind pstrarea datelor)18 (declarat invalid la 8 aprilie
2014). Alte exemple vor fi discutate n capitolul8. Aceste dispoziii trebuie s fie n
conformitate cu Directiva privind protecia datelor.

Carta Drepturilor Fundamentale a Uniunii Europene


Tratatele iniiale ale Comunitilor Europene nu conineau referiri la drepturile
omului sau la protecia acestora. ntruct naintea Curii Europene de Justiie (CEJ)
ajungeau la acea vreme cauze n care erau invocate nclcri ale drepturilor omului
n domenii din sfera de aplicare a legislaiei europene, aceasta a elaborat o nou
abordare. Pentru a oferi protecie persoanelor fizice, a inclus drepturile fundamentale n aanumitele principii generale de drept european. Conform CJUE, aceste
principii generale reflect coninutul proteciei drepturilor omului n constituiile
naionale i tratatele privind drepturile omului, n special n Convenia european a
drepturilor omului. CJUE a declarat c va asigura conformitatea dreptului european
cu aceste principii.
Recunoscnd faptul c politicile sale pot avea impact asupra drepturilor omului i
ntr-un efort de a face cetenii s se simt mai aproape de UE, n anul2000 UE
a proclamat Carta Drepturilor Fundamentale a Uniunii Europene (Carta). Aceast
Cart ncorporeaz ntreaga gam de drepturi civile, politice, economice i sociale
ale cetenilor europeni, sintetiznd tradiiile constituionale i obligaiile internaionale comune statelor membre. Drepturile descrise n Cart se mpart n ase seciuni:
demnitate, libertate, egalitate, solidaritate, drepturile cetenilor i justiie.

20

17

Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12iulie2002 privind prelucrarea


datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice (Directiva asupra
confidenialitii i comunicaiilor electronice), MO2002L201.

18

Directiva 2006/24/CE a Parlamentului European i a Consiliului din 15martie2006 privind pstrarea


datelor generate sau prelucrate n legtur cu furnizarea serviciilor de comunicaii electronice accesibile
publicului sau de reele de comunicaii publice i de modificare a Directivei 2002/58/CE, (Directiva
privind pstrarea datelor), MO2006L105, declarat invalid la 8aprilie2014.

Contextul i cadrul legislaiei europene privind protecia datelor

Dei iniial a fost doar un document politic, Carta a dobndit caracter juridic obligatoriu19 ca legislaie primar a UE [a se vedea articolul6alineatul (1) din TUE)] odat cu
intrarea n vigoare a Tratatului de la Lisabona la 1decembrie200920.
Legislaia primar a UE include, de asemenea, competena general a UE de a legifera n materie de protecie a datelor (articolul16 din TFUE).
Carta nu numai c asigur respectarea vieii private i familial (articolul7), dar
stabilete i dreptul la protecia datelor (articolul8), ridicnd n mod explicit nivelul acestei protecii la acela de drept fundamental n temeiul legislaiei europene.
Instituiile UE i statele membre trebuie s respecte i s garanteze acest drept,
care este, de asemenea, valabil n cazul statelor membre atunci cnd pun n aplicare
legislaia Uniunii (articolul51 din Cart). Formulat la civa ani dup Directiva privind
protecia datelor, articolul8 din Cart trebuie neles ca ncorpornd legislaia european preexistent privind protecia datelor. Prin urmare, Carta nu numai c menioneaz explicit dreptul la protecia datelor la articolul8alineatul (1), dar face referire
i la principiile-cheie privind protecia datelor la articolul8alineatul (2). n cele din
urm, articolul8alineatul (3) din Cart garanteaz c o autoritate independent va
controla respectarea acestor principii.

Perspective
n luna ianuarie2012, Comisia European a propus un pachet de reform privind protecia datelor, declarnd c normele actuale privind protecia datelor trebuie modernizate prin prisma evoluiilor tehnologice rapide i a globalizrii. Pachetul de reform
const ntr-o propunere de Regulament general privind protecia datelor21, destinat
s nlocuiasc Directiva privind protecia datelor, precum i ntr-o nou Directiv privind protecia datelor22, care s prevad protecia datelor n domeniile cooperrii
poliieneti i judiciare n materie penal. La data publicrii prezentului manual, discuia referitoare la pachetul de reform era n plin desfurare.
19

UE (2012), Carta Drepturilor Fundamentale a Uniunii Europene, MO2012C326.

20

A se vedea versiunea consolidat a Comunitilor Europene (2012), Tratatul privind Uniunea European,
MO2012C326; i versiunea consolidat a Comunitilor Europene (2012), TFUE, MO2012C326.

21

Comisia European (2012), Propunere de regulament al Parlamentului European i al Consiliului


privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal i libera
circulaie a acestor date (Regulament general privind protecia datelor), COM(2012)11final, Bruxelles,
25ianuarie2012.

22

Comisia European (2012), Propunere de directiv a Parlamentului European i a Consiliului privind


protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile
competente n scopul prevenirii, identificrii, investigrii sau urmririi penale a infraciunilor sau al
executrii pedepselor i la libera circulaie a acestor date (Directiva general privind protecia datelor),
COM(2012)10 final, Bruxelles, 25ianuarie2012.

21

Manual de legislaie european privind proteciadatelor

1.2. Echilibrarea drepturilor


Puncte-cheie

Dreptul la protecia datelor nu este un drept absolut; acesta trebuie echilibrat cu alte
drepturi.

Dreptul fundamental la protecia datelor cu caracter personal n temeiul articolului8


din Cart nu este totui o prerogativ absolut, ci trebuie s fie luat n considerare n
raport cu funcia sa n societate23. Articolul52alineatul (1) din Cart admite, astfel, c
pot fi impuse restrngeri ale exerciiului unor drepturi, precum cele consacrate la articolele7 i8 din aceasta, n msura n care aceste restrngeri sunt prevzute de lege,
respect substana acestor drepturi i liberti i, prin respectarea principiului proporionalitii, sunt necesare i rspund efectiv obiectivelor de interes general recunoscute
de Uniunea European sau necesitii protejrii drepturilor i libertilor altora24.
n cadrul sistemului Conveniei europene a drepturilor omului, protecia datelor este
asigurat prin articolul 8 (dreptul la respectarea vieii private i familiale) i, la fel ca
n cadrul sistemului Cartei, acest drept trebuie s fie aplicat cu respectarea domeniului de aplicare al altor drepturi concurente. n conformitate cu articolul 8alineatul (2)
din Convenia european a drepturilor omului, nu este admis amestecul unei autoriti publice n exercitarea acestui drept dect n msura n care acesta este prevzut
de lege i constituie, ntr-o societate democratic, o msur necesar [] pentru protecia drepturilor i a libertilor altora.
n consecin, att CEDO, ct i CJUE au declarat n repetate rnduri c este necesar
un exerciiu de echilibrare cu alte drepturi n momentul aplicrii i interpretrii articolului8 din Convenia european a drepturilor omului i articolului8 din Cart25. Mai
multe exemple sugestive vor ilustra modul n care se realizeaz acest echilibru.

22

23

A se vedea, de exemplu, Hotrrea CJUE din 9noiembrie2010 n cauzele conexate C-92/09 i C-93/09,
Volker und Markus Schecke GbR i Hartmut Eifert/Land Hessen, punctul48.

24

Ibidem, punctul50.

25

Hotrrea CEDO din 7februarie2012 n cauza Von Hannover/Germania (nr. 2) [T], nr.40660/08
i 60641/08; Hotrrea CJUE din 24noiembrie2011 n cauzele conexate C-468/10 i C-469/10,
Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) i Federacin de Comercio
Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, punctul48; Hotrrea CJUE din
29ianuarie2008 n cauza Productores de Msica de Espaa (Promusicae)/Telefnica de Espaa SAU,
C-275/06, punctul68. A se vedea, de asemenea, Consiliul Europei (2013), jurisprudena Curii Europene
a Drepturilor Omului n ceea ce privete protecia datelor cu caracter personal, Jurisprudena DP (2013),
disponibil la: www.coe.int/t/dghl/standardsetting/dataprotection/Judgments/DP%202013%20
Case%20Law_Eng%20%28final%2018%2007%202013%29.pdf.

Contextul i cadrul legislaiei europene privind protecia datelor

1.2.1. Libertatea de exprimare


Unul dintre drepturile care poate intra n conflict cu dreptul la protecia datelor este
dreptul la libertatea de exprimare.
Libertatea de exprimare este protejat prin articolul11 din Cart (Libertatea de
exprimare i de informare). Acest drept cuprinde libertatea de opinie i libertatea
de a primi sau de a transmite informaii sau idei fr implicarea autoritilor publice
i fr a ine seama de frontiere. Articolul11 corespunde articolului10 din Convenia european a drepturilor omului. n conformitate cu articolul52alineatul (3) din
Cart, n msura n care prezenta cart conine drepturi ce corespund unor drepturi
garantate prin Convenia european a drepturilor omului, nelesul i scopul lor sunt
aceleai ca i cele prevzute de convenia menionat. Prin urmare, limitrile care
pot fi impuse legal asupra dreptului garantat prin articolul11 din Cart nu pot depi
limitrile prevzute la articolul10 alineatul(2) din Convenia european a drepturilor
omului, adic, trebuie s fie prevzute de lege i s constituie, ntr-o societate democratic, o msur necesar pentru protecia [] reputaiei sau a drepturilor altora.
Acest concept se refer la dreptul la protecia datelor.
Relaia dintre protecia datelor cu caracter personal i libertatea de exprimare este
reglementat de articolul9 din Directiva privind protecia datelor, denumit Prelucrarea datelor cu caracter personal i libertatea de exprimare26. Potrivit acestui articol, statele membre prevd derogri i limitri de la dispoziiile prezentului capitol,
ale capitolului IV i ale capitolului VI pentru prelucrarea datelor cu caracter personal efectuat numai n scopuri jurnalistice, artistice sau literare, n msura n care se
dovedesc necesare pentru a pune dreptul la via privat n acord cu normele care
reglementeaz libertatea de exprimare.
Exemplu: n cauza Tietosuojavaltuutettu/Satakunnan Markkinaprssi Oy i Satamedia Oy,27 CJUE a fost solicitat s interpreteze articolul9 din Directiva privind
protecia datelor i s defineasc raportul dintre protecia datelor i libertatea
presei. Curtea a trebuit s examineze diseminarea de ctre Markkinaprssi i
Satamedia a datelor fiscale aparinnd unui numr de aproximativ 1,2 milioane
de persoane fizice, obinute legal de la autoritile fiscale finlandeze. n special,
Curtea a trebuit s verifice dac prelucrarea datelor cu caracter personal, puse

26

Directiva privind protecia datelor, articolul9.

27

Hotrrea CJUE din 16decembrie2008 n cauza Tietosuojavaltuutettu/Satakunnan Markkinaprssi Oy i


Satamedia Oy, C-73/07, punctele56, 61 i62.

23

Manual de legislaie european privind proteciadatelor

la dispoziie de autoritile fiscale, pentru a permite utilizatorilor de telefonie


mobil s primeasc datele fiscale ale altor persoane fizice trebuie s fie considerat ca fiind o activitate ntreprins numai n scopuri jurnalistice. Dup ce
a concluzionat c activitile Satakunnan reprezentau prelucrare de date cu
caracter personal n sensul articolului3alineatul (1) din Directiva privind protecia datelor, Curtea a procedat la interpretarea articolului9 din directiv. Curtea a remarcat, n primul rnd, importana dreptului la libertatea de exprimare
n fiecare societate democratic i a considerat c noiunile legate de aceast
libertate, cum ar fi jurnalismul, trebuie interpretate n sens larg. Apoi a observat
c, pentru a obine un echilibru ntre cele dou drepturi fundamentale, derogrile i limitrile dreptului la protecia datelor trebuie aplicate numai n msura
n care sunt strict necesare. n aceste situaii, Curtea a considerat c activiti
precum cele ntreprinse de Markkinaprssi i Satamedia privind datele incluse
n documente care aparin domeniului public n baza legislaiei naionale, pot fi
clasificate drept activiti jurnalistice n cazul n care obiectivul acestora este
acela de a comunica informaii, opinii sau idei publicului, indiferent de suportul
utilizat pentru transmiterea acestora. Curtea a hotrt, de asemenea, c aceste
activiti nu se limiteaz la activitile media i pot fi ntreprinse n scopuri lucrative. Cu toate acestea, CJUE a lsat la aprecierea instanei naionale s stabileasc dac acest lucru este valabil n aceast situaie special.
n ceea ce privete punerea dreptului la protecia datelor n acord cu dreptul la libertatea de exprimare, CEDO a emis o serie de hotrri de referin.
Exemplu: n cauza Axel Springer AG/Germania28, CEDO a considerat c interdicia
impus de o instan intern proprietarului unui ziar care dorea s publice un
articol cu privire la arestarea i condamnarea unui actor cunoscut nclca dispoziiile articolului10 din Convenia european a drepturilor omului. CEDO a reiterat criteriile pe care le stabilise n jurisprudena sa atunci cnd a echilibrat dreptul la libertatea de exprimare cu dreptul la respectarea vieii private:
n primul rnd, dac evenimentul pe care articolul publicat l-a vizat era de
interes general: arestarea i condamnarea unei persoane constituie un fapt
judiciar i, prin urmare, este de interes public;

28

24

Hotrrea CEDO din 7februarie2012 n cauza Axel Springer AG/Germania [T], nr.39954/08,
punctele90 i91.

Contextul i cadrul legislaiei europene privind protecia datelor

n al doilea rnd, dac persoana n cauz era o persoan public: persoana n


cauz era un actor suficient de cunoscut pentru a se califica drept persoan
public i
n al treilea rnd, modul n care informaiile au fost obinute i credibilitatea
acestora: informaiile au fost oferite de Parchet, iar exactitatea informaiilor
din ambele publicaii nu a fost contestat ntre pri.
Prin urmare, CEDO a hotrt c restriciile de publicare impuse societii nu au
fost proporionale n mod rezonabil cu obiectivul legitim de protejare a vieii private a reclamantului. Curtea a concluzionat c articolul10 din Convenia european a drepturilor omului a fost nclcat.
Exemplu: n cauza Von Hannover/Germania (nr.2)29, CEDO nu a constatat nicio
nclcare a dreptului de respectare a vieii private n temeiul articolului8 din
Convenia european a drepturilor omului, atunci cnd Prinesei Caroline de
Monaco i-a fost respins interdicia mpotriva publicrii unei fotografii a sa i a
soului su n timp ce se aflau n vacan la schi. Fotografia era nsoit de un
articol care prezenta, printre altele, i informaii despre starea de sntate precar a Prinului Rainier. CEDO a concluzionat c instanele interne au echilibrat
atent dreptul la libertatea de exprimare al editurilor cu dreptul reclamanilor la
respectarea vieii private. Caracterizarea strii de sntate a prinului Rainier de
ctre instanele interne drept un eveniment al societii contemporane nu putea
fi considerat iraional, iar CEDO a admis c fotografia, analizat prin prisma
articolului, contribuie, cel puin ntr-o anumit msur, la o dezbatere de interes
general. Curtea s-a pronunat c nu a existat nicio nclcare a articolului8 din
Convenia european a drepturilor omului.
n jurisprudena CEDO, unul dintre criteriile eseniale referitoare la echilibrarea acestor drepturi se refer la msura n care exprimarea n spe contribuie sau nu la o
dezbatere de interes public general.
Exemplu: n cauza Mosley/Regatul Unit,30 un sptmnal naional a publicat
fotografii intime ale reclamantului. Acesta a invocat ulterior nclcarea articolului8 din Convenia european a drepturilor omului, ntruct nu a putut solicita
29

Hotrrea CEDO din 7 februarie 2012 n cauza Von Hannover/Germania (nr. 2) [T], nr.40660/08 i
60641/08, punctele118 i 124.

30

Hotrrea CEDO din 10 mai 2011 n cauza Mosley/Regatul Unit, nr.48009/08, punctele129 i 130.

25

Manual de legislaie european privind proteciadatelor

interzicerea publicrii fotografiilor n cauz pe motivul absenei unei cerine de


notificare prealabil pentru ziar n cazul publicrii unui material care poate aduce
atingere dreptului unei persoane la via privat. Dei difuzarea acestui material a avut, n general, scop de divertisment, i nu educaional, a beneficiat fr
ndoial de protecia articolului10 din Convenia european a drepturilor omului, care poate ceda n faa cerinelor articolului8 din Convenia european a
drepturilor omului, n cazul n care informaiile sunt personale i nu exist niciun
interes public n difuzarea acestora. Cu toate acestea, s-a acordat o atenie deosebit examinrii constrngerilor care ar putea funciona ca form de cenzur
anterior publicrii. n ceea ce privete efectul de intimidare pe care lar putea
genera cerina de notificare prealabil, incertitudinile legate de eficiena acestuia i marja larg de apreciere n acel domeniu, CEDO a concluzionat c nu este
obligatorie existena unei condiii legale de notificare prealabil, n conformitate
cu articolul8. n consecin, Curtea s-a pronunat c nu a existat nicio nclcare
a articolului8.
Exemplu: n cauza Biriuk/Lituania31, reclamanta a pretins daune unui cotidian pe
motiv c publicase un articol n care relata c aceasta era seropozitiv. Pretinsa
informaie fusese confirmat de cadrele medicale de la spitalul local. CEDO nu a
considerat c articolul n cauz contribuie la o dezbatere de interes general i a
reiterat c protecia datelor cu caracter personal, n special a datelor medicale,
are o importan fundamental pentru ca o persoan s se poat bucura de
dreptul la respectarea vieii private i familiale, astfel cum se garanteaz prin
articolul8 din Convenia european a drepturilor omului. Curtea a atribuit o
semnificaie deosebit faptului c, potrivit relatrii cotidianului, personalul medical al unui spital a oferit informaii cu privire la infectarea cu HIV a reclamantei,
aceasta constituind o nclcare evident a obligaiei de a pstra secretul medical. n consecin, statul nu a asigurat dreptul reclamantei la respectarea vieii
sale private. Curtea s-a pronunat asupra nclcrii articolului8.

1.2.2. Accesul la documente


n conformitate cu articolul11 din Cart i articolul10 din Convenia european a
drepturilor omului, libertatea de informare protejeaz nu numai dreptul de a transmite, ci i dreptul de a primi informaii. Se constat din ce n ce mai mult importana
unei guvernri transparente n vederea funcionrii unei societi democratice. n
consecin, n ultimele dou decenii, dreptul de acces la documentele deinute de
31

26

Hotrrea CEDO din 25 februarie 2009 n cauza Biriuk/Lituania, nr.23373/03, 25noiembrie2008.

Contextul i cadrul legislaiei europene privind protecia datelor

autoritile publice a fost recunoscut ca drept important al fiecrui cetean european i al oricrei persoane fizice sau juridice cu domiciliul sau sediul social ntr-un
stat membru.
n temeiul legislaiei CoE, se poate face trimitere la principiile consacrate n Recomandarea privind accesul la documentele oficiale, care a inspirat autorii Conveniei
privind accesul la documentele oficiale (Convenia 205)32. n temeiul dreptului european, dreptul de acces la documente este garantat prin Regulamentulnr.1049/2001
privind accesul public la documentele Parlamentului European, ale Consiliului i ale
Comisiei (Regulamentul privind accesul la documente)33. Articolul42 din Cart i articolul15alineatul (3) din TFUE au extins acest drept de acces la documentele instituiilor, organelor, oficiilor i ageniilor Uniunii, indiferent de suportul pe care se afl
aceste documente. n conformitate cu articolul52alineatul (2) din Cart, dreptul de
acces la documente se exercit, de asemenea, n condiiile i cu respectarea limitelor
stabilite de articolul15alineatul(3) din TFUE. Acest drept poate intra n conflict cu
dreptul la protecia datelor n cazul n care accesul la un document ar dezvlui datele
cu caracter personal ale altora. Prin urmare, este posibil ca solicitrile de acces la
documentele sau informaiile deinute de autoritile publice s presupun echilibrarea cu dreptul la protecia datelor persoanelor ale cror date sunt cuprinse n documentele solicitate.
Exemplu: n cauza Comisia/Bavarian Lager34, CJUE a definit domeniul de aplicare
al proteciei datelor cu caracter personal n contextul accesului la documentele
instituiilor UE i raportul ntre Regulamentul nr.1049/2001 (Regulamentul privind accesul la documente) i Regulamentul nr.45/2001 (Regulamentul privind
protecia datelor). Bavarian Lager, nfiinat n anul 1992, import bere german
mbuteliat n Regatul Unit, n principal pentru pub-uri i baruri. Cu toate acestea,
a ntmpinat dificulti, ntruct legislaia britanic de facto favorizeaz productorii naionali. Ca rspuns la plngerea introdus de Bavarian Lager, Comisia European a decis s formuleze o aciune mpotriva Regatului Unit pentru
nendeplinirea obligaiilor, care a condus la modificarea dispoziiilor contestate
i la alinierea acestora la dreptul european. Ulterior, Bavarian Lager a solicitat
32

Consiliul Europei, Comitetul de Minitri (2002), Recomandarea Rec(2002)2 din 21februarie2002 ctre
statele membre privind accesul la documentele oficiale; Consiliul Europei, Convenia din 18iunie2009
privind accesul la documentele oficiale, CETS nr.205. Convenia nu a intrat nc n vigoare.

33

Regulamentul (CE) nr. 1049/2001 al Parlamentului European i al Consiliului din 30mai2001 cu privire
la accesul public la documentele Parlamentului European, ale Consiliului i ale Comisiei, MO2001L145.

34

Hotrrea CJUE din 29 iunie 2010 n cauza Comisia European/The Bavarian Lager Co. Ltd., C-28/08 P,
punctele60, 63, 76, 78 i 79.

27

Manual de legislaie european privind proteciadatelor

Comisiei, printre alte documente, o copie a procesului-verbal al reuniunii la care


au participat reprezentani ai Comisiei, ai autoritilor britanice i ai Confdration des Brasseurs du March Commun (CBMC). Comisia a fost de acord s
divulge anumite documente cu privire la reuniune, ns a ters cinci nume care
apreau n procesul-verbal, dou persoane obiectnd n mod expres fa de
publicarea identitii lor, iar celelalte trei neputnd fi contactate de ctre Comisie. Prin decizia din 18martie2004, Comisia a respins din nou cererea Bavarian
Lager privind obinerea procesului-verbal integral al reuniunii, citnd, n special,
protecia vieii private a acelor persoane, astfel cum este garantat prin Regulamentul privind protecia datelor. ntruct nu a fost mulumit de aceast poziie,
Bavarian Lager a introdus o aciune naintea Tribunalului de Prim Instan, care
a anulat decizia Comisiei prin hotrrea din 8noiembrie2007 (cauza T-194/04,
Bavarian Lager/Comisia), considernd, n spe, c simpla includere a numelor persoanelor n cauz pe lista persoanelor care au participat la reuniune n
numele organismului pe care l reprezint nu constituie o subminare a vieii private i nu pericliteaz n niciun fel vieile private ale acelor persoane.
La apelul Comisiei, CJUE a anulat hotrrea Tribunalului de Prim Instan. CJUE
a considerat c Regulamentul privind accesul la documente instituie un regim
specific i consolidat de protecie a unei persoane ale crei date cu caracter personal ar putea, eventual, s fie comunicate public. Potrivit CJUE, n cazul n care
o cerere n conformitate cu Regulamentul privind accesul la documente urmrete s obin acces la documente, inclusiv date cu caracter personal, dispoziiile Regulamentului privind protecia datelor devin aplicabile n ansamblul lor.
Potrivit concluziilor ulterioare ale CJUE, Comisia a fost ndreptit s resping
solicitarea de acces la procesulverbal integral al reuniunii din luna octombrie1996. n absena consimmntului celor cinci participani la reuniune,
Comisia i-a respectat suficient ndatorirea de deschidere prin eliberarea unei
versiuni a documentului n cauz n care numele acestora erau terse.
n plus, potrivit CJUE, ntruct Bavarian Lager nu a oferit nicio motivare expres
i legitim i niciun argument convingtor pentru a demonstra necesitatea transferului acestor date personale, Comisia nu a putut s compare diferitele interese ale prilor n cauz. Aceasta nu putea nici s verifice dac nu exista vreun
motiv s se presupun c acest transfer ar putea aduce atingere intereselor
legitime ale persoanelor vizate, astfel precum prevede Regulamentul privind
protecia datelor.

28

Contextul i cadrul legislaiei europene privind protecia datelor

Potrivit acestei hotrri, atingerea adus dreptului la protecia datelor n ceea ce privete accesul la documente necesit o motivare precis i ntemeiat. Dreptul de
acces la documente nu poate anula automat dreptul la protecia datelor35.
Un aspect specific al unei solicitri de acces a fost tratat n urmtoarea hotrre a
CEDO.
Exemplu: n cauza Trsasg a Szabadsgjogokrt/Ungaria36, reclamanta, un
ONG pentru aprarea drepturilor omului, a solicitat Curii Constituionale accesul la informaii privind o cauz aflat pe rol. Fr a se consulta cu membrul
Parlamentului care i adresase cauza, Curtea Constituional a respins solicitarea de acces n temeiul faptului c plngerile care i sunt adresate pot fi puse
la dispoziia strinilor numai cu aprobarea reclamantului. Instanele interne au
aprobat aceast respingere pe motiv c protecia acestor date cu caracter personal nu poate fi anulat de alte interese legale, inclusiv accesul la informaii
publice. Reclamanta a acionat n calitate de entitate de supraveghere social,
activitile sale garantnd o protecie similar celei oferite presei. n legtur cu
libertatea presei, CEDO a considerat n mod consecvent c publicul are dreptul
s primeasc informaii de interes general. Informaiile solicitate de reclamant
erau complete i disponibile i nu necesitau niciun fel de colectare de date.
n aceste circumstane, statul avea obligaia s nu mpiedice fluxul de informaii solicitat de reclamant. Pe scurt, CEDO a considerat c barierele destinate s
mpiedice accesul la informaii de interes public pot descuraja acele persoane
care lucreaz n mass-media sau n domenii asociate n rolul lor vital de entitate
public de supraveghere. Curtea s-a pronunat asupra nclcrii articolului 10.
n temeiul dreptului european, importana transparenei este stabilit n mod
ferm. Principiul transparenei este consacrat n articolele 1 i 10 din TUE i n
articolul 15 alineatul (1) din TFUE 37. Potrivit considerentului 2 din Regulamentul (CE) nr. 1049/2001, aceasta permite cetenilor s participe ndeaproape la

35

A se vedea totui dezbaterile detaliate ale Autoritii Europene pentru Protecia Datelor (AEPD)
(2011), Public access to documents containing personal data after the Bavarian Lager ruling (Accesul
public la documente care conin date cu caracter personal n urma hotrrii din cauza Bavarian Lager),
Bruxelles, 24martie2011, disponibile la: www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/
Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.

36

Hotrrea CEDO din 14 aprilie 2009 n cauza Trsasg a Szabadsgjogokrt/Ungaria, nr.37374/05; a se


vedea punctele27, 36-38.

37

UE (2012), Versiunile consolidate ale Tratatului privind Uniunea European i ale TFUE, MO2012C326.

29

Manual de legislaie european privind proteciadatelor

procesul decizional i garanteaz faptul c administraia beneficiaz de o legitimitate mai mare, este mai eficient i rspunztoare fa de ceteni, ntr-un sistem
democratic38.
Ca urmare a acestei argumentri, Regulamentul (CE) nr.1290/2005 al Consiliului
privind finanarea politicii agricole comune i Regulamentul (CE) nr.259/2008 al
Comisiei de stabilire a normelor de aplicare a Regulamentului (CE) nr.1290/2005
al Consiliului impun publicarea informaiilor despre beneficiarii anumitor fonduri ale
UE din sectorul agricol i a sumelor primite de fiecare beneficiar39. Publicarea ar trebui s contribuie la controlul public al utilizrii adecvate a fondurilor publice de ctre
administraie. Proporionalitatea acestei publicri a fost contestat de mai muli
beneficiari.
Exemplu: n cauza Volker und Markus Schecke i Hartmut Eifert/Land Hessen40,
CJUE a trebuit s se pronune asupra proporionalitii publicrii, impus de
legislaia UE, a numelor beneficiarilor subveniilor agricole ale UE i a sumelor pe
care acetia le-au primit.
Remarcnd faptul c dreptul la protecia datelor nu este absolut, Curtea a argumentat c publicarea pe un site a datelor care denumesc beneficiarii a dou fonduri ale UE de ajutoare pentru agricultur i a sumelor exacte primite constituie
o ingerin n viaa privat, la nivel general, i n protecia datelor cu caracter
personal ale acestora, la nivel particular.
Curtea a considerat c o astfel de atingere adus articolelor7 i 8 din Cart este
prevzut de lege i rspunde unui obiectiv de interes general recunoscut de
UE, i anume, includerea consolidrii transparenei n ceea ce privete utilizarea
fondurilor comunitare. Cu toate acestea, CJUE a considerat c publicarea numelor
persoanelor fizice care sunt beneficiare ale unui ajutor al UE pentru agricultur
n cadrul acestor dou fonduri i a sumelor exacte primite constituie o msur

30

38

Hotrrea CJUE din 6martie2003 n cauza Interporc Im- und Export GmbH/Comisia Comunitilor
Europene, C-41/00P, punctul39; i Hotrrea CJUE din 29iunie2010 n cauza Comisia European/The
Bavarian Lager Co. Ltd., C-28/08P, punctul54.

39

Regulamentul (CE) nr.1290/2005 al Consiliului din 21iunie2005 privind finanarea politicii agricole
comune, MO2005L209; i Regulamentul (CE) nr.259/2008 al Comisiei din 18martie2008 de stabilire
a normelor de aplicare a Regulamentului (CE) nr.1290/2005 al Consiliului n ceea ce privete publicarea
informaiilor referitoare la beneficiarii fondurilor provenite din Fondul European de Garantare Agricol
(FEGA) i din Fondul European Agricol pentru Dezvoltare Rural (FEADR), MO2008L76.

40

Hotrrea CJUE din 9 noiembrie 2010 n cauzele conexate C-92/09 i C-93/09, Volker und Markus
Schecke GbR i Hartmut Eifert /Land Hessen, punctele47-52, 58, 66-67, 75, 86 i 92.

Contextul i cadrul legislaiei europene privind protecia datelor

disproporionat i nejustificat n conformitate cu articolul52alineatul (1) din


Cart. Astfel, Curtea a declarat parial nul legislaia UE privind publicarea informaiilor referitoare la beneficiarii fondurilor europene pentru agricultur.

1.2.3. Libertatea artelor i tiinelor


Un alt drept care s echilibreze dreptul la respectarea vieii private i protecia datelor este libertatea artelor i tiinelor, protejat n mod explicit n temeiul articolului13 din Cart. Acest drept decurge n principal din libertatea de gndire i de exprimare i se exercit cu respectarea articolului1 din Cart (Demnitatea uman). CEDO
consider c libertatea artelor este protejat prin articolul10 din Convenia european a drepturilor omului41. Dreptul garantat prin articolul13 din Cart poate fi, de
asemenea, supus restrngerilor permise de articolul10 din Convenia european a
drepturilor omului42.
Exemplu: n cauza Vereinigung bildender Knstler/Austria43, instanele austriece
au interzis asociaiei reclamante s continue expunerea unei picturi care coninea fotografii ale capetelor mai multor personaliti n poziii obscene. Un parlamentar austriac, a crui fotografie fusese folosit n tablou, a formulat o aciune
mpotriva asociaiei reclamante, solicitnd o decizie care s i interzic acesteia
s expun tabloul. Instana naional a emis o decizie de interdicie, acceptnd
cererea acestuia. CEDO a reiterat c articolul10 din Convenia european a drepturilor omului este aplicabil n cazul transmiterii unor idei care insult, ocheaz
sau perturb statul sau orice parte a populaiei. Acele persoane care au creat,
realizat, distribuit sau expus lucrri de art au contribuit la schimbul de idei i
opinii, iar statul are obligaia de a nu atenta n mod nejustificat la libertatea lor
de exprimare. Avnd n vedere c tabloul era un colaj i folosea fotografii nfind numai capetele persoanelor, corpurile fiind pictate ntr-o manier nerealist i exagerat, care, n mod evident, nu avea ca scop reflectarea sau chiar
sugerarea realitii, CEDO a susinut n continuare c tabloul nu putea fi neles
ca viznd detalii din viaa privat a [persoanei descrise], ci, mai degrab, asociate figurii sale publice de politician i c n aceast calitate [persoana descris]
trebuie s afieze o mai mare toleran n ceea ce privete dezaprobarea. Cntrind diferitele interese n cauz, CEDO a constatat c interzicerea pe termen
41

Hotrrea CEDO din 24mai1988 n cauza Mller i alii/Elveia, nr.10737/84.

42

Explicaii cu privire la Carta Drepturilor Fundamentale, MO2007C303.

43

Hotrrea CEDO din 25 ianuarie 2007 n cauza Vereinigung bildender Knstler/Austria, nr. 68345/01; a
se vedea n mod special punctele26 i 34.

31

Manual de legislaie european privind proteciadatelor

nelimitat a expunerii tabloului este disproporionat. Curtea s-a pronunat asupra nclcrii articolului10 din Convenia european a drepturilor omului.
n ceea ce privete tiina, legislaia european privind protecia datelor cunoate
valoarea special a tiinei pentru societate. Prin urmare, restriciile generale pentru
utilizarea datelor cu caracter personal sunt diminuate. Att Directiva privind protecia datelor, ct i Convenia 108 permit pstrarea datelor pentru cercetare tiinific
dup ce acestea nu mai servesc scopului iniial pentru care au fost colectate. Mai
mult, utilizarea ulterioar a datelor cu caracter personal pentru cercetare tiinific nu
este considerat ca fiind un scop incompatibil. Legislaiei naionale i revine atribuia
de a elabora dispoziii mai detaliate, inclusiv garaniile necesare, pentru a pune n
acord interesul pentru cercetare tiinific i dreptul la protecia datelor (a se vedea i
seciunile3.3.3 i 8.4).

1.2.4. Protecia proprietii


Dreptul la protecia proprietii este consacrat n articolul1 din Primul protocol la
Convenia european a drepturilor omului i n articolul17 alineatul(1) din Cart. Un
aspect important legat de dreptul la proprietate este protecia proprietii intelectuale, menionat n mod explicit la articolul17 alineatul(2) din Cart. Ordinea juridic
a UE cuprinde mai multe directive, care vizeaz protejarea eficient a proprietii
intelectuale, n special dreptul de autor. Proprietatea intelectual desemneaz nu
numai proprietatea literar sau artistic, ci i brevetele, mrcile i drepturile asociate.
Astfel cum se clarific prin jurisprudena CJUE, protecia dreptului fundamental la
proprietate trebuie echilibrat cu protecia altor drepturi fundamentale, n special, cu
dreptul la protecia datelor44. Au existat cazuri n care unele instituii responsabile de
protejarea dreptului de autor au solicitat furnizorilor de internet s publice identitatea
utilizatorilor platformelor de partajare de fiiere prin internet. Aceste platforme ofer
deseori posibilitatea utilizatorilor de internet s descarce gratuit titluri de melodii,
chiar dac acestea sunt protejate prin drepturi de autor.
Exemplu: Cauza Promusicae/Telefnica de Espaa45 se refer la refuzul unui furnizor spaniol de acces la internet, Telefnica, de a face cunoscute ctre Promusicae, o organizaie non-profit de productori muzicali i editori de nregistrri

32

44

Hotrrea CEDO din 10ianuarie2013 n cauza Ashby Donald i alii/Frana, nr.36769/08.

45

Hotrrea CJUE din 29 ianuarie 2008 n cauza Productores de Msica de Espaa (Promusicae)/Telefnica
de Espaa SAU, C275/06, punctele54 i 60.

Contextul i cadrul legislaiei europene privind protecia datelor

muzicale i audiovizuale, datele cu caracter personal ale anumitor persoane


crora le furnizase servicii de acces la internet. Promusicae a solicitat publicarea
informaiilor astfel nct s poat iniia un proces civil mpotriva acelor persoane,
despre care a declarat c utilizau un program de schimb de fiiere care oferea
acces la fonograme ale cror drepturi de exploatare erau deinute de membrii
Promusicae.
Instana spaniol a adresat problema la CJUE, ntrebnd dac aceste date cu
caracter personal trebuie comunicate, n temeiul dreptului comunitar, n contextul unui proces civil pentru a asigura protecia efectiv a dreptului de autor.
Aceasta a fcut referire la Directivelenr.2000/31, 2001/29 i 2004/48, interpretate i din perspectiva articolelor17 i 47 din Cart. Curtea a concluzionat
c aceste trei directive, precum i Directiva asupra confidenialitii electronice
(Directivanr.2002/58), nu mpiedic statele membre s stabileasc o obligaie
de publicare a datelor cu caracter personal n contextul unui proces civil pentru a
asigura protecia efectiv a dreptului de autor.
CJUE a subliniat faptul c aceast cauz a ridicat, astfel, ntrebarea cu privire la
necesitatea de a pune n acord dispoziiile proteciei diferitor drepturi fundamentale, i anume dreptul la respectarea vieii private, i drepturile la protecia
proprietii i accesul la o cale de atac eficient.
Curtea a concluzionat c atunci cnd transpun directivele susmenionate, statele membre trebuie s se bazeze pe o interpretare a acestor directive care
s permit o echilibrare just ntre diferitele drepturi fundamentale protejate
de ordinea juridic a Comunitii. n plus, atunci cnd implementeaz msurile
care transpun aceste directive, autoritile i instanele statelor membre trebuie nu numai s interpreteze dreptul naional ntr-o manier consecvent cu
acele directive, dar s se i asigure c nu se bazeaz pe o interpretare a acestora
care s contravin acelor drepturi fundamentale sau principii generale de drept
comunitar, cum ar fi principiul proporionalitii46.

46

Ibidem, punctele 65 i 68; a se vedea i Hotrrea CJUE din 16 februarie 2012, SABAM/Netlog N.V.,
C-360/10.

33


Terminologia n domeniul
proteciei datelor
UE

Aspecte vizate

Date cu caracter personal


Directiva privind protecia datelor, articolul2
litera(a).

Definiie juridic

CoE
Convenia108, articolul2
litera(a)
CEDO, Bernh Larsen
Holding AS i alii/Norvegia,
nr.24117/08, 14 martie
2013

CJUE, Cauzele conexate C-92/09 i C-93/09,


Volker und Markus Schecke GbR i Hartmut
Eifert /Land Hessen, 9noiembrie2010

CJUE, Productores de Msica de Espaa


(Promusicae)/Telefnica de Espaa SAU,
C-275/06, 29ianuarie 2008
Directiva privind protecia datelor, articolul8 Categorii speciale Convenia108, articolul 6
alineatul (1)
de date cu caracter
personal (date
CJUE, Bodil Lindqvist, C-101/01,
sensibile)
6noiembrie2003
Directiva privind protecia datelor, articolul6 Date anonimizate i Convenia108, articolul5
alineatul (1) litera (e)
pseudonimizate litera(e)
Convenia108, Raport
explicativ, articolul42
Prelucrarea datelor
Directiva privind protecia datelor, articolul
2 litera(b)
CJUE, Bodil Lindqvist, C-101/01,
6noiembrie2003
Utilizatori de date
Directiva privind protecia datelor, articolul2
litera(d)

Definiii

Convenia108, articolul2
litera(c)

Operator

Convenia108, articolul2
litera(d)
Recomandare privind
crearea de profile,
articolul(1) litera(g) *

35

Manual de legislaie european privind proteciadatelor

UE

Aspecte vizate

Directiva privind protecia datelor, articolul2


litera(e)

Persoan
mputernicit de
ctre operator

CJUE, Bodil Lindqvist, C-101/01,


6noiembrie2003
Directiva privind protecia datelor, articolul2
litera(g)
Directiva privind protecia datelor, articolul
2 litera(f)
Consimmnt
Directiva privind protecia datelor, articolul
2 litera(h)
CJUE, Deutsche Telekom AG/Bundesrepublik
Deutschland, C-543/09, 5 mai 2011

Destinatar

CoE
Recomandare privind
crearea de profile,
articolul(1) litera(h)
Convenia 108, Protocol
adiional, articolul2
alineatul(1)

Ter

Definiie i
cerine privind
consimmntul
valabil

Recomandare privind
datele medicale, articolul
6 i diferite recomandri
ulterioare

Not: *
 Consiliul Europei, Comitetul de Minitri (2010), Recomandarea Rec(2010)13 din 23 noiembrie 2010
ctre statele membre privind protecia persoanelor fa de prelucrarea automatizat a datelor cu
caracter personal n contextul crerii de profile (Recomandarea privind crearea de profile).

2.1. Datele cu caracter personal


Puncte-cheie

36

Datele reprezint date cu caracter personal dac se refer la o persoan identificat


sau, cel puin, care poate fi identificat, persoana vizat.

O persoan poate fi identificat n cazul n care se pot obine informaii suplimentare


fr eforturi excesive, care permit identificarea persoanei vizate.

Prin autentificare se nelege dovedirea faptului c o anumit persoan are o anumit


identitate i/sau este autorizat s desfoare anumite activiti.

Exist categorii speciale de date, aa-numitele date sensibile, prevzute n Convenia 108 i n Directiva privind protecia datelor, care necesit protecie sporit i, prin
urmare, sunt supuse unui regim juridic special.

Datele sunt an onimizate n cazul n care nu mai conin niciun element de identificare;
acestea sunt pseudonimizate n cazul n care elementele de identificare sunt codificate.

Spre deosebire de datele anonimizate, datele pseudonimizate sunt date cu caracter


personal.

Terminologia n domeniul proteciei datelor

2.1.1. Aspecte principale ale conceptului de date


cucaracter personal
n temeiul dreptului european, precum i n temeiul legislaiei CoE, datele cu
caracter personal sunt definite ca fiind informaiile referitoare la o persoan fizic
identificat sau identificabil47, i anume, informaii despre o persoan a crei identitate este fie clar n mod evident, fie poate fi, cel puin, stabilit prin obinerea unor
informaii suplimentare.
n cazul n care datele despre o astfel de persoan sunt prelucrate, aceast persoan
este denumit persoan vizat.

Persoana
Dreptul la protecia datelor decurge din dreptul la respectarea vieii private. Conceptul de via privat este asociat fiinelor umane. Prin urmare, persoanele fizice sunt
beneficiarii principali ai proteciei datelor. n plus, potrivit avizului Grupului de lucru
Articolul 29, numai fiinele umane sunt protejate de legislaia european privind protecia datelor48.
Jurisprudena CEDO cu privire la articolul8 din Convenia european a drepturilor
omului arat c separarea complet a aspectelor legate de viaa privat i cea profesional poate fi dificil49.
Exemplu: n cauza Amann/Elveia50, autoritile au interceptat o conversaie
telefonic de afaceri a reclamantului. Pe baza acestei conversaii, autoritile
au ntreprins cercetarea reclamantului i au completat o fi pe numele reclamantului pentru dosarul de securitate naional. Dei interceptarea privea o conversaie telefonic de afaceri, CEDO a considerat c stocarea datelor cu privire
la aceast conversaie ine de viaa privat a reclamantului. A scos n eviden
faptul c noiunea de via privat nu trebuie interpretat n mod restrictiv, n special, ntruct respectarea vieii private cuprinde dreptul de a stabili i
47

Directiva privind protecia datelor, articolul 2 litera (a); Convenia108, articolul2 litera (a).

48

Grupul de lucru Articolul 29 (2007), Avizul 4/2007 privind conceptul de date cu caracter personal,
WP136, 20iunie2007, p.22.

49

A se vedea, de exemplu, Hotrrea CEDO din 4 mai 2000 n cauza Rotaru/Romnia [T], nr. 28341/95,
punctul 43; Hotrrea CEDO din 16decembrie1992 n cauza Niemietz/Germania, 13710/88, punctul29.

50

Hotrrea CEDO din 16februarie2000 n cauza Amann/Elveia [T], nr.27798/95, punctul65.

37

Manual de legislaie european privind proteciadatelor

dezvolta relaii cu alte fiine umane. n plus, nu a existat niciun motiv principial
care s justifice excluderea activitilor de natur profesional sau de afaceri din
noiunea de via privat. Aceast interpretare general corespunde cu cea a
Conveniei108. CEDO a constatat n continuare c ingerina n cazul reclamantului nu este n conformitate cu legea, deoarece dreptul intern nu conine dispoziii
specifice i detaliate privind colectarea, nregistrarea i stocarea informaiilor.
Astfel, a concluzionat c articolul8 din Convenia european a drepturilor omului
a fost nclcat.
Mai mult, n cazul n care i aspectele legate de viaa profesional pot face obiectul
proteciei datelor, pare discutabil c numai persoanele fizice ar trebui s beneficieze
de protecie. Drepturile prevzute n Convenia european a drepturilor omului sunt
garantate tuturor, nu doar persoanelor fizice.
Exist o jurispruden a CEDO care se pronun asupra cererilor entitilor juridice
care invoc nclcarea dreptului la protecie mpotriva utilizrii datelor lor, n conformitate cu articolul8 din Convenia european a drepturilor omului. Cu toate acestea,
Curtea a examinat cauza n baza dreptului la respectarea domiciliului i a corespondenei, i nu n baza vieii private:
Exemplu: Cauza Bernh Larsen Holding AS i alii/Norvegia51 se refer la plngerea formulat de trei societi norvegiene cu privire la decizia unei autoriti fiscale prin care li se impunea s pun la dispoziia auditorilor fiscali o copie a tuturor datelor aflate pe un server informatic pe care cele trei l utilizau n comun.
CEDO a considerat c obligaia impus societilor reclamante constituie o atingere adus drepturilor lor la respectarea domiciliului i a corespondenei
n sensul articolului8 din Convenia european a drepturilor omului. Cu toate
acestea, Curtea a constatat c autoritile fiscale posed garanii eficiente i
adecvate mpotriva abuzurilor: societile reclamante au fost notificate cu suficient timp n avans; au fost prezente i n msur s fac observaii n timpul
interveniei la faa locului; iar materialul urma a fi distrus dup finalizarea auditului fiscal. n aceste condiii, s-a gsit un echilibru echitabil ntre dreptul societilor reclamante la respectarea domiciliului i a corespondenei i interesul
acestora de protejare a vieii private a persoanelor care lucreaz pentru ele, pe
de o parte, i interesul public de asigurare a unei inspecii eficiente n scopuri
51

38

Hotrrea CEDO din 14martie2013 n cauza Bernh Larsen Holding AS i alii/Norvegia, nr.24117/08. A
se vedea totui i Hotrrea CEDO din 1iulie2008 n cauza Liberty i alii/Regatul Unit, nr.58243/00.

Terminologia n domeniul proteciei datelor

de evaluare fiscal, pe de alt parte. Curtea a concluzionat c articolul 8 a fost


nclcat.
Conform Conveniei 108, protecia datelor vizeaz, n principal, protecia persoanelor
fizice; cu toate acestea, prile contractante pot extinde protecia datelor la persoanele juridice, cum ar fi societile i asociaiile comerciale care se supun dreptului lor
intern. Legislaia european privind protecia datelor nu reglementeaz, n general,
protecia persoanelor juridice cu privire la prelucrarea datelor care le vizeaz. Autoritile naionale de reglementare au libertatea de a reglementa acest subiect52.
Exemplu: n cauza Volker und Markus Schecke i Hartmut Eifert/Land Hessen53,
fcnd referire la publicarea datelor cu caracter personal ale beneficiarilor de
ajutoare pentru agricultur, CJUE a considerat c persoanele juridice nu se pot
prevala de protecia articolelor 7 i 8 din Cart fa de o astfel de identificare
dect n msura n care denumirea persoanei juridice identific una sau mai
multe persoane fizice. [] Respectarea dreptului la via privat n raport cu
prelucrarea datelor cu caracter personal, recunoscut prin articolele 7 i 8 din
Cart, se raporteaz la orice informaie privind o persoan fizic identificat sau
identificabil []54.

Caracterul identificabil al unei persoane


n temeiul dreptului european, precum i n temeiul legislaiei CoE, informaiile conin date cu privire la o persoan dac:
o persoan fizic este identificat prin aceste informaii sau
n cazul n care o persoan fizic, dei neidentificat, este descris n aceste
informaii ntr-un mod care face posibil identificarea persoanei vizate prin efectuarea de cercetri ulterioare.
Ambele tipuri de informaii sunt protejate n acelai mod, n conformitate cu legislaia european privind protecia datelor. CEDO a declarat n mod repetat c noiunea
de date cu caracter personal n conformitate cu Convenia european a drepturilor
52

Directiva privind protecia datelor, considerentul24.

53

Hotrrea CJUE din 9 noiembrie 2010 n cauzele conexate C-92/09 i C-93/09, Volker und Markus
Schecke GbR i Hartmut Eifert /Land Hessen, punctul53.

54

Ibidem, punctul52.

39

Manual de legislaie european privind proteciadatelor

omului este aceeai cu cea din Convenia108, n special n ceea ce privete condiia
de referire la persoane identificate sau identificabile55.
Definiiile juridice ale datelor cu caracter personal nu clarific momentul n care o
persoan este considerat identificat56. Identificarea n mod evident presupune
elemente care descriu o persoan ntr-un mod n care aceasta se poate distinge de
toate celelalte persoane i poate fi recunoscut ca persoan fizic. Numele unei persoane este un prim exemplu de element de descriere. n cazuri excepionale, alte
elemente de identificare pot avea un efect similar ca cel al numelui. De exemplu, n
cazul persoanelor publice, este suficient s se fac referire la funcia persoanei, de
exemplu, Preedintele Comisiei Europene.
Exemplu: n cauza Promusicae57, CJUE a declarat c nu se contest faptul c
respectiva comunicare a numelui i a adreselor anumitor utilizatori ai [unei
anumite platforme de partajare de fiiere prin internet], solicitat de Promusicae, presupune punerea la dispoziie a unor date, cu caracter personal, mai
precis a unor informaii privind persoane fizice identificate sau identificabile,
n conformitate cu definiia cuprins la articolul2 litera(a) din Directiva95/46
[]. Aceast comunicare de informaii care, n opinia Promusicae, sunt stocate
de Telefnica fapt necontestat de aceasta din urm constituie o prelucrare
de date cu caracter personal, n sensul articolului2 primul paragraf din Directiva2002/58, coroborat cu articolul2 litera(b) din Directiva95/46.
Deoarece multe dintre nume nu sunt unice, stabilirea identitii unei persoane poate
necesita elemente de identificare suplimentare pentru a garanta c o persoan nu
este confundat cu altcineva. Data i locul naterii sunt deseori utilizate. n plus, n
unele ri au fost introduse numere personalizate pentru o mai bun difereniere a
cetenilor. Datele biometrice, cum ar fi amprentele, fotografiile digitale sau scanarea irisului, devin din ce n ce mai importante pentru identificarea persoanelor n era
tehnologic.

40

55

A se vedea Hotrrea CEDO din 16 februarie 2000 n cauza Amann/Elveia [T], nr.27798/95, punctul 65
etal.

56

A se vedea i Hotrrea CEDO din 13 februarie 2003 n cauza Odivre/Frana [T], nr. 42326/98; i
Hotrrea CEDO din 25septembrie2012 n cauza Godelli/Italia, nr.33783/09.

57

Hotrrea CJUE din 29 ianuarie 2008 n cauza Productores de Msica de Espaa (Promusicae)/Telefnica
de Espaa SAU, C275/06, punctul45.

Terminologia n domeniul proteciei datelor

Cu toate acestea, n sensul aplicabilitii legislaiei europene privind protecia datelor,


nu este necesar o identificare de nalt calitate a persoanelor vizate; este suficient
ca persoana n cauz s fie identificabil. O persoan este considerat identificabil n
cazul n care o parte dintre informaii conin elemente de identificare prin intermediul
crora persoana poate fi identificat direct sau indirect58. Potrivit considerentului26
din Directiva privind protecia datelor, criteriul de referin const n posibilitatea ca utilizatorii previzibili ai informaiilor s dispun de i s administreze mijloace rezonabile
de identificare; aceasta include i destinatarii teri (a se vedea seciunea2.3.2).
Exemplu: O autoritate local decide s colecteze date despre mainile care
ruleaz cu vitez peste limita legal. Aceasta fotografiaz mainile, nregistrnd
automat ora i locul, pentru a transmite datele autoritii competente astfel
nct s poat aplica amenzi celor care depesc limita de vitez. O persoan
vizat depune o plngere, invocnd faptul c autoritatea local nu are nicio baz
juridic, n conformitate cu legislaia privind protecia datelor, pentru colectarea
acestor date. Autoritatea local i menine poziia conform creia nu colecteaz
date cu caracter personal. Aceasta susine c numerele de nmatriculare sunt
date despre persoane anonime. Autoritatea local nu are autoritatea juridic de
a accesa registrul general al vehiculelor pentru a descoperi identitatea proprietarului sau a conductorului mainii.
Aceast argumentare nu este n conformitate cu considerentul26 din Directiva
privind protecia datelor. Avnd n vedere c scopul colectrii datelor este n
mod clar acela de a identifica i amenda vitezomanii, este previzibil faptul c
se va ncerca identificarea. Cu toate c autoritile locale nu dispun de mijloace
directe de identificare, acestea vor transmite datele autoritii competente, poliia, care posed astfel de mijloace. De asemenea, considerentul 26 include n
mod explicit un scenariu n care este prevzut posibilitatea ca destinatarii ulteriori ai datelor, alii dect utilizatorii imediai, s ncerce s identifice persoana
fizic. Din perspectiva considerentului 26, aciunea autoritii locale echivaleaz
cu colectarea de date privind persoane identificabile i, prin urmare, necesit un
temei juridic n conformitate cu legislaia privind protecia datelor.
n temeiul legislaiei CoE, identificabilitatea este neleas n mod similar. Articolul1
alineatul(2) din Recomandarea privind datele de plat59, de exemplu, stipuleaz c o
58

Directiva privind protecia datelor, articolul2litera(a).

59

CoE, Comitetul de Minitri (1990), Recomandarea nr. R Rec(90) 19 privind protecia datelor cu caracter
personal utilizate pentru pli i alte operaiuni conexe, 13septembrie1990.

41

Manual de legislaie european privind proteciadatelor

persoan nu va fi considerat identificabil n cazul n care identificarea presupune


o perioad de timp, costuri sau for de munc excesive.

