AUTORITATEA NAIONAL DE SUPRAVEGHERE

A PRELUCRRII DATELOR CU CARACTER PERSONAL

RAPORT ANUAL

2007

Raportul de activitate este prezentat Senatului Romniei, n temeiul art. 5 din Legea
nr. 102/2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale de
Supraveghere a Prelucrrii Datelor cu Caracter Personal, publicat n Monitorul
Oficial al Romniei nr. 391 din 9 mai 2005, cu modificrile i completrile
ulterioare.
Bucureti

CUVNT NAINTE

Domnule preedinte al Senatului,

Stimai senatori,
Anul 2007 a reprezentat, pentru Autoritatea Naional de Supraveghere a Prelucrrii
Datelor cu Caracter Personal, piatra de ncercare n trecerea de la sistemul naional al proteciei
datelor personale la cadrul extins, comunitar, ce a fost implementat la un nivel pe deplin armonizat
cu standardele Uniunii Europene.
Dac la nceputul activitii noiunea de protecie a datelor personale era foarte puin
cunoscut n Romnia, acum suntem mndri s v facem cunoscut faptul c, n 2007, ara noastr a
fost situat pe locul doi n lume n privina celor mai bune rezultate n domeniul proteciei datelor,
potrivit unui raport al organizaiei Privacy International, dat publicitii la Londra.
Apreciem c la acest rezultat nu se putea ajunge fr o supraveghere atent a prelucrrii
datelor de ctre autoritatea noastr, n exercitarea competenelor ce i-au fost oferite de legiuitorul
romn.
Din perspectiva calitii de stat membru al Uniunii Europene, am urmrit, n primul rnd,
corelarea practicii autoritii de supraveghere cu cea a celorlalte autoriti independente de
supraveghere i control, axate pe dezbaterea unor probleme stringente ale lumii actuale, cu
inciden i asupra dreptului la via privat.
i la nivelul Uniunii Europene, ca de altfel al ntregii lumi, problemele ridicate de protecia
vieii private i a datelor cu caracter personal au captat atenia, n special dup evenimentele din
11 septembrie 2001, cnd n plan internaional s-a constatat c tendina general este aceea de
eliminare a intimitii persoanei.
Teama de atacuri teroriste, intensificarea circulaiei persoanelor i a migraiei, un control
foarte strict al frontierelor, necesitatea asigurrii unei securiti sporite a persoanelor, ct i
dezvoltarea tehnologic deosebit au dus la extinderea sistemelor de supraveghere, n special a
celor video, la crearea unor baze de date extrem de complexe, precum i la utilizarea pe scar tot
mai larg a datelor biometrice.
n acest sens, un nou semnal de alarm a fost tras prin intermediul Declaraiei adoptate de
Autoritile Europene pentru Protecia Datelor n noiembrie 2006 la Londra, document cunoscut ca

Iniiativa de la Londra. Prin acesta, statele membre ale Uniunii Europene se oblig la respectarea
i ntrirea libertilor civile ale cetenilor ce triesc n Uniunea European, la stabilirea unui
sistem adecvat de msuri concrete privind datele personale, care s garanteze un standard ridicat
de protecie a acestora.
Totodat, Iniiativa de la Londra, propune ca msurile luate s fie adoptate i aplicate ct
mai curnd posibil, asigurndu-se un nivel adecvat de protecie a datelor n Uniune i n cazul
transferurilor efectuate n afara Uniunii Europene sau ctre organisme internaionale.
Mai mult, prin acest document pe care l apreciem n mod deosebit, s-a subliniat c
supravegherea video a anumitor activiti poate aduce beneficii, dar efectuarea acesteia n mod
necontrolat sau excesiv este de natur s afecteze dreptul la via privat al persoanelor.
Un alt aspect pe care a dori s vi-l supun ateniei este acela al participrii active a
Romniei, n cursul anului 2007, la reuniunile internaionale specifice, dintre care reliefm Grupul
de Lucru Art. 29 privind protecia datelor, nfiinat n baza Directivei 95/46/CE a Parlamentului
European i a Consiliului, cu rol consultativ pe lng Comisia European.
Reflectnd la principalele evenimente care au caracterizat activitatea autoritii de
supraveghere n cursul anului 2007, in s evideniez n mod special eforturile noastre de iniiere i
emitere a unor reglementri cu caracter normativ, menite att s coreleze legislaia romn cu cea
comunitar, ct i s completeze cadrul legal deja existent.
Un prim demers a constat n iniiativa demarrii unei Ordonane de urgen prin care au
fost abrogate taxele impuse operatorilor de date la momentul notificrii ctre autoritatea de
supraveghere, n considerarea faptului c respectivele taxe constituiau un impediment n calea
liberei circulaii a datelor cu caracter personal ntre statele membre ale Uniunii Europene.
n vederea aplicrii prevederilor acquis-ului comunitar i pentru mbuntirea activitii
specifice, am emis n anul 2007, apte decizii publicate n Monitorul Oficial al Romniei, dintre
care evideniem Decizia nr. 105/2007 cu privire la prelucrrile de date cu caracter personal
efectuate n sisteme de eviden de tipul birourilor de credit.
La emiterea acestei Decizii au fost luate n considerare riscurile pe care le implic
prelucrarea datelor personale prin mijloace automatizate, pentru viaa privat a fiecruia dintre
noi, ntruct se ajunge la evaluarea unor aspecte ale personalitii cetenilor, precum
credibilitatea, comportamentul sau solvabilitatea unei persoane.
Prin aceast reglementare cu caracter normativ s-a urmrit asigurarea unei protecii
eficiente a drepturilor persoanelor oneste ale cror date cu caracter personal sunt supuse
prelucrrii n cadrul sistemelor de eviden de tipul birourilor de credit.
Contient de fora televiziunii i radioului n informarea publicului larg, autoritatea i-a
concentrat aciunile de popularizare a drepturilor cetenilor prin intermediul posturilor centrale i

locale de pe ntreg teritoriul rii i intenioneaz s intensifice aceast abordare n cursul acestui
an.
n perspectiva pregtirilor pentru aderarea Romniei la Convenia de aplicare a Acordului
de la Schengen, autoritatea a demarat un amplu proces de supraveghere pentru realizarea noilor
sale responsabiliti n acest domeniu i de informare a tuturor operatorilor de date cu atribuii n
acest sens.
Apreciem n mod deosebit rolul important avut de Poliia Romn n desfurarea acestor
activiti, prin implicarea, la nivel judeean, n procesul de contientizare i ncunotinare a
operatorilor, att cu privire la cadrul juridic aplicabil proteciei datelor, ct i cu privire la
obligaiile operatorilor i drepturile persoanelor vizate.
n acest context, subliniez faptul c autoritatea de supraveghere particip la reuniunile
autoritilor comune de control n domeniile Schengen i Europol, foruri ce reunesc reprezentani
ai autoritilor naionale responsabile de protecia datelor din fiecare stat membru al Uniunii.
Aadar, doamnelor i domnilor, stimai parlamentari, apreciem c realizrile autoritii de
supraveghere din anul 2007 au contribuit la evidenierea progreselor Romniei n cadrul
procesului de integrare european.
Considerm c n aceti doi ani au fost puse bazele necesare crerii n Romnia a unei
adevrate culturi a proteciei datelor personale.

Georgeta Basarabescu,
Preedinte

CUPRINS

CAPITOLUL I: PREZENTARE GENERAL p. 7

CAPITOLUL AL II-LEA: ACTIVITATEA DE SUPRAVEGHERE
Seciunea 1:

Activitatea de nregistrare a prelucrrilor de date..p. 9

Seciunea a 2-a: Transferul datelor cu caracter personal n strintatep. 11

CAPITOLUL AL III-LEA: ACTIVITATEA DE CONTROL
Seciunea 1:

Prezentare general...p. 14

Seciunea a 2-a: Investigaii tematice, conform planificrii anuale.....p. 15

Seciunea a 3-a: Investigaii n alte domenii de activitatep. 21
Seciunea a 4-a: Activitatea de soluionare a plngerilor.....p. 37
CAPITOLUL AL IV-LEA: ACTIVITATEA DE PREGTIRE A PROCESULUI DE
ADERARE LA SPAIUL SCHENGEN
Seciunea 1:

Autoritatea comun de control.....p. 43

Seciunea a 2-a: Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter

Personal....p. 43
Seciunea a 3-a: Msuri organizatorice la nivelul autoritii...p. 44
Seciunea a 4-a: Pregtirea personalului..p. 44
Seciunea a 5-a: Campania de informare.p. 45
Seciunea a 6-a: Cooperarea cu autoritile similare din Uniunea European...p. 46
Seciunea a 7-a: Cooperarea cu autoritile competente n implementarea Conveniei de
aplicare a Acordului de la Schengenp. 46
Seciunea a 8-a: Investigaii.p. 47
CAPITOLUL al V-lea: ACTIVITATEA DE REGLEMENTARE I CONSULTARE
Seciunea 1:

Acte cu caracter normativ emise n baza Legii nr. 677/2001p. 50

Seciunea a 2-a: Avizarea actelor normativep. 52

Seciunea a 3-a: Avizarea codurilor de conduit ale asociaiilor profesionalep. 56
Seciunea a 4-a: Avize i Recomandrip.57
Seciunea a 5-a: Activitatea de reprezentare n faa instanelor judectoreti..p. 64

CAPITOLUL AL VI-LEA: ACTIVITI N DOMENIUL RELAIILOR

INTERNAIONALE
Seciunea 1:

Grupuri de lucru la nivel internaional..p. 68

Seciunea a 2-a: Colaborarea cu alte autoriti de supravegherep. 71

Seciunea a 3-a: Conferine internaionale...p. 72
CAPITOLUL AL VII-LEA: COMUNICARE I RELAII PUBLICE
Seciunea 1:

Activitatea de comunicare i relaii publice..p. 73

Seciunea a 2-a: Relaia cu mass-media..p. 74

CAPITOLUL AL VIII-LEA: PERSONALUL AUTORITII p. 76
CAPITOLUL AL IX-LEA: MANAGEMENTUL ECONOMIC AL AUTORITII .p. 77
ANEXA...p.79

CAPITOLUL I
PREZENTARE GENERAL
Protecia datelor cu caracter personal este reglementat la nivel european, n principal, de
urmtoarele acte normative:

Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995, pentru

protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie
a acestor date,

Directiva 2002/58/CE a Parlamentului European i a Consiliului privind prelucrarea datelor

cu caracter personal i protecia vieii private n sectorul comunicaiilor electronice,

Convenia nr. 108 pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu

caracter personal, adoptat la Strasbourg la 28 ianuarie 1981, n cadrul Consiliului Europei.
Constituia Romniei garanteaz dreptul fundamental la via intim, familial i privat

(art. 26) 1 , dei nu consacr dreptul la protecia datelor personale.

Prevederile actelor normative comunitare au fost transpuse n legislaia romneasc prin
Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter
personal i libera circulaie a acestor date 2 (denumit n continuare, n cuprinsul acestui raport,
Legea-cadru) i a Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal i protecia
vieii private n sectorul comunicaiilor electronice.
n cursul anului 2007 au fost iniiate o serie de proiecte de acte normative menite a
transpune directive cu inciden i n domeniul proteciei datelor personale 3 . Prin adoptarea
acestora, competena autoritii de supraveghere va fi extins n domeniul verificrii furnizorilor de
comunicaii electronice obligai s rein datele de trafic pentru perioade de 1 an, n scopul
prevenirii i combaterii unor infraciuni grave.
innd cont de aceste noi perspective legislative, de necesitatea dezvoltrii capacitii
instituionale i pentru a veni n sprijinul operatorilor, n cursul anului 2007, autoritatea de
supraveghere a ntreprins demersuri n sensul suplimentrii numrului de personal, a nfiinrii de
birouri teritoriale i a conturrii unui statut clar de autonomie, inclusiv al personalului acesteia.

Art. 26 (1) Autoritile publice respect i ocrotesc viaa intim, familial i privat.
(2) Persoana fizic are dreptul s dispun de ea nsi, dac nu ncalc drepturile i libertile altora, ordinea public sau bunele moravuri.
2
Legea a fost publicat n Monitorul Oficial al Romniei nr. 790 din 12 decembrie 2001 i a intrat n vigoare la aceeai dat, fiind pus n aplicare din
data de 12 martie 2002.
3
Discuii pe marginea acestor proiecte sunt incluse n capitolul al III-lea din prezentul raport.

Ordonana de urgen a Guvernului nr. 115/2006 pentru modificarea i completarea

Legii nr. 102/2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale de
Supraveghere a Prelucrrii Datelor cu Caracter Personal 4
Printre principalele prevederi ale acestei ordonane de urgen se evideniau necesitatea
creterii numrului de personal i posibilitatea nfiinrii de birouri teritoriale, cu avizul Biroului
Permanent al Senatului. n cursul dezbaterilor din Parlament cu privire la proiectul legii de aprobare
a Ordonanei de urgen a Guvernului nr. 115/2006, Camera Deputailor a mbuntit prevederile
acestei ordonane, n sensul c a majorat numrul personalului de la 50 la 87, prin evaluarea corect
a condiiilor de deconcentrare a activitii autoritii de supraveghere la nivelul birourilor teritoriale.
n plus, Comisiile de specialitate din cadrul Senatului Romniei au meninut amendamentele aduse
n Camera Deputailor.
Cu toate acestea, Parlamentul Romniei a adoptat Legea nr. 270 din 1 octombrie 2007
privind respingerea Ordonanei de urgen a Guvernului nr. 115/2006 5 .
n consecin, din punct de vedere al capacitii administrative, meninerea unui numr redus
de personal poate afecta aducerea la ndeplinire n mod eficient a atribuiilor n domeniul proteciei
datelor, specifice unui stat membru al Uniunii Europene. Rezolvarea acestei situaii este necesar n
perspectiva viitoarei misiuni de evaluare la care va fi supus autoritatea de supraveghere n
contextul procesului de aderare a Romniei la Conveniei de aplicare a Acordului de la Schengen.

4
5

Publicat n Monitorul Oficial al Romniei nr. 1031 din 27 decembrie 2006.

Publicat n Monitorul Oficial al Romniei nr. 678 din 4 octombrie 2007.

CAPITOLUL al II-lea
ACTIVITATEA DE SUPRAVEGHERE
Seciunea 1: Activitatea de nregistrare a prelucrrilor de date
1.1. nregistrarea notificrilor
n conformitate cu prevederile Legii nr. 677/2001, modificat i completat, operatorii care
prelucreaz date cu caracter personal sunt obligai, ca regul, s notifice aceast activitate autoritii
de supraveghere.
n cursul anului 2007 s-a remarcat o cretere a numrului de notificri, ca urmare a activitii
de comunicare realizate de autoritate prin popularizarea dispoziiilor legislative n materie, n
special a obligaiilor pe care le au persoanele fizice i juridice care prelucreaz date cu caracter
personal, precum i ca urmare a aciunilor de control.
Astfel, n perioada 1 ianuarie - 31 decembrie 2007, autoritatea de supraveghere a primit un
numr de 4269 notificri.

n prezent, operatorii au la dispoziie urmtoarele ci de transmitere a notificrilor:

prin completarea unui formular pe hrtie i depunerea acestuia la autoritate sau expedierea
prin pot,

prin completarea unui formular electronic i transmiterea acestuia on-line.

Existena a dou sisteme de nregistrare este justificat de imposibilitatea obiectiv a unor

operatori de a transmite electronic prelucrrile de date pe care le efectueaz.

n vederea accelerrii procesului de nregistrare a notificrilor, operatorii au fost ndrumai

s utilizeze cu prioritate modalitatea de notificare on-line, instituit de autoritate nc din anul 2006.
Unii dintre acetia, mai ales persoanele fizice care nu aveau posibilitatea unei conexiuni la Internet,
au fost sprijinii s efectueze completarea formularelor on-line chiar la sediul instituiei.
Dei aceast modalitate este benefic n privina celeritii nregistrrii prelucrrilor, un
numr crescut de notificri au fost transmise pe suport de hrtie, chiar de la entiti care au ca obiect
de activitate comunicaii electronice sau servicii pe internet ori de la autoriti i instituii publice.
Din aceste motive, operaiunile de examinare a notificrilor i comunicare a rspunsurilor ctre
operatori au continuat s reprezinte i n acest an o parte important din activitatea instituiei.
n activitatea de colectare i prelucrare a datelor, au fost observate unele deficiene astfel:

scopurile declarate nu sunt corelate corespunztor dispoziiilor art. 22 alin. (1) din Legea nr.
677/2001, modificat i completat;

colectarea datelor este excesiv n raport de scopul determinat de operator.

Exemplu: unii operatori din domeniul comunicaiilor electronice colecteaz copii ale actelor

de spaiu (contracte de vnzare-cumprare, nchiriere etc.) ca acte doveditoare ale domiciliului sau
reedinei clientului. Or, actele conin mult mai multe informaii despre persoana vizat dect cele
necesare cunoaterii adresei la care poate fi contactat n vederea comunicrii facturilor sau a altor
documente;

informarea persoanelor vizate nu se realizeaz n concordan cu scopul prelucrrii, natura

datelor prelucrate i mijloacele de prelucrare, n condiiile reglementate de art. 12 din Legea
nr. 677/2001, modificat i completat.
Ca rspuns pozitiv la solicitrile autoritii de supraveghere privind respectarea principiilor

stabilite de art. 4 din Legea nr. 677/2001, operatori din domeniul prelucrrilor n scop de reclam,
marketing i publicitate au redus numrul datelor i categoriilor de date pe care le prelucrau,
rezumndu-se la datele strict necesare ndeplinirii scopului.
1.2. Scutirea de la obligaia de notificare
Potrivit Legii nr. 677/2001, notificarea reprezint regula pentru declararea prelucrrilor de
date personale. n funcie de caracterul unor prelucrri i de riscurile pe care le presupun pentru
viaa privat, autoritatea de supraveghere poate stabili simplificarea formalitilor de declarare a
prelucrrilor, dar i scutiri de la obligaia de notificare.
Astfel, innd cont de faptul c anumite prelucrri sunt recurente n activitatea obinuit a
unui operator, nu implic prelucrarea unor date sensibile sau sunt prevzute ca obligaii legale n

10

baza unor acte normative, preedintele autoritii de supraveghere a emis Decizia nr. 100/2007 6 ,
referitoare la stabilirea unor categorii de prelucrri care nu sunt susceptibile de a afecta, cel puin
aparent, drepturile persoanelor vizate.
1.3. Analiza rapoartelor anuale ale autoritilor publice
Rapoartele anuale ale autoritilor publice privind activitatea n domeniul prelucrrii datelor
cu caracter personal se prezint autoritii de supraveghere n temeiul art. 21 alin. 3 lit. j) din Legea
nr. 677/2001. Pentru anul 2007 au fost primite un numr de 249 de rapoarte de la nivelul
autoritilor publice.
Prin intermediul rapoartelor anuale, o parte dintre autoriti au semnalat, n special,
necesitatea elaborrii unor norme metodologice de aplicare a Legii nr. 677/2001.
n acest context, apreciem c operatorii pot elabora metodologii, regulamente interne etc., n
domeniul propriu de activitate, cu avizul autoritii de supraveghere.
Seciunea a 2-a: Transferul datelor cu caracter personal n strintate
2.1. Reglementarea domeniului
Problematica transferului n strintate al datelor cu caracter personal este reglementat de
art. 29-30 din Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu
caracter personal i libera circulaie a acestor date, modificat i completat, n acord cu principiile
comunitare prevzute la art. 25 i art. 26 din Directiva 95/46/CE.
Astfel, art. 29 din Legea nr. 677/2001, n concordan cu prevederile art. 25 din directiv,
stabilete principiul conform cruia transferul poate fi efectuat numai n condiiile n care statul
ctre care se intenioneaz transferul datelor (statul de destinaie) asigur un nivel de protecie
adecvat.
Atunci cnd statul de destinaie nu asigur un nivel de protecie adecvat, art. 29 alin. (4) din
lege prevede posibilitatea adoptrii unor msuri de natur contractual de ctre operator, prin care
acesta ofer garanii suficiente cu privire la protecia drepturilor fundamentale ale persoanelor.
Acest contract va fi analizat, dup caz, prin raportare la prevederile Ordinului nr. 6/2003 privind
stabilirea Clauzelor contractuale standard n cazul transferurilor de date cu caracter personal ctre
un operator stabilit ntr-un stat a crui legislaie nu prevede un nivel de protecie cel puin egal cu
6
Publicat n Monitorul Oficial al Romniei nr. 823 din 3 decembrie 2007. Detalii privind coninutul Deciziei nr. 100/2007 sunt incluse n capitolul
al III-lea din prezentul raport.

11

cel oferit de legea romn sau la Decizia Preedintelui Autoritii de Supraveghere nr. 167/2006
privind aprobarea Clauzelor contractuale standard n cazul transferurilor de date cu caracter
personal ctre un mputernicit stabilit ntr-un stat a crui legislaie nu prevede un nivel de protecie
cel puin egal cu cel oferit de legea romn.
2.2. Obligaia de a notifica transferul datelor n strintate
Cu privire la acest aspect, Legea nr. 677/2001 stabilete regula conform creia transferul
datelor n strintate va face obiectul unei notificri prealabile a autoritii de supraveghere.
Autoritatea de supraveghere a stabilit prin Decizia nr. 100/2007 cazurile n care nu este
necesar notificarea prelucrrii, respectiv a transferului unor date cu caracter personal. Cu toate
acestea, datorit condiiilor specifice care trebuie ndeplinite n cazul transferului datelor n
strintate, au fost prevzute anumite situaii n care, dei operatorul este scutit de la obligaia de a
notifica prelucrarea, nu este scutit de la notificarea transferului.
n vederea reglementrii unor aspecte aprute ca urmare a aderrii Romniei la Uniunea
European, autoritatea de supraveghere a emis Decizia nr. 28/2007 privind transferurile de date
ctre alte state, publicat n Monitorul Oficial nr. 182 din 16 martie 2007, Partea I.
Potrivit acestei decizii, se notific autoritii de supraveghere, dar nu este supus autorizrii,
transmiterea datelor n statele membre ale Uniunii Europene, n statele din zona economic
european, respectiv Islanda, Liechtenstein i Norvegia, precum i n statele crora Comisia
European le-a recunoscut prin decizie un nivel de protecie adecvat, respectiv Argentina, Canada,
Elveia, Guernsey, Insula Man i Statele Unite ale Americii (cnd operatorul din SUA a aderat la
Principiile Safe Harbor).
Transferurile de date cu caracter personal ctre alte state dect cele menionate anterior,
efectuate n baza art. 30 din Legea nr. 677/2001, vor fi declarate prin intermediul unei notificri
prealabile, dar fr emiterea unei autorizaii din partea autoritii de supraveghere.
2.3. Autorizaii
n ceea ce privete transferul de date ctre un stat ter, care nu asigur un nivel de protecie
adecvat, efectuat n baza unui contract care conine garanii suficiente cu privire la protecia
drepturilor fundamentale ale persoanelor, conform art. 29 alin. (4) din Legea - cadru, acesta va fi
notificat autoritii de supraveghere, care va emite autorizaie privind transferul de date. n aceste
condiii, autoritatea de supraveghere a emis un numr de trei autorizaii privind transferul datelor n
state care nu asigur un nivel de protecie adecvat, n baza unor contracte cu clauze standard.

12

Este de menionat c, indiferent de condiiile n care se efectueaz transferul datelor,

operatorii trebuie s respecte celelalte obligaii care le revin potrivit Legii nr. 677/2001, respectiv
obligaia de a informa persoanele vizate, de a garanta i de a respecta drepturile specifice ale
acestora, precum i de a pstra confidenialitatea i de a asigura securitatea prelucrrii i transferrii
datelor.

13

CAPITOLUL al III-lea
ACTIVITATEA DE CONTROL
Seciunea 1: Prezentare general
n contextul prelucrrilor de date personale, unul dintre obiectivele stabilite n strategia
autoritii de supraveghere const n creterea nivelului de contientizare a obligaiilor operatorilor
de date i a drepturilor persoanelor vizate, inclusiv prin intensificarea numrului controalelor i
aplicarea de sanciuni pecuniare celor care nu respect drepturile persoanelor ale cror date
personale sunt prelucrate.
n cursul anului 2007, au fost efectuate un numr de 280 de investigaii, ceea ce reprezint o
cretere cu 83% fa de anul 2006 i cu 1200% n raport cu perioada 2002-2005.

SITUAIA INVESTIGAIILOR PENTRU PERIOADA 2002-2007

153

2006

2005

2004

2003

1900

2002

1
1850

280

2007

1950

2000

2050

2100

2150

2200

2250

2300

2350

Din cele 280 de investigaii, un numr de 235 au fost efectuate din oficiu, iar 45 ca urmare a
primirii spre soluionare a unor plngeri (21) i sesizri (24).

STATISTICA INVESTIGAIILOR N FUNCIE DE SURS

8%

9%
plngeri
sesizri
din oficiu

83%

14

n urma investigaiilor, au fost aplicate sanciuni contravenionale constnd n avertismente

(64) i amenzi (95). Cuantumul total al amenzilor aplicate n 2007 este de 86.700 lei (RON), n
cretere cu 97,94% fa de anul 2006. Amenzile aplicate au fost achitate de contravenieni (ca venit
la bugetul de stat) n proporie de 78,94%, celelalte fiind contestate sau transmise administraiilor
financiare n vederea punerii n executare silit.
Contestarea n justiie a amenzilor aplicate s-a realizat doar n 5 cazuri, dintre care n 3
cazuri instana de judecat a meninut sanciunile pecuniare stabilite de autoritatea de supraveghere,
iar 2 dintre acestea sunt n curs de soluionare.

EVOLUIA AMENZILOR APLICATE 2006-2007

90000
80000
70000
60000

86.700

50000
40000
30000

43.800

20000
10000

2006

2007

0
1

n conformitate cu prevederile art. 21 alin. (3) lit. d) din Legea nr. 677/2001 i ale art. 3 alin.
(5) din Legea nr. 102/2005, n cazurile n care s-a constatat nclcarea dispoziiilor Legii nr.
677/2001, n funcie de mprejurri, s-au dispus, pe lng sanciunile contravenionale, i unele
msuri specifice obligatorii, prin decizia preedintelui autoritii de supraveghere.
Astfel, operatorii care nu au respectat principiile de protecie a datelor sau drepturile
persoanelor vizate au fost obligai s nceteze prelucrarea datelor personale (n 4 cazuri), s tearg
datele personale prelucrate ilegal (n 6 cazuri). Totodat, n patru situaii s-a dispus interdicia
temporar i suspendarea provizorie a prelucrrii datelor personale.
Seciunea a 2-a: Investigaii tematice, conform planificrii anuale
Majoritatea investigaiilor din oficiu au urmrit realizarea planului anual alctuit pe baza
unor teme desprinse din practica autoritii, n privina crora se constatase n perioada anterioar
necunoaterea Legii nr. 677/2001, precum i un numr redus de notificri. Astfel, cele patru teme
importante n funcie de care investigaiile s-au desfurat pe parcursul a cte unui trimestru au fost:

15

telemarketing prelucrarea datelor personale efectuat prin intermediul serviciilor

de furnizare a informaiilor cu caracter comercial, n legtur cu produsele sau
serviciile unui agent comercial, prin mijloace de comunicare la distan (spre
exemplu, prin telefon);

recuperare creane prelucrarea datelor personale ale debitorilor urmrii pentru

executarea creanelor;

selecia i plasarea forei de munc prelucrarea datelor personale ale solicitanilor

unui loc de munc n ar sau strintate;

agenii de turism prelucrarea datelor personale realizat n contextul efecturii de

rezervri sau al vnzrii de diverse produse turistice.

n urma investigaiilor efectuate conform planului tematic s-a constatat creterea

semnificativ a notificrilor primite din partea operatorilor care activeaz n aceste domenii.
2.1. Investigaii n domeniul marketingului i telemarketingului
O parte semnificativ a notificrilor depuse la autoritatea de supraveghere o reprezint cele
referitoare la desfurarea unor aciuni de reclam, marketing i publicitate. Potrivit dispoziiilor
Ordonanei Guvernului nr. 99/2000 privind comercializarea produselor i serviciilor pe pia,
aprobat prin Legea nr. 650/2002, se pot desfura campanii promoionale n baza unui regulament
i/sau a oricrui alt document cu caracter procedural. Acest regulament trebuie s respecte Legea
nr. 650/2002 i Legea nr. 677/2001, modificat i completat, iar organizatorii au obligaia s
calculeze, s rein i s vireze impozitul datorat pentru veniturile obinute de ctre ctigtori, n
conformitate cu Legea nr. 571/2003 privind Codul fiscal, cu modificrile i completrile ulterioare.
Prin aceste activiti, organizatorii campaniilor promoionale prelucreaz datele cu caracter
personal ale participanilor i ctigtorilor, respectiv: numele, prenumele, adresa, numrul de
telefon/fax, adresa de e-mail, codul numeric personal, numrul i seria C.I/B.I., dar i informaii
privind

preferinele/comportamentul

consumatorilor.

urma

desemnrii

ctigtorilor,

organizatorii campaniilor promoionale au obligaia s dea publicitii numele i ctigurile acordate

acestora.
n privina operaiunilor de marketing direct 7 , autoritatea de supraveghere a continuat
demersurile ncepute n 2006, la nivelul Asociaiei Romne de Marketing Direct (ARMAD) 8 ,

Potrivit definiiei date prin Ordinul Avocatului Poporului nr. 75/2002 privind stabilirea unor msuri i proceduri specifice care s asigure un nivel
satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal fac obiectul prelucrrilor, marketingul direct const n
promovarea produselor i a serviciilor, adresat direct clienilor, persoane fizice, prin mijloace de genul potei, inclusiv cea electronic, sau alte
mijloace de marketing la distan, altele dect modalitile promoionale obinuite (reclame). Aceast definiie a fost preluat i n Codul de conduit
pentru prelucrarea datelor cu caracter personal n marketing direct, al Asociaiei Romne de Marketing Direct, avizat de instituia Avocatul
Poporului n perioada n care ndeplinea atribuii de autoritate de supraveghere.
8
Potrivit site-ului acestei asociaii, www.armad.ro, Asociaia Romn de Marketing Direct a fost nfiinat n anul 2003 i numr n prezent 37 de
membri. Membru al FEDMA (Federation of European Direct Marketing), ARMAD are ca scop recunoaterea pozitiv a marketingului direct i

16

pentru implementarea msurilor necesare exercitrii dreptului de opoziie al persoanelor care nu

doresc s primeasc materiale publicitare.
n spe, ARMAD a fost de acord cu recomandarea autoritii de supraveghere de a lua
msuri privind includerea n materialele de colectare a datelor participanilor la loteriile publicitare
a opiunii de exprimare liber a consimmntului acestora fa de prelucrarea ulterioar n scop de
marketing direct. Ca o modalitate practic de asigurare a exercitrii dreptului de opoziie, s-a
convenit elaborarea unei liste de opoziie la nivelul ARMAD, dup modelul celor din alte state din
Uniunea European. De altfel, utilizarea acestor liste este o cerin a Codului de Conduit al
ARMAD, avizat de autoritatea de supraveghere.
Aceste msuri s-au concretizat n punerea la dispoziia publicului a unor liste de opoziie, la
adresa de Internet www.robinson.ro. Lista Robinson reprezint o list de nume i adrese ale
consumatorilor care anun n mod gratuit ARMAD c doresc s-i limiteze cantitatea de
coresponden pe care o primesc, cu posibilitatea consumatorilor s nscrie numele i adresa n
listele folosite de companiile de marketing direct sau, dup caz, s le tearg. Aceast list permite
exercitarea dreptului de opoziie fa de utilizarea numrului de telefon n scopul primirii de oferte
sau informaii, dar nu permite blocarea mesajelor de tip SMS; de aceea, persoanele interesate
trebuie s se adreseze direct companiilor care transmit astfel de mesaje, pentru a-i manifesta
dreptul de opoziie.
Pentru a-i putea atrage clienii prin oferte promoionale multiple i diverse, ntr-un numr
ct mai mare, operatorii utilizeaz frecvent comunicrile comerciale prin pota electronic sau prin
telefon, adic ceea ce se numete n limbajul de specialitate telemarketing. Din nevoia de
informaie, n principal, dar i datorit atraciei fa de un eventual ctig suplimentar gratuit,
persoanele care primesc oferte comerciale adresate direct, att prin pot, ct i prin e-mail, din
partea diverselor companii, nu manifest o atitudine de total respingere a unor astfel de practici.
n cursul anului 2007, au fost efectuate, din oficiu, un numr de 10 investigaii avnd ca
obiect verificarea condiiilor de prelucrare a datelor cu caracter personal n cadrul activitilor de
telemarketing la societi de marketing direct i la instituii financiare care utilizeaz metoda
telemarketingului pentru promovarea serviciilor lor.
Fa de situaiile constatate, Autoritatea de Supraveghere a recomandat operatorilor
telefonici s realizeze o informare adecvat a persoanelor vizate, cu respectarea Legii nr. 677/2001.
n acelai timp, operatorilor care nu au stabilit cu exactitate destinaia datelor personale
colectate, autoritatea de supraveghere le-a recomandat includerea, n nomenclatoarele sau

creterea ncrederii clienilor i a consumatorilor finali, ca urmare a implementrii unor coduri de conduit i de bun practic n acest domeniu,
asigurarea unui cadru legislativ competitiv i liberal.

17

procedurile interne, a unor termene certe de pstrare a datelor personale, precum i precizarea
destinaiei ulterioare a acestora.
n legtur cu prelucrarea datelor personale n scopul organizrii de loterii publicitare,
autoritatea de supraveghere a emis decizii de ncetare a dezvluirii datelor personale ale
ctigtorilor, dup data prevzut n regulamentul promoiei, respectiv de tergere a datelor
personale ale participanilor, stocate de operator i dup perioada necesar validrii ctigurilor.
Sub aspectul colectrii excesive a codului numeric personal, respectiv n alte cazuri dect
cele ale ctigtorilor promoiilor, preedintele autoritii a decis ncetarea prelucrrii acestuia,
precum i tergerea datelor colectate anterior de la persoane care nu ndeplineau aceste cerine.
Toate situaiile descrise mai sus au fost ulterior verificate, constatndu-se c operatorii au
adus la ndeplinire msurile dispuse de autoritate.
2.2. Investigaii n domeniul serviciilor de recuperri creane
Procedura de recuperare a creanelor poate fi amiabil n cazul n care debitorul i va achita
de bun-voie datoria sau judiciar prin intervenia instanelor judectoreti. n privina prelucrrii
datelor personale n acest domeniu, se remarc dou situaii:

prelucrarea datelor debitorilor de ctre creditor (persoan fizic sau juridic, n calitate de
operator);

prelucrarea de ctre cesionarul creanelor a datelor debitorilor cedai.

n domeniul recuperrii creanelor, au fost efectuate 25 de investigaii. Rezultatul

investigaiilor a relevat faptul c datele personale ale debitorilor erau meninute i ulterior datei la
care au fost recuperate creanele, contrar celor notificate de operatori autoritii de supraveghere. n
astfel de cazuri s-a dispus prin decizie tergerea datelor.
n alte situaii, s-a constatat c operatorii pstrau datele debitorilor n vederea constituirii
unor baze de date ale ru-platnicilor, aa-numitele liste negre, unele fiind chiar publicate pe
Internet, pe pagina web a operatorului. n aceste condiii autoritatea a dispus ncetarea prelucrrii
datelor personale constnd n publicarea pe site a unei liste negre a debitorilor i tergerea datelor
care au fost dezvluite n aceast modalitate.
Societile de recuperare creane, n calitate de operatori, au fost sancionate pentru
prelucrarea nelegal a datelor personale. Astfel, pentru nclcarea prevederilor art. 4 alin. (1) lit. e)
din legea cadru, referitoare la limitarea stocrii datelor numai pe perioada necesar atingerii
scopului prelucrrii, operatorul a fost obligat s tearg datele cu caracter personal ale debitorilor
care nu mai corespundeau realizrii scopului. Din verificri ulterioare, a reieit c decizia de
tergere a datelor prelucrate ilegal a fost adus la ndeplinire.

18

2.3. Investigaii n domeniul seleciei i plasrii forei de munc

Legea nr. 156/2000 privind protecia cetenilor romni care lucreaz n strintate prevede
c activitile de mediere a angajrii cetenilor romni n strintate pot fi desfurate de categorii
de persoane juridice care au ca obiect de activitate recrutarea i plasarea forei de munc n
strintate, denumite agenii de selecie i plasare a forei de munc.
n cadrul procedurilor privind selecia i plasarea forei de munc, se realizeaz operaiuni
de colectare, utilizare i dezvluire ctre teri de date cu caracter personal. n legtur cu aceste
ultime operaiuni trebuie precizat c, dup 1 ianuarie 2007, autoritatea de supraveghere a acordat o
atenie sporit transferului de date ctre operatori situai n state tere, n ceea ce privete
examinarea nivelului de protecie adecvat n prelucrarea datelor personale.
n anul 2007, au fost efectuate 46 de investigaii la operatorii care desfoar activiti de
selecie i plasare for de munc, din care a rezultat c operaiunile de colectare a datelor personale
ale persoanelor vizate (persoane aflate n cutarea unui loc de munc) se realizeaz prin
completarea unor formulare. O parte dintre firmele de recrutare au stabilit propriul format de
curriculum vitae (CV), altele primesc CV-ul n forma aleas de persoana vizat, existnd astfel
posibilitatea colectrii de date cu caracter personal, care pot fi excesive n raport cu cerinele
partenerilor contractuali.
Colectarea datelor cu caracter personal se realizeaz, n general, direct de la persoanele
vizate. Exist i cazuri n care datele personale sunt obinute de la ali operatori specializai n
domeniul seleciei i plasrii forei de munc (cum ar fi utilizarea unor web site-uri precum:
bestjobs, ejobs). Din verificrile efectuate a rezultat c unii operatori din domeniul seleciei i
plasrii forei de munc nu informau persoanele vizate cu privire la drepturile prevzute de Legea
nr. 677/2001, modificat i completat.
Cu privire la pstrarea confidenialitii prelucrrilor de date cu caracter personal, s-a
constatat c, n contractele de munc ale angajailor societilor din domeniu, este inserat obligaia
de a pstra secretul de serviciu.
n unele cazuri operatorii investigai nu au stabilit o durat determinat de stocare a datelor
personale, adaptat specificului prelucrrii i realizrii scopului pentru care datele au fost colectate.
Au fost aplicate sanciuni pentru prelucrarea nelegal a datelor cu caracter personal, sub
aspectul nerealizrii informrii persoanelor vizate, conform art. 12 din Legea nr. 677/2001.

19

2.4. Investigaii n domeniul ageniilor de turism

n domeniul turismului, la ncheierea contractului de prestri servicii, se prelucreaz datele
personale ale clienilor, inclusiv ale membrilor lor de familie. Principalele acte normative care
reglementeaz activitatea de turism sunt: Ordonana Guvernului nr. 58/1998 privind organizarea i
desfurarea activitii de turism n Romnia, Hotrrea Guvernului nr. 238/2001 privind condiiile
de acordare a licenei i brevetului de turism, Hotrrea Guvernului nr. 237/2001 pentru aprobarea
Normelor cu privire la accesul, evidena i protecia turitilor n structuri de primire turistice,
Ordonana Guvernului nr. 107/1999 privind activitatea de comercializare a pachetelor de servicii
turistice, Ordinul Ministerului Transporturilor, Construciilor i Turismului nr. 516/2005 pentru
aprobarea contractului-cadru de comercializare a pachetelor de servicii turistice etc.
Potrivit acestor reglementri, agenia de turism este orice unitate specializat care
organizeaz, ofer i vinde pachete de servicii turistice sau componente ale acestora, n calitate de
agenie de turism tour - operatoare 9 sau de agenie de turism detailist 10 . Acestea au calitatea de
operator de date cu caracter personal sau, dup caz, de persoane mputernicite pentru prelucrarea
datelor pe seama operatorului, dup cum a rezultat din investigaiile efectuate de autoritatea de
supraveghere.
Potrivit planului tematic pentru anul 2007, au fost efectuate 35 de investigaii la ageniile de
turism. n urma efecturii acestor investigaii s-au constatat urmtoarele aspecte generale privind
prelucrarea datelor cu caracter personal:
n majoritatea cazurilor de prelucrare a datelor personale prin intermediul persoanelor
mputernicite, contractele ncheiate nu conineau clauzele prevzute de art. 19 i art. 20 din
Legea nr. 677/2001 (obligaia mputerniciilor de a aciona numai n baza instruciunilor
primite de la operatori i de a aplica msuri de securitate adecvate, din punct de vedere
tehnic i organizatoric), recomandndu-se operatorilor modificarea contractelor respective;
au fost puine situaiile n care ageniile de turism investigate au notificat la autoritatea de
supraveghere prelucrrile de date efectuate n acest scop, fapt pentru care operatorii
respectivi au fost sancionai contravenional n conformitate cu art. 31 din Legea nr.
677/2001 i au fost obligai s notifice prelucrrile de date efectuate;

9
Agenia de turism touroperatoare are ca obiect de activitate organizarea i vnzarea pe cont propriu a pachetelor de servicii turistice sau a
componentelor acestora, direct sau prin intermediar.
10
Agenie de turism detailist este cea care vinde sau ofer spre vnzare, n contul unei agenii de turism touroperatoare, pachete de servicii turistice
sau componente ale acestora contractate cu aceasta.

20

 categoriile de date prelucrate n general de ageniile de turism sunt: nume, prenume, codul
numeric personal (CNP), seria i numrul actului de identitate, data naterii, adres, numr
de telefon i semntura, eventual, adresa de e-mail;
persoanele vizate sunt clieni, de la care datele personale sunt colectate direct;
informarea persoanelor vizate n legtur cu drepturile prevzute de art. 12-18 din Legea nr.
677/2001 nu se realiza, fapt pentru care operatorii au fost sancionai contravenional,
conform art. 32 din Legea nr. 677/2001, i s-a recomandat realizarea informrii persoanelor
vizate;
datele sunt n mod frecvent transmise partenerilor contractuali din Uniunea European;
majoritatea ageniilor nu aveau stabilit destinaia ulterioar a datelor dup expirarea
perioadelor de arhivare, autoritatea de supraveghere recomandnd operatorilor ndeplinirea
acestei obligaii;
sistemele de eviden utilizate de ageniile de turism sunt manuale sau mixte (automate i
manuale), iar sistemele de eviden nu au stabilite legturi cu alte prelucrri sau sisteme de
eviden;
ageniile de turism respectau cerinele minime de securitate.
Subliniem faptul c, ulterior investigaiilor efectuate, s-a remarcat o cretere semnificativ a
numrului de agenii de turism care au notificat autoritii de supraveghere prelucrrile de date cu
caracter personal.
Seciunea a 3-a: Investigaii n alte domenii de activitate
3.1. Investigaii tematice, conform agendei Grupului de Lucru Art. 29
A. Cazul SWIFT
Autoritatea de supraveghere a participat n calitate de membru cu drepturi depline la
edinele Grupului de Lucru Art. 29 (Bruxelles, Belgia), organism ce reunete reprezentani ai
autoritilor de supraveghere din statele membre ale Uniunii Europene i ndeplinete un rol
consultativ pe lng Comisia European. Ca membru al acestui Grup, autoritatea de supraveghere
urmeaz politica trasat la nivel european i monitorizeaz n cadrul competenei sale naionale
problematica de interes comun, decurgnd din aplicarea Directivei nr. 95/46/CE.
Pe parcursul anului 2007, n afara investigaiilor stabilite potrivit planului anual, a rezultat
necesitatea efecturii unor investigaii din oficiu, ca urmare a problematicii abordate de Grupul de
Lucru Art. 29. Dintre acestea, menionm prelucrrile de date cu caracter personal n cadrul
sistemului de tranzacii financiare internaionale SWIFT.

21

n 2006 au fost publicate n presa american o serie de informaii referitoare la accesul

Departamentului Trezoreriei SUA, n scop de urmrire a finanrii actelor de terorism, la informaii
referitoare la tranzacii financiare internaionale deinute de Societatea pentru Telecomunicaii
Financiare Interbancare Mondiale (SWIFT), respectiv de centrul su de stocare situat pe teritoriul
SUA. Fa de aceste aspecte ce implic probleme de protecie a datelor personale ale clienilor
instituiilor financiare ce folosesc serviciul SWIFTNet, s-au sesizat autoritile de supraveghere din
Uniunea European.
n acest context, autoritatea de supraveghere a transmis Asociaiei Romne a Bncilor,
informaiile principale pe care instituiile bancare ce utilizeaz servicii SWIFT ar trebui s le
comunice clienilor lor, acestea fiind elemente determinante stabilite n conformitate cu Opinia nr.
10/2006 a Grupului de Lucru Art. 29. Astfel, notele de informare trebuie s fac referire la datele cu
caracter personal ale clienilor instituiilor financiare, inclusiv la categoriile de date care sunt
prelucrate i transferate n S.U.A. Totodat, nota trebuie s precizeze n mod clar drepturile
persoanelor vizate-clieni ai instituiilor financiare, n contextul transferurilor internaionale de
fonduri, prin intermediul programului SWIFT, conform Legii nr. 677/2001, modificat i
completat, i anume: dreptul de acces i dreptul de a rectifica datele. De asemenea, n coninutul
notei de informare trebuie menionat i modalitatea de exercitare a drepturilor specifice ale
persoanei vizate, prin indicarea coordonatelor de contact ale persoanei responsabile pe acest
domeniu i modalitatea de informare a persoanelor vizate (n scris).
O parte dintre bnci au declarat c vor include notele de informare, stabilite pe baza acestor
indicaii, n condiiile contractuale sau n extrasele de cont, pe site-urile web sau n afiele postate la
sediile sucursalelor i ageniilor bancare.
Informaiile transmise Asociaiei Romne a Bncilor, dar i cele trimise direct clienilor
instituiilor financiare cu privire la drepturile ce le sunt recunoscute n legtur cu transferul datelor
lor personale pe teritoriul SUA, au fost afiate pe site-ul autoritii de supraveghere
www.dataprotection.ro.
Autoritatea de supraveghere va urmri n continuare modul de respectare de ctre instituiile
financiare a obligaiilor ce le revin privind transferul datelor ctre SUA, n tranzaciile SWIFT i va
verifica ndeplinirea obligaiei acestora de informare a persoanelor vizate.
B. Asigurrile medicale din sectorul privat
n cursul anului 2006 autoritile de protecie a datelor din Uniunea European, reunite n
cadrul Grupului de Lucru Art. 29, au nceput o investigaie comun de implementare a legislaiei
privind protecia datelor personale n statele pe care le reprezint, printr-o modalitate specific,

22

constnd n transmiterea unui chestionar stabilit de comun acord, ctre operatorii de date personale
din domeniul selectat.
n acest sens, Grupul de Lucru a ales pentru primul exerciiu de acest gen un domeniu cu
activitate armonizat la un nalt nivel i cu un impact similar n privina proteciei datelor personale:
asigurrile medicale din sectorul privat. Exerciiul s-a desfurat pe parcursul a 13 luni, iar
rezultatele sale au fost reflectate n cuprinsul Raportului 1/2007 adoptat de plenara Grupului de
Lucru Art. 29 la 20 iunie 2007.
ntruct Romnia a devenit stat membru al Uniunii Europene de la 1 ianuarie 2007,
autoritatea de supraveghere a decis s efectueze la rndul su o investigaie tematic n decursul
anului 2007, folosind metoda i instrumentele alese de Grupul de Lucru. Investigaia a fost efectuat
n scopul verificrii gradului de respectare a regulilor privind protecia datelor personale de ctre
companiile care furnizeaz servicii de asigurri medicale.
Astfel, n baza informaiilor obinute de la Comisia Naional de Supraveghere a
Asigurrilor, au fost transmise chestionare ctre un numr de 19 societi de asigurri. Dintre
acestea, numai 8 societi au trimis chestionarele completate, alte 6 au rspuns c nu practic astfel
de asigurri, iar 5 societi nu au dat curs solicitrii instituiei noastre.
Din analiza rspunsurilor primite, se poate concluziona c, n general, societile de
asigurri n cauz respect principiile de protecie a datelor personale.
Aa cum a reinut n raportul su i Grupul de Lucru, chestionarul a cuprins i ntrebri care
s-au dovedit de neneles sau irelevante pentru anumii operatori de date personale (avnd n vedere
unele diferene generate de specificitatea sistemelor naionale de asigurri de sntate).
n privina datelor personale colectate de societile de asigurare i a scopului n care sunt
prelucrate acestea, n majoritatea cazurilor, companiile au indicat datele de identificare general
colectate prin chestionare, datele privind starea de sntate, date genetice, date financiare (pentru
plata primelor i indemnizaiilor de asigurare) i date referitoare la familie. Datele privind starea de
sntate i datele genetice sunt colectate n scopul stabilirii riscului asigurat, a identificrii riscurilor
majore i pentru pruden n subscriere. n aceeai msur, datele referitoare la familia asiguratului
se colecteaz din declaraia sau chestionarul medical, n scopul ntocmirii ofertei de asigurare,
stabilirii riscului asigurat i a primei, precum i pentru evaluarea antecedentelor medicale din
familie.
n privina informaiilor furnizate asigurailor ale cror date personale sunt colectate,
companiile au declarat c persoanelor vizate li se prezint oferta de asigurare n vederea ncheierii
asigurrii i stabilirii primei de asigurare, aducndu-le, totodat, la cunotin informaii cu privire
la dreptul de acces i de rectificare a datelor prin cererea de asigurare i clauzele contractuale.
Totodat, persoanelor vizate le este oferit posibilitatea de a stipula oficial restricii cu privire la

23

utilizarea datelor lor personale n alte scopuri dect cele ce au legtur cu contractul de asigurare
ncheiat de pri, prin intermediul declaraiei medicale sau a declaraiei de asigurare. Prin urmare,
datele personale sunt colectate cu consimmntul clienilor, prin semnarea cererii de asigurare sau,
dup caz, prin completarea declaraiei medicale, de la furnizorii de servicii medicale pentru plata
indemnizaiei de asigurare.
n privina destinatarilor, societile de asigurri au menionat c datele personale pot fi
dezvluite ctre furnizorul de servicii medicale sau alte autoriti competente pe baza unui temei
legal. Toate societile au rspuns c nu se transfer n afara Uniunii Europene date personale
colectate n legtur cu asigurrile medicale.
n privina prelucrrii datelor i de ctre alte companii, unele societi au precizat c, n
cazul reasigurrilor, se transmit date precum nume, prenume i cod numeric personal, n baza
acordului clientului, exprimat la data semnrii contractului.
n privina termenelor de stocare, majoritatea societilor au declarat c informaiile
referitoare la evaluarea riscurilor sunt stocate pn la expirarea termenului de prescripie, dup care
sunt arhivate/transformate n date anonime.
n privina msurilor de securitate, societile de asigurare au implementat proceduri
specifice, conform crora: accesul la datele personale se realizeaz numai n baza atribuiilor
stabilite prin fia postului; personalul este informat n legtur cu obligaiile ce le revin prin
metodologii interne de lucru, informri periodice prin reeaua intern a companiei; se efectueaz
log-uri de sistem i se respect reguli privind controlul accesului la date; pentru transmiterea datelor
la distan, se folosesc canale de comunicaie criptate; se realizeaz copii de siguran ale datelor cu
caracter personal, de obicei zilnic, stocate periodic pe suporturi externe, fiind implementate i
proceduri de recuperare a datelor n cazul producerii de evenimente neprevzute.
Trebuie precizat c rspunsurile adresate de companiile din Romnia sunt sub multe aspecte
similare cu cele reflectate n raportul Grupului de Lucru.
3.2. Investigaii efectuate n domeniul educaiei
n cursul anului 2007, mass-media a publicat o serie de articole referitoare la anumite date
colectate de ctre Ministerul Educaiei i Cercetrii (actualul Minister al Educaiei, Cercetrii i
Tineretului) pentru alctuirea Bazei de Date Naionale a Educaiei, printre care date referitoare la
venitul pe membru de familie i la starea de sntate a elevilor.
Fa de posibilele implicaii n sfera proteciei datelor personale, autoritatea de supraveghere
s-a sesizat din oficiu i a efectuat o serie de investigaii n legtur cu constituirea acestei Baze de
Date Naionale a Educaiei (denumit n continuare BDNE).

24

Baza de date a fost creat potrivit Ordinului Ministrului Educaiei i Cercetrii nr. 5760 din
data de 28 noiembrie 2006 privind managementul i utilizarea Bazei de Date Naionale a Educaiei.
Cu toate c ordinul coninea prevederi legate de prelucrarea datelor cu caracter personal, autoritatea
de supraveghere nu a fost consultat la elaborarea acestuia.
Pentru verificarea condiiilor concrete de prelucrare a datelor personale n BDNE,
investigaiile s-au desfurat att la sediul Ministerului Educaiei i Cercetrii (denumit n
continuare MEC), ct i la unitile din subordinea acestuia: inspectorate colare, uniti de
nvmnt din municipiul Bucureti i din ar.
Din investigaiile realizate, s-au desprins urmtoarele concluzii:
Conform art. 2 din Ordinul nr. 5760/2006, BDNE este o baz de date statistic, unic i
integrat care asigur colectarea, validarea i consultarea datelor necesare indicatorilor naionali
pentru educaie i susinerea procesului de administrare a sistemului educaional n ceea ce privete:
evaluarea i monitorizarea sistemului, realizarea de prognoze; luarea deciziilor de politic
educaional; planificarea activitilor, precum i raportarea datelor solicitate prin studii i alte tipuri
de documente care implic responsabilitate public.
Anexa la acest ordin (Planul de ncrcare i utilizare a datelor din BDNE) a prevzut o serie
de etape pe care trebuiau s le parcurg unitile colare i inspectoratele teritoriale, pentru
constituirea i actualizarea BDNE, fr s prevad ns cu exactitate categoriile de date personale
necesare pentru fiecare dintre scopurile preconizate a fi atinse prin folosirea BDNE. Singurele
referiri la datele personale au fost cele legate de datele nominale ale cadrelor didactice (norme,
catedre etc.) i ale elevilor (apartenene la clase, limbi strine studiate etc.).
Pentru punerea n aplicare a Ordinului nr. 5760/2006, se prelucreaz date cu caracter
personal de ctre MEC, n calitate de operator de date personale, n sensul art. 3 lit. e) din Legea nr.
677/2001. Unitile colare cu personalitate juridic ce colecteaz datele personale pe seama MEC
i le introduc n aplicaia informatic a BDNE, ct i inspectoratele colare judeene declarate
responsabile prin Ordin de acurateea i corectitudinea datelor colectate i introduse n BDNE, de
organizarea centrelor de colectare la nivelul unitilor colare i de raportri, ntrunesc calitatea de
persoane mputernicite, n sensul art. 3 lit. f) din Legea nr. 677/2001.
n calitate de operator, MEC avea urmtoarele obligaii:

stabilirea exact i explicit a scopurilor determinate n care se va face prelucrarea datelor

introduse n BDNE;

stabilirea exact a datelor personale adecvate, pertinente i neexcesive care vor trebui s fie
colectate spre a fi prelucrate n BDNE, n funcie de fiecare scop preconizat;

25

realizarea unei informri adecvate a persoanelor vizate, cu privire la identitatea operatorului,

scopul colectrii i prelucrrii datelor, potenialii destinatari, caracterul obligatoriu sau
facultativ al colectrii datelor i consecinele refuzului de a le furniza, drepturile de care
beneficiaz i condiiile de exercitare;

elaborarea unor instruciuni pentru prelucrarea datelor personale de ctre persoanele

mputernicite i de ctre toate persoanele aflate sub autoritatea acestora, n calitate de
utilizatori ai aplicaiei BDNE;

depunerea notificrii, anterior efecturii prelucrrii datelor.

Prin nerespectarea obligaiilor de mai sus, s-a reinut nclcarea prevederilor Legii nr.

677/2001, astfel:
dispoziiile art. 4 alin. (1) lit. b), c), d), potrivit crora datele cu caracter personal destinate
a face obiectul prelucrrii trebuie s fie () colectate n scopuri determinate, explicite i
legitime; adecvate, pertinente i neexcesive, prin raportare la scopul n care sunt colectate i
ulterior prelucrate; exacte i dac este cazul, actualizate;
dispoziiile art. 7 alin. (1), potrivit cruia prelucrarea datelor cu caracter personal legate de
originea rasial sau etnic, de convingerile politice, religioase, filosofice sau de natur
similar, de apartenena sindical, precum i a datelor cu caracter personal privind starea de
sntate sau viaa sexual este interzis, cu excepiile stabilite de art. 7 alin. (2) i de art. 9;
dispoziiile art. 12 care prevede c n cazul n care datele cu caracter personal sunt obinute
direct de la persoana vizat, operatorul este obligat s furnizeze persoanei vizate cel puin
urmtoarele informaii, cu excepia cazului n care aceast persoan posed deja informaiile
respective:
-

identitatea operatorului i a reprezentantului acestuia, dac este cazul;

scopul n care se face prelucrarea datelor;

informaii suplimentare, precum: destinatarii sau categoriile de destinatari ai

datelor; dac furnizarea tuturor datelor cerute este obligatorie i consecinele
refuzului de a le furniza; existena drepturilor prevzute de prezenta lege pentru
persoana vizat, n special a dreptului de acces, de intervenie asupra datelor i
de opoziie, precum i condiiile n care pot fi exercitate;

orice alte informaii a cror furnizare este impus prin dispoziie a autoritii de
supraveghere, innd seama de specificul prelucrrii;

dispoziiile art. 19 care prevd c orice persoan care acioneaz sub autoritatea
operatorului sau a persoanei mputernicite, inclusiv persoana mputernicit, care are acces la
date cu caracter personal, nu poate s le prelucreze dect pe baza instruciunilor
operatorului, cu excepia cazului n care acioneaz n temeiul unei obligaii legale;

26

 dispoziiile art. 22 alin. (1), potrivit crora operatorul este obligat s notifice autoritii de
supraveghere, personal sau prin reprezentant, nainte de efectuarea oricrei prelucrri ori a
oricrui ansamblu de prelucrri avnd acelai scop sau scopuri diferite.
Fa de cele expuse mai sus, s-a solicitat MEC adoptarea unor msuri de remediere.
Pentru verificarea adoptrii acestora, o nou investigaie a fost efectuat, prilej cu care s-a
constatat c Ministerului Educaiei, Cercetrii i Tineretului (MECT) a ntocmit un proiect de ghid
metodologic de reglementare a culegerii i prelucrrii datelor cu caracter personal.
Pentru remedierea tuturor deficienelor care au rmas nesoluionate n legtur cu
respectarea prevederilor Legii nr. 677/2001 n cadrul BDNE, autoritatea de supraveghere a emis
instruciuni obligatorii n scopul adoptrii de ctre MECT a urmtoarelor msuri:

stabilirea explicit a scopurilor determinate n care se vor utiliza datele personale introduse
n BDNE;

stabilirea exact a datelor personale care sunt necesare pentru realizarea fiecrui scop
urmrit prin constituirea BDNE, datele trebuind s fie adecvate, pertinente i neexcesive.
Astfel, n funcie de scopul stabilit pentru colectarea adreselor de e-mail ale elevilor, precum
i a venitului pe membru de familie i a tipului de deficien ce vizeaz starea de sntate a
elevilor, este necesar ca aceste categorii de date s se colecteze exclusiv de la persoanele
care se ncadreaz n condiiile de eligibilitate pentru programele speciale derulate de
minister;

realizarea unei informri adecvate a persoanelor vizate, cu privire la identitatea operatorului,

scopul colectrii i prelucrrii datelor, potenialii destinatari, caracterul obligatoriu sau
facultativ al colectrii fiecrei categorii de date i consecinele refuzului de a le furniza,
drepturile de care beneficiaz i condiiile de exercitare a acestor drepturi;

elaborarea unor instruciuni coordonate de la nivel central, de prelucrare a datelor personale,

care s fie aplicate de ctre persoanele mputernicite (inspectorate colare teritoriale i
uniti colare), ct i de ctre toate persoanele aflate sub autoritatea acestora, n calitate de
utilizatori ai aplicaiei BDNE; stabilirea unor modaliti uniforme de colectare a datelor
personale, urmnd ca, n cazul n care se vor utiliza formulare speciale de colectare a
datelor, acestea s conin informaiile prevzute de art. 12 din Legea nr. 677/2001 i
opiunea persoanelor vizate pentru furnizarea datelor care nu sunt obligatoriu de colectat,
inclusiv data i semntura persoanei care atest consimmntul de furnizare a datelor
personale, inndu-se cont de capacitatea de exerciiu a acestora;

urmrirea periodic a respectrii instruciunilor date persoanelor mputernicite, n sensul art.

19 i 20 din Legea nr. 677/2001;

27

stabilirea unei perioade de stocare a datelor i transmiterea deciziei luate n acest sens
autoritii de supraveghere;

revizuirea tuturor nregistrrilor din BDNE, conform instruciunilor de mai sus i tergerea
datelor personale care nu ndeplinesc condiiile de prelucrare legitim.
Autoritatea de supraveghere va continua s monitorizeze, n cursul anului 2008, modul n

care att MECT, ct i unitile implicate n organizarea Bazei de Date Naionale a Educaiei,
respect instruciunile emise i, implicit, prevederile Legii nr. 677/2001.
3.3. Investigaii efectuate n domeniul serviciilor medicale
Avnd n vedere gradul ridicat de sensibilitate a datelor personale privind starea de sntate,
n cursul anului 2007 s-a continuat efectuarea investigaiilor n domeniul serviciilor medicale.
3.3.1. Programul naional privind evaluarea strii de sntate a populaiei n asistena
medical primar
Autoritatea de supraveghere a fost sesizat n legtur cu posibile nereguli referitoare la
modul n care se desfoar prelucrarea datelor cu caracter personal n cadrul Programului naional
privind evaluarea strii de sntate a populaiei n asistena medical primar (denumit n continuare
PROGRAMUL).
Potrivit Ordinului nr. 994/2007 privind aprobarea Normelor metodologice pentru realizarea
i raportarea activitilor specifice din cadrul Programului naional privind evaluarea strii de
sntate a populaiei n asistena medical primar, emis n comun de ministrul sntii publice i
preedintele Casei Naionale de Asigurri de Sntate 11 , principalele entiti implicate n realizarea
programului sunt: Agenia Naional pentru Programe de Sntate, direciile de specialitate din
Ministerul Sntii Publice, Casa Naional de Asigurri de Sntate, autoritile de sntate
public judeene i a municipiului Bucureti, casele de asigurri de sntate, precum i furnizorii de
servicii medicale. Ordinul a suferit o serie de modificri i completri prin Ordinul nr. 1474/2007 12 .
Normele metodologice au prevzut scopul, obiectivele, activitile preliminare, serviciile
efectuate n cadrul programului, finanarea programului, responsabilitile n elaborarea,
implementarea i monitorizarea programului, modul de derulare a programului, raportarea
indicatorilor fizici i de eficien (date statistice), modalitile de control, monitorizare i evaluare a
programului. De asemenea, modelele de taloane, modelele scrisorilor transmise cetenilor (sub

11
12

Publicat n M. Of. nr. 409 din 19 iunie 2007.

Publicat n M. Of. nr. 716 din 23 octombrie 2007.

28

semntura ministrului sntii publice) i cele trimise medicilor de familie (sub semntura
ministrului sntii publice i a preedintelui CNAS), modelele riscogramei individuale, ale
planului individual de supraveghere i ale contractelor ncheiate cu casele de asigurri au fost
cuprinse n anexele la Ordinul nr. 994/2007.
Conform Ordinului nr. 994/2007, PROGRAMUL a nceput la data de 1 iulie 2007, avnd ca
scop obiectivele mai sus descrise.
n modelul de scrisoare transmis cetenilor, conform anexei nr. 2 la Ordinul nr. 994/2007,
se precizeaz urmtoarele informaii: NOT: Acest program este finanat de Ministerul Sntii
Publice, pentru toi cetenii Romniei, conform Legii nr. 95/2006 privind reforma n domeniul
sntii i ordinului ministrului sntii publice. Autoritatea Naional de Supraveghere a
Prelucrrii Datelor cu Caracter Personal a autorizat Ministerul Sntii Publice s prelucreze datele
dumneavoastr personale (nume, prenume, domiciliu, CNP), n scopul realizrii acestui program,
conform art. 2 alin. (2) din Legea nr. 677/2001. Datele dumneavoastr nu vor fi dezvluite dect
partenerilor implicai n acest program (Compania Naional Pota Romn, Compania Naional
"Imprimeria Naional" - S.A. i medicul dumneavoastr de familie). Potrivit Legii nr. 677/2001,
avei dreptul de acces i de intervenie asupra datelor, de opoziie, ce poate fi exercitat printr-o
scrisoare semnat i datat, adresat Ministerului Sntii Publice.
Autoritatea de supraveghere a demarat o serie de investigaii la entiti implicate n
desfurarea PROGRAMULUI: Agenia Naional pentru Programe de Sntate (denumit n
continuare ANPS), din cadrul Ministerului Sntii Publice (denumit n continuare MSP), Casa
Naional de Asigurri de Sntate (denumit n continuare CNAS), coala Naional de Sntate
Public i Management Sanitar, o cas de asigurri de sntate teritorial, o autoritate local de
sntate public, furnizori de servicii medicale.
Prelucrarea datelor cu caracter personal ce urma s se desfoare n cadrul PROGRAMULUI
a fost notificat la autoritatea de supraveghere de Ministerul Sntii Publice, prin Agenia
Naional pentru Programe de Sntate, n octombrie 2006. Potrivit acestei notificri, datele ce
urmau a fi prelucrate sunt nume, prenume, adres, cod numeric personal, care sunt nscrise pe
taloanele tiprite i expediate cetenilor. Aceste date au fost obinute de la Inspectoratul Naional
pentru Evidena Persoanelor i Centrul Naional de Administrare a Bazelor de Date privind
Evidena Persoanelor, n baza art. 10 alin. 6 lit. c1) din Ordonana de urgen a Guvernului nr.
97/2005, modificat i completat.
Prin notificare erau declarate ca persoane mputernicite companiile naionale Imprimeria
Naional i Pota Romn. De asemenea, ncheierea operaiunilor de prelucrare era prevzut la
data de 31 decembrie 2007, iar ca destinaie ulterioar a datelor s-a menionat numai transformarea
n date anonime i stocarea n scopuri statistice, de cercetare istoric sau tiinific.

29

Investigaiile efectuate au relevat o serie de disfuncionaliti din perspectiva aplicrii Legii

nr. 677/2001.
Prevederile Ordinului nr. 994/2007 i instruirea realizat la nivelul medicilor de familie care
colecteaz datele cu caracter personal din riscogramele individuale (n calitate de mputernicii ai
ministerului) nu s-au referit la posibilitatea persoanelor vizate de a refuza furnizarea tuturor datelor
solicitate i la consecinele acestui refuz, aa cum dispune art. 12 din Legea nr. 677/2001.
n aceeai msur, categoriile de destinatari ai datelor personale casele de asigurri de
sntate, celelalte entiti implicate n program nu au fost specificate n scrisorile trimise
populaiei, cu toate c aceste informaii trebuie furnizate de operatori, conform art. 12 din Legea nr.
677/2001. Totodat, actele prin care datele cu caracter personal au fost colectate (taloane,
riscograme, planuri individuale de supraveghere) nu prevedeau numrul de nregistrare a notificrii,
contrar dispoziiilor art. 24 alin. (2) din Legea nr. 677/2001.
Aplicaia informatic pus la dispoziia medicilor de ctre MSP se poate accesa pe baza
codului numeric personal al medicului care a introdus datele.
ntruct scopul i obiectivele PROGRAMULUI prevd stabilirea unui plan individual de
supraveghere la adult i copil, lund n considerare c datele personale trebuie s fie adecvate,
pertinente i neexcesive prin raportare la scopul prelucrrii, conform art. 4 alin. (1) lit. c) din Legea
nr. 677/2001, din punctul de vedere al autoritii de supraveghere datele cu caracter personal,
asociate cu cele privind starea de sntate i viaa sexual nu pot fi astfel prelucrate dect la nivelul
cadrelor medicale, cu respectarea dispoziiilor art. 9 din Legea nr. 677/2001. Potrivit art. 4 alin. (1)
lit. d) din Legea nr. 677/2001, datele prelucrate trebuie s fie exacte i actualizate. Cu toate acestea,
o parte semnificativ a taloanelor transmise populaiei au fost returnate la casele de asigurri de
sntate, ca urmare a neconcordanei datelor personale imprimate.
Fa de cele de mai sus, s-a solicitat MSP adoptarea unor msuri n vederea remedierii
deficienelor constatate, dup cum urmeaz:
9 stabilirea destinaiei ulterioare a datelor colectate pe suport electronic i de hrtie;
9 modalitatea de asigurare a legalitii prelucrrii datelor privind starea de sntate colectate n
formatul stabilit de Ordinul nr. 994/2007, n conformitate cu art. 9 alin. (3) din Legea nr.
677/2001;
9 instruirea medicilor de familie cu privire la caracterul opional/obligatoriu al furnizrii
tuturor datelor solicitate prin formulare i consecinele refuzului de a le furniza;
9 asigurarea informrii persoanelor vizate cu privire la toate categoriile de destinatari ai
datelor personale;
9 implementarea cerinelor minime de securitate a prelucrrilor de date cu caracter personal i
instruirea persoanelor mputernicite n acest sens;

30

9 adoptarea unor msuri pentru rectificarea datelor inexacte sau neactualizate prelucrate pe
taloanele expediate populaiei;
9 stabilirea modalitilor concrete n care pot fi exercitate drepturile de acces, intervenie i
opoziie de ctre persoanele vizate, n relaia cu MSP i cu casele de asigurri de sntate;
9 completarea/modificarea notificrii cu informaiile ce rezult din aplicarea Ordinului nr.
994/2007, cu privire la: persoane mputernicite, categorii de date cu caracter personal, data
estimat pentru ncheierea operaiunilor de prelucrare, destinaia ulterioar a datelor
prelucrate, descrierea msurilor de securitate a prelucrrilor de date;
9 punerea la dispoziia autoritii de supraveghere a tuturor informaiilor necesare privind
modul de funcionare a aplicaiei informatice utilizate n cadrul PROGRAMULUI.
n rspunsul formulat, MSP prin Agenia Naional pentru Programe de Sntate, a precizat
urmtoarele:

programul informatic care va realiza centralizarea datelor va asigura confidenialitatea

acestora prin criptarea datelor de identificare;

s-a realizat instruirea medicilor prin ntlniri regionale, cu toate c, din investigaiile
efectuate, a rezultat c nu toi medicii au fost informai i cu privire la obligaiile ce le revin
potrivit Legii nr. 677/2001;

datele personale asociate cu cele privind starea de sntate i viaa sexual sunt prelucrate
exclusiv la nivelul cabinetului medicului de familie, iar datele transmise ctre orice alt
instituie sunt transformate n date anonime;

n privina datelor inexacte sau incorecte din taloane, persoanele n cauz au fost ndrumate
s se adreseze INEP pentru corectarea acestora;

informaii suplimentare legate de funcionarea aplicaiei informatice utilizate n cadrul

Programului vor fi comunicate dup finalizarea programului informatic;

MSP consider c informarea persoanelor vizate s-a realizat prin intermediul scrisorii
adresate cetenilor, iar acetia i-au dat consimmntul pentru prelucrarea datelor prin
prezentarea la medic;

n privina temeiului legal al prelucrrii datelor privind starea de sntate i viaa sexual, sa invocat art. 7 alin. (2) lit. g) i h) din Legea nr. 677/2001 13 .

13
Art. 7 alin. (2) lit. g) cnd prelucrarea este necesar n scopuri de medicin preventiv, de stabilire a diagnosticelor medicale, de
administrare a unor ngrijiri sau tratamente medicale pentru persoana vizat ori de gestionare a serviciilor de sntate care acioneaz n interesul
persoanei vizate, cu condiia ca prelucrarea datelor respective s fie efectuate de ctre ori sub supravegherea unui cadru medical supus secretului
profesional sau de ctre ori sub supravegherea unei alte persoane supuse unei obligaii echivalente n ceea ce privete secretul;
h) cnd legea prevede n mod expres aceasta n scopul protejrii unui interes public important, cu condiia ca prelucrarea s se efectueze cu
respectarea drepturilor persoanei vizate i a celorlalte garanii prevzute de prezenta lege.

31

Fa de situaia prezentat mai sus, n conformitate cu Legea nr. 677/2001, Autoritatea

Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal a transmis Ministerului
Sntii Publice instruciuni obligatorii privind:
a) completarea, respectiv modificarea notificrii nr. 3396 cu informaiile ce rezult din
aplicarea Ordinului nr. 994/2007, modificat i completat, cu privire la: persoane mputernicite,
categorii de date cu caracter personal, data estimat pentru ncheierea operaiunilor de prelucrare,
destinaia ulterioar a datelor prelucrate, descrierea msurilor de securitate a prelucrrilor de date;
b) informarea medicilor implicai n program i a cetenilor cu privire la destinatarii datelor
i la faptul c refuzul cetenilor de a furniza informaiile solicitate prin riscograma individual,
aprobat prin Ordinul nr. 994/2007, modificat i completat, nu atrage nicio consecin;
c) stabilirea modalitilor concrete n care pot fi exercitate drepturile de acces, intervenie i
opoziie de ctre persoanele vizate, n relaia cu Ministerul Sntii Publice i casele de asigurri de
sntate;
d) respectarea cerinelor minime de securitate a prelucrrilor de date cu caracter personal,
prevzute de Ordinul nr. 52/2002 privind aprobarea Cerinelor minime de securitate a prelucrrilor
de date cu caracter personal, care dispune atribuirea codurilor de identificare, nsoite de metode de
autentificare, prin eliminarea posibilitii ca aplicaia informatic pus la dispoziie de ctre
Ministerul Sntii Publice s se poat accesa pe baza codului numeric personal al medicului de
familie.
Totodat, n vederea aplicrii acestor instruciuni obligatorii, s-a recomandat MSP
modificarea unora dintre dispoziiile Ordinului nr. 994/2007, modificat i completat.
Autoritatea de supraveghere va continua s monitorizeze, n cursul anului 2008, modul n
care MSP a dat curs instruciunilor i recomandrilor adresate, n vederea respectrii dispoziiilor
Legii nr. 677/2001.
Pe de alt parte, din informaiile primite n urma investigaiilor a rezultat c au fost
nregistrate un numr semnificativ de cazuri n care taloanele expediate populaiei au coninut date
eronate ca urmare a celor transmise de CNABDEP, n baza protocolului ncheiat de MSP cu MAI.
Ca atare, autoritatea de supraveghere a semnalat aceste probleme ctre INEP i CNABDEP,
n vederea lurii msurilor ce se impun, potrivit Legii nr. 677/2001, n privina asigurrii prelucrrii
unor date exacte i actualizate i a rectificrii datelor care nu corespund condiiilor legale.

32

3.3.2. Dezvluirea unor date referitoare la afeciuni de natur psihic

Autoritatea de supraveghere a fost sesizat cu privire la dezvluirea de ctre un spital a
datelor referitoare la afeciunile de natur psihic ale unui pacient, ctre o asociaie (organizaie
neguvernamental), n lipsa unui temei legal.
n urma investigrii acestui caz, s-a constatat c sesizarea a fost ntemeiat, spitalul n cauz
fiind sancionat pentru nerespectarea dispoziiilor art. 7 din Legea nr. 677/2001, ntruct a dezvluit
date speciale (sensibile) privind starea de sntate, de natur a afecta profund intimitatea unui
individ, ctre un ter, fr o justificare legal.
Totodat, s-a recomandat respectivului operator s elaboreze un ndrumar pe baza cruia s
se poat dezvlui date referitoare la pacieni sau foti pacieni, n funcie de calitatea solicitantului i
temeiul legal al solicitrii, astfel nct s se evite pe viitor apariia unor astfel de situaii precum cea
care a fcut obiectul investigaiei. Spitalul i-a nsuit recomandrile autoritii de supraveghere.
Avnd n vedere condiiile limitativ prevzute de art. 7 i art. 9 din Legea nr. 677/2001,
precum i faptul c spitalul nu a fcut dovada respectrii acestor prevederi n cazul dezvluirii
datelor privind afeciunile fostului pacient, autoritatea de supraveghere a dispus interzicerea
dezvluirii datelor cu caracter personal n alte condiii dect cele impuse de Legea nr. 677/2001 i
actele normative care reglementeaz activitatea n domeniul sntii (cum ar fi Legea nr. 46/2003
privind drepturile pacientului).
3.3.3. Prelucrarea unor date personale n scop de servicii de sntate, fr ndeplinirea
obligaiei de a notifica prelucrrile de date efectuate
n urma primirii unei sesizri prin care se reclama faptul c anumii operatori din judeul
Arge prelucreaz date personale n scop de servicii de sntate, fr a ndeplini obligaia de a
notifica autoritii de supraveghere prelucrrile de date efectuate, s-au efectuat investigaii la 14
centre medicale din acest jude.
Din perspectiva legislaiei privind protecia datelor personale, s-a constatat c operaiunile
de colectare a datelor personale, de ctre centrele medicale supuse controlului, se realizeaz prin
folosirea unor formulare tipizate, aprobate prin reglementrile specifice din domeniul medical, care
conin date de identificare a persoanei vizate i date de diagnostic medical, necesare, n special, n
relaiile medic-pacient i medic-case de asigurri de sntate.
n privina respectrii dreptului de informare, din investigaiile efectuate a rezultat c
operatorii din domeniul medical afiau n locuri vizibile drepturile pacienilor, aa cum sunt acestea
prevzute de Legea nr. 46/2003 privind drepturile pacientului. ntruct acordarea serviciilor

33

medicale implic operaiuni de prelucrare, precum colectarea sau utilizarea datelor personale ale
pacienilor, s-a recomandat afiarea inclusiv a drepturilor prevzute de Legea nr. 677/2001,
modificat i completat, de natur s asigure o protecie eficient nu doar a dreptului la ocrotirea
sntii, dar i a celui la protecia datelor.
Stabilirea de ctre fiecare centru medical a scopului i mijloacelor de prelucrare a datelor
personale (date de identificare i date medicale) n legtur cu obiectul principal de activitate,
respectiv prestarea serviciilor de sntate determin calificarea acestora ca operatori de date cu
caracter personal, crora le incumb obligaia de notificare, potrivit Legii nr. 677/2001. Ca atare,
operatorii controlai au fost sancionai pentru omisiunea de a notifica prelucrrile de date cu
caracter personal pe care le realizau n legtur cu acordarea serviciilor medicale, n condiiile
prevzute de lege.
Ulterior investigaiilor efectuate i sanciunilor aplicate, operatorii au dat curs recomandrii
de a se nregistra la autoritatea de supraveghere.
Investigaiile efectuate n domeniul medical vor continua n anul 2008, dat fiind importana
asigurrii unui cadru unitar de prelucrare a datelor personale privind starea de sntate, mai ales n
contextul dezvoltrii produselor software care permit o procesare mai rapid i mai eficient a
informaiilor, dar care, pe de alt parte, pot ridica probleme din perspectiva legislaiei privind
protecia datelor personale, dac nu sunt stabilite suficiente msuri de securizare a bazelor de date,
de monitorizare atent a accesului la aceste informaii i de criptare a transmiterii lor prin
intermediul sistemelor de comunicaii electronice.
3.4. Investigaii n domeniul supravegherii video
Unul dintre domeniile care s-a aflat permanent n atenia autoritii de supraveghere este cel
referitor la prelucrarea datelor cu caracter personal prin intermediul mijloacelor de supraveghere
video. n afara prevederilor Legii nr. 677/2001, n domeniul supravegherii video sunt aplicabile
dispoziiile Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor i protecia
persoanelor, modificat i completat, care conine reglementri speciale cu privire la condiiile de
instalare, montare i funcionare a sistemelor tehnice de protecie i alarmare mpotriva efraciei, ce
pot include i subsisteme de televiziune cu circuit nchis.
n anul 2007 au fost efectuate o serie de investigaii n legtur cu prelucrrile de date prin
supraveghere video, fie ca urmare a unor sesizri din oficiu, fie ca efect al primirii unor plngeri din
partea persoanelor vizate.
Astfel, una dintre investigaii a fost declanat ca urmare a informaiilor provenite din massmedia care fceau referire la faptul c un serviciu de transport public local prelucreaz date cu

34

caracter personal n scopul monitorizrii video n mijloacele de transport n comun. Investigaia s-a
desfurat n mai multe etape, necesare verificrii legalitii prelucrrii datelor cu caracter personal
(a imaginii cltorilor, captate prin intermediul camerelor video instalate pe unele mijloace de
transport), precum i verificrii aducerii la ndeplinire a msurilor dispuse de autoritatea de
supraveghere.
n spe, scopul invocat pentru utilizarea sistemului de supraveghere video a fost acela de a
preveni actele de vandalism sau faptele antisociale n mijloacele de transport i pentru identificarea
celor care se fac vinovai de producerea acestora. Cu toate acestea, operatorul a instalat sistemul
fr ntocmirea unui act scris care s justifice necesitatea montrii camerelor video pe mijloacele de
transport i a negat punerea n funciune a camerelor video, operaiune ce implic instalarea unui
soft specializat.
Fa de primele constatri, autoritatea de supraveghere a luat msura de suspendare
provizorie a prelucrrii prin mijloace de supraveghere video pn la data la care operatorul va
prezenta nscrisuri n sensul dovedirii condiiilor de legalitate i legitimitate a prelucrrii datelor,
precum i a procedurii de securitate i confidenialitate a prelucrrii.
Prin urmare, operatorul a notificat prelucrrile de date cu caracter personal efectuate n
scopul asigurrii securitii persoanelor i a spaiilor publice/private.
Pentru asigurarea respectrii msurilor dispuse de autoritatea de supraveghere, s-a efectuat o
nou verificare la acelai operator, care derula activiti de instruire a personalului cu privire la
modul de funcionare a sistemului de supraveghere video i de elaborare a unor proceduri scrise
privind modul de prelucrare a imaginilor rezultate din utilizarea sistemelor de supraveghere video.
Informarea persoanelor vizate urma s fie realizat prin utilizarea unei note afiate n mijloacele de
transport supuse supravegherii video.
n plus, operatorul a inserat n proiectul procedurilor aflate n curs de elaborare un nou scop
de prelucrare a datelor personale prin sistemul de supraveghere video, i anume constatarea
abaterilor disciplinare ale propriilor oferi.
O ultim verificare a urmrit modul n care vor fi prelucrate imaginile nainte de punerea n
funciune a sistemului de supraveghere i asigurarea msurilor de securitate a datelor colectate. n
aceast etap s-a constatat c msurile de securitate implementate de serviciul de transport public
local respectiv sunt n conformitate cu Ordinul nr. 52/2002.
n consecin, operatorul a respectat recomandrile autoritii de supraveghere i a adoptat
urmtoarele msuri:

a notificat autoritii de supraveghere prelucrrile de date efectuate prin mijloacele de

supraveghere video instalate n mijloacele de transport n comun;

35

a determinat scopul instalrii mijloacelor de supraveghere video n mijloacele de transport n

comun n sensul asigurrii securitii persoanelor i a spaiilor publice/private, prevenirii
actelor de vandalