Sunteți pe pagina 1din 36

GRUPUL DE LUCRU PENTRU PROTECIA DATELOR INSTITUIT N

TEMEIUL ARTICOLULUI 29

00264/10/RO
GL 169

Avizul nr. 1/2010 privind conceptele de operator i persoan mputernicit de


ctre operator

Adoptat la 16 februarie 2010

Acest Grup de lucru a fost instituit n temeiul articolului 29 din Directiva 95/46/CE. Acesta este un organ consultativ
european independent pentru protecia datelor i a confidenialitii. Atribuiile acestuia sunt descrise la articolul 30 din
Directiva 95/46/CE i articolul 15 din Directiva 2002/58/CE.
Secretariatul este asigurat de Direcia D (Drepturi fundamentale i cetenie) a Comisiei Europene, Direcia General
Justiie, Libertate i Securitate, B-1049 Bruxelles, Belgia, Biroul nr. LX-46 01/190.
Site web: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

CUPRINS
Rezumat ....................................................................................................................................1
I.

Introducere

.....................................................................................................2

II.
II.1.
II.2.
II.3.

Observaii generale i aspecte legate de politic


.........................................3
Rolul conceptelor....................................................................................................... 4
Contextul relevant...................................................................................................... 6
Anumite provocri eseniale ...................................................................................... 7

III.
Analiza definiiilor
.........................................................................................8
III.1. Definiia operatorului................................................................................................. 8
III.1.a) Element preliminar: stabilete ........................................................................ 8
III.1.b) Al treilea element: scopurile i mijloacele de prelucrare.............................. 12
III.1.c) Primul element: persoana fizic, juridic sau orice alt organism ................. 15
III.1.d) Al doilea element: singur sau mpreun cu altele......................................... 17
III.2. Definiia persoanei mputernicite de ctre operator................................................. 25
III.3. Definiia terului....................................................................................................... 31
IV.

Concluzii ...............................................................................................................32

Rezumat
Conceptul de operator de date i interaciunea acestuia cu conceptul de persoan
mputernicit s prelucreze datele au un rol esenial n aplicarea Directivei 95/46/CE,
deoarece acestea stabilesc cine este responsabil de respectarea normelor de protecie a
datelor, care este legislaia naional aplicabil i ct de eficient pot opera autoritile de
protecie a datelor.
Diferenierea organizaional n sectorul public i n cel privat, dezvoltarea TIC i
globalizarea prelucrrii datelor sporesc complexitatea modului n care datele personale
sunt prelucrate i necesit clarificarea acestor concepte, pentru a asigura aplicarea
eficient i conformitatea lor n practic.
Conceptul de operator este autonom, n sensul c ar trebui interpretat n principal n
conformitate cu legislaia comunitar privind protecia datelor i funcional, n sensul c
urmrete s aloce responsabilitile acolo unde exist o influen efectiv, bazndu-se
astfel pe o analiz a faptelor i nu pe o analiz formal.
Definiia din directiv cuprinde trei elemente eseniale:
- aspectul privind persoana (persoana fizic sau juridic, autoritatea public, agenia
sau orice alt organism);
- posibilitatea unui control multiplu (care, singur sau mpreun cu altele); i
- elementele eseniale care fac deosebirea dintre operator i ali actori (stabilete
scopurile i mijloacele de prelucrare a datelor cu caracter personal).
Analiza acestor piloni conduce la o serie de concluzii, care au fost prezentate pe scurt la
punctul IV al prezentului aviz.
Prezentul aviz analizeaz, de asemenea, conceptul de persoan mputernicit, a crei
existen depinde de decizia pe care o ia operatorul, care poate decide fie s prelucreze
datele n cadrul organizaiei sale, fie s delege toate activitile de prelucrare sau o parte
din acestea unei organizaii externe. Persoana mputernicit de operator trebuie s
ndeplineasc dou condiii de baz: pe de o parte, aceasta trebuie s fie o entitate
juridic distinct n raport cu operatorul i, pe de alt parte, s prelucreze datele personale
n numele acestuia.
Grupul de lucru recunoate dificultile ntmpinate n aplicarea definiiilor din directiv
ntr-un mediu complex, n care pot fi imaginate numeroase scenarii care implic operatori
i persoane mputernicite de acetia, singuri sau mpreun, cu diferite grade de autonomie
i rspundere.
n analiza sa, Grupul de lucru a pus accentul pe necesitatea alocrii responsabilitilor n
aa fel nct conformitatea cu normele de protecie a datelor s fie suficient asigurat n
practic. Totui, nu a gsit niciun motiv s considere c distincia actual dintre operatori
i persoanele mputernicite de acetia nu ar mai fi relevant i aplicabil n acest sens.
n consecin, Grupul de lucru i exprim sperana c explicaiile din prezentul aviz,
ilustrate prin exemple specifice din experiena zilnic a autoritilor de protecie a
datelor, vor contribui la o orientare eficace cu privire la modul de interpretare a acestor
definiii de baz din directiv.
1

Grupul de lucru privind protecia persoanelor n ceea ce privete


prelucrarea datelor cu caracter personal
instituit n temeiul Directivei 95/46/CE a Parlamentului European i a Consiliului din
24 octombrie 1995,
avnd n vedere articolele 29 i 30 alineatele (1) litera (a) i (3) din directiva menionat
i articolul 15 alineatul (3) din Directiva 2002/58/CE a Parlamentului European i a
Consiliului din 12 iulie 2002,
avnd n vedere regulamentul su de procedur,
adopt urmtorul aviz:
I.

Introducere

Conceptul de operator de date i interaciunea acestuia cu conceptul de persoan


mputernicit pentru prelucrarea datelor are un rol esenial n aplicarea
Directivei 95/46/CE, deoarece acestea stabilesc cine este responsabil de respectarea
normelor de protecie a datelor i modul n care persoanele vizate i pot exercita
drepturile n practic. Conceptul de operator de date este, de asemenea, esenial pentru
stabilirea legislaiei naionale aplicabile i pentru exercitarea efectiv a sarcinilor de
supraveghere de ctre autoritile de protecie a datelor.
n consecin, este deosebit de important ca sensul exact al acestor concepte i criteriile
privind utilizarea lor corect s fie suficient de clare i mprtite de toate persoanele din
statele membre care joac un rol n implementarea directivei i n aplicarea, evaluarea i
executarea dispoziiilor naionale care o pun n aplicare.
Au aprut semnale potrivit crora ar putea exista o lips de claritate, cel puin n ceea ce
privete anumite aspecte ale acestor concepte, i unele opinii divergente printre
specialitii din diferite state membre, care ar putea duce la diferite interpretri ale
acelorai principii i definiii introduse n scopul armonizrii la nivel european. De aceea,
Grupul de lucru instituit n temeiul articolului 29 a decis, n cadrul programului su
strategic de lucru pe 2008-2009, s acorde o atenie special elaborrii unui document
care s stabileasc o abordare comun a acestor probleme.
Grupul de lucru recunoate faptul c aplicarea concret a acestor concepte privind
operatorul de date i persoana mputernicit pentru prelucrarea datelor devine tot mai
complex. Acest fapt se datoreaz n principal complexitii tot mai mari a mediului n
care sunt utilizate, n special tendinei crescnde, att n sectorul privat, ct i n cel
public, ctre diferenierea organizaional, alturi de dezvoltarea TIC i globalizare, ceea
ce poate duce la apariia unor probleme noi, dificile i, uneori, la diminuarea nivelului de
protecie a persoanelor vizate.
Dei dispoziiile directivei au fost formulate ntr-un mod neutru din punct de vedere
tehnologic i au rezistat pn acum contextului n plin evoluie, aceste situaii complexe
ar putea duce ntr-adevr la incertitudini n ceea ce privete alocarea responsabilitilor i
domeniul de aplicare al legislaiei naionale aplicabile. Aceste incertitudini ar putea avea
un impact negativ asupra respectrii normelor de protecie a datelor n domenii cruciale i
2

asupra eficacitii legislaiei privind protecia datelor n general. Grupul de lucru a


abordat deja cteva dintre aceste aspecte legate de chestiuni specifice1, dar consider
necesar s ofere acum ndrumri mai ample i specifice, n vederea asigurrii unei
abordri consecvente i armonizate.
n consecin, Grupul de lucru a decis s ofere n prezentul aviz aa cum a procedat i
n Avizul privind conceptul de date cu caracter personal2 - o serie de clarificri i
exemple concrete3 cu privire la conceptele de operator de date i de persoan
mputernicit pentru prelucrarea datelor.
II.

Observaii generale i aspecte legate de politic

Mai multe dispoziii ale directivei fac referire explicit la conceptul de operator.
Definiiile operatorului i persoanei mputernicite de ctre operator din articolul 2
literele (d) i (e) din Directiva 95/46/CE (denumit n continuare directiva) au
urmtoarea formulare:
operator nseamn persoana fizic sau juridic, autoritatea public, agenia
sau orice alt organism care, singur sau mpreun cu altele, stabilete scopurile i
mijloacele de prelucrare a datelor cu caracter personal; atunci cnd scopurile i
mijloacele de prelucrare sunt stabilite prin acte cu putere de lege naionale sau
comunitare, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
stabilite prin dreptul naional sau comunitar;
persoana mputernicit de ctre operator nseamn persoana fizic sau
juridic, autoritatea public, agenia sau orice alt organism care prelucreaz
datele cu caracter personal pe seama operatorului.
Aceste definiii au fost trasate n timpul negocierilor pentru proiectul de propunere
privind directiva de la nceputul anilor 1990, iar conceptul de operator a fost n esen
preluat din Convenia 108 a Consiliului Europei ncheiat n 1981. n timpul negocierilor,
au avut loc o serie de modificri importante.
n primul rnd, operatorul dosarului din Convenia 108 a fost nlocuit cu termenul de
operator, n legtur cu prelucrarea datelor cu caracter personal. Aceasta este o
noiune larg, definit n articolul 2 litera (b) din directiv ca fiind orice operaiune sau
serie de operaiuni care se efectueaz asupra datelor cu caracter personal, prin mijloace
automate sau neautomate, cum ar fi colectarea, nregistrarea, organizarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvluirea prin
transmitere, diseminare sau n orice alt mod, alturarea ori combinarea, blocarea,
tergerea sau distrugerea. Astfel, conceptul de operator nu a mai fost utilizat n
legtur cu un obiect static (dosarul), ci n legtur cu activiti care reflect ciclul de
via al informaiilor, de la colectarea la distrugerea acestora, aceasta necesitnd o analiz
1

2
3

A se vedea de exemplu Avizul 10/2006 privind prelucrarea datelor cu caracter personal de ctre
Societatea Internaional pentru Telecomunicaii Financiare Interbancare (SWIFT), adoptat la
22 noiembrie 2006 (GL 128) i , mai recent, Avizul 5/2009 privind reelele de socializare online,
adoptat la 12 iunie 2009 (GL 163).
Avizul 4/2007 privind conceptul datelor cu caracter personal, adoptat la 20 iunie 2007 (GL 136).
Aceste exemple se bazeaz pe practica naional sau european actual i este posibil s fi fost
modificate sau adaptate pentru a asigura o mai bun nelegere.
3

detaliat i cuprinztoare (operaiune sau serie de operaiuni). Dei, n multe cazuri,


este posibil ca rezultatul s fi fost acelai, conceptul a primit astfel un neles i un
domeniu de aplicare mult mai larg i mai dinamic.
Alte modificri au inclus introducerea posibilitii controlului multiplu (singur sau
mpreun cu altele), obligaia ca operatorul s stabileasc scopurile i mijloacele de
prelucrare i ideea c acest lucru poate fi stabilit de legislaia naional sau comunitar
sau altfel. Directiva a introdus, de asemenea, conceptul de persoan mputernicit de
operator, care nu este menionat n Convenia 108. Acestea, alturi de alte modificri,
vor fi analizate mai amnunit n prezentul aviz.
II.1.

Rolul conceptelor

n timp ce conceptul de operator (al dosarului) are un rol extrem de limitat4 n


Convenia 108, n directiv, lucrurile stau cu totul altfel. Articolul 6 alineatul (2) prevede
n mod explicit faptul c Operatorul are obligaia s asigure respectarea alineatului (1).
Acesta se refer la principalele principii privind calitatea datelor, inclusiv principiul
menionat n articolul 6 alineatul (1) litera (a) potrivit cruia datele cu caracter personal
trebuie s fie prelucrate n mod corect i legal. Aceasta nseamn de fapt c toate
dispoziiile care stabilesc condiiile privind prelucrarea legal se adreseaz n esen
operatorului, chiar dac acest lucru nu este ntotdeauna precizat n mod clar.
n plus, dispoziiile privind drepturile persoanei vizate la informaii, de a accesa,
rectifica, terge i bloca informaiile i de a se opune prelucrrii datelor cu caracter
personal (articolele 10-12 i 14), au fost concepute n aa fel nct s creeze obligaii
pentru operator. Operatorul ocup, de asemenea, un loc central n dispoziiile privind
notificarea i controlul prealabil (articolele 18-21). n sfrit, nu este de mirare c
operatorul este cel care rspunde, n principiu, de prejudiciile cauzate de o prelucrare
ilegal (articolul 23).
Aceasta nseamn c primul i cel mai important rol al conceptului de operator este acela
de a stabili cine va fi responsabil de respectarea normelor de protecie a datelor i modul
n care persoanele vizate i pot exercita drepturile n practic5. Cu alte cuvinte: alocarea
responsabilitii.
Aceasta este esena Directivei, principalul obiectiv al acesteia fiind protecia persoanelor
n ceea ce privete prelucrarea datelor cu caracter personal. Acest obiectiv poate fi
realizat i pus n aplicare n practic numai dac persoanele responsabile cu prelucrarea
datelor pot fi motivate ndeajuns prin mijloace legale sau prin alte mijloace, pentru a lua
toate msurile necesare n vederea asigurrii unei protecii efective. Acest aspect este
confirmat n articolul 17 alineatul (1) din directiv, care prevede aplicarea obligatorie
de ctre operator a unor msuri tehnice i organizatorice de protecie adecvate pentru
4

Nu este utilizat n nicio dispoziie de fond, cu excepia articolului 8.a cu privire la dreptul de a fi
informat (principiul transparenei). Operatorul, ca parte responsabil, este vizibil numai n anumite
pri ale expunerii de motive.
A se vedea, de asemenea, considerentul 25 al Directivei 95/46/CE: ntruct principiile proteciei
trebuie s se reflecte, pe de o parte, n obligaiile impuse persoanelor, autoritilor publice,
ntreprinderilor, ageniilor sau altor organisme care prelucreaz date, n special n materie de
calitatea datelor, sigurana tehnic, notificarea autoritii de supraveghere, circumstanele n care
poate fi efectuat prelucrarea i, pe de alt parte, n dreptul conferit persoanelor ale cror date fac
obiectul prelucrrii de a fi informate cu privire la aceasta, de a putea avea acces la date, de a putea
solicita corectarea lor i chiar de a se opune prelucrrii n anumite circumstane.
4

protejarea datelor cu caracter personal mpotriva distrugerii accidentale sau ilegale,


pierderii accidentale, modificrii, dezvluirii sau accesului neautorizat, n special atunci
cnd prelucrarea presupune transmiterea datelor ntr-o reea, precum i mpotriva
oricrei alte forme de prelucrare ilegal.
Mijloacele de stimulare a responsabilitii pot fi proactive i reactive. n primul caz,
acestea urmresc s asigure aplicarea eficient a msurilor de protecie a datelor i
mijloace suficiente de tragere la rspundere a operatorilor. n al doilea caz, acestea pot
implica rspunderea civil i sanciuni, pentru a asigura compensarea oricror prejudicii
relevante i luarea unor msuri adecvate n vederea corectrii erorilor sau greelilor.
Conceptul de operator este de asemenea un element esenial n ceea ce privete stabilirea
legislaiei naionale aplicabile unei operaiuni sau unei serii de operaiuni de prelucrare.
Principala norm a legislaiei aplicabile n conformitate cu articolul 4 alineatul (1) litera
(a) din directiv este faptul c fiecare stat membru aplic dispoziiile sale naionale cu
privire la prelucrarea datelor cu caracter personal, atunci cnd () este efectuat n
cadrul activitilor operatorului cu sediul pe teritoriul statului membru. Aceast
dispoziie continu dup cum urmeaz: dac acelai operator este stabilit pe teritoriul
mai multor state membre, acesta trebuie s ia msurile necesare pentru a se asigura c
fiecare din sedii respect obligaiile prevzute n dreptul intern aplicabil. Aceasta
nseamn c sediul/sediile operatorului este/sunt de asemenea determinant(e) pentru
stabilirea legislaiei naionale aplicabile i, eventual, pentru o serie de legi naionale
aplicabile diferite i modul n care relaioneaz unele cu altele6.
n sfrit, trebuie remarcat c conceptul de operator apare n numeroase dispoziii diferite
ale directivei ca un element al domeniului de aplicare al acestora sau al unei condiii
specifice care se aplic n temeiul acestora: de exemplu, articolul 7 prevede c datele cu
caracter personal pot fi prelucrate numai dac: (c) prelucrarea este necesar n vederea
ndeplinirii unei obligaii legale care i revine operatorului, (e) prelucrarea este
necesar pentru aducerea la ndeplinire a unei sarcini de interes public sau care rezult
din exercitarea autoritii publice cu care este nvestit operatorul sau terul cruia i
sunt comunicate datele sau (f) prelucrarea este necesar pentru realizarea interesului
legitim urmrit de operator sau de ctre unul sau mai muli teri, cu condiia ca acest
interes s nu prejudicieze . Identitatea operatorului este, de asemenea, un element
important al informaiilor care trebuie furnizate persoanei vizate, n conformitate cu
articolele 10 i 11.
Conceptul de persoan mputernicit de operator joac un rol important n contextul
confidenialitii i securitii prelucrrii (articolele 16-17), deoarece contribuie la
identificarea responsabilitilor persoanelor care sunt implicate mai ndeaproape n
prelucrarea datelor cu caracter personal, fie sub autoritatea direct a operatorului, fie n
alt parte, n numele acestuia. Distincia dintre operator i persoan mputernicit de
operator servete n principal pentru a face diferena dintre persoanele care sunt
responsabile n calitate de operatori i cele care acioneaz n numele acestora. Din nou,
este vorba n principal de modul n care sunt alocate responsabilitile. De aici pot s
decurg alte consecine, cu privire la legislaia aplicabil sau n alte privine.

Grupul de lucru intenioneaz s adopte un alt aviz privind legislaia aplicabil n cursul anului
2010. Atunci cnd instituiile i organismele comunitare prelucreaz date cu caracter personal,
evaluarea controlului este de asemenea relevant n ceea ce privete posibila aplicare a
Regulamentului (CE) 45/2001 sau a altor instrumente juridice relevante ale UE.
5

Totui, n cazul unei persoane mputernicite de operator, mai exist o consecin att
pentru operator, ct i pentru persoana mputernicit faptul c, n conformitate cu
articolul 17 din directiv, legislaia aplicabil pentru securitatea prelucrrilor este
legislaia naional a statului membru n care este stabilit persoana mputernicit.7
n sfrit, astfel cum se prevede la articolul 2 litera (f), ter nseamn persoana fizic
sau juridic, autoritatea public, agenia sau orice organism altul dect persoana vizat,
operatorul, persoana mputernicit de ctre operator i persoanele care, sub directa
autoritate a operatorului sau a persoanei mputernicite de ctre operator, sunt autorizate
s prelucreze date. Operatorul, persoana mputernicit i personalul acestora sunt n
consecin considerai cercul central al prelucrrii datelor i nu fac obiectul unor
dispoziii speciale cu privire la teri.
II.2.

Contextul relevant

Ca urmare a diferitelor evoluii nregistrate n mediul relevant, aceste aspecte au devenit


mai urgente i mai complexe dect nainte. La momentul semnrii Conveniei 108 i, n
mare msur, la adoptarea Directivei 95/46/CE, contextul prelucrrii datelor era nc
relativ clar i simplu, ns aceast situaie s-a schimbat.
Aceasta se datoreaz, n primul rnd, tendinei din ce n ce mai pronunate ctre
diferenierea organizaional n majoritatea sectoarelor relevante. n sectorul privat,
distribuirea riscurilor financiare i a altor riscuri a dus la o diversificare continu a
corporaiilor, care se amplific prin fuziuni i achiziii. n sectorul public, o difereniere
similar are loc n contextul descentralizrii sau separrii departamentelor decizionale de
ageniile executive. n ambele sectoare, se pune tot mai mult accentul pe dezvoltarea
lanurilor de livrare sau a prestrilor de servicii n cadrul organizaiilor i pe
subcontractarea sau externalizarea serviciilor, pentru a beneficia de servicii specializate i
eventualele economii de scar. Prin urmare, exist o cretere n ceea ce privete
diversele servicii, oferite de furnizori care nu se consider ntotdeauna responsabili sau
rspunztori. Datorit opiunilor organizaionale ale ntreprinderilor (i contractanilor
sau subcontractanilor acestora), pot s existe baze de date relevante n una sau mai multe
ri din cadrul sau din afara Uniunii Europene.
Dezvoltarea tehnologiilor informaiei i comunicaiilor (TIC) a facilitat n mare msur
aceste schimbri organizaionale i a condus i la alte schimbri. Responsabilitile de la
diferite nivele adesea determinate de diferenierea organizaional de obicei necesit
i ndeamn la utilizarea TIC n mare msur. Dezvoltarea i extinderea produselor i
serviciilor TIC determin crearea unor noi roluri i responsabiliti distincte, care nu
interacioneaz ntotdeauna cu responsabilitile existente sau n curs de formare din
organizaiile cliente. n consecin, este important s se contientizeze existena unor
diferene relevante i s se clarifice responsabilitile, dup caz. Introducerea
microtehnologiei precum cipurile RFID pentru produsele destinate consumatorilor
ridic probleme similare legate de transferul de responsabiliti. Pe de alt parte,
utilizarea unui sistem informatic distribuit, n special a informaticii de tip cloud
computing i a reelelor informatice8 implic probleme noi i dificile.
7

A se vedea articolul 17 alineatul (3), a doua liniu: obligaiile aa cum sunt definite de legislaia
statului membru n care este stabilit persoana mputernicit i revin acesteia.
Cloud computing este un tip de informatic n care capacitile IT extensibile i flexibile sunt
furnizate sub forma unui serviciu, mai multor clieni, care utilizeaz tehnologii de internet. Serviciile
caracteristice de tip cloud computing furnizeaz aplicaii de business obinuite online, care sunt
accesate de pe un browser de internet, n timp ce programul i datele sunt stocate pe servere. n acest
6

Globalizarea este un alt factor al complexitii. Atunci cnd diferenierea organizaional


i dezvoltarea TIC implic mai multe jurisdicii, aa cum se ntmpl adesea pe Internet,
apar inevitabil probleme legate de legislaia aplicabil, nu numai n UE sau SEE, ci i n
legtur cu rile tere. Un exemplu n acest sens poate fi gsit n contextul antidoping, n
care Agenia Mondial Antidoping (WADA), cu sediul n Elveia, opereaz o baz de
date care include informaii referitoare la sportivi (ADAMS) i care este gestionat din
Canada, n colaborare cu organizaiile antidoping naionale din lume. GL29 a semnalat
faptul c alocarea responsabilitilor i atribuirea controlului ridic dificulti specifice9.
Aceasta nseamn c problemele principale care sunt abordate n acest aviz au o relevan
practic semnificativ i ar putea avea consecine importante.
II.3.

Anumite provocri eseniale

n termeni de obiective ale directivei, cel mai important lucru este s se asigure c
responsabilitatea n ceea ce privete prelucrarea datelor este clar stabilit i poate fi
aplicat eficient.
n cazul n care nu este suficient de clar cui trebuie s i fie atribuite cerinele de
exemplu, dac nicio persoan nu este responsabil sau exist mai muli operatori posibili
exist riscul evident s nu fie luate suficiente msuri, n cazul n care sunt luate msuri,
iar dispoziiile juridice s nu produc efecte. De asemenea, este posibil ca ambiguitile
n ceea ce privete interpretarea s duc la revendicri concurente sau la alte controverse,
caz n care efectele pozitive vor fi sub ateptri sau ar putea fi diminuate sau eclipsate de
consecine negative neprevzute.
n toate aceste cazuri, provocarea esenial este astfel s se asigure o claritate suficient,
pentru a permite i a asigura aplicarea eficient i conformitatea n practic. n cazul n
care exist ndoieli, soluia care ar determina cel mai probabil aceste efecte ar putea fi
opiunea preferat.
Totui, aceleai criterii care asigur o transparen suficient ar putea conduce, de
asemenea, la o complexitate i mai mare i la consecine nedorite. De exemplu,
diferenierea controlului, n conformitate cu realitile organizaionale, ar putea determina
o complexitate a legislaiei naionale aplicabile, atunci cnd sunt implicate jurisdicii
diferite.
n consecin, analiza ar trebui s urmreasc atent diferena dintre consecinele
acceptabile n conformitate cu normele actuale i posibila necesitate de ajustare a
normelor actuale, pentru a se asigura eficacitatea continu i pentru a se evita
consecinele necorespunztoare n circumstane diferite.
Aceasta nseamn c analiza actual are o importan strategic major i ar trebui
aplicat cu atenie, contientizndu-se pe deplin posibilele interconexiuni dintre diferitele
aspecte.

sens, norul (cloud) nu este o insul, ci un element global de legtur ntre informaiile i utilizatorii
din ntreaga lume. n ceea ce privete reelele informatice, a se vedea exemplul 19 de mai jos.
Avizul nr. 3/2008 din 1 august 2008 privind proiectul de standard internaional cu privire la protecia
vieii private al Codului mondial antidoping, GL156
7

III.

Analiza definiiilor

III.1. Definiia operatorului


Definiia operatorului din directiv cuprinde trei piloni, care vor fi analizai separat, n
sensul avizului. Acetia sunt:
o persoana fizic sau juridic, autoritatea public, agenia sau orice alt organism
o care, singur sau mpreun cu altele,
o stabilete scopurile i mijloacele de prelucrare a datelor cu caracter personal.
Primul pilon se refer la aspectul personal al definiiei. Al treilea pilon cuprinde elemente
eseniale de difereniere a operatorului de ali actori, n timp ce al doilea pilon analizeaz
posibilitatea controlului multiplu. Aceste pietre de temelie sunt foarte strns
interrelaionate. Totui, avnd n vedere metodologia care trebuie urmat n prezentul
aviz, fiecare dintre aceste elemente va fi tratat separat.
Din motive practice, este de preferat s ncepem cu primul element al celui de-al treilea
pilon adic sensul cuvntului stabilete s continum cu restul celui de-al treilea
pilon i doar ulterior s abordm primul i al doilea pilon.
III.1.a)

Element preliminar: stabilete

Astfel cum s-a menionat deja mai sus, conceptul de operator avea un rol minor n
Convenia 108. n temeiul articolului 2 din Convenie, operatorul dosarului era definit
ca fiind organismul competent s decid. Convenia subliniaz necesitatea unei
competene, stabilite n conformitate cu legislaia naional. Astfel, Convenia fcea
referire la legislaia naional privind protecia datelor care, conform expunerii de motive,
ar cuprinde criterii exacte de stabilire a persoanei competente.
n timp ce prima propunere a Comisiei reflect aceast dispoziie, propunerea modificat
a Comisiei se refer n schimb la organismul care decide, eliminnd astfel necesitatea
stabilirii prin lege a competenei de decizie: aceasta este posibil, dar nu mai este
necesar. Aceasta este apoi confirmat prin poziia comun a Consiliului i prin textul
adoptat, ambele referindu-se la organismul care stabilete.
n acest context, evoluia istoric scoate n eviden dou elemente importante: n primul
rnd, faptul c este posibil ca o persoan s fie operator, indiferent dac are sau nu o
anumit competen sau autoritate de operare a datelor, conferit prin lege; n al doilea
rnd, faptul c n timpul adoptrii Directivei 95/46/CE, stabilirea operatorului devine un
concept comunitar, un concept care are nelesul su propriu, independent, n dreptul
comunitar, care nu variaz n funcie de prevederile, posibil divergente, ale legislaiilor
naionale. Cel de-al doilea element este esenial pentru a asigura aplicarea cu eficacitate a
directivei i un nivel ridicat de protecie n statele membre, ceea ce necesit o interpretare
uniform i autonom a unui concept cheie precum conceptul de operator, care
dobndete n directiv o importan pe care nu o avea n Convenia 108.
n acest sens, directiva ncheie aceast evoluie stabilind faptul c, dei capacitatea de a
stabili ar putea fi reiei dintr-o atribuie specific conferit prin lege, aceasta decurge
de obicei din analiza elementelor sau a circumstanelor faptice ale cazului: ar trebui s
analizm operaiunile de prelucrare n cauz i s nelegem cine le determin,
8

rspunznd ntr-o prim etap la ntrebrile: De ce are loc aceast prelucrare de date?
Cine a iniiat-o?.
Existena unui operator este n primul rnd consecina faptului c o entitate a decis s
prelucreze datele cu caracter personal n propriile scopuri. ntr-adevr, un simplu criteriu
formal nu ar fi suficient, cel puin din dou motive: n unele cazuri, ar lipsi pur i simplu
numirea oficial a unui operator de exemplu, prin lege, ntr-un contract sau ntr-o
notificare trimis autoritii de protecie a datelor; n alte cazuri, este posibil ca numirea
oficial s nu reflecte realitatea, atribuind n mod oficial funcia de operator unui
organism care nu este n msur s stabileasc.
Relevana influenei efective este de asemenea prezentat n cazul SWIFT10, n care
SWIFT a fost considerat oficial ca fiind persoana mputernicit s prelucreze datele,
ns avea de fapt rolul - cel puin ntr-o anumit msur - de operator de date. n acest
caz, s-a clarificat faptul c dei numirea unei pri n calitatea de operator sau persoan
mputernicit n cadrul unui contract ar putea dezvlui informaii relevante cu privire la
statutul juridic al prii respective, aceast numire nu este decisiv pentru stabilirea
statutului real al acesteia, care trebuie s se bazeze pe circumstane concrete.
Aceast abordare faptic este, de asemenea, susinut de considerentul c directiva
prevede ca operatorul s fie cel care stabilete i nu cel care stabilete n mod legal
scopul i mijloacele. Identificarea efectiv a controlului este decisiv, chiar dac numirea
operatorului pare s fie nelegitim sau prelucrarea datelor este exercitat n mod nelegal.
Nu este relevant dac decizia de prelucrare a datelor a fost sau nu legal, n sensul n
care entitatea care a luat aceast decizie avea capacitatea legal de a face acest lucru, sau
operatorul a fost numit n mod oficial conform unei anumite proceduri. Chestiunea
legalitii prelucrrii datelor cu caracter personal va fi totui relevant ntr-o alt etap i
va fi evaluat n temeiul altor articole (n special articolele 6-8) ale directivei. Cu alte
cuvinte, este important s se asigure, chiar i atunci cnd datele sunt prelucrate n mod
nelegal, c operatorul poate fi gsit uor i c acesta va rspunde de prelucrarea datelor.
O ultim caracteristic a conceptului de operator este autonomia acestuia, n sensul c,
dei sursele legale externe pot ajuta la identificarea operatorului, conceptul ar trebui
interpretat n principal n conformitate cu legislaia privind protecia datelor11. Conceptul
de operator nu ar trebui prejudiciat de conceptele din alte domenii legislative, care uneori
sunt opuse sau coincid, precum conceptul de autor sau titular al drepturilor de proprietate
intelectual. Calitatea de titular de drepturi de proprietate intelectual nu exclude
posibilitatea de a fi i operator i de a face obiectul obligaiilor care decurg n
conformitate cu legislaia privind protecia datelor.
Necesitatea unei tipologii
Conceptul de operator este un concept funcional, menit s aloce responsabilitile acolo
unde exist o influen efectiv, fiind astfel bazat pe o analiz faptic i nu pe o analiz
formal. n consecin, stabilirea controlului ar putea necesita uneori investigaii
10

11

Cazul se refer la transferul ctre autoritile SUA a datelor bancare colectate prin SWIFT utilizate
pentru realizarea tranzaciilor financiare n numele bncilor i al instituiilor financiare, n vederea
combaterii finanrii terorismului.
A se vedea n text interferena cu conceptele din alte domenii legislative (de exemplu, conceptul de
titular al drepturilor de proprietate intelectual sau de cercetare tiinific sau responsabilitatea n
temeiul legislaiei civile).
9

amnunite i ndelungate. Totui, necesitatea de a asigura eficacitatea impune adoptarea


unei abordri pragmatice, n vederea asigurrii predictibilitii controlului. n acest sens,
pentru aplicarea legislaiei privind protecia datelor n mod orientat i simplificat, este
nevoie de metode empirice i de ipoteze practice.
Astfel, directiva trebuie interpretat astfel nct s se asigure c organismul de stabilire
poate fi identificat uor i precis n majoritatea situaiilor, prin referire la circumstanele legale i/sau de fapt din care poate decurge n mod normal influena efectiv, exceptnd
cazurile n care alte elemente indic contrariul.
Aceste circumstane pot fi analizate i clasificate n funcie de urmtoarele trei categorii
de situaii, care permit o abordare sistematic a acestor aspecte:
1) Control care decurge din competena legal explicit. Acesta este, inter alia, cazul la
care se face referire n a doua parte a definiiei, i anume atunci cnd operatorul sau
criteriile specifice pentru desemnarea acestuia sunt stabilite conform legislaiei naionale
sau comunitare. Desemnarea explicit a operatorului prin lege nu este frecvent i nu
pune n general probleme mari. n unele ri, legislaia naional prevede ca autoritile
publice s fie responsabile pentru prelucrarea datelor cu caracter personal ca parte a
ndatoririlor acestora.
Totui, mai frecvent este cazul n care legislaia nu desemneaz direct un operator sau nu
stabilete criteriile pentru desemnarea acestuia, ci stabilete o ndatorire sau oblig o
persoan s colecteze i s prelucreze anumite date. De exemplu, o entitate are anumite
ndatoriri publice (de exemplu, securitatea social), care nu pot fi realizate fr colectarea
unor date cu caracter personal, i creeaz un registru n vederea ndeplinirii acestora. n
acest caz, operatorul este desemnat prin lege. n termeni mai generali, legislaia poate
obliga entitile publice sau private s pstreze sau s furnizeze anumite date. Aceste
entiti ar fi considerate n mod normal ca avnd rolul de operator pentru prelucrarea
oricror date cu caracter personal n acest context.
2) Control care decurge din competena implicit. Acesta este cazul n care capacitatea
de a stabili nu este prevzut explicit prin lege i nici consecina direct a unor dispoziii
legale explicite, dar decurge din dispoziiile legale comune sau din practica legal
consacrat n diferite domenii (dreptul civil, dreptul comercial, dreptul muncii etc.). n
acest caz, rolurile tradiionale existente care implic n mod normal o anumit rspundere
vor ajuta la identificarea operatorului: de exemplu, angajatorul n ceea ce privete datele
referitoare la angajaii acestuia, editorul n ceea ce privete datele referitoare la abonai,
asociaia n ceea ce privete datele referitoare la membrii sau colaboratorii acesteia.
n toate aceste cazuri, capacitatea de a stabili activitile de prelucrare poate fi
considerat ca fcnd parte integrant din rolul funcional al unei organizaii (private),
ducnd n cele din urm la crearea unor responsabiliti i din punctul de vedere al
proteciei datelor. n termeni juridici, aceast situaie ar fi valabil indiferent dac
organismele juridice menionate ar avea capacitatea de stabilire, dac aceasta ar fi
exercitat de instituiile corespunztoare care acioneaz n nume propriu sau de ctre o
persoan fizic ntr-un rol similar [a se vedea mai jos, primul element de la litera (c)].
Totui, aceeai situaie ar fi valabil i n cazul unei autoriti publice cu anumite
ndatoriri administrative, dintr-o ar n care legislaia nu este explicit cu privire la
rspunderea acesteia n ceea ce privete protecia datelor.
10

Exemplul nr. 1: Operatorii de telecomunicaii


Un exemplu interesant de orientri juridice pentru sectorul privat este cel al rolului
operatorilor de telecomunicaii: considerentul 47 al Directivei 95/46/CE precizeaz c
dac se transmite un mesaj care conine date cu caracter personal printr-un serviciu
de telecomunicaii sau de pot electronic al crui unic scop este de a transmite
mesaje de acest tip, operatorul datelor cu caracter personal cuprinse ntr-un mesaj
este n mod normal considerat persoana care expediaz mesajul, nu cea care ofer
serviciul de transmitere a acestuia; () cu toate acestea, persoanele care ofer aceste
servicii sunt n mod normal considerate operatori ai prelucrrii datelor cu caracter
personal suplimentare necesare funcionrii serviciului. n consecin, furnizorul de
servicii de telecomunicaii ar trebui considerat, n principiu, operator numai pentru
datele de trafic i facturare i nu pentru datele transmise12. Aceste ndrumri juridice
furnizate de organul legislativ al Comunitii sunt n deplin conformitate cu abordarea
funcional a prezentului aviz.
3) Control care decurge din influena efectiv. Acesta este cazul n care responsabilitatea
funciei de operator este atribuit pe baza evalurii circumstanelor reale. Adeseori,
aceasta implic evaluarea relaiilor contractuale dintre diferitele pri implicate. n urma
acestei evaluri se pot trage concluzii externe, iar rolul de operator i responsabilitile
aferente pot fi atribuite uneia sau mai multor pri. Aceasta poate fi deosebit de util n
special n mediile complexe, n care se utilizeaz adesea tehnologii informaionale noi i
n care prile relevante tind adesea s se considere mediatori i nu operatori
responsabili.
Este posibil ca un contract s nu specifice cine este operatorul, dar s cuprind suficiente
elemente pentru atribuirea responsabilitii de operator unei pri care exercit, aparent,
un rol hotrtor n aceast privin. De asemenea, contractul poate fi mai explicit n ceea
ce privete operatorul. Dac nu exist niciun motiv de ndoial c un contract reflect
ntocmai realitatea, nu exist motive pentru nerespectarea condiiilor acestuia. Totui,
condiiile unui contract nu sunt decisive n toate cazurile, deoarece aceasta le-ar permite
pur i simplu prilor s aloce responsabilitile aa cum consider c este mai potrivit.
Faptul n sine c o persoan stabilete modul n care datele personale sunt prelucrate
poate atrage calificarea ca operator de date, chiar dac aceasta se produce n afara sferei
unei relaii contractuale sau este exclus n mod explicit prin contract. Un exemplu
evident a fost cazul SWIFT, n care ntreprinderea n cauz a luat decizia de a pune la
dispoziie anumite date care au fost iniial prelucrate n scopuri comerciale n numele
unor instituii financiare - i n scopul combaterii finanrii terorismului, aa cum s-a
solicitat prin citaiile emise de Trezoreria SUA.

12

O APD (autoritate pentru protecia datelor) s-a confruntat cu problema controlului ntr-un caz naintat
de o persoan care reclama faptul c primete reclame nesolicitate prin e-mail. n cererea sa, persoana
vizat a solicitat furnizorului reelei de comunicaii s confirme sau s infirme trimiterea e-mailul
publicitar. APD a afirmat c o societate care asigur doar accesul clientului la o reea de comunicaii,
deci care nu iniiaz transmisia de date, nu selecteaz adresele i nu modific informaiile transmise,
nu poate fi considerat operator de date.
11

n cazul n care exist ndoieli, pentru stabilirea operatorului pot fi folosite i alte
elemente dect condiiile contractuale, cum ar fi gradul efectiv de control exercitat de o
parte, imaginea oferit subiecilor i ateptrile rezonabile ale subiecilor, bazate pe
aceast percepie [a se vedea, de asemenea, mai jos, al treilea element de la litera (b)].
Aceast categorie are o importan deosebit deoarece permite abordarea i alocarea
responsabilitilor i n cazurile de comportament nelegal, n care activitile efective de
prelucrare pot fi realizate chiar mpotriva interesului i inteniei anumitor pri.
Concluzie preliminar
Dintre aceste categorii, primele dou permit n principiu o indicare mai sigur a
organismului de decizie i ar putea acoperi peste 80% din situaiile practice relevante.
Totui, numirea legal oficial ar trebui s fie n conformitate cu normele privind
protecia datelor, asigurnd faptul c organismul desemnat deine efectiv controlul asupra
operaiunilor de prelucrare sau, cu alte cuvinte, c numirea legal reflect situaia real.
Categoria a 3-a necesit o analiz mai complex i este mai probabil s conduc la
interpretri divergente. Condiiile contractuale pot adesea s contribuie la clarificarea
problemei, ns nu sunt decisive n toate circumstanele. Tot mai muli actori nu se
consider factori determinani pentru activitile de prelucrare i, astfel, responsabili
pentru acestea. Singura opiune posibil n aceste cazuri este s se ia n considerare
influena efectiv. Aspectul legalitii acestei prelucrri va fi continua s fie evaluat n
temeiul altor articole (6-8).
Dac nu este aplicabil niciuna dintre categoriile susmenionate, desemnarea unui
operator ar trebui s fie considerat nul i neavenit. ntr-adevr, un organism care nu
are influen nici de drept, nici de fapt n stabilirea modului de prelucrare a datelor cu
caracter personal nu poate fi considerat ca avnd calitatea de operator.
Din punct de vedere formal, un considerent care vine n sprijinul acestei abordri este
faptul c definiia operatorului de date ar trebui considerat o dispoziie legal
obligatorie, de la care prile nu se pot pur i simplu deroga sau abate. Dintr-o
perspectiv strategic, o astfel de numire s-ar opune aplicrii eficiente a legislaiei
privind protecia datelor i ar anula rspunderea aferent prelucrrii datelor.
III.1.b)

Al treilea element: scopurile i mijloacele de prelucrare

Al treilea element reprezint partea principal a testului: ceea ce o parte ar trebui s


demonstreze pentru a se califica pentru funcia de operator.
Istoricul acestei dispoziii arat numeroase evoluii. Convenia 108 fcea referire la
scopul fiierelor automatizate de date, la categoriile de date cu caracter personal i la
operaiunile aferente acestora. Comisia a preluat aceste elemente eseniale, cu mici
modificri lingvistice i a adugat competena de a decide care teri pot avea acces la
date. Propunerea modificat a Comisiei a fcut un pas nainte, trecnd de la scopurile
dosarului, la scopurile i obiectivul prelucrrii, de la o definiie static legat de un
dosar, la o definiie dinamic legat de o activitate de prelucrare. Propunerea modificat
s-a referit totui la patru elemente (scopuri/obiectiv, date cu caracter personal, operaiuni
i teri care au acces la acestea), care au fost reduse la dou elemente (scopuri i
mijloace) numai prin poziia comun a Consiliului.

12

n dicionare, scopul este definit ca fiind un rezultat anticipat care este urmrit sau
spre care se ndreapt aciunile dumneavoastr planificate, iar mijloacele sunt definite
ca fiind modalitatea prin care se obine un rezultat sau prin care se atinge un scop.
Pe de alt parte, directiva stabilete c datele trebuie colectate n scopuri precise,
explicite i legitime i nu trebuie prelucrate ntr-un mod care s contravin acestor
scopuri. n consecin, stabilirea scopurilor prelucrrii i a mijloacelor utilizate
pentru atingerea lor este extrem de important.
Se poate spune, de asemenea, c stabilirea scopurilor i a mijloacelor este echivalent cu
stabilirea motivului i a metodei anumitor activiti de prelucrare. n acest sens i lund
n considerare c cele dou elemente sunt legate, trebuie stabilit cnd se poate califica o
entitate n funcia de operator, i anume ce grad de influen trebuie aceasta s aib
asupra motivului i a metodei de lucru.
n ceea ce privete evaluarea stabilirii scopurilor i a mijloacelor n vederea atribuirii
rolului de operator de date, chestiunea esenial este aadar nivelul de detaliere la care o
persoan ar trebui s stabileasc scopurile i mijloacele pentru a fi considerat operator.
De asemenea, n corelaie cu cele de mai sus, evaluarea trebuie s aib n vedere marja de
manevr pe care o poate avea persoana mputernicit s prelucreze datele n conformitate
cu directiva. Aceste definiii devin deosebit de relevante atunci cnd n prelucrarea
datelor sunt implicate diverse pri i cnd trebuie stabilit care dintre acestea au rolul de
operator de date (singur sau mpreun cu altele) i care au rolul de persoane mputernicite
s prelucreze datele - dac este cazul.
Importana care se acord scopurilor i mijloacelor poate varia n funcie de contextul
specific n care are loc prelucrarea.
Este nevoie de o abordare pragmatic, care s pun accentul pe libertatea de decizie, n
ceea ce privete stabilirea scopurilor i pe libertatea de aciune, n ceea ce privete luarea
deciziilor. n aceste cazuri, ntrebarea este de ce sunt prelucrate datele i care este rolul
posibilelor pri implicate, precum furnizorii de servicii externalizate: ar fi fost datele
prelucrate de ntreprinderea ctre care au fost externalizate serviciile dac operatorul nu
i-ar fi cerut acest lucru i n ce condiii? O persoan mputernicit s prelucreze datele ar
putea aciona dincolo de ndrumrile generale n ceea ce privete scopurile i ar putea s
nu intre prea mult n amnunte n ceea ce privete mijloacele.
Exemplul nr. 2: Marketingul prin pot
ntreprinderea ABC ncheie contracte cu diferite organizaii n vederea realizrii
campaniilor sale de marketing prin pot i a ntocmirii statelor de plat. Aceasta ofer
instruciuni clare (ce material de marketing trebuie trimis i cui trebuie trimis, cine
trebuie pltit, ce sume, pn la ce dat etc.). Dei organizaiile au o anumit libertate de
decizie (inclusiv referitor la programul pe care s-l utilizeze), ndatoririle lor sunt
destul de clar i de bine stabilite i, chiar dac serviciul potal ar putea da orientri (de
exemplu, o recomandare mpotriva trimiterii de mesaje publicitare n luna august),
acestea acioneaz conform instruciunilor ntreprinderii ABC. Mai mult, o singur
entitate, ntreprinderea ABC, are dreptul s utilizeze datele prelucrate toate celelalte
entiti trebuie s se bazeze pe temeiul juridic al ntreprinderii ABC n cazul n care
este investigat capacitatea lor legal de a prelucra datele. n acest caz, este evident c
ntreprinderea ABC are rolul de operator de date, iar fiecare dintre organizaiile
separate poate fi considerat persoan mputernicit pentru prelucrarea datelor, cu
privire la prelucrarea specific a datelor pe care o realizeaz n numele su.
13

n ceea ce privete stabilirea mijloacelor, termenul mijloace cuprinde, n mod evident,


elemente de natur foarte diferit, fapt ilustrat i de istoricul acestei definiii. n
propunerea iniial, rolul de operator ar decurge din stabilirea a patru elemente
(scopuri/obiectiv, date cu caracter personal, operaiuni i teri care au acces la acestea).
Formularea final a prevederii, care se refer numai la scopuri i mijloace, nu poate fi
interpretat ca fiind n contradicie cu versiunea anterioar, deoarece nu exist nicio
ndoial cu privire la faptul c operatorul este cel care trebuie s stabileasc ce date
trebuie prelucrate pentru scopul propus/scopurile propuse. n consecin, ultima definiie
trebuie neleas mai degrab ca fiind doar o versiune prescurtat care cuprinde ns
sensul versiunii anterioare. Cu alte cuvinte, mijloacele nu se refer la modalitile
tehnice de prelucrare a datelor cu caracter personal, ci i la modul de realizare a
prelucrrii, care include ntrebri precum: ce date trebuie prelucrate, care teri au
acces la aceste date, cnd vor fi terse datele etc.
n consecin, stabilirea mijloacelor include att ntrebri tehnice i organizaionale,
pentru care deciziile pot fi delegate persoanelor mputernicite (cum ar fi, de exemplu, ce
hardware i software trebuie s se utilizeze?), ct i elemente eseniale care sunt de
regul i inerent stabilite de operator, cum ar fi ce date trebuie prelucrate?, pentru ct
timp vor fi prelucrate?, cine va avea acces la ele? etc.
n acest context, n timp ce stabilirea scopului prelucrrii ar determina n orice caz
calificarea de operator, stabilirea mijloacelor ar implica un controlul doar n situaiile n
care stabilirea vizeaz elementele eseniale ale mijloacelor.
n acest sens, este foarte posibil ca mijloacele tehnice i organizatorice s fie stabilite
exclusiv de ctre persoana mputernicit s prelucreze datele.
n aceste cazuri n care scopurile sunt bine definite, dar orientrile privind mijloacele
tehnice i organizaionale sunt foarte puine sau nu exist - mijloacele ar trebui s
reprezinte o modalitate rezonabil de atingere a scopului/scopurilor, iar operatorul de
date ar trebui s fie pe deplin informat cu privire la mijloacele utilizate. n cazul n care
un contractant ar avea o influen asupra scopului i ar prelucra datele (i) n scopuri
proprii, de exemplu utiliznd datele cu caracter personal primite n vederea generrii unor
servicii cu valoare adugat, acesta ar fi un operator (sau un operator asociat) pentru o
alt activitate de prelucrare i s-ar supune tuturor obligaiilor legislaiei aplicabile privind
protecia datelor.
Exemplul nr. 3: ntreprindere cu titlu de persoan mputernicit s prelucreze datele, dar
care acioneaz ca un operator de date
ntreprinderea MarketinZ ofer servicii de publicitate promoional i de marketing
direct mai multor ntreprinderi. ntreprinderea GoodProductZ ncheie un contract cu
MarketinZ, conform cruia cea de-a doua ntreprindere asigur publicitatea comercial
pentru clienii GoodProductZ i este considerat ca fiind persoana mputernicit s
prelucreze datele. Totui, MarketinZ decide s utilizeze baza de date cuprinznd clienii
GoodProducts i n scopul promovrii produselor altor clieni. Aceast decizie, de a
aduga nc un scop pe lng scopul pentru care au fost transferate datele cu caracter
personal, schimb statutul ntreprinderii MarketinZ n operator de date pentru aceast
operaiune de prelucrare. Chestiunea legitimitii acestei prelucrri va fi totui evaluat
n temeiul altor articole (6-8).

14

n anumite sisteme juridice, deciziile cu privire la msurile de securitate sunt deosebit de


importante, deoarece msurile de securitate sunt considerate n mod explicit ca fiind o
caracteristic esenial care trebuie stabilit de operator. Astfel, apare ntrebarea privind
ce decizii referitoare la securitate pot atrage calificarea ca operator a unei ntreprinderi
ctre care a fost externalizat prelucrarea.
Concluzie preliminar
Stabilirea scopului prelucrrii este rezervat operatorului. Oricine ia aceast decizie
devine astfel operatorul (de facto). Stabilirea mijloacelor de prelucrare poate fi
delegat de operator, n ceea ce privete chestiunile tehnice sau organizatorice.
Chestiunile de fond, care sunt eseniale pentru legalitatea prelucrrii sunt rezervate
operatorului. O persoan sau o entitate care decide, de exemplu, perioada de timp n care
vor fi stocate datele sau persoanele care au acces la datele prelucrate are rolul de
operator n ceea ce privete aceast parte i trebuie, n consecin, s se supun tuturor
obligaiilor aferente operatorului.
III.1.c)

Primul element: persoana fizic, juridic sau orice alt organism

Primul element al definiiei se refer la aspectul personal: cine poate fi operator i


considerat astfel responsabil n ultim instan pentru obligaiile care decurg din
directiv. Definiia reflect exact formularea din articolul 2 al Conveniei 108 i nu a
fcut obiectul unei discuii specifice n procesul de luare a deciziilor referitor la directiv.
Aceasta vizeaz o gam larg de persoane care pot juca rolul de operator, de la persoane
fizice la persoane juridice, inclusiv orice alt organism.
Este important ca interpretarea acestui element s asigure aplicarea efectiv a directivei,
favoriznd pe ct posibil o identificare clar i explicit a operatorului n toate cazurile,
indiferent dac s-a efectuat sau s-a publicat o numire oficial.
n primul rnd, este important s se urmeze ct mai ndeaproape practica stabilit att n
sectorul public, ct i n cel privat de alte domenii de drept, precum dreptul civil,
administrativ i penal. n majoritatea cazurilor, aceste dispoziii vor arta cror persoane
sau organisme ar trebui s le fie alocate responsabilitile i vor ajuta n principiu la
identificarea operatorului de date.
n perspectiva strategic a alocrii responsabilitilor i pentru ca persoanele vizate s
beneficieze de o entitate de referin mai stabil i mai de ncredere n exercitarea
drepturilor lor n conformitate cu directiva, ar trebui s se considere de preferin c
ntreprinderea sau organismul n sine are de operator i nu o anumit persoan din cadrul
ntreprinderii sau al organismului. Exceptnd cazul n care exist elemente clare care
indic responsabilitatea unei persoane fizice, se va considera n ultim instan c
organismul sau ntreprinderea este responsabil pentru prelucrarea datelor i pentru
respectarea obligaiilor ce decurg n temeiul legislaiei privind protecia datelor. n
general, ar trebui s se presupun c organismul public sau ntreprinderea este
responsabil pentru activitile de prelucrare care au loc n domeniul su de activiti i
riscuri.

15

Uneori, ntreprinderile i organismele publice desemneaz o anumit persoan ca fiind


responsabil pentru punerea n aplicare a operaiunilor de prelucrare. Totui, chiar i n
cazul n care este desemnat o anumit persoan fizic pentru asigurarea conformitii cu
principiile de protecie a datelor sau pentru prelucrarea de date cu caracter personal,
aceasta din urm nu va avea rolul de operator, ci va aciona n numele entitii juridice
(ntreprinderea sau organismul public) care, n calitatea sa de operator, va fi
rspunztoare n cazul nclcrii principiilor13.
n special n cazul structurilor mari i complexe, este esenial din perspectiva
guvernanei proteciei datelor s se asigure att o responsabilitate clar a persoanei
fizice care reprezint ntreprinderea, ct i responsabiliti funcionale concrete n cadrul
structurii, de exemplu prin desemnarea altor persoane care s acioneze n calitate de
reprezentani sau puncte de contact pentru persoanele vizate.
n cazurile n care o persoan fizic din cadrul unei persoane juridice utilizeaz date n
scopuri proprii, n afara domeniului de activitate i a controlului posibil al activitilor
persoanei juridice, se impune realizarea unei analize speciale. n astfel de situaii,
persoana fizic n cauz ar fi operatorul n legtur cu prelucrarea asupra creia s-a luat
decizia i ar fi responsabil pentru aceast utilizare a datelor cu caracter personal. Totui,
operatorul iniial ar putea s poarte o anumit responsabilitate dac noua prelucrare ar
avea loc, din cauza lipsei unor msuri adecvate de securitate.
Astfel cum s-a menionat deja mai sus, rolul operatorului este esenial i deosebit de
relevant n ceea ce privete stabilirea responsabilitii i aplicarea sanciunilor. Chiar
dac rspunderea i sanciunile vor varia n funcie de statul membru n cauz, deoarece
sunt impuse n conformitate cu legislaiile naionale, necesitatea identificrii precise a
persoanei fizice sau juridice responsabile pentru nclcarea legislaiei privind protecia
datelor este, fr ndoial, o condiie prealabil esenial pentru aplicarea eficient a
directivei.
Identificarea operatorului din punctul de vedere al proteciei datelor va fi legat, n
practic, de normele dreptului civil, administrativ sau penal care prevd alocarea
responsabilitilor sau sanciunile care pot fi impuse unei persoane fizice sau juridice14.
Rspunderea civil nu ar trebui s ridice probleme specifice n acest context, ntruct se
aplic n principiu att persoanelor juridice, ct i persoanelor fizice. Cu toate acestea,
rspunderea penal i/sau administrativ se poate aplica uneori numai n cazul
persoanelor fizice, n funcie de legislaiile naionale. n cazul n care legislaia naional
respectiv prevede sanciuni penale sau administrative pentru nclcarea proteciei
datelor, aceasta va decide n mod normal i cine este responsabil: atunci cnd
rspunderea penal sau administrativ a persoanelor juridice nu este recunoscut, aceasta
ar putea fi preluat de funcionarii persoanelor juridice, n conformitate cu nomele
specifice ale legislaiei naionale15.
13

14

15

Un raionament similar se aplic cu privire la Regulamentul (CE) 45/2001, care n articolul 2 litera (d)
se refer la instituia sau organul comunitar, direcia general, unitatea sau orice alt entitate
organizaional. Practica de supraveghere a artat c funcionarii instituiilor i organismelor UE,
care au fost desemnai ca operatori, acioneaz n numele organismului pentru care lucreaz.
A se vedea Studiul comparativ al situaiei din cele 27 de state membre privind legea aplicabil
obligaiilor necontractuale rezultate din nclcarea vieii private i a drepturilor personalitii,
redactat de Comisie, n februarie 2009, disponibil la
http://ec.europa.eu/justice_home/doc_centre/civil/studies/doc/study_privacy_en.pdf
Aceasta nu exclude posibilitatea ca legislaiile naionale s prevad rspunderea penal sau
administrativ nu numai pentru operator, ci i pentru orice persoan care ncalc legislaia privind
protecia datelor.
16

Legislaia european conine exemple utile de criterii de atribuire a rspunderii penale16,


n special atunci cnd o infraciune este comis n folosul persoanei juridice: rspunderea
poate fi atribuit n acest caz oricrei persoane, acionnd fie individual, fie ca parte a
unui organ al persoanei juridice, care deine o poziie de conducere n cadrul persoanei
juridice, bazat pe unul dintre urmtoarele elemente:
(a) puterea de reprezentare a persoanei juridice;
(b) puterea de a lua decizii n numele persoanei juridice; sau
(c) puterea de a exercita controlul n cadrul persoanei juridice.
Concluzie preliminar
Rezumnd cele de mai sus, se poate concluziona c persoana responsabil n cazul unei
nclcri n ceea ce privete protecia datelor este ntotdeauna operatorul, adic persoana
juridic (ntreprinderea sau organismul public) sau persoana fizic identificat n mod
oficial n conformitate cu criteriile directivei. n cazul n care o persoan fizic din cadrul
unei ntreprinderi sau unui organism public utilizeaz datele n scopuri proprii, n afara
activitilor ntreprinderii, persoana respectiv va fi considerat operatorul de facto i va
rspunde ca atare.
Exemplul nr. 4: Monitorizarea secret a angajailor
Un membru al consiliului director al unei ntreprinderi decide s monitorizeze n secret
angajaii ntreprinderii, chiar dac aceast decizie nu este susinut n mod oficial de
consiliu. ntreprinderea ar trebui considerat operator, putnd face obiectul posibilelor
reclamaii i rspunderii pe care o implic acest lucru n relaie cu angajaii si, ale
cror date cu caracter personal au fost utilizate abuziv.
Rspunderea ntreprinderii apare n special deoarece, n calitate de operator, aceasta are
obligaia de a asigura respectarea normelor de securitate i de confidenialitate.
Utilizarea abuziv de ctre un funcionar al ntreprinderii sau de ctre un angajat ar
putea fi considerat ca fiind rezultatul unor msuri de securitate necorespunztoare.
Aceasta, indiferent dac, mai trziu, respectivul membru al consiliului director sau alte
persoane fizice din cadrul ntreprinderii ar putea fi, de asemenea, considerate
rspunztoare, att din punct de vedere al dreptului civil i fa de ntreprindere - ct
i din punct de vedere al dreptului penal. Aceast situaie poate aprea, de exemplu,
dac respectivul membru al consiliului director ar utiliza datele colectate n scopul
obinerii unor favoruri personale din partea angajailor: el ar trebui considerat ca avnd
rolul de operator i rspunztor pentru utilizarea acestor date.
III.1.d)

Al doilea element: singur sau mpreun cu altele

Acest paragraf, care se bazeaz pe analiza anterioar a caracteristicilor tipice ale


operatorului, va aborda acele cazuri n care n prelucrarea datelor cu caracter personal
16

A se vedea, de exemplu Directiva 2008/99/CE din 19 noiembrie 2008 privind protecia mediului prin
dreptul penal, Decizia-cadru a Consiliului din 13 iunie 2002 privind combaterea terorismului.
Instrumentele juridice sunt fie bazate pe articolul 29 articolul 31 litera (e) i articolul 34 alineatul (2)
litera (b) din TUE, fie corespund temeiurilor juridice pentru instrumentele utilizate n primul pilon,
rezultnd din jurisprudena CEJ n cauzele C-176/03, COM/Consiliu, Rec. 2005, p. I-7879 i
C-440/05, COM/Consiliu, Clg. 2007, p. I-9097. A se vedea, de asemenea, comunicarea COM (2005)
583 final.
17

interacioneaz mai multe pri. ntr-adevr, exist tot mai multe cazuri n care diferite
pri acioneaz n calitate de operatori, iar definiia pe care o prevede directiva ia n
considerare acest lucru.
Posibilitatea ca operatorul s acioneze singur sau mpreun cu altele nu a fost
menionat n Convenia 108 i a fost de fapt introdus de Parlamentul European numai
nainte de adoptarea directivei. n avizul Comisiei cu privire la amendamentul PE,
Comisia face referire la posibilitatea ca pentru o singur operaiune de prelucrare, mai
multe pri s poat stabili mpreun scopul i mijloacele de prelucrare i ca, n acest
caz, s se considere c fiecare dintre operatorii asociai este supus obligaiilor impuse
prin directiv, n vederea protejrii persoanelor fizice la care se refer datele
prelucrate.
Avizul Comisiei nu a reflectat pe deplin complexitatea real a prelucrrii datelor, ntruct
s-a concentrat numai pe cazul n care toi operatorii stabilesc i sunt responsabili n egal
msur pentru o singur operaiune de prelucrare. n realitate, ns, acesta este numai
unul dintre posibilele cazuri de control pluralist. n acest sens, mpreun trebuie
interpretat ca nsemnnd alturi de sau nu singur, n diferite forme i combinaii.
n primul rnd, ar trebui remarcat faptul c probabilitatea implicrii mai multor pri n
prelucrarea datelor cu caracter personal este legat n mod firesc de diferitele tipuri de
activiti care, conform directivei, pot constitui prelucrarea i care, n ultim instan,
reprezint obiectul controlului comun. Definiia prelucrrii, conform articolului 2 litera
(b) din directiv nu exclude posibilitatea implicrii mai multor pri n diferite operaiuni
sau serii de operaiuni privind datele cu caracter personal. Aceste operaiuni pot avea loc
simultan sau n diferite etape.
ntr-un mediu att de complex, este i mai important ca rolurile i responsabilitile s
poat fi alocate cu uurin, astfel nct complexitatea controlului comun s nu determine
o distribuie inaplicabil a responsabilitilor, care ar limita eficacitatea legislaiei privind
protecia datelor. Din pcate, din cauza diversitii cazurilor posibile, este imposibil s se
realizeze o list sau o clasificare exhaustiv nchis a diferitelor tipuri de control
comun. Totui, este util ca n acest context s se ofere orientri, prin prezentarea unor
categorii i exemple de control comun i a unor elemente de fapt care pot indica existena
unui control comun.
n general, evaluarea controlului comun ar trebui s reflecte evaluarea controlului
exclusiv prezentat mai sus, la punctul III.1.a - c. n acelai sens, pentru evaluarea
controlului comun ar trebui s se adopte un mod de abordare concret i funcional, aa
cum se arat mai sus, care s analizeze dac scopurile i mijloacele sunt sau nu stabilite
de mai multe pri.
Exemplul nr. 5: Instalarea unor camere de supraveghere video
Proprietarul unui imobil ncheie un contract cu o societate de securitate, solicitndu-i
instalarea unor camere video n diverse pri ale imobilului, n numele operatorului.
Scopul supravegherii video i modul n care imaginile sunt colectate i stocate sunt
stabilite exclusiv de proprietarul imobilului, care trebuie astfel considerat operatorul
exclusiv pentru aceast operaiune de prelucrare.

18

De asemenea, n acest context acordurile contractuale pot fi utile pentru evaluarea


controlului comun, ns acestea ar trebui ntotdeauna comparate cu relaia efectiv dintre
pri.
Exemplul nr. 6: Societi de recrutare de personal
Societatea Headhunterz Ltd ajut ntreprinderea Enterprize Inc n recrutarea de
personal. Contractul precizeaz n mod clar c Headhunterz Ltd va aciona n numele
ntreprinderii Enterprize, iar n ceea ce privete prelucrarea datelor cu caracter
personal, are rolul de persoan mputernicit pentru prelucrarea datelor. Enterprize este
operatorul de date exclusiv. Totui, Headhunterz Ltd se afl ntr-o poziie ambigu: pe
de o parte, aceasta are rolul de operator n raport cu persoanele aflate n cutarea unui
loc de munc, iar pe de alt parte i asum rolul de persoan mputernicit care
acioneaz n numele operatorilor, precum Enterprize Inc i alte ntreprinderi care
recruteaz personal prin intermediul su. n plus, Headhunterz i renumitul su
serviciu cu valoare adugat plasare a forei de munc la nivel global - caut
candidai potrivii att consultnd CV-urile primite direct de Enterprize, ct i cele pe
care le are deja n baza sa ampl de date. Astfel, societate Headhunterz, care conform
contractului este pltit numai pentru contractele efectiv semnate, crete probabilitatea
de plasare a forei de munc, sporindu-i astfel veniturile. Conform celor de mai sus, se
poate concluziona c, n pofida calificrii conform contractului, se consider c
Headhunterz Ltd are rolul de operator, controlnd mpreun cu ntreprinderea
Enterprize Inc cel puin acele serii de operaiuni care se refer la recrutarea
personalului pentru Enterprize.
Din aceast perspectiv, controlul comun apare atunci cnd mai multe pri stabilesc n
ceea ce privete anumite operaiuni de prelucrare fie scopul, fie acele elemente eseniale
ale mijloacelor care l caracterizeaz pe operator (a se vedea alineatele III.1.a- c de mai
sus).
Totui, n contextul controlului comun, participarea prilor la stabilirea n comun poate
lua diferite forme i nu trebuie s fie n proporie egal. ntr-adevr, n cazul mai multor
pri, acestea pot avea o relaie foarte strns (repartizndu-i, de exemplu, toate
scopurile i mijloacele unei prelucrri) sau o relaie mai puin strns (repartizndu-i, de
exemplu, numai scopurile sau numai mijloacele, sau o parte dintre acestea). n
consecin, pentru face fa complexitii reale a prelucrrii de date, ar trebui s se ia n
considerare o gam larg de tipologii privind controlul comun, iar consecinele acestora
ar trebui evaluate, cu un anumit grad de flexibilitate.
n acest context, se impune abordarea diferitelor niveluri posibile de interaciune dintre
pri pentru prelucrarea datelor cu caracter personal.
n primul rnd, simplul fapt c mai multe persoane colaboreaz pentru prelucrarea
datelor cu caracter personal, de exemplu n lan, nu nseamn c acestea sunt neaprat i
operatori asociai, ntruct schimbul de date dintre dou pri, fr ca acestea s i
repartizeze scopurile sau mijloacele ntr-o serie comun de operaiuni, ar trebui
considerat doar un transfer de date dintre doi operatori distinci.

19

Exemplul nr. 7: Agenie de turism (1)


O agenie de turism transmite datele personale ale clienilor si unor linii aeriene i
lanuri hoteliere, n vederea efecturii unor rezervri pentru un pachet de cltorie.
Linia aerian i hotelul confirm disponibilitatea locurilor i camerelor solicitate.
Agenia de turism emite documentele de cltorie i cupoanele pentru clienii si. n
acest caz, agenia de turism, linia aerian i hotelul vor fi trei operatori de date distinci,
fiecare dintre acetia avnd obligaii privind protecia datelor n legtur cu propriile
procese de prelucrare.
Totui, evaluarea poate fi diferit atunci cnd mai multe pri decid s creeze o
infrastructur comun n vederea realizrii scopurilor lor proprii. Atunci cnd pentru
crearea acestei infrastructuri, prile implicate stabilesc elementele eseniale ale
mijloacelor care vor fi utilizate, acestea sunt calificate drept operatori asociai de date - n
orice caz, ntr-o anumit msur - chiar dac nu au neaprat aceleai scopuri.
Exemplul nr. 8: Agenie de turism (2)
Agenia de turism, lanul hotelier i linia aerian decid s creeze o platform comun
prin internet, pentru a-i mbunti cooperarea cu privire la procesul de rezervare a
cltoriilor. Acestea convin asupra elementelor importante ale mijloacelor care vor fi
utilizate, cum ar fi datele care vor fi stocate, modul n care vor fi alocate i confirmate
rezervrile i persoanele care pot avea acces la informaiile stocate. n plus, acestea
decid s utilizeze n comun datele privind clienii lor, n vederea realizrii unor aciuni
de marketing integrate.
n acest caz, agenia de turism, linia aerian i lanul hotelier vor controla n comun
modul n care sunt prelucrate datele personale ale clienilor lor i vor avea astfel rolul
de operatori asociai n ceea ce privete operaiunile de prelucrare n legtur cu
platforma comun de rezervri prin internet. Totui, fiecare va deine controlul
exclusiv n ceea ce privete alte activiti de prelucrare, de exemplu cele legate de
managementul resurselor umane.
n unele cazuri, mai multe pri prelucreaz aceleai date personale pe rnd. n aceste
cazuri, la nivel micro, diferitele operaiuni de prelucrare ar putea prea a avea nicio
legtur, deoarece fiecare ar putea avea un alt scop. Totui, este necesar s se mai
verifice nc o dat dac la nivel macro aceste operaiuni de prelucrare nu ar trebui
considerate serii de operaiuni, care au un scop comun sau utilizeaz nite mijloace
stabilite n comun.
Urmtoarele dou exemple clarific aceast idee, prezentnd dou posibile scenarii
diferite.

20

Exemplul nr. 9: Transfer de date privind angajaii ctre autoritile fiscale


ntreprinderea XYZ colecteaz i prelucreaz date cu caracter personal cu privire la
angajaii si n scopul gestionrii salariilor, ndatoririlor, asigurrilor de sntate etc.
Totui, conform legii, ntreprinderea trebuie s transmit toate datele cu privire la
salarii ctre autoritile fiscale, n vederea consolidrii controlului fiscal.
n acest caz, chiar dac ntreprinderea XYZ i autoritile fiscale prelucreaz aceleai
date cu privire la salarii, lipsa unui scop comun sau a unor mijloace comune cu privire
la prelucrarea datelor va conduce la considerarea celor dou entiti ca doi operatori de
date distinci.
Exemplul nr. 10: Tranzacii financiare
S lum n schimb cazul unei bnci care utilizeaz un agent financiar pentru realizarea
tranzaciilor sale financiare. Banca i agentul convin asupra mijloacelor de prelucrare a
datelor financiare. Prelucrarea datelor personale cu privire la tranzaciile financiare este
realizat iniial de ctre instituia financiar i numai ulterior de agentul financiar.
Totui, chiar dac la nivel micro fiecare subiect i urmrete propriul scop, la nivel
macro, diferitele etape, scopurile i mijloacele de prelucrare sunt strns legate. n acest
caz, att banca, ct i agentul pot fi considerai operatori asociai.
n alte cazuri, diferitele pri implicate stabilesc n comun, uneori ntr-o anumit msur,
scopurile i/sau mijloacele unei operaiuni de prelucrare.
Exist cazuri n care fiecare operator rspunde numai de o parte a prelucrrii, dar
informaiile sunt compilate i prelucrate n cadrul unei platforme.
Exemplul nr. 11: Portaluri de e-guvernare
Portalurile de e-guvernare au rolul de intermediari ntre ceteni i unitile de
administraie public: portalul transfer cererile cetenilor i pstreaz documentele
unitii de administraie public pn cnd acestea sunt solicitate de cetean. Fiecare
unitate de administraie public rmne operatorul datelor prelucrate n scopuri proprii.
Cu toate acestea, portalul n sine poate fi de asemenea considerat operator. ntr-adevr,
acesta prelucreaz (colecteaz i transfer ctre unitatea competent) cererile
cetenilor i documentele publice (le pstreaz i reglementeaz accesul la acestea, ca
de exemplu descrcarea lor de ctre ceteni) pentru alte scopuri (facilitarea serviciilor
de e-guvernare) dect cele pentru care datele sunt prelucrate iniial de fiecare unitate de
administraie public. Printre obligaiile acestor operatori se numr obligaia de a se
asigura c sistemul de transfer al datelor cu caracter personal de la utilizator n sistemul
administraiei publice este sigur, ntruct, la nivel macro, acest transfer reprezint o
parte esenial a seriei de operaiuni de prelucrare realizate prin intermediul portalului.
O alt structur posibil este abordarea bazat pe origine, care apare atunci cnd
fiecare operator este responsabil pentru datele pe care le introduce n sistem. Este cazul
unor baze de date la nivelul UE, unde controlul - i astfel obligaia de a da curs cererilor
de acces i rectificare este atribuit pe baza originii naionale a datelor personale.
Reelele de socializare online ofer un alt scenariu interesant.
21

Exemplul nr. 12: Reelele de socializare


Furnizorii de servicii de socializare n reea ofer platforme de comunicare online care le
permit utilizatorilor s publice i s fac schimb de informaii. Aceti furnizori de servicii
sunt operatori de date, ntruct stabilesc att scopurile, ct i mijloacele de prelucrare a
acestor informaii. Utilizatorii acestor reele, care ncarc i date personale ale unor teri,
ar putea juca rolul de operatori cu condiia ca activitile lor s nu fac obiectul aanumitei excepii privind activitile domestice17.

Dup analizarea acelor cazuri n care diferiii subieci stabilesc mpreun doar o parte din
scopuri i mijloace, un caz foarte precis i care nu ridic probleme este cel n care mai
muli subieci stabilesc n comun i au aceleai scopuri i mijloace de prelucrare, avnd
astfel un control comun deplin.
n ultimul caz, este uor de stabilit cine este competent i n msur s asigure drepturile
persoanelor vizate i s se supun obligaiilor privind protecia datelor. Totui, sarcina de
a stabili care operator este competent - i rspunztor pentru ce drepturi i obligaii ale
persoanelor vizate este mult mai complex atunci cnd diferiii operatori asociai
mprtesc scopurile i mijloacele de prelucrare n mod asimetric.
Necesitatea de a clarifica distribuia controlului
n primul rnd, ar trebui s se precizeze c, n special n cazurile n care exist un control
comun, incapacitatea de ndeplinire direct a tuturor obligaiilor aferente operatorului
(asigurarea informaiilor, dreptul de acces etc.) nu exclude statutul de operator. Practic,
acele obligaii ar putea fi cu uurin ndeplinite de alte pri, care sunt uneori mai
apropiate de persoana vizat, n numele operatorului. Totui, operatorul este cel care va
rspunde n cele din urm de ndeplinirea obligaiilor i care va fi rspunztor n cazul
nclcrii acestora.
Conform unui text anterior prezentat de Comisie n timpul procesului de adoptare a
directivei, accesul la anumite date cu caracter personal ar determina calificarea de
operator (asociat) n legtur cu aceste date. Totui, textul final nu a pstrat aceast
formulare, iar experiena arat c, pe de o parte, accesul la date nu determin controlul, n
timp ce, pe de alt parte, accesul la date nu este o condiie esenial pentru funcia de
operator. n consecin, n sistemele complexe, n care sunt implicate mai multe pri,
accesul la datele personale i alte drepturi privind persoanele vizate pot fi asigurate la
diferite niveluri de ctre diveri actori.
Consecinele juridice sunt legate i de rspunderea operatorilor, punndu-se n special
problema dac acel controlul comun prevzut n directiv atrage ntotdeauna
rspunderea n solidar. Articolul 26 cu privire la rspundere utilizeaz termenul de
operator la singular, ceea ce indic un rspuns pozitiv. Totui, aa cum s-a menionat
deja, n realitate pot exista diferite moduri de a aciona mpreun. Aceasta ar putea
determina n anumite cazuri rspunderea n solidar, ns nu n mod necesar: de multe ori,
diferiii operatori pot fi responsabili - i astfel rspunztori pentru prelucrarea datelor
personale n diferite etape i n grade diferite.
17

Pentru mai multe detalii i exemple, a se vedea Avizul 5/2009 privind socializarea n reea online, al
Grupului de lucru instituit n temeiul articolului 29, adoptat la 12 iunie 2009 (GL 163)
22

Concluzia este c ar trebui s se asigure c i n cazul mediilor complexe de prelucrare a


datelor, n care diferii operatori au un anumit rol n prelucrarea datelor cu caracter
personal, respectarea normelor de protecie a datelor i rspunderea determinat de
posibila nclcare a acestor norme sunt repartizate n mod clar, pentru a evita diminuarea
proteciei datelor personale sau apariia unui conflict negativ de competen i a unor
lacune din cauza crora unele obligaii sau drepturi care decurg din directiv nu sunt
asigurate de oricare dintre pri.
n aceste cazuri, mai mult dect oricnd, este important ca persoanele vizate s fie
informate clar cu privire la diferitele etape i diferitele pri implicate n prelucrare. n
plus, ar trebui precizat dac fiecare operator are competena de a respecta toate drepturile
persoanei vizate sau ce drept intr n sfera de competen a fiecrui operator.
Exemplul nr. 13: Bnci i resurse comune de informaii privind clienii restanieri
Mai multe bnci ar putea stabili un fond comun de informaii n cazul n care
legislaia naional permite acest lucru n cadrul cruia fiecare banc contribuie cu
informaii (date) privind clienii restanieri i toate bncile au acces deplin la
informaii. Unele legislaii prevd ca toate cererile persoanelor vizate, de exemplu
privind accesul la date sau tergerea acestora, s se adreseze numai unui punct de
intrare, furnizorul. Furnizorul rspunde de identificarea corect a unui operator i de
asigurarea unor rspunsuri adecvate pentru persoana vizat. Identitatea furnizorului
este publicat n Registrul de prelucrare a datelor. n alte jurisdicii, aceste resurse
comune de informaii ar putea fi operate de entiti juridice distincte acionnd n
calitate de operator, iar cererile privind accesul persoanelor vizate vor fi tratate de
bncile participante, n calitate de intermediar al operatorului.
Exemplul nr. 14: Publicitatea comportamental
Publicitatea comportamental utilizeaz informaiile cu privire la comportamentul de
navigare pe internet al unei persoane, cum ar fi paginile vizitate sau cutrile efectuate,
n vederea selectrii mesajelor publicitare pentru acea persoan. Att editorii, care
nchiriaz adesea spaii publicitare pe site-urile lor, ct i furnizorii de reele publicitare,
care public n aceste spaii mesaje publicitare adresate unui anumit public, pot colecta
i schimba informaii privind utilizatorii, n funcie de acordurile contractuale n cauz.
Din punctul de vedere al proteciei datelor, editorul trebuie considerat ca fiind un
operator autonom, n msura n care colecteaz date cu caracter personal de la utilizator
(profilul utilizatorului, adresa IP, amplasamentul, limba sistemului de operare etc.) n
scopuri proprii. Furnizorul reelei publicitare va avea de asemenea rolul de operator n
msura n care stabilete scopurile (monitorizarea utilizatorilor pe site-uri) sau
mijloacele eseniale pentru prelucrarea datelor. n funcie de condiiile colaborrii dintre
editor i furnizorul reelei publicitare, de exemplu dac editorul permite transferul de
date personale ctre furnizorul reelei publicitare, inclusiv printr-o redirecionare a
utilizatorului ctre pagina de internet a furnizorului reelei publicitare, , de exemplu,
acetia ar putea avea rolul de operatori asociai pentru setul de operaiuni de prelucrare
care conduc la publicitatea comportamental.
n orice caz, operatorii (asociai) se asigur c aspectele tehnice i complexitatea
sistemului publicitii comportamentale nu i mpiedic s i respecte obligaiile care le
revin n calitate de operatori i s asigure drepturile persoanelor vizate.
23

Aceasta ar include, n special, urmtoarele:


informarea utilizatorului cu privire la faptul c datele acestuia pot fi accesate de
un ter: aceast operaiune ar putea fi realizat cu mai mare eficien de ctre
editor, deoarece acesta este principalul interlocutor al utilizatorului,
i condiiile de acces la datele cu caracter personal: societatea publicitar ar
trebui s rspund la cererile utilizatorilor cu privire la modul n care se
realizeaz publicitatea adresat unui anumit public pe baza datelor utilizatorilor
i s rspund cererilor de rectificare i de tergere.
n plus, editorii i furnizorii de reele publicitare ar putea s se supun i altor obligaii,
n temeiul legislaiei privind protecia civil i protecia consumatorilor, inclusiv
legislaia privind responsabilitatea civil delictual i practicile comerciale neloiale.
Concluzie preliminar
Prile care acioneaz n comun au un anumit grad de flexibilitate n ceea ce privete
repartizarea i alocarea obligaiilor i responsabilitilor, cu condiia ca acestea s asigure
o conformitate deplin. Normele privind modul n care sunt exercitate responsabilitile
comune ar trebui s fie, n principiu, stabilite de ctre operatori. Totui, n acest caz ar
trebui s se in seama i de circumstanele efective, pentru a se stabili dac acordurile
reflect realitatea prelucrrii datelor de baz.
n acest sens, evaluarea controlului comun ar trebui s ia n considerare, pe de o parte,
necesitatea respectrii depline a normelor privind protecia datelor i, pe de alt parte,
faptul c creterea numrului de operatori ar putea determina, de asemenea, situaii
complexe nedorite i o posibil lips de claritate n ceea ce privete alocarea
responsabilitilor. Aceasta ar putea conduce la o situaie n care ntregul proces ar fi
nelegal din cauza lipsei de transparen, nclcndu-se astfel principiului privind
prelucrarea echitabil a datelor.
Exemplul nr. 15: Platforme de gestionare a datelor medicale
ntr-un stat membru, o autoritate public instituie un punct naional de centralizare care
reglementeaz schimbul de date privind pacienii dintre furnizorii de servicii medicale.
Existena mai multor operatori zeci de mii determin o situaie att de ambigu
pentru persoanele vizate (pacieni), nct protecia drepturilor acestora este pus n
pericol. ntr-adevr, persoanele vizate nu ar ti cui s se adreseze n caz de reclamaii,
ntrebri, cereri de informaii, rectificri sau n cazul accesului la datele personale. n
plus, autoritatea public rspunde de prelucrarea efectiv i de modul n care este
utilizat. Aceste elemente conduc la concluzia c autoritatea public care instituie
punctul naional de centralizare este considerat ca avnd rolul de operator asociat,
precum i de punct de contact pentru solicitrile persoanelor vizate.
n acest context, se poate afirma c rspunderea solidar a tuturor prilor implicate ar
trebui considerat un mijloc de eliminare a incertitudinilor i ar trebui astfel asumat
numai n msura n care prile implicate nu au stabilit o alt modalitate alternativ la fel
de eficient de alocare a obligaiilor i a responsabilitilor sau aceasta nu decurge n mod
evident din circumstanele de fapt.

24

III.2. Definiia persoanei mputernicite de ctre operator


Conceptul de persoan mputernicit de ctre operator nu era prevzut n Convenia 108.
Rolul persoanei mputernicite este pentru prima dat recunoscut n prima propunere a
Comisiei, ns fr ca acest concept s fie introdus, n vederea evitrii situaiilor n care
prelucrarea datelor de ctre un ter, n numele operatorului dosarului, duce la reducerea
nivelului de protecie de care se bucur persoana vizat. Conceptul de persoan
mputernicit de ctre operator este precizat n mod explicit i autonom numai odat cu
propunerea modificat a Comisiei i n urma unei propuneri din partea Parlamentului
European, nainte de formularea actual din poziia comun a Consiliului.
n aceeai msur ca n cazul definiiei operatorului, definiia persoanei mputernicite de
operator are n vedere o gam larg de actori care pot avea rolul de persoan
mputernicit de ctre operator (persoana fizic sau juridic, autoritatea public,
agenia sau orice alt organism).
Existena unei persoane mputernicite de ctre operator depinde de decizia operatorului,
care poate decide fie s prelucreze datele n cadrul propriei sale organizaii, de exemplu
prin intermediul personalului autorizat s prelucreze datele sub directa sa autoritate [a se
vedea a contrario articolul 2 litera (f)], fie s delege toate activitile de prelucrare sau o
parte dintre acestea unei organizaii externe, adic aa cum se precizeaz n expunerea
de motive din propunerea modificat a Comisiei o persoan juridic distinct care
acioneaz n numele su.
n consecin, persoana mputernicit de operator trebuie s ndeplineasc dou condiii
de baz pe de o parte, s fie o entitate juridic distinct n raport cu operatorul i, pe de
alt parte, s prelucreze datele personale n numele acestuia. Aceast activitate de
prelucrare se poate limita la o sarcin foarte specific sau la un context foarte specific sau
poate fi mai general i mai extins.
n plus, rolul persoanei mputernicite de ctre operator nu se bazeaz pe tipul entitii
care prelucreaz datele, ci pe activitile sale concrete dintr-un anumit context. Cu alte
cuvinte, aceeai entitate poate avea n acelai timp rolul de operator pentru anumite
operaiuni de prelucrare i rolul de persoan mputernicit pentru altele, iar calificarea
acesteia ca operator sau persoan mputernicit trebuie evaluat n raport cu anumite serii
de date sau de operaiuni.
Exemplul nr. 16: Furnizorii de servicii de internet de gzduire
Un furnizor de servicii de internet (ISP) care ofer servicii de gzduire este n principiu
o persoan mputernicit n ceea ce privete datele personale publicate online de ctre
clienii si care utilizeaz acest ISP pentru gzduirea i ntreinerea site-ului lor
internet. Totui, dac furnizorul de servicii de internet prelucreaz datele cuprinse n
site-urile web n scopuri personale, atunci acesta are rolul de operator de date cu privire
la acea operaiune de prelucrare. Aceast analiz este diferit de cazul unui ISP care
ofer servicii de e-mail sau de acces la internet (a se vedea, de asemenea, exemplul nr.
1: operatorii de telecomunicaii).
Cel mai important element este dispoziia conform creia persoana mputernicit
acioneaz n numele operatorului. A aciona n numele cuiva nseamn a servi
interesul acelei persoane i amintete de conceptul juridic de delegare. n cazul
legislaiei privind protecia datelor, persoana mputernicit este numit pentru a aplica
25

instruciunile emise de operator cel puin n ceea ce privete scopul operaiunii de


prelucrare i elementele eseniale ale mijloacelor.
n acest sens, caracterul legal al activitii de prelucrare a persoanei mputernicite se
stabilete n funcie de mandatul ncredinat de operator. Persoana mputernicit care i
depete atribuiile i care dobndete un rol semnificativ n ceea ce privete stabilirea
scopurilor sau a mijloacelor eseniale ale operaiunii de prelucrare are mai degrab rolul
de operator (asociat) i nu de persoan mputernicit. Problema legitimitii acestei
operaiuni de prelucrare va fi totui evaluat n temeiul altor articole (6-8). Totui,
delegarea poate implica un anumit grad de libertate de decizie cu privire la modul n care
interesele operatorului pot fi ct mai bine servite, persoana mputernicit putnd alege
mijloacele tehnice i organizaionale cele mai adecvate.
Exemplul nr. 17: Externalizarea serviciilor potale
Mai multe organisme private furnizeaz servicii potale n numele unor agenii
(publice) de exemplu, expedierea prin pot a alocaiilor familiale i a alocaiilor de
maternitate, n numele ageniei naionale de securitate social. n acest caz, o autoritate
de protecie a datelor a precizat c organismele private respective ar trebui s aib rolul
de persoane mputernicite, avnd n vedere c ndatorirea acestora, dei exercitat cu
un anumit grad de autonomie, se limiteaz doar la o parte din operaiunile de prelucrare
necesare n scopul stabilit de operatorul de date.
Tot pentru a asigura c externalizarea i delegarea atribuiilor nu determin un standard
mai puin strict de protecie a datelor, directiva cuprinde dou prevederi care se adreseaz
n mod specific persoanei mputernicite i care stabilesc foarte amnunit obligaiile
acesteia cu privire la confidenialitate i securitate.
- Articolul 16 stabilete c persoana mputernicit, precum i orice persoan care
acioneaz sub autoritatea acesteia i care are acces la datele cu caracter personal, nu
trebuie s le prelucreze dect dac operatorul solicit acest lucru.
- Articolul 17, privind securitatea prelucrrilor, stabilete necesitatea unui contract sau a
unui instrument juridic obligatoriu care s reglementeze relaiile dintre operatorul de date
i persoana mputernicit. Acest contract este n form scris, pentru a fi pstrat ca
dovad i are un coninut minimal, stipulnd n special c persoana mputernicit
acioneaz numai la cererea operatorului i pune n aplicare msurile tehnice i
organizatorice n vederea protejrii adecvate a datelor cu caracter personal. Contractul ar
trebui s includ o descriere suficient de detaliat a mputernicirii acordate persoanei n
cauz.
n acest sens, ar trebui remarcat c n multe cazuri furnizorii de servicii specializai n
anumite prelucrri de date (de exemplu, plata salariilor) vor stabili servicii i contracte
standard pentru operatorii de date, stabilind de fapt o modalitate standard de prelucrare a
datelor cu caracter personal18. Totui, faptul c un contract i condiiile detaliate ale
acestuia sunt redactate de ctre furnizorul de servicii i nu de ctre operator nu reprezint
n sine un temei suficient pentru a concluziona c furnizorul de servicii ar trebui
considerat ca avnd rolul de operator, n msura n care operatorul a acceptat de bun
voie condiiile contractuale, acceptnd astfel deplina responsabilitate n acest sens.
18

Elaborarea condiiilor contractuale de furnizorul de servicii nu aduce atingere faptului c aspectele


eseniale ale prelucrrii, astfel cum se arat la punctul III.1.b, sunt stabilite de operator.
26

Din aceeai perspectiv, diferena dintre puterea contractual a unui mic operator de date
n raport cu marii furnizori de servicii nu ar trebui s justifice acceptarea de ctre
operator a unor clauze i condiii contractuale neconforme cu legislaia privind protecia
datelor.
Exemplul nr. 18: Platforme de e-mail
John Smith caut o platform de e-mail pentru el i pentru cei cinci angajai ai
ntreprinderii sale. Acesta descoper c o platform adecvat, uor de utilizat - i de
altfel singura gratuit - pstreaz datele personale un timp foarte ndelungat i le
transfer n ri tere fr s fie adoptate msuri de siguran adecvate. n plus,
condiiile contractuale nu sunt negociabile.
n acest caz, dl Smith ar trebui fie s caute un alt furnizor, fie n cazul unei presupuse
nerespectri a normelor privind protecia datelor sau a absenei altor furnizori adecvai
pe pia s sesizeze autoritile competente, precum autoritile de protecie a datelor,
autoritile antitrust etc., cu privire la aceast problem.
Faptul c directiva impune existena un contract scris pentru a asigura securitatea
prelucrrii nu nseamn c nu pot exista relaii ntre operatorii/persoanele mputernicite n
lipsa unor contracte prealabile. n acest sens, contractul nu este nici esenial, nici decisiv,
chiar dac ar putea ajuta la o nelegere mai bun a relaiilor dintre pri19. Prin urmare,
chiar i n acest caz, se adopt o abordare funcional, care analizeaz elementele efective
ale relaiilor dintre diferiii subieci i felul n care sunt stabilite scopurile i mijloacele de
prelucrare. n cazul n care pare s existe o relaie ntre operator i persoana
mputernicit, aceste pri sunt obligate s ncheie un contract n conformitate cu legea (a
se vedea articolul 17 din directiv).
Existena mai multor persoane mputernicite
Exist din ce mai multe cazuri n care operatorul externalizeaz prelucrarea datelor
personale mai multor persoane mputernicite. Aceste persoane pot avea o relaie direct
cu operatorul de date sau pot fi subcontractani, crora persoanele mputernicite le-au
delegat o parte din activitile de prelucrare care le-au fost ncredinate.
Odat cu dezvoltarea unor noi tehnologii, exist tot mai multe structuri complexe (care se
desfoar pe mai multe niveluri sau sunt larg rspndite) de prelucrare a datelor
personale, iar unele legislaii naionale fac referire explicit la acestea. Directiva nu
prevede ca, din motive organizaionale, s nu poat fi desemnate mai multe entiti n
calitate de persoane mputernicite sau de subcontractani, prin subdivizarea sarcinilor
relevante. Totui, n cadrul prelucrrii datelor, toate aceste persoane trebuie s respecte
instruciunile operatorului de date.

19

Totui n anumite cazuri, existena unui contract scris poate constitui o condiie necesar pentru
calificarea automat a unei persoane mputernicite n anumite situaii. n Spania, de exemplu, raportul
privind centrele de apel stabilete c toate centrele de apel din rile tere au rolul de persoane
mputernicite, cu condiia s respecte contractul. Acest lucru este valabil chiar dac persoana
mputernicit ntocmete contractul, iar operatorul doar l accept.
27

Exemplul nr. 19: Reele informatice


Marile infrastructuri de cercetare utilizeaz tot mai mult sistemele informatice
distribuite, n special reelele informatice, pentru a beneficia de capacitatea de calcul i
de stocare. Reelele sunt instalate n diferite infrastructuri de cercetare stabilite n
diverse ri. De exemplu, o reea european poate cuprinde mai multe reele naionale
care, la rndul lor, se afl sub responsabilitatea unui organism naional. Este posibil
ns ca aceast reea european s nu aib un organism central, responsabil de
funcionarea sa. Cercettorii care utilizeaz o astfel de reea nu pot de obicei stabili
unde anume sunt prelucrate datele lor i astfel cine este persoana responsabil de
prelucrarea datelor (situaia este i mai complicat dac exist infrastructuri de reele n
ri tere). Dac o infrastructur de reele utilizeaz datele n mod neautorizat, aceast
parte poate fi considerat operatorul de date, n cazul n care nu acioneaz n numele
cercettorilor.
Aspectul strategic n cazul de fa este faptul c, avnd n vedere c exist mai multe
pri implicate n acest proces, obligaiile i responsabilitile care decurg din legislaia
privind protecia datelor ar trebui alocate n mod clar i nu dispersate de-a lungul lanului
de furnizori de servicii externalizate/subcontractani. Cu alte cuvinte, ar trebui s se evite
existena unui lan de subcontractani, care ar diminua sau chiar ar mpiedica controlul
eficient i responsabilitatea clar pentru activitile de prelucrare, ci excepia cazului n
care responsabilitile diferitelor pri din cadrul lanului sunt clar stabilite.
Din aceeai perspectiv, n acelai sens cu alineatul III.1.b de mai sus dei nu este
necesar ca operatorul s stabileasc i s aprobe toate detaliile privind mijloacele utilizate
pentru atingerea scopurilor propuse totui, acesta ar trebui cel puin informat cu privire
la elementele principale ale structurii prelucrrii (de exemplu, cu privire la persoanele
implicate, msurile de securitate, garaniile prelucrrii n rile tere etc.), astfel nct s
fie n msur s controleze datele prelucrate n numele su.
Ar trebui, de asemenea, s se aib n vedere c dei directiva stabilete ca rspunderea s
i revin operatorului, aceasta nu mpiedic legislaiile naionale privind protecia datelor
s prevad ca persoana mputernicit s fie de asemenea responsabil n anumite cazuri.
Pentru a stabili dac diferitele persoane implicate se calific sau nu, exist cteva criterii
care pot fi utile:
o nivelul instruciunilor emise de operatorul de date, care stabilesc marja de
manevr a persoanei mputernicite ;
o monitorizarea de ctre operatorul de date a modului n care serviciile sunt
executate. n cazul n care operatorul efectueaz o supraveghere constant i
atent, pentru a se asigura c persoana mputernicit respect pe deplin
instruciunile clauzelor contractuale nseamn c acesta deine nc un control
deplin i exclusiv al operaiunilor de prelucrare;
o vizibilitatea/imaginea pe care operatorul o ofer persoanei vizate i ateptrile
persoanelor vizate pe baza acestei vizibiliti.

28

Exemplul nr. 20: Centre de apeluri


Un operator de date i externalizeaz o parte din operaiuni ctre un centru de apeluri
care utilizeaz identitatea operatorului de date atunci cnd apeleaz clienii acestuia. n
acest caz, avnd n vedere ateptrile clienilor i modul n care operatorul se prezint
prin intermediul societii care presteaz serviciile externalizate, se poate formula
concluzia c societatea respectiv funcioneaz ca persoan mputernicit n numele
operatorului.
o Expertiza prilor: n anumite cazuri, rolul tradiional i expertiza profesional a
furnizorului de servicii are un rol predominant, care poate atrage calificarea
acestuia ca operator.
Exemplul nr. 21: Avocai
Un avocat i reprezint clientul n instan i, n acest sens, prelucreaz datele
personale legate de cazul clientului su. Temeiul juridic pe baza cruia utilizeaz
informaiile necesare este mputernicirea din partea clientului. Totui, mputernicirea
nu se concentreaz pe prelucrarea datelor, ci pe reprezentarea clientului n instan,
activitate pentru care astfel de profesii au n mod tradiional propriul temei juridic. n
consecin, persoanele care exercit astfel de profesii trebuie considerate operatori
independeni atunci cnd prelucreaz datele n timpul reprezentrii legale a clienilor
lor.
ntr-un context diferit, o evaluare mai detaliat a mijloacelor utilizate pentru atingerea
scopurilor ar putea fi, de asemenea, decisiv.
Exemplul nr. 22: Site-uri internet pentru obiecte pierdute i gsite
Un site web pentru obiecte pierdute i gsite a fost prezentat ca avnd simplul rol de
persoan mputernicit, deoarece persoanele care public obiectele pierdute stabilesc
coninutul su i, la nivel micro, scopul (de exemplu, gsirea unei broe, a unui papagal
etc.). O autoritate de protecie a datelor a respins acest argument. Site-ul a fost nfiinat
n scopul obinerii unui profit din publicarea obiectelor pierdute, iar faptul c acesta nu
a stabilit ce obiecte anume urmau s fi publicate (spre deosebire de categorii de
obiecte) nu era esenial, deoarece definiia operatorului de date nu include n mod
expres obligaia de a stabili coninutul. Site-ul stabilete condiiile de publicare etc. i
rspunde de caracterul adecvat al coninutului.
Dei ar fi putut exista o tendin general de identificare a furnizorilor de servicii
externalizate ca persoane mputernicite, n prezent situaiile i evalurile sunt adesea mult
mai complexe.

29

Exemplul nr. 23: Contabilii


Calificarea contabililor poate varia n funcie de context. n cazul n care contabilii
ofer servicii publicului general i micilor comerciani pe baza unor instruciuni foarte
generale (pregtii declaraiile mele de venit), acetia la fel ca avocaii care
acioneaz n circumstane similare i din motive similare vor avea rolul de operatori
de date. Totui, atunci cnd contabilul este angajat de o firm i trebuie s se supun
instruciunilor detaliate ale contabilului firmei, cum ar fi realizarea unui audit detaliat,
atunci acesta, dac nu este un angajat permanent, va avea rolul de persoan
mputernicit, avnd n vedere instruciunile clare i libertatea sa limitat de aciune.
Totui, exist o condiie major, i anume faptul c atunci cnd contabilii consider c
au detectat practici ilegale pe care sunt obligai s le raporteze, avnd n vedere
obligaiile lor profesionale, acetia acioneaz independent n calitate de operatori.
Uneori, avnd n vedere complexitatea operaiunilor de prelucrare, se poate pune mai
mult accentul pe marja de manevr a persoanelor crora le-a fost ncredinat prelucrarea
datelor cu caracter personal, de exemplu atunci cnd prelucrarea acestor date implic un
anumit risc asupra vieii private. Introducerea unor noi mijloace de prelucrare ar putea
determina mai degrab calificarea ca operator de date dect ca persoan mputernicit.
Aceste cazuri ar putea determina de asemenea clarificarea - i desemnarea operatorului
n mod explicit, prin lege.
Exemplul nr. 24: Prelucrarea n scopuri istorice, tiinifice i statistice
Legislaia naional ar putea introduce, cu privire la prelucrarea datelor cu caracter
personal n scopuri istorice, tiinifice i statistice, noiunea de organizaie
intermediar, pentru a desemna organismul responsabil pentru transformarea datelor
necodificate n date codificate, astfel nct operatorul prelucrrii n scopuri istorice,
tiinifice i statistice s nu poat reidentifica persoanele vizate.
Dac mai muli operatori din cadrul operaiunilor iniiale de prelucrare transmit date
ctre unul sau mai muli teri, n vederea prelucrrii ulterioare a acestora n scopuri
istorice, tiinifice sau statistice, datele sunt n primul rnd codificate de o organizaie
intermediar. n acest caz, organizaia intermediar poate fi considerat ca avnd rolul
de operator, n conformitate cu anumite reglementri naionale, fcnd obiectul tuturor
obligaiilor aferente (relevana datelor, informarea persoanei vizate, notificare etc.).
Aceasta se justific prin faptul c atunci cnd datele provenite din diferite surse sunt
puse mpreun, protecia datelor poate fi pus n pericol, justificnd responsabilitatea
organizaiei intermediare. n consecin, se consider c aceasta nu are simplul rol de
persoan mputernicit, ci rolul deplin de operator, n conformitate cu legislaia
naional.
n acelai sens, puterea autonom de luare a deciziilor a diferitelor pri implicate n
prelucrare are un rol semnificativ. Cazul testelor clinice asupra medicamentelor arat c
relaia dintre societile sponsor i entitile externe care au primit sarcina de a efectua
testele depinde de libertatea de aciune a entitilor externe cu privire la prelucrarea
datelor. Aceasta nseamn c pot exista mai muli operatori, dar i mai multe persoane
mputernicite s realizeze prelucrarea.

30

Exemplul nr. 25: Studiile clinice pentru medicamente


Societatea farmaceutic XYZ sponsorizeaz o serie de studii clinice pentru anumite
medicamente i alege centrele de studiu candidate evalund eligibilitatea i interesele
acestora; aceasta ntocmete protocolul studiului, transmite centrelor ndrumrile
necesare cu privire la prelucrarea datelor i verific respectarea de ctre centre a
protocolului i a procedurilor interne respective.
Dei sponsorul nu colecteaz datele n mod direct, acesta obine datele cu privire la
pacieni de la centrele de testare i le prelucreaz n diferite moduri (evalund
informaiile din documentele medicale, primind datele cu privire la reaciile adverse,
introducnd aceste date n baza de date relevant, realiznd analize statistice n vederea
obinerii rezultatelor testului). Centrul de studiu efectueaz studiul n mod autonom
respectnd ns ndrumrile sponsorului, i informeaz pe pacieni i obine acordul
acestora cu privire la prelucrarea datelor lor, le permite colaboratorilor sponsorului s
acceseze documentele medicale originale ale pacienilor n vederea monitorizrii
acestora i este responsabil de pstrarea n siguran a documentelor. n consecin, se
pare c responsabilitile revin unor pri distincte.
n acest context, att centrele de studiu, ct i sponsorii iau hotrri importante cu
privire la modul n care sunt prelucrate datele cu caracter personal n legtur cu
studiile clinice. Prin urmare, se poate considera c acetia au rolul de operatori de date
asociai. Relaia dintre sponsor i centrele de studiu ar putea fi interpretat diferit n
cazurile n care sponsorul stabilete scopurile i elementele eseniale ale mijloacelor,
iar cercettorului nu i rmne dect o marj foarte limitat de manevr.
III.3. Definiia terului
Conceptul de ter nu a fost prevzut n Convenia 108, ci a fost introdus n propunerea
modificat a Comisiei n urma unui amendament propus de Parlamentul European.
Conform expunerii de motive, amendamentul a fost reformulat pentru a preciza c terii
nu includ persoana vizat, operatorul sau orice persoan autorizat s prelucreze datele
sub autoritatea direct a operatorului sau n numele acestuia, astfel cum se ntmpl n
cazul persoanei mputernicite. Aceasta nseamn c persoanele care lucreaz pentru o
alt organizaie, chiar dac aceasta aparine aceluiai grup sau holding, vor fi n
general considerate pri tere n timp ce, pe de alt parte, filialele unei bnci care se
ocup de conturile clienilor sub autoritatea direct a bncii centrale nu sunt
considerate pri tere.
Directiva utilizeaz termenul de ter ntr-un mod care nu difer de modul n care acest
concept este utilizat n mod normal n dreptul civil, unde terul este de obicei o persoan
care nu face parte dintr-o entitate sau parte la un acord. n contextul proteciei datelor,
acest concept ar trebui interpretat cu referire la orice persoan care nu are o autoritate sau
o autorizare specific - care are putea decurge, de exemplu, din calitatea acesteia de
operator, persoan mputernicit sau angajat al acestora cu privire la prelucrarea datelor
cu caracter personal.
Directiva utilizeaz acest concept n numeroase prevederi, de obicei n vederea stabilirii
unor interdicii, restricii i obligaii pentru situaiile n care datele personale ar putea fi
prelucrate de alte pri care crora nu li se permite prelucrarea anumitor date personale.
31

n acest context, se poate concluziona c un ter care primete date cu caracter personal
n mod legal sau ilegal ar fi n principiu un nou operator, cu condiia s fie respectate
celelalte condiii pentru calificarea ca operator i legislaia privind protecia datelor.
Exemplul nr. 26: Accesul neautorizat al unui angajat
Un angajat al unei societi ajunge s cunoasc, n ndeplinirea sarcinilor sale, date
personale pe care nu are dreptul s le acceseze. n acest caz, acest angajat ar trebui
considerat ter n raport cu angajatorul su, cu toate consecinele i responsabilitile
aferente n termeni de legalitate a comunicrii i prelucrrii datelor.

IV.

Concluzii

Conceptul de operator de date i interaciunea acestuia cu conceptul de persoan


mputernicit au un rol esenial n aplicarea Directivei 95/46/CE, deoarece acestea
stabilesc cine va fi responsabil de respectarea normelor privind protecia datelor, modul
n care persoanele vizate i pot exercita drepturile, care este legislaia naional
aplicabil i ct de eficient pot opera autoritile de protecie a datelor.
Diferenierea organizaional att n sectorul public, ct i n cel privat, dezvoltarea TIC
i globalizarea prelucrrii datelor sporesc complexitatea modului n care sunt prelucrate
datele personale i necesit clarificarea acestor concepte, pentru a asigura aplicarea
eficient i conformitatea n practic.
Conceptul de operator este autonom, n sensul c ar trebui interpretat n principal n
conformitate cu legislaia comunitar privind protecia datelor i funcional, n sensul c
urmrete s aloce responsabilitile acolo unde exist o influen efectiv, bazndu-se
astfel pe o analiz de fapt i nu pe o analiz formal.
Definiia din directiv cuprinde trei piloni principali: aspectul personal (persoana fizic
sau juridic, autoritatea public, agenia sau orice alt organism); posibilitatea unui
control pluralist (care, singur sau mpreun cu altele); i elementele eseniale care fac
deosebirea dintre operator i ali actori (stabilete scopurile i mijloacele de prelucrare
a datelor cu caracter personal).
Analiza acestor piloni conduce la urmtoarele concluzii principale:

Capacitatea de a stabili scopurile i mijloacele ar putea decurge din diferitele


circumstane juridice i/sau de fapt: o competen juridic explicit, atunci cnd legea
desemneaz un operator sau i atribuie o sarcin sau o ndatorire legat de prelucrarea
anumitor date; prevederi legale comune sau roluri tradiionale existente care implic
n mod normal o anumit responsabilitate n cadrul organizaiilor (de exemplu,
angajatorul n raport cu datele angajailor si); circumstane de fapt i alte elemente
(precum relaiile contractuale, controlul efectiv exercitat de o parte, vizibilitatea n
raport cu persoanele vizate etc.).
Dac niciuna dintre aceste categorii nu este aplicabil, desemnarea unui operator ar
trebui s fie considerat nul i neavenit. ntr-adevr, un organism care nu are nici
influen legal, nici influen de fapt n stabilirea modului de prelucrare a datelor cu
caracter personal nu poate fi considerat ca avnd calitatea de operator.
32

Stabilirea scopului prelucrrii determin calificarea drept operator (de facto). n


schimb, stabilirea mijloacelor de prelucrare poate fi delegat de operator, n ceea ce
privete chestiunile tehnice i organizatorice. Totui, aspectele eseniale pentru
legalitatea prelucrrii precum datele care trebuie prelucrate, durata stocrii, accesul
etc. sunt stabilite de operator.

Aspectul personal al definiiei se refer la o serie larg de persoane care pot juca rolul
de operator. Totui, din punctul de vedere strategic al alocrii responsabilitilor, ar
trebui, de preferin, s se considere c societatea sau organismul respectiv deine
funcia de operator i nu o anumit persoan din cadrul societii sau organismului.
Societatea sau organismul va rspunde n ultim instan pentru prelucrarea datelor i
pentru respectarea obligaiilor care decurg din legislaia privind protecia datelor,
exceptnd cazul n care exist elemente clare care indic responsabilitatea unei
persoane fizice, de exemplu atunci cnd o persoan fizic care lucreaz n cadrul unei
societi sau al unui organism public utilizeaz datele n scopuri personale, n afara
activitilor societii.

Posibilitatea unui control pluralist are n vedere numrul tot mai mare de situaii n
care diferitele pri implicate acioneaz ca operatori. Evaluarea acestui control
comun ar trebui s reflecte evaluarea controlului exclusiv, adoptnd o abordare
concret i funcional i urmrind s determine dac scopurile i elementele
eseniale ale mijloacelor sunt stabilite de mai multe pri.
Participarea prilor la stabilirea scopurilor i a mijloacelor de prelucrare n contextul
controlului comun poate lua diferite forme i nu trebuie s fie mprit egal. n acest
aviz exist numeroase exemple diferite, n care controlul comun este exercitat n
proporii diferite. Gradul diferit de exercitare a controlului poate determina diferite
grade de responsabilitate i de rspundere, iar rspunderea solidar nu poate fi
asumat n toate cazurile. Mai mult, este foarte posibil ca n sistemele complexe n
care sunt implicate mai multe pri, accesul la datele personale i exercitarea
drepturilor altor persoane vizate s poat fi asigurate la diferite niveluri, de ctre
diverse pri.

Prezentul aviz analizeaz i conceptul de persoan mputernicit, a crei existen


depinde de decizia pe care o ia operatorul, care poate decide fie s prelucreze datele n
cadrul organizaiei, fie s delege toate activitile de prelucrare sau o parte dintre acestea
unei organizaii externe. n consecin, persoana mputernicit de operator trebuie s
ndeplineasc dou condiii de baz: pe de o parte, aceasta trebuie s fie o entitate
juridic distinct n raport cu operatorul i, pe de alt parte, trebuie s prelucreze datele
personale n numele operatorului. Aceast activitate de prelucrare se poate limita la o
sarcin foarte specific sau la un context foarte specific sau poate implica un anumit
grad de libertate de decizie cu privire la modul n care interesele operatorului pot fi ct
mai bine servite, persoana mputernicit putnd alege mijloacele tehnice i
organizaionale cele mai adecvate.
n plus, rolul persoanei mputernicite nu este determinat de calitatea persoanei care
prelucreaz datele personale, ci de activitile concrete ale acesteia ntr-un context anume
i cu privire la anumite serii de date sau de operaiuni. Cteva criterii pot fi utile pentru a
stabili dac diferitele persoane implicate n prelucrare se calific sau nu: nivelul
instruciunilor prealabile furnizate de operatorul de date; monitorizarea calitii
33

serviciilor de ctre operatorul de date; vizibilitatea n raport cu persoanele vizate;


expertiza prilor; puterea autonom de luare a deciziilor pe care o au diversele pri.
Ultima categorie, terul, este definit ca orice persoan care nu are o autoritate sau o
autorizare specific - care ar putea decurge, de exemplu, din calitatea acestuia de
operator, persoan mputernicit sau angajat al acestora cu privire la prelucrarea datelor
cu caracter personal.
* * *
Grupul de lucru recunoate dificultile ntmpinate n aplicarea definiiilor directivei
ntr-un mediu complex, n care pot fi imaginate numeroase scenarii care implic operatori
i persoane mputernicite de acetia, singuri sau mpreun, cu diferite grade de autonomie
i rspundere.
n analiza sa, acesta a pus accentul pe necesitatea alocrii responsabilitii astfel nct
conformitatea cu normele de protecie a datelor s fie suficient asigurat n practic.
Totui, nu a fost gsit niciun motiv pentru a se considera c distincia actual dintre
operatori i persoanele mputernicite de acetia nu ar mai fi relevant i aplicabil n
acest sens.
n consecin, grupul de lucru sper c explicaiile din prezentul aviz, ilustrate prin
exemple specifice din experiena zilnic a autoritilor de protecie a datelor, vor
contribui la o orientare efectiv cu privire la modul de interpretare a acestor definiii de
baz cuprinse n prezenta directiv.

Adoptat la Bruxelles, la 16 februarie 2010

Pentru Grupul de lucru,


Preedintele
Jacob KOHNSTAMM

34