Autentificarea
Aceasta este o procedur prin care o persoan poate dovedi c are o anumit identitate i/sau este autorizat s ntreprind anumite aciuni, cum ar fi s ptrund ntr-o
zon de securitate sau s retrag bani dintr-un cont bancar. Autentificarea se poate
realiza prin compararea datelor biometrice, cum ar fi o fotografie sau amprenta digital ntr-un paaport, cu datele cu care persoana se identific, de exemplu, la controlul imigraiei; prin solicitarea de informaii care pot fi cunoscute numai de ctre
persoana avnd o anumit identitate sau autorizare, cum ar fi un numr personal de
identificare(PIN) sau o parol sau prin solicitarea prezentrii unui anumit token, care
ar trebui s aparin exclusiv persoanei cu o anumit identitate sau autorizare, cum
ar fi o cartel cu cip sau cheia unui seif bancar. Pe lng parole sau cartele cu cip,
uneori, semnturile electronice, utilizate mpreun cu PIN-ul, sunt un instrument prin
care o persoan se poate identifica i autentifica n cadrul comunicaiilor electronice.

Natura datelor
Orice tip de informaii pot fi date cu caracter personal cu condiia ca acestea s fac
referire la o persoan.
Exemplu: Evaluarea performanei profesionale a unui angajat realizat de un
supervizor, stocat n dosarul personal al angajatului, reprezint date cu caracter
personal ale angajatului, chiar dac reflect, integral sau parial, numai opinia
personal a supervizorului, cum ar fi: angajatul nu este dedicat muncii sale, i
nu fapte concrete, cum ar fi: angajatul a lipsit de la locul de munc cinci sptmni n ultimele ase luni.
Datele cu caracter personal includ informaiile care aparin vieii private a unei persoane, precum i informaiile referitoare la viaa profesional sau public a acesteia.
n cauza Amann60, CEDO a interpretat c noiunea de date cu caracter personal nu
se limiteaz la aspecte ale sferei private a unei persoane (a se vedea seciunea2.1.1).
Acest neles al termenului de date cu caracter personaleste relevant i pentru
Directiva privind protecia datelor:
60

42

A se vedea Hotrrea CEDO din 16februarie2000 n cauza Amann/Elveia, nr.27798/95, punctul65.

Terminologia n domeniul proteciei datelor

Exemplu: n cauza Volker und Markus Schecke i Hartmut Eifert/Land Hessen61,


CJUE a susinut c n aceast privin, este lipsit de importan faptul c datele
publicate au legtur cu activitile profesionale []. Curtea European a Drepturilor Omului a hotrt n aceast privin, referitor la interpretarea articolului8
din convenie, c termenii via privat nu trebuie interpretai n mod restrictiv i c niciun motiv de principiu nu permite excluderea activitilor profesionale [...] din noiunea via privat.
Datele pot fi asociate persoanelor i n cazul n care coninutul informaiilor dezvluie
n mod indirect date despre o persoan. n unele cazuri, acolo unde exist o legtur
strns ntre un obiect sau un eveniment de exemplu, un telefon mobil, o main,
un accident pe de o parte, i o persoan de exemplu, proprietarul, utilizatorul sau
victima pe de alt parte, informaiile despre acel obiect sau eveniment ar trebui, de
asemenea, luate n considerare ca fiind date cu caracter personal.
Exemplu: n cauza Uzun/Germania62, reclamantul mpreun cu un alt brbat
au fost pui sub supraveghere prin intermediul unui dispozitiv GPS instalat n
maina celuilalt brbat pe motivul suspiciunii de implicare n atacuri cu bomb.
n spe, CEDO a considerat c supravegherea reclamantului prin intermediul
GPS a echivalat cu ingerina n viaa sa privat, protejat prin articolul 8 din Convenia european a drepturilor omului. Cu toate acestea, supravegherea prin
GPS s-a desfurat n conformitate cu legea, precum i proporional cu scopul
legitim de a ancheta mai multe acuzaii de tentativ de omor i, prin urmare, s-a
dovedit necesar ntr-o societate democratic. Curtea a concluzionat c articolul8 dinConvenia european a drepturilor omului nu a fost nclcat.

Forma de apariie a datelor


Forma n care datele cu caracter personal sunt stocate sau utilizate nu este relevant
pentru aplicabilitatea legislaiei privind protecia datelor. Comunicrile scrise sau verbale pot conine date cu caracter personal, precum i imagini63, inclusiv nregistrri

61

Cauzele conexate C-92/09 i C-93/09, Volker und Markus Schecke GbR i Hartmut Eifert/Land Hessen,
9noiembrie2010, punctul59.

62

Hotrrea CEDO din 2septembrie2010 n cauza Uzun/Germania, nr.35623/05.

63

Hotrrea CEDO din 24iunie2004 n cauza Von Hannover/Germania, nr.59320/00; Hotrrea CEDO din
11ianuarie2005 n cauza Sciacca/Italia, nr.50774/99.

43

Manual de legislaie european privind proteciadatelor

video prin TVCI64 sau sunete65. Informaiile nregistrate pe suport electronic, precum
i informaiile pe suport de hrtie, pot fi date cu caracter personal; chiar i probele de
celule de esut uman pot constitui date cu caracter personal, ntruct conin ADN-ul
unei persoane.

2.1.2. Categorii speciale de date cu caracter personal


n temeiul dreptului european, precum i n temeiul legislaiei CoE, exist categorii speciale de date cu caracter personal care, prin natura lor, pot prezenta un risc
pentru persoanele vizate atunci cnd sunt prelucrate i necesit o protecie sporit.
Prin urmare, prelucrarea acestor categorii speciale de date (date sensibile) trebuie
permis numai mpreun cu garanii specifice.
Referitor la definiia datelor sensibile, att Convenia 108 (articolul 6), ct i Directiva
privind protecia datelor (articolul 8) disting urmtoarele categorii:
date cu caracter personal referitoare la originea rasial sau etnic;
date cu caracter personal referitoare la opiniile politice, convingerile religioase
sau de alt natur i
date cu caracter personal referitoare la starea de sntate sau viaa sexual.
Exemplu: n cauza Bodil Lindqvist66, CJUE a declarat c precizarea faptului c o
persoan s-a rnit la picior i lucreaz cu fraciune de norm pe motive medicale
constituie date cu caracter personal referitoare la starea de sntate, n sensul
articolului8 alineatul(1) din Directiva95/46.
Directiva privind protecia datelor include i apartenena la un sindicat n categoria
datelor sensibile, ntruct aceste informaii pot constitui un indicator puternic al convingerilor sau afilierii politice.

44

64

Hotrrea CEDO din 28ianuarie2003 n cauza Peck/RegatulUnit, nr.44647/98; Hotrrea CEDO din
5octombrie2010 n cauza Kpke/Germania, nr.420/07.

65

Directiva privind protecia datelor, considerentele16 i17; Hotrrea CEDO din 25septembrie2001 n
cauza P.G. i J.H./RegatulUnit, nr.44787/98, punctele59 i60; Hotrrea CEDO din 20decembrie2005
n cauza Wisse/Frana, nr.71611/01.

66

Hotrrea CJUE din 6noiembrie2003 n cauza Bodil Lindqvist, C-101/01, punctul51.

Terminologia n domeniul proteciei datelor

Convenia 108 consider, de asemenea, datele cu caracter personal referitoare la


condamnrile penale ca fiind date sensibile.
Articolul8alineatul (7) din Directiva privind protecia datelor autorizeaz statele
membre ale UE s stabileasc condiiile n care poate fi prelucrat un numr de identificare sau orice alt identificator cu aplicabilitate general.

2.1.3. Date anonimizate i pseudonimizate


Potrivit principiului limitrii duratei de pstrare a datelor, inclus n Directiva privind
protecia datelor, precum i n Convenia 108 (i discutat n detaliu n capitolul 3),
datele trebuie pstrate ntr-o form care permite identificarea persoanelor vizate o
perioad nu mai lung dect este necesar n vederea atingerii scopurilor pentru care
au fost colectate sau pentru care vor fi prelucrate ulterior67. n consecin, datele
trebuie s devin anonime n cazul n care un operator dorete s le stocheze dup
ce devin perimate i nu mai servesc scopului iniial.

Datele anonimizate
Datele devin anonime n cazul n care toate elementele de identificare sunt eliminate
dintr-un set de date cu caracter personal. Niciun element nu poate fi lsat n informaiile care, prin exercitarea unui efort rezonabil, ar putea servi la reidentificarea
persoanei (persoanelor) vizate68. n cazul n care datele au fost anonimizate cu succes, acestea nu mai constituie date cu caracter personal.
Dac datele cu caracter personal nu mai servesc scopului lor iniial, dar urmeaz a
fi pstrate ntr-o form personalizat n scopul utilizrii istorice, statistice sau tiinifice, Directiva privind protecia datelor i Convenia108 permit aceast posibilitate
cu condiia aplicrii unor garanii adecvate mpotriva utilizrii incorecte69.

Datele pseudonimizate
Informaiile personale conin elemente de identificare, cum ar fi numele, data naterii, sexul i adresa. Cnd informaiile personale devin pseudonime, elementele de

67

Directiva privind protecia datelor, articolul 6 alineatul (1) litera (e); Convenia108, art.5 litera(e).

68

Ibidem, considerentul26.

69

Ibidem, articolul 6 alineatul (1) litera (e); i Convenia 108, articolul5 litera(e).

45

Manual de legislaie european privind proteciadatelor

identificare sunt nlocuite cu un pseudonim. Pseudonimizarea se obine, spre exemplu, prin codificarea elementelor de identificare din datele cu caracter personal.
Datele pseudonimizate nu sunt menionate n mod explicit n definiiile juridice ale
Conveniei108, i nici n cele ale Directivei privind protecia datelor. Cu toate acestea, Raportul explicativ al Conveniei108 prevede la articolul42 c [c]erina [...]
privind limitele de timp pentru stocarea datelor n forma asociat numelui acestora
nu nseamn c dup o anumit perioad de timp datele trebuie s fie separate irevocabil de numele persoanei la care se refer, doar c asocierea ntre date i elementele de identificare nu ar trebui s fie posibil n mod direct. Acesta este un
efect care poate fi obinut prin procesul de pseudonimizare a datelor. Pentru toate
persoanele care nu dein o cheie de decodificare, datele devenite pseudonime pot fi
identificabile cu dificultate.,Legtura cu o identitate nc exist sub forma pseudonimului plus cheia de decodificare. Pentru acele persoane care au dreptul s utilizeze
cheia de decodare, reidentificarea este uor posibil. Trebuie create garanii speciale
mpotriva utilizrii cheilor de codificare de ctre persoane neautorizate.
ntruct pseudonimizarea datelor reprezint unul dintre cele mai importante mijloace
de protecie a datelor la scar larg, n cazul n care reinerea total de la utilizarea
datelor cu caracter personal nu este posibil, logica i efectul unei astfel de aciuni
trebuie explicate n detaliu.
Exemplu: Propoziia Charles Spencer, nscut la 3aprilie1967, este tatl a
patrucopii, doibiei i doufete poate fi, de exemplu, pseudonimizat dup
cum urmeaz:
C.S.1967 este tatl a patrucopii, doibiei i doufete sau
324este tatl a patru copii, doibiei i doufete sau
YESz320l este tatl a patrucopii, doibiei i doufete.
Utilizatorii care acceseaz aceste date pseudonimizate nu vor putea, n mod normal,
s l identifice pe Charles Spencer, nscut la 3aprilie1967 din 324 sau YESz3201.
Prin urmare, datele pseudonimizate pot fi mai sigure mpotriva utilizrii incorecte.
Cu toate acestea, primul exemplu este mai puin sigur. Dac afirmaia C. S.1967,
este tatl a patru copii, doi biei i dou fete este utilizat n localitatea de domiciliu

46

Terminologia n domeniul proteciei datelor

a lui Charles Spencer, domnul Spencer poate fi recunoscut cu uurin. Metoda de


pseudonimizare afecteaz eficacitatea proteciei datelor.
Datele cu caracter personal care conin elemente de identificare codificate sunt utilizate n diverse contexte ca mijloace de a pstra secret identitatea unei persoane.
Acest lucru este foarte util atunci cnd operatorii de date trebuie s se asigure c
lucreaz cu aceleai persoane vizate, ns nu trebuie, sau ar trebui s nu aib nevoie,
s cunoasc identitatea real a persoanelor vizate. Acest lucru este valabil, de exemplu, atunci cnd un cercettor studiaz evoluia unei boli la pacieni a cror identitate
este cunoscut numai de spitalul la care acetia sunt tratai i de la care cercettorul
obine antecedentele pseudonimizate. Prin urmare, pseudonimizarea este o verig
puternic n cadrul arsenalului tehnologiei de mbuntire a confidenialitii. Poate
funciona ca element important n aplicarea principiilor referitoare la viaa privat
nc din stadiul dezvoltrii. Aceasta nseamn c protecia datelor este integrat n
structura sistemelor avansate de prelucrare a datelor.

2.2. Prelucrarea datelor


Puncte-cheie

Termenul prelucrare se refer n principal la prelucrarea automat.

n temeiul dreptului european, prin prelucrare se nelege i prelucrarea manual n


sisteme de eviden structurate.

n temeiul legislaiei CoE, sensul termenului prelucrare poate fi extins de legislaia


intern pentru a include prelucrarea manual.

n temeiul Conveniei 108 i al Directivei privind protecia datelor, protecia datelor se


axeaz n principal pe prelucrarea automat a datelor.
n temeiul legislaiei CoE, definiia prelucrrii automate admite, ns, c pot fi necesare unele etape de utilizare manual a datelor cu caracter personal ntre operaiunile automate. n mod similar, n temeiul dreptului european, prelucrarea automat a
datelor este definit prin operaiuni efectuate asupra datelor cu caracter personal,
integral sau parial, prin mijloace automate70.
70

Convenia 108, articolul 2 litera (c) i Directiva privind protecia datelor, articolul2 litera (b) i articolul3
alineatul(1).

47

Manual de legislaie european privind proteciadatelor

Exemplu: n cauza Bodil Lindqvist71, CJUE a concluzionat c:


referirea, pe o pagin de internet, la diverse persoane i identificarea acestora
fie dup nume, fie prin alte mijloace, de exemplu, prin menionarea numrului de telefon sau a unor informaii referitoare la condiiile lor de munc sau
la hobby-uri, constituie prelucrare de date cu caracter personal integral
sau parial prin mijloace automate n sensul articolului3alineatul (1) din
Directiva95/46.
Prelucrarea manual a datelor necesit, de asemenea, protecia datelor.
Protecia datelor n temeiul dreptului european nu este limitat n niciun fel la prelucrarea automat a datelor. n consecin, n temeiul dreptului european, protecia
datelor se aplic n cazul prelucrrii datelor cu caracter personal ntr-un sistem de
eviden manual, i anume, un dosar structurat special72. Motivul acestei extinderi a
proteciei datelor este acela c:
dosarele pot fi structurate ntr-un mod care face ca informaiile s fie gsite rapid
i uor i
stocarea datelor cu caracter personal n dosare structurate nlesnete sustragerea de la restriciile stabilite de lege pentru prelucrarea automat a datelor73.
n temeiul legislaiei CoE, Convenia 108 reglementeaz n primul rnd prelucrarea datelor din fiiere automate de date74. Cu toate acestea, prevede i posibilitatea
extinderii proteciei la prelucrarea manual n cadrul legislaiei interne. Multe pri
la Convenia 108 au recurs la aceast posibilitate i au fcut declaraii n acest sens
ctre Secretarul General al CoE75. Extinderea proteciei datelor n baza unei astfel de
declaraii trebuie s caracterizeze toate prelucrrile manuale de date i nu poate fi
limitat la prelucrarea n sisteme de eviden manuale76.

71

48

Hotrrea CJUE din 6 noiembrie 2003 n cauza Bodil Lindqvist, C-101/01, punctul27.

72

Directiva privind protecia datelor, articolul3 alineatul(1).

73

Ibidem, considerent27.

74

Convenia108, articolul2litera (b).

75

A se vedea declaraiile formulate n temeiul Conveniei108, articolul3 alineatul(2) litera(c).

76

A se vedea formularea din Convenia108, articolul3alineatul (2).

Terminologia n domeniul proteciei datelor

n ceea ce privete natura operaiunilor de prelucrare incluse, conceptul de prelucrare este cuprinztor att n temeiul dreptului european, ct i n temeiul legislaiei CoE: prelucrarea datelor cu caracter personal [] nseamn orice operaiune
[] cum ar fi colectarea, nregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvluirea prin transmitere, diseminare
sau n orice alt mod, alturarea ori combinarea, blocarea, tergerea sau distrugerea77 care se efectueaz asupra datelor cu caracter personal. Termenul prelucrare
include i aciuni prin care datele nu se mai afl n responsabilitatea unui operator i
sunt transferate sub rspunderea unui alt operator.
Exemplu: Angajatorii colecteaz i prelucreaz datele angajailor lor, inclusiv
informaiile legate de salariile acestora. Temeiul juridic pentru a aciona astfel n
mod legitim este contractul de munc.
Angajatorii vor trebui s transmit autoritilor fiscale datele privind salariile
personalului. Acest transfer de date va constitui, de asemenea, prelucrare
n sensul acestui termen din Convenia 108 i din directiv. Cu toate acestea,
temeiul juridic pentru aceast dezvluire nu este contractul de munc. Trebuie
s existe un temei juridic suplimentar pentru operaiunile de prelucrare care au
drept rezultat transferul datelor privind salariile de la angajator ctre autoritile
fiscale. Acest temei juridic este, de obicei, cuprins n dispoziiile legislaiei fiscale
naionale. Fr o astfel de dispoziie, transferul datelor ar constitui prelucrare
ilegal.

2.3. Utilizatorii de date cu caracter personal


Puncte-cheie

Oricine decide s prelucreze datele cu caracter personal ale altor persoane este un
operator n conformitate cu legislaia privind protecia datelor; n cazul n care mai
multe persoane iau aceast decizie mpreun, acestea pot fi operatori comuni.

O persoan mputernicit de ctre operator este o entitate separat din punct de


vedere juridic, a crei sarcin este prelucrarea datelor cu caracter personal pe seama
operatorului.

77

Directiva privind protecia datelor, articolul 2 litera (b). n mod similar, a se vedea i Convenia108,
articolul2 litera(c).

49

Manual de legislaie european privind proteciadatelor

O persoan mputernicit de ctre operator devine operator n cazul n care utilizeaz


datele n scop personal, fr a respecta instruciunile unui operator.

Orice persoan care primete date de la un operator este un destinatar.

Un ter este o persoan fizic sau juridic, care nu acioneaz n conformitate cu


instruciunile operatorului (i nu este persoana vizat).

Un destinatar ter este o persoan sau o entitate separat din punct de vedere juridic
de operator, dar care primete date cu caracter personal de la operator.

2.3.1. Operatori i persoane mputernicite de ctre


operatori
Cea mai important consecin a statutului de operator sau de persoan mputernicit de ctre operator este responsabilitatea juridic pentru respectarea obligaiilor
n conformitate cu legislaia privind protecia datelor. Prin urmare, numai aceia care
pot fi considerai responsabili n temeiul legislaiei aplicabile i pot asuma aceste
funcii. n sectorul privat, este, de regul, o persoan fizic sau juridic; n sectorul
public, este o autoritate. Alte entiti, cum ar fi organe sau instituii fr personalitate
juridic, pot fi operatori sau persoane mputernicite de ctre operator numai n cazul
n care exist dispoziii juridice speciale n acest sens.
Exemplu: n cazul n care divizia de marketing a societii Sunshine intenioneaz s prelucreze date pentru un studiu de pia, societatea Sunshine, i nu
divizia de marketing, va fi operatorul acestei prelucrri. Divizia de marketing nu
poate fi operator, deoarece nu are identitate juridic separat.
n cadrul grupurilor de societi, societatea-mam i fiecare societate afiliat, fiind
persoane juridice distincte, pot fi considerate operatori separai sau persoane mputernicite de ctre operator. Ca o consecin a acestui statut de separare din punct de
vedere juridic, transferul de date ntre membrii unui grup de societi va necesita o
baz juridic special. Nu exist niciun privilegiu care s permit schimbul efectiv
de date cu caracter personal ntre persoanele juridice separate din cadrul unui grup.
n acest context trebuie menionat rolul persoanelor fizice. n temeiul dreptului
european, atunci cnd prelucreaz datele altora n cursul unei activiti exclusiv personale sau domestice, persoanele fizice nu intr sub incidena normelor Directivei
privind protecia datelor; acestea nu sunt considerate operatori78.
78

50

Directiva privind protecia datelor, considerentul12 i articolul3 alineatul(2) ultima liniu.

Terminologia n domeniul proteciei datelor

Cu toate acestea, jurisprudena a constatat c legislaia privind protecia datelor


nu se aplic, totui, n cazul n care o persoan fizic, n timpul utilizrii internetului,
public date cu privire la alte persoane.
Exemplu: CJUE a considerat n cauza Bodil Lindqvist79 c:
referirea, pe o pagin de internet, la diverse persoane i identificarea acestora fie dup nume, fie prin alte mijloace [] constituie prelucrare de date cu
caracter personal integral sau parial prin mijloace automate n sensul articolului3alineatul (1) din Directiva95/46.80
Aceast prelucrare de date cu caracter personal nu se ncadreaz n activitile
exclusiv personale sau domestice, care se situeaz n afara domeniului de aplicare al Directivei privind protecia datelor, deoarece aceast excepie trebuie
[] interpretat ca fiind asociat numai activitilor desfurate n viaa privat
sau de familie a persoanelor, ceea ce n mod evident nu este cazul prelucrrii
datelor cu caracter personal care const n publicarea pe internet astfel nct
aceste date s fie accesibile unui numr nedefinit de persoane81.

Operatorul
n temeiul dreptului european, operatorul este definit ca fiind persoana care singur sau mpreun cu altele, stabilete scopurile i mijloacele de prelucrare a datelor
cu caracter personal82. Decizia unui operator stabilete motivul i metoda prelucrrii
datelor. n temeiul legislaiei CoE, definiia operatorului precizeaz n plus c un
operator decide categoriile de date cu caracter personal care trebuie nregistrate83.
Convenia 108 face referire n definiia operatorului la un aspect ulterior al controlului, care necesit atenie. Aceast definiie vizeaz persoana sau autoritatea competent conform legii s prelucreze anumite date pentru o anumit finalitate. Cu toate
acestea, n cazul n care se presupune c au loc operaiuni de prelucrare ilegale, iar
operatorul responsabil trebuie identificat, operator va fi considerat persoana sau
entitatea, cum ar fi o societate sau autoritate, care a luat decizia prelucrrii datelor,

79

Hotrrea CJUE din 6 noiembrie 2003 n cauza Bodil Lindqvist, C-101/01.

80

Ibidem, punctul27.

81

Ibidem, punctul47.

82

Directiva privind protecia datelor, articolul2 litera(d).

83

Convenia 108, articolul 2 litera (d).

51

Manual de legislaie european privind proteciadatelor

indiferent dac era ndreptit legal s acioneze astfel sau nu84. Prin urmare, cererea de tergere trebuie ntotdeauna adresat operatorului efectiv.

Controlul comun
Definiia operatorului din Directiva privind protecia datelor prevede c pot
exista i mai multe entiti separate din punct de vedere juridic, care, mpreun sau
n comun cu altele, acioneaz n calitate de operator. nseamn c acestea decid
mpreun s prelucreze date pentru un scop comun85. Totui, acest lucru este posibil
din punct de vedere juridic numai n cazul n care exist un temei juridic special care
s prevad prelucrarea n comun a datelor pentru un scop comun.
Exemplu: O baz de date administrat n comun de mai multe instituii de credit
pentru clienii lor ru platnici este un exemplu frecvent de control comun. Atunci
cnd o persoan solicit o linie de credit la una dintre bncile care deine control
comun, bncile vor consulta baza de date pentru a putea lua decizii informate cu
privire la bonitatea solicitantului.
Regulamentele nu menioneaz explicit dac un control comun presupune ca scopul
comun s fie acelai pentru fiecare dintre operatori sau dac este suficient ca scopurile acestora s se suprapun doar parial. Cu toate acestea, nicio jurispruden
relevant nu este nc disponibil la nivel european i nu exist claritate cu privire la
consecinele asumrii rspunderii. Grupul de lucru Articolul29 susine o interpretare
mai larg a conceptului de control comun cu scopul de a permite o oarecare flexibilitate pentru a satisface complexitatea tot mai mare a realitii actuale privind prelucrarea datelor86. Un caz care implic Societatea pentru Telecomunicaii Financiare
Interbancare Mondiale(SWIFT) ilustreaz poziia Grupului de lucru.
Exemplu: n aa-numitul caz SWIFT, instituiile bancare europene au angajat
SWIFT, iniial n calitate de operator, pentru a efectua transferul de date n timpul tranzaciilor bancare. SWIFT a dezvluit datele legate de aceste tranzacii
bancare, stocate ntr-un centru de servicii informatice din Statele Unite, Departamentului american al Trezoreriei, fr a i se impune acest lucru n mod explicit

52

84

A se vedea, de asemenea, Grupul de lucru Articolul 29 (2010), Avizul 1/2010 privind conceptele de
operator i persoan mputernicit de ctre operator, WP 169, Bruxelles, 16februarie2010, p.15.

85

Directiva privind protecia datelor, articolul2 litera1(d).

86

Grupul de lucru Articolul 29 (2010), Avizul 1/2010 privind conceptele de operator i persoan
mputernicit de ctre operator, WP 169, Bruxelles, 16februarie2010, p.19.

Terminologia n domeniul proteciei datelor

de ctre instituiile bancare europene care au angajat-o. Dup evaluarea legalitii acestei situaii, Grupul de lucru Articolul 29 a ajuns la concluzia c instituiile bancare europene care au angajat SWIFT, precum i SWIFT, trebuiau s fie
considerate operatori comuni responsabili n faa clienilor europeni pentru dezvluirea datelor lor autoritilor americane87. Prin decizia de a transmite datele,
SWIFT i-a asumat n mod ilegal rolul de operator; instituiile bancare nu i-au
respectat, n mod evident, obligaiile de supraveghere a persoanei mputernicite
i, prin urmare, nu puteau fi absolvite complet de responsabilitatea lor n calitate
de operator. Aceast situaie atrage dup sine controlul comun.

Persoana mputernicit de ctre operator


Persoana mputernicit de ctre operator este definit n temeiul dreptului european ca fiind persoana care prelucreaz datele cu caracter personal pe seama operatorului88. Activitile ncredinate unei persoane mputernicite de ctre operator pot
fi limitate la o sarcin sau la un context foarte specific sau pot fi relativ generale i
cuprinztoare.
n temeiul legislaiei CoE, sensul expresiei este acelai ca n temeiul dreptului
european.
Pe lng prelucrarea datelor pentru ceilali, persoanele mputernicite de ctre operator vor fi i operatori de date de drept n legtur cu prelucrarea pe care o efectueaz n scopuri proprii, de exemplu, gestionarea propriilor angajai, a vnzrilor i a
conturilor.
Exemple: Societatea Everready este specializat n prelucrarea datelor pentru
administrarea datelor privind resursele umane pentru alte societi. n aceast
calitate, Everready este un mputernicit.
Cu toate acestea, n cazul n care Everready prelucreaz datele propriilor angajai, aceasta este operatorul care desfoar operaiuni de prelucrare a datelor
n scopul respectrii obligaiilor sale de angajator.

87

Grupul de lucru Articolul 29 (2006), Avizul 10/2006 privind prelucrarea datelor cu caracter personal
de ctre Societatea Internaional pentru Telecomunicaii Financiare Interbancare (SWIFT), WP128,
Bruxelles, 22noiembrie2006.

88

Directiva privind protecia datelor, articolul2 litera(e).

53

Manual de legislaie european privind proteciadatelor

Relaia ntre operator i persoana mputernicit de ctre operator


Aa cum am vzut, operatorul este definit ca fiind cel care stabilete scopurile i
mijloacele prelucrrii.
Exemplu: Directorul societii Sunshine decide c societatea Moonlight, specializat n analiz de pia, ar trebui s realizeze o analiz de pia privind datele
referitoare la clienii Sunshine. Dei sarcina de a stabili mijloacele de prelucrare
va fi delegat astfel societii Moonlight, operator rmne societatea Sunshine,
iar Moonlight va fi doar persoana mputernicit de ctre operator, deoarece,
potrivit contractului, Moonlight poate utiliza datele privind clienii societii Sunshine numai pentru scopurile stabilite de Sunshine.
n cazul n care competena de stabilire a mijloacelor de prelucrare va fi delegat
unei persoane mputernicite de ctre operator, operatorul trebuie s poat interveni,
totui, n deciziile persoanei mputernicite de el referitoare la mijloacele de prelucrare. Responsabilitatea general va reveni tot operatorului, care trebuie s supravegheze persoanele mputernicite de el pentru a asigura conformitatea deciziilor
acestora cu legislaia privind protecia datelor. Prin urmare, un contract care interzice
operatorului s intervin n deciziile persoanei mputernicite de el ar putea fi interpretat probabil ca avnd drept rezultat controlul comun, ambele pri mprind responsabilitatea juridic a unui operator.
n plus, n cazul n care o persoan mputernicit de ctre operator nu respect limitrile utilizrii datelor, astfel cum este prevzut de ctre operator, persoana mputernicit de ctre operator va fi devenit operator, cel puin n msura nclcrii instruciunilor operatorului. Acest lucru va duce cel mai probabil la transformarea persoanei
mputernicite de ctre operator n operator ilegal. n schimb, operatorul iniial va trebui s explice cum a fost posibil ca persoana mputernicit de el s i ncalce mputernicirea. ntr-adevr, Grupul de lucru Articolul 29 tinde s admit controlul comun
n astfel de cazuri, ntruct acest lucru are ca rezultat cea mai bun protecie a intereselor persoanelor vizate89. O consecin important a controlului comun trebuie s
fie rspunderea solidar pentru daune, permind persoanelor vizate o gam mai
extins de ci de atac.
89

54

Grupul de lucru Articolul 29 (2010), Avizul 1/2010 privind conceptele de operator i persoan
mputernicit de ctre operator, WP 169, Bruxelles, 16februarie2010, p.25; i Grupul de lucru
Articolul29 (2006), Avizul10/2006 privind prelucrarea datelor cu caracter personal de ctre
Societatea Internaional pentru Telecomunicaii Financiare Interbancare (SWIFT), WP128, Bruxelles,
22noiembrie2006.

Terminologia n domeniul proteciei datelor

De asemenea, pot exista probleme cu privire la mprirea responsabilitii n cazul


n care operatorul este o ntreprindere mai mic, iar persoana mputernicit de ctre
operator este o corporaie mare, care are puterea de a dicta condiiile n care i ofer
serviciile. Totui, n aceste situaii, Grupul de lucru Articolul29 menine c standardul
de responsabilitate nu trebuie cobort din cauza dezechilibrului economic i c trebuie pstrat nelegerea conceptului de operator90.
n vederea asigurrii claritii i transparenei, detaliile relaiei dintre un operator
i o persoan mputernicit de ctre operator ar trebui nregistrate ntr-un contract
scris91. Inexistena unui astfel de contract constituie o nclcare a obligaiei operatorului de a oferi o documentaie scris a responsabilitilor reciproce i poate duce la
sanciuni92.
Este posibil ca persoanele mputernicite de ctre operator s doreasc s delege
anumite sarcini altor subcontractani. Acest lucru este permis din punct de vedere
legal i va depinde n detaliu de prevederile contractuale dintre operator i persoana
mputernicit de ctre operator, inclusiv dac este necesar autorizarea operatorului
n fiecare caz n parte sau dac este suficient numai o simpl informare.
n temeiul legislaiei CoE, interpretarea conceptelor de operator i de persoan
mputernicit de ctre operator explicate mai sus este complet aplicabil, astfel cum
o dovedesc recomandrile elaborate conform Conveniei 10893.

2.3.2. Destinatari i teri


Diferena ntre aceste dou categorii de persoane sau entiti introduse de Directiva
privind protecia datelor const n principal n relaia acestora cu operatorul i, n consecin, n autorizarea lor pentru a accesa datele cu caracter personal deinute de
operator.
Un ter este o persoan diferit din punct de vedere juridic de un operator. Prin
urmare, dezvluirea datelor ctre un ter va necesita ntotdeauna un temei juridic
specific. Potrivit articolului2 litera(f) din Directiva privind protecia datelor, un ter
90

Grupul de lucru Articolul29 (2010), Avizul 1/2010 privind conceptele de operator i persoan
mputernicit de ctre operator, WP169, Bruxelles, 16februarie2010, p.26.

91

Directiva privind protecia datelor, articolul17 alineatele(3) i (4).

92

Grupul de lucru Articolul29 (2010), Avizul1/2010 privind conceptele de operator i persoan


mputernicit de ctre operator, WP169, Bruxelles, 16februarie2010, p 27.

93

A se vedea, de exemplu, Recomandarea privind crearea de profile, articolul1.

55

Manual de legislaie european privind proteciadatelor

este persoana fizic sau juridic, autoritatea public, agenia sau orice organism,
altul dect persoana vizat, operatorul, persoana mputernicit i persoanele care,
sub directa autoritate a operatorului sau a persoanei mputernicite, sunt autorizate
s prelucreze date. Aceasta nseamn c persoanele care lucreaz pentru o organizaie diferit din punct de vedere juridic de operator chiar dac aparine aceluiai grup sau societi de tip holding vor fi (sau vor aparine unui) ter. Pe de
alt parte, sucursalele unei bnci care prelucreaz conturile clienilor sub autoritatea
direct a sediului lor central nu pot fi considerate teri94.
Destinatar este un termen cu semnificaie mai larg dect ter. n sensul articolului2 litera(g) din Directiva privind protecia datelor, destinatar nseamn persoana
fizic sau juridic, autoritatea public, agenia sau orice alt organism cruia i sunt transmise datele, indiferent dac este sau nu ter. Acest destinatar poate fi o persoan din
afara operatorului sau a persoanei mputernicite de ctre operator n acest caz un ter
sau cineva din cadrul operatorului sau al persoanei mputernicite de ctre operator,
cum ar fi un angajat sau o alt divizie din cadrul aceleiai societi sau autoriti.
Diferena ntre destinatari i teri este important numai datorit condiiilor pentru
dezvluirea legal a datelor. Angajaii unui operator sau ai unei persoane mputernicite de ctre operator pot fi, fr nicio alt dispoziie juridic, destinatari ai datelor
cu caracter personal, n cazul n care sunt implicai n operaiunile de prelucrare ale
operatorului sau persoanei mputernicite de ctre operator. Pe de alt parte, un ter,
separat din punct de vedere juridic de operator i de persoana mputernicit de ctre
operator, nu este autorizat s utilizeze datele cu caracter personal prelucrate de operator, cu excepia cazului n care exist temeiuri juridice ntr-o anumit situaie. Prin
urmare, destinatarii teri ai datelor vor avea ntotdeauna nevoie de un temei juridic
pentru primirea legal a datelor cu caracter personal.
Exemplu: Angajatul unei persoane mputernicite de ctre operator, care utilizeaz datele cu caracter personal n limita atribuiilor ncredinate de angajator,
este destinatarul datelor, ns nu ter, deoarece utilizeaz datele n numele i n
conformitate cu instruciunile persoanei mputernicite de ctre operator.
Cu toate acestea, n cazul n care acelai angajat decide s utilizeze datele, pe
care le poate accesa n calitate de angajat al persoanei mputernicite de ctre
operator, n scopuri proprii i le vinde unei alte societi, atunci se consider
c angajatul a acionat n calitate de ter. Acesta nu mai respect ordinele
94

56

Grupul de lucru Articolul29 (2010), Avizul 1/2010 privind conceptele de operator i persoan
mputernicit de ctre operator, WP169, Bruxelles, 16februarie2010, p.31.

Terminologia n domeniul proteciei datelor

persoanei mputernicite de ctre operator (angajatorul). n calitate de ter, angajatul are nevoie de un temei juridic pentru a achiziiona i a vinde datele. n acest
exemplu, angajatul, n mod cert, nu posed un astfel de temei juridic i, prin
urmare, aciunile sale sunt ilegale.

2.4. Consimmntul
Puncte-cheie

Ca temei juridic pentru prelucrarea datelor cu caracter personal, consimmntul trebuie s fie liber, informat i specific.

Consimmntul trebuie s fie acordat n mod neechivoc. Consimmntul poate fi


acordat fie explicit, fie implicit, acionnd ntr-un mod care nu las loc de ndoial asupra faptului c persoana vizat este de acord cu prelucrarea datelor sale.

Prelucrarea datelor sensibile pe baz de consimmnt necesit un consimmnt explicit.

Consimmntul poate fi retras n orice moment.

Consimmnt nseamn orice manifestare de voin, liber, specific i informat


din partea persoanei vizate95. n numeroase cazuri, constituie temeiul juridic pentru
prelucrarea legitim a datelor (a se vedea seciunea4.1).

2.4.1. Elementele unui consimmnt valabil


Dreptul european stabilete trei elemente necesare pentru ca un consimimnt s
fie valabil, care au ca scop garantarea inteniei efective a persoanelor vizate de a
accepta utilizarea datelor lor:
persoana vizat nu trebuie s fie supus niciunei presiuni atunci cnd i acord
consimmntul;
persoana vizat trebuie s fie informat corespunztor cu privire la scopul i consecinele acordrii consimmntului i
domeniul de aplicare al consimmntului trebuie s fie concret n mod rezonabil.

95

Directiva privind protecia datelor, articolul 2 litera (h).

57

Manual de legislaie european privind proteciadatelor

Numai n cazul n care toate aceste trei condiii sunt ndeplinite, consimmntul va fi
valabil n sensul legislaiei privind protecia datelor.
Convenia 108 nu conine o definiie a consimmntului; acesta este lsat la aprecierea legislaiei interne. Cu toate acestea, n temeiul legislaiei CoE, elementele unui
consimmnt valabil corespund celor explicate mai sus, astfel cum se prevede n
recomandrile elaborate n conformitate cu Convenia10896. Cerinele privind consimmntul sunt aceleai ca pentru o declaraie de intenie valabil, conform dreptului civil european.
Cerinele suplimentare conform dreptului civil pentru un consimmnt valabil, cum
ar fi capacitatea juridic, se aplic evident i n contextul proteciei datelor, ntruct
aceste cerine reprezint condiii juridice prealabile. Consimmntul nevalid al persoanelor lipsite de capacitate juridic va avea ca rezultat absena unui temei juridic
pentru prelucrarea datelor acelor persoane.
Consimmntul poate fi acordat fie explicit97, fie implicit. Primul tip nu las loc de
ndoial cu privire la inteniile persoanei vizate i poate fi acordat verbal sau n scris;
al doilea tip este dedus din circumstane. Orice consimmnt se acord n mod
neechivoc98. Aceasta nseamn c nu trebuie s existe nicio ndoial cu privire la
dorina persoanei vizate de a-i da consimmntul pentru prelucrarea datelor sale.
De exemplu, deducerea consimmntului din simpla inactivitate nu poate constitui
un consimmnt neechivoc. n cazul n care datele care trebuie prelucrate sunt sensibile, consimmntul explicit este obligatoriu i trebuie s fie neechivoc.

Consimmntul liber exprimat


Existena consimmntului liber exprimat este valabil numai n cazul n care persoana vizat poate exercita o opiune efectiv i nu exist niciun risc de nelciune,
intimidare, constrngere sau consecine negative semnificative dac nu i acord
consimmntul99.

96

58

A se vedea, de exemplu, Convenia 108, Recomandarea privind datele statistice, punctul6.

97

Directiva privind protecia datelor, articolul8 alineatul(2).

98

Ibidem, articolul 7 litera (a) i articolul26 alineatul(1).

99

A se vedea, de asemenea, Grupul de lucru Articolul29 (2011), Avizul 15/2011 privind conceptul de
consimmnt, WP187, Bruxelles, 13iulie2011, p.12.

Terminologia n domeniul proteciei datelor

Exemplu: n multe aeroporturi, pasagerii trebuie s treac prin scanere corporale pentru a putea intra n zona de mbarcare100. Avnd n vedere c datele
persoanelor sunt prelucrate n timpul scanrii, aceast prelucrare trebuie s
se conformeze unuia dintre temeiurile juridice n baza articolului 7 din Directiva privind protecia datelor (a se vedea seciunea4.1.1). Uneori trecerea prin
scanerele corporale este prezentat pasagerilor sub form de opiune, ceea ce
presupune c prelucrarea poate fi justificat prin consimmntul lor. Cu toate
acestea, pasagerii se tem c refuzul de a trece prin scanerele corporale poate
crea suspiciune sau poate determina controale suplimentare, cum ar fi percheziiile corporale. Muli pasageri consimt scanarea deoarece evit, astfel, posibile
probleme sau ntrzieri. Se presupune c acest consimmnt nu este suficient
de liber exprimat.
Prin urmare, un temei juridic solid poate exista numai ntr-un act al legislatorului, n baza articolului 7 litera (e) din Directiva privind protecia datelor, avnd
ca rezultat obligarea pasagerilor de a coopera innd seama de interesul public
predominant. Aceast legislaie poate prevedea totui alegerea ntre scanare i
control manual, dar numai ca msuri suplimentare de control la frontier n circumstane speciale. Acestea sunt aspecte prevzute de Comisia European n
dou regulamente viznd scanerele de securitate din anul 2011101.
Consimmntul liber exprimat poate fi ameninat i n situaii de subordonare,
n cazul n care exist un dezechilibru semnificativ economic sau de alt natur
ntre operatorul care asigur consimmntul i persoana vizat care acord
consimmntul102.
Exemplu: O societate mare intenioneaz s creeze un repertoriu cu numele
tuturor angajailor, funcia acestora n cadrul societii i adresele profesionale,
100 Acest exemplu este luat din Ibidem, p.15.
101 Regulamentul (UE) nr. 1141/2011 al Comisiei din 10noiembrie2011 de modificare a Regulamentului
(CE) nr.272/2009 de completare a standardelor de baz comune n domeniul securitii aviaiei civile n
ceea ce privete utilizarea scanerelor de securitate n aeroporturile UE, MO2011L293, i Regulamentul
de punere n aplicare (UE) nr.1147/2011 al Comisiei din 11noiembrie2011 de modificare a
Regulamentului (UE) nr.185/2010 de stabilire a msurilor detaliate de implementare a standardelor
de baz comune n domeniul securitii aviaiei n ceea ce privete utilizarea scanerelor de securitate n
aeroporturile UE, MO2011L294.
102 A se vedea, de asemenea, Grupul de lucru Articolul29 (2001), Avizul8/2001 privind prelucrarea datelor
cu caracter personal n contextul ocuprii forei de munc, WP48, Bruxelles, 13septembrie2001;
i Grupul de lucru Articolul29 (2005), Document de lucru privind interpretarea comun a
articolului26alineatul (1) din Directiva95/46/CE din 24octombrie1995, WP114, Bruxelles,
25noiembrie2005.

59

Manual de legislaie european privind proteciadatelor

exclusiv pentru a mbunti comunicaiile interne la nivel de societate. eful


de personal propune adugarea n repertoriu a unei fotografii a fiecrui angajat pentru a recunoate mai uor colegii n cadrul ntlnirilor. Reprezentanii angajailor solicit s se fac acest lucru numai dac angajatul i acord
consimmntul.
ntr-un astfel de caz, consimmntul angajatului trebuie recunoscut drept temei
juridic pentru prelucrarea fotografiilor n repertoriu, deoarece este evident c
publicarea unei fotografii n repertoriu nu va avea consecine negative n sine
i, mai mult, este plauzibil c angajatul nu va suferi efecte negative iniiate de
angajator dac nu va fi de acord cu publicarea fotografiei sale n repertoriu.
Totui, aceasta nu nseamn c niciodat consimmntul nu poate fi valabil n situaii n care neacordarea consimmntului ar avea consecine negative. n cazul n
care, de exemplu, neacordarea consimmntului pentru emiterea unui card de client
de supermarket rezult numai n neprimirea reducerilor de pre pentru anumite produse, consimmntul este, totui, un temei juridic valid pentru prelucrarea datelor
cu caracter personal ale acelor clieni care i-au dat consimmntul pentru emiterea
unui astfel de card. ntre societate i client nu exist nicio situaie de subordonare
i, n consecin, neacordarea consimmntului nu este un aspect suficient de grav
pentru ca persoana vizat s nu mai aib dreptul la libera alegere.
Pe de alt parte, ori de cte ori produse sau servicii suficient de importante se obin
numai i numai dac sunt dezvluite anumite date cu caracter personal unor teri,
consimmntul persoanei vizate pentru dezvluirea datelor sale nu poate fi considerat, n mod normal, o decizie liber i, prin urmare, nu este valabil n temeiul legislaiei privind protecia datelor.
Exemplu: Consimmntul exprimat de pasagerii unei companii aeriene pentru
transferul aa-numitelor registre cu numele pasagerilor (PNR), i anume date
privind identitatea acestora, obiceiurile alimentare sau problemele de sntate
ctre autoritile n domeniul imigraiei dintr-o anumit ar strin nu poate fi
considerat consimmnt valabil n temeiul legislaiei privind protecia datelor,
ntruct pasagerii care cltoresc nu au de ales dac doresc s viziteze acea
ar. n cazul n care aceste date vor fi transferate legal, este necesar un temei
juridic altul dect consimmntul: cel mai probabil o lege special.

60

Terminologia n domeniul proteciei datelor

Consimmntul informat
Persoana vizat trebuie s dein suficiente informaii nainte de a lua o decizie.
Dac informaiile furnizate sunt sau nu suficiente se poate stabili numai de la caz la
caz. De obicei, consimmntul informat va cuprinde o descriere precis i uor de
neles a scopului pentru care se solicit consimmntul i, n plus, va prezenta consecinele acordrii sau neacordrii consimmntului. Limbajul utilizat pentru informare trebuie s fie adaptat pentru destinatarii previzibili ai informaiilor.
De asemenea, informaiile trebuie s fie uor accesibile persoanei vizate. Accesibilitatea i vizibilitatea informaiilor sunt elemente importante. ntr-un mediu online,
notificrile stratificate pot fi o soluie optim, ntruct, pe lng o versiune concis a
informaiilor, persoana vizat poate accesa i o versiune mai extins a acestora.

Consimmntul specific
Pentru a fi valabil, consimmntul trebuie s fie i specific. Acest lucru este dublat
de calitatea informaiilor furnizate cu privire la scopul pentru care se solicit consimmntul. n acest context, ateptrile rezonabile ale unei persoane vizate obinuite
vor fi relevante. Consimmntul unei persoane vizate trebuie solicitat din nou atunci
cnd operaiunile de prelucrare urmeaz a fi adugate sau modificate ntr-un mod
care nu putea fi prevzut n mod rezonabil n momentul acordrii consimmntului
iniial.
Exemplu: n cauza Deutsche Telekom AG103, CJUE a analiza problema dac un
furnizor de servicii de telecomunicaii care a trebuit s transmit datele cu
caracter personal ale abonailor n temeiul articolului 12 din Directiva asupra
confidenialitii i comunicaiilor electronice104 trebuia s rennoiasc consimmntul persoanelor vizate, ntruct destinatarii nu au fost stabilii n momentul
acordrii consimmntului iniial.
CJUE a considerat c, n temeiul acelui articol, rennoirea consimmntului nainte de transmiterea datelor nu este necesar, deoarece persoanele vizate au

103 Hotrrea CJUE din 5mai2011 n cauza C-543/09, Deutsche Telekom AG/Bundesrepublik Deutschland;
a se vedea n special punctele53 i54.
104 Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12iulie2002 privind prelucrarea
datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice, MO2002L201
(Directiva asupra confidenialitii i comunicaiilor electronice).

61

Manual de legislaie european privind proteciadatelor

avut posibilitatea, n baza acestei dispoziii, s consimt numai n ceea ce privete prelucrarea, i anume, dezvluirea datelor lor, i nu au putut opta pentru
alte directoare n care s poat fi nregistrate aceste date.
Aa cum a evideniat Curtea, dintr-o interpretare contextual i sistematic a
articolului12 din Directiva asupra confidenialitii i comunicaiilor electronice
reiese c, n temeiul alineatului (2) al acestui articol, consimmntul privete
finalitatea publicrii datelor cu caracter personal ntr-o list public de abonai,
iar nu identitatea furnizorului unei liste de abonai specifice105. De asemenea,
nsi publicarea datelor cu caracter personal ntr-o list public de abonai cu
o finalitate specific se poate dovedi prejudiciabil pentru un abonat106, i nu
pentru autorul acestei publicri.

2.4.2. Dreptul de retragere a consimmntului


norice moment
Directiva privind protecia datelor nu prevede un drept general de retragere a consimmntului n orice moment. Cu toate acestea, se presupune n mare msur
c un astfel de drept exist i c persoana vizat trebuie s aib posibilitatea de
a-l exercita la libera sa apreciere. Nu ar trebui s existe nicio cerin pentru justificarea retragerii i nici un risc de consecine negative dincolo de ncetarea oricror beneficii care pot rezulta din utilizarea datelor pentru care s-a acordat anterior
consimmntul.
Exemplu: Un client este de acord s primeasc un mesaj publicitar la o adres pe
care o ofer unui operator de date. n cazul n care clientul i retrage consimmntul, operatorul trebuie s sisteze imediat trimiterea mesajului publicitar. Nu
ar trebui impuse niciun fel de consecine represive, cum ar fi comisioane.
n cazul n care clientul primea o reducere de 5% din costul unei camere de
hotel n schimbul consimmntului de utilizare a datelor sale pentru mesajul
publicitar, retragerea ulterioar a consimmntului de a primi mesajul publicitar
nu ar trebui s aib ca rezultat obligaia de rambursare a acelor reduceri.

105 Hotrrea CJUE din 5mai2011 n cauza Deutsche Telekom AG/Bundesrepublik Deutschland, C-543/09;
a se vedea n special punctul61.
106 Ibidem, a se vedea n special punctul62.

62


Principiile-cheie ale
legislaiei europene
privind protecia datelor
UE

Aspecte vizate

CoE

Directiva privind protecia datelor, articolul6 Principiul prelucrrii Convenia108, articolul5


legale
literele(a)i(b)
alineatul(1) literele (a) i (b)
CJUE, Huber/Bundesrepublik Deutschland,
C-524/06, 16decembrie2008

CEDO, Rotaru/Romnia [GC],


nr.28341/95, 4mai2000

CJUE, Clauzele conexate C-92/09 i C-93/09,


Volker und Markus Schecke GbRi Hartmut
Eifert/Land Hessen, 9noiembrie2010

CEDO, Taylor-Sabori/
Regatul Unit, nr.47114/99,
22octombrie2002
CEDO, Peck/Regatul
Unit, nr.44647/98,
28ianuarie2003
CEDO, Khelili/
Elveia, nr.16188/07,
18octombrie2011

Directiva privind protecia datelor, articolul6


alineatul (1) litera (b)

Directiva privind protecia datelor, articolul6


alineatul (1) litera (c)
Directiva privind protecia datelor, articolul6
alineatul (1) litera (d)
Directiva privind protecia datelor, articolul6
alineatul (1) litera (e)

Principiul limitrii
i specificitii
scopului
Principiile calitii
datelor:
Pertinena datelor

CEDO, Leander/Suedia,
nr.9248/81, 26 martie 1987
Convenia108,
articolul5litera(b)

Convenia108, articolul5
litera(c)
Exactitatea datelor Convenia108, articolul5
litera(d)
Limitarea duratei Convenia108, articolul5
de pstrare a
litera(e)
datelor

63

Manual de legislaie european privind proteciadatelor

UE

Aspecte vizate

Excepii pentru
cercetare tiinific
i statistici
Directiva privind protecia datelor, articolul6 Principiul prelucrrii
alineatul (1) litera (a)
corecte
Directiva privind protecia datelor, articolul6
alineatul (1) litera (e)

CoE
Convenia108, articolul9
alineatul(3)
Convenia108, articolul5
litera(a)
CEDO, Haralambie/
Romnia, nr.21737/03,
27octombrie2009
CEDO, K.H. i alii/
Slovacia, nr.32881/04,
6noiembrie2009

Directiva privind protecia datelor, articolul6


alineatul (2)

Principiul
responsabilitii

Principiile prevzute la articolul5 din Convenia108 consacr esena legislaiei europene privind protecia datelor. Acestea apar i la articolul6 din Directiva privind protecia datelor ca punct de plecare pentru dispoziii mai detaliate n articolele urmtoare ale directivei. Orice legislaie ulterioar privind protecia datelor la nivelul CoE
sau UE trebuie s respecte aceste principii, iar acestea trebuie avute n vedere n
momentul interpretrii legislaiei. Orice derogri i restricii cu privire la aceste principii-cheie pot fi prevzute la nivel naional107; acestea trebuie s fie prevzute de
lege, s urmreasc un scop legitim i s constituie o msur necesar ntr-o societate democratic. Toate cele trei condiii trebuie ndeplinite.

3.1. Principiul prelucrrii legale


Puncte-cheie

Pentru a nelege principiul prelucrrii legale, trebuie s se fac referire la condiiile


limitrilor legale ale dreptului la protecia datelor din perspectiva articolului52 alineatul (1) din Cart i a cerinelor privind intervenia legitim n temeiul articolului8alineatul (2) din Convenia european a drepturilor omului.

n consecin, prelucrarea datelor cu caracter personal este legal numai dac:


este n conformitate cu legea;

urmrete un scop legitim i

este necesar ntr-o societate democratic pentru atingerea unui scop legitim.

107 Convenia108, articolul9 alineatul (2); Directiva privind protecia datelor, articolul13 alineatul(2).

64

Principiile-cheie ale legislaiei europene privind protecia datelor

n temeiul dreptului european i al legislaiei CoE privind protecia datelor, principiul prelucrrii legale este primul principiu denumit; acesta este exprimat n termeni
aproape identici n articolul5 din Convenia108 i articolul6 din Directiva privind
protecia datelor.
Niciuna dintre aceste dispoziii nu conine o definiie a ceea ce constituie prelucrarea legal. Pentru a nelege acest termen juridic, este necesar s se fac referire la
intervenia legitim n temeiul Conveniei europene a drepturilor omului, astfel cum
este interpretat de jurisprudena Conveniei europene a drepturilor omului, i la
condiiile limitrilor legale n temeiul articolului52 din Cart.

3.1.1. Cerine privind intervenia legitim n temeiul


Conveniei europene a drepturilor omului
Prelucrarea datelor cu caracter personal poate constitui o atingere asupra dreptului
la respectarea vieii private a persoanei vizate. Cu toate acestea, dreptul la respectarea vieii private nu este un drept absolut, ci trebuie echilibrat i conciliat cu alte
interese legitime, fie ale altor persoane (interese particulare), fie ale societii, n
ansamblu (interese publice).
Condiiile n care intervenia statului este legitim sunt dup cum urmeaz:

Conformitatea cu legea
Potrivit jurisprudenei CEDO, intervenia este n conformitate cu legea dac se
bazeaz pe o prevedere a dreptului intern, care prezint anumite caliti. Legea trebuie s fie accesibil persoanelor n cauz i previzibil n ceea ce privete efectele108. O norm este previzibil numai atunci cnd este redactat cu suficient precizie, n aa fel nct s permit oricrei persoane fizice care, la nevoie, poate apela la
consultan de specialitate s i corecteze conduita109. Gradul de precizie impus
legii n legtur cu acest aspect va depinde de finalitatea specific110.
108 Hotrrea CEDO din 16februarie2000 n cauza Amann/Elveia [T], nr.27798/95, punctul50; a se vedea
i Hotrrea CEDO din 25martie1998 n cauza Kopp/Elveia, nr.23224/94, punctul55 i Hotrrea
CEDO din 10februarie2009 n cauza Iordachi i alii/Moldova, nr.25198/02, punctul50.
109 Hotrrea CEDO din 16februarie2000 n cauza Amann/Elveia [T], nr.27798/95, punctul56; a se
vedea, de asemenea, Hotrrea CEDO din 2august1984 n cauza Malone/RegatulUnit, nr.8691/79,
punctul66; Hotrrea CEDO din 25martie1983 n cauza Silver i alii/RegatulUnit, nr.5947/72,
6205/73, 7052/75, 7061/75, 7107/75, 7113/75, punctul88.
110 Hotrrea CEDO din 26aprilie1979 n cauza The Sunday Times/RegatulUnit, nr.6538/74, punctul49;
a se vedea, de asemenea, Hotrrea CEDO din 25martie1983 n cauza Silver i alii/RegatulUnit,
nr.5947/72, 6205/73, 7052/75, 7061/75, 7107/75, 7113/75, punctul88.

65

Manual de legislaie european privind proteciadatelor

Exemplu: n cauza Rotaru/Romnia111, CEDO a constatat o nclcare a articolului8 din Convenia european a drepturilor omului, ntruct Romnia a permis
colectarea, nregistrarea i arhivarea n fiiere secrete a unor informaii care
aduc atingere securitii naionale, fr a stabili limitri ale exercitrii acestor
puteri, care au rmas la aprecierea autoritilor. De exemplu, legislaia intern
nu definea tipul de informaii care puteau fi prelucrate, categoriile de persoane
mpotriva crora se puteau lua msuri de supraveghere, circumstanele n care
aceste msuri puteau fi adoptate sau procedura care trebuia urmat. Avnd n
vedere aceste deficiene, Curtea a concluzionat c legislaia intern nu respect
cerina de previzibilitate n temeiul articolului8 din Convenia european a drepturilor omului i c articolul fusese nclcat.
Exemplu: n cauza Taylor-Sabori/Regatul Unit112, reclamantul fusese inta msurilor de supraveghere ale poliiei. Utiliznd o clon a pager-ului acestuia, poliia
a putut intercepta mesajele care i erau trimise. Ulterior, reclamantul a fost arestat i acuzat de conspiraie la trafic de substane controlate. O parte a dosarului
de acuzare consta n note scrise contemporane din mesajele primite pe pager,
care fuseser transcrise de poliie. Cu toate acestea, la data procesului reclamantului, legislaia britanic nu coninea nicio dispoziie care s reglementeze
interceptarea comunicaiilor transmise prin intermediul unui sistem personal
de telecomunicaii. Prin urmare, intervenia asupra drepturilor sale nu a fost n
conformitate cu legea. CEDO a concluzionat c articolul8 din Convenia european a drepturilor omului a fost nclcat.

Urmrirea unui scop legitim


Scopul legitim poate fi oricare dintre interesele publice numite sau drepturile i libertile altora.
Exemplu: n cauza Peck/Regatul Unit113, reclamantul a ncercat s se sinucid pe
strad tindu-i venele de la mini, netiind c o camer TVCI l filmase n timpul
tentativei. Dup ce poliia, care urmrea camerele TVCI, l-a salvat, autoritatea
111 Hotrrea CEDO din 4aprilie2000 n cauza Rotaru/Romnia [T], nr.28341/95, punctul57; a se vedea,
de asemenea, Hotrrea CEDO din 28iunie2007 n cauza Association for European Integration and
Human Rights (Asociaia pentru integrare european i drepturile omului) i Ekimdzhiev/Bulgaria,
nr.62540/00; Hotrrea CEDO din 21iunie2011 n cauza Shimovolos/Rusia, nr.30194/09; i Hotrrea
CEDO din 31mai2005 n cauza Vetter/Frana, nr.59842/00.
112 Hotrrea CEDO din 22octombrie2002 n cauza Taylor-Sabori/Regatul Unit, nr.47114/99.
113 Hotrrea CEDO din 28ianuarie2003 n cauza Peck/RegatulUnit, nr.44647/98, n special punctul85.

66

Principiile-cheie ale legislaiei europene privind protecia datelor

poliieneasc a transmis nregistrarea camerei TVCI ctre mass-media, care


a publicato fr s ascund faa reclamantului. CEDO a constatat c nu exist
motive relevante sau suficiente care s justifice dezvluirea direct ctre public
a nregistrrii autoritilor fr obinerea consimmntului reclamantului sau
ascunderea identitii acestuia. Curtea a concluzionat c articolul8 din Convenia
european a drepturilor omului a fost nclcat.

Msur necesar ntr-o societate democratic


CEDO a declarat c noiunea de necesitate presupune ca intervenia s corespund unei nevoi sociale presante i, n special, s fie proporional cu scopul legitim
urmrit114.
Exemplu: n cauza Khelili/Elveia115, n timpul unui control, poliia a constatat
c reclamanta avea asupra sa un card pe care scria: Plcut, atractiv, spre
40 de ani, doresc s cunosc un domn pentru ieiri ocazionale n ora. Telefon
[...]. Reclamanta a pretins c, n urma acestei descoperiri, poliia i-a introdus
numele n evidenele sale sub titulatura de prostituat, ocupaie pe care aceasta
a negat-o n permanen. Reclamanta a solicitat tergerea cuvntului prostituat din evidenele computerizate ale poliiei. CEDO a confirmat, n principiu,
c pstrarea datelor cu caracter personal ale unei persoane, pe motiv c acea
persoan ar putea comite o alt infraciune, ar putea fi n anumite circumstane
proporional. Cu toate acestea, n cazul reclamantei, acuzaia de prostituie ilegal prea a fi prea vag i general, nu era susinut prin fapte concrete, ntruct aceasta nu fusese condamnat niciodat pentru prostituie ilegal i, prin
urmare, nu se putea considera c ndeplinete o nevoie social presant n
sensul articolului8din Convenia european a drepturilor omului. Considernd
c este de competena autoritilor s dovedeasc exactitatea datelor stocate
cu privire la reclamant i avnd n vedere seriozitatea atingerii asupra drepturilor reclamantei, Curtea a hotrt c reinerea cuvntului prostituat n evidenele poliieneti o perioad ndelungat nu este necesar ntr-o societate
democratic. Curtea a concluzionat c articolul8 din Convenia european a
drepturilor omului a fost nclcat.

114 Hotrrea CEDO din 11iulie1985 n cauza Leander/Suedia, nr.9248/81, punctul58.


115 Hotrrea CEDO din 18octombrie2011 n cauza Khelili/Elveia, nr.16188/07.

67

Manual de legislaie european privind proteciadatelor

Exemplu: n cauza Leander/Suedia116, CEDO a hotrt c un control n secret al


candidailor la funcii importante pentru securitatea naional nu contravine, n
sine, cerinei de necesitate ntr-o societate democratic. Garaniile speciale stabilite n legislaia naional pentru protejarea intereselor persoanelor vizate de
exemplu, controale exercitate de Parlament i Cancelarul Justiiei au determinat CEDO s concluzioneze c sistemul suedez de control al personalului ndeplinete dispoziiile articolului8 alineatul(2) din Convenia european a drepturilor
omului. Avnd n vedere marja larg de apreciere de care dispunea, statul respondent a fost ndreptit s considere c, n cazul reclamantului, interesele de
securitate naional au prevalat asupra celor individuale. Curtea a concluzionat
c nu exist nicio nclcare a articolului8 din Convenia european a drepturilor
omului.

3.1.2. Condiiile limitrilor legale n temeiul Cartei UE


Structura i modul de redactare a Cartei sunt diferite de cele ale Conveniei europene
a drepturilor omului. Carta nu vorbete despre interferene cu drepturile garantate,
ns conine o dispoziie privind limitarea (limitrile) exercitrii drepturilor i libertilor recunoscute de Cart.
n conformitate cu articolul52 alineatul(1), limitrile exercitrii drepturilor i libertilor recunoscute de Cart i, n consecin, ale exercitrii dreptului la protecia
datelor cu caracter personal, cum ar fi prelucrarea datelor cu caracter personal, sunt
admisibile numai dac:
sunt prevzute de lege;
respect esena dreptului la protecia datelor;
sunt necesare, sub rezerva principiului proporionalitii i
ndeplinesc obiective de interes general recunoscute de Uniune sau nevoia de
protejare a drepturilor i libertilor altora.

116 Hotrrea CEDO din 11iulie1985 n cauza Leander/Suedia, nr.9248/81, punctele59 i67.

68

Principiile-cheie ale legislaiei europene privind protecia datelor

Exemple: n cauza Volker und Markus Schecke117, CJUE a concluzionat c prin


impunerea unei obligaii de publicare a datelor cu caracter personal ale fiecrei
persoane fizice care a beneficiat de ajutor de la [anumite fonduri agricole] fr
a opera o distincie pe baza unor criterii relevante, cum ar fi perioadele n care
acele persoane au primit un astfel de ajutor, frecvena acestui ajutor sau natura
i valoarea acestuia, Consiliul i Comisia au depit limitele impuse de principiul
proporionalitii.
Prin urmare, CJUE a considerat necesar s declare invalide anumite dispoziii
ale Regulamentului (CE) nr.1290/2005 al Consiliului i s declare Regulamentul
nr.259/2008 invalid n totalitate118.
n pofida formulrii diferite, condiiile prelucrrii legale din articolul52 alineatul (1)
din Cart amintesc de articolul8 alineatul (2) din Convenia european a drepturilor
omului. ntr-adevr, condiiile enumerate la articolul52 alineatul(1) din Cart trebuie considerate conforme cu cele prevzute la articolul8 alineatul(2) din Convenia
european a drepturilor omului, ntruct prima tez a articolului52 alineatul(3) din
Cart prevede c, n msura n care prezenta cart conine drepturi care corespund
unor drepturi garantate prin Convenia european pentru aprarea drepturilor omului i a libertilor fundamentale, nelesul i ntinderea lor sunt aceleai ca i cele
prevzute de convenia menionat.
Cu toate acestea, conform ultimei teze a articolului52 alineatul(3), aceast dispoziie nu mpiedic dreptul Uniunii s asigure o protecie mai extins. n contextul
comparrii articolului8 alineatul(2) din Convenia european a drepturilor omului cu
prima tez a articolului52 alineatul(3), aceasta nu poate nsemna dect c aceste
condiii de intervenie legitim n conformitate cu articolul8 alineatul(2) din Convenia european a drepturilor omului reprezint cerinele minime pentru limitrile
legale ale dreptului la protecia datelor, potrivit Cartei. n consecin, prelucrarea
legal a datelor cu caracter personal presupune ca, n temeiul dreptului european,
cel puin condiiile articolului8 alineatul(2) din Convenia european a drepturilor
omului s fie ndeplinite; cu toate acestea, dreptul european poate stabili dispoziii
suplimentare pentru cazuri specifice.
117 Hotrrea CJUE din 9noiembrie2010 n cauzele conexate C-92/09 i C-93/09, Volker und Markus
Schecke GbR (C-92/09) i Hartmut Eifert (C-93/09)/Land Hessen, punctele89 i86.
118 Regulamentul (CE) nr.1290/2005 al Consiliului din 21iunie2005 privind finanarea politicii agricole
comune, MO2005L209; Regulamentul (CE) nr.259/2008 al Comisiei din 18martie2008 de
stabilire a normelor de aplicare a Regulamentului (CE) nr.1290/2005 al Consiliului n ceea ce privete
publicarea informaiilor referitoare la beneficiarii fondurilor provenite din Fondul European de Garantare
Agricol(FEGA) i Fondul European Agricol pentru Dezvoltare Rural (FEADR), MO2008L76.

69

Manual de legislaie european privind proteciadatelor

Corespondena ntre principiul prelucrrii legale n temeiul dreptului european i dispoziiile relevante ale Conveniei europene a drepturilor omului este promovat i
prin articolul6 alineatul(3) din TUE, care prevede c drepturile fundamentale, astfel
cum sunt garantate prin Convenia european pentru aprarea drepturilor omului i
a libertilor fundamentale [], constituie principii generale ale dreptului Uniunii.

3.2. Principiul limitrii i specificitii scopului


Puncte-cheie

Scopul prelucrrii datelor trebuie s fie definit n mod vizibil nainte de nceperea
prelucrrii.

n temeiul dreptului european, scopul prelucrrii trebuie definite n mod explicit; n


temeiul legislaiei CoE, acest aspect este de responsabilitatea legislaiei interne.

Prelucrarea n scopuri nedefinite nu este n conformitate cu legislaia privind protecia


datelor.

Utilizarea ulterioar a datelor pentru un alt scop necesit un temei juridic suplimentar n
cazul n care scopul prelucrrii este incompatibil cu cel iniial.

Transferul de date ctre teri constituie un scop nou care necesit un temei juridic
suplimentar.

n esen, principiul limitrii i specificitii scopului nseamn c legitimitatea


prelucrrii datelor cu caracter personal va depinde de scopul prelucrrii119. Scopul
trebuie s fie menionat i evideniat de operator nainte de nceperea prelucrrii
datelor120. n temeiul dreptului european, acest lucru trebuie realizat fie printr-o
declaraie, altfel spus, printr-o notificare, ctre autoritatea de supraveghere competent, fie, cel puin, prin documentare intern care trebuie pus la dispoziie de
operator pentru a fi verificat de autoritile de supraveghere i accesat de persoana vizat.
Prelucrarea datelor cu caracter personal n scopuri nedefinite i/sau nelimitate este
ilegal.

119 Convenia108, articolul5 litera(b); Directiva privind protecia datelor, articolul6 alineatul(1) litera(b).
120 A se vedea, de asemenea, Grupul de lucru Articolul 29 (2013), Avizul 3/2013 privind limitarea scopului,
WP203, Bruxelles, 2aprilie2013.

70

Principiile-cheie ale legislaiei europene privind protecia datelor

Orice scop nou de prelucrare a datelor trebuie s aib propriul temei juridic special
i nu se poate baza pe faptul c datele au fost dobndite sau prelucrate iniial n alt
scop legitim. n schimb, prelucrarea legitim este limitat la scopul specificat iniial
i orice scop nou de prelucrare va necesita un nou temei juridic separat. Dezvluirea
datelor ctre teri va trebui analizat cu deosebit atenie, deoarece dezvluirea va
constitui, de regul, un nou scop i, prin urmare, va necesita un temei juridic diferit
de cel pentru care au fost colectate datele.
Exemplu: O companie aerian colecteaz date de la pasagerii si pentru ca
ageniile de rezervare de bilete s gestioneze zborurile n mod adecvat. Compania aerian va avea nevoie de date privind: numerele de loc ale pasagerilor; limitri fizice speciale, cum ar fi necesitatea unui scaun cu rotile; i cerine
alimentare speciale, cum ar fi alimente de tip kosher sau halal. n cazul n care
companiilor aeriene li se solicit s transfere aceste date, care sunt incluse n
registrele cu numele pasagerilor, ctre autoritile n domeniul imigraiei de la
locul de debarcare, aceste date sunt astfel utilizate n scopuri de control al imigraiei, care difer de scopul iniial pentru care au fost colectate. Prin urmare,
transferul acestor date ctre o autoritate din domeniul imigraiei va necesita un
temei juridic nou i separat.
Atunci cnd analizeaz ntinderea i limitele unui anumit scop, Convenia108 i
Directiva privind protecia datelor recurg la conceptul de compatibilitate: utilizarea
datelor n scopuri compatibile este permis n baza temeiului juridic iniial. Cu toate
acestea, semnificaia compatibilitii nu este definit i las loc pentru interpretare
de la caz la caz.
Exemplu: Vnzarea datelor privind clienii societii Sunshine obinute n timpul
gestionrii relaiei cu clienii(CRM) ctre o societate de marketing direct, societatea Moonlight, care dorete s utilizeze aceste date pentru a oferi asisten
campaniilor de marketing ale unor tere societi, constituie un scop nou, care
nu este compatibil cu CRM, scopul iniial al societii Sunshine pentru colectarea
datelor privind clienii. Prin urmare, vnzarea datelor ctre societatea Moonlight
necesit un nou temei juridic.
n schimb, utilizarea de societatea Sunshine a datelor CRM pentru propriul scop
de marketing, i anume transmiterea de mesaje de marketing ctre clieni n
legtur cu produsele sale, este n general acceptat drept scop compatibil.

71

Manual de legislaie european privind proteciadatelor

Directiva privind protecia datelor declar n mod explicit c prelucrarea ulterioar a


datelor n scopuri istorice, statistice sau tiinifice nu este incompatibil n msura n
care statele membre prevd garaniile adecvate121.
Exemplu: Societatea Sunshine a colectat i stocat date CRM cu privire la clienii si. Utilizarea ulterioar a acestor date de ctre societatea Sunshine pentru
o analiz statistic a comportamentului de cumprare al clienilor si este permis, deoarece statisticile reprezint un scop compatibil. Nu este necesar un
temei juridic suplimentar, cum ar fi consimmntul persoanelor vizate.
n cazul n care aceleai date ar fi transmise unui ter, societatea Starlight, n
scopuri exclusiv statistice, transferul ar fi permis n absena unui temei juridic
suplimentar, dar numai n msura n care sunt instituite garanii adecvate, cum
ar fi ascunderea identitii persoanelor vizate, ntruct identitile nu sunt, de
obicei, necesare n scopuri statistice.

3.3. Principiile calitii datelor


Puncte-cheie

Principiile calitii datelor trebuie implementate de operator n cadrul tuturor operaiunilor de prelucrare.

Principiul limitrii duratei de pstrare a datelor face necesar tergerea datelor imediat
ce acestea nu mai servesc scopului pentru care au fost colectate.

Excepiile de la principiul limitrii duratei de pstrare a datelor trebuie stabilite prin lege
i necesit garanii speciale pentru protejarea datelor persoanelor vizate.

3.3.1. Principiul pertinenei datelor


Vor fi prelucrate numai datele care sunt adecvate, pertinente i neexcesive n
raport cu scopurile pentru care sunt colectate i/sau ulterior prelucrate122. Categoriile de date alese pentru prelucrare trebuie s fie necesare pentru a atinge scopul
121 Un exemplu de astfel de dispoziii naionale este Legea austriac privind protecia datelor
(Datenschutzgesetz), Monitorul Oficial FederalI nr.165/1999, punctul46, disponibil n limba englez la:
www.dsk.gv.at/DocView.axd?CobId=41936.
122 Convenia108, articolul5 litera (c) i Directiva privind protecia datelor, articolul6 alineatul(1) litera(c).

72

Principiile-cheie ale legislaiei europene privind protecia datelor

general declarat al operaiunilor de prelucrare, iar un operator ar trebui s limiteze


colectarea de date strict la acele informaii direct relevante pentru scopul specific
urmrit de prelucrare.
n societatea contemporan, principiul pertinenei datelor are un argument suplimentar: prin utilizarea tehnologiei speciale de mbuntire a vieii private, uneori
se poate evita complet utilizarea datelor cu caracter personal sau se pot folosi date
pseudonimizate, ajungndu-se astfel la o soluie adecvat pentru viaa privat.
Acest lucru este potrivit n special pentru sistemele de prelucrare mai extinse.
Exemplu: Consiliul local al unui ora ofer o cartel cu cip utilizatorilor frecveni
ai sistemului public de transport n schimbul unei taxe. Cartela poart numele
utilizatorului n form scris pe suprafaa cartelei i, de asemenea, n format
electronic, n cip. Ori de cte ori persoana folosete autobuzul sau tramvaiul,
cartela cu cip trebuie validat cu ajutorul dispozitivelor de citire instalate, de
exemplu, n autobuze i tramvaie. Datele citite de dispozitiv sunt comparate
electronic cu o baz de date care conine numele persoanelor care au cumprat
cartela de cltorie.
Acest sistem nu ader la principiul pertinenei n mod optim: verificarea permisiunii unei persoane de a utiliza facilitile de transport se poate realiza fr compararea datelor cu caracter personal de pe cipul cartelei cu baza de date. Ar fi
suficient, de exemplu, o imagine electronic special, cum ar fi un cod de bare,
n cipul cartelei care, la validarea cu ajutorul dispozitivului de citire, ar confirma
valabilitatea cartelei. Un astfel de sistem nu nregistreaz cine, cnd i ce facilitate de transport a folosit. Nu sunt colectate date cu caracter personal, ceea ce
reprezint soluia optim n sensul principiului pertinenei, ntruct acest principiu are ca rezultat obligaia de a reduce la minim colectarea de date.

3.3.2. Principiul exactitii datelor


Un operator care deine informaii cu caracter personal nu va utiliza aceste informaii
fr a lua msuri pentru a se asigura cu suficient certitudine c datele sunt exacte
i actualizate.
Obligaia de a asigura exactitatea datelor trebuie analizat n contextul scopului prelucrrii datelor.

73

Manual de legislaie european privind proteciadatelor

Exemplu: O societate care comercializeaz mobil a colectat date privind identitatea i adresa unui client pentru transmiterea unei facturi. ase luni mai trziu, aceeai societate dorete s nceap o campanie de marketing i dorete
s intre n contact cu fotii clieni. Pentru a-i contacta, societatea dorete s
acceseze registrul naional al rezidenilor, care poate conine adresele actualizate, ntruct rezidenii sunt obligai prin lege s informeze registrul cu privire
la adresa lor curent. Accesul la datele incluse n acest registru este limitat la
persoanele i entitile care pot oferi un motiv ntemeiat.
n aceast situaie, societatea nu poate utiliza argumentul conform cruia datele
trebuie pstrate exacte i actualizate pentru a susine c este ndreptit s
colecteze datele privind noile adrese ale tuturor fotilor si clieni din registrul rezidenilor. Datele au fost colectate n timpul facturrii; pentru acest scop,
adresa de la momentul vnzrii este relevant. Nu exist niciun temei juridic
pentru colectarea datelor privind noile adrese, ntruct marketingul nu reprezint un interes care s surclaseze dreptul la protecia datelor i, prin urmare, nu
poate justifica accesarea datelor din registru.
Pot exista cazuri n care actualizarea datelor stocate s fie interzis prin lege, ntruct
scopul stocrii datelor este, n principal, acela de a documenta evenimente.
Exemplu: Un raport medical de operare nu trebuie modificat, altfel spus, actualizat, chiar dac ulterior se dovedete c observaiile menionate n raport sunt
greite. n astfel de situaii, pot fi fcute numai completri la observaiile raportului, att timp ct acestea sunt marcate n mod clar ca fiind contribuii efectuate
ulterior.
Pe de alt parte, exist situaii n care verificarea periodic a exactitii datelor, inclusiv actualizarea, constituie o necesitate absolut dat fiind daunele poteniale care
pot fi cauzate persoanei vizate n cazul n care datele ar rmne inexacte.
Exemplu: Dac o persoan dorete s ncheie un contract cu o instituie bancar,
atunci banca va verifica n mod normal bonitatea potenialului client. n acest
sens exist baze de date speciale, care conin date privind istoricul de credibilitate al unor persoane particulare. Dac o astfel de baz de date furnizeaz date
incorecte sau care nu mai sunt de actualitate cu privire la o persoan, aceast
persoan se poate confrunta cu probleme grave. Prin urmare, operatorii unor

74

Principiile-cheie ale legislaiei europene privind protecia datelor

astfel de baze de date depun eforturi deosebite pentru a respecta principiul


exactitii.
Mai mult, datele asociate unor suspiciuni, i nu unor fapte, cum ar fi cercetrile
penale, pot fi colectate i stocate att timp ct operatorul are un temei juridic pentru
colectarea acestor informaii i are suficiente justificri pentru formarea unei astfel
de suspiciuni.

3.3.3. Principiul limitrii duratei de pstrare a datelor


Articolul6 alineatul (1) litera (e) din Directiva privind protecia datelor i, de asemenea, articolul5 litera (e) din Convenia108 oblig statele membre s se asigure c
datele cu caracter personal sunt pstrate ntre-o form care permite identificarea
persoanelor vizate o perioad nu mai lung dect este necesar n vederea atingerii
scopurilor pentru care au fost colectate datele sau pentru care vor fi prelucrate ulterior. Prin urmare, datele trebuie terse dup atingerea acestor scopuri.
n cauza S. i Marper, CEDO a concluzionat c principiile fundamentale ale instrumentelor relevante ale Consiliului Europei, precum i dreptul i practica celorlalte pri
contractante impun proporionalitatea pstrrii datelor n raport cu scopul colectrii
i limitarea duratei de pstrare, n special n sectorul poliienesc123.
Cu toate acestea, limitarea duratei de pstrare a datelor personale se aplic numai
datelor pstrate ntr-o form care permite identificarea persoanelor vizate. Prin
urmare, pstrarea legal a datelor care nu mai sunt necesare se poate realiza prin
anonimizare sau pseudonimizare.
n Directiva privind protecia datelor, pstrarea datelor pentru viitoare utilizri tiinifice, istorice sau statistice este exceptat n mod explicit de la principiul limitrii duratei de pstrare a datelor124. Cu toate acestea, o astfel de stocare i utilizare continu
a datelor cu caracter personal trebuie s fie nsoit de garanii speciale, n conformitate cu legislaia naional.

123 Hotrrea CEDO din 4decembrie2008 n cauza S. i Marper/RegatulUnit, nr.30562/04 i 30566/04;


a se vedea, de exemplu, i Hotrrea CEDO din 13noiembrie2012 n cauza M.M./RegatulUnit,
nr.24029/07.
124 Directiva privind protecia datelor, articolul6 alineatul(1) litera(e).

75

Manual de legislaie european privind proteciadatelor

3.4. Principiul prelucrrii corecte


Puncte-cheie

Prelucrarea corect nseamn transparena prelucrrii, n special fa de persoanele


vizate.

Operatorii trebuie s informeze persoanele vizate nainte de a le prelucra datele, cel


puin cu privire la scopul prelucrrii i la identitatea i adresa operatorului.

Cu excepia cazului n care legea permite n mod special acest lucru, prelucrarea datelor
nu se realizeaz n secret sau pe ascuns.

Persoanele vizate au dreptul s i acceseze datele indiferent de locul n care sunt prelucrate acestea.

Principiul prelucrrii corecte guverneaz n principal relaia dintre operator i persoana vizat.

3.4.1. Transparena
Acest principiu stabilete obligaia operatorului de a informa persoanele vizate cu
privire la modul n care le sunt utilizate datele.
Exemplu: n cauza Haralambie/Romnia125, reclamantul a solicitat accesul la un
dosar pe care organizaia serviciilor secrete l-a pstrat cu privire la persoana sa,
ns solicitarea a fost onorat abia dup cinci ani. CEDO a reiterat c persoanele
care fac obiectul dosarelor personale deinute de autoritile publice au un interes vital n a le putea accesa. Autoritile aveau datoria de a asigura o procedur
eficient pentru obinerea accesului la aceste informaii. CEDO a considerat c
nici cantitatea dosarelor transferate i nici deficienele sistemului de arhivare nu
justific o ntrziere de cinci ani n acordarea accesului reclamantului la dosarele
care l privesc. Autoritile nu au asigurat reclamantului o procedur eficient i
accesibil pentru a-i permite s obin accesul la dosarele personale ntr-o perioad de timp rezonabil. Curtea a concluzionat c articolul8 din Convenia european a drepturilor omului a fost nclcat.

125 Hotrrea CEDO din 27octombrie2009 n cauza Haralambie/Romnia, nr.21737/03.

76

Principiile-cheie ale legislaiei europene privind protecia datelor

Operaiunile de prelucrare trebuie s fie explicate persoanelor vizate ntr-o manier


accesibil, care s garanteze c acetia neleg ceea ce se va ntmpla cu datele lor. O
persoan vizat are dreptul, de asemenea, s i se comunice de ctre un operator, la
cerere, dac i sunt prelucrate datele i, dac da, care sunt acestea.

3.4.2. Stabilirea unei relaii de ncredere


Operatorii ar trebui s dovedeasc, fa de persoanele vizate i de publicul larg, c
prelucrarea de date se va efectua n mod legal i transparent. Operaiunile de prelucrare nu trebuie realizate n secret i nu trebuie s aib efecte negative imprevizibile. Operatorii trebuie s asigure informarea clienilor sau a cetenilor cu privire
la utilizarea datelor acestora. Mai mult dect att, operatorii trebuie s acioneze,
n msura n care este posibil, astfel nct s satisfac prompt dorinele persoanelor
vizate, n special n cazurile n care consimmntul acestora constituie temeiul juridic pentru prelucrarea datelor.
Exemplu: n cauza K.H. i alii/Slovacia126, reclamantele au fost opt femei de
etnie rom care au fost tratate n dou spitale din estul Slovaciei n timpul sarcinii i naterii. Ulterior, niciuna dintre acestea nu a mai putut rmne nsrcinat, n ciuda ncercrilor repetate. Instanele naionale au ordonat spitalelor s
permit reclamantelor i reprezentanilor acestora s consulte i s realizeze
extrase de mn ale evidenelor medicale, dar au respins cererea acestora de a
fotocopia documentele, invocnd motivul prevenirii abuzurilor. Obligaiile absolute ale statului n temeiul articolului8 din Convenia european a drepturilor
omului includ neaprat obligaia de a pune la dispoziia persoanelor vizate copii
ale dosarelor cu datele acestora. Statul avea ndatorirea de a stabili aranjamentele pentru copierea dosarelor cu datele personale sau, dup caz, de a prezenta
motive convingtoare pentru refuzul de a aciona n consecin. n cazul reclamantelor, instanele interne au justificat interzicerea realizrii unor copii ale
evidenelor medicale n principal prin nevoia de a proteja informaiile relevante
mpotriva abuzurilor. Cu toate acestea, CEDO nu a neles modul n care reclamantele, crora li s-a acordat oricum accesul la dosarele lor medicale complete,
ar fi putut abuza de informaii care le priveau. Mai mult, riscul unui astfel de
abuz ar fi putut fi prevenit prin alte mijloace dect refuzul fotocopierii dosarelor reclamantelor, cum ar fi prin limitarea numrului de persoane ndreptite s
acceseze dosarele. Statul nu a putut demonstra existena unor motive suficient

126 Hotrrea CEDO din 6noiembrie2009 n cauza K.H. i alii/Slovacia, nr.32881/04.

77

Manual de legislaie european privind proteciadatelor

de convingtoare pentru a respinge accesul efectiv al reclamantelor la informaiile privind starea lor de sntate. Curtea a concluzionat c articolul8 a fost
nclcat.
n legtur cu serviciile de internet, caracteristicile sistemelor de prelucrare a datelor
trebuie s permit persoanelor vizate s neleag efectiv ce se ntmpl cu datele
lor.
Prelucrarea corect nseamn, de asemenea, c operatorii sunt pregtii s depeasc cerinele juridice minime obligatorii de serviciu pentru persoanele vizate, n
cazul n care interesele legitime ale persoanelor vizate impun acest lucru.

3.5. Principiul responsabilitii


Puncte-cheie

Responsabilitatea presupune implementarea activ a unor msuri de ctre operatori pentru promovarea i garantarea proteciei datelor n timpul activitilor lor de
prelucrare.

Operatorii sunt responsabili pentru conformitatea operaiunilor lor de prelucrare cu


legislaia privind protecia datelor.

Operatorii trebuie s poat demonstra n orice moment conformitatea cu dispoziiile privind protecia datelor persoanelor vizate, publicului larg i autoritilor de
supraveghere.

Organizaia pentru Cooperare i Dezvoltare Economic(OCDE) a adoptat n 2013 orientri privind viaa privat care au scos n eviden faptul c operatorii au un rol
important n aplicarea proteciei datelor. Orientrile elaboreaz un principiu al responsabilitii n sensul c un operator de date trebuie s fie responsabil pentru conformitatea cu msurile care dau efect principiilor [materiale] susmenionate127.
ntruct Convenia 108 nu face nicio referire la responsabilitatea operatorilor, lsnd
acest subiect, n esen, n seama dreptului intern, articolul6 alineatul(2) din Directiva privind protecia datelor menioneaz c operatorii trebuie s asigure conformitatea cu principiile referitoare la calitatea datelor incluse la alineatul1.
127 OCDE (2013), Orientri privind reglementarea proteciei vieii private i a fluxurilor transfrontaliere de
date cu caracter personal, articolul14.

78

Principiile-cheie ale legislaiei europene privind protecia datelor

Exemplu: Un exemplu legislativ pentru evidenierea principiului responsabilitii


este modificarea din 2009128 la Directiva privind protecia vieii private n sectorul comunicaiilor electronice2002/58/CE. Potrivit articolului4 din forma sa
modificat, directiva impune obligaia de punere n aplicare a unei politici de
securitate, i anume de a asigura punerea n aplicare a unei politici de securitate n ceea ce privete prelucrarea datelor cu caracter personal. Astfel, n ceea
ce privete dispoziiile de securitate ale acestei directive, legiuitorul a decis c
este necesar introducerea unei cerine explicite pentru elaborarea i punerea n
aplicare a unei politici de securitate.
n conformitate cu avizul Grupului de lucru Articolul29129, esena responsabilitii
este obligaia operatorului de a:
pune n aplicare msuri care n condiii normale garanteaz respectarea normelor de protecie a datelor n contextul operaiunilor de prelucrare;
pregti documentaia care dovedete persoanelor vizate i autoritilor de
supraveghere ce msuri au fost luate n vederea respectrii normelor de protecie a datelor.
Principul responsabilitii oblig astfel operatorii s demonstreze activ conformitatea
i s nu atepte ca persoanele vizate sau autoritile de supraveghere s scoat n
eviden deficienele.

128 Directiva2009/136/CE a Parlamentului European i a Consiliului din 25noiembrie2009 de modificare a


Directivei2002/22/CE privind serviciul universal i drepturile utilizatorilor cu privire la reelele i serviciile
de comunicaii electronice, a Directivei2002/58/CE privind prelucrarea datelor personale i protejarea
confidenialitii n sectorul comunicaiilor publice i a Regulamentului (CE) nr.2006/2004 privind
cooperarea dintre autoritile naionale nsrcinate s asigure aplicarea legislaiei n materie de protecie
a consumatorului, MO2009L337, p.11.
129 Grupul de lucru Articolul 29, Avizul3/2010 privind principiul responsabilitii, WP173, Bruxelles,
13iulie2010.

79


Normele legislaiei
europene privind protecia
datelor
UE

Aspecte vizate

CoE

Norme privind prelucrarea legal a datelor nesensibile


Directiva privind protecia datelor, articolul7
Consimmnt
litera (a)

Directiva privind protecia datelor, articolul7


litera (b)
Directiva privind protecia datelor, articolul7
litera (c)
Directiva privind protecia datelor, articolul7
litera (d)
Directiva privind protecia datelor, articolul7
litera (e) i articolul8 alineatul (4)
CJUE, C-524/06, Huber/Bundesrepublik
Deutschland, 16decembrie2008
Directiva privind protecia datelor, articolul7
(f), articolul8 alineatele (2) i (3)
CJUE, Cauzele conexate C-468/10 i
C-469/10, Asociacin Nacional de
Establecimientos Financieros de Crdito
(ASNEF) i Federacin de Comercio
Electrnico y Marketing Directo
(FECEMD)/Administracin del Estado,
24noiembrie2011

Recomandarea privind
crearea de profile,
articolul3.4 litera (b)
iarticolul3.6
Relaie (pre)
Recomandarea privind
contractual
crearea de profile,
articolul3.4 litera (b)
Obligaiile legale Recomandarea privind
ale operatorului
crearea de profile,
articolul3.4 litera (a)
Interesele vitale ale Recomandarea privind
persoanei vizate crearea de profile,
articolul3.4 litera (b)
Interesul public
Recomandarea privind
i exercitarea
crearea de profile,
autoritii oficiale articolul3.4 litera (b)
Interesele legitime Recomandarea privind
ale altora
crearea de profile,
articolul3.4 litera (b)

81

Manual de legislaie european privind proteciadatelor

UE

Aspecte vizate

Norme privind prelucrarea legal a datelor sensibile


Directiva privind protecia datelor, articolul8 Interdicie general
alineatul (1)
de prelucrare
Directiva privind protecia datelor, articolul8
Exceptri de la
alineatele(2)(4)
interdicia general
Prelucrarea
Directiva privind protecia datelor, articolul8
alineatul (5)
datelor privind
condamnrile
penale
Directiva privind protecia datelor articolul8
Numere de
alineatul (7)
identificare pentru
prelucrare
Norme privind prelucrarea securizat
Directiva privind protecia datelor,
Obligaia de a
articolul17
asigura prelucrarea
securizat
Directiva privind protecia vieii private
n sectorul comunicaiilor electronice,
articolul4 alineatul (2)
Directiva privind protecia datelor,
articolul16
Norme privind transparena prelucrrii

Directiva privind protecia datelor,


articolele10 i 11
Directiva privind protecia datelor,
articolele10 i 11
Directiva privind protecia datelor,
articolele18 i19
Norme privind promovarea conformitii
Directiva privind protecia datelor,
articolul20
Directiva privind protecia datelor,
articolul18alineatul (2)
Directiva privind protecia datelor,
articolul27

82

CoE
Convenia108, articolul6
Convenia108, articolul6
Convenia108, articolul6

Convenia108, articolul7
CEDO, I./Finlanda,
nr.20511/03, 17iulie2008

Notificri privind
nclcarea
securitii datelor
Obligaia de
confidenialitate
Transparena n
general
Informare
Excepii de la
obligaia de
informare
Notificare

Convenia108, articolul8(a)
Convenia108,
articolul8litera (a)
Convenia 108, articolul 9

Recomandarea privind
crearea de profile,
articolul9.2 litera (a)

Verificare
prealabil
Responsabili de
Recomandarea privind
protecia datelor cu crearea de profile,
caracter personal articolul8.3
Coduri de conduit

Normele legislaiei europene privind protecia datelor

Principiile au, n mod necesar, caracter general. Aplicarea lor unor situaii concrete
las o anumit marj de interpretare i alegere a mijloacelor. n temeiul legislaiei
CoE, este la latitudinea prilor la Convenia108 s clarifice aceast marj de interpretare n cadrul legislaiilor lor interne. Situaia n temeiul dreptului european este
diferit: pentru stabilirea proteciei datelor n cadrul pieei interne, s-a considerat
necesar elaborarea unor norme detaliate la nivel european pentru armonizarea
nivelului de protecie a datelor din cadrul legislaiilor naionale ale statelor membre.
Directiva privind protecia datelor stabilete, n temeiul principiilor prevzute la articolul6, un nivel de norme detaliate care trebuie aplicate fidel n legislaia naional.
Aadar, urmtoarele observaii privind normele detaliate de protecie a datelor la
nivel european vizeaz n mod predominant dreptul european.

4.1. Normele privind prelucrarea legal


Puncte-cheie

Datele cu caracter personal pot fi prelucrate legal dac:


prelucrarea se bazeaz pe consimmntul persoanei vizate sau

interesele vitale ale persoanelor vizate necesit prelucrarea datelor lor sau

interesele legitime ale altora constituie motivul prelucrrii, ns numai n msura n


care nu prevaleaz interesele de protejare a drepturilor fundamentale ale persoanelor vizate.

Prelucrarea legal a datelor sensibile cu caracter personal se supune unui regim special, mai strict.

Directiva privind protecia datelor conine dou seturi diferite de norme pentru prelucrarea legal a datelor: unul pentru date nesensibile, la articolul7, i unul pentru
date sensibile, la articolul8.

4.1.1. Prelucrarea legal a datelor nesensibile


CapitolulII din Directiva 95/46, intitulat Condiiile generale de legalitate a prelucrrii
datelor cu caracter personal, prevede c, sub rezerva excepiilor permise n temeiul
articolului13, toate prelucrrile de date cu caracter personal trebuie s fie conforme,
n primul rnd, cu principiile referitoare la calitatea datelor prevzute la articolul6 din
Directiva privind protecia datelor i, n al doilea rnd, cu unul dintre criteriile privind

83

Manual de legislaie european privind proteciadatelor

legitimitatea prelucrrii datelor enumerate la articolul7130. Astfel se explic situaiile


care legitimeaz prelucrarea datelor nesensibile cu caracter personal.

Consimmntul
n temeiul legislaiei CoE, consimmntul nu este prevzut la articolul8din Convenia european a drepturilor omului i nici n Convenia108. Este, totui, menionat
n jurisprudena CEDO i n mai multe recomandri ale Consiliului Europei. n temeiul
dreptului european, consimmntul, ca temei pentru prelucrarea legitim a datelor,
este stabilit ferm la articolul7litera (a) din Directiva privind protecia datelor i este
menionat n mod explicit i n articolul8 din Cart.

Relaia contractual
Un alt temei pentru prelucrarea legitim a datelor cu caracter personal n temeiul
dreptului european, enumerat la articolul7litera (b) din Directiva privind protecia
datelor, este legat de [necesitatea] pentru executarea unui contract la care subiectul datelor este parte. Aceast dispoziie reglementeaz i relaiile precontractuale.
De exemplu: o parte intenioneaz s ncheie un contract, ns nu a fcut-o nc,
posibil din cauza unor verificri rmase de finalizat. n cazul n care una dintre pri
trebuie s prelucreze date n acest scop, aceast prelucrare este legitim n msura
n care exist posibilitatea lurii unor msuri, la cererea persoanei vizate, nainte de
ncheierea contractului.
n temeiul legislaiei CoE, protecia drepturilor i libertilor altora este prevzut
la articolul8alineatul (2) din Convenia european a drepturilor omului ca motiv
pentru intervenia legitim n dreptul la protecia datelor.

Obligaiile legale ale operatorului


Dreptul european menioneaz n continuare n mod explicit un alt criteriu privind
legitimizarea prelucrrii datelor, i anume necesitatea ndeplinirii unei obligaii
legale care i revine operatorului [articolul7 litera (c) din Directiva privind protecia
datelor]. Aceast dispoziie se refer la operatorii care i desfoar activitatea n
130 Hotrrea CJUE din 20mai2003 n cauzele conexateC-465/00, C-138/01 i C-139/01 Rechnungshof/
sterreichischer Rundfunk i alii i Neukomm i Lauermann/sterreichischer Rundfunk, punctul65;
Hotrrea CJUE din 16decembrie2008 n cauza C-524/06, Huber/Bundesrepublik Deutschland,
punctul48; Hotrrea CJUE din 24noiembrie2011 n cauzele conexateC-468/10 i C-469/10,
Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) i Federacin de Comercio
Electrnico y Marketing Directo (FECEMD) /Administracin del Estado, punctul26.

84

Normele legislaiei europene privind protecia datelor

sectorul privat; obligaiile legale ale operatorilor de date din sectorul privat intr sub
incidena articolului7litera (e) din directiv. Exist multe cazuri n care operatorii din
sectorul privat sunt obligai prin lege s prelucreze date despre alte persoane, de
exemplu, medicii i spitalele au obligaia legal de a stoca date privind tratamentul
pacienilor pentru mai muli ani, angajatorii trebuie s prelucreze datele angajailor
din motive de securitate social i fiscal, iar ntreprinderile trebuie s prelucreze
datele clienilor din motive de impozitare.
n contextul transferului obligatoriu al datelor privind pasagerii de ctre companiile
aeriene ctre autoritile strine privind controlul imigraiei, a aprut ntrebarea dac
obligaiile legale n temeiul legislaiei strine ar putea constitui sau nu un temei legal
pentru prelucrarea datelor n temeiul dreptului european (acest aspect este discutat
n detaliu n seciunea6.2).
Obligaiile legale ale operatorului servesc drept temei juridic pentru prelucrarea legitim a datelor i n temeiul legislaiei CoE. Astfel cum a fost subliniat anterior, obligaiile legale ale unui operator din sectorul privat reprezint doar un caz specific de
interese legitime ale altor persoane, dup cum se menioneaz n articolul8 alineatul (2) din Convenia european a drepturilor omului. Exemplul de mai sus este, prin
urmare, relevant i pentru legislaia CoE.

Interesele vitale ale persoanei vizate


n temeiul dreptului european, articolul7litera (d) din Directiva privind protecia datelor prevede c prelucrarea datelor cu caracter personal este legal dac
este necesar n scopul protejrii interesului vital al persoanei vizate. Acest interes, strns legat de supravieuirea persoanei vizate, poate constitui baza utilizrii legitime a datelor privind starea de sntate sau despre persoane disprute, de
exemplu.
n temeiul legislaiei CoE, interesul vital al persoanei vizate nu este menionat n
articolul8 din Convenia european a drepturilor omului ca motiv pentru intervenia
legitim asupra dreptului la protecia datelor. Cu toate acestea, n unele recomandri
ale CoE care completeaz Convenia108 n anumite domenii, interesul vital al persoanei vizate este menionat explicit ca baz pentru prelucrarea legitim a datelor131.
Interesul vital al persoanei vizate este evident considerat implicit setului de motive

131 Recomandarea privind crearea de profile, articolul3.4 litera (b).

85

Manual de legislaie european privind proteciadatelor

care justific prelucrarea datelor: protecia drepturilor fundamentale nu ar trebui s


pun niciodat n pericol interesul vital al persoanei protejate.

Interesul public i exercitarea autoritii oficiale


Avnd n vedere multitudinea de modaliti posibile de organizare a afacerilor
publice, articolul7litera(e) din Directiva privind protecia datelor prevede c datele
cu caracter personal pot fi prelucrate legal dac acest lucru este necesar pentru
aducerea la ndeplinire a unei sarcini de interes public sau care rezult din exercitarea
autoritii publice cu care este nvestit operatorul sau terul cruia i sunt comunicate
datele [].132.
Exemplu: n cauza Huber/Bundesrepublik Deutschland133, domnul Huber, resortisant austriac cu reedina n Germania, a solicitat Oficiului Federal pentru Migraie i Refugiai s tearg datele sale din Registrul Central al Cetenilor Strini(AZR). Registrul, care conine date cu caracter personal ale resortisanilor
UE care nu sunt ceteni germani, dar au reedina n Germania de mai mult de
trei luni, este utilizat n scopuri statistice i de autoritile judiciare i de aplicare a legii atunci cnd cerceteaz i urmresc penal activitile infracionale sau
cele care amenin sigurana public. Instana de trimitere a ntrebat dac prelucrarea datelor cu caracter personal care este ntreprins n cadrul unui registru
precum Registrul Central al Cetenilor Strini, la care au acces i alte autoriti
publice, este compatibil cu dreptul european, avnd n vedere c nu exist un
astfel de registru pentru resortisanii germani.
CJUE susine n primul rnd c, n temeiul articolului7 litera(e) din directiv,
datele cu caracter personal pot fi prelucrate legal numai dac este necesar pentru aducerea la ndeplinire a unei sarcini de interes public sau care rezult din
exercitarea autoritii publice.
Potrivit Curii, innd seama de obiectivul care const n asigurarea unui nivel
de protecie echivalent n toate statele membre, noiunea de necesitate, astfel
cum rezult aceasta din articolul7 litera(e) din Directiva95/46 [] nu poate
avea un coninut care s varieze n funcie de statele membre. Este vorba, aadar, despre o noiune autonom de drept comunitar, care trebuie s primeasc o

132 A se vedea i Directiva privind protecia datelor, considerentul 32.


133 Hotrrea CJUE din 16decembrie2008 n cauza Huber/Bundesrepublik Deutschland, C-524/06.

86

Normele legislaiei europene privind protecia datelor

interpretare de natur s reflecte pe deplin obiectul acestei directive, astfel cum


este definit la articolul1 alineatul (1) din aceasta134.
Curtea remarc faptul c dreptul la libera circulaie a unui cetean al Uniunii pe
teritoriul unui stat membru al cruia nu este resortisant nu este necondiionat,
ci poate face obiectul unor limitri i condiii impuse prin Tratat i prin msurile
adoptate pentru punerea n aplicare a acestuia. Astfel, dac, n principiu, un stat
membru poate utiliza n mod legitim un registru precum AZR pentru a susine
autoritile responsabile pentru aplicarea legislaiei referitoare la dreptul de
edere, acest registru nu trebuie s conin informaii, altele dect cele necesare n acest scop specific. Curtea concluzioneaz c acest sistem de prelucrare
a datelor cu caracter personal este n conformitate cu dreptul european n cazul
n care conine numai datele necesare aplicrii acestei legislaii, iar structura sa
centralizat contribuie la eficientizarea implementrii acestei legislaii. Instana
naional trebuie s constate dac aceste condiii sunt ndeplinite n spe. Dac
nu sunt ndeplinite, stocarea i prelucrarea datelor cu caracter personal ntr-un
registru precum AZR n scopuri statistice nu poate fi considerat, n niciun caz,
necesar n sensul articolului7 litera (e) din Directiva95/46/CE135.
n cele din urm, referitor la aspectul privind utilizarea datelor incluse n registru
n scopul combaterii criminalitii, Curtea susine c acest obiectiv are n vedere
n mod necesar anchetarea infraciunilor comise, indiferent de cetenia autorilor acestora. Registrul n cauz nu include date personale ale resortisanilor
statului membru n cauz, iar aceast diferen de tratament constituie discriminare, interzis prin articolul18 din TFUE. n consecin, aceast dispoziie, astfel
cum este interpretat de Curte, se opune instituirii de ctre un stat membru, n
vederea combaterii criminalitii, a unui sistem specific de prelucrare a datelor
cu caracter personal care privete cetenii Uniunii care nu sunt resortisani ai
acestui stat membru136.
Utilizarea datelor cu caracter personal de ctre autoritile care acioneaz n domeniul public se supune, de asemenea, articolului8 dinConvenia european a drepturilor omului.

134 Ibidem, punctul52.


135 Ibidem, punctele54, 58, 59, 66-68.
136 Ibidem, punctele 78 i81.

87

Manual de legislaie european privind proteciadatelor

Interesele legitime urmrite de operator sau de un ter


Persoana vizat nu este singura cu interese legitime. Articolul7 litera(f) din Directiva privind protecia datelor prevede c datele cu caracter personal pot fi prelucrate
legal dac este necesar pentru realizarea interesului legitim urmrit de operator sau
de ctre unul sau mai muli teri, cu condiia ca acest interes s nu prejudicieze interesul sau drepturile i libertile fundamentale ale persoanei vizate, care necesit
protecie [].
n cadrul urmtoarei hotrri, CJUE s-a pronunat n mod explicit cu privire la articolul7 litera (f) din directiv:
Exemplu: n cauza ASNEF i FECEMD137, CJUE a clarificat faptul c legislaia naional nu are dreptul s adauge condiii la cele prevzute n articolul7litera(f) din
directiv pentru prelucrarea legal a datelor. Aceasta a fcut referire la o situaie n care legislaia spaniol privind protecia datelor includea o dispoziie prin
care alte pri private puteau invoca un interes legitim n prelucrarea datelor cu
caracter personal numai dac informaiile se regseau deja n surse publice.
Curtea a remarcat, n primul rnd, c Directiva95/46 este destinat s asigure
un nivel echivalent de protecie a drepturilor i libertilor persoanelor cu privire
la prelucrarea datelor cu caracter personal n toate statele membre. Apropierea
legislaiilor naionale aplicabile n acest domeniu nu trebuie s aib ca rezultat
scderea proteciei pe care o ofer, ci trebuie, dimpotriv, s aib drept obiectiv
asigurarea unui nivel nalt de protecie n Uniune138. n consecin, CJUE a considerat c din obiectivul constnd n asigurarea unui nivel de protecie echivalent
n toate statele membre rezult c articolul7 din Directiva95/46 prevede o list
exhaustiv i limitativ de cazuri n care o prelucrare de date cu caracter personal poate fi considerat ca fiind legal. Mai mult dect att, statele membre
nu pot nici s adauge principii noi privind legitimarea prelucrrilor de date cu
caracter personal la articolul7 din Directiva95/46, nici s prevad cerine suplimentare care s modifice coninutul unuia dintre cele ase principii prevzute

137 Hotrrea CJUE din 24noiembrie2011 n cauzele conexate C-468/10 i C-469/10, Asociacin Nacional
de Establecimientos Financieros de Crdito (ASNEF) i Federacin de Comercio Electrnico y Marketing
Directo (FECEMD) Administracin del Estado.
138 Ibidem, punctul28. A se vedea i Directiva privind protecia datelor, considerentele8 i10.

88

Normele legislaiei europene privind protecia datelor

la acest articol139. Curtea a admis c, n ceea ce privete ponderarea necesar


n temeiul articolului7 litera(f) din Directiva95/46/CE, este posibil s se ia n
considerare faptul c gravitatea atingerii aduse drepturilor fundamentale ale
persoanei vizate de prelucrarea n cauz poate varia n funcie de mprejurarea
dac datele n cauz sunt sau nu deja coninute n surse publice.
Cu toate acestea, articolul7 litera(f) din directiv se opune ca un stat membru
s exclud n mod categoric i generalizat posibilitatea ca anumite categorii de
date cu caracter personal s fie prelucrate, fr a permite o ponderare a drepturilor i a intereselor opuse n cauz ntr-un anumit caz.
Avnd n vedere aceste consideraii, Curtea a concluzionat c articolul7
litera(f) din Directiva95/46 trebuie interpretat n sensul c se opune unei reglementri naionale care, n lipsa consimmntului persoanei vizate i pentru a
permite prelucrarea datelor cu caracter personal ale acesteia, necesar pentru realizarea interesului legitim urmrit de operator sau de terul ori de terii
crora le sunt comunicate aceste date, impune, pe lng respectarea drepturilor i libertilor fundamentale ale persoanei vizate, ca datele n cauz s fie
coninute n surse aflate la dispoziia publicului, excluznd astfel n mod categoric i generalizat orice prelucrare a unor date care nu se regsesc n astfel de
surse140.
Formulri similare sunt disponibile n recomandrile CoE. Recomandarea privind crearea de profile confirm prelucrarea datelor cu caracter personal n scopul crerii de
profile legitime, n msura n care prelucrarea este necesar n scopul intereselor
legitime ale altora, cu excepia cazului n care prevaleaz interesele sau drepturile i
libertile fundamentale ale persoanelor vizate141.

4.1.2. Prelucrarea legal a datelor sensibile


Legislaia CoE las la aprecierea legislaiei interne stabilirea proteciei adecvate pentru utilizarea datelor sensibile, n timp ce dreptul european, n articolul8 din Directiva privind protecia datelor, conine un regim detaliat pentru prelucrarea unor categorii speciale de date, care dezvluie: originea rasial sau etnic, opiniile politice,
139 Hotrrea CJUE din 24noiembrie2011 n cauzele conexateC-468/10 i C-469/10, Asociacin Nacional
de Establecimientos Financieros de Crdito (ASNEF) i Federacin de Comercio Electrnico y Marketing
Directo (FECEMD) /Administracin del Estado, punctele30 i32.
140 Ibidem, punctele40, 44, 48 i49.
141 Recomandarea privind crearea de profile, articolul3.4 litera (b).

89

Manual de legislaie european privind proteciadatelor

convingerile religioase sau filozofice, apartenena sindical, precum i informaii


privind starea de sntate sau viaa sexual. Prelucrarea datelor sensibile este, n
principiu, interzis142. Cu toate acestea, exist o list exhaustiv de exceptri de la
aceast interdicie, disponibil la articolul8 alineatele(2) i(3) din directiv. Aceste
exceptri includ consimmntul explicit al persoanei vizate, interesele vitale ale
persoanei vizate, interesele legitime ale altora i interesul public.
Spre deosebire de cazul prelucrrii datelor nesensibile, o relaie contractual cu persoana vizat nu este considerat ca fiind un temei juridic general pentru prelucrarea
legitim a datelor sensibile. Prin urmare, dac datele sensibile urmeaz a fi prelucrate n contextul unui contract ncheiat cu persoana vizat, utilizarea acestor date
necesit consimmntul explicit distinct al persoanei vizate, n plus fa de acordul
de a ncheia contractul. Cu toate acestea, solicitarea explicit a persoanei vizate pentru produse sau servicii care dezvluie n mod necesar date sensibile ar trebui considerat la fel de bun ca un consimmnt explicit.
Exemplu: n cazul n care pasagerul unei companii aeriene, n contextul rezervrii unui zbor, solicit companiei aeriene s i pun la dispoziie un scaun cu rotile
i alimente de tip kosher, compania aerian are dreptul s utilizeze aceste date
chiar dac pasagerul nu a semnat o clauz suplimentar de consimmnt prin
care s consimt la utilizarea datelor sale care dezvluie informaii despre starea de sntate i convingerile religioase.

Consimmntul explicit al persoanei vizate


Prima condiie pentru prelucrarea legal a oricror date, indiferent dac sunt date
nesensibile sau sensibile, este consimmntul persoanei vizate. n cazul datelor
sensibile, acest consimmnt trebuie s fie explicit. Cu toate acestea, legislaia naional poate prevedea c acordarea consimmntului pentru utilizarea datelor sensibile nu reprezint un temei juridic suficient pentru a permite prelucrarea acestora143,
de exemplu, atunci cnd, n cazuri excepionale, prelucrarea implic riscuri neobinuite pentru persoana vizat.
ntr-un caz special, chiar i consimmntul implicit este recunoscut drept temei juridic pentru prelucrarea datelor sensibile: Articolul8 alineatul (2) litera (e) din directiv prevede c prelucrarea nu este interzis atunci cnd se refer la date care sunt
142 Directiva privind protecia datelor, articolul8 alineatul (1).
143 Ibidem, articolul8 alineatul (2) litera (a).

90

Normele legislaiei europene privind protecia datelor

fcute publice de ctre persoanele vizate n mod manifest. Aceast dispoziie presupune n mod evident c dezvluirea de ctre persoana vizat a datelor sale trebuie
interpretat ca implicnd consimmntul persoanei vizate pentru utilizarea acestor
date.

Interesele vitale ale persoanei vizate


La fel ca n cazul datelor nesensibile, datele sensibile pot fi prelucrate datorit intereselor vitale ale persoanei vizate144.
Pentru ca prelucrarea datelor sensibile s fie legitim pe aceast baz, este necesar
ca persoana vizat s fie n imposibilitatea de a decide asupra prelucrrii, deoarece
este incontient sau este absent i nu a putut fi contactat.

Interesele legitime ale altora


La fel ca n cazul datelor nesensibile, interesele legitime ale altora pot servi drept
temei pentru prelucrarea datelor sensibile. Cu toate acestea, pentru datele sensibile
i n conformitate cu articolul8 alineatul(2) din Directiva privind protecia datelor,
acest lucru este valabil numai n urmtoarelor cazuri:
prelucrarea este necesar datorit intereselor vitale ale unei alte persoane145,
atunci cnd persoana vizat este incapabil fizic sau juridic de a consimi;
datele sensibile sunt relevante n materie de drept al muncii, cum ar fi datele privind starea de sntate n contextul unui loc de munc deosebit de periculos sau
datele privind convingerile religioase n contextul srbtorilor146;
n cazul fundaiilor, asociaiilor sau al oricror alte organisme cu scop nelucrativ i
cu specific politic, filozofic, religios sau sindical, care prelucreaz datelor membrilor sau sponsorilor acestora sau ale altor pri interesate (aceste date sunt sensibile deoarece sunt susceptibile s dezvluie convingerile religioase sau politice
ale persoanelor n cauz)147;

144 Ibidem, articolul8 alineatul (2) litera (c).


145 Ibidem.
146 Ibidem, articolul8 alineatul (2) litera (b).
147 Ibidem, articolul8 alineatul (2) litera (d).

91

Manual de legislaie european privind proteciadatelor

n cazul n care datele sensibile sunt utilizate n contextul procedurilor juridice


naintea unei instane sau a unei autoriti administrative pentru constatarea,
exercitarea sau aprarea unui drept n justiie148.
De asemenea, conform articolului 8 alineatul(3) din Directiva privind protecia
datelor, atunci cnd datele medicale sunt utilizate pentru controale medicale i
administrarea de tratamente de ctre furnizorii de asisten medical, gestionarea acestor servicii se supune acestei exceptri. Ca o garanie special, persoanele sunt recunoscute drept furnizori de asisten medical numai dac se
supun unor obligaii profesionale de confidenialitate specifice.

Interesul public
n plus, n conformitate cu articolul8 alineatul(4) din Directiva privind protecia datelor, statele membre pot prevedea scopuri suplimentare pentru prelucrarea datelor
sensibile, atta timp ct:
datele sunt prelucrate pentru un motiv de interes public important;
se prevede astfel prin legislaia intern sau prin decizia autoritii de supraveghere i
legislaia intern sau decizia autoritii de supraveghere include garanii corespunztoare n vederea protejrii efective a intereselor persoanelor vizate149.
Un exemplu elocvent l constituie sistemele electronice de date medicale, care
urmeaz a fi instituite n multe state membre. Aceste sisteme permit punerea la dispoziie a datelor privind starea de sntate, colectate de ctre furnizorii de asisten
medical pe parcursul tratrii unui pacient, pentru ali furnizori de asisten medical
ai aceluiai pacient, la scar larg, de regul, la nivel naional.
Grupul de lucru Articolul 29 a concluzionat c aceste sisteme nu pot fi instituite n
conformitate cu normele juridice existente privind prelucrarea datelor pacienilor, n baza articolului8 alineatul(3) din Directiva privind protecia datelor. Cu toate
acestea, presupunnd c existena acestor sisteme electronice de date medicale
constituie un motiv de interes public important, se poate ntemeia pe articolul8
148 Ibidem, articolul8 alineatul (2) litera (e).
149 Ibidem, articolul8 alineatul (4).

92

Normele legislaiei europene privind protecia datelor

alineatul(4) din directiv, necesitnd un temei juridic explicit pentru instituirea


lor, care s includ i garaniile corespunztoare pentru operarea n siguran a
sistemului150.

4.2. Normele privind securitatea prelucrrii


Puncte-cheie

Normele privind securitatea prelucrrii implic obligarea operatorului i a persoanei mputernicite de ctre operator de a implementa msuri tehnice i organizatorice
adecvate pentru prevenirea unei intervenii neautorizate asupra operaiunilor de prelucrare a datelor.

Nivelul necesar de securitate a datelor este stabilit de:

elementele de securitate disponibile pe pia pentru orice tip specific de


prelucrare;

costuri i

sensibilitatea datelor prelucrate.

Prelucrarea securizat a datelor este garantat n plus prin obligaia general a tuturor
persoanelor, operatorilor sau persoanelor mputernicite de ctre operatori de a asigura
confidenialitatea datelor.

Obligarea operatorilor i a persoanelor mputernicite de ctre operatori de a implementa msuri adecvate pentru asigurarea securitii datelor este, aadar, prevzut
de legislaia CoE privind protecia datelor, precum i n legislaia european privind
protecia datelor.

4.2.1. Elementele securitii datelor


Potrivit dispoziiilor relevante din legislaia european:
Statele membre prevd aplicarea obligatorie de ctre operator a unor
msuri tehnice i organizatorice de protecie adecvate pentru protejarea
datelor cu caracter personal mpotriva distrugerii accidentale sau ilegale,
150 Grupul de lucru Articolul 29 (2007), Document de lucru privind prelucrarea datelor medicale cu caracter
personal din dosarul electronic de sntate (DES), WP131, Bruxelles, 15februarie2007.

93

Manual de legislaie european privind proteciadatelor

pierderii accidentale, modificrii, dezvluirii sau accesului neautorizat, n


special atunci cnd prelucrarea presupune transmiterea datelor ntr-o reea,
precum i mpotriva oricrei alte forme de prelucrare ilegal151.
O dispoziie similar exist, de asemenea, n legislaia CoE:
Msuri adecvate de securitate sunt luate pentru protejarea datelor cu
caracter personal nregistrate n fiierele automatizate mpotriva distrugerii
accidentale sau neautorizate, sau a pierderii accidentale, ct i mpotriva
accesului, modificrii sau difuzrii neautorizate152.
Deseori, exist, de asemenea, standarde industriale, naionale i internaionale care
au fost elaborate pentru securizarea prelucrrii datelor. Marca european de protecie a vieii private(EuroPriSe), de exemplu, este un proiect eTEN(Reele transeuropene de telecomunicaii) al UE, care a explorat posibilitile de certificare a produselor, n special a produselor software, ca fiind conforme cu legislaia european
privind protecia datelor. Agenia Uniunii Europene pentru Securitatea Reelelor i a
Informaiilor(ENISA) a fost nfiinat pentru consolidarea capacitii UE, a statelor
membre UE i a comunitii de afaceri n vederea prevenirii, abordrii i soluionrii
problemelor legate de securitatea reelelor i a informaiilor153. ENISA public periodic analize ale ameninrilor actuale la adresa securitii i recomandri cu privire la
modul n care acestea trebuie abordate.
Securitatea datelor nu se realizeaz numai prin implementarea echipamentelor
corespunztoare hardware i software. Aceasta necesit i norme organizatorice
interne adecvate. Ideal, acestea ar trebui s trateze urmtoarele aspecte:
punerea la dispoziia tuturor angajailor, periodic, a informaiilor despre normele
privind securitatea datelor i obligaiile acestora n baza legislaiei privind protecia datelor, n special obligaiile lor de confidenialitate;
distribuirea clar a responsabilitilor i sublinierea clar a competenelor n
materie de prelucrare a datelor, n special cu privire la deciziile de prelucrare a
datelor cu caracter personal i de transfer al datelor ctre teri;

151 Directiva privind protecia datelor, articolul17 alineatul(1).


152 Convenia 108, articolul 7.
153 Regulamentul (CE) nr.460/2004 al Parlamentului European i al Consiliului din 10martie2004 privind
instituirea Ageniei Europene pentru Securitatea Reelelor Informatice i a Datelor, MO2004L77.

94

Normele legislaiei europene privind protecia datelor

utilizarea datelor cu caracter personal numai n conformitate cu instruciunile


persoanei competente sau n conformitate cu normele generale puse n aplicare;
protejarea accesului n spaiile i la echipamentele hardware i software ale operatorului sau ale persoanei mputernicite de ctre operator, inclusiv verificri ale
autorizaiei de acces;
asigurarea faptului c autorizaiile de acces la date cu caracter personal au fost
acordate de ctre persoana competent i necesit documentaie adecvat;
protocoale automatizate privind accesul la date cu caracter personal prin mijloace electronice i verificri periodice ale acestor protocoale prin intermediul
departamentului intern de supraveghere;
documentarea atent pentru forme de dezvluire, altele dect accesul automatizat la date pentru a putea demonstra c nu a fost efectuat niciun transfer ilegal.
Instruirea i formarea adecvat a membrilor personalului n domeniul securitii
datelor reprezint, de asemenea, o msur importan de securitate efectiv. Procedurile de verificare trebuie, de asemenea, implementate pentru a garanta c msurile adecvate nu exist numai pe hrtie, ci i n practic (cum ar fi audituri interne sau
externe).
Msurile de mbuntire a nivelului de securitate al unui operator sau persoane
mputernicite de ctre operator includ instrumente, cum ar fi responsabili de protecia datelor cu caracter personal, formarea angajailor n domeniul securitii, audituri
periodice, teste de penetrate i mrci de calitate.
Exemplu: n cauza I./Finlanda154, reclamanta nu a putut dovedi c evidenele
sale medicale au fost accesate ilegal de ctre ali angajai ai spitalului n care a
lucrat. Prin urmare, cererea n care invoca nclcarea dreptului su la protecia
datelor a fost respins de instana intern. CEDO a concluzionat c a existat o
nclcare a articolului8 din Convenia european a drepturilor omului, ntruct
registrul de evidene medicale al spitalului era de aa natur nct nu permitea clarificarea retroactiv a utilizrii evidenelor pacienilor, acesta prezentnd
numai cele mai recente cinci consultaii, iar aceste informaii erau terse imediat

154 Hotrrea CEDO din 17iulie2008 n cauza I./Finlanda, nr.20511/03.

95

Manual de legislaie european privind proteciadatelor

ce dosarul era napoiat ctre arhiv. Pentru Curte, determinant a fost faptul c
registrul de evidene funcional n spital nu era, n mod evident, conform cu dispoziiile legislaiei interne, fapt cruia instanele interne nu au acordat importana cuvenit.

Notificrile privind nclcarea securitii datelor


Un nou instrument pentru tratarea nclcrii securitii datelor a fost introdus n
legislaia privind protecia datelor din mai multe ri europene: obligaia furnizorilor
de servicii de comunicaii electronice de a notifica nclcarea securitii datelor posibilelor victime i autoritilor de supraveghere. Pentru furnizorii de telecomunicaii,
aceasta reprezint o obligaie n temeiul dreptului european155. Scopul notificrilor
privind nclcarea securitii datelor transmise persoanelor vizate este acela de a
evita orice daune: notificarea nclcrilor securitii datelor i a consecinelor posibile
ale acestora reduc riscul unor efect negative asupra persoanelor vizate. n cazuri de
neglijen grav, furnizorii pot fi, de asemenea, amendai.
Va fi necesar instituirea n prealabil a unor proceduri interne pentru gestionarea i
raportarea eficient a nclcrilor msurilor de securitate, ntruct intervalul de timp
aferent obligaiei de raportare ctre persoanele vizate i/sau autoritile de supraveghere, conform legislaiei naionale, este de obicei relativ scurt.

4.2.2. Confidenialitate
n temeiul dreptului european, prelucrarea securizat a datelor este garantat n
plus prin obligaia general a tuturor persoanelor, operatorilor sau persoanelor
mputernicite de ctre operatori, de a garanta confidenialitatea datelor.
Exemplu: Angajata unei societi de asigurri primete un apel telefonic la locul
de munc de la o persoan care spune c este client i solicit informaii cu privire la contractul su de asigurare.
155 A se vedea Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12iulie2002 privind
prelucrarea datelor personale i protejarea confidenialitii n sectorul comunicaiilor electronice,
(Directiva asupra confidenialitii i comunicaiilor electronice), MO2002L201, articolul4 alineatul(3),
modificat prin Directiva2009/136/CE a Parlamentului European i a Consiliului din 25noiembrie2009
de modificare a Directivei2002/22/CE privind serviciul universal i drepturile utilizatorilor cu privire la
reelele i serviciile de comunicaii electronice; a se vedea i Directiva2002/58/CE privind prelucrarea
datelor personale i protejarea confidenialitii n sectorul comunicaiilor electronice i Regulamentul
(CE) nr.2006/2004 privind cooperarea dintre autoritile naionale nsrcinate s asigure aplicarea
legislaiei n materie de protecie a consumatorului, MO2009L337.

96

Normele legislaiei europene privind protecia datelor

Obligaia de confidenialitate asupra datelor clienilor impune ca angajatul s


aplice cel puin msurile de securitate minime nainte de a dezvlui date cu
caracter personal. Acest lucru poate fi realizat, de exemplu, prin revenirea cu un
apel telefonic la numrul nregistrat n dosarul clientului.
Articolul16 din Directiva privind protecia datelor trateaz confidenialitatea numai
n cadrul relaiei operator-persoan mputernicit de ctre operator. Obligaia operatorilor de a pstra sau nu confidenialitatea datelor, n sensul c nu le pot dezvlui
unor teri, este tratat n articolele7 i8 din directiv.
Obligaia de confidenialitate nu se extinde asupra situaiilor n care datele sunt
aduse la cunotina unei persoane n calitatea acesteia de persoan fizic, nu de
angajat al unui operator sau al unei persoane mputernicite de ctre operator. n
acest caz, articolul16 din Directiva privind protecia datelor nu se aplic, ntruct utilizarea datelor cu caracter personal de ctre persoane fizice este, de fapt, exceptat integral de la aplicabilitatea directivei, unde o astfel de utilizare se ncadreaz
n limitele aa-numitei derogri privind activitile domestice156. Derogarea privind
activitile domestice reprezint utilizarea datelor cu caracter personal de ctre o
persoan fizic n cursul unei activiti exclusiv personale sau domestice157. Avnd
n vedere hotrrea CJUE n cauza Bodil Lindqvist158, aceast derogare trebuie interpretat, totui, n sens restrns, n special n ceea ce privete dezvluirea datelor. Mai
precis, derogarea privind activitile domestice nu se va extinde la dezvluirea datelor cu caracter personal ctre un numr nelimitat de destinatari prin internet (pentru
mai multe detalii cu privire la cauz, v rugm s consultai seciunile2.1.2, 2.2, 2.3.1
i6.1).
n temeiul legislaiei CoE, obligaia de confidenialitate este implicit n noiunea de
securitate a datelor prevzut la articolul7 din Convenia108, care trateaz securitatea datelor.
Pentru persoanele mputernicite de ctre operator, confidenialitate nseamn c
pot utiliza datele cu caracter personal ncredinate de ctre operator exclusiv n conformitate cu instruciunile acestuia din urm. Pentru angajaii unui operator sau ai
unei persoane mputernicite de ctre operator, confidenialitatea impune utilizarea

156 Directiva privind protecia datelor, articolul3 alineatul (2) a doua liniu.
157 Ibidem
158 Hotrrea CJUE din 6 noiembrie 2003 n cauza Bodil Lindqvist, C-101/01.

97

Manual de legislaie european privind proteciadatelor

datelor cu caracter personal exclusiv n conformitate cu instruciunile superiorilor


competeni.
Obligaia de confidenialitate trebuie inclus n orice contract ncheiat ntre operatori i persoanele mputernicite de ctre acetia. n plus, operatorii i persoanele
mputernicite de ctre operatori vor trebui s adopte msuri specifice pentru a stabili o obligaie juridic de confidenialitate pentru angajaii lor, care se obine n mod
normal prin includerea unei clauze de confidenialitate n contractul de munc al
angajatului.
nclcarea atribuiilor profesionale de confidenialitate se pedepsete conform dispoziiilor dreptului penal n multe state membre ale UE i pri la Convenia108.

4.3. Normele privind transparena prelucrrii


Puncte-cheie

nainte de a ncepe prelucrarea datelor cu caracter personal, operatorul trebuie, cel


puin, s informeze persoanele vizate cu privire la identitatea operatorului i scopul
prelucrrii datelor, cu excepia cazului n care persoanele vizate dein deja aceste
informaii.

n cazul n care datele sunt colectate de la teri, obligaia de informare nu se aplic


dac:

prelucrarea datelor este prevzut prin lege sau

furnizarea informaiilor se dovedete a fi imposibil sau ar implica un efort


disproporionat.

nainte de a ncepe prelucrarea datelor cu caracter personal, operatorul trebuie, n plus:


s notifice autoritatea de supraveghere cu privire la operaiunile de prelucrare


avute n vedere sau

s asigure documentarea intern a prelucrrii cu ajutorul unui responsabil independent de protecia datelor cu caracter personal, n cazul n care legislaia naional
prevede aceast procedur.

Principiul prelucrrii corecte impune transparena prelucrrii. Legislaia CoE stabilete, n acest sens, c orice persoan trebuie s poat stabili existena fiierelor de

98

Normele legislaiei europene privind protecia datelor

prelucrare a datelor, finalitatea acestora i operatorul responsabil159. Modul n care se


realizeaz acest lucru este lsat la aprecierea legislaiei interne. Dreptul european este
mai concret, asigurnd transparena pentru persoana vizat prin obligarea operatorului de a informa persoana vizat, i publicul larg, prin intermediul unei notificri.
n conformitate cu ambele sisteme juridice, exceptrile i restriciile de la obligaiile
de transparen ale operatorului pot exista n legislaia naional atunci cnd aceste
restricii constituie o msur necesar pentru protejarea unor interese de ordin
public sau pentru protejarea persoanei vizate sau a drepturilor i libertilor altora,
atta timp ct acest lucru reprezint o msur necesar ntr-o societate democratic160. Aceste excepii pot fi necesare, de exemplu, n contextul cercetrii penale, dar
pot fi justificate i n alte mprejurri.

4.3.1. Informare
n conformitate cu legislaia CoE, precum i cu dreptul european, operatorii prelucrrilor au obligaia s informeze n prealabil persoana vizat cu privire la intenia
de prelucrare161. Aceast obligaie nu depinde de o solicitare din partea persoanei
vizate, ns trebuie respectat n mod proactiv de operator, indiferent dac persoana
vizat se arat interesat sau nu de informaii.

Coninutul informaiilor
Informaiile trebuie s includ scopul prelucrrii, precum i identitatea i datele de
contact ale operatorului162. Directiva privind protecia datelor impune furnizarea de
informaii suplimentare n msura n care innd seama de circumstanele specifice
n care sunt colectate datele, sunt necesare pentru asigurarea unei prelucrri corecte
a datelor cu privire la persoana vizat. Articolele10 i 11 din directiv subliniaz,
printre altele, categoriile de date prelucrate i destinatarii acestor date, precum i
existena dreptului de acces la date i a dreptului de rectificare a acestora. n cazul n
care datele sunt colectate de la persoanele vizate, informaiile ar trebui s clarifice
dac rspunsurile la ntrebri sunt obligatorii sau voluntare, precum i consecinele
posibile ale evitrii rspunsului163.
159 Convenia108, articolul8 litera (a).
160 Ibidem, articolul9 alineatul (2) i Directiva privind protecia datelor, articolul13 alineatul(1).
161 Convenia108, articolul8 litera (a); Directiva privind protecia datelor, articolele10i11.
162 Convenia108, articolul8 litera (a) i Directiva privind protecia datelor, articolul10 literele(a) i(b).
163 Directiva privind protecia datelor, articolul10 litera(c).

99

Manual de legislaie european privind proteciadatelor

Din perspectiva legislaiei CoE, furnizarea acestor informaii poate fi considerat


drept o bun practic, n conformitate cu principiul prelucrrii corecte, fiind, de asemenea, n aceast msur, parte a legislaiei CoE.
Principiul prelucrrii corecte impune ca informaiile s poat fi nelese uor de persoanele vizate. Se utilizeaz un limbaj adecvat destinatarilor. Nivelul i tipul de limbaj
va trebui adaptat n funcie de publicul vizat, de exemplu, aduli sau copii, publicul
larg sau experi.
Unele persoane vizate vor dori s fie informate exclusiv pe scurt despre modul i
motivul pentru care datele lor vor fi prelucrate, n timp ce altele vor solicita explicaii
detaliate. Echilibrarea acestui aspect al informrii corecte este tratat n cadrul unui
aviz al Grupului de lucru Articolul29, care promoveaz ideea aa-numitelor notificri
stratificate164, permind persoanei vizate s decid ce nivel de detaliu prefer.

Termenul de furnizare a informaiilor


Directiva privind protecia datelor conine prevederi uor diferite n ceea ce privete
intervalul n care trebuie furnizate informaiile, n funcie de modul n care sunt
colectate datele, de la persoana vizat (articolul10) sau de la un ter (articolul11).
n cazul n care datele sunt colectate de la persoana vizat, informaiile trebuie furnizate, cel mai trziu, la momentul colectrii. n cazul n care datele sunt colectate de la
teri, informaiile trebuie furnizate, cel mai trziu, fie la momentul n care operatorul
nregistreaz datele, fie naintea dezvluirii datelor pentru prima dat unui ter.

Excepii de la obligaia de informare


n temeiul dreptului european, o excepie general de la obligaia de informare a
persoanei vizate exist n cazul n care persoana vizat deine deja informaiile165.
Acest aspect se refer la situaiile n care persoana vizat a fost deja informat, n
funcie de mprejurrile cazului, c datele sale vor fi prelucrate ntr-un anumit scop
de ctre un anumit operator.
Articolul 11 din directiv, care se refer la obligaia de informare a persoanei vizate
atunci cnd datele nu sunt obinute de la aceasta, prevede, de asemenea, c aceasta
nu se aplic, n special n cazul prelucrrii n scopuri statistice sau de cercetare istoric
ori tiinifice, dac:
164 Grupul de lucru Articolul29 (2004), Avizul10/2004 privind dispoziii de informare armonizate, WP100,
Bruxelles, 25noiembrie2004.
165 Directiva privind protecia datelor, articolul10 i articolul11 alineatul(1).

100

Normele legislaiei europene privind protecia datelor

furnizarea acestor informaii se dovedete imposibil sau


ar implica un efort disproporionat sau
nregistrarea sau dezvluirea datelor este prevzut n mod expres prin lege166.
Numai articolul11 alineatul (2) din Directiva privind protecia datelor prevede c
persoanele vizate trebuie s fie informate cu privire la operaiunile de prelucrare n
cazul n care acestea sunt impuse prin lege. Avnd n vedere ipoteza juridic general conform creia legea este cunoscut de cei care i se supun, se poate argumenta
c, atunci cnd datele sunt colectate de la o persoan vizat, n temeiul articolului10
din directiv, persoana vizat deine informaiile. Dar, avnd n vedere c aceast
cunoatere a legii este doar o presupunere, principiul prelucrrii corecte ar impune
prin articolul10 ca persoana vizat s fie informat chiar i atunci cnd prelucrarea
este prevzut de lege, mai ales pentru c informarea persoanei vizate nu este deosebit de dificil atunci cnd datele sunt colectate direct de la aceasta.
n ceea ce privete legislaia CoE, Convenia108 prevede n mod explicit excepii
de la articolul 8. Din nou, excepiile stabilite n articolele10 i11 din Directiva privind protecia datelor pot fi considerate exemple de bune practici pentru excepiile
n temeiul articolului9 din Convenia108.

Modaliti diferite de furnizare a informaiilor


Metoda ideal de furnizare a informaiilor ar fi adresarea, verbal sau n scris, ctre
fiecare persoan vizat n parte. n cazul n care datele sunt colectate de la persoana
vizat, furnizarea informaiilor ar trebui s se ntreptrund cu operaiunea de colectare. Cu toate acestea, mai ales atunci cnd datele sunt colectate de la teri, innd
seama de dificultile practice evidente de contactare a persoanei vizate, informaiile pot fi furnizate i prin intermediul unei publicaii adecvate.
Una dintre cele mai eficiente modaliti de furnizare a informaiilor va fi stabilirea
unor clauze adecvate de informare pe pagina principal a operatorului, cum ar fi o
politic de confidenialitate a site-ului. Cu toate acestea, exist un procent semnificativ de populaie care nu utilizeaz internetul, iar politica de informare a unei societi
sau a unei autoriti publice ar trebui s in cont de acest aspect.

166 Ibidem, considerentul40 i articolul11 alineatul(2).

101

Manual de legislaie european privind proteciadatelor

4.3.2. Notificare
Legislaia naional poate obliga operatorii s notifice autoritatea de supraveghere
competent cu privire la operaiunile lor de prelucrare astfel nct acestea s poat fi
publicate. Alternativ, legislaia naional poate prevedea ca operatorii s angajeze un
responsabil de protecia datelor cu caracter personal, care s rspund n special de
pstrarea unui registru cu operaiunile de prelucrare efectuate de operator167. Registrul intern trebuie s fie pus la dispoziia membrilor publicului, la cerere.
Exemplu: O notificare, precum i documentarea unui responsabil intern de protecia datelor cu caracter personal trebuie s descrie principalele funcii ale prelucrrii de date n cauz. Aceast descriere va include informaii despre operator, scopul prelucrrii, temeiul juridic al prelucrrii, categoriile de date prelucrate,
posibilii destinatari teri i msura n care sunt prevzute fluxuri transfrontaliere
de date, i dac da, care sunt acestea.
Publicarea notificrilor de ctre autoritatea de supraveghere trebuie s ia forma unui
registru special. Pentru ndeplinirea obiectivului, accesul la acest registru ar trebui s
fie facil i gratuit. Acelai lucru este valabil pentru documentaia pstrat de responsabilul de protecia datelor cu caracter personal al operatorului.
Excepiile de la obligativitatea de notificare a autoritii de supraveghere competente sau de angajare a unui responsabil intern de protecia datelor pot fi prevzute
n legislaia naional, operaiunile de prelucrare care nu sunt susceptibile a prezenta
un risc specific pentru persoanele vizate fiind enumerate n articolul18 alineatul(2)
din Directiva privind protecia datelor168.

4.4. Normele privind promovarea


conformitii
Puncte-cheie

Prin dezvoltarea principiului responsabilitii, Directiva privind protecia datelor menioneaz mai multe instrumente pentru promovarea conformitii:

167 Ibidem, articolul18 alineatul (2) a doua liniu.


168 Ibidem, articolul18 alineatul (2) prima liniu.

102

Normele legislaiei europene privind protecia datelor

verificarea n prealabil de ctre autoritatea de supraveghere naional a operaiunilor de prelucrare prevzute;

responsabilii de protecia datelor cu caracter personal, care vor asigura operatorului expertiz special n domeniul proteciei datelor;

coduri de conduit care specific normele privind protecia datelor existente n


vederea aplicrii ntr-un anumit sector al societii, n special n sectorul de afaceri.

Legislaia CoE propune instrumente similare pentru promovarea conformitii n Recomandarea sa privind crearea de profile.

4.4.1. Verificare prealabil


Conform articolului20 din Directiva privind protecia datelor, autoritatea de supraveghere trebuie s verifice operaiunile de prelucrare care pot prezenta riscuri specifice
n ceea ce privete drepturile i libertile persoanelor vizate cauzate de scopul sau
de mprejurrile prelucrrii nainte de a ncepe prelucrarea. Legislaia naional trebuie s stabileasc operaiunile de prelucrare care se calific pentru verificare prealabil. O astfel de verificare poate conduce la interzicerea operaiunilor de prelucrare
sau la emiterea unui ordin de modificare a caracteristicilor modelului propus al operaiunilor de prelucrare. Articolul20 din directiv are ca scop asigurarea c nu se d
curs niciunei prelucrri riscante n mod inutil, ntruct autoritatea de supraveghere
are autoritatea de a interzice astfel de operaiuni. Condiia prealabil pentru ca acest
mecanism s fie eficient este notificarea efectiv a autoritii de supraveghere. Pentru a asigura faptul c operatorii i ndeplinesc obligaia de notificare, autoritile
de supraveghere trebuie s dispun de puteri coercitive, precum capacitatea de a
amenda operatorii.
Exemplu: n cazul n care o societate desfoar operaiuni de prelucrare care, n
conformitate cu legislaia naional, se supun unei verificri prealabile, aceast
societate trebuie s prezinte autoritii de supraveghere documentaia privind
operaiunile de prelucrare planificate. Societatea nu poate da curs operaiunilor
de prelucrare nainte de a primi un rspuns favorabil din partea autoritii de
supraveghere.
n unele state membre, legislaia naional prevede n mod alternativ c operaiunile de prelucrare pot fi demarate n cazul n care nu exist nicio reacie din
partea autoritii de supraveghere ntr-un anumit interval de timp, de exemplu,
trei luni.

103

Manual de legislaie european privind proteciadatelor

4.4.2. Responsabili de protecia datelor cu caracter


personal
Directiva privind protecia datelor permite ca legislaia naional s prevad posibilitatea operatorilor de a desemna un funcionar s acioneze n calitate de funcionar
responsabil pentru protecia datelor cu caracter personal169. Misiunea acestuia este
aceea de a garanta c drepturile i libertile persoanelor vizate nu vor fi afectate n
mod negativ prin operaiunile de prelucrare170.
Exemplu: n Germania, n conformitate cu seciunea4f, subseciunea1 din
Legea federal german privind protecia datelor (Bundesdatenschutzgesetz),
societile private sunt obligate s numeasc un responsabil de protecia datelor cu caracter personal la nivel intern, n cazul n care angajeaz permanent cel
puin 10 persoane n procesul de prelucrare automatizat a datelor cu caracter
personal.
Posibilitatea realizrii acestui obiectiv presupune o anumit independen pentru
funcia responsabilului n cadrul organizaiei operatorului, astfel cum se arat n mod
explicit n directiv. De asemenea, pentru a sprijini funcionarea eficient a acestui
birou, sunt necesare drepturi de munc ferme care s i asigure protecia mpotriva
unor eventuale situaii, precum concedierea nejustificat.
Pentru promovarea conformitii cu legislaia naional privind protecia datelor,
conceptul de responsabili interni de protecia datelor cu caracter personal a fost, de
asemenea, adoptat n anumite Recomandri ale Consiliului Europei171.

4.4.3. Coduri de conduit


Pentru a promova conformitatea, sectorul de afaceri i alte sectoare pot elabora
norme detaliate de reglementare a activitilor tipice de prelucrare, care s sistematizeze cele mai bune practici. Expertiza membrilor sectorului respectiv va favoriza identificarea unor soluii practice, care s poat fi urmate. n consecin, statele
membre precum i Comisia European sunt ncurajate s promoveze elaborarea
unor coduri de conduit destinate s contribuie la buna aplicare a dispoziiilor de

169 Ibidem, articolul 18 alineatul (2) a doua liniu.


170 Ibidem.
171 A se vedea, de exemplu, Recomandarea privind crearea de profile, articolul8.3.

104

Normele legislaiei europene privind protecia datelor

drept intern adoptate de statele membre n temeiul directivei, n funcie de particularitile diferitelor sectoare172.
Pentru a asigura conformitatea acestor coduri de conduit cu dispoziiile de drept
intern adoptate n temeiul Directivei privind protecia datelor, statele membre trebuie s stabileasc o procedur de evaluare a codurilor. Aceast procedur ar necesita, de regul, implicarea autoritii naionale, a asociaiilor profesionale i a altor
organe reprezentnd alte categorii de operatori173.
Proiectele de coduri comunitare i modificrile sau prorogrile codurilor comunitare
existente pot fi prezentate Grupului de lucru Articolul29 pentru evaluare. n urma
aprobrii de ctre Grupul de lucru, Comisia European poate asigura o publicitate
adecvat acestor coduri174.
Exemplu: Federaia European de Marketing Direct i Interactiv(FEDMA) a elaborat un Cod european de practic pentru utilizarea datelor cu caracter personal
n cadrul marketingului direct. Codul a fost prezentat cu succes Grupului de lucru
Articolul29. n anul2010 a fost adugat o anex privind comunicrile electronice de marketing175.

172 A se vedea Directiva privind protecia datelor, articolul27 alineatul (1).


173 Ibidem, articolul27 alineatul (2).
174 Ibidem, articolul27 alineatul (3).
175 Grupul de lucru Articolul 29 (2010), Avizul 4/2010 privind Codul de conduit european al FEDMA pentru
utilizarea datelor cu caracter personal n cadrul marketingului direct, WP 174, Bruxelles, 13iulie2010.

105


Drepturile persoanelor
vizate i punerea
naplicare a acestora
UE

Dreptul de acces
Directiva privind protecia datelor,
articolul12

Aspecte vizate

CoE

Dreptul de acces la Convenia108,


datele proprii
articolul8litera (b)

CJUE, C-553/07, College van burgemeester


en wethouders van Rotterdam/M.E.E.
Rijkeboer, 7mai2009
Dreptul la
rectificare, dreptul
de tergere sau de
blocare

Convenia108,
articolul8litera (c)
CEDO, Cemalettin Canli/
Turcia, nr.22427/04,
18noiembrie2008
CEDO, Segerstedt-Wiberg i
alii/Suedia, nr.62332/00,
6iunie2006
CEDO, Ciubotaru/
Moldova, nr.27138/04,
27aprilie2010

Dreptul de opoziie
Directiva privind protecia datelor,
articolul14 alineatul (1)litera (a)

Directiva privind protecia datelor,


articolul14 alineatul (1)litera (b)

Dreptul de opoziie
ca urmare a
situaiei speciale a
persoanei vizate
Dreptul de opoziie
fa de utilizarea
ulterioar a datelor
n scopuri de
marketing

Recomandarea privind
crearea de profile,
articolul5.3
Recomandarea privind
marketingul direct,
articolul4.1

107

Manual de legislaie european privind proteciadatelor

UE
Directiva privind protecia datelor,
articolul15
Supraveghere independent
Carta, articolul8alineatul (3)
Directiva privind protecia datelor,
articolul28

Aspecte vizate

CoE

Dreptul de opoziie Recomandarea privind


fa de deciziile
crearea de profile,
automatizate
articolul5.5
Autoriti naionale Convenia108, Protocol
de supraveghere adiional, articolul1

Instituii ale UE, Capitolul V


Regulamentul privind protecia datelor
CJUE, C-518/07, Comisia European/
Republica Federal Germania,
9martie2010
CJUE, C-614/10, Comisia European/
Republica Austria, 16octombrie 2012
CJUE, C-288/12, Comisia European/Ungaria,
8aprilie2014
Ci de atac i sanciuni
Directiva privind protecia datelor,
articolul12
Directiva privind protecia datelor,
articolul28 alineatul(4)
Regulamentul privind protecia
datelor de ctre instituiile europene,
articolul32alineatul (2)
Carta, articolul47

Directiva privind protecia datelor,


articolul28 alineatul(3)
TFUE, articolul263alineatul (4)

Cerere ctre
operator
Cereri depuse la
o autoritate de
supraveghere

Instane
judectoreti (n
general)
Instane naionale

Convenia108,
articolul8litera (b)
Convenia108, Protocol
adiional, articolul1alineatul
(2)litera (b)

Convenia european
a drepturilor omului,
articolul13
Convenia 108, Protocol
adiional, articolul1
alineatul(4)

CJUE

Regulamentul privind protecia


datelor de ctre instituiile europene,
articolul32alineatul (1)
TFUE, articolul267
CEDO

108

Convenia european
a drepturilor omului,
articolul34

Drepturile persoanelor vizate i punerea naplicare a acestora

UE
Ci de atac i sanciuni
Carta, articolul47
Directiva privind protecia datelor,
articolele22 i 23
CJUE, C-14/83, Sabine von Colson i Elisabeth
Kamann/Land Nordrhein-Westfalen,
10aprilie1984

Aspecte vizate
Pentru nclcri ale
legislaiei naionale
privind protecia
datelor

CJUE, C-28/08, Comisia European/The


Bavarian Lager Co. Ltd, 29iunie2010

Convenia european
a drepturilor omului,
articolul13 (doar pentru
statele membre ale CoE)
Convenia108, articolul10
CEDO, K.U./Finlanda,
nr.2872/02, 2martie2008

CJUE, C-152/84, M.H. Marshall/Southampton


and South-West Hampshire Area Health
Authority, 26februarie1986
Regulamentul privind protecia
datelor de ctre instituiile europene,
articolul34alineatul (49)

CoE

CEDO, Biriuk/Lituania,
nr.23373/03,
25noiembrie2008
Pentru nclcri
ale dreptului UE de
ctre instituiile i
organele UE

Eficacitatea normelor juridice, n general, i a drepturilor persoanelor vizate, n special, depinde ntr-o msur considerabil de existena unor mecanisme adecvate
pentru punerea n aplicare a acestora. n conformitate cu legislaia european privind
protecia datelor, persoana vizat trebuie s fie mputernicit n temeiul legislaiei
naionale s i protejeze datele personale. De asemenea, trebuie nfiinate autoriti
independente de supraveghere, conform legislaiei naionale, care s asiste persoanele vizate n exercitarea drepturilor lor i pentru a supraveghea procesul de prelucrare a datelor cu caracter personal. n plus, dreptul de acces la o cale de atac eficient, astfel cum este garantat prin Convenia european a drepturilor omului i prin
Cart, prevede punerea la dispoziie a cilor de atac juridice pentru fiecare persoan.

5.1. Drepturile persoanelor vizate


Puncte-cheie

Orice persoan are dreptul, n temeiul legislaiei naionale, s solicite de la orice operator, informaii care s indice dac operatorul respectiv prelucreaz datele acesteia.

n conformitate cu legislaia naional, persoanele vizate au dreptul s:


i acceseze datele personale de la orice operator care prelucreaz datele


respective;

109

Manual de legislaie european privind proteciadatelor

solicite rectificarea (sau blocarea, dup caz) a datelor personale de ctre operatorul care se ocup de prelucrarea datelor acestora, n cazul n care datele respective
sunt incorecte;

solicite tergerea sau blocarea, dup caz, a datelor personale de ctre operator, n
cazul n care acesta prelucreaz datele respective n mod ilegal.

De asemenea, persoanele vizate au dreptul de opoziie fa de operatori n cazul:


deciziilor automatizate (adoptate pe baza datelor personale prelucrate doar prin


mijloace automate);

prelucrrii datelor acestora, dac acest lucru conduce la rezultate disproporionate;

utilizrii datelor acestora n scopuri de marketing direct.

5.1.1. Dreptul de acces


n temeiul dreptului UE, articolul12 din Directiva privind protecia datelor conine
elementele referitoare la dreptul de acces al persoanelor vizate, inclusiv dreptul de
a obine de la operator confirmarea c datele care o privesc sunt sau nu prelucrate,
precum i informaii referitoare la scopul prelucrrii, categoriile de date avute n
vedere i destinatarii sau categoriile de destinatari crora le sunt comunicate datele,
precum i rectificarea, tergerea sau blocarea datelor a cror prelucrare nu respect
dispoziiile prezentei directive, n special datorit caracterului incomplet sau inexact
al datelor.
Legislaia CoE prevede aceleai drepturi, fiind necesar ca acestea s fie prevzute
i de dreptul intern (articolul8 din Convenia108). ntr-o serie de recomandri ale
CoE, se utilizeaz termenul acces, iar diferitele aspecte ale dreptului de acces sunt
descrise i propuse pentru a fi puse n aplicare n dreptul intern, astfel cum este subliniat la alineatul de mai sus.
n conformitate cu articolul9 din Convenia108 i articolul13 din Directiva privind
protecia datelor, obligaia operatorilor de a rspunde la o cerere de acces din partea persoanei vizate poate fi restricionat ca urmare a intereselor legale prioritare
ale altor entiti. Interesele legale prioritare pot implica interese publice, precum
securitatea naional, sigurana public i urmrirea penal a infraciunilor, precum i interese private, care sunt imperative fa de interesele privind protecia
datelor. Excepiile sau restriciile trebuie s fie necesare ntr-o societate democratic i proporionale cu scopul urmrit. n cazuri excepionale, de exemplu, n baza
unor recomandri medicale, protecia persoanelor vizate poate necesita n sine o

110

Drepturile persoanelor vizate i punerea naplicare a acestora

restricionare a transparenei; aceasta implic, n special, limitarea dreptului de acces


al fiecrei persoane vizate.
Ori de cte ori datele sunt prelucrate exclusiv n scopul cercetrii tiinifice sau a realizrii de statistici, Directiva privind protecia datelor permite restricionarea drepturilor de acces n baza legislaiei naionale; cu toate acestea, trebuie s se ofere garanii
legale adecvate. n special, trebuie s se garanteze c nu sunt luate msuri sau decizii privind o anumit persoan n contextul prelucrrii unor astfel de date i c n
mod clar, nu exist riscuri de nclcare a vieii private persoanei vizate176. Prevederi
similare sunt incluse n articolul9alineatul(3) din Convenia108.

Dreptul de acces la datele proprii


n temeiul legislaiei CoE, dreptul de acces la datele proprii este recunoscut n mod
explicit la articolul8 din Convenia108. CEDO a susinut n repetate rnduri c alte
persoane au i exercit dreptul de a accesa informaii referitoare la datele cu caracter personal ale unei persoane i c acest drept rezult din necesitatea de respectare a vieii private177. n cauza Leander178, CEDO a concluzionat c dreptul de acces
la datele cu caracter personal stocate de autoritile publice ar putea, totui, s fie
limitat n anumite circumstane.
n temeiul dreptului UE, dreptul de acces la datele proprii este recunoscut n mod
explicit la articolul12 din Directiva privind protecia datelor i, ca drept fundamental,
la articolul8 alineatul(2) din Cart.
Articolul12 litera(a) din directiv prevede obligativitatea statelor membre de a
garanta fiecrei persoane vizate dreptul de acces la datele i informaiile personale.
n special, fiecare persoan vizat are dreptul de a obine de la operator confirmarea
c datele care o privesc sunt sau nu prelucrate i informaii referitoare cel puin la:
scopul prelucrrii;
categoriile de date avute n vedere;
176 Directiva privind protecia datelor, articolul13alineatul(2).
177 Hotrrea CEDO din 7iulie1989 n cauza Gaskin/RegatulUnit, nr.10454/83; Hotrrea CEDO din
13februarie2003, n cauza Odivre/Frana [T], nr.42326/98; Hotrrea CEDO din 28aprilie2009 n
cauza K.H. i alii/Slovacia, nr.32881/04; Hotrrea CEDO din 25septembrie2012 n cauza Godelli/Italia,
nr.33783/09.
178 Hotrrea CEDO din 11iulie1985 n cauza Leander/Suedia, nr.9248/81.

111

Manual de legislaie european privind proteciadatelor

datele care fac obiectul prelucrrii;


destinatarii sau categoriile de destinatari crora le sunt dezvluite datele;
informaiile disponibile privind sursa datelor care fac obiectul prelucrrii;
n cazul deciziilor automatizate, principiile de funcionare a mecanismului de prelucrare automat a datelor.
Legislaia naional poate aduga informaii spre a fi furnizate de operator, de exemplu, invocarea temeiului juridic care autorizeaz prelucrarea datelor.
Exemplu: Prin accesarea datelor personale, o persoan poate s stabileasc
dac datele sunt sau nu exacte. Prin urmare, este absolut necesar ca persoana
vizat s fie informat privind categoriile de date prelucrate i coninutul datelor. Astfel, nu este suficient ca un operator s anune doar persoana vizat c
prelucreaz numele, adresa, data de natere i domeniul de interes ale acesteia.
Operatorul trebuie, de asemenea, s comunice persoanei vizate faptul c acesta
prelucreaz numele: N.N.; o adres: 1040Viena, Schwarzenbergplatz11, Austria; data naterii: 10.10.1974; i domeniul de interes (n baza declaraiei persoanei vizate): muzic clasic. Ultimul element conine, n mod adiional, informaii
privind sursa datelor.
Informarea persoanei vizate cu privire la datele care fac obiectul prelucrrii i
sursa informaiilor disponibile trebuie s fie realizat ntr-o form inteligibil, ceea
ce nseamn c operatorul trebuie s explice, n mod detaliat, persoanei vizate ce
anume prelucreaz. De exemplu, simpla menionare a unor abrevieri tehnice sau a
unor termeni medicali ca rspuns la o cerere de acces nu este, de regul, suficient,
chiar dac se stocheaz numai astfel de abrevieri sau termeni.
Informaiile privind sursa datelor prelucrate de operator trebuie furnizate drept
rspuns la o cerere de acces, n msura n care aceste informaii sunt disponibile.
Aceast dispoziie trebuie neleas n lumina principiilor echitii i responsabilitii.
Un operator nu poate distruge informaiile privind sursa datelor pentru a fi scutit de
obligaia de a le divulga sau ignora standardul aplicabil i necesitile recunoscute de
documentare n domeniul n care i desfoar activitatea. Nedocumentarea sursei
datelor prelucrate nu se consider, de regul, o ndeplinire a obligaiilor operatorului
n ceea ce privete dreptul de acces.

112

Drepturile persoanelor vizate i punerea naplicare a acestora

n cazul n care se efectueaz evaluri automate, se impune explicarea logicii generale a evalurii, inclusiv criteriile specifice care au fost luate n considerare pentru
evaluarea persoanei vizate.
Directiva nu specific n mod clar dac dreptul de acces la informaii se refer la trecut i, dac da, la ce perioad anume din trecut. n acest sens, astfel cum se subliniaz n jurisprudena CJUE, dreptul de acces la datele proprii nu poate fi restricionat
n mod nejustificat prin termene limit. Persoanelor vizate trebuie s li se acorde, de
asemenea, o posibilitate rezonabil de a obine informaii cu privire la operaiunile
de prelucrare a datelor efectuate anterior.
Exemplu: n cauza Rijkeboer179, CJUE i s-a solicitat s stabileasc dac, n conformitate cu articolul12 litera(a) din directiv, dreptul unei persoane de a avea
acces la informaii privind destinatarii sau categoriile de destinatari ai datelor cu
caracter personal i coninutul datelor comunicate poate fi limitat la o perioad
de un an anterioar datei de prezentare a cererii de acces.
Pentru a stabili dac la articolul12 litera(a) din directiv se prevede un astfel de
termen limit, Curtea a hotrt s interpreteze acest articol n lumina scopului
directivei. Curtea a concluzionat iniial c dreptul de acces este necesar pentru a
permite persoanei vizate s i exercite dreptul de a solicita operatorului rectificarea, tergerea sau blocarea datelor sale [articolul12 litera(b)] sau s notifice
terii crora le-au fost comunicate datele respective privind rectificarea, tergerea sau blocarea acestora [articolul112 litera(c)]. Dreptul de acces este, de
asemenea, necesar pentru a permite persoanei vizate s i exercite dreptul de
opoziie la prelucrarea datelor sale cu caracter personal (articolul14) sau dreptul
su la o cale de atac n cazul n care sufer un prejudiciu (articolele22 i23).
Pentru a asigura efectul practic al dispoziiilor susmenionate, Curtea a hotrt
c dreptul respectiv trebuie s fac referire, n mod obligatoriu, la trecut. Dac
nu se procedeaz astfel, persoana vizat nu are posibilitatea efectiv de a-i
exercita dreptul de a rectifica, terge sau bloca datele pe care le consider a fi
deinute ilegal sau inexacte sau de a intenta o aciune n justiie i de a obine
despgubiri pentru prejudiciul suferit.

179 Hotrrea CJUE din 7mai2009 n cauza College van burgemeester en wethouders van Rotterdam/
M.E.E. Rijkeboer, C-553/07.

113

Manual de legislaie european privind proteciadatelor

Dreptul la rectificare, dreptul de tergere i de blocare a datelor


Orice persoan trebuie s poat beneficia de dreptul de acces la datele cu caracter
personal care fac obiectul prelucrrii, pentru a se asigura n special de exactitatea
datelor i de legalitatea prelucrrii acestora180. n conformitate cu aceste principii,
persoanele vizate trebuie s aib dreptul, n temeiul legislaiei naionale, de a obine
rectificarea, tergerea sau blocarea datelor acestora de ctre operator, dac persoanele respective consider c prelucrarea datelor nu respect dispoziiile directivei, n
special datorit caracterului inexact sau incomplet al datelor181.
Exemplu: n cauza Cemalettin Canli/Turcia182, CEDO a constatat nclcarea articolului8 din Convenia european a drepturilor omului prin raportare incorect de
ctre organele de poliie n cadrul procedurilor penale.
Reclamantul a fost implicat de dou ori n proceduri penale n baza unei presupuse apartenene la organizaii ilegale, fr a fi vreodat condamnat. Atunci
cnd reclamantul a fost arestat din nou i acuzat de o nou infraciune, organele
de poliie au prezentat instanei penale un raport intitulat formular de informare privind alte infraciuni, n care reclamantul aprea ca membru a dou
organizaii ilegale. Cererea reclamantului privind rectificarea raportului i nregistrrilor deinute de organele de poliie a fost respins. CEDO a concluzionat c
informaiile coninute n raportul organelor de poliie au fost prezentate conform
articolului8 din Convenia european a drepturilor omului, ntruct informaiile
de interes public pot face parte din domeniul vieii private atunci cnd sunt
colectate n mod sistematic i stocate n evidenele autoritilor. n plus, raportul
organelor de poliiei a fost inexact, iar modul de elaborare i prezentare a acestuia n faa instanei penale nu a respectat legea. Curtea a constatat nclcarea
articolului8.
Exemplu: n cauza Segerstedt-Wiberg i alii/Suedia183, reclamanii au fost afiliai
unor partide politice liberale i comuniste. Acetia au bnuit c anumite informaii despre ei au fost nregistrate n evidenele forelor de securitate. CEDO a
180 Directiva privind protecia datelor, considerentul41.
181 Ibidem, articolul12litera (b).
182 Hotrrea CEDO din 18noiembrie2008 n cauza Cemalettin Canli/Turcia, nr.22427/04, punctele33, 42
i 43; Hotrrea CEDO din 2februarie2010 n cauza Dalea/Frana, nr.964/07.
183 Hotrrea CEDO din 6iunie2006 n cauza Segerstedt-Wiberg i alii/Suedia, nr.62332/00, punctele89
i90; a se vedea i, de exemplu, Hotrrea CEDO din 18aprilie2013 n cauza M.K./Frana, nr.19522/09.

114

Drepturile persoanelor vizate i punerea naplicare a acestora

constatat c stocarea datelor n cauz a avut un temei juridic i a urmrit un scop


legitim. n cazul unora dintre reclamani, CEDO a constatat c nregistrarea continu a datelor a adus o atingere disproporionat vieii private a acestora. De
exemplu, n cazul domnuluiSchmid, autoritile au nregistrat informaii conform
crora, n 1969, acesta ar fi susinut opunerea de rezisten violent la controlul
organelor de poliie n timpul demonstraiilor. CEDO a constatat c aceast informaie nu ar fi putut urmri niciun interes relevant privind securitatea naional,
avnd n vedere, n special, caracterul istoric al acesteia. CEDO a constatat nclcarea articolului8 din Convenia european a drepturilor omului n cazul a patru
dintre cei cinci reclamani.
n anumite cazuri, este suficient ca persoana vizat s solicite pur i simplu rectificarea, de exemplu, a ortografiei numelui sau modificarea adresei sau a numrului
de telefon. Cu toate acestea, n cazul n care astfel de cereri vizeaz aspecte juridice,
precum identitatea juridic a persoanei vizate sau locul de reziden exact pentru
transmiterea documentelor juridice, este posibil ca cererile de rectificare s nu fie
suficiente, operatorul avnd dreptul de a solicita dovezi privind presupusa inexactitate. Aceste cereri nu trebuie s impun persoanei vizate o sarcin a probei nejustificat, mpiedicnd astfel persoanele vizate s obin rectificarea datelor acestora.
CEDO a constatat nclcri ale articolului8 din Convenia european a drepturilor
omului n numeroase cazuri n care reclamantul nu a putut s conteste exactitatea
informaiilor pstrate n registrele secrete184.
Exemplu: n cauza Ciubotaru/Moldova185, reclamantul nu a avut posibilitatea de
a modifica nregistrarea privind originea sa etnic, inclus n documentele oficiale, din limba moldoveneasc n limba romn ntruct s-a susinut c acesta nu
a justificat cererea naintat. CEDO a considerat c este acceptabil ca statele s
solicite probe obiective n vederea nregistrrii identitii etnice a unei persoane.
Atunci cnd o astfel de cerere se bazeaz pe motive pur subiective i nefondate, autoritile pot respinge cererea respectiv. Cu toate acestea, cererea
reclamantului nu a fost ntemeiat doar pe percepia subiectiv privind propria
etnie; acesta a fost n msur s fac dovada unor legturi, verificabile n mod
obiectiv, cu grupul etnic romn, precum limba, numele, empatia i alte aspecte.
Cu toate acestea, n conformitate cu dreptul intern, reclamantului i s-a solicitat
s prezinte probe privind apartenena prinilor acestora la grupul etnic romn.
Avnd n vedere realitatea istoric din Republica Moldova, aceast cerin a
184 Hotrrea CEDO din 4mai2000 n cauza Rotaru/Romnia, nr.28341/95.
185 Hotrrea CEDO din 27aprilie2010 n cauza Ciubotaru/Moldova, nr.27138/04, punctele51 i59.

115

Manual de legislaie european privind proteciadatelor

creat o barier insurmontabil privind nregistrarea unei identiti etnice alta


dect cea nregistrat n cazul prinilor acestuia de ctre autoritile sovietice.
Nepermind examinarea cererii reclamantului pe baza unor dovezi verificabile
n mod obiectiv, statul nu i-a respectat obligaia pozitiv de a asigura reclamantului respectarea efectiv a vieii private. Curtea a constatat nclcarea articolului 8dinConvenia european a drepturilor omului.
n cadrul unei aciuni sau proceduri civile desfurate naintea unei autoriti publice
pentru a stabili dac datele sunt exacte sau nu, persoana vizat poate solicita menionarea sau ataarea unei adnotri sau a unei note la dosar, n care s se specifice
faptul c se contest exactitatea datelor i c o decizie oficial este n curs de adoptare. n aceast perioad, operatorul de date nu trebuie s prezinte datele, n special
terilor, ca fiind certe sau definitive.
O cerere de tergere sau de eliminare a datelor naintat de persoana vizat se
bazeaz adeseori pe afirmaia c prelucrarea datelor nu are un temei legitim. Astfel
de afirmaii apar n mod frecvent atunci cnd consimmntul a fost retras sau n
cazul n care anumite date nu mai sunt necesare ndeplinirii scopului colectrii de
date. Sarcina probei privind justificarea prelucrrii datelor revine operatorului de date
deoarece acesta este responsabil de legitimitatea prelucrrii datelor. n conformitate
cu principiul responsabilitii, operatorul trebuie, n orice moment, s poat demonstra c exist un temei juridic solid pentru prelucrarea datelor, n caz contrar, procesul
trebuie ntrerupt.
n cazul n care prelucrarea datelor este contestat n baza afirmaiei c datele sunt
inexacte sau prelucrate n mod ilegal, n conformitate cu principiul prelucrrii corecte,
persoana vizat poate solicita blocarea datelor care fac obiectul litigiului. Acest lucru
nu nseamn c datele sunt terse, ci c operatorul trebuie s se abin de la utilizarea datelor ct timp acestea sunt blocate. Acest lucru este necesar, n special, atunci
cnd continuarea utilizrii datelor inexacte sau deinute n mod ilegal ar putea cauza
prejudicii persoanei vizate. Legislaia naional trebuie s furnizeze mai multe detalii
privind situaiile n care poate aprea obligaia de a bloca utilizarea datelor i modalitatea de ndeplinire a acesteia.
De asemenea, persoanele vizate au dreptul s obin de la operator notificarea terilor privind orice blocare, rectificare sau tergere a datelor, n cazul n care prile n
cauz au primit datele respective nainte de efectuarea acestor operaiuni de prelucrare. ntruct divulgarea datelor ctre teri ar fi trebuit documentat de ctre operator, ar fi posibil identificarea destinatarilor datelor i solicitarea tergerii acestora.

116

Drepturile persoanelor vizate i punerea naplicare a acestora

Cu toate acestea, dac, ntre timp, datele au fost publicate pe internet, de exemplu,
tergerea acestora n toate cazurile poate fi imposibil, ntruct destinatarii datelor
nu pot fi identificai. n conformitate cu Directiva privind protecia datelor, contactarea destinatarilor datelor n scopul rectificrii, tergerii sau blocrii datelor este obligatorie, cu excepia cazului n care acest lucru se dovedete imposibil sau presupune un efort disproporionat186.

5.1.2. Dreptul de opoziie


Dreptul de opoziie include dreptul de a se opune deciziilor individuale automatizate,
dreptul de opoziie ca urmare a situaiei particulare a persoanei vizate i dreptul de a
se opune utilizrii ulterioare a datelor n scopuri de marketing direct.

Dreptul de opoziie fa de deciziile individuale automatizate


Deciziile automatizate sunt decizii adoptate pe baza datelor cu caracter personal
prelucrate exclusiv prin mijloace automatizate. Dac exist posibilitatea ca astfel de
decizii s afecteze n mod semnificativ vieile persoanelor n cauz, atunci cnd fac
referire, de exemplu, la credibilitatea, randamentul profesional, conduita sau ncrederea pe care o prezint, se impune asigurarea unei protecii speciale pentru a evita
consecinele nedorite. Directiva privind protecia datelor prevede c deciziile automatizate nu trebuie s evalueze aspecte importante pentru persoanele vizate i
impune dreptul persoanei n cauz de a revizui decizia automatizat187.
Exemplu: Un exemplu practic important n care se iau decizii automatizate este
evaluarea solvabilitii. Pentru a lua o decizie rapid privind solvabilitatea unui
viitor client, anumite date precum profesia i situaia familial sunt colectate de
la client i combinate cu date privind persoana vizat provenind din alte surse,
precum sistemele de informaii privind creditele. Aceste date sunt introduse
n mod automat ntr-un algoritm de evaluare, care calculeaz o valoare total
reprezentnd solvabilitatea potenialului client. Astfel, angajatul societii poate
decide n termen de cteva secunde dac persoana vizat este sau nu acceptabil n calitate de client.
Cu toate acestea, n conformitate cu directiva, statele membre prevd posibilitatea ca o persoan s fac obiectul unei decizii individuale automatizate atunci cnd
186 Directiva privind protecia datelor, articolul12litera (c), ultima parte a tezei.
187 Ibidem, articolul15alineatul (1).

117

Manual de legislaie european privind proteciadatelor

interesele persoanei vizate, fie nu sunt n joc ntruct decizia a fost luat n favoarea
persoanei vizate, fie sunt protejate prin alte mijloace adecvate188. Dreptul de opoziie
fa de deciziile automatizate este, de asemenea, inerent n cadrul legislaiei CoE,
astfel cum rezult din Recomandarea privind crearea de profile189.

Dreptul de opoziie legat de situaia particular a persoanei vizate


Persoanele vizate nu dein niciun drept general de a se opune prelucrrii propriilor
date190. Cu toate acestea, articolul14litera (a) din Directiva privind protecia datelor, confer persoanei vizate dreptul de a ridica obiecii din motive imperative i legitime privind
situaia particular a persoanei vizate. Un drept similar a fost recunoscut n Recomandarea CoE privind crearea de profile191. Dispoziiile respective vizeaz stabilirea ponderii
corecte ntre drepturile de protecie a datelor aparinnd persoanelor vizate i drepturile
legitime ale altor pri n cadrul procesului de prelucrare a datelor persoanei vizate.
Exemplu: O banc stocheaz pe o perioad de apte ani datele privind clienii
care nu achit mprumuturile. Un client ale crui date sunt stocate n aceast
baz de date solicit un alt mprumut. Se consult baza de date, se efectueaz
o evaluare a situaiei financiare i clientului i este refuzat mprumutul. Cu toate
acestea, clientul se poate opune meninerii datelor sale cu caracter personal n
baza de date respectiv i poate solicita tergerea acestora dac poate demonstra c plata neachitat a reprezentat o simpl eroare care a fost corectat imediat dup ce clientul a luat cunotin de aceasta.
Rezultatul unei opoziii reuite este c datele n cauz nu mai pot fi prelucrate de
operator. Cu toate acestea, operaiunile de prelucrare a datelor persoanei vizate
efectuate nainte de exprimarea opoziiei i pstreaz caracterul legitim.

Dreptul de opoziie fa de utilizarea ulterioar a datelor n scopuri


de marketing direct
Articolul14 litera (b) din Directiva privind protecia datelor prevede dreptul specific de opoziie mpotriva utilizrii datelor unei persoane n scop de marketing direct.
188 Ibidem, articolul15alineatul (2).
189 Recomandarea privind crearea de profile, articolul5alineatul (5).
190 A se vedea, de asemenea, Hotrrea CEDO din 27august1997 n cauza M.S./Suedia, nr.20837/92, n
care datele medicale au fost comunicate fr consimmnt sau posibilitatea de opoziie sau Hotrrea
CEDO din 26martie1987 n cauza Leander/Suedia, nr.9248/81; sau Hotrrea CEDO din 10mai2011 n
cauza Mosley/RegatulUnit, nr.48009/08.
191 Recomandare privind crearea de profile, articolul5alineatul(3).

118

Drepturile persoanelor vizate i punerea naplicare a acestora

Acest drept este prevzut, de asemenea, n Recomandarea CoE privind marketingul


direct192. Acest tip de opoziie trebuie exprimat nainte ca datele s fie puse la dispoziia terilor n scopuri de marketing direct. Prin urmare, persoanei vizate trebuie s i
se ofere posibilitatea de a se opune nainte ca datele s fie transferate.

5.2. Supraveghere independent


Puncte-cheie

Pentru a asigura o protecie eficient a datelor, se impune nfiinarea de autoriti independente de supraveghere n conformitate cu legislaia naional.

Autoritile naionale de supraveghere trebuie s acioneze cu independen deplin,


garantat prin legea n baza creia autoritatea respectiv a fost instituit i care se
reflect n structura organizatoric specific a autoritii de supraveghere.

Autoritile de supraveghere au sarcini specifice, printre care:


s monitorizeze i s promoveze protecia datelor la nivel naional;

s asigure consiliere persoanelor vizate i operatorilor, precum i guvernului i


publicului larg;

s rspund plngerilor i s asiste persoana vizat n probleme legate de presupusele nclcri ale drepturilor de protecie a datelor;

s supravegheze operatorii i persoanele mputernicite de ctre operator;

s intervin, dac este necesar, prin

avertizarea, mustrarea sau chiar amendarea operatorilor i a persoanelor


mputernicite de ctre acetia,

solicitarea rectificrii, blocrii sau tergerii datelor,

impunerea unei interdicii asupra prelucrrii;

sesizarea instanei.

Directiva privind protecia datelor prevede supravegherea independent ca mecanism important n asigurarea unei protecii eficiente a datelor. Directiva a introdus

192 CoE, Comitetul de Minitri (1985), articolul4 alineatul (1) din Recomandarea Rec(85)20 din
25octombrie1985 ctre statele membre privind protecia datelor cu caracter personal utilizate n
scopuri de marketing direct.

119

Manual de legislaie european privind proteciadatelor

un instrument pentru punerea n aplicare a proteciei datelor, care nu a fost inclus,


iniial, n Convenia108 sau n Orientrile OCDE privind viaa privat.
Avnd n vedere c supravegherea independent s-a dovedit a fi esenial pentru
asigurarea unei protecii eficiente a datelor, o nou dispoziie a Orientrilor OCDE privind viaa privat, revizuite, adoptat n2013 solicit statelor membre s nfiineze
i s menin autoriti care s asigure respectarea legislaiei privind confidenialitatea, cu guvernana, resursele i expertiza tehnic necesare pentru exercitarea eficient a puterilor i luarea de decizii n mod obiectiv, imparial i consecvent193.
n temeiul legislaiei CoE, Protocolul adiional la Convenia108 a impus obligativitatea nfiinrii de autoriti de supraveghere. Articolul 1 din acest instrument prevede
cadrul juridic pentru autoritile de supraveghere independente, pe care prile contractante trebuie s l pun n aplicare n legislaia naional. Acesta utilizeaz formulri similare pentru a descrie atribuiile i competenele acestor autoriti, astfel
cum sunt utilizate n Directiva privind protecia datelor. Astfel, autoritile de supraveghere trebuie s funcioneze, n principiu, n acelai mod n conformitate att cu
dreptul UE, ct i cu legislaia CoE.
n temeiul dreptului UE, competenele i structura organizaional ale autoritilor
de supraveghere au fost iniial prezentate n articolul28 alineatul (1) din Directiva
privind protecia datelor. Regulamentul privind protecia datelor de ctre instituiile
europene194 desemneaz AEPD n calitate de autoritate de supraveghere responsabil de prelucrarea datelor de ctre instituiile i organele UE. n prezentarea rolurilor
i responsabilitilor autoritii de supraveghere, acest regulament se bazeaz pe
experiena acumulat de la promulgarea Directivei privind protecia datelor.
Independena autoritilor pentru protecia datelor este garantat n baza articolului16 alineatul (2) din TFUE i a articolului8 alineatul(3) din Cart. Aceast ultim
dispoziie trateaz n mod specific controlul exercitat de ctre o autoritate independent ca un element esenial al dreptului fundamental de protecie a datelor.
De asemenea, Directiva privind protecia datelor prevede obligaia statelor membre
de a nfiina autoriti de supraveghere care s monitorizeze punerea n aplicare a

193 OCDE (2013), Orientri privind reglementarea proteciei vieii private i a fluxurilor transfrontaliere de
date cu caracter personal, punctul19 litera (c).
194 Regulamentul (CE) nr.45/2001 al Parlamentului European i al Consiliului din 18decembrie2000 privind
protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i
organele comunitare i privind libera circulaie a acestor date, MO2001L8, articolele41-48.

120

Drepturile persoanelor vizate i punerea naplicare a acestora

directivei i care s acioneze n condiii de independen deplin195. Independena


trebuie garantat, n mod specific, nu numai prin prevederile legii n temeiul creia
se instituie organul de supraveghere, ci i prin structura organizaional specific a
autoritii n cauz.
n 2010, CJUE a ntmpinat pentru prima dat problema domeniului de aplicare al
cerinei de independen a autoritilor de supraveghere a proteciei datelor196.
Urmtoarele exemple ilustreaz opinia acesteia.
Exemplu: n cauza Comisia/Germania197, Comisia European a solicitat CJUE s
declare c Germania a transpus n mod eronat cerina privind condiiile de
independen deplin n care trebuie s acioneze autoritile de supraveghere
responsabile de garantarea proteciei datelor, nendeplinindu-i astfel obligaiile
care i revin conform articolului28 alineatul (1) din Directiva privind protecia
datelor. n opinia Comisiei, problema a constat n faptul c Germania a plasat
sub supravegherea statului autoritile responsabile de monitorizarea prelucrrii
datelor cu caracter personal n afara sectorului public la nivelul diferitelor landuri
(Lnder).
Examinarea pe fond a cauzei a depins, n opinia Curii, de sfera de aplicare a
cerinei de independen prevzute n dispoziia respectiv i, prin urmare, de
interpretarea acesteia.
Curtea a subliniat c sintagma n condiii de independen deplin de la articolul28 alineatul(1) din directiv trebuie interpretat pe baza formulrii efective
a dispoziiei respective i a obiectivelor i structurii Directivei privind protecia datelor198. Curtea a accentuat faptul c autoritile de supraveghere reprezint protectorii drepturilor asociate prelucrrii datelor cu caracter personal
garantate n directiv i c nfiinarea acestora n statele membre este considerat astfel un element esenial al proteciei persoanelor n ceea ce privete

195 Directiva privind protecia datelor, articolul28 alineatul (1), ultima tez; Convenia108, Protocol adiional,
articolul1 alineatul(3).
196 A se vedea FRA (2010), Drepturi fundamentale: provocri i realizri n2010, Raport anual2010, p.59.
FRA a abordat acest aspect n detaliu n raportul privind Protecia datelor n Uniunea European: rolul
autoritilor naionale pentru protecia datelor, publicat n mai2010.
197 Hotrrea CJUE din 9martie2010 n cauza Comisia European/Republica Federal Germania, C-518/07,
punctul27.
198 Ibidem, punctele17 i29.

121

Manual de legislaie european privind proteciadatelor

prelucrarea datelor cu caracter personal199. Curtea a concluzionat c n exercitarea atribuiilor cu care sunt nvestite, autoritile de supraveghere trebuie
s acioneze n mod obiectiv i imparial. n acest sens, acestea trebuie s acioneze independent de orice influen exterioar, inclusiv de influena direct
sau indirect a statului sau a landurilor, i nu numai de influena organelor
supravegheate200.
CJUE a constatat, de asemenea, c sensul sintagmei n condiii de independen deplin trebuie interpretat avnd n vedere independena AEPD, astfel
cum este definit n Regulamentul privind protecia datelor de ctre instituiile
europene. Astfel cum a subliniat Curtea, la articolul 44 alineatul(2) din respectivul regulament se clarific noiunea de independen adugnd specificaia c
AEPD nu solicit i nici nu primete instruciuni din partea altcuiva, n ndeplinirea atribuiilor sale. Aceast regul exclude supravegherea de ctre stat a unei
autoriti independente de supraveghere a proteciei datelor201.
n consecin, CJUE a constatat c instituiile germane pentru protecia datelor la
nivel de land responsabile de monitorizarea prelucrrii datelor cu caracter personal de ctre alte organisme dect cele publice nu i-au exercitat atribuiile n
condiii de independen deplin deoarece acestea au fcut obiectul supravegherii de ctre stat.
Exemplu: n cauza Comisia/Austria202, CJUE a evideniat probleme similare privind poziia unor membri ai personalului Autoritii pentru protecia datelor din
Austria (Comisia pentru Protecia Datelor, DSK). Curtea a concluzionat n spe
c legislaia austriac nu a permis Autoritii pentru protecia datelor din Austria
s i exercite atribuiile n condiii de independen deplin, n sensul Directivei privind protecia datelor. Independena APD din Austria nu a fost garantat
n mod suficient deoarece Cancelaria Federal asigur fora de munc a DSK,
supravegheaz aceast instituie i are dreptul de a fi informat n permanen
cu privire la activitatea acesteia.

199 Ibidem, punctul23.


200 Ibidem, punctul 25.
201 Ibidem, punctul 27.
202 Hotrrea CJUE din 16octombrie2012 n cauza Comisia European/Republica Austria, C-614/10,
punctele59 i63.

122

Drepturile persoanelor vizate i punerea naplicare a acestora

Exemplu: n cauza Comisia European/Ungaria,203, CJEU a subliniat faptul c


cerina [] de a asigura c fiecare autoritate de supraveghere este capabil s
duc la ndeplinire atribuiile ncredinate n deplin independen atrage dup
sinte obligaia statului membru n cauz s permit ca autoritatea s-i duc la
ndeplinire mandatul. De asemenea, Curtea a reinut c, prin ncetarea anticipat a mandatului Comisarului petnru protecia datelor, Ungaria nu a reuit s-i
ndeplineasc obligaiile potrivit Directivei 95/46/CE [].
n temeiul legislaiei naionale, printre altele, autoritile de supraveghere dein competene i capaciti pentru204:
a informa operatorii i persoanele privind totalitatea aspectelor legate de protecia datelor;
a investiga operaiunile de prelucrare a datelor i de a interveni n mod
corespunztor;
a adresa operatorilor avertismente sau mustrri;
a dispune rectificarea, blocarea, tergerea sau distrugerea datelor;
a interzice temporar sau definitiv prelucrarea;
a sesiza instana de judecat.
n vederea exercitrii atribuiilor cu care a fost nvestit, o autoritate de supraveghere trebuie s aib acces la toate datele cu caracter personal i la toate informaiile necesare pentru investigaiile desfurate, precum i la orice sediu n care un
operator pstreaz informaii relevante.
Exist diferene semnificative ntre jurisdiciile interne n ceea ce privete procedurile
i efectul juridic al constatrilor unei autoriti de supraveghere. Acestea pot varia de
la recomandri de tipul celor emise de Ombudsman pn la decizii cu executare imediat. Astfel, atunci cnd se analizeaz eficiena cilor de atac disponibile n cadrul
unei jurisdicii, mijloacele de atac trebuie apreciate n contextul asociat acestora.

203 Hotrrea CJUE din 8 aprilie2014 n cauza Comisia European/Ungaria, C-288/12, punctele50 i67.
204 Directiva privind protecia datelor, articolul28; a se vedea, de asemenea, Convenia108, Protocol
adiional, articolul1.

123

Manual de legislaie european privind proteciadatelor

5.3. Ci de atac i sanciuni


Puncte-cheie

n conformitate cu Convenia108 i Directiva privind protecia datelor, legislaia naional trebuie s stabileasc ci de atac i sanciuni corespunztoare pentru nclcarea
dreptului de protecie a datelor.

n conformitate cu dreptul UE, dreptul la o cale de atac eficient presupune stabilirea n legislaia naional a unor proceduri legale mpotriva nclcrii drepturilor de
protecie a datelor, indiferent dac este posibil sau nu sesizarea unei autoriti de
supraveghere.

Se impune stabilirea n legislaia naional a unor sanciuni eficiente, echivalente,


proporionale i disuasive.

nainte de a sesiza instanele, reclamantul trebuie s notifice mai nti operatorul.


Obligaia de a notifica o autoritate de supraveghere nainte de sesizarea unei instane
rmne a fi reglementat n legislaia naional.

n ultim instan i n anumite condiii, persoanele vizate pot s aduc n atenia CEDO
cazurile de nclcare a legislaiei privind protecia datelor.

De asemenea, persoanele vizate pot sesiza CJUE, ns ntr-o msur extrem de limitat.

Drepturile acordate n temeiul legislaiei privind protecia datelor pot fi exercitate


numai de ctre persoana ale crei drepturi sunt ameninate, respectiv, persoana care
este, sau care cel puin pretinde c este, persoana vizat. n exercitarea drepturilor
lor, aceste persoane pot fi reprezentate de persoane care, n conformitate cu legislaia naional, ndeplinesc cerinele impuse. Minorii trebuie s fie reprezentai de
ctre prinii sau tutorii acestora. n faa autoritilor de supraveghere, o persoan
poate fi reprezentat, de asemenea, de asociaii al cror scop legitim este promovarea drepturilor de protecie a datelor.

5.3.1. Cereri adresate operatorului


Drepturile menionate n seciunea3.2 trebuie exercitate, n primul rnd, n ceea ce
privete operatorul. Sesizarea direct a autoritii naionale de supraveghere sau a
unei instane nu ar fi util, ntruct autoritatea nu ar putea dect s recomande persoanei respective s se adreseze mai nti operatorului, n timp ce instana ar considera cererea inadmisibil. Cerinele formale privind formularea unei cereri relevante

124

Drepturile persoanelor vizate i punerea naplicare a acestora

din punct de vedere legal ctre operator, n special dac se impune sau nu s ia
forma unei cereri scrise, sunt aspecte ce trebuie reglementate de legislaia naional.
Entitatea care a fost sesizat, n calitate de operator, trebuie s rspund la cerere,
chiar dac aceasta nu este operatorul. n orice caz, trebuie transmis un rspuns persoanei vizate n termenul stabilit n legislaia naional, chiar dac acesta nu conine
dect meniunea c nu exist date care fac obiectul prelucrrii n ceea ce privete
solicitantul. n conformitate cu dispoziiile articolului 12 litera(a) din Directiva privind protecia datelor, precum i cu articolul8 litera(b) din Convenia108, la cererea
respectiv trebuie s se rspund fr ntrzieri excesiv. n consecin, legislaia
naional trebuie s prevad un termen de rspuns suficient de scurt, dar care s
permit operatorului s trateze cererea n mod corespunztor.
nainte de a rspunde cererii, entitatea sesizat n calitate de operator trebuie s
stabileasc identitatea solicitantului pentru a constata dac acesta este ntr-adevr
persoana care susine c este i s evite astfel nclcarea grav a confidenialitii.
n cazul n care cerinele privind stabilirea identitii nu sunt reglementate n mod
specific n legislaia naional, acestea trebuie stabilite de ctre operator. Cu toate
acestea, principiul prelucrrii corecte impune operatorilor s nu stabileasc condiii
excesiv de mpovrtoare n ceea ce privete confirmarea identificrii (i autenticitatea cererii, astfel cum s-a discutat n seciunea2.1.1).
Legislaia naional trebuie s trateze, de asemenea, problema dac, nainte de a
rspunde cererii, operatorii au dreptul de a pretinde solicitantului plata unei taxe:
la articolul12 litera(a) din directiv i la articolul8 litera(b) din Convenia108 se
stipuleaz c rspunsul la cererile de acces trebuie furnizat fr cheltuieli [...] excesive. Legislaia naional din numeroase ri europene prevede ca rspunsurile la
cererile formulate n baza legislaiei privind protecia datelor s fie furnizate gratuit,
att timp ct acest lucru nu implic un efort excesiv i neobinuit; la rndul lor, operatorii sunt protejai, n general, prin legislaia naional mpotriva exercitrii abuzive
a dreptului de a obine un rspuns la cereri.
Dac persoana, instituia sau organismul sesizat n calitate de operator nu i contest statutul, entitatea n cauz are obligaia, n termenul prevzut de legislaia
naional:
fie s admit cererea i s notifice solicitantul privind modul n care cererea a fost
soluionat, fie

125

Manual de legislaie european privind proteciadatelor

s informeze solicitantul cu privire la motivul pentru care cererea nu este


soluionat.

5.3.2. Cereri naintate autoritii de supraveghere


n cazul n care o persoan, n urma prezentrii unei cereri de acces sau formulrii unei opoziii fa de operator, nu primete un rspuns satisfctor n timp util,
aceasta poate nainta o cerere de asisten autoritii naionale de supraveghere
a proteciei datelor. n cadrul procedurii desfurate naintea autoritii de supraveghere, trebuie s se clarifice dac persoana, instituia sau organismul sesizat de
solicitant a avut ntr-adevr obligaia de a rspunde cererii i dac rspunsul a fost
corect i suficient. Autoritatea de supraveghere trebuie s informeze persoana n
cauz cu privire la rezultatul procedurii de soluionare a cererii205. Efectele juridice ale
rezultatelor procedurii desfurate naintea autoritilor naionale de supraveghere
depind de legislaia naional: dac hotrrile emise de autoritate pot fi executate
n mod legal, adic de o autoritate public, sau dac este necesar s se formuleze o
cale de atac naintea unei instane, n cazul n care operatorul nu respect deciziile
(aviz, avertisment etc.) autoritii de supraveghere.
n cazul n care se invoc nclcarea drepturilor de protecie a datelor, garantate n
conformitate cu articolul16 din TFUE, de ctre instituii sau organisme europene,
persoana vizat poate depune o plngere la AEPD206, autoritatea independent de
supraveghere a proteciei datelor, n conformitate cu Regulamentul privind protecia
datelor de ctre instituiile europene, care stabilete responsabilitile i atribuiile
AEPD. Dac AEPD nu furnizeaz un rspuns n termen de ase luni, plngerea se consider a fi respins.
mpotriva hotrrilor emise de o autoritate naional de supraveghere trebuie s
existe posibilitatea de a formula o cale de atac naintea unei instane. Aceast regul
este aplicabil att persoanei vizate, ct i operatorilor care au participat la procedura desfurat naintea unei autoriti de supraveghere.
Exemplu: La 24 iulie 2013, Comisarul pentru informare din Regatul Unit a emis
o decizie prin care solicit organelor de poliie din Hertfordshire s suspende
205 Directiva privind protecia datelor, articolul28 alineatul(4).
206 Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18decembrie2000 privind
protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i
organele comunitare i privind libera circulaie a acestor date, MO2001L8.

126

Drepturile persoanelor vizate i punerea naplicare a acestora

utilizarea unui sistem de urmrire a plcuelor de nmatriculare ale autovehiculelor considerat a fi ilegal. Datele nregistrate de aparatele de fotografiat au
fost stocate att n bazele de date locale aparinnd organelor de poliie, ct i
ntr-o baz de date centralizat. Fotografiile plcuelor de nmatriculare au fost
stocate pe o perioad de doi ani, iar fotografiile autoturismelor timp de 90 de
zile. S-a concluzionat c utilizarea excesiv a aparatelor de fotografiat i a altor
forme de supraveghere nu a fost proporional cu problema care se inteniona
a fi soluionat.

5.3.3. Cereri naintate unei instane


n conformitate cu Directiva privind protecia datelor, dac persoana care a naintat
o cerere unui operator, n conformitate cu legislaia privind protecia datelor, nu este
mulumit de rspunsul primit, acesteia trebuie s i se acorde dreptul de a formula o
aciune naintea unei instane naionale207.
Obligaia de a sesiza autoritatea de supraveghere nainte de a formula o aciune
naintea unei instane este reglementat de legislaia naional. Cu toate acestea,
n majoritatea cazurilor, pentru persoanele care i exercit drepturile de protecie a
datelor este mai avantajos s sesizeze mai nti autoritatea de supraveghere, ntruct procedurile privind cererile de asisten adresate acestora se desfoar n mod
nebirocratic i gratuit. De asemenea, expertiza documentat n hotrrea autoritii de supraveghere (aviz, avertisment etc.) poate ajuta persoana vizat s i apere
drepturile n faa instanelor.
n temeiul legislaiei CoE, nclcrile drepturilor de protecie a datelor, despre care
se pretinde c au avut loc la nivelul naional al unei pri contractante la Convenia
european a drepturilor omului i care constituie, n acelai timp, o nclcare a articolului8 din Convenia european a drepturilor omului, pot fi, de asemenea, adresate
CEDO, dup epuizarea tuturor cilor de atac interne disponibile. Invocarea unei nclcri a articolului8din Convenia european a drepturilor omului naintea CEDO trebuie s ndeplineasc i alte criterii de admisibilitate (articolele34-37 din Convenia
european a drepturilor omului)208.

207 Directiva privind protecia datelor, articolul22.


208 Convenia european a drepturilor omului, articolele34-37, disponibil la: www.echr.coe.int/Pages/
home.aspx?p=caselaw/analysis&c=#n1347458601286_pointer.

127

Manual de legislaie european privind proteciadatelor

Dei cererile adresate CEDO pot fi formulate exclusiv mpotriva prilor contractante,
acestea pot viza, de asemenea, n mod indirect, aciuni sau omisiuni ale unor pri
private, n msura n care o parte contractant nu i-a ndeplinit obligaiile pozitive
care i revin n conformitate cu Convenia european a drepturilor omului i nu a prevzut, n legislaia naional, un nivel corespunztor de protecie mpotriva nclcrii
drepturilor de protecie a datelor.
Exemplu: n cauza K.U./Finlanda209, reclamantul minor a depus o plngere privind postarea unui anun de natur sexual la adresa sa pe un site web de
anunuri matrimoniale. Identitatea persoanei care a postat informaia nu a
fost divulgat de furnizorul de servicii n vederea respectrii obligaiilor privind
confidenialitatea impuse de legislaia din Finlanda. Reclamantul a susinut c
legislaia finlandez nu a asigurat un nivel suficient de protecie mpotriva unor
astfel de aciuni desfurate de o persoan privat, care posteaz pe internet informaii incriminatoare privind reclamantul. CEDO a hotrt c statele nu
numai c au obligaia de a se abine de la a interveni n mod arbitrar n viaa
personal a persoanelor fizice, ci trebuie s ndeplineasc, de asemenea, o serie
de obligaii pozitive care implic adoptarea unor msuri care s asigure respectarea vieii private chiar i n ceea ce privete relaiile dintre persoane. n
cazul reclamantului, pentru a se asigura protecia practic i eficient a acestuia,
a fost necesar s se ia msuri eficiente pentru a identifica i urmri penal autorul
infraciunii. Cu toate acestea, protecia respectiv nu a fost acordat de ctre
stat, iar Curtea a concluzionat c s-a nclcat articolul8 dinConvenia european
a drepturilor omului.
Exemplu: n cauza Kpke/Germania210, reclamanta a fost suspectat de furt la
locul de munc i, astfel, a fost supus supravegherii video sub acoperire. CEDO
a concluzionat c niciun aspect nu a indicat c autoritile naionale nu au stabilit un echilibru corect, n aplicarea marjei de apreciere, ntre dreptul reclamantei privind respectul fa de viaa privat a acesteia prevzut la articolul8 i att
interesul angajatorului n protejarea drepturilor de proprietate deinute, ct i
interesul public de bun administrare a justiiei. n consecin, cererea a fost
declarat inadmisibil.
Dac CEDO constat c un stat parte a nclcat oricare dintre drepturile protejate de
Convenia european a drepturilor omului, statul parte n cauz are obligaia de a
209 Hotrrea CEDO din 2martie2009 n cauza K.U./Finlanda, nr.2872/02.
210 Hotrrea CEDO din 5octombrie2010 n cauza Kpke/Germania (dec.), nr.420/07.

128

Drepturile persoanelor vizate i punerea naplicare a acestora

executa hotrrea pronunat de CEDO. Msurile de executare trebuie, n primul


rnd, s pun capt situaiilor de nclcare i de naintarea a unei ci de atac i, pe
ct posibil, consecinelor negative asupra reclamantului. Este, de asemenea, posibil
ca pentru executarea hotrrilor judectoreti s fie necesar adoptarea de msuri
generale pentru a preveni nclcri similare celor constatate de tribunal, fie prin
modificarea legislaiei sau a jurisprudenei, fie prin aplicarea altor msuri.
Atunci cnd CEDO constat o nclcare a Conveniei europene a drepturilor omului,
la articolul41 se prevede posibilitatea de a acorda o despgubire reclamantului pe
cheltuiala statului parte.
n temeiul legislaiei UE211, victimele nclcrilor legislaiei naionale privind protecia datelor, care pune n aplicare legislaia UE privind protecia datelor, pot, n anumite situaii, s i prezinte cauzele n faa CJUE. Exist dou scenarii posibile privind
modalitatea n care cererea unei persoane vizate, care invoc nclcarea drepturilor
de protecie a datelor sale, poate conduce la proceduri n faaCJUE.
n primul scenariu, persoana vizat este victima direct a unor acte administrative
sau normative europene care ncalc dreptul persoanelor la protecia datelor. n conformitate cu articolul263alineatul(4) dinTFUE:
orice persoan fizic sau juridic poate [...] formula o aciune mpotriva
actelor al cror destinatar este sau care o privec direct i individual, precum i
mpotriva actelor normative care o privesc direct i care nu presupun msuri
de executare.
n consecin, victimele unei prelucrrii ilegale a datelor de ctre un organism european pot face recurs direct la Tribunalul CJUE, care reprezint organismul abilitat s
pronune hotrri n cauze care au legtur cu Regulamentul privind protecia datelor de ctre instituiile europene. De asemenea, exist posibilitatea de a sesiza CJUE,
n mod direct, atunci cnd situaia juridic a unei entiti este afectat n mod direct
de o prevedere legal european.
Al doilea scenariu se refer la competena CJUE(Curtea de Justiie) de a pronuna
hotrri preliminare, n conformitate cu articolul267 dinTFUE.
211 UE (2007), Tratatul de la Lisabona de modificare a Tratatului privind Uniunea European i a Tratatului de
instituire a Comunitii Europene, semnat la Lisabona, 13decembrie2007, MO2007C306. A se vedea,
de asemenea, versiunile consolidate ale Tratatului privind Uniunea European, MO2012C326 i ale
TFUE, MO2012C326.

129

Manual de legislaie european privind proteciadatelor

n cadrul procedurilor interne, persoanele vizate pot pretinde instanei naionale s


solicite clarificri Curii de Justiie privind interpretarea tratatelor europene i privind
interpretarea i valabilitatea actelor emise de instituiile, organele, oficiile sau ageniile europene. Aceste clarificri sunt cunoscute sub numele de hotrri preliminare.
Aceast procedur nu reprezint o cale de atac direct pentru reclamant, ns permite instanelor naionale s se asigure c aplic interpretarea corect a dreptului
UE.
Dac o parte la procedura desfurat n faa instanelor naionale solicit sesizarea CJUE ntr-o anumit cauz, numai instanele naionale, acionnd ca instane de
recurs de ultim grad i ale cror hotrri nu pot fi atacate, au obligaia de a da curs
unei astfel de cereri.
Exemplu: n cauza Krntner Landesregierung i alii212, Curtea Constituional a
Austriei a adresat ntrebri CJUE privind valabilitatea articolelor3-9 din Directiva2006/24/CE (Directiva privind pstrarea datelor) n conformitate cu articolele7, 9 i11 din Cart i dac anumite dispoziii ale Legii federale privind
telecomunicaiile, de transpunere a Directivei privind pstrarea datelor au fost
incompatibile cu aspectele prezentate n Directiva privind protecia datelor i
Regulamentul privind protecia datelor de ctre instituiile europene.
Domnul Seitlinger, unul dintre reclamanii n procedura desfurat n faa Curii
Constituionale, a afirmat c utilizeaz serviciile de telefonie, internet i e-mail
att n interes de serviciu, ct i n interes personal. Astfel, informaiile pe care le
trimite i pe care le primete sunt transmise utiliznd reelele publice de telecomunicaii. n conformitate cu Legea austriac privind telecomunicaiile din 2003,
furnizorul acestuia de servicii de telecomunicaii este obligat prin lege s colecteze i s stocheze datele privind modul n care clientul utilizeaz reeaua. Domnul Seitlinger a realizat c aceast modalitate de colectare i stocare a datelor
sale cu caracter personal nu avea utilitate tehnic n procesul de transmitere a
informaiilor de laA laB prin intermediul reelei. Mai mult dect att, colectarea
i stocarea datelor respective nu erau sub nicio form necesare, n vederea facturrii. n mod sigur, domnul Seitlinger nu a consimit asupra acestui mod de utilizare a datelor sale cu caracter personal. Singurul motiv pentru care s-a efectuat
colectarea i stocarea tuturor aceste date suplimentare a fost Legea austriac
privind telecomunicaiile din 2003.
212 Hotrrea CJUE din 8 aprilie 2014 n Cauzele comune Drepturile Digitale Irlanda i Seiling i ceilali,
C-293/12 i C-594/12,.

130

Drepturile persoanelor vizate i punerea naplicare a acestora

n consecin, domnul Seitlinger a formulat o aciune naintea Curii Constituionale a Austriei, n care a susinut c obligaiile legale impuse furnizorului de servicii de telecomunicaii au nclcat drepturile sale fundamentale, n conformitate
cu articolul8 din CartaUE.
CJUE emite o decizie numai privind elementele constitutive ale cererii de hotrre
preliminar formulat n faa acesteia. Instana naional i pstreaz competena
de a se pronuna n cauza iniial.
n principiu, Curtea de Justiie trebuie s rspund la ntrebrile care i sunt adresate.
Aceasta nu poate refuza pronunarea unei hotrri preliminare pe motiv c acest
rspuns nu ar fi relevant sau furnizat n timp util n cauza iniial. Cu toate acestea,
instana poate refuza furnizarea unui rspuns dac ntrebarea nu se ncadreaz n
sfera sa de competen.
n cele din urm, dac se invoc nclcarea drepturilor de protecie a datelor, garantate n temeiul articolului16 din TFUE, de ctre o instituie sau organism european n
timpul prelucrrii datelor cu caracter personal, persoana vizat poate sesiza Tribunalul CJUE [articolul32alineatele (1) i (4) din Regulamentul privind protecia datelor
de ctre instituiile europene]. Aceeai regul se aplic n cazul deciziilor pronunate
de AEPD privind astfel de nclcri [articolul32alineatul (3) din Regulamentul privind
protecia datelor de ctre instituiile europene].
Chiar dac Tribunalul CJUE deine competena de a pronuna hotrri n cauze care au
legtur cu Regulamentul privind protecia datelor de ctre instituiile europene, n
cazul n care o persoan, n calitate de membru al personalului unei instituii sau unui
organism european, formuleaz, totui, o cale de atac, aceasta trebuie s nainteze
recursul la Tribunalul Funciei Publice a UE.
Exemplu: Cauza Comisia European/The Bavarian Lager Co. Ltd213 ilustreaz cile
de atac disponibile mpotriva activitilor sau deciziilor instituiilor i organismelor europene n ceea ce privete protecia datelor.
Bavarian Lager a solicitat Comisiei Europene s i acorde accesul la coninutul complet al procesul-verbal al unei reuniuni organizate de Comisie i despre care se susine c vizeaz aspecte juridice relevante pentru societate. Comisia a respins cererea

213 Hotrrea CJUE din 29iunie2010 n cauza Comisia European/The Bavarian Lager Co. Ltd, C-28/08 P.

131

Manual de legislaie european privind proteciadatelor

de acces a societii pe motiv c primeaz interesele privind protecia datelor214.


n conformitate cu articolul 32din Regulamentul privind protecia datelor de ctre
instituiile europene, Bavarian Lager a depus o plngere mpotriva acestei decizii
naintea CJUE, mai exact, naintea Tribunalului de Prim Instan (precursor al Tribunalului). Prin hotrrea pronunat n cauza Bavarian Lager/Comisia, T-194/04,
Tribunalul de Prim Instan a anulat decizia Comisiei de respingere a cererii de
acces. Comisia European a atacat aceast decizie la Curtea de Justiie a CJUE. Curtea
de Justiie a pronunat o hotrre (n Marea Camer) prin care a respins hotrrea
Tribunalului de Prim Instan i a confirmat respingerea cererii de acces de ctre
Comisia European.

5.3.4. Sanciuni
n temeiul legislaiei CoE, articolul 10 din Convenia108 prevede ca fiecare parte s stabileasc sanciuni i ci de atac adecvate pentru nclcarea dispoziiilor dreptului intern
care pun n aplicare principiile de baz privind protecia datelor prevzute n Convenia108215. n temeiul dreptului UE, articolul24 din Directiva privind protecia datelor
prevede c statele membre adopt msuri adecvate pentru a asigura aplicarea integral a dispoziiilor prezentei directive i, n special, stabilete sanciunile care urmeaz
s fie aplicate n caz de nclcare a dispoziiilor [].
Ambele instrumente acord statelor membre o marj de apreciere considerabil n
alegerea sanciunilor i a cilor de atac adecvate. Niciunul dintre cele dou instrumente juridice nu furnizeaz indicaii speciale privind natura sau tipul de sanciuni
corespunztoare i nici nu prezint exemple de sanciuni.
Cu toate acestea:
Cu toate c statele membre ale UE beneficiaz de o marj de apreciere n a
stabili care sunt cele mai adecvate msuri pentru protejarea drepturilor care
le revin persoanelor fizice n baza dreptului UE, n conformitate cu principiul
cooperrii loiale prevzut la articolul4alineatul (3) din TUE, trebuie s se

214 Pentru analiza argumentului, a se vedea: AEPD (2011), documentul Accesul public la documente
coninnd date cu caracter personal ulterior hotrrii n cauza Bavarian Lager, Bruxelles, AEPD, disponibil
la: www.secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/
Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.
215 Hotrrea CEDO din 17iulie2008 n cauza I./Finlanda, nr.20511/03; Hotrrea CEDO din
2decembrie2008 n cauza K.U./Finlanda, nr.2872/02.

132

Drepturile persoanelor vizate i punerea naplicare a acestora

respecte cerinele minime de eficien, de echivalen, de proporionalitate


i de descurajare216.
CJUE a susinut n repetate rnduri c legislaia naional nu dispune de independen deplin n stabilirea de sanciuni.
Exemplu: n cauza Von Colson i Kamann/Land Nordrhein-Westfalen217, CJUE a
subliniat c toate statele membre crora li se adreseaz o directiv sunt obligate s adopte, n sistemele lor juridice naionale, toate msurile necesare pentru a asigura efectul deplin al acesteia, n conformitate cu obiectivul pe care l
urmrete. Curtea a constatat c, dei rmne la latitudinea statelor membre s
aleag cile i mijloacele prin care s asigure punerea n aplicare a unei directive, independena nu afecteaz obligaia impus acestora. n special, o cale de
atac eficient trebuie s permit unei persoane s urmreasc i s exercite
dreptul n cauz n cea mai mare msur. Pentru a obine o protecie efectiv
i eficient, cile de atac trebuie s aib drept rezultat iniierea unor proceduri
penale i/sau compensatorii care s atrag aplicarea unor sanciuni cu caracter
de descurajare.
n ceea ce privete sanciunile mpotriva nclcrilor dreptului UE de ctre instituii sau organisme europene, avnd n vedere caracterul special al Regulamentului
privind protecia datelor de ctre instituiile europene, sanciunile sunt prevzute
numai sub form de aciuni disciplinare. n conformitate cu articolul49 din regulament, orice nendeplinire a obligaiilor prevzute de prezentul regulament, fie
aceasta intenionat sau din culp, atrage dup sine sanciuni disciplinare asupra
funcionarului sau agentului Comunitilor Europene [...].

216 FRA(2012), Avizul AgenieiUniuniiEuropenepentruDrepturiFundamentale privind pachetul de reforme


propus privind protecia datelor, 2/2012, Viena, 1octombrie2012, p.27.
217 Hotrrea CJUE din 10 aprilie1984 n cauza Sabine von Kolson i Elisabeth Kamann/Land NordrheinWestfalen, C14/83.

133


Fluxuri transfrontaliere
dedate
UE

Fluxuri transfrontaliere de date


Directiva privind protecia datelor,
articolul25 alineatul(1)
CJEU, C-101/01, Bodil Lindqvist,
6noiembrie2003
Libera circulaie a datelor
Directiva privind protecia datelor, articolul1
alineatul(2)

Directiva privind protecia datelor,


articolul25

Directiva privind protecia datelor,


articolul26 alineatul(1)
Flux restricionat de date ctre ri tere
Directiva privind protecia datelor,
articolul26 alineatul(2)
Directiva privind protecia datelor,
articolul26 alineatul(4)
Directiva privind protecia datelor,
articolul26 alineatul(2)
Exemple:
Acordul PNR ntre UE i SUA
Acordul SWIFT ntre UE i SUA

Aspecte vizate
Definiie

ntre statele
membre ale UE
ntre prile
contractante la
Convenia108
Ctre ri tere cu
nivel corespunztor
de protecie a
datelor
Ctre ri tere n
cazuri specifice

CoE
Convenia 108, Protocol
adiional, articolul2
alineatul(1)

Convenia108, articolul12
alineatul (2)
Convenia108, Protocol
adiional, articolul2 alineatul
(1)
Convenia108, Protocol
adiional, articolul2 alineatul
(2) litera (a)

Clauze contractuale Convenia108, Protocol


adiional, articolul2 alineatul
(2) litera (b)
Ghidul privind elaborarea
clauzelor contractuale
Reguli corporatiste
obligatorii
Acorduri
internaionale
specifice

135

Manual de legislaie european privind proteciadatelor

Directiva privind protecia datelor nu prevede doar un flux liber de date ntre statele
membre, ci conine i dispoziii privind cerinele pentru transferul de date cu caracter
personal ctre ri tere din afara UE. CoE a recunoscut, de asemenea, importana
punerii n aplicare a normelor privind fluxurile transfrontaliere de date ctre rile
tere i a adoptat n anul2001 Protocolul adiional la Convenia108. Acest protocol a
preluat principalele caracteristici normative privind fluxurile transfrontaliere de date
de la prile la convenie i statele membre ale UE.

6.1. Natura fluxurilor transfrontaliere de date


Puncte-cheie

Fluxul transfrontalier de date este un transfer de date cu caracter personal ctre un


destinatar aflat sub o jurisdicie strin.

Articolul2 alineatul (1) din Protocolul adiional la Convenia108 descrie fluxul transfrontalier de date ca transferul de date cu caracter personal ctre un destinatar aflat
sub o jurisdicie strin. Articolul25alineatul (1) din Directiva privind protecia datelor reglementeaz transferul ctre o ar ter a datelor cu caracter personal care
fac obiectul prelucrrii sau sunt destinate prelucrrii dup transfer [...]. Un astfel de
transfer de date este permis doar n conformitate cu normele stabilite la articolul2
din Protocolul adiional la Convenia108, iar n cazul statelor membre ale UE, de asemenea, la articolele25 i26 din Directiva privind protecia datelor.
Exemplu: n cauza Bodil Lindqvist218, CJUE a constatat c actul care face trimitere, pe o pagin de internet, la diverse persoane i le identific dup nume
sau prin alte mijloace, de exemplu, prin furnizarea numrului de telefon al acestora sau prin furnizarea de informaii referitoare la condiiile de munc i pasiunile persoanelor respective, constituie prelucrarea datelor personale integral
sau parial prin mijloace automatizate, n sensul articolului3 alineatul(1) din
Directiva95/46.
Pe de alt parte, Curtea a subliniat c directiva stabilete, de asemenea, norme
specifice care au rolul de a permite statelor membre s monitorizeze transferul
de date cu caracter personal ctre ri tere.
218 Hotrrea CJUE din 6noiembrie2003 n cauza Bodil Lindqvist, C-101/01, punctele27, 68 i69.

136

Fluxuri transfrontaliere dedate

Cu toate acestea, avnd n vedere, n primul rnd, stadiul de dezvoltare a internetului n momentul elaborrii directivei i, n al doilea rnd, lipsa din directiv a
criteriilor aplicabile utilizrilor internetului, nu se poate presupune c legiuitorul
Comunitii a intenionat ca expresia transfer [de date] ctre o ar ter s
includ ncrcarea [...] unor date pe o pagin de internet, chiar dac datele sunt
accesibile persoanelor din rile tere care dispun de mijloacele tehnice pentru
a le accesa.
n caz contrar, dac directiva ar fi interpretat n sensul c transferul de date
ctre o ar ter are loc de fiecare dat cnd datele cu caracter personal sunt
ncrcate pe o pagin de internet, transferul ar fi, n mod obligatoriu, un transfer
ctre toate rile tere n care exist mijloacele tehnice necesare pentru accesarea internetului. Astfel, regimul special prevzut [de directiv] ar deveni, n
mod obligatoriu, un regim de aplicare general, n ceea ce privete operaiunile
desfurate pe internet. n consecin, n cazul n care Comisia ar constata [...]
c o singur ar ter nu asigur un nivel de protecie adecvat, statele membre ar fi obligate s mpiedice publicarea pe internet a oricror date cu caracter
personal.
Principiul conform cruia simpla publicare a datelor (cu caracter personal) nu este
considerat drept flux transfrontalier de date se aplic, de asemenea, i n cazul
registrelor publice online sau mijloacelor de informare n mas, precum ziarele (electronice) i televiziunea. Numai comunicarea care este direcionat ctre anumii destinatari este eligibil pentru noiunea de flux transfrontalier de date.

6.2. Fluxurile libere de date ntre statele


membre sau ntre prile contractante
Puncte-cheie

Transferul de date cu caracter personal ctre un alt stat membru din Spaiul Economic European sau ctre o alt parte contractant la Convenia108 nu trebuie s fie
restricionat.

n conformitate cu articolul12 alineatul (2) din Convenia108, n temeiul legislaiei CoE trebuie s existe un flux liber de date cu caracter personal ntre prile la
convenie. Dreptul intern nu poate restriciona exportul de date cu caracter personal
ctre o parte contractant, cu excepia cazului n care:

137

Manual de legislaie european privind proteciadatelor

caracterul specific al datelor impune acest lucru219 sau


aplicarea restriciei este necesar pentru a evita sustragerea de la prevederile
legale interne privind fluxul transfrontalier de date ctre teri220.
n temeiul dreptului UE, nu este permis aplicarea unor restricii sau interdicii asupra
fluxului liber de date ntre statele membre din motive legate de protecia datelor, n
conformitate cu articolul1 alineatul (2) din Directiva privind protecia datelor. Zona
de flux gratuit de date a fost extins prin Acordul privind Spaiul Economic European (SEE)221, n baza cruia Islanda, Liechtenstein i Norvegia sunt incluse pe piaa
intern.
Exemplu: Dac o societate afiliat unui grup internaional de societi, avnd
sedii n mai multe state membre ale UE, printre care Slovenia i Frana, transfer
date cu caracter personal din Slovenia n Frana, fluxul de date respectiv nu trebuie s fie restricionat sau interzis de dreptul naional din Slovenia.
Cu toate acestea, dac aceeai societate afiliat din Slovenia dorete s
transfere aceleai date cu caracter personal ctre societatea-mam din StateleUnite, exportatorul de date sloven trebuie s parcurg procedurile prevzute n dreptul sloven n ceea ce privete fluxul transfrontalier de date ctre
ri tere care nu au un nivel corespunztor de protecie a datelor, cu excepia
cazului n care societatea-mam a aderat la Principiile sferei de siguran privind
protecia vieii private, un cod de conduit voluntar privind asigurarea unui nivel
adecvat de protecie a datelor (a se vedea seciunea6.3.1)
Fluxurile transfrontaliere de date ctre statele membre ale SEE n scopuri care nu
intr n sfera pieei interne, precum investigarea infraciunilor, nu fac, totui, obiectul
dispoziiilor Directivei privind protecia datelor i, prin urmare, nu intr sub incidena
principiului liberei circulaii a datelor. n ceea ce privete legislaia CoE, toate zonele
sunt incluse n domeniul de aplicare al Conveniei108 i al Protocolului adiional la
Convenia108, dei prile contractante pot face excepii. Toate statele membre ale
SEE sunt, de asemenea, pri la Convenia108.
219 Convenia108, articolul12 alineatul (3) litera(a).
220 Ibidem, articolul12 alineatul (3) litera(b).
221 Decizia Consiliului i a Comisiei din 13decembrie1993 privind ncheierea Acordului privind
SpaiulEconomicEuropean ntre Comunitile Europene, statele membre ale acestora i Republica
Austria, Republica Finlanda, Republica Islanda, Principatul Liechtenstein, Regatul Norvegiei, Regatul
Suediei i Confederaia Elveian, MO1994L1.

138

Fluxuri transfrontaliere dedate

6.3. Fluxuri libere de date ctre ri tere


Puncte-cheie

Transferul de date cu caracter personal ctre ri tere nu este restricionat n conformitate cu dreptul naional privind protecia datelor, atunci cnd:

s-a constatat caracterul adecvat al proteciei datelor la destinatar sau

este necesar pentru interesele specifice ale persoanei vizate sau pentru interesele
legitime prioritare ale altor persoane, n special interese publice importante.

Caracterul adecvat al proteciei datelor ntr-o ar ter nseamn c principiile de baz


ale proteciei datelor au fost puse n aplicare n mod eficient n dreptul naional al rii
respective.

n temeiul dreptului UE, caracterul adecvat al proteciei datelor ntr-o ar ter este
evaluat de Comisia European. n conformitate cu legislaia CoE, reglementarea evalurii caracterului adecvat revine dreptului naional.

6.3.1. Flux liber de date datorit unei protecii


adecvate
Legislaia CoE autorizeaz dreptul intern s permit libera circulaie a datelor ctre state
non-contractante dac statul destinatar sau organizaia destinatar asigur un nivel
adecvat de protecie pentru transferul de date intenionat222. Dreptul intern decide
modul de evaluare a nivelului de protecie a datelor ntr-o ar strin i autorul evalurii.
n temeiul dreptului UE, fluxul liber de date ctre ri tere, cu un nivel adecvat de protecie a datelor, este prevzut la articolul25 alineatul (1) din Directiva privind protecia
datelor. Cerina privind caracterul adecvat, mai curnd dect echivalena, face posibil
utilizarea unor metode diferite de punere n aplicare a proteciei datelor. n conformitate cu articolul25 alineatul (6) din directiv, Comisia European deine competena
de a evalua nivelul de protecie a datelor n ri strine n baza unor constatri privind
caracterul adecvat i se consult, n materie de evaluare, cu Grupul de lucru Articolul
29, care a contribuit substanial la interpretarea articolelor25 i26223.
222 Convenia108, Protocol adiional, articolul2 alineatul(1).
223 A se vedea, de exemplu, Grupul de lucru Articolul29 (2003), Document de lucru privind transferurile de
date cu caracter personal ctre rile tere: punerea n aplicare a articolului26 alineatul (2) din Directiva
UE privind protecia datelor n cazul regulilor corporatiste obligatorii privind transferurile internaionale de
date, WP74, Bruxelles, 3iunie2003 i Grupul de lucru Articolul29 (2005), Document de lucru privind
interpretarea comun a articolului 26alineatul(1) din Directiva 95/46/CE din 24octombrie1995,
WP114, Bruxelles, 25noiembrie2005.

139

Manual de legislaie european privind proteciadatelor

O decizie a Comisiei Europene privind caracterul adecvat are efect obligatoriu. Atunci
cnd Comisia European public o decizie privind caracterul adecvat, pentru o anumit ar, n Monitorul Oficial al Uniunii Europene, toate rile membre ale SEE i
organele acestora sunt obligate s respecte decizia respectiv, ceea ce nseamn c
datele pot circula ctre ara n cauz fr a fi necesar desfurarea de proceduri de
verificare sau de autorizare n faa autoritilor naionale224.
De asemenea, Comisia European poate evalua seciuni ale sistemului juridic al unei
ri sau s se limiteze la subiecte specifice. Comisia a luat o decizie privind caracterul adecvat, de exemplu, numai cu privire la dreptul comercial privat al Canadei225.
Exist, de asemenea, mai multe constatri privind caracterul adecvat n cazul transferurilor efectuate n baza acordurilor ncheiate ntre UE i statele strine. Aceste
decizii se refer exclusiv la un singur tip de transfer de date, precum transmiterea
registrelor cu numele pasagerilor de ctre companiile aeriene autoritilor de control
la frontierele strine, atunci cnd o companie aerian efectueaz zboruri din UE ctre
anumite destinaii transoceanice (a se vedea seciunea6.4.3). Practica recent de
transferare a datelor n baza unor acorduri specifice ncheiate ntre UE i rile tere,
n general, anuleaz necesitatea adoptrii de decizii privind caracterul adecvat, presupunnd c acordul n sine ofer un nivel adecvat de protecie a datelor226.
Una dintre cele mai importante decizii privind caracterul adecvat nu se refer de fapt
la un set de prevederi legale227. Aceasta vizeaz, mai curnd normele, n genul unui
cod de conduit, cunoscute sub denumirea de Principiile sferei de siguran privind
protecia vieii private. Aceste principii au fost elaborate ntre Uniunea European
i StateleUnite ale Americii pentru societile comerciale din SUA. Apartenena la
224 Pentru o list permanent actualizat a rilor care au primit o decizie privind caracterul adecvat, a se
vedea pagina de ntmpinare a Comisiei Europene, Direcia General pentru Justiie, disponibil la: http://
ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm.
225 Comisia European (2002), Decizia 2002/2/CE din 20decembrie2001 n conformitate cu
Directiva95/46/CE a Parlamentului European i a Consiliului privind caracterul adecvat al proteciei
datelor cu caracter personal asigurat prin legea canadian referitoare la protecia informaiilor personale
i documentele electronice, MO2002L2.
226 De exemplu, Acordul dintre Statele Unite ale Americii i Uniunea European privind utilizarea i transferul
de date din registrele cu numele pasagerilor ctre Departamentul pentru Securitate Intern al Statelor
Unite (MO2012L215, pp.5-14), sau Acordul ntre Uniunea European i Statele Unite ale Americii
privind prelucrarea i transferul datelor de mesagerie financiar din Uniunea European ctre Statele
Unite ale Americii n cadrul Programului de urmrire a finanrilor n scopuri teroriste, MO2010L8,
pp.1116.
227 Comisia European (2000), Decizia 2000/520/CE a Comisiei din 26iulie2000 n temeiul
Directivei95/46/CE a Parlamentului European i a Consiliului privind caracterul adecvat al proteciei
oferite de principiile sferei de siguran privind protecia vieii private i ntrebrile de baz aferente
publicate de Departamentul de Comer al SUA, MO2000L215.

140

Fluxuri transfrontaliere dedate

Principiile sferei de siguran privind protecia vieii private se obine prin angajament voluntar declarat n faa Departamentului de Comer al SUA i documentat
ntr-o list publicat de respectivul departament. Avnd n vedere c unul dintre cele
mai importante elemente ale caracterului adecvat este eficiena punerii n aplicare
a proteciei datelor, Acordul privind sfera de siguran asigur, de asemenea, un
anumit nivel de supraveghere din partea statului: numai societile care fac obiectul
supravegherii Comisiei Federale pentru Comer din SUA pot deveni pri la Acordul
privind sfera de siguran.

6.3.2. Flux liber de date n cazuri specifice


n temeiul legislaiei CoE, articolul2 alineatul (2) din Protocolul adiional la Convenia108 permite transferul de date cu caracter personal ctre ri tere care nu dein
un nivel adecvat de protecie a datelor, atta timp ct transferul este prevzut de
dreptul naional i este necesar pentru:
interesele specifice ale persoanei vizate sau
interese legitime predominante ale altor persoane, n special interese publice
importante.
n temeiul dreptului UE, articolul26 alineatul(1) din Directiva privind protecia datelor conine dispoziii similare cu cele ale Protocolului adiional la Convenia108.
n conformitate cu directiva, interesele persoanei vizate pot justifica libera circulaie
a datelor ctre o ar ter n cazul n care:
persoana vizat consimte n mod expres asupra exportului de date sau
persoana vizat ncheie sau se pregtete s ncheie o relaie contractual care
prevede n mod clar transferul de date ctre un destinatar din strintate sau
s-a ncheiat un contract ntre un operator de date i un ter n interesul persoanei
vizate sau
transferul este necesar pentru protejarea intereselor eseniale ale persoanei vizate;
n vederea transferului de date din registrele publice; acesta este un exemplu
de interese prioritare ale publicului larg pentru a putea avea acces la informaiile
stocate n registrele publice.
141

Manual de legislaie european privind proteciadatelor

Interesele legitime ale altor persoane pot justifica fluxul liber transfrontalier de
date228:
datorit unui interes public important, altele dect interesele de siguran naional sau public, ntruct acestea nu fac obiectul Directivei privind protecia datelor sau
pentru a formula, aplica sau apra cereri legale.
Cazurile menionate mai sus trebuie nelese drept excepii de la norma potrivit
creia transferul direct de date ctre alte ri necesit un nivel adecvat de protecie
a datelor n ara destinatar. Excepiile trebuie s fie ntotdeauna interpretate n mod
restrictiv. Acest aspect a fost subliniat n mod repetat de ctre Grupul de lucru Articolul29 n contextul articolului26 alineatul (1) din Directiva privind protecia datelor,
n special atunci cnd se pretinde c transferul de date se efectueaz pe baz de
consimmnt229. Grupul de lucru Articolul29 a concluzionat c normele generale
cu privire la semnificaia juridic a consimmntului se aplic, de asemenea, articolului26 alineatul (1) din directiv. n cazul n care, n cadrul relaiilor de munc, de
exemplu, nu este clar dac consimmntul dat de angajai a fost de fapt liber exprimat, transferurile de date nu pot fi efectuate n temeiul articolului 26 alineatul(1)
litera (a) din directiv. n astfel de cazuri, se aplic articolul26 alineatul (2), prin care
se solicit autoritilor naionale pentru protecia datelor s emit o autorizaie pentru transferurile de date.

6.4. Fluxuri restricionate de date ctre


ritere
Puncte-cheie

nainte de a exporta date ctre ri tere care nu asigura un nivel adecvat de protecie
a datelor, i se poate solicita operatorulului s supun fluxul de date respectiv unei analize efectuate de ctre autoritatea de supraveghere.

228 Directiva privind protecia datelor, articolul26alineatul (1)litera(d).


229 A se vedea n special Grupul de lucru Articolul 29 (2005), Document de lucru privind interpretarea
comun a articolului26 alineatul(1) din Directiva 95/46/CE din 24octombrie1995, WP114, Bruxelles,
25noiembrie2005.

142

Fluxuri transfrontaliere dedate

Operatorul care intenioneaz s exporte date trebuie s demonstreze dou aspecte n


cadrul acestei analize:

c exist un temei juridic pentru transferul de date ctre destinatari

c se aplic msuri pentru a asigura un nivel adecvat de protecie a datelor la


destinatar.

Msurile pentru asigurarea unui nivel adecvat de protecie a datelor la destinatar pot
include:

prevederi contractuale ntre operatorul care export date i destinatarul din strintate al datelorsau

reguli corporatiste obligatorii aplicabile, de regul, transferurilor de date n cadrul


unui grup multinaional desocieti.

Transferurile de date ctre autoritile strine pot fi, de asemenea, reglementate printr-un acord internaional specific.

Directiva privind protecia datelor i Protocolul adiional la Convenia108 autorizeaz dreptul naional s stabileasc regimuri pentru fluxurile transfrontaliere de
date ctre ri tere care nu asigur un nivel adecvat de protecie a datelor, att timp
ct operatorul a luat msuri speciale pentru a oferi garanii adecvate de protecie
a datelor la destinatar i cu condiia ca operatorul s poat dovedi acest lucru n
faa unei autoriti competente. Aceast cerin este menionat explicit numai n
Protocolul adiional la Convenia108; cu toate acestea, cerina este considerat, de
asemenea, a fi o procedur standard n conformitate cu Directiva privind protecia
datelor.

6.4.1. Clauze contractuale


Att legislaia CoE, ct i dreptul UE menioneaz clauze contractuale ntre operatorul care export date i destinatarul din ara ter, ca un potenial mijloc de asigurare
a unui nivel suficient de protecie a datelor la destinatar.
La nivelul UE, Comisia European, cu sprijinul Grupului de lucru Articolul29, a elaborat clauze contractuale standard care au fost certificate oficial printr-o decizie
a Comisiei, ca dovad a proteciei adecvate a datelor230. ntruct deciziile Comisiei
sunt n totalitate obligatorii n statele membre, autoritile naionale responsabile de
supravegherea fluxurile transfrontaliere de date trebuie s recunoasc aceste clauze
230 Directiva privind protecia datelor, articolul26 alineatul (4).

143

Manual de legislaie european privind proteciadatelor

contractuale standard n procedurile aplicate231. Astfel, dac operatorul care export


date i destinatarul din ara ter sunt de acord i semneaz aceste clauze, acest
lucru trebuie s furnizeze autoritii de supraveghere dovezi suficiente ale faptului
c se ofer garanii adecvate.
Existena unor clauze contractuale standard n cadrul juridic al UE nu interzice operatorilor s formuleze alte clauze contractuale ad hoc. Cu toate acestea, acetia trebuie
s asigure acelai nivel de protecie prevzut de clauzele contractuale standard. Cele
mai importante caracteristici ale clauzelor contractuale standardsunt:
o clauz privind un beneficiar ter, care permite persoanelor vizate s i exercite
drepturile contractuale, chiar dac acestea nu sunt o parte contractant;
destinatarul sau importatorul datelor care, n caz de litigiu, este de acord s se
supun procedurii desfurate de autoritatea naional de supraveghere i/sau
de instanele operatorului care export date.
n prezent, operatorul care export date are posibilitatea de a alege ntre dou seturi
de clauze standard pentru transferurile de la operator la operator232. Pentru transferurile de la operator la mputernicit, exist un singur set de clauze contractuale
standard233.
n contextul legislaiei CoE, Comitetul Consultativ al Conveniei108 a elaborat un
ghid privind elaborarea clauzelor contractuale234.

231 TFUE, articolul288.


232 SetulI este inclus n anexa la Comisia European (2001), Decizia 2001/497/CE a Comisiei din
15iunie2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal
ctre ri tere n temeiul Directivei 95/46/CE, MO2001L181; SetulII este inclus n anexa la
Comisia European (2004), Decizia 2004/915/CE a Comisiei din 27decembrie2004 de modificare a
Deciziei2001/497/CE privind introducerea unui set alternativ de clauze contractuale standard pentru
transferul de date cu caracter personal ctre ri tere, MO2004L385.
233 Comisia European (2010), Decizia 2010/87 a Comisiei din 5februarie2010 privind clauzele
contractuale tip pentru transferul de date cu caracter personal ctre mputerniciii stabilii n ri tere, n
temeiul Directivei95/46/CE a Parlamentului European i a Consiliului, MO2010L39.
234 CoE, Comitetul Consultativ al Conveniei108 (2002), Ghid privind elaborarea clauzelor contractuale care
reglementeaz protecia datelor n cadrul transferului de date cu caracter personal ctre pri tere care
nu au obligaia de a asigura un nivel adecvat de protecie a datelor.

144

Fluxuri transfrontaliere dedate

6.4.2. Reguli corporatiste obligatorii


Regulile corporatiste obligatorii(BCR) multilaterale implic, n mod frecvent, mai
multe autoriti europene pentru protecia datelor235. Pentru ca BCR s fie aprobate,
proiectul BCR trebuie transmis mpreun cu formularele de cerere standardizate la
autoritatea principal236. Autoritatea principal este identificabil din formularul de
cerere standardizat. Aceast autoritate informeaz toate autoritile de supraveghere din rile membre ale SEE n care sunt stabilii societile afiliate grupului, dei
participarea acestora la procesul de evaluare a BCR este voluntar. Cu toate c nu
este obligatoriu, toate autoritile pentru protecia datelor n cauz trebuie s includ
rezultatul evalurii n procedurile oficiale de autorizare.

6.4.3. Acorduri internaionale specifice


UE a ncheiat acorduri specifice pentru dou tipuri de transferuri de date:

Registrecunumelepasagerilor
Datele incluse n registrul cu numele pasagerilor (PNR) sunt colectate de transportatorii aerieni pe parcursul procesului de rezervare i includ nume, adrese, detalii
ale crilor de credit i numerele locurilor pasagerilor transportului aerian. n conformitate cu legislaia SUA, companiile aeriene sunt obligate s furnizeze aceste
date Departamentului de Securitate Intern nainte de plecarea pasagerilor. Aceast
regul se aplic zborurilor ctre sau dinspre Statele Unite ale Americii.
Pentru a se asigura protecia adecvat datelor PNR i n conformitate cu prevederile
Directivei95/46/CE, un pachet PNR237 a fost adoptat n 2004. Pachetul includea

235 Coninutul i structura regulilor corporatiste obligatorii corespunztoare sunt explicate n cadrul Grupului
de lucru Articolul29 (2008), Document de lucru de stabilire a unui cadru pentru structura regulilor
corporatiste obligatorii, WP154, Bruxelles, 24iunie2008 i cadrul Grupului de lucru Articolul29 (2008),
Document de lucru pentru crearea unui tabel cu elementele i principiile care trebuie incluse n regulile
corporatiste obligatorii, WP153, Bruxelles, 24iunie2008.
236 Grupul de lucru Articolul 29 (2007), Recomandarea 1/2007 privind cererea standard pentru aprobarea
regulilor corporatiste obligatorii pentru transferul de date cu caracter personal, WP133, Bruxelles,
10ianuarie2007.
237 Decizia Consiliului nr. 496/2004 privind ncheierea unui Acord ntre Comunitatea European i Statele
Unite ale Americii privind prelucrarea i transferul datelor PNR de la transportatorii aerieni ctre
Departamentul de Securitate Intern al Statelor Unite, Biroul Vamal i de Protecie a Frontierelor,
MO2004L183, p.83 i Decizia Comisiei nr. 2004/533/CE din 14 mai 2004 privind protecia adecvat a
datelor cu caracter personal din registrele nominale ale pasagerilor aerieni transferate ctre Biroul vamal
i de protecie la frontier al Statelor Unite ale Americii, MO2004L235, pp.11-22.

145

Manual de legislaie european privind proteciadatelor

caracterul adecvat al prelucrrilor de date efectuate de Departamentul de Securitate


Intern din Statele Unite ale Americii(DSI).
Urmare deciziei CJUE de anulare a pachetului PNR238, UE i Statele Unite ale Americii
au semnat dou acorduri separate cu un scop dublu: n primul rnd, s asigure un
temei juridic pentru dezvluirea datelor PNR ctre autoritile din Statele Unite ale
Americii, iar, n al doilea rnd, s stabileasc un nivel adecvat de protecie a datelor
n ara destinatar.
Primul acord privind modalitatea de comunicare i de gestionare a datelor ntre rile
UE i Statele Unite ale Americii, semnat n 2012, prezenta o serie de deficiene i
a fost nlocuit, n acelai an, cu un nou acord pentru a asigura un nivel mai ridicat
de securitate juridic239. Noul acord ofer mbuntiri semnificative. Acesta limiteaz i clarific scopurile pentru care pot fi utilizate informaiile, cum ar fi infraciuni
transnaionale grave i terorism i stabilete perioada de pstrare a datelor: dup 6
luni datele trebuie depersonalizate i mascate. n cazul n care datele sunt utilizate
n mod necorespunztor, orice persoan are dreptul de a formula ci de atac administrative i judiciare, n conformitate cu legislaia Statelor Unite. Cetenii UE au, de
asemenea, dreptul de a accesa propriile date PNR i de a solicita rectificarea acestora
de ctre Departamentul pentru Securitate Intern, inclusiv posibilitatea de tergere,
n cazul n care informaiile sunt incorecte.
Acordul, care a intrat n vigoare la data de 1iulie2012, rmne n vigoare pentru o
perioad de apte ani, pnn 2019.
ndecembrie2011, Consiliul Uniunii Europene a aprobat ncheierea Acordului actualizat UE Australia privind prelucrarea i transferul de date PNR240. Acordul dintre UE
i Australia privind datele PNR reprezint un pas nainte pe agenda UE, care cuprinde

238 Hotrrea CJUE din 30 mai 2006, cauze comune Parlamentul European/Consiliul Uniunii Europene,
C-317/04 i C-318/04, punctele.57, 58 i 59, n care Curtea a decis c att decizia privind nivelul
adecvat, ct i acordul privind prelucrarea datelor sunt excluse din domeniul de aplicare al Directivei.
239 Decizia2012/472/UE a Consiliului din 26aprilie2012 privind ncheierea Acordului ntre Statele Unite ale
Americii i Uniunea European privind utilizarea i transferul de date din registrele cu numele pasagerilor
ctre Departamentul pentru Securitate Intern al Statelor Unite, MO2012L215/4. Textul Acordului este
anexat la prezenta Decizie, MO2012L215, pp.5-14.
240 Decizia 2012/381/UE a Consiliului din 13decembrie2011 privind ncheierea Acordului ntre Uniunea
European i Australia privind prelucrarea i transferul datelor din registrul cu numele pasagerilor
(PNR) de ctre transportatorii aerieni ctre Serviciul vamal i de protecie a frontierelor din Australia,
MO2012L186/3. Textul acordului, care a nlocuit forma anterioar din 2008, este anexat la prezenta
decizie, MO2012 L186, pp.4-16.

146

Fluxuri transfrontaliere dedate

orientri globale privind PNR 241, realizarea unui sistem PNR al UE242 i negocierea
unor acorduri cu rile tere243.

Date de mesagerie financiar


Societatea pentru Telecomunicaii Financiare Interbancare Mondiale(SWIFT) cu
sediul n Belgia, care este mputernicitul pentru majoritatea transferurilor financiare
de la bncile europene, opera cu un centru n oglind n StateleUnite i a primit
solicitarea de a dezvlui date Departamentului de Trezorerie al Statelor Unite n scopuri de cercetare a terorismului244.
Din perspectiva UE, nu exista niciun temei legal suficient pentru a dezvlui astfel de
date efectiv europene, care erau accesibile n StateleUnite doar pentru c unul dintre centrele de prelucrare a datelor aparinnd SWIFT i avea sediul n StateleUnite
aleAmericii.
Un acord specific ntre UE i StateleUnite, cunoscut sub numele de Acordul SWIFT,
a fost ncheiat n 2010, pentru a furniza baza legal necesar i pentru a asigura un
nivel adecvat de protecie a datelor245.
241 A se vedea, n special, Comunicarea Comisiei din 21septembrie2010 privind o abordare global a
transferului de date din registrul cu numele pasagerilor (PNR) ctre ri tere, COM(2010)492final,
Bruxelles, 21septembrie2010. A se vedea Grupul de Lucru Articolul29 (2010), Avizul7/2010 cu
privire la Comunicarea Comisiei Europene privind o abordare global referitoare la transferul de date din
registrul cu numele pasagerilor (PNR) ctre ri tere, WP178, Bruxelles, 12noiembrie2010.
242 Propunerea de directiv a Parlamentului European i a Consiliului privind utilizarea datelor PNR pentru
prevenirea, depistarea, cercetarea i urmrirea penal a infraciunilor de terorism i a infraciunilor grave,
COM(2011)32final, Bruxelles, 2februarie2011.

n luna aprilie2011, Parlamentul European a solicitat FRA s furnizeze un aviz privind aceast propunere
i conformitatea acesteia cu Carta Drepturilor Fundamentale a Uniunii Europene. A se vedea: FRA (2011),
Avizul 1/2011 Registrul cu numele pasagerilor, Viena, 14iunie2011.

243 UE negociaz un nou acord PNR cu Canada, care va nlocui acordul din 2006 care este n prezent n
vigoare.
244 A se vedea n acest context, Grupul de lucru Articolul29 (2011), Avizul 14/2011 privind aspecte de
protecie a datelor legate de prevenirea splrii banilor i a finanrii terorismului, WP186, Bruxelles,
13iunie2011; Grupul de lucru Articolul29 (2006), Avizul 10/2006 privind prelucrarea datelor cu
caracter personal de ctre Societatea pentru Telecomunicaii Financiare Interbancare Mondiale(SWIFT),
WP128, Bruxelles, 22noiembrie2006; Comisia pentru protecia vieii private (Commission de la
protection de la vie prive) din Belgia (2008), Procedur de control i recomandare iniiat n legtur
cu societatea SWIFT scrl, Decizie, 9decembrie2008.
245 Decizia 2010/412/UE a Consiliului din 13iulie2010 privind ncheierea Acordului dintre Uniunea
European i Statele Unite ale Americii privind prelucrarea i transferul datelor de mesagerie financiar
din Uniunea European ctre Statele Unite ale Americii n cadrul Programului de urmrire a finanrilor
n scopuri teroriste, MO2010L195, pp.3 i4. Textul acordului este anexat la prezenta decizie,
MO2010L195, pp.5-14.

147

Manual de legislaie european privind proteciadatelor

n conformitate cu acordul respectiv, datele financiare au continuat s fie furnizate


de SWIFT Departamentului de Trezorerie al SUA n scopul prevenirii, cercetrii, identificrii sau urmririi penale a actelor de terorism sau de finanare a terorismului.
Departamentul de Trezorerie al SUA poate solicita date financiare de la SWIFT, cu
condiia ca cererea:
s identifice ct mai clar posibil datele financiare;
s demonstreze n mod clar necesitatea datelor;
s prezinte un caracter ct mai specific pentru a reduce la minimum volumul de
date solicitate;
s nu solicite date referitoare la zona unic de pli n euro(SEPA).
Europol trebuie s primeasc o copie a fiecrei cereri formulate de Departamentul de Trezorerie al SUA i s verifice conformitatea acesteia cu principiile acordului
SWIFT246.. n cazul n care se confirm conformitatea cu acestea, SWIFT trebuie s
furnizeze datele financiare direct Departamentului de Trezorerie al SUA. Departamentul trebuie s stocheze datele financiare ntr-un mediu fizic sigur din care acestea pot fi accesate exclusiv de analitii care cerceteaz actele de terorism sau de
finanare a terorismului; datele financiare nu trebuie s fie interconectate cu nicio
alt baz de date. n general, datele financiare primite de la SWIFT sunt terse n
termen de maximum cinci ani de la primirea acestora. Datele financiare relevante
pentru anumite cercetri sau urmriri penale pot fi pstrate att timp ct datele sunt
necesare pentru operaiunile respective.
Departamentul de Trezorerie al SUA poate transfera informaii din datele primite
de SWIFT ctre autoriti specifice responsabile cu aplicarea legii, sigurana public
sau combaterea terorismului din interiorul sau din afara Statelor Unite ale Americii
exclusiv n scopul cercetrii, identificrii, prevenirii sau urmririi penale a actelor de
terorism sau de finanare a terorismului. n cazul n care transferul ulterior de date
financiare se refer la un cetean sau la un rezident al unui stat membru UE, orice
comunicare de date ctre autoritile unei ri tere se supune consimmntului
prealabil al autoritilor competente din statul membru n cauz. Se pot face excepii

246 Organismul comun de supraveghere independent al Europol a desfurat verificri cu privire la


activitile Europol n acest domeniu, rezultate sunt disponibile: http://europoljsb.consilium.europa.eu/
reports/inspection-report.aspx?lang=en.

148

Fluxuri transfrontaliere dedate

n cazul n care comunicarea datelor este esenial pentru prevenirea unei ameninri imediate i grave la adresa securitii publice.
Supraveghetori independeni, inclusiv o persoan desemnat de Comisia European,
monitorizeaz conformitatea cu principiile acordului SWIFT.
Persoanele vizate au dreptul de a obine confirmarea din partea autoritii competente pentru protecia datelor din UE c drepturile de protecie a datelor lor cu
caracter personal au fost respectate. Persoanele vizate au, de asemenea, dreptul la
rectificare, dreptul de tergerea sau de blocare a datelor lor colectate i stocate de
Departamentul de Trezorerie al SUA n temeiul acordului SWIFT. Cu toate acestea,
drepturile de acces ale persoanelor vizate pot fi supuse unor restricii legale. Atunci
cnd se refuz accesul, persoana vizat trebuie informat n scris privind refuzul i
dreptul acesteia de a formula ci de atac administrative i judiciare n Statele Unite
ale Americii.
Acordul SWIFT rmne in vigoare pentru o perioad de cinci ani, pn n luna
august2015, i se prelungete automat cu perioade ulterioare de cte un an, cu
excepia cazului n care una dintre pri notific celeilalte intenia sa de a nu prelungi
acordul, cu un preaviz de cel puin ase luni.

149


Protecia datelor
ncontextul poliiei
icercetrii penale
UE

Aspecte vizate
n general
Poliia

CoE
Convenia108
Recomandarea privind sectorul poliienesc
CEDO, B.B./Frana, nr.5335/06,
17decembrie2009
CEDO, S. i Marper/RegatulUnit,
nr.30562/04 i 30566/04,
4decembrie2008
CEDO, Vetter/Frana, nr.59842/00,
31mai2005
Convenia privind criminalitatea informatic

Criminalitate
informatic
Protecia datelor n contextul cooperrii transfrontaliere ntre autoritile poliieneti i judiciare
Decizia-cadru privind
n general
Convenia 108
protecia datelor
Recomandarea privind sectorul poliienesc
Decizia Prm

Decizia Europol
Decizia Eurojust
Regulamentul Frontex
Decizia SchengenII
Regulamentul VIS
Regulamentul Eurodac
Decizia CIS

Pentru date
speciale: amprente,
ADN, huliganism
etc.
De ctre agenii
speciale

Convenia 108
Recomandarea privind sectorul poliienesc
Convenia108
Recomandarea privind datele deinute de
poliie

Prin sisteme de
Convenia 108
informare comune Recomandarea privind sectorul poliienesc
speciale
CEDO, Dalea/Frana, nr.964/07,
2februarie2010

151

Manual de legislaie european privind proteciadatelor

Pentru a echilibra interesele persoanelor fizice n ceea ce privete protecia datelor


i interesele societilor n ceea ce privete colectarea de date pentru combaterea
criminalitii i asigurarea siguranei publice i naionale, Consiliul Europei i UE au
adoptat instrumente juridice specifice.

7.1. Legislaia CoE privind protecia datelor


ndomeniul poliiei i cercetrii penale
Puncte-cheie

Convenia108 i Recomandarea CoE privind sectorul poliienesc acoper protecia


datelor n toate domeniile de activitate ale poliiei.

Convenia privind criminalitatea informatic (Convenia de la Budapesta) este un


instrument juridic internaional obligatoriu care acoper infraciunile comise mpotriva
i prin intermediul reelelor electronice.

La nivel european, Convenia108 acoper toate domeniile de prelucrare a datelor


cu caracter personal, iar dispoziiile acesteia au scopul de a reglementa prelucrarea
datelor cu caracter personal la nivel general. Prin urmare, Convenia108 se aplic n
cazul proteciei datelor n domeniul poliiei i cercetrii penale, dei prile contractante pot limita aplicarea acesteia.
Atribuiile juridice ale autoritilor poliieneti i de cercetare penal necesit de
multe ori prelucrarea datelor cu caracter personal care poate avea consecine grave
pentru persoanele n cauz. Recomandarea privind datele deinute de poliie, adoptat de CoE n1987 cuprinde orientri pentru prile contractante cu privire la modul
n care ar trebui s pun n aplicare principiile Conveniei108 n contextul prelucrrii
datelor cu caracter personal de ctre autoritile poliieneti247.

7.1.1. Recomandarea privind sectorul poliienesc


CEDO a susinut n permanen c stocarea i pstrarea datelor cu caracter personal de ctre poliie sau de ctre autoritile naionale de securitate aduc atingere

247 CoE, Comitetul de Minitri (1987), Recomandare Rec(87)15 ctre statele membre de reglementare a
utilizrii datelor cu caracter personal n sectorul poliienesc, 17septembrie1987.

152

Protecia datelor ncontextul poliiei icercetrii penale

articolului8 alineatul (1) din Convenia european a drepturilor omului. Multe hotrri ale CEDO trateaz motivarea unor astfel de atingeri aduse drepturilor248.
Exemplu: n cauza B.B./Frana249, CEDO a hotrt c introducerea unui delicvent
sexual condamnat ntr-o baz de date naional judiciar intr sub incidena articolului8 din Convenia european a drepturilor omului. Cu toate acestea, avnd
n vedere c au fost implementate suficiente garanii de protecie a datelor, cum
ar fi dreptul persoanei vizate de a solicita tergerea datelor, durata limitat de
pstrare a datelor i accesul limitat la datele respective, s-a stabilit un echilibru
corect ntre interesele concurente din sectorul privat i din sectorul public aflate
n joc. Curtea a concluzionat c nu a existat nicio nclcare a articolului 8din Convenia european a drepturilor omului.
Exemplu: n cauza S. i Marper/RegatulUnit250, ambii reclamani au fost acuzai,
dar nu i condamnai, pentru infraciuni penale. Cu toate acestea, amprentele,
profilurile ADN i probele celulare ale acestora au fost pstrate i stocate de
ctre poliie. Pstrarea pe termen nelimitat a datelor biometrice era permis
prin lege n cazul n care o persoan era suspectat de o infraciune penal,
chiar dac ulterior suspectul era achitat sau exonerat. CEDO a constatat c pstrarea general i nedifereniat a datelor cu caracter personal, care nu a fost
limitat n timp i n cazul n care persoanele achitate aveau doar posibiliti
limitate de a solicita tergerea datelor, a adus atingere n mod disproporionat
dreptului reclamanilor de respectare a vieii private. Curtea a concluzionat c
articolul8din Convenia european a drepturilor omului a fost nclcat.
Multe hotrri ulterioare ale CEDO trateaz motivarea atingerii aduse dreptului la
protecia datelor prin supraveghere.
Exemplu: n cauza Allan/Regatul Unit251, conversaiile private ale unui deinut cu
un prieten n zona de vizit a penitenciarului i cu un coacuzat ntr-o celul au
fost nregistrate n secret de ctre autoriti. CEDO a constatat c utilizarea de
248 A se vedea, de exemplu, Hotrrea CEDO din 26 martie 1987 n cauza Leander/Suedia, nr.9248/81;
Hotrrea CEDO din 13noiembrie2012 n cauza M.M./RegatulUnit, nr.24029/07; Hotrrea CEDO din
18aprilie2013 n cauza M.K./Frana, nr.19522/09.
249 Hotrrea CEDO din 17decembrie2009 n cauza B.B./Frana, nr.5335/06.
250 Hotrrea CEDO din 4decembrie2008n cauza S. i Marper/RegatulUnit, nr.30562/04 i nr.30566/04,
punctele119 i125.
251 Hotrrea CEDO din 5noiembrie2002 n cauza, Allan/RegatulUnit, nr.48539/99.

153

Manual de legislaie european privind proteciadatelor

dispozitive de nregistrare audio i video n celula reclamantului, n zona de vizit


a penitenciarului i n cazul unui coleg de penitenciar a adus atingere dreptului
reclamantului la respectarea vieii private. ntruct, la momentul respectiv, nu
exista niciun sistem legal de reglementare a utilizrii de ctre poliie a dispozitivelor de nregistrare sub acoperire, interferena respectiv nu a fost n conformitate cu legea. Curtea a concluzionat c articolul 8 din Convenia european a
drepturilor omului a fost nclcat.
Exemplu: n cauza Klass i alii/Germania252, reclamanii au susinut c mai
multe acte legislative din Germania, care permiteau supravegherea n secret a
corespondenei, potei i telecomunicaiilor au nclcat articolul8 din Convenia
european a drepturilor omului, n special deoarece persoana n cauz nu a fost
informat cu privire la msurile de supraveghere i nu s-a putut adresa instanelor de judecat dup ncheierea acestora. CEDO a constatat c ameninarea
de supraveghere aduce atingere, n mod inevitabil, libertii de comunicare
ntre utilizatorii serviciilor potale i de telecomunicaii. Cu toate acestea, s-a
constatat c fuseser instituite suficiente garanii mpotriva abuzului. Puterea
legislativ din Germania a acionat n mod justificat prin considerarea msurilor
respective ca fiind necesare ntr-o societate democratic pentru interesele de
securitate naional i pentru prevenirea tulburrilor sau a infraciunilor. Curtea
a concluzionat c nu a existat nicio nclcare a articolului 8dinConvenia european a drepturilor omului.
Avnd n vedere c prelucrarea datelor de ctre autoritile poliieneti poate avea
un impact semnificativ asupra persoanelor n cauz, norme detaliate de protecie a
datelor pentru pstrarea bazelor de date din acest domeniu sunt deosebit de necesare. Recomandarea CoE privind sectorul poliienesc a vizat abordarea problemei,
oferind orientri cu privire la modul de colectare a datelor n cadrul activitii poliieneti, modul de pstrare a fiierelor de date din domeniu, persoanele crora trebuie
s li se permit accesul la aceste fiiere, inclusiv condiiile pentru transferul de date
ctre autoritile strine de poliie, modul n care persoanele vizate ar trebui s i
poat exercita drepturile de protecie a datelor, precum i modul n care autoritile
independente ar trebui s i exercite controlul. Obligaia de a asigura un nivel adecvat de securitate a datelor este, de asemenea, luat n considerare.
Recomandarea nu prevede colectarea nedifereniat, pe termen nedeterminat a
datelor de ctre autoritile poliieneti. Aceasta limiteaz colectarea datelor cu
252 Hotrrea CEDO din 6septembrie1978 n cauza Klass i alii/Germania, nr.5029/71.

154

Protecia datelor ncontextul poliiei icercetrii penale

caracter personal de ctre organele de poliie la minimul necesar pentru prevenirea


unui pericol real sau suprimarea unei infraciuni specifice. Orice colectare suplimentar de date trebuie s se ntemeieze pe legislaia naional specific. Prelucrarea
datelor sensibile trebuie s se limiteze la ceea ce este absolut necesar n cadrul unei
anumite anchete.
n cazul n care datele cu caracter personal sunt colectate fr consimmntul persoanei vizate, persoana vizat trebuie s fie informat cu privire la colectarea datelor imediat ce divulgarea nu mai mpiedic investigaiile. Colectarea de date prin
supraveghere tehnic sau prin alte mijloace automatizate ar trebui, de asemenea, s
se ntemeieze pe dispoziii legale specifice.
Exemplu: n cauza Vetter/Frana253, martori anonimi au acuzat reclamantul de
omucidere. ntruct reclamantul mergea periodic n vizit la un prieten, poliia a
instalat dispozitive de ascultare n casa acestuia cu permisiunea judectorului de
instrucie. Pe baza conversaiilor nregistrate, reclamantul a fost arestat i judecat pentru omor. Reclamantul a solicitat ca nregistrrile s fie declarate probe
inadmisibile, susinnd, n special, c nu sunt prevzute de lege. Pentru CEDO,
problema n spe era msura n care utilizarea de dispozitive de ascultare s-a
fcut conform legii. Ascultarea n incinta locuinelor private, n mod evident,
nu intr sub incidena articolelor100 i urm. din Codul de procedur penal,
ntruct dispoziiile respective vizeaz doar interceptarea liniilor telefonice. Articolul81 din Cod nu precizeaz suficient de clar domeniul de aplicare sau modul
de exercitare a deciziei autoritilor cu privire la permisiunea de monitorizare
a conversaiilor personale. n consecin, reclamantul nu a beneficiat de gradul
minim de protecie la care cetenii au dreptul n baza statului de drept ntr-o
societate democratic. Curtea a concluzionat c articolul 8dinConvenia european a drepturilor omului a fost nclcat.
Recomandarea concluzioneaz c, atunci cnd se stocheaz date cu caracter personal, trebuie s se fac o distincie clar ntre: datele administrative i datele deinute
de poliie; diferitele tipuri de persoane vizate, cum ar fi suspeci, persoane condamnate, victime i martori; i datele considerate a fi elemente concrete i datele bazate
pe suspiciuni sau speculaii.

253 Hotrrea CEDO din 31mai2005 n cauza Vetter/Frana, nr.59842/00.

155

Manual de legislaie european privind proteciadatelor

Scopul datelor deinute de poliie ar trebui s fie limitat n mod strict. Acest lucru are
consecine pentru comunicarea datelor deinute de poliie ctre teri: transferul sau
comunicarea acestor date n cadrul sectorului poliienesc ar trebui reglementate n
funcie de existena sau nu a unui interes legitim n comunicarea informaiilor. Transferul sau comunicarea acestor date n afara sectorului poliienesc ar trebui permise
doar n cazul n care exist o obligaie sau o autorizaie legal clar. Transferul sau
comunicarea la nivel internaional ar trebui s se limiteze la autoritile poliieneti
strine i s se ntemeieze pe dispoziii legale speciale, posibil acorduri internaionale, cu excepia cazului n care sunt necesare pentru prevenirea unui pericol grav i
iminent.
Prelucrarea datelor de ctre poliie trebuie s fac obiectul unei supravegheri independente n vederea asigurrii conformitii cu legislaia naional privind protecia datelor. Persoanele vizate trebuie s aib toate drepturile de acces prevzute
n Convenia108. n cazul n care drepturile de acces ale persoanelor vizate au fost
restrnse n conformitate cu articolul9 din Convenia108 n interesul unor investigaii eficiente, persoana vizat trebuie s aib dreptul, n temeiul legislaiei naionale,
s fac apel la autoritatea naional de supraveghere a proteciei datelor sau la un
alt organism independent.

7.1.2. Convenia de la Budapesta privind


criminalitatea informatic
ntruct activitile infracionale utilizeaz i afecteaz din ce n ce mai mult sistemele electronice de prelucrare a datelor, sunt necesare noi prevederi penale pentru
a face fa acestei provocri. Prin urmare, CoE a adoptat un instrument juridic internaional, Convenia privind criminalitatea informatic cunoscut, de asemenea,
drept Convenia de la Budapesta pentru a aborda problema infraciunilor comise
mpotriva i prin intermediul reelelor electronice254. Prezenta convenie este deschis pentru semnare i statelor non-membre ale CoE i, pn la mijlocul anului
2013, patru state din afara CoE Australia, Republica Dominican, Japonia i Statele
Unite ale Americii au devenit pri la convenie i alte 12 state non-membre au
semnat convenia sau au fost invitate s adere la aceasta.
Convenia privind criminalitatea informatic rmne tratatul internaional cel mai
influent, care trateaz nclcri ale legii prin utilizarea internetului sau a altor reele
254 Consiliul Europei, Comitetul de Minitri (2001), Convenia privind criminalitatea informatic, CETSnr.185,
Budapesta, 23noiembrie2001, intrat n vigoare la 1iulie2004.

156

Protecia datelor ncontextul poliiei icercetrii penale

de informaii. Aceasta impune prilor actualizarea i armonizarea legislaiei lor


penale mpotriva pirateriei i altor nclcri ale securitii, inclusiv nclcarea drepturilor de autor, frauda facilitat prin calculator, pornografia infantil i alte activiti
informatice ilicite. Convenia prevede, de asemenea, puteri procedurale care vizeaz
cutarea de reele informatice i interceptarea comunicaiilor n contextul combaterii criminalitii informatice. n final, aceasta permite cooperarea internaional eficient. Un protocol adiional la convenie reglementeaz incriminarea propagandei
rasiste i xenofobe n cadrul reelelor informatice.
Dei convenia nu este un instrument efectiv de promovare a proteciei datelor,
aceasta incrimineaz activitile care sunt susceptibile de a nclca dreptul unei persoane vizate la protecia datelor. De asemenea, prin punerea n aplicare a conveniei,
prile contractante sunt obligate s prevad un nivel adecvat de protecie a drepturilor i libertilor omului, inclusiv a drepturilor garantate prin Convenia european a
drepturilor omului, cum ar fi dreptul la protecia datelor255.

7.2. Legislaia UE privind protecia datelor


ndomeniul poliiei i cercetrii penale
Puncte-cheie

La nivelul UE, protecia datelor n domeniul poliiei i cercetrii penale este reglementat exclusiv n contextul cooperrii transfrontaliere ntre autoritile poliieneti i
judiciare.

Exist regimuri speciale de protecie a datelor pentru Oficiul European de Poliie (Europol) i unitatea de cooperare judiciar a UE (Eurojust), care sunt organe ale UE care
asist i promoveaz aplicarea legii la nivel transfrontalier.

Regimuri speciale de protecie a datelor exist, de asemenea, pentru sistemele


comune de informaii instituite la nivelul UE pentru schimbul transfrontalier de informaii ntre autoritile poliieneti i judiciare competente. Exemple importante sunt
SchengenII, Sistemul de informaii privind vizele (VIS) i Eurodac, un sistem centralizat care conine datele dactiloscopice ale resortisanilor din rile tere care solicit azil
ntr-unul din statele membre ale UE.

Directiva privind protecia datelor nu se aplic n sectorul poliiei i cercetrii penale.


Seciunea7.2.1 descrie cele mai importante instrumente legale din acest domeniu.
255 Ibidem, articolul15 alineatul (1).

157

Manual de legislaie european privind proteciadatelor

7.2.1. Decizia-cadru privind protecia datelor


Decizia-cadru 2008/977/JAI a Consiliului privind protecia datelor cu caracter personal prelucrate n cadrul cooperrii poliieneti i judiciare n materie penal (Decizia-cadru privind protecia datelor)256 are drept scop asigurarea proteciei datelor cu
caracter personal ale persoanelor fizice atunci cnd datele personale ale acestora
sunt prelucrate n scopul prevenirii, investigrii, depistrii i urmririi penale a unei
infraciuni sau n scopul executrii unei sanciuni penale. n numele statelor membre
sau al UE acioneaz autoriti competente din sectorul poliiei i cercetrii penale.
Aceste autoriti sunt agenii sau organisme ale UE, precum i autoriti din statele
membre257. Aplicabilitatea deciziei-cadru se limiteaz la asigurarea proteciei datelor
n cadrul cooperrii transfrontaliere ntre aceste autoriti i nu se extinde la securitatea naional.
Decizia-cadru privind protecia datelor se bazeaz n mare msur pe principiile i
definiiile cuprinse n Convenia108 i n Directiva privind protecia datelor.
Datele se utilizeaz numai de ctre o autoritate competent i exclusiv n scopul pentru care acestea au fost transmise sau puse la dispoziie. Statul membru destinatar
trebuie s respecte orice restricii privind schimbul de date prevzute de legea statului membru care efectueaz transferul. Cu toate acestea, utilizarea datelor de ctre
statul destinatar pentru un scop diferit este permis n anumite condiii. nregistrarea
i documentarea transferurilor de date este o obligaie specific a autoritilor competente pentru a ajuta la clarificarea responsabilitilor care decurg din reclamaii.
Transferul ulterior de date, primite n cadrul cooperrii transfrontaliere, ctre teri
necesit acordul statului membru din care provin datele, dei exist excepii n cazuri
de urgen.
Autoritile competente trebuie s ia msurile de securitate necesare pentru a proteja datele cu caracter personal mpotriva oricrei forme de prelucrare ilicit.
Fiecare stat membru trebuie s asigure c una sau mai multe autoriti naionale de
supraveghere independente sunt responsabile de consilierea i monitorizarea aplicrii dispoziiilor adoptate n conformitate cu Decizia-cadru privind protecia datelor. De
asemenea, acestea audiaz cererile depuse de orice persoan cu privire la protecia
256 Consiliul Uniunii Europene (2008), Decizia-cadru 2008/977/JAI a Consiliului din 27noiembrie2008
privind protecia datelor cu caracter personal prelucrate n cadrul cooperrii poliieneti i judiciare n
materie penal (Decizia-cadru privind protecia datelor), MO2008L350.
257 Ibidem, articolul2 litera (h).

158

Protecia datelor ncontextul poliiei icercetrii penale

drepturilor i libertilor acesteia legate de prelucrarea datelor cu caracter personal


de ctre autoritile competente.
Persoana vizat are dreptul la informaii cu privire la prelucrarea datelor sale personale i are dreptul de acces, rectificare, tergere sau blocare a datelor. n cazul
n care exercitarea acestor drepturi este refuzat din motive ntemeiate, persoana
vizat trebuie s aib drept de apel la autoritatea naional de supraveghere competent i/sau la o instan. n cazul n care o persoan sufer un prejudiciu ca urmare a
nclcrii legislaiei naionale de punere n aplicare a Deciziei-cadru privind protecia
datelor, persoana respectiv are dreptul la compensaii din partea operatorului258. n
general, persoanele vizate trebuie s aib acces la o cale de atac legal pentru orice
nclcare a drepturilor lor garantate prin legislaia naional de punere n aplicare a
Deciziei-cadru privind protecia datelor259.
Comisia European a propus o reform, care const ntr-un Regulament general privind protecia datelor260 i o Directiv general privind protecia datelor261. Aceast
nou directiv va nlocui actuala Decizie-cadru privind protecia datelor i va pune n
aplicare principiile i normele generale n contextul cooperrii poliieneti i judiciare
n materie penal.

7.2.2. Mai multe instrumente juridice specifice


privind protecia datelor n contextul cooperrii
poliieneti i de aplicare a legii transfrontaliere
n plus fa de Decizia-cadru privind protecia datelor, schimbul de informaii realizat
de statele membre n domenii specifice este reglementat printr-o serie de instrumente juridice, cum ar fi Decizia-cadru 2009/315/JAI a Consiliului privind organizarea i coninutul schimbului de informaii extrase din cazierele judiciare ntre statele
258 Ibidem, articolul19.
259 Ibidem, articolul20.
260 Comisia European (2012), Propunere de regulament al Parlamentului European i al Consiliului
privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal i libera
circulaie a acestor date (Regulament general privind protecia datelor), COM(2012)11final, Bruxelles,
25ianuarie2012.
261 Comisia European (2012), Propunere de directiv a Parlamentului European i a Consiliului privind
protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile
competente n scopul prevenirii, identificrii, investigrii sau urmririi penale a infraciunilor sau al
executrii pedepselor i libera circulaie a acestor date (Directiva general privind protecia datelor),
COM(2012)10final, Bruxelles, 25ianuarie2012.

159

Manual de legislaie european privind proteciadatelor

membre i Decizia Consiliului privind acordurile de cooperare ntre unitile de informaii financiare ale statelor membre n ceea ce privete schimbul de informaii262.
Este important de reinut c o cooperare transfrontalier263 ntre autoritile competente implic din ce n ce mai mult schimbul de date privind imigraia. Acest domeniu al legislaiei nu vizeaz aspecte legate de poliie i cercetare penal, dar este n
multe privine relevant pentru activitatea autoritilor poliieneti i judiciare. Acelai
lucru este valabil pentru datele referitoare la mrfurile importate n sau exportate
din UE. Eliminarea controalelor la frontierele interne n cadrul UE a sporit riscul de fraud, ceea ce impune ca statele membre s i intensifice cooperarea, n special prin
consolidarea schimbului transfrontalier de informaii n vederea eficientizrii depistrii i urmririi n justiie a nclcrilor legislaiei vamale naionale i europene.

Decizia Prm
Un exemplu important de cooperare transfrontalier instituionalizat prin schimbul de date deinute la nivel naional este Decizia2008/615/JAI a Consiliului privind
intensificarea cooperrii transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii transfrontaliere (Decizia Prm), prin care Tratatul Prma fost
integrat n dreptul european n anul2008264. Tratatul Prm a fost un acord internaional de cooperare poliieneasc semnat n2005 de Austria, Belgia, Frana, Germania,
Luxemburg, rile de Jos i Spania265.
Scopul Deciziei Prm este acela de a ajuta statele membre s mbunteasc
schimbul de informaii n scopul prevenirii i combaterii criminalitii n trei domenii:

262 Consiliul Uniunii Europene (2009), Decizia-cadru 2009/315/JAI a Consiliului din 26februarie2009
privind organizarea i coninutul schimbului de informaii extrase din cazierele judiciare ntre statele
membre, MO2009L93, Consiliul Uniunii Europene (2000), Decizia 2000/642/JAI a Consiliului
din17octombrie2000 privind acordurile de cooperare ntre unitile de informaii financiare ale statelor
membre n ceea ce privete schimbul de informaii, MO2000L271.
263 Comisia European (2012), Comunicarea Comisiei ctre Parlamentul European i Consiliu Consolidarea
cooperrii ntre autoritile responsabile de aplicarea legii n UE: Modelul European de Schimb de
Informaii(EIXM), COM(2012)735final, Bruxelles, 7decembrie2012.
264 Consiliul Uniunii Europene (2008), Decizia 2008/615/JAI a Consiliului din 23iunie2008 privind
intensificarea cooperrii transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii
transfrontaliere, MO2008L210.
265 Convenia ntre Regatul Belgiei, Republica Federal Germania, Regatul Spaniei, Republica Francez,
Marele Ducat al Luxemburgului, Regatul rilor de Jos i Republica Austria privind intensificarea
cooperrii transfrontaliere, n special n domeniul combaterii terorismului, a criminalitii transfrontaliere
i a migraiei ilegale; disponibil la: http://register.consilium.europa.eu/pdf/en/05/st10/st10900.en05.
pdf.

160

Protecia datelor ncontextul poliiei icercetrii penale

terorism, criminalitate transfrontalier i migraie ilegal. n acest scop, decizia


cuprinde dispoziii privind:
accesul automatizat la profilurile ADN, datele dactiloscopice i la anumite date
naionale de nmatriculare a vehiculelor;
furnizarea de date n legtur cu evenimente majore de dimensiune
transfrontalier;
furnizarea de informaii n vederea prevenirii infraciunilor teroriste;
alte msuri de intensificare a cooperrii poliieneti transfrontaliere.
Bazele de date care sunt puse la dispoziie n conformitate cu Decizia Prm sunt
reglementate n ntregime de legislaia naional, dar schimbul de date este reglementat n plus de decizie i, mai recent, de Decizia-cadru privind protecia datelor.
Organele competente pentru supravegherea acestor fluxuri de date sunt autoritile
naionale de supraveghere a proteciei datelor.

7.2.3. Protecia datelor la Europol i Eurojust


Europol
Europol, agenia Uniunii Europene n materie de aplicare a legii, are sediul la Haga
i uniti naionale Europol(UNE) n fiecare stat membru. Europol a fost nfiinat n
anul1998; statutul juridic actual de instituie a UE se bazeaz pe Decizia Consiliului
privind nfiinarea Oficiului European de Poliie (Decizia Europol)266. Obiectivul Europol este acela de a asista prevenirea i investigarea criminalitii organizate, a terorismului i a altor forme grave de criminalitate, astfel cum sunt enumerate n anexa
la Decizia Europol, care afecteaz dou sau mai multe state membre.
Pentru atingerea obiectivelor sale, Europol a nfiinat Sistemul de Informaii Europol,
care asigur o baz de date pentru ca statele membre s fac schimb de informaii
266 Consiliul Uniunii Europene (2009), Decizia Consiliului din 6aprilie2009 privind nfiinarea Oficiului
European de Poliie, MO2009L121 (Europol). A se vedea, de asemenea, propunerea de regulament a
Comisiei, care prevede, prin urmare, un cadru juridic pentru un nou Europol, care urmeaz i substituie
Europol, astfel cum a fost nfiinat prin Decizia 2009/371/JAI a Consiliului din6aprilie2009 privind
nfiinarea Oficiului European de Poliie (Europol) i CEPOL, astfel cum a fost nfiinat prin Decizia
2005/681/JAI a Consiliului privind nfiinarea Colegiului European de Poliie (CEPOL),
COM(2013)173 final.

161

Manual de legislaie european privind proteciadatelor

n materie penal i alte informaii prin intermediul UNE. Sistemul de informaii Europol poate fi utilizat pentru a pune la dispoziie date referitoare la: persoane suspectate sau care au fost condamnate pentru o infraciune de competena Europol ori
persoane cu privire la care exist indicii concrete c vor comite astfel de infraciuni. Europol i UNE pot introduce date direct n Sistemul de informaii Europol i pot
prelua date din acesta. Doar partea care a introdus datele n sistem poate modifica,
corecta sau terge datele.
n cazul n care este necesar pentru ndeplinirea sarcinilor sale, Europol poate stoca,
modifica i utiliza date referitoare la infraciuni n fiiere de lucru pentru analiz. Fiierele de lucru pentru analiz sunt deschise n vederea asamblrii, prelucrrii sau utilizrii datelor n vederea asistrii anchetelor penale concrete coordonate de Europol
mpreun cu statele membre ale UE.
Ca rspuns la noile dezvoltri, 1ianuarie2013, la Europol a fost nfiinat Centrul
european de combatere a criminalitii informatice267. Acesta funcioneaz ca centru
de informaii al UE privind criminalitatea informatic, contribuind la accelerarea reaciei n cazul infraciunilor online, dezvoltnd i implementnd capaciti criminalistice digitale i furniznd bune practici n legtur cu anchetele privind criminalitatea
informatic. Centrul se axeaz pe acte de criminalitate informatic:
comise de grupuri organizate cu scopul de a genera profituri considerabile din
infraciuni, cum ar fi frauda online
care aduc prejudicii grave victimelor lor, cum ar fi exploatarea sexual a minorilor
pe internet;
ndreptate mpotriva infrastructurii critice i a sistemelor informatice dinUE.
Regimul de protecie a datelor care reglementeaz activitile Europol este mbuntit. Decizia Europol prevede n articolul27 c se aplic principiile prevzute n
Convenia108 i n Recomandarea privind datele deinute de poliie cu privire la prelucrarea de date automatizate i neautomatizate. Transferul de date ntre Europol i
statele membre trebuie s respecte, de asemenea, normele cuprinse n Decizia-cadru privind protecia datelor.

267 A se vedea, de asemenea, AEPD (2012), Avizul Autoritii Europene pentru Protecia Datelor privind
Comunicarea Comisiei Europene ctre Consiliu i Parlamentul European privind instituirea unui Centru
european de combatere a criminalitii informatice, Bruxelles, 29iunie2012.

162

Protecia datelor ncontextul poliiei icercetrii penale

Pentru a asigura conformitatea cu legislaia aplicabil privind protecia datelor i, n


special, c drepturile persoanelor fizice nu sunt nclcate prin prelucrarea datelor cu
caracter personal, Organismul comun de supraveghere independent al Europol(JSB)
evalueaz i monitorizeaz activitile Europol268. Fiecare persoan are dreptul de
acces la orice date cu caracter personal pe care Europol le poate deine, n plus fa
de dreptul de a solicita ca aceste date cu caracter personal s fie verificate, corectate
sau terse. Dac o persoan nu este mulumit de decizia Europol n ceea ce privete
exercitarea acestor drepturi, aceasta poate apela la Comitetul de Apel al JSB.
n cazul n care s-au adus prejudicii ca urmare a unor erori de drept sau de fapt n
ceea ce privete datele stocate sau prelucrate la Europol, partea vtmat poate
solicita despgubiri doar n faa instanei competente a statului membru n care
a avut loc evenimentul care a provocat prejudiciul269. Europol va despgubi statul
membru n cazul n care prejudiciul este rezultatul nendeplinirii de ctre Europol a
obligaiilor sale legale.

Eurojust
Eurojust, nfiinat n anul2002, este un organism al Uniunii Europene, cu sediul la
Haga, care promoveaz cooperarea n materie judiciar n cadrul anchetelor i urmririlor penale legate de infraciuni grave care implic cel puin dou state membre270.
Eurojust are competena de a:
stimula i mbunti coordonarea investigaiilor i urmririlor penale ntre autoritile competente din diferite state membre;
facilita executarea cererilor i deciziilor privind cooperarea judiciar.
Funciile Eurojust sunt ndeplinite de membrii naionali. Fiecare stat membru deleg
un judector sau un procuror la Eurojust, al crui statut se supune legislaiei naionale
268 Decizia Europol, articolul34.
269 Ibidem, articolul52.
270 Consiliul Uniunii Europene (2002), Decizia 2002/187/JAI a Consiliului din 28februarie2002 de instituire
a Eurojust n scopul consolidrii luptei mpotriva formelor grave de criminalitate, MO2002L63,
Consiliul Uniunii Europene (2003), Decizia 2003/659/JAI a Consiliului din 18iunie2003 de modificare a
Deciziei2002/187/JAI de instituire a Eurojust n scopul consolidrii luptei mpotriva formelor grave de
criminalitate, MO2003L44; Consiliul Uniunii Europene (2009), Decizia 2009/426/JAI a Consiliului din
16decembrie2008 privind consolidarea Eurojust i de modificare a Deciziei2002/187/JAI de instituire a
Eurojust n scopul consolidrii luptei mpotriva formelor grave de criminalitate, MO2009L138 (Deciziile
Eurojust).

163

Manual de legislaie european privind proteciadatelor

i este mputernicit cu competenele adecvate pentru a ndeplini sarcinile necesare


pentru stimularea i mbuntirea cooperrii judiciare. n plus, membrii naionali
acioneaz n comun ca un colegiu pentru a ndeplini sarcinile speciale ale Eurojust.
Eurojust poate prelucra date cu caracter personal n msura n care acest lucru este
necesar pentru realizarea obiectivelor sale. Cu toate acestea, prelucrarea se limiteaz
la informaii specifice referitoare la persoanele care fie sunt suspectate c au comis
sau c au participat la comiterea unei infraciuni care ine de competena Eurojust,
fie au fost condamnate pentru o astfel de infraciune. Eurojust poate prelucra, de
asemenea, anumite informaii cu privire la martori sau victime ale infraciunilor
penale care intr sub incidena Eurojust271. n situaii excepionale, Eurojust poate
prelucra, pentru o perioad limitat de timp, date cu caracter personal mai extinse
cu privire la mprejurrile svririi unei infraciuni, n cazul n care datele respective
sunt direct relevante pentru o investigaie n curs de desfurare. n sfera de aplicare
a competenelor sale, Eurojust poate coopera cu alte instituii, organisme i agenii
ale UE i poate face schimb de date cu caracter personal cu acestea. Eurojust poate,
de asemenea, s coopereze i s fac schimb de date cu caracter personal cu ri i
organizaii tere.
n ceea ce privete protecia datelor, Eurojust trebuie s garanteze un nivel de protecie cel puin echivalent cu principiile Conveniei108 a Consiliului Europei, cu modificrile ulterioare. n cazul schimbului de date, trebuie respectate norme i restricii
specifice, care sunt puse n aplicare fie n baza unui acord de cooperare, fie n baza
unui acord de lucru n conformitate cu Deciziile Eurojust ale Consiliului i Normele
Eurojust privind protecia datelor272.
Un JSB independent a fost nfiinat la Eurojust, avnd sarcina de a monitoriza prelucrarea datelor cu caracter personal efectuat de Eurojust. Persoanele fizice pot apela
la JSB n cazul n care nu sunt mulumite de rspunsul Eurojust la o cerere privind
accesul la, corectarea, blocarea sau tergerea datelor cu caracter personal. n cazul
n care Eurojust prelucreaz date cu caracter personal n mod ilegal, Eurojust i va
asuma rspunderea, n conformitate cu legislaia naional a statului membru n care
se afl sediul central ale acestuia, rile de Jos, pentru orice prejudiciu cauzat persoanei vizate.

271 Versiunea consolidat a Deciziei 2002/187/JAI a Consiliului, astfel cum a fost modificat prin Decizia
2003/659/JAI a Consiliului i prin Decizia2009/426/JAI a Consiliului, articolul15alineatul(2).
272 Regulament de procedur privind prelucrarea i protecia datelor cu caracter personal la Eurojust,
MO2005,C68/01, 19martie2005, p.1.

164

Protecia datelor ncontextul poliiei icercetrii penale

7.2.4. Protecia datelor n cadrul sistemelor


informatice comune la nivelul UE
n plus fa de schimbul de date ntre statele membre i nfiinarea de autoriti specializate ale UE pentru combaterea criminalitii transfrontaliere, mai multe sisteme
informatice comune au fost nfiinate la nivelul UE pentru a servi drept platform
pentru schimbul de date ntre autoritile naionale i europene competente pentru
scopurile specificate de aplicare a legii, inclusiv legislaia privind imigraia i legislaia
vamal. Unele dintre aceste sisteme au fost dezvoltate ca urmare a acordurilor multilaterale care au fost ulterior completate de instrumente i sisteme legale europene,
cum ar fi Sistemul de Informaii Schengen, Sistemului de informaii privind vizele,
Eurodac, Eurosur sau Sistemul de informaii al vmilor.
Agenia european pentru gestionarea operaional a sistemelor informatice la scar
larg(eu-LISA)273, nfiinat n anul 2012, este responsabil pentru gestionarea operaional pe termen lung a Sistemului de Informaii Schengen de a doua generaie
(SIS II), a Sistemului de informaii privind vizele(VIS) i a Eurodac. Sarcina de baz a
eu-LISA este aceea de a asigura funcionarea eficient, sigur i continu a sistemelor informatice. Este, de asemenea, responsabil pentru adoptarea msurilor necesare menite s asigure securitatea sistemelor i a datelor.

Sistemul de Informaii Schengen


n anul1985, mai multe state membre ale fostei Comuniti Europene au ncheiat
Acordul ntre statele Uniunii Economice Benelux, Germania i Frana privind eliminarea treptat a controalelor la frontierele comune (Acordul Schengen), cu scopul
de a crea o zon pentru libera circulaie a persoanelor, nestingherit de controalele
efectuate la frontier pe teritoriul Schengen274. Pentru a contracara ameninarea la
adresa securitii publice, care ar fi putut fi generat de deschiderea frontierelor,
s-au instituit controale intensificate la frontierele externe ale spaiului Schengen,
precum i o cooperare strns ntre autoritile poliieneti i judiciare naionale.

273 Regulamentul (UE) nr. 1077/2011 al Parlamentului European i al Consiliului din 25octombrie2011 de
instituire a Ageniei europene pentru gestionarea operaional a sistemelor informatice la scar larg n
spaiul de libertate, securitate i justiie, MO2011L286.
274 Acordul dintre guvernele statelor Uniunii Economice Benelux, Republicii Federale Germania i Republicii
Franceze privind eliminarea treptat a controalelor la frontierele lor comune, MO2000L239.

165

Manual de legislaie european privind proteciadatelor

Ca urmare a aderrii altor state la acordul Schengen, sistemul Schengen a fost n cele
din urm integrat n cadrul juridic al UE prin Tratatul de la Amsterdam275. Punerea n
aplicare a acestei decizii a avut loc n anul1999. Cea mai nou versiune a Sistemului
de Informaii Schengen, denumit SISII, a intrat n vigoare la 9aprilie2013. Aceasta
deservete n prezent toate statele membre ale UE plus Islanda, Liechtenstein, Norvegia i Elveia276. Europol i Eurojust au, de asemenea, acces la SISII.
SISII const ntr-un sistem central(C-SIS), un sistem naional(N-SIS) n fiecare stat
membru i o infrastructur de comunicaii ntre sistemul central i sistemele naionale. C-SIS conine anumite date introduse de statele membre cu privire la persoane
i obiecte. C-SIS este utilizat de autoritile naionale de control la frontier, organele
de poliie, autoritile vamale, autoritile responsabile de vize i autoritile judiciare din ntreg spaiul Schengen. Statele membre opereaz copii naionale ale C-SIS,
cunoscute sub numele de Sisteme naionale de informaii Schengen (N-SIS), care
sunt actualizate n permanen, astfel actualiznd C-SIS. Se consult N-SIS i se va
emite o alert n cazul n care:
persoana nu are dreptul de a intra sau de a rmne pe teritoriul Schengen; sau
persoana sau obiectul este urmrit de autoritile judiciare sau de aplicare a legii;
sau
persoana a fost raportat ca disprut; sau
bunuri, cum ar fi bancnote, autoturisme, autoutilitare, arme de foc i documente
de identitate, au fost raportate ca fiind furate sau pierdute.
n cazul unei alerte, se vor iniia activiti de urmrire prin intermediul Sistemelor
naionale de informaii Schengen.
SISII are noi funcionaliti, cum ar fi posibilitatea de a introduce: date biometrice,
precum amprente i fotografii; sau noi categorii de alerte, cum ar fi furturi de brci,
aeronave, containere sau mijloace de plat; i alerte mbuntite cu privire la
275 Comunitile Europene (1997), Tratatul de la Amsterdam de modificare a Tratatului privind Uniunea
European, a Tratatelor de instituire a Comunitilor Europene i anumite acte conexe, MO1997C340.
276 Regulamentul (CE) nr.1987/2006 al Parlamentului European i al Consiliului din 20decembrie2006
privind instituirea, funcionarea i utilizarea Sistemului de informaii Schengen de a doua generaie,
MO2006L381 (SISII) i Consiliul Uniunii Europene (2007), Decizia2007/533/JAI a Consiliului din
12iunie2007 privind nfiinarea, funcionarea i utilizarea Sistemului de informaii Schengen de a doua
generaie, (SISII), MO2007L205.

166

Protecia datelor ncontextul poliiei icercetrii penale

persoane i obiecte; copii ale mandatelor europene de arestare (MEA) privind persoanele cutate pentru deinere, predare sau extrdare.
Decizia 2007/533/JAI a Consiliului privind nfiinarea, funcionarea i utilizarea Sistemului de Informaii Schengen de a doua generaie (Decizia SchengenII) include
Convenia108: Datele cu caracter personal prelucrate n temeiul prezentei decizii
sunt protejate n conformitate cu Convenia108 a Consiliului Europei277. n cazul n
care utilizarea datelor cu caracter personal de ctre autoritile poliieneti naionale
se face n temeiul Deciziei SchengenII, prevederile Conveniei108, precum i cele
ale Recomandrii privind datele deinute de poliie, trebuie implementate n legislaia naional.
Autoritatea naional de supraveghere competent din fiecare stat membru supravegheaz sistemul N-SIS intern. n special, aceasta trebuie s verifice calitatea datelor pe care statul membru le introduce n C-SIS, prin intermediul N-SIS. Autoritatea
naional de supraveghere trebuie s asigure efectuarea unui audit al operaiunilor
de prelucrare a datelor n cadrul sistemului N-SIS intern cel puin o dat la patru ani.
Autoritile de supraveghere naionale i AEPD coopereaz i asigur supravegherea
coordonat a SIS, n timp ce AEPD este responsabil pentru supravegherea C-SIS. Din
motive de transparen, un raport comun de activitate trebuie prezentat Parlamentului European, Consiliului i eu-LISA la fiecare doi ani.
Drepturile de acces ale persoanelor fizice cu privire la SISII pot fi exercitate n orice
stat membru, ntruct fiecare N-SIS este o copie exact a C-SIS.
Exemplu: n cauza Dalea/Frana278, reclamantului nu i s-a acordat viz pentru a
vizita Frana, deoarece autoritile franceze au raportat n Sistemul de informaii
Schengen c reclamantului trebuie s i se refuze intrarea. Reclamantul a solicitat, fr succes, accesul la i rectificarea sau tergerea datelor n faa Comisiei
pentru Protecia Datelor din Frana i, n cele din urm, n faa Consiliul de Stat.
CEDO a constatat c raportarea reclamantului la Sistemul de informaii Schengen
este n conformitate cu legea i urmrete scopul legitim de protecie a securitii naionale. ntruct solicitantul nu a dovedit prejudiciul efectiv pe care l-a
suferit ca urmare a faptului c i-a fost refuzat intrarea n spaiul Schengen i
277 Consiliul Uniunii Europene (2007), Decizia 2007/533/JAI a Consiliului din 12iunie2007 privind
nfiinarea, funcionarea i utilizarea Sistemului de informaii Schengen de a doua generaie,
MO2007L205, articolul57.
278 Hotrrea CEDO din 2februarie2010 n cauza Dalea/Frana (dec.), nr.964/07.

167

Manual de legislaie european privind proteciadatelor

ntruct au fost instituite suficiente msuri pentru a-l proteja mpotriva deciziilor arbitrare, atingerea adus dreptului acestuia de respectare a vieii private a
fost proporionat. Plngerea reclamantului n temeiul articolului8 a fost, prin
urmare, declarat inadmisibil.

Sistemul de informaii privind vizele


Sistemul de informaii privind vizele (VIS), operat, de asemenea, de ctre eu-LISA, a
fost dezvoltat pentru a sprijini punerea n aplicare a unei politici europene comune
privind vizele279. VIS permite statelor Schengen s fac schimb de date privind vizele
printr-un sistem care conecteaz consulatele statelor Schengen situate n ri din
afara UE, cu punctele de trecere a frontierei externe ale tuturor statelor Schengen.
VIS prelucreaz datele privind cererile de viz de scurt edere pentru a vizita sau
pentru a tranzita spaiul Schengen. VIS permite autoritilor de frontier s verifice,
cu ajutorul datelor biometrice, dac persoana care prezint o viz este titularul de
drept al acesteia i s identifice persoanele fr documente sau persoanele care
dein documente false.
n conformitate cu Regulamentul (CE) nr. 767/2008 al Parlamentului European i al
Consiliului privind Sistemul de informaii privind vizele (VIS) i schimbul de date ntre
statele membre cu privire la vizele de scurt edere (Regulamentul VIS), n VIS pot
fi nregistrate doar date alfanumerice referitoare la solicitant, vizele, fotografii, date
dactiloscopice, legturi ctre cererile anterioare, precum i dosarele de cerere ale
persoanelor care nsoesc solicitantul280. Accesul la VIS n vederea introducerii, modificrii sau tergerii datelor este limitat exclusiv la autoritile responsabile de vize din
statele membre, n timp ce accesul pentru consultarea datelor se acord autoritilor
responsabile de vize i autoritilor competente pentru controalele la punctele de
trecere a frontierei externe, controalele n materie de imigraie i azil. n anumite
condiii, autoritile poliieneti naionale competente i Europol pot solicita accesul

279 Consiliul Uniunii Europene (2004), Decizia Consiliului din 8iunie2004 de instituire a Sistemului de
informaii privind vizele (VIS), MO2004L213, Regulamentul (CE) nr.767/2008 al Parlamentului
European i al Consiliului din 9iulie2008 privind Sistemul de informaii privind vizele(VIS) i schimbul
de date ntre statele membre cu privire la vizele de scurt edere, MO2008L218 (Regulamentul VIS);
Consiliul Uniunii Europene (2008), Decizia2008/633/JAI a Consiliului din 23iunie2008 privind accesul
la Sistemul de informaii privind vizele (VIS) n vederea consultrii de ctre autoritile desemnate ale
statelor membre i de ctre Europol n scopul prevenirii, depistrii i cercetrii infraciunilor de terorism i
a altor infraciuni grave, MO2008L218.
280 Articolul5 din Regulamentul (CE) nr. 767/2008 al Parlamentului European i al Consiliului din 9iulie2008
privind Sistemul de informaii privind vizele (VIS) i schimbul de date ntre statele membre cu privire la
vizele de scurt edere (Regulamentul VIS), MO2008L218.

168

Protecia datelor ncontextul poliiei icercetrii penale

la datele introduse n VIS n scopul prevenirii, depistrii i cercetrii actelor de terorism i a infraciunilor penale281.

Eurodac
Numele Eurodac se refer la dactilograme sau amprente digitale. Acesta este un sistem centralizat care conine datele dactiloscopice ale resortisanilor din rile tere
care solicit azil ntr-unul dintre statele membre ale UE282. Sistemul este operaional
din luna ianuarie a anului2003, iar scopul acestuia este de a facilita stabilirea statului membru care trebuie s rspund de examinarea unei anumite cereri de azil n
conformitate cu Regulamentul (CE) nr.343/2003 al Consiliului de stabilire a criteriilor
i mecanismelor de determinare a statului membru responsabil cu examinarea unei
cereri de azil prezentate ntr-unul dintre statele membre de ctre un resortisant al
unei ri tere (Regulamentul DublinII)283. Datele cu caracter personal din Eurodac nu
pot fi utilizate dect n scopul facilitrii aplicrii Regulamentului DublinII; utilizarea n
orice alt scop este pasibil de sanciuni.
Eurodac const ntr-o unitate central, operat de eu-LISA, pentru stocarea i compararea amprentelor digitale i un sistem pentru transmiterea de date electronice
ntre statele membre i baza de date central. Statele membre preleveaz i transmit amprentele digitale ale fiecrui resortisant din afara UE sau apatrid cu vrsta
de cel puin 14 de ani, care solicit azil pe teritoriul lor sau care este reinut pentru
trecerea neautorizat a frontierei externe a acestora. Statele membre pot, de asemenea, s preleveze i s transmit amprentele digitale ale resortisanilor din afara
UE sau apatrizilor identificai ca locuind pe teritoriul acestora fr permisiune.

281 Consiliul Uniunii Europene (2008), Decizia 2008/633/JAI a Consiliului din 23iunie2008 privind accesul
la Sistemul de informaii privind vizele (VIS) n vederea consultrii de ctre autoritile desemnate ale
statelor membre i de ctre Europol n scopul prevenirii, depistrii i cercetrii infraciunilor de terorism i
a altor infraciuni grave, MO2008L218.
282 Regulamentul (CE) nr.2725/2000 al Consiliului din 11decembrie2000 privind instituirea sistemului
Eurodac pentru compararea amprentelor digitale n scopul aplicrii eficiente a Conveniei de la Dublin,
MO2000L316; Regulamentul (CE) nr.407/2002 al Consiliului din 28februarie2002 de stabilire a
anumitor norme de punere n aplicare a Regulamentului (CE) nr.2725/2000 privind instituirea sistemului
Eurodac pentru compararea amprentelor digitale n scopul aplicrii eficiente a Conveniei de la Dublin,
MO2002L62 (Regulamentele Eurodac).
283 Regulamentul (CE) nr.343/2003 al Consiliului din 18februarie2003 de stabilire a criteriilor i
mecanismelor de determinare a statului membru responsabil de examinarea unei cereri de azil
prezentate ntr-unul dintre statele membre de ctre un resortisant al unei ri tere, MO2003L50
(Regulamentul DublinII).

169

Manual de legislaie european privind proteciadatelor

Datele dactiloscopice sunt stocate n baza de date Eurodac numai sub form pseudonimizat. n cazul unei corespondene, pseudonimul, mpreun cu numele primului
stat membru care a transmis datele dactiloscopice, este dezvluit celui de-al doilea
stat membru. Apoi, cel de-al doilea stat membru se va adresa primului stat membru,
deoarece, n conformitate cu Regulamentul DublinII, primul stat membru este responsabil pentru prelucrarea cererii de azil.
Datele cu caracter personal stocate n Eurodac care se refer la solicitanii de azil
sunt pstrate timp de 10 ani de la data la care au fost prelevate amprentele digitale,
cu excepia cazului n care persoana vizat obine cetenia unui stat membru al UE.
n acest caz, datele trebuie terse imediat. Datele privind resortisanii strini reinui
pentru trecerea ilegal a frontierei externe sunt stocate timp de doi ani. Aceste date
trebuie terse imediat n cazul n care persoana vizat primete un permis de edere,
prsete teritoriul UE sau obine cetenia unui stat membru.
Pe lng toate statele membre ale UE, Islanda, Norvegia, Liechtenstein i Elveia utilizeaz, de asemenea, Eurodac n baza unor acorduri internaionale.

Eurosur
Sistemul european de supraveghere a frontierelor (Eurosur)284 este conceput pentru
a intensifica controlul frontierelor externe Schengen prin detectarea, prevenirea i
combaterea imigraiei ilegale i a criminalitii transfrontaliere. Scopul acestuia este
de a mbunti schimbul de informaii i cooperarea operaional ntre centrele
naionale de coordonare i Frontex, agenia UE responsabil pentru dezvoltarea i
aplicarea noului concept de gestionare integrat a frontierelor285. Obiectivele sale
generale sunt:
reducerea numrului de imigrani ilegali care intr n UE nedetectai;
reducerea numrului de decese n rndul imigranilor ilegali prin salvarea mai
multor viei pe mare;

284 Regulamentul (UE) nr.1052/2013 al Parlamentului European i al Consiliului din 22octombrie2013 de


instituire a Sistemului european de supraveghere a frontierelor (Eurosur), MO2013L295.
285 Regulamentul (UE) nr.1168/2011 al Parlamentului European i al Consiliului din 25octombrie2011 de
modificare a Regulamentului (CE) nr.2007/2004 al Consiliului de instituire a Ageniei Europene pentru
Gestionarea Cooperrii Operative la Frontierele Externe ale Statelor Membre ale Uniunii Europene,
MO2011L394 (Regulamentul Frontex).

170

Protecia datelor ncontextul poliiei icercetrii penale

sporirea securitii interne a UE n ansamblu prin contribuia la prevenirea criminalitii transfrontaliere286.


Acest sistem este operaional din 2decembrie2013 n toate statele membre cu
frontiere externe, iar din data de 1decembrie2014 va deveni operaional i n celelalte state. Regulamentul se va aplica n cazul supravegherii frontierelor externe
terestre, maritime i frontierelor aeriene ale statelor membre.

Sistemul de informaii al vmilor


Un alt important sistem comun de informaii nfiinat la nivelul UE este Sistemul de
informaii al vmilor (CIS)287. n cadrul instituiri unei piee interne, toate controalele i
formalitile legate de mrfurile care circul pe teritoriul UE au fost eliminate, ceea ce
a crescut riscul de fraud. Acest risc a fost contracarat prin intensificarea cooperrii
ntre administraiile vamale din statele membre. Scopul CIS este acela de a asista
statele membre n prevenirea, anchetarea i urmrirea penal a nclcrilor grave ale
legislaiei vamale i agricole naionale i europene.
Informaiile coninute n CIS cuprind date cu caracter personal privind mrfuri, mijloace de transport, ntreprinderi, persoane, bunuri i mijloace bneti reinute, confiscate sau puse sub sechestru. Aceste informaii pot fi utilizate exclusiv n scopul
observrii, raportrii, efecturii anumitor controale specifice ori n scopul analizelor
strategice sau operaionale cu privire la persoanele suspectate de nclcarea dispoziiilor vamale.
CIS poate fi accesat de autoritile naionale vamale, fiscale, agricole, din domeniul
sntii publice, precum i de autoritile poliieneti, de Europol i de Eurojust.

286 A se vedea, de asemenea: Comisia European (2008), Comunicarea Comisiei ctre Parlamentul
European, Consiliu, Comitetul Economic i Social European i Comitetul Regiunilor: Analiznd crearea
unui sistem european de supraveghere a frontierelor (Eurosur), COM(2008)68final, Bruxelles,
13februarie2008, Comisia European (2011), Evaluarea impactului care nsoete propunerea
de regulament al Parlamentului European i al Consiliului de instituire a Sistemului european de
supraveghere a frontierelor (Eurosur), document de lucru al serviciilor Comisiei, SEC (2011)1536 final,
Bruxelles, 12decembrie2011, p.18.
287 Consiliul Uniunii Europene (1995), Actul Consiliului din 26iulie1995 de elaborare a Conveniei
privind utilizarea tehnologiei informaiei n domeniul vamal, MO1995C316, modificat prin Consiliul
Uniunii Europene (2009), Regulamentul nr.515/97 privind asistena reciproc ntre autoritile
administrative ale statelor membre i cooperarea dintre acestea i Comisie n vederea asigurrii aplicrii
corespunztoare a legislaiei din domeniile vamal i agricol, Decizia2009/917/JAI a Consiliului din
30noiembrie2009 privind utilizarea tehnologiei informaiei n domeniul vamal, 2009L323
(Decizia CIS).

171

Manual de legislaie european privind proteciadatelor

Prelucrarea datelor cu caracter personal trebuie s respecte normele specifice prevzute de Regulamentul nr. 515/97 i de Convenia CIS288 i dispoziiile Directivei privind protecia datelor, ale Regulamentului privind protecia datelor de ctre instituiile UE, ale Conveniei108 i ale Recomandrii privind datele deinute de poliie. AEPD
este responsabil pentru supravegherea conformitii CIS cu dispoziiile Regulamentului (CE)nr. 45/2001 i va convoca o intlnire cel puin o dat pe an cu toate autoritile de supraveghere competente pentru supravegherea aspectelor referitoare la
CIS.

288 Ibidem.

172


Alte legislaii europene
specifice privind protecia
datelor
UE

Directiva privind protecia datelor


Directiva privind protecia vieii private n
sectorul comunicaiilor electronice
Directiva privind protecia datelor, articolul 8
alineatul(2) litera (b)

Aspecte vizate
Comunicaii
electronice
Relaii de munc

Directiva privind protecia datelor, articolul 8


alineatul(3)

Date medicale

Directiva privind studiile clinice


Directiva privind protecia datelor, articolul6
alineatul (1) literele (b) i (e), articolul13
alineatul (2)

Studii clinice
Statistici

Regulamentul (CE) nr.223/2009 privind


statisticile europene
CJUE, C-524/06, Huber/Bundesrepublik
Deutschland, 16decembrie2008

CoE
Convenia 108
Recomandarea privind
serviciile de comunicaii
Convenia108
Recomandarea privind
relaiile de munc
CEDO, Copland/RegatulUnit,
nr.62617/00, 3aprilie2007
Convenia108
Recomandarea privind
datele medicale
CEDO, Z./Finlanda,
nr.22009/93,
25februarie1997

Statistici oficiale

Convenia108
Recomandarea privind
datele statistice
Convenia108
Recomandarea privind
datele statistice

173

Manual de legislaie european privind proteciadatelor

UE
Directiva 2004/39/CE privind pieele
instrumentelor financiare

Aspecte vizate
Date financiare

Regulamentul (UE) nr.648/2012 privind


instrumentele financiare derivate
extrabursiere, contraprile centrale i
registrele centrale de tranzacii
Regulamentul (CE) nr.1060/2009 privind
ageniile de rating de credit

CoE
Convenia108
Recomandarea 90(19)
utilizat pentru pli i alte
operaiuni conexe
CEDO, Michaud/
Frana, nr.12323/11,
6decembrie2012

Directiva 2007/64/CE privind serviciile de


plat n cadrul pieei interne

n mai multe cazuri, au fost adoptate instrumente juridice speciale la nivel european,
care pun n aplicare normele generale ale Conveniei108 sau ale Directivei privind
protecia datelor n detaliu, n funcie de situaii specifice.

8.1. Comunicaii electronice


Puncte-cheie

Norme specifice privind protecia datelor n domeniul telecomunicaiilor, cu referire n


special la serviciile de telefonie, sunt cuprinse n Recomandarea CoE din1995.

Prelucrarea datelor cu caracter personal n legtur cu furnizarea de servicii de comunicaii la nivelul UE este reglementat n Directiva privind protecia vieii private n sectorul comunicaiilor electronice.

Confidenialitatea comunicaiilor electronice se refer nu doar la coninutul unei comunicri, ci i la datele de trafic, cum ar fi informaii cu privire la persoanele ntre care are
loc comunicarea, momentul i durata comunicrii i datele de localizare, cum ar fi locul
de unde au fost comunicate datele.

Reelele de comunicaii prezint potenial sporit de interferen nejustificat cu sfera


personal a utilizatorilor, deoarece acestea ofer posibiliti tehnice suplimentare de
ascultare i examinare a comunicaiilor efectuate n astfel de reele. Prin urmare, au
fost considerate necesare reglementri speciale privind protecia datelor pentru a
trata riscurile speciale la care sunt supui utilizatorii de servicii de comunicaii.

174

Alte legislaii europene specifice privind protecia datelor

n anul1995, CoE a emis o Recomandare privind protecia datelor n domeniul telecomunicaiilor, cu referire special la domeniul serviciilor de telefonie289. n conformitate cu aceast recomandare, scopurile legate de colectarea i prelucrarea datelor
cu caracter personal n contextul telecomunicaiilor ar trebui s se limiteze la: conectarea unui utilizator la reea, punerea la dispoziie a serviciului specific de telecomunicaii, facturare, verificare, asigurarea funcionrii tehnice optime i dezvoltarea
reelei i a serviciului.
O atenie special a fost acordat, de asemenea, utilizrii reelelor de comunicaii
pentru trimiterea de mesaje n scop de marketing direct. n general, mesajele de
marketing direct nu pot fi direcionate ctre niciun abonat care a renunat n mod
expres la primirea de mesaje publicitare. Dispozitivele de apelare automat pentru
transmiterea de mesaje publicitare pre-nregistrate pot fi utilizate numai n cazul n
care un abonat i-a dat consimmntul n mod expres. Legislaia naional prevede
norme detaliate n acest domeniu.
n ceea ce privete cadrul juridic al UE, dup o prim ncercare n anul1997, Directiva
privind protecia vieii private n sectorul comunicaiilor electronice (Directiva asupra
confidenialitii electronice) a fost adoptat n anul2002 i modificat n anul2009,
n scopul completrii i particularizrii dispoziiilor Directivei privind protecia datelor
pentru sectorul telecomunicaiilor290. Aplicarea Directivei privind protecia vieii private n sectorul comunicaiilor electronice se limiteaz la serviciile de comunicaii n
reelele electronice publice.
Directiva asupra confidenialitii electronice distinge trei categorii principale de date
generate n cursul unei comunicri:
datele care constituie coninutul mesajelor trimise n timpul comunicrii; aceste
date sunt strict confideniale;
289 CoE, Comitetul de Minitri (1995), Recomandarea Rec (95)4 ctre statele membre privind protecia
datelor cu caracter personal n domeniul serviciilor de telecomunicaii, cu referire special la serviciile de
telefonie, 7februarie1995.
290 Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12iulie2002 privind prelucrarea
datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice, MO2002L201
(Directiva asupra confidenialitii i comunicaiilor electronice), modificat prin Directiva2009/136/CE
a Parlamentului European i a Consiliului din 25noiembrie2009 de modificare a Directivei2002/22/CE
privind serviciul universal i drepturile utilizatorilor cu privire la reelele i serviciile de comunicaii
electronice, a Directivei2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii
n sectorul comunicaiilor publice i a Regulamentului (CE) nr.2006/2004 privind cooperarea dintre
autoritile naionale nsrcinate s asigure aplicarea legislaiei n materie de protecie a consumatorului,
MO2009L337.

175

Manual de legislaie european privind proteciadatelor

datele necesare pentru stabilirea i meninerea comunicrii, aa-numitele date


de trafic, cum ar fi informaiile despre participanii la comunicare, ora i durata
comunicrii;
n datele de trafic sunt incluse date referitoare n mod specific la locaia dispozitivului de comunicaii, aa-numite date de localizare; aceste date sunt n acelai
timp date despre locaia utilizatorilor dispozitivelor de comunicaii i, n special,
despre utilizatorii dispozitivelor de comunicaii mobile.
Datele de trafic pot fi utilizate de ctre furnizorul de servicii exclusiv n scopul facturrii i furnizrii propriu-zise a serviciului. Cu toate acestea, n baza acordului persoanei vizate, aceste date pot fi dezvluite altor operatori care furnizeaz servicii cu
valoare adugat, cum ar fi furnizarea de informaii cu privire la locaia utilizatorului,
cu privire la urmtoarea staie de metrou sau farmacie sau prognoza meteo pentru
locaia respectiv.
Alte forme de acces la date referitoare la comunicaiile n reelele electronice, cum
ar fi accesul n scopul anchetrii infraciunilor, trebuie s ndeplineasc, n conformitate cu articolul15 din Directiva asupra confidenialitii electronice, cerinele de
interferen justificat n dreptul la protecia datelor, astfel cum sunt prevzute n
articolul8 alineatul(2) din Convenia european a drepturilor omului i confirmate n
articolele8 i52 din Cart.
Modificrile aduse n anul2009 Directivei asupra confidenialitii electronice291 au
introdus urmtoarele:
Restriciile privind trimiterea de e-mailuri n scopuri de marketing direct au fost
extinse la servicii de mesaje scurte, servicii de mesagerie multimedia i alte
tipuri de aplicaii similare; e-mailurile de marketing sunt interzise dac nu s-a
obinut consimmntul prealabil. n lipsa unui astfel de consimmnt, doar clienilor anteriori li se pot trimite e-mailuri de marketing, n cazul n care i-au pus
la dispoziie adresa de e-mail i dac nu au obiecii.

291 Directiva 2009/136/CE a Parlamentului European i a Consiliului din 25noiembrie2009 de modificare a


Directivei2002/22/CE privind serviciul universal i drepturile utilizatorilor cu privire la reelele i serviciile
de comunicaii electronice, a Directivei2002/58/CE privind prelucrarea datelor personale i protejarea
confidenialitii n sectorul comunicaiilor publice i a Regulamentului (CE) nr.2006/2004 privind
cooperarea dintre autoritile naionale nsrcinate s asigure aplicarea legislaiei n materie de protecie
a consumatorului, MO2009L337.

176

Alte legislaii europene specifice privind protecia datelor

Statele membre au obligaia de a asigura ci de atac legale pentru nclcrile


interdiciei referitoare la comunicrile nesolicitate292.
Instalarea de module cookies, software care monitorizeaz i nregistreaz aciunile
unui utilizator de computer, nu mai este permis fr acordul utilizatorului computerului. Legislaia naional trebuie s reglementeze mai detaliat modul n care acordul
trebuie exprimat i obinut pentru a asigura un nivel adecvat de protecie293.
n cazul n care are loc o nclcare a securitii datelor, ca urmare a accesului neautorizat, pierderii sau distrugerii datelor, autoritatea de supraveghere competent trebuie s fie informat imediat. Abonaii trebuie informai n cazul n care un potenial
prejudiciu adus acestora este consecina unei nclcri a securitii datelor294.
Directiva privind pstrarea datelor295 (declarat invalid n data de 8aprilie2014)
obliga furnizorii de servicii de comunicaii s pstreze datele de trafic disponibile, n
special n scopul combaterii criminalitii grave, pentru o perioad de cel puin ase,
dar nu mai mult de 24de luni, indiferent dac furnizorul mai avea sau nu nevoie de
datele respective n scopuri de facturare sau de furnizare propriu-zis a serviciului.
Statele membre ale UE desemneaz autoriti publice independente, responsabile
pentru monitorizarea securitii datelor pstrate.
Pstrarea datelor de telecomunicaii interfereaz n mod evident cu dreptul la protecia datelor296. Caracterul justificat al acestei interferene a fost contestat n cadrul
mai multor proceduri judiciare din statele membre ale UE297.
292 A se vedea Directiva modificat, articolul13.
293 A se vedea Ibidem, articolul5; a se vedea, de asemenea, Grupul de lucru Articolul29 (2012),
Avizul04/201 2 privind exceptarea de la exprimarea consimmntului cu privire la modulele cookies,
WP194, Bruxelles, 7iunie2012.
294 A se vedea, de asemenea, Grupul de lucru Articolul29 (2011), Document de lucru 01/2011 privind
cadrul european actual referitor la nclcrile securitii datelor cu caracter personal i recomandri
pentru evoluiile strategice viitoare, WP184, Bruxelles, 5aprilie2011.
295 Directiva2006/24/CE a Parlamentului European i a Consiliului din 15martie2006 privind pstrarea
datelor generate sau prelucrate n legtur cu furnizarea serviciilor de comunicaii electronice accesibile
publicului sau de reele de comunicaii publice i de modificare a Directivei2002/58/CE, MO2006L105.
296 AEPD (2011), Avizul din 31mai2011 privind Raportul de evaluare al Comisiei ctre Consiliu i
Parlamentul European cu privire la Directiva privind pstrarea datelor (Directiva 2006/24/CE),
31mai2011
297 Germania, Curtea Constituional Federal (Bundesverfassungsgericht), 1BvR256/08, 2martie2010;
Romnia, Curtea Constituional Federal (Curtea Constituional a Romniei), nr.1258,
8octombrie2009; Republica Ceh, Curtea Constituional (stavn soud esk republiky), 94/2011M.O.,
22martie2011.

177

Manual de legislaie european privind proteciadatelor

Exemplu: n cauza Drepturi Digitale Irlanda i Seitlinger i alii298, CJUE a declarata


Directiva privind Pstrarea Datelor invalid. Potrivit Curii, interferena vast i
deosebit de grav a Directivei cu drepturile fundamentale n cauz nu se circumscrie suficient pentru a se asigura c interferena este de fapt limitat la
ceea ce este strict necesar.
O problem crucial n contextul comunicaiilor electronice este interferena autoritilor publice. Mijloacele de supraveghere sau interceptare a comunicaiilor, cum ar
fi dispozitivele de ascultare sau de nregistrare, sunt permise numai n cazul n care
acest lucru este prevzut prin lege i constituie o msur necesar ntr-o societate
democratic, n interesul: protejrii securitii statului, siguranei publice, intereselor
monetare ale statului sau suprimrii infraciunilor penale ori al proteciei persoanei
vizate sau a drepturilor i libertilor altora.
Exemplu: n cauza Malone/RegatulUnit299, reclamantul a fost acuzat de o serie de
infraciuni asociate gestionrii necinstite a unor bunuri furate. n timpul procesului, a
reieit c s-a interceptat o conversaie telefonic a reclamantului n baza unui mandat emis de Secretarul de Stat al Departamentului de Interne. Chiar dac modul n
care comunicarea reclamantului a fost interceptat a fost legal conform legislaiei
naionale, CEDO a constatat c nu exist norme juridice privind domeniul de aplicare
i modul de exercitare a puterii de decizie de ctre autoritile publice n domeniul
respectiv i c, prin urmare, atingerea rezultat din existena practicii n cauz nu a
fost n conformitate cu legea. Curtea s-a pronunat asupra nclcrii articolului 8 din
Convenia european a drepturilor omului.

8.2. Date privind angajarea


Puncte-cheie

Norme specifice privind protecia datelor n domeniul relaiilor de munc sunt incluse n
Recomandarea CoE referitoare la datele privind angajarea.

n Directiva privind protecia datelor, relaiile de munc sunt tratate n mod specific
numai n contextul prelucrrii datelor sensibile.

298 Hotrrea CJUE din 8 aprilie 2014, n cauzele comune Drepturile Digitale Irlanda i Seitlinger i ceilali,
C-293/12 i C-594/12, punctul65.
299 Hotrrea CEDO din 2 august 1984n cauza Malone/RegatulUnit, nr.8691/79.

178

Alte legislaii europene specifice privind protecia datelor

Valabilitatea consimmntului, care trebuie s fi fost liber exprimat, ca temei juridic


pentru prelucrarea datelor despre angajai poate fi incert, avnd n vedere dezechilibrul economic ntre angajator i angajai. Circumstanele exprimrii consimmntului
trebuie s fie evaluate cu atenie.

n UE nu exist niciun cadru legal specific de reglementare a prelucrrii datelor n


contextul angajrii. n Directiva privind protecia datelor, relaiile de munc sunt
menionate n mod specific numai n articolul8 alineatul (2) din directiv, care
vizeaz prelucrarea datelor sensibile. n ceea ce privete Consiliul Europei, Recomandarea referitoare la datele privind angajarea a fost emis n anul1989 i este n curs
de actualizare300.
Un studiu privind cele mai curente probleme legate de protecia datelor specifice
contextului angajrii este disponibil ntr-un document de lucru al Grupului de lucru
Articolul 29301. Grupul de lucru a analizat semnificaia consimmntului ca temei
juridic pentru prelucrarea datelor privind angajarea302. Grupul de lucru a constatat c
dezechilibrul economic ntre angajatorul care solicit acordul i angajatul care trebuie
s i exprime acordul va ridica adesea ndoieli cu privire la msura n care acordul a
fost sau nu liber exprimat. Circumstanele n care se solicit consimmntul trebuie,
prin urmare, luate atent n considerare n momentul evalurii valabilitii consimmntului n contextul angajrii.
O problem curent legat de protecia datelor n mediul de lucru tipic actual este
msura legitim de monitorizare a comunicaiilor electronice ale angajailor la locul
de munc. Se pretinde adesea c aceast problem poate fi rezolvat uor prin
interzicerea utilizrii n scopuri personale a dispozitivelor de comunicaii la locul de
munc. Cu toate acestea, o astfel de interdicie general poate fi disproporionat
i nerealist. Hotrrea CEDO de mai jos prezint o importan deosebit n acest
context:

300 Consiliul Europei, Comitetul de Minitri (1989), Recomandarea Rec(89)2 ctre statele membre privind
protecia datelor cu caracter personal utilizate n scopuri de angajare, 18ianuarie1989. A se vedea n
continuare Comitetul consultativ pentru Convenia108, Studiu asupra Recomandrii nr.R(89)2 privind
protecia datelor cu caracter personal utilizate n scopuri de angajare i privind propuneri de revizuire a
Recomandrii susmenionate, 9septembrie2011.
301 Grupul de lucru Articolul 29 (2001), Avizul 8/2001 privind prelucrarea datelor cu caracter personal n
contextul angajrii, WP48, Bruxelles, 13septembrie2001.
302 Grupul de lucru Articolul 29 (2005), Document de lucru privind o interpretare comun a articolului 26
alineatul (1) din Directiva 95/46/CE din 24octombrie1995, WP114, Bruxelles, 25noiembrie2005.

179

Manual de legislaie european privind proteciadatelor

Exemplu: n cauza Copland/RegatulUnit303, utilizarea telefonului, a e-mailului i


a internetului de ctre angajata unui colegiu a fost monitorizat n secret pentru
a stabili dac aceasta utilizeaz excesiv dispozitivele colegiului n scopuri personale. CEDO a constatat c apelurile telefonice efectuate de la locul de munc erau
acoperite de noiunile de via privat i coresponden. Prin urmare, apelurile i
e-mailurile respective trimise de la locul de munc, precum i informaiile provenite din monitorizarea utilizrii internetului n scopuri personale erau protejate de
articolul8 din Convenia european a drepturilor omului. n cazul reclamantei, nu
exist dispoziii de reglementare a situaiilor n care angajatorii pot monitoriza utilizarea de ctre angajai a telefonului, a e-mailului i a internetului. Prin urmare,
atingerea adus drepturilor nu este n conformitate cu legea. Curtea s-a pronunat
asupra nclcrii articolului8 din Convenia european a drepturilor omului.
n conformitate cu Recomandarea Consiliului Europei referitoare la datele privind
angajarea, datele cu caracter personal colectate n scopul angajrii ar trebui obinute
de la fiecare angajat n mod direct.
Datele cu caracter personal colectate n scopul recrutrii trebuie s se limiteze la
informaiile necesare pentru evaluarea eligibilitii candidailor i a potenialului profesional al acestora.
De asemenea, recomandarea menioneaz n mod specific date critice cu privire la performana sau potenialul fiecrui angajat. Datele critice trebuie s se bazeze pe evaluri
corecte i oneste, iar modul n care sunt formulate nu trebuie s fie ofensator. Acest lucru
se impune prin principiile de prelucrare corect a datelor i de acuratee a datelor.
Un aspect specific al legislaiei privind protecia datelor n relaia angajator-angajat
este rolul reprezentanilor angajailor. Aceti reprezentani pot primi datele cu caracter personal ale angajailor numai n msura n care este necesar pentru a le permite
s reprezinte interesele angajailor.
Datele personale sensibile colectate n scopul angajrii pot fi prelucrate numai
n cazuri speciale i n conformitate cu garaniile prevzute de legislaia naional.
Angajatorii pot adresa ntrebri angajailor sau solicitanilor de locuri de munc cu
privire la starea de sntate sau i pot supune unei examen medical numai dac
este necesar pentru: determinarea eligibilitii acestora pentru angajare; ndeplinirea cerinelor de medicin preventiv; sau a permite acordarea de prestaii sociale.
303 Hotrrea CEDO din 3aprilie2007 n cauza Copland/RegatulUnit, nr.62617/00.

180

Alte legislaii europene specifice privind protecia datelor

Datele privind starea de sntate nu pot fi colectate din alte surse dect de la angajatul n cauz, cu excepia cazului n care s-a obinut consimmntul expres i informat sau atunci cnd legislaia naional prevede acest lucru.
n conformitate cu Recomandarea privind angajarea, angajaii ar trebui informai cu
privire la scopul prelucrrii datelor lor cu caracter personal, tipul de date cu caracter
personal stocate, entitile ctre care datele sunt comunicate n mod periodic, precum i scopul i temeiul juridic al acestor comunicri. Angajatorii trebuie s i informeze, de asemenea, angajaii, n prealabil cu privire la introducerea sau adaptarea
sistemelor automatizate de prelucrare a datelor cu caracter personal ale angajailor
sau de monitorizare a deplasrilor sau productivitii angajailor.
Angajaii trebuie s aib drept de acces la datele lor privind angajarea, precum i
drept de rectificare sau tergere. n cazul prelucrrii datelor coninute n sentine,
angajaii trebuie s aib, n plus, dreptul de a contesta hotrrea. Aceste drepturi pot
fi ns limitate temporar n scopul efecturii de anchete interne. n cazul n care unui
angajat i este refuzat dreptul de acces, rectificare sau tergere a datelor sale personale privind angajare, legislaia naional trebuie s prevad proceduri adecvate
pentru contestarea refuzului respectiv.

8.3. Date medicale


Puncte-cheie

Datele medicale sunt date sensibile i, prin urmare, beneficiaz de protecie special.

Datele cu caracter personal privind starea de sntate a persoanei vizate sunt calificate drept date sensibile n conformitate cu articolul8 alineatul(1) din Directiva privind
protecia datelor i cu articolul6 din Convenia108. La rndul lor, datele medicale sunt
supuse unui regim de prelucrare a datelor mai strict dect n cazul datelor nesensibile.
Exemplu: n cauza Z./Finlanda304, fostul so al reclamantei, care era infectat
cu HIV, a comis o serie de infraciuni de natur sexual. Acesta a fost ulterior
304 Hotrrea CEDO din 25februarie1997 n cauza Z./Finlanda, nr.22009/93, punctele94 i 112; a
se vedea, de asemenea, Hotrrea CEDO din 27august1997 n cauza M.S./Suedia, nr.20837/92;
Hotrrea CEDO din 10octombrie2006 n cauza L.L./Frana, nr.7508/02; Hotrrea CEDO din
17iulie2008 n cauza I./Finlanda, nr.20511/03; Hotrrea CEDO din 28aprilie2009 n cauza K.H. i alii/
Slovacia, nr.32881/04; Hotrrea CEDO din 2iunie2009 n cauza Szuluk/RegatulUnit, nr.36936/05.

181

Manual de legislaie european privind proteciadatelor

condamnat pentru ucidere din culp, pe motiv c i-a expus cu bun tiin victimele riscului de infectare cu HIV. Instana naional a dispus c hotrrea definitiv i documentele cauzei trebuie s rmn confideniale timp de 10ani, n
ciuda cererilor din partea reclamantei de acordare a unei perioade mai lungi de
confidenialitate. Aceste cereri au fost respinse de ctre Curtea de apel i hotrrea adoptat de curte meniona att numele i prenumele reclamantei, ct i
ale fostului so. CEDO a constatat c atingerea adus dreptului nu se consider o
msur necesar ntr-o societate democratic, deoarece protecia datelor medicale are o importan fundamental pentru exercitarea dreptului de respectare
a vieii private i de familie, n special, n cazul informaiilor despre infeciile cu
HIV, avnd n vedere stigmatizarea legat de aceast afeciune n multe societi. Prin urmare, Curtea a concluzionat c acordarea accesului la datele de identificare i privind starea de sntate a reclamantului, astfel cum se descrie n
hotrrea Curii de Apel, dup o perioad de numai 10 ani de la adoptarea hotrrii constituie o nclcare a articolului8 dinConvenia european a drepturilor
omului.
Articolul8 alineatul(3) din Directiva privind protecia datelor permite prelucrarea
datelor medicale n cazul n care acest lucru este necesar n scopuri legate de medicina preventiv, de diagnosticare, de administrare a unor ngrijirii sau tratamente ori
de gestionare a serviciilor de sntate. Cu toate acestea, prelucrarea este permis
numai n cazul n care aceasta este efectuat de un cadru medical care se supune
secretului profesional sau de ctre o alt persoan care se spune unei obligaii
echivalente305.
Recomandarea CoE din 1997 privind datele medicale aplic mai n amnunt principiile Conveniei108 legate de prelucrarea datelor n domeniul medical306. Normele
propuse sunt n conformitate cu cele ale Directivei privind protecia datelor n ceea
ce privete scopurile legitime ale prelucrrii datelor medicale, obligaiile necesare
privind secretul profesional n cazul persoanelor care utilizeaz date medicale, precum i drepturile persoanelor vizate privind transparena i accesul, rectificarea i
tergerea datelor. n plus, datele medicale care sunt prelucrate n mod legal de ctre
cadrele medicale nu pot fi transferate ctre autoritile responsabile de aplicarea
legii, cu excepia cazului n care sunt asigurate garanii adecvate pentru a mpiedica

305 A se vedea, de asemenea, Hotrrea CEDO din 25noiembrie2008 n cauza Biriuk/Lituania,


nr.23373/03.
306 CE, Comitetul de Minitri (1997), Recomandarea Rec(97)5 ctre statele membre privind protecia datelor
medicale, 13februarie1997.

182

Alte legislaii europene specifice privind protecia datelor

dezvluirea incompatibil cu respectarea [...] vieii private garantate n temeiul articolului8 din Convenia european a drepturilor omului307.
n plus, Recomandarea privind datele medicale conine dispoziii speciale cu privire
la datele medicale ale copiilor nenscui i ale persoanelor aflate n incapacitate i cu
privire la prelucrarea datelor genetice. Activitatea de cercetare tiinific este recunoscut n mod explicit ca justificare a conservrii datelor pe o perioad mai lung
dect este necesar, cu toate c acest lucru va necesita, de obicei, anonimizarea acestora. Articolul12 din Recomandarea privind datele medicale propune reglementri
detaliate pentru situaiile n care cercettorii au nevoie de date cu caracter personal,
iar datele anonimizate sunt insuficiente.
Pseudonimizarea poate fi un mijloc adecvat pentru a rspunde nevoilor tiinifice i,
n acelai timp, protejeaz interesele pacienilor n cauz. Conceptul de pseudonimizare n contextul proteciei datelor este explicat n detaliu la seciunea2.1.3.
S-au purtat discuii intense la nivel naional i european cu privire la iniiativele de
stocare a datelor privind tratamentul medical al unui pacient ntr-un dosar electronic de sntate308. Un aspect deosebit legat de sistemele de dosare electronice de
sntate la nivel naional este disponibilitatea acestora n strintate: un subiect de
interes deosebit n cadrul UE n contextul asistenei medicale transfrontaliere309.
Un alt domeniu n curs de dezbatere cu privire la noile dispoziii este acela al studiilor clinice, cu alte cuvinte, testarea de noi medicamente pe pacieni ntr-un mediu
de cercetare documentat; din nou, acest subiect are implicaii considerabile cu privire la protecia datelor. Studiile clinice referitoare la produsele medicamentoase de
uz uman sunt reglementate prin Directiva 2001/20/CE a Parlamentului European i
a Consiliului din 4 aprilie 2001 de apropiere a actelor cu putere de lege i a actelor administrative ale statelor membre privind aplicarea bunelor practici clinice n
cazul efecturii de studii clinice pentru evaluarea produselor medicamentoase de uz
uman (Directiva privind studiile clinice)310. n luna decembrie a anului2012, Comisia
307 Hotrrea CEDO din 6iunie2013 n cauza Avilkina i alii/Rusia, nr.1585/09, punctul53 (nefinal).
308 Grupul de lucru Articolul 29 (2007), Document de lucru privind prelucrarea datelor medicale cu caracter
personal din dosarul electronic de sntate (DES), WP131, Bruxelles, 15februarie2007.
309 Directiva 2011/24/UE a Parlamentului European i a Consiliului din 9martie2011 privind aplicarea
drepturilor pacienilor n cadrul asistenei medicale transfrontaliere, MO2011L88.
310 Directiva 2001/20/CE a Parlamentului European i a Consiliului din 4aprilie2001 de apropiere a actelor
cu putere de lege i a actelor administrative ale statelor membre privind aplicarea bunelor practici
clinice n cazul efecturii de studii clinice pentru evaluarea produselor medicamentoase de uz uman,
MO2001L121.

183

Manual de legislaie european privind proteciadatelor

European a propus un regulament de nlocuire a Directivei privind studiile clinice cu


scopul de a armoniza i eficientiza procedurile de investigaie311.
Exist multe alte iniiative legislative i de alt natur n curs la nivelul UE n ceea ce
privete datele cu caracter personal din sectorul sntii312.

8.4. Prelucrarea datelor n scopuri statistice


Puncte-cheie

Datele colectate n scopuri statistice nu pot fi utilizate n niciun alt scop.

Datele colectate n mod legitim n orice scop pot fi utilizate ulterior n scopuri statistice,
cu condiia ca legislaia naional s prevad garanii corespunztoare, care trebuie
ndeplinite de ctre utilizatori. n acest scop, anonimizarea sau pseudonimizarea ar trebui avute n vedere nainte de transmiterea ctre teri.

n Directiva privind protecia datelor, prelucrarea datelor n scopuri statistice este


menionat n contextul posibilelor exceptri de la principiile de protecie a datelor. La articolul6 alineatul(1) litera(b) din directiv, se poate renuna la principiul
restrngerii scopului n temeiul legislaiei naionale n favoarea utilizrii ulterioare a
datelor n scopuri statistice, dei legislaia naional trebuie s stabileasc, de asemenea, toate garaniile necesare. Articolul13 alineatul (2) din directiv permite
restrngeri ale drepturilor de acces prin legislaia naional n cazul n care datele
sunt prelucrate exclusiv n scopuri statistice; din nou, legislaia naional trebuie s
prevad garanii corespunztoare. n acest context, Directiva privind protecia datelor stabilete o cerin specific conform creia niciun fel de date obinute sau generate n cadrul cercetrii statistice nu pot fi utilizate pentru adoptarea de decizii concrete referitoare la persoanele vizate.
Dei datele colectate n mod legal de un operator indiferent de scop pot fi reutilizate
de operatorul respectiv n scopuri statistice proprii aa-numitele statistici secundare datele trebuie s fie anonimizate sau pseudonimizate, n funcie de context,
311 Comisia European (2012), Propunere de regulament al Parlamentului European i al Consiliului
privind trialurile clinice cu medicamente de uz uman i de abrogare a Directivei 2001/20/CE,
COM(2012)369final, Bruxelles, 17iulie2012.
312 AEPD (2013), Avizul Autoritii Europene pentru Protecia Datelor referitor la Comunicarea Comisiei
privind Planul de aciune privind e-sntatea 2012-2020 Asisten medical inovatoare pentru secolul
XXI, Bruxelles, 27martie2013.

184

Alte legislaii europene specifice privind protecia datelor

nainte de transmiterea acestora ctre un ter n scopuri statistice, cu excepia cazului n care persoana vizat i-a exprimat acordul n acest sens sau dac acest lucru
este prevzut n mod expres prin legislaia naional. Acest lucru decurge din cerina
privind garaniile corespunztoare prevzut la articolul6alineatul(1)litera (b) din
Directiva privind protecia datelor.
Cele mai importante cazuri de utilizare a datelor n scopuri statistice sunt statisticile
oficiale realizate de birourile de statistic naionale i europene n temeiul legislaiei
naionale i europene privind statisticile oficiale. n conformitate cu aceste legislaii,
cetenii i ntreprinderile au, de regul, obligaia de a dezvlui date autoritilor de
statistic. Funcionarii din cadrul birourilor de statistic se supun unor obligaii speciale privind secretul profesional, care sunt atent respectate, deoarece sunt eseniale
pentru asigurarea unui nivel ridicat de ncredere al cetenilor, necesar n cazul n
care datele sunt puse la dispoziia autoritilor de statistic.
Regulamentul (CE) nr.223/2009 privind statisticele europene (Regulamentul privind
statisticele europene) conine norme eseniale pentru protejarea datelor n contextul
statisticilor oficiale i, prin urmare, poate fi, de asemenea, considerat relevant pentru
dispoziiile privind statisticile oficiale la nivel naional313. Regulamentul susine principiul conform cruia operaiunile statistice oficiale necesit un temei juridic suficient
de explicit314.
Exemplu: n cauza Huber/Bundesrepublik Deutschland315, CJUE a constatat c,
att colectarea, ct i stocarea datelor cu caracter personal de ctre o autoritate
n scopuri statistice nu reprezint, n sine, un motiv suficient pentru ca prelucrarea s fie considerat legal. Legea care prevede prelucrarea datelor cu caracter
personal, trebuia, de asemenea, s ndeplineasc cerina de necesitate, ceea ce,
n spe, nu era valabil.
313 Regulamentul (CE) Nr.223/2009 al Parlamentului European i al Consiliului din 11martie2009 privind
statisticile europene i de abrogare a Regulamentului (CE, Euratom) nr.1101/2008 al Parlamentului
European i al Consiliului privind transmiterea de date statistice confideniale Biroului Statistic al
Comunitilor Europene, a Regulamentului (CE) nr.322/97 al Consiliului privind statisticile comunitare i
a Deciziei89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale
Comunitilor Europene, MO2009L87.
314 Acest principiu urmeaz a fi detaliat n Codul de practic al Eurostat, care, n conformitate cu articolul11
din Regulamentul privind statisticile europene, prevede orientri etice cu privire la modul de efectuare
a statisticilor oficiale, inclusiv utilizarea prudent a datelor cu caracter personal, disponibil la: http://epp.
eurostat.ec.europa.eu/portal/page/portal/about_eurostat/introduction.
315 Hotrrea CJUE din 16decembrie2008 n cauza Huber/Bundesrepublik Deutschland, C-524/06; a se
vedea, n special, punctul68.

185

Manual de legislaie european privind proteciadatelor

n contextul CoE, Recomandarea privind datele statistice, emis n anul1997, face


referire la performana statisticilor n sectorul public i privat316. Aceast recomandare a introdus principii care coincid cu normele principale ale Directivei privind protecia datelor descris mai sus. Sunt furnizate norme mai detaliate cu privire la urmtoarele aspecte.
ntruct datele colectate de un operator n scopuri statistice nu pot fi utilizate n
alte scopuri, datele care au fost colectate pentru scopuri altele dect statistice vor
fi disponibile pentru a fi utilizate ulterior n scopuri statistice. Recomandarea privind
datele statistice permite i comunicarea de date ctre teri dac aceasta este exclusiv n scopuri statistice. n astfel de cazuri, prile trebuie s convin cu privire la i s
nregistreze gradul de utilizare ulterioar legitim n scopuri statistice. ntruct acest
lucru nu poate substitui consimmntul persoanei vizate, se presupune c legislaia
naional trebuie s prevad garanii suplimentare corespunztoare pentru a reduce
la minimum riscurile de utilizare incorect a datelor cu caracter personal, cum ar fi
obligaia de anonimizare sau pseudonimizare a datelor nainte de transmitere.
Persoanele care activeaz n domeniul cercetrilor statistice trebuie s se supun
unor obligaii speciale privind secretul profesional tipic pentru statisticile oficiale
n temeiul legislaiei naionale. Acest lucru trebui s se extind, de asemenea, la
intervievatori, n cazul n care acetia sunt angajai n colectarea de date de la persoanele vizate sau de la alte persoane.
n cazul n care un studiu statistic efectuat pe baza datelor cu caracter personal nu
este prevzut de lege, persoanele vizate trebuie s fie de acord cu utilizarea datelor
lor pentru ca studiul s fie legitim sau acestora trebuie s li se acorde cel puin oportunitatea de a se opune. n cazul n care datele cu caracter personal sunt colectate
n scopuri statistice, prin intervievarea persoanelor, aceste persoane trebuie s fie
informate n mod clar dac divulgarea datelor este sau nu obligatorie n conformitate
cu legislaia naional. Datele sensibile nu trebuie colectate n aa fel nct persoana
s poat fi identificat, cu excepia cazului n care acest lucru este permis n mod
expres de legislaia naional.
n cazul n care un studiu statistic nu poate fi efectuat fr date anonime, iar datele
cu caracter personal sunt ntr-adevr necesare, datele colectate n scopul respectiv
trebuie s fie anonimizate ct mai curnd posibil. Rezultatele studiului statistic nu

316 Consiliul Europei, Comitetul de Minitri (1997), Recomandarea Rec(97)18 ctre statele membre privind
protecia datelor personale colectate i prelucrate n scopuri statistice, 30septembrie1997.

186

Alte legislaii europene specifice privind protecia datelor

trebuie, n niciun fel, s permit identificarea persoanei vizate, cu excepia cazului n


care acest lucru, n mod evident, nu prezint niciun risc.
Dup finalizarea studiului statistic, datele cu caracter personal utilizate trebuie terse
sau anonimizate. n acest caz, Recomandarea privind datele statistice propune ca
datele de identificare s fie pstrate separat de alte date cu caracter personal. Acest
lucru nseamn, spre exemplu, c datele trebuie s fie pseudonimizate, iar cheia de
criptare sau lista cu sinonimele de identificare trebuie pstrat separat de datele
pseudonimizate.

8.5. Date financiare


Puncte-cheie

Dei datele financiare nu sunt date sensibile n sensul Conveniei108 sau al Directivei
privind protecia datelor, prelucrarea acestora necesit anumite msuri de protecie n
vederea asigurrii acurateei i securitii datelor.

Sistemele electronice de plat necesit protecie incorporat a datelor, aa-numitul


principiu referitor la viaa privat nc din stadiul dezvoltrii.

n acest domeniu, apar probleme specifice privind protecia datelor, determinate de


necesitatea de a dispune de mecanisme adecvate de autentificare.

Exemplu: n cauza Michaud/Frana317, reclamantul, un avocat francez, a contestat obligaia care i revine n baza legislaiei franceze de a raporta suspiciuni
privind posibilele activiti de splare de bani de ctre clienii si. CEDO a observat c solicitarea avocailor de a raporta autoritilor administrative informaii
cu privire la o alt persoan, care au intrat n posesia acestora prin efectuarea
de schimburi de informaii cu persoana respectiv, constituie o atingere asupra
dreptului avocailor de respectare a corespondenei i a vieii private, n conformitate cu articolul8 din Convenia european a drepturilor omului, ntruct
noiunea respectiv vizeaz activitile cu caracter profesional sau de afaceri.
Cu toate acestea, atingerea adus a fost n conformitate cu legea i a urmrit un
scop legitim, respectiv prevenirea dezordinii i a criminalitii. ntruct avocaii
317 Hotrrea CEDO din 6decembrie2012 n cauza Michaud/Frana, nr.12323/11; a se vedea, de
asemenea, Hotrrea CEDO din 16decembrie1992 n cauza Niemietz/Germania, nr.13710/88,
punctul29 i Hotrrea CEDO din 25iunie1997 n cauza Halford/RegatulUnit, nr.20605/92, punctul42.

187

Manual de legislaie european privind proteciadatelor

se supun obligaiei de a raporta suspiciuni doar n circumstane foarte limitate,


CEDO a constatat c obligaia respectiv este proporional i s-a pronunat asupra nenclcrii articolului8.
Aplicarea cadrului juridic general privind protecia datelor, astfel cum se prevede
n Convenia108, la contextul plilor a fost elaborat de CoE n Recomandarea
Rec(90)19 din1990318. Aceast recomandare clarific domeniul colectrii legale i al
utilizrii datelor n contextul plilor, mai ales prin intermediul cardurilor. Recomandarea propune, de asemenea, legislatorilor naionali reglementri detaliate referitoare
la limitele de comunicare ctre teri a datelor privind plata, la termenele de pstrare
a datelor, la transparen, securitatea datelor i fluxurile transfrontaliere de date i,
n final, la supraveghere i ci de atac. Soluiile propuse corespund cu ceea ce a fost
ulterior furnizat drept cadru general al UE privind protecia datelor n Directiva privind protecia datelor.
O serie de instrumente juridice sunt create pentru reglementarea pieelor instrumentelor financiare i a activitilor instituiilor de credit i a ntreprinderilor de investiii319. Alte instrumente juridice acord sprijin n combaterea utilizrilor abuzive ale
informaiilor privilegiate i manipulrilor pieei320. Cele mai critice probleme n aceste
domenii, care au impact asupra proteciei datelor sunt:
pstrarea nregistrrilor cu privire la tranzaciile financiare;
transferul datelor cu caracter personal ctre ri tere;

318 CoE, Comitetul de Minitri (1990), Recomandarea Nr.R(90)19 privind protecia datelor cu caracter
personal utilizate pentru pli i alte operaiuni conexe, 13septembrie1990.
319 Comisia European (2011), Propunere de directiv a Parlamentului European i a Consiliului privind
pieele instrumentelor financiare, de abrogare a Directivei 2004/39/CE a Parlamentului European i a
Consiliului, COM(2011)656final, Bruxelles, 20octombrie2011; Comisia European (2011), Propunere
de regulament al Parlamentului European i al Consiliului privind pieele instrumentelor financiare i de
modificare a Regulamentului [EMIR] privind instrumentele derivate extrabursiere, contraprile centrale
i registrele de tranzacii, COM(2011)652final, Bruxelles, 20octombrie2011; Comisia European
(2011), Propunere de directiv a Parlamentului European i a Consiliului cu privire la activitatea
instituiilor de credit i supravegherea prudenial a instituiilor de credit i a societilor de investiii i
de modificare a Directivei2002/87/CE a Parlamentului European i a Consiliului privind supravegherea
suplimentar a instituiilor de credit, a ntreprinderilor de asigurare i a societilor de investiii care
aparin unui conglomerat financiar, COM(2011)453final, Bruxelles, 20iulie2011.
320 Comisia European (2011), Propunere de regulament al Parlamentului European i al Consiliului
privind utilizrile abuzive ale informaiilor privilegiate i manipulrile pieei (abuzul de pia),
COM(2011)651final, Bruxelles, 20octombrie2011; Comisia European (2011), Propunere de
directiv a Parlamentului European i a Consiliului privind sanciunile penale pentru utilizrile abuzive ale
informaiilor privilegiate i manipulrile pieei, COM(2011)654final, Bruxelles, 20octombrie2011.

188

Alte legislaii europene specifice privind protecia datelor

nregistrarea convorbirilor telefonice sau a comunicaiilor electronice, inclusiv


capacitatea autoritilor competente de a solicita nregistrri ale convorbirilor
telefonice i ale datelor de trafic;
dezvluirea informaiilor personale, inclusiv publicarea sanciunilor;
competenele de supraveghere i investigare ale autoritilor competente,
inclusiv competena de a efectua inspecii la faa locului i competena de a se
deplasa la incinte private n vederea confiscrii de documente;
mecanismele de raportare a nclcrilor, respectiv, regimurile privind denunarea; i
cooperarea ntre autoritile competente ale statelor membre i Autoritatea
European pentru Valori Mobiliare i Piee(AEVMP).
Exist i alte probleme n aceste domenii, care sunt abordate n mod specific, inclusiv
colectarea de date cu privire la situaia financiar a persoanelor vizate321 sau plile
transfrontaliere prin transferuri bancare, care genereaz, inevitabil, fluxuri de date
cu caracter personal322.

321 Regulamentul (CE) Nr.1060/2009 al Parlamentului European i al Consiliului din 16septembrie2009


privind ageniile de rating de credit, MO2009L302; Comisia European, Propunere de regulament
al Parlamentului European i al Consiliului de modificare a Regulamentului (CE) nr.1060/2009 privind
ageniile de rating de credit, COM(2010)289 final, Bruxelles, 2iunie2010.
322 Directiva 2007/64/CE a Parlamentului European i a Consiliului din 13noiembrie2007 privind serviciile
de plat n cadrul pieei interne, de modificare a Directivelor 97/7/CE, 2002/65/CE, 2005/60/CE i
2006/48/CE i de abrogare a Directivei 97/5/CE, MO2007L319.

189

Lecturi suplimentare
Capitolul 1
Araceli Mangas, M. (ed.) (2008), Carta de los derechos fundamentales de la Unin
Europea, Bilbao, Fundacin BBVA.
Berka, W. (2012), Das Grundrecht auf Datenschutz im Spannungsfeld zwischen
Freiheit und Sicherheit, Viena, Manzsche Verlags- und Universittsbuchhandlung.
EDRi, An introduction to data protection (O introducere n protecia datelor), Bruxelles, disponibil la: www.edri.org/files/paper06_datap.pdf.
Frowein, J. i Peukert, W. (2009), Europische Menschenrechtskonvention, Berlin,
N.P. Engel Verlag.
Grabenwarter, C. i Pabel,K. (2012), Europische Menschenrechtskonvention, Mnchen, C.H. Beck.
Harris, D., OBoyle,M., Warbrick,C. i Bates,E. (2009), Law of the European Convention on Human Rights (Legea privind Convenia european a drepturilor omului),
Oxford, Oxford UniversityPress.
Jarass, H. (2010), Charta der Grundrechte der Europischen Union, Mnchen, C.H.
Beck.
Mayer, J. (2011), Charta der Grundrechte der Europischen Union, Baden-Baden,
Nomos.

191

Manual de legislaie european privind proteciadatelor

Mowbray, A. (2012), Cases, materials, and commentary on the European Convention


on Human Rights (Cazuri, materiale i comentarii cu privire la Convenia european a
drepturilor omului), Oxford, Oxford University Press.
Nowak, M., Januszewski,K. i Hofsttter,T. (2012), All human rights for all Vienna
manual on human rights (Toate drepturile omului pentru toi Manualul de la Viena
cu privire la drepturile omului), Antwerp, intersentia N. V., Neuer Wissenschaftlicher
Verlag.
Picharel, C. i Coutron,L. (2010), Charte des droits fondamentaux de lUnion europenne et convention europenne des droits de lhomme, Bruxelles, Emile Bruylant.
Simitis, S. (1997), Die EU-Datenschutz-Richtlinie Stillstand oder Anreiz?, Neue
Juristische Wochenschrift, Nr.5, pp.281-288.
Warren, S. i Brandeis,L. (1890), The right to privacy (Dreptul la via privat),
Harvard Law Review, Vol.4, Nr.5, pp.193-220, disponibil la: www.english.illinois.
edu/-people-/faculty/debaron/582/582%20readings/right%20to%20privacy.pdf.
White, R. i Ovey,C. (2010), The European Convention on Human Rights (Convenia
european a drepturilor omului), Oxford, Oxford University Press.

Capitolul 2
Biroul comisarului pentru informaii din Regatul Unit (2012), Anonymisation:
managing data protection risk. Code of practice (Anonimizarea: administrarea riscului privind protecia datelor. Cod de practic), disponibil la: www.ico.org.uk/
for_organisations/data_protection/topic_guides/anonymisation.
Carey, P. (2009), Data protection: A practical guide to UK and EU law (Protecia datelor: ghid practic privind legislaia Regatului Unit i a UE), Oxford, Oxford University
Press.
Delgado, L. (2008), Vida privada y proteccin de datos en la Unin Europea, Madrid,
Dykinson S.L.
Desgens-Pasanau,G. (2012), La protection des donnes caractre personnel, Paris,
LexisNexis.

192

Lecturi suplimentare

Di Martino, A. (2005), Datenschutz im europischen Recht, Baden-Baden, Nomos.


Morgan, R. i Boardman,R. (2012), Data protection strategy: Implementing data protection compliance (Strategia privind protecia datelor: punerea n aplicare a respectrii proteciei datelor), Londra, Sweet & Maxwell.
Ohm, P. (2010), Broken promises of privacy: Responding to the surprising failure of
anonymization (Nerespectarea promisiunilor de confidenialitate: reacie la eecul
neprevzut al anonimizrii), UCLA Law Review, Vol.57, Nr.6, pp.1701-1777.
Tinnefeld, M., Buchner,B. i Petri,T. (2012), Einfhrung in das Datenschutzrecht:
Datenschutz und Informationsfreiheit in europischer Sicht, Mnchen, Oldenbourg
Wissenschaftsverlag.

Capitolele 3 - 5
Biroul comisarului pentru informaii din Regatul Unit, Privacy Impact Assessment (Evaluarea impactului asupra vieii private), disponibil la: www.ico.org.uk/
for_organisations/data_protection/topic_guides/privacy_impact_assessment.
Brhann,U. (2012), Richtlinie 95/46/EG zum Schutz natrlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr n: Grabitz,
E., Hilf, M. i Nettesheim, M. (eds.), Das Recht der Europischen Union, BandIV, A.30,
Mnchen, C.H. Beck.
Conde Ortiz,C. (2008), La proteccin de datos personales, Cadiz, Dykinson.
Coudray, L. (2010), La protection des donnes personnelles dans lUnion europenne, Saarbrcken, ditions universitaires europennes.
Dammann, U. i Simitis,S. (1997), EG-Datenschutzrichtlinie, Baden-Baden, Nomos.
FRA (Agenia pentru Drepturi Fundamentale a Uniunii Europene) (2010), Protecia
datelor n Uniunea European: rolul autoritilor naionale pentru protecia datelor
(Consolidarea arhitecturii drepturilor fundamentale n UEII), Luxemburg, Oficiul pentru Publicaii al Uniunii Europene (Oficiul pentru Publicaii).
FRA (2010), Elaborarea indicatorilor pentru protecia, respectarea i promovarea
drepturilor copilului n Uniunea European (Ediie de conferin), Viena, FRA.

193

Manual de legislaie european privind proteciadatelor

FRA (2011), Accesul la justiie n Europa: privire de ansamblu asupra provocrilor i


oportunitilor, Luxemburg, Oficiul de publicaii.
Simitis, S. (2011), Bundesdatenschutzgesetz, Baden-Baden, Nomos.

Capitolul 6
Gutwirth, S., Poullet,Y., De Hert,P., De Terwangne,C. i Nouwt,S. (2009), Reinventing data protection? (Reinventarea proteciei datelor?), Berlin, Springer.
Kuner, C. (2007), European data protection law (Legislaia european privind protecia datelor), Oxford, Oxford University Press.
Kuner, C. (2013), Transborder data flow regulation and data privacy law (Reglementarea fluxului transfrontalier de date i legislaia privind confidenialitatea datelor),
Oxford, Oxford University Press.

Capitolul 7
Drewer, D., Ellermann,J. (2012), Europols data protection framework as an asset in
the fight against cybercrime (Cadrul Europol privind protecia datelor drept instrument important n lupta mpotriva criminalitii informatice), Forumul ERA, Vol.13,
Nr.3, pp.381-395.
Europol (2012), Data Protection at Europol (Protecia datelor la Europol), Luxemburg,
Oficiul de publicaii, disponibil la: www.europol.europa.eu/sites/default/files/publications/europol_dpo_booklet_0.pdf.
Eurojust, Data protection at Eurojust: A robust, effective and tailor-made regime
(Protecia datelor la Eurojust: un regim solid, eficace i adaptat), Haga, Eurojust.
Gutwirth, S., Poullet,Y. i De Hert,P. (2010), Data protection in a profiled world (Protecia datelor ntr-o lume bazat pe profile), Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. i Leenes,R. (2011), Computers, privacy and data
protection: An element of choice (Computere, confidenialitate i protecia datelor: o
chestiune de alegere), Dordrecht, Springer.

194

Lecturi suplimentare

Konstadinides, T. (2011), Destroying democracy on the ground of defending it?


The Data Retention Directive, the surveillance state and our constitutional ecosystem (Distrugerea democraiei sub pretextul aprrii ei? Directiva privind pstrarea
datelor, supravegherea statului i ecosistemul nostru constituional), European Law
Review, Vol.36, Nr.5, pp.722-776.
Santos Vara, J. (2013), The role of the European Parliament in the conclusion of the
Transatlantic Agreements on the transfer of personal data after Lisbon (Rolul Parlamentului European n ncheierea acordurilor transatlantice privind transferul de
date cu caracter personal dup Lisabona), Centrul de drept privind relaiile externe,
Documente de lucru CLEER 2013/2, disponibile la: www.asser.nl/upload/documents/20130226T013310-cleer_13-2_web.pdf.

Capitolul 8
Bllesbach, A., Gijrath,S., Poullet,Y. i Hacon,R. (2010), Concise European IT law
(Legislaia european concis privind tehnologia informaiei), Amsterdam, Kluwer
Law International.
Gutwirth, S., Leenes,R., De Hert,P. i Poullet,Y. (2012), European data protection: In
good health? (Protecia datelor n Europa: este sigur?) , Dordrecht, Springer.
Gutwirth, S., Poullet,Y. i De Hert,P. (2010), Data protection in a profiled world (Protecia datelor ntr-o lume bazat pe profile), Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. i Leenes,R. (2011), Computers, privacy and data
protection: An element of choice (Computere, confidenialitate i protecia datelor: o
chestiune de alegere), Dordrecht, Springer.
Konstadinides, T. (2011), Destroying democracy on the ground of defending it?
The Data Retention Directive, the surveillance state and our constitutional ecosystem (Distrugerea democraiei sub pretextul aprrii ei? Directiva privind pstrarea
datelor, supravegherea statului i ecosistemul nostru constituional), European Law
Review, Vol.36, Nr.5, pp.722-776.
Rosemary, J. i Hamilton,A. (2012), Data protection law and practice (Legislaia i
practica privind protecia datelor), Londra, Sweet & Maxwell.

195

Jurispruden
Jurispruden selectat a Curii Europene a
Drepturilor Omului
Acces la date cu caracter personal
Cauza Gaskin/RegatulUnit, nr.10454/83, 7iulie1989
Cauza Godelli/Italia, nr.33783/09, 25septembrie2012
Cauza K.H. i alii/Slovacia, nr.32881/04, 28aprilie2009
Cauza Leander/Suedia, nr.9248/81, 26martie1987
Cauza Odivre/Frana [T], nr.42326/98, 13februarie2003
Ponderarea proteciei datelor cu libertatea de exprimare
Cauza Axel Springer AG/Germania [T], nr.39954/08, 7februarie2012
Cauza Von Hannover/Germania, nr.59320/00, 24iunie2004
Cauza Von Hannover/Germania (nr. 2) [T], nr. 40660/08 i nr. 60641/08,
7februarie2012
Provocri legate de protecia datelor online
Cauza K.U./Finlanda, nr.2872/02, 2decembrie2008
Coresponden
Cauza Amann/Elveia [T], nr.27798/95, 16februarie2000
Cauza Bernh Larsen Holding AS i alii/Norvegia, nr.24117/08, 14martie2013

197

Manual de legislaie european privind proteciadatelor

Cauza Cemalettin Canli/Turcia, nr.22427/04, 18noiembrie2008


Cauza Dalea/Frana, nr.964/07, 2februarie2010
Cauza Gaskin/RegatulUnit, nr.10454/83, 7iulie1989
Cauza Haralambie/Romnia, nr.21737/03, 27octombrie2009
Cauza Khelili/Elveia, nr.16188/07, 18octombrie2011
Cauza Leander/Suedia, nr.9248/81, 26martie1987
Cauza Malone/RegatulUnit, nr.8691/79, 2 august 1984
Cauza McMichael/RegatulUnit, nr.16424/90, 24februarie1995
Cauza M.G./RegatulUnit, nr.39393/98, 24septembrie2002
Cauza Rotaru/Romnia [T], nr.28341/95, 4mai2000
Cauza S. i Marper/RegatulUnit, nr.30562/04 i nr. 30566/04, 4decembrie2008
Cauza Shimovolos/Rusia, nr.30194/09, 21iunie2011
Cauza Turek/Slovacia, nr.57986/00, 14februarie2006
Baze de date privind cazierele judiciare
Cauza B.B./Frana, nr.5335/06, 17decembrie2009
Cauza M.M./RegatulUnit, nr.24029/07, 13noiembrie2012
Baze de date privind ADN-ul
Cauza S. i Marper/RegatulUnit, nr.30562/04 i nr. 30566/04, 4decembrie2008
Date GPS
Cauza Uzun/Germania, nr.35623/05, 2septembrie2010
Date privind starea de sntate
Cauza Biriuk/Lituania, nr.23373/03, 25 noiembrie2008
Cauza I./Finlanda, nr.20511/03, 17iulie2008
Cauza L.L./Frana, nr.7508/02, 10octombrie2006
Cauza M.S./Suedia, nr.34209/96, 27august 1997
Cauza Szuluk/RegatulUnit, nr.36936/05, 2iunie2009
Cauza Z./Finlanda, nr.22009/93, 25februarie1997
Identitate
Cauza Ciubotaru/Moldova, nr.27138/04, 27aprilie2010
Cauza Godelli/Italia, nr.33783/09, 25septembrie2012
Cauza Odivre/Frana [T], nr.42326/98, 13februarie2003

198

Jurispruden

Informaii privind activitile profesionale


Cauza Michaud/Frana, nr.12323/11, 6decembrie2012
Cauza Niemietz/Germania, nr.13710/88, 16decembrie1992
Interceptarea comunicrilor
Cauza Amann/Elveia [T], nr.27798/95, 16februarie2000
Cauza Copland/RegatulUnit, nr.62617/00, 3aprilie2007
Cauza Cotlet/Romnia, nr.38565/97, 3iunie2003
Cauza Kruslin/Frana, nr.11801/85, 24aprilie1990
Cauza Lambert/Frana, nr.23618/94, 24august1998
Cauza Liberty i alii/RegatulUnit, nr.58243/00, 1iulie2008
Cauza Malone/RegatulUnit, nr.8691/79, 2 august 1984
Cauza Halford/RegatulUnit, nr.20605/92, 25iunie1997
Cauza Szuluk/RegatulUnit, nr.36936/05, 2iunie2009
Obligaii pentru persoanele responsabile
Cauza B.B./Frana, nr.5335/06, 17decembrie2009
Cauza I./Finlanda, nr.20511/03, 17iulie2008
Cauza Mosley/RegatulUnit, nr.48009/08, 10mai2011
Fotografii
Cauza Sciacca/Italia, nr.50774/99, 11ianuarie2005
Cauza Von Hannover/Germania, nr.59320/00, 24iunie2004
Dreptul de a fi uitat
Cauza Segerstedt-Wiberg i alii/Suedia, nr.62332/00, 6iunie2006
Dreptul de opoziie
Cauza Leander/Suedia, nr.9248/81, 26martie1987
Cauza Mosley/RegatulUnit, nr.48009/08, 10mai2011
Cauza M.S./Suedia, nr.34209/96, 27august 1997
Cauza Rotaru/Romnia [T], nr.28341/95, 4mai2000
Categorii de date sensibile
Cauza I./Finlanda, nr.20511/03, 17iulie2008

199

Manual de legislaie european privind proteciadatelor

Cauza Michaud/Frana, nr.12323/11, 6decembrie2012


Cauza S. i Marper/RegatulUnit, nr. 30562/04 i nr. 30566/04, 4decembrie2008
Supravegherea i aplicarea legii (rolul diferiilor actori, inclusiv al autoritilor
pentru protecia datelor)
Cauza I./Finlanda, nr.20511/03, 17iulie2008
Cauza K.U./Finlanda, nr.2872/02, 2decembrie2008
Cauza Von Hannover/Germania, nr.59320/00, 24iunie2004
Cauza Von Hannover/Germania (nr. 2) [T], nr. 40660/08 i nr. 60641/08,
7februarie2012
Metode de supraveghere
Cauza Allan/RegatulUnit, nr.48539/99, 5noiembrie2002
Cauza Asociaia 21 decembrie 1989 i alii/Romnia, nr. 33810/07 i nr. 18817/08,
24mai2011
Cauza Bykov/Rusia [T], nr.4378/02, 10martie2009
Cauza Kennedy/RegatulUnit, nr.26839/05, 18mai2010
Cauza Klass i alii/Germania, nr.5029/71, 6septembrie1978
Cauza Rotaru/Romnia [T], nr.28341/95, 4mai2000
Cauza Taylor-Sabori/Regatul Unit, nr.47114/99, 22octombrie2002
Cauza Uzun/Germania, nr.35623/05, 2septembrie2010
Cauza Vetter/Frana, nr.59842/00, 31mai2005
Supraveghere video
Cauza Kpke/Germania, nr.420/07, 5octombrie2010
Cauza Peck/RegatulUnit, nr.44647/98, 28ianuarie2003
Probe de voce
Cauza P.G. i J.H./RegatulUnit, nr.44787/98, 25septembrie2001
Cauza Wisse/Frana, nr.71611/01, 20decembrie2005

200

Jurispruden

Jurispruden selectat a Curii de Justiie


aUniunii Europene
Jurispruden pentru Directiva privind protecia datelor
Cauza Tietosuojavaltuutettu/Satakunnan Markkinaprssi Oy i Satamedia Oy,
C-73/07, 16decembrie2008
[Conceptul de activiti jurnalistice, n sensul articolului9 Directiva privind protecia
datelor]

Cauzele conexate C-92/09 i C-93/09, Volker i Markus Schecke GbR i Hartmut


Eifert/Land Hessen, 9noiembrie2010
[Proporionalitatea obligaiei legale de a publica date cu caracter personal privind
beneficiarii unor anumite fonduri agricole ale UE]

Cauza Bodil Lindqvist, C-101/016,noiembrie2003


[Legitimitatea publicrii pe internet de ctre o persoan fizic a unor date privind viaa
privat a altor persoane]

Cauza Google Spain, S.L., Google Inc./Agencia Espaola de Proteccin de Datos,


Mario Costeja Gonzlez, C-131/12, Referin privind o hotrre preliminar a Audiencia Nacional (Spain) formulat la 9martie2012, 25mai2012, pendinte
[Obligaiile furnizorilor de servicii de motoare de cutare de a se abine, la cererea persoanei vizate, de la a afia datele cu caracter personal n rezultatele de cutare]

Cauza Comisia European/Regatul Suediei, C-270/11, 30mai2013


[Amend pentru nepunerea n aplicare a unei directive]

Cauza Productores de Msica de Espaa (Promusicae)/Telefnica de Espaa SAU,


C-275/06, 29ianuarie2008
[Obligaia furnizorilor de servicii de acces la internet de a dezvlui identitatea utilizatorilor de programe de schimb de fiiere KaZaA unei asociaii de protecie a proprietii
intelectuale]

Cauza Comisia European/Ungaria, C-288/12, 8aprilie2014


[Legitimitatea ncetrii mandatului autoritii naionale pentru protecia datelor]

201

Manual de legislaie european privind proteciadatelor

Cauza Michael Schwarz/Stadt Bochum, C-291/12, Avizul avocatului general,


13iunie2013
[nclcarea dreptului primar al UE prin Regulamentul(CE)2252/2004 care prevede stocarea elementelor biometrice n paapoarte]

Cauze comune Drepturile Digitale Irlanda i Seitlinger i alii, C-293/12 i C-594/12, 8


aprilie 2014
[nclcarea legislaiei primare a UE prin Directiva privind pstrarea datelor]

Cauza SABAM/Netlog NV, C-360/10, 16februarie2012


[Obligaia furnizorilor de reele sociale de a mpiedica utilizarea ilicit a operelor muzicale i audiovizuale de ctre utilizatorii reelei]

Cauzele conexate Rechnungshof/sterreichischer Rundfunk i alii i Neukomm i


Lauermann/sterreichischer Rundfunk, C-465/00, C-138/01 i C-139/01, 20mai2003
[Proporionalitatea obligaiei legale de a publica date cu caracter personal privind salariile angajailor anumitor categorii de instituii asociate sectorului public]

Cauzele conexate Asociacin Nacional de Establecimientos Financieros de Crdito


(ASNEF) i Federacin de Comercio Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, C-468/10 i C-469/10, 24noiembrie201
[Punerea n aplicare corect a articolului7 litera (f) din Directiva privind protecia datelor interesele legitime ale altor persoane n legislaia naional]

Cauza Comisia European/Republica Federal Germania, C-518/07, 9martie2010


[Independena unei autoriti naionale de supraveghere]

Cauza Huber/Bundesrepublik Deutschland, C-524/06, 16decembrie2008


[Legitimitatea deinerii de date privind cetenii strini ntr-un registru statistic]

Cauza Deutsche Telekom AG/Bundesrepublik Deutschland, C-543/09, 5mai2011


[Necesitatea rennoirii consimmntului]

Cauza College van burgemeester en wethouders van Rotterdam/M.E.E. Rijkeboer,


C-553/07, 7mai2009
[Dreptul de acces al persoanei vizate]

Cauza Comisia European/Republica Austria, C-614/10, 16octombrie2012


[Independena unei autoriti naionale de supraveghere]

202

Jurispruden

Jurispruden pentru Regulamentul privind protecia datelor de ctre instituiile UE


Cauza Comisia European/The Bavarian Lager Co. Ltd., C-28/08P, 29iunie2010
[Accesul la documente]

Cauza Interporc Im- und Export GmbH/Comisia Comunitilor Europene, C-41/00P,


6martie2003
[Accesul la documente]

Cauza Dimitrios Pachtitis/Comisiei Europene, F-35/08, 15iunie2010


[Utilizarea datelor cu caracter personal n contextul angajrii n cadrul instituiilor UE]

Cauza V/Parlamentul European, F-46/09, 5iulie2011


[Utilizarea datelor cu caracter personal n contextul angajrii n cadrul instituiilor UE]

203

Lista cauzelor
Jurisprudena Curii Europene de Justiie
Asociacin Nacional de Establecimientos Financieros de Crdito
(ASNEF) i Federacin de Comercio Electrnico y Marketing
Directo (FECEMD)/Administracin del Estado, Cauzele conexate
C-468/10 i C-469/10,
24noiembrie201 .................................................................... 18, 22, 81, 84, 88, 89, 202
Bodil Lindqvist, C-101/01,
6noiembrie2003...................................................35, 36, 44, 48, 51, 97, 135, 136, 201
College van burgemeester en wethouders van Rotterdam/M.E.E.
Rijkeboer, C-553/07, 7mai2009 .................................................................. 107, 113, 202
Comisia European/Regatul Suediei, C-270/11, 30mai2013........................................ 201
Comisia European/Republica Austria, C-614/10,
16octombrie2012.......................................................................................... 108, 122, 202
Comisia European/Republica Federal Germania, C-518/07,
9martie2010....................................................................................................108, 121, 202
Comisia European/The Bavarian Lager Co. Ltd., C-28/08P,
29iunie2010.................................................................................13, 27, 30, 109, 131, 203
Comisia European/Ungaria, C-288/12, 8aprilie2014................................. 108, 123, 201
Deutsche Telekom AG/Bundesrepublik Deutschland, C-543/09,
5mai2011....................................................................................................... 36, 61, 62, 202
Dimitrios Pachtitis/Comisia European, F-35/08, 15iunie2010.................................... 203

205

Manual de legislaie european privind proteciadatelor

Drepturi Digitale Irlanda i Seitlinger i alii, Cauze comune C-293/12 i


C-594/12, 8aprilie2014 .................................................................................130, 178, 202
Google Spain, S.L., Google Inc./Agencia Espaola de Proteccin de
Datos, Mario Costeja Gonzlez, C-131/12, Referin privind o
hotrre preliminar a Audiencia Nacional (Spain) formulat la
9martie2012, 25mai2012, pendinte......................................................................... 201
Huber/Bundesrepublik Deutschland, C-524/06,
16decembrie2008............................................................. 63, 81, 84, 86, 173, 185, 202
Interporc Im- und Export GmbH/Comisia Comunitilor Europene,
C-41/00P, 6martie2003........................................................................................... 30, 203
M.H. Marshall/Southampton and South-West Hampshire Area Health
Authority, C-152/84, 26februarie1986........................................................................ 109
Michael Schwarz/Stadt Bochum, C-291/12, Avizul avocatului general,
13iunie2013....................................................................................................................... 202
Parlamentul European/Consiliul Uniunii Europene, cauze comune
C-317/04 i C-318/04, 30mai2006............................................................................... 146
Productores de Msica de Espaa (Promusicae)/Telefnica de Espaa
SAU, C-275/06, 29ianuarie2008................................................. 13, 22, 32, 35, 40, 201
Rechnungshof/sterreichischer Rundfunk i alii i Neukomm i
Lauermann/sterreichischer Rundfunk, Cauzele conexate
C-465/00, C-138/01 i C-139/01, 20mai2003..................................................... 84, 202
SABAM/Netlog NV, C-360/10, 16februarie2012...................................................... 33, 202
Sabine von Colson i Elisabeth Kamann/Land Nordrhein-Westfalen,
C-14/83, 10aprilie1984 .......................................................................................... 109, 133
Tietosuojavaltuutettu/Satakunnan Markkinaprssi Oy i Satamedia
Oy, C-73/07, 16decembrie2008...................................................................... 13, 23, 201
V/Parlamentul European, F-46/09, 5iulie2011................................................................. 203
Volker i Markus Schecke GbR i Hartmut Eifert/Land Hessen, Cauzele
conexate C-92/09 i C-93/09,
9noiembrie2010........................................................13, 22, 30, 35, 39, 43, 63, 69, 201

206

Lista cauzelor

Jurisprudena Curii Europene a Drepturilor Omului


Allan/Regatul Unit, nr. 48539/99, 5noiembrie2002 .............................................153, 200
Amann/Elveia [T], nr.27798/95,
16februarie2000...........................................................................37, 40, 42, 65, 197, 199
Ashby Donald i alii/Frana, nr.36769/08, 10ianuarie2013...........................................32
Asociaia 21decembrie1989 i alii/Romnia, nr. 33810/07 i
nr.18817/08, 24mai2011............................................................................................... 200
Association for European Integration and Human Rights i
Ekimdzhiev/Bulgaria, nr. 62540/00, 28iunie2007......................................................66
Avilkina i alii/Rusia, nr. 1585/09, 6iunie2013................................................................ 183
Axel Springer AG/Germania [T], nr.39954/08, 7februarie2012...................13, 24, 197
B.B./Frana, nr.5335/06, 17decembrie2009....................................... 151, 153, 198, 199
Bernh Larsen Holding AS i alii/Norvegia, nr.24117/08,
14martie2013...................................................................................................... 35, 38, 197
Biriuk/Lituania, nr.23373/03, 25 noiembrie2008.................................26, 109, 182, 198
Bykov/Rusia [T], nr.4378/02, 10martie2009.................................................................. 200
Cemalettin Canli/Turcia, nr.22427/04, 18noiembrie2008.......................... 107, 114, 198
Ciubotaru/Moldova, nr.27138/04, 27aprilie2010........................................ 107, 115, 198
Copland/RegatulUnit, nr.62617/00, 3aprilie2007.................................15, 173, 180, 199
Cotlet/Romnia, nr.38565/97, 3iunie2003...................................................................... 199
Dalea/Frana, nr.964/07, 2februarie2010............................................. 114, 151, 167, 198
Gaskin/RegatulUnit, nr.10454/83, 7iulie1989 .............................................111, 197, 198
Godelli/Italia, nr.33783/09, 25septembrie2012.....................................40, 111, 197, 198
Halford/RegatulUnit, nr.20605/92, 25iunie1997................................................. 187, 199
Haralambie/Romnia, nr.21737/03, 27octombrie2009................................. 64, 76, 198
I./Finlanda, nr.20511/03,
17iulie2008...............................................................15, 82, 95, 132, 181, 198, 199, 200
Iordachi i alii/Moldova, nr.25198/02, 10februarie2009...............................................65
K.H. i alii/Slovacia, nr.32881/04, 28aprilie2009.......................... 64, 77, 111, 181, 197
K.U./Finlanda, nr.2872/02, 2decembrie2008..................... 15, 109, 128, 132, 197, 200

207

Manual de legislaie european privind proteciadatelor

Kennedy/RegatulUnit, nr.26839/05, 18mai2010.......................................................... 200


Khelili/Elveia, nr.16188/07, 18octombrie2011.................................................63, 67, 198
Klass i alii/Germania, nr.5029/71, 6septembrie1978................................15, 154, 200
Kpke/Germania, nr.420/07, 5octombrie2010...............................................44, 128, 200
Kopp/Elveia, nr.23224/94, 25martie1998.........................................................................65
Kruslin/Frana, nr.11801/85, 24aprilie1990..................................................................... 199
L.L./Frana, nr.7508/02, 10octombrie2006............................................................ 181, 198
Lambert/Frana, nr.23618/94, 24august1998................................................................ 199
Leander/Suedia, nr.9248/81,
26martie1987........................................... 15, 63, 67, 68, 111, 118, 153, 197, 198, 199
Liberty i alii/RegatulUnit, nr.58243/00, 1iulie2008............................................ 38, 199
M.G./RegatulUnit, nr.39393/98, 24septembrie2002................................................... 198
M.K./Frana, nr.19522/09, 18aprilie2013 ............................................................... 114, 153
M.M./RegatulUnit, nr.24029/07, 13noiembrie2012.....................................75, 153, 198
M.S./Suedia, nr.34209/96, 27august1997............................................118, 181, 198, 199
Malone/RegatulUnit, nr.8691/79, 2august1984...........................15, 65, 178, 198, 199
McMichael/RegatulUnit, nr.16424/90, 24februarie1995........................................... 198
Michaud/Frana, nr.12323/11, 6decembrie2012................................174, 187, 199, 200
Mosley/RegatulUnit, nr.48009/08, 10mai2011...................................... 13, 25, 118, 199
Mller i alii/Elveia, nr.10737/84, 24mai1988................................................................31
Niemietz/Germania, nr.13710/88, 16decembrie1992..................................37, 187, 199
Odivre/Frana [T], nr.42326/98, 13februarie2003.............................40, 111, 197, 198
P.G. i J.H./RegatulUnit, nr.44787/98, 25septembrie2001...................................44, 200
Peck/RegatulUnit, nr.44647/98, 28ianuarie2003....................................44, 63, 66, 200
Rotaru/Romnia [T], nr.28341/95,
4mai2000............................................................................37, 63, 66, 115, 198, 199, 200
S. i Marper/RegatulUnit, nr.30562/04 i nr. 30566/04,
4decembrie2008.....................................................................15, 75, 151, 153, 198, 200
Sciacca/Italia, nr.50774/99, 11ianuarie2005............................................................ 43, 199
Segerstedt-Wiberg i alii/Suedia, nr.62332/00, 6iunie2006................... 107, 114, 199
Shimovolos/Rusia, nr.30194/09, 21iunie2011......................................................... 66, 198

208

Lista cauzelor

Silver i alii/RegatulUnit, nr.5947/72, 6205/73, 7052/75, 7061/75,


7107/75, 7113/75, 25martie1983 .................................................................................65
Szuluk/RegatulUnit, nr.36936/05, 2iunie2009............................................181, 198, 199
Trsasg a Szabadsgjogokrt/Ungaria, nr. 37374/05, 14aprilie2009.................13, 29
Taylor-Sabori/Regatul Unit, nr.47114/99, 22octombrie2002........................63, 66, 200
The Sunday Times/Regatul Unit, nr. 6538/74, 26aprilie1979.........................................65
Turek/Slovacia, nr.57986/00, 14februarie2006............................................................. 198
Uzun/Germania, nr.35623/05, 2septembrie2010...................................15, 43, 198, 200
Vereinigung bildender Knstler/Austria, nr. 68345/01, 25ianuarie2007..............13, 31
Vetter/Frana, nr.59842/00, 31mai2005.................................................66, 151, 155, 200
Von Hannover/Germania (nr. 2) [T], nr. 40660/08 i nr. 60641/08,
7februarie2012...........................................................................................22, 25, 197, 200
Von Hannover/Germania, nr.59320/00, 24iunie2004......................... 43, 197, 199, 200
Wisse/Frana, nr.71611/01, 20decembrie2005.......................................................44, 200
Z./Finlanda, nr.22009/93, 25februarie1997..................................................173, 181, 198
Jurisprudena instanelor naionale
Germania, Curtea Constituional Federal
(Bundesverfassungsgericht), 1BvR256/08, 2martie2010.................................. 177
Republica Ceh, Curtea Constituional (stavn soud esk
republiky), 94/2011M.O., 22martie2011.................................................................. 177
Romnia, Curtea Constituional Federal (Curtea Constituional a
Romniei), nr.1258, 8octombrie2009....................................................................... 177

209

Agenia pentru Drepturi Fundamentale a Uniunii Europene


Consiliul Europei Curtea European a Drepturilor Omului

Manual de legislaie european privind protecia datelor


2014 209 p. 14,8 21 cm
ISBN 978-92-871-9938-6 (CoE)
ISBN 978-92-9239-339-7 (FRA)
doi:10.2811/55294
Mai multe informaii privind Agenia pentru Drepturi Fundamentale a Uniunii Europene sunt
disponibile pe internet. Putei accesa pagina de internet a FRA la urmtoarea adres fra.europa.eu.
Mai multe informaii cu privire la Consiliul Europei sunt disponibile pe internet la adresa: hub.coe.int.
Mai multe informaii cu privire la jurisprudena Curii Europene a Drepturilor Omului sunt disponibile
pe pagina de internet a Curii: echr.coe.int. Baza de date HUDOC asigura accesul la hotrri i decizii
n englez i/sau francez, traduceri n alte limbi, note informative lunare legate de jurispruden,
comunicate de pres i alte informaii despre activitatea Curii.

Cum se obin publicaiile UE


Publicaii gratis:
o copie:
via EU Bookshop (http://bookshop.europa.eu);
mai mult de o copie sau afie/hri:
de la reprezentanele Uniunii Europene (http://ec.europa.eu/represent_en.htm);
de la delegaiile statelor non-UE (http://eeas.europa.eu/delegations/index_en.htm);
prin contactarea serviciului Direct Europa (http://europa.eu/europedirect/index_ro.htm)
sau prin apelarea numrului 00 800 6 7 8 9 10 11 (apel gratuit de oriunde din UE) (*).
Publicaii cu plat:
via UE Bookshop (http://bookshop.europa.eu);
Abonri cu plat:
via agenilor de vnzri ai Oficiului de Publicaii al Uniunii Europene
(http://publications.europa.eu/others/agents/index_en.htm).
(*) Informaiile oferite sunt gratis, precum i majoritatea apelurilor (prin intermediul anumitor operatori, exist posibilitatea de taxare din partea hotelurilor sau prin utilizarea cutiilor de telefon).

Cum se obin publicaiile Consiliului Europei


Editura Consiliului Europei produce lucrri n toate domeniile de referin ale organizaiei,
inclusiv drepturile omului, tiine juridice, sntate, etic, afaceri sociale, mediu, educaie,
cultur, sport, tineret i patrimoniu arhitectural. Crile i publicaiile electronice din
catalogul extins pot fi comandate online (http://book.coe.int/).
O sal de lectur virtual permite utilizatorilor s consulte gratuit fragmente din lucrri
importante recent publicate sau textele integrale ale unor documente oficiale.
Informaii despre, precum i textul integral al conveniilor Consiliului Europei sunt disponibile
pe site-ul internet al Biroului Tratate: http://conventions.coe.int/.

10.2811/55294
TK-01-13-772-RO-C

Dezvoltarea rapid a tehnologiilor informaiei i comunicaiilor subliniaz nevoia tot mai mare
de o protecie solid a datelor cu caracter personal un drept garantat att de instrumentele
Uniunii Europene (UE), ct i de instrumentele Consiliului Europei (CE). Progresele tehnologice
extind limitele supravegherii, interceptrii comunicrilor i stocrii datelor, acestea reprezentnd
provocri importante pentru dreptul de protecie a datelor. Prezentul manual este conceput
pentru a familiariza practicienii n domeniul dreptului, nespecializai n domeniul proteciei datelor,
cu acest domeniu de drept. Acesta ofer o imagine de ansamblu asupra cadrelor juridice ale UE
i CoE n vigoare. Ghidul explic jurisprudena-cheie, rezumnd hotrri majore att ale Curii
Europene a Drepturilor Omului (CEDO), ct i ale Curii de Justiie a Uniunii Europene (CJUE). n
cazul n care nu exist o astfel de jurispruden, se prezint ilustraii practice cu scenarii ipotetice.
ntr-un cuvnt, prezentul manual are scopul de a asigura susinerea cu vigoare i determinare a
dreptului de protecie a datelor.

AGENIA PENTRU DREPTURI FUNDAMENTALE A UNIUNII EUROPENE


Schwarzenbergplatz 11 - 1040 Viena - Austria
Tel. +43 (1) 580 30-60 - Fax +43 (1) 580 30-693
fra.europa.eu info@fra.europa.eu
CONSILIUL EUROPEI
CURTEA EUROPEAN A DREPTURILOR OMULUI
67075 Strasbourg Cedex - Frana
Tel. +33 (0) 3 88 41 20 00 - Fax +33 (0) 3 88 41 27 30
echr.coe.int publishing@echr.coe.int

ISBN 978-92-871-9938-6 (CoE)


ISBN 978-92-9239-339-7 (FRA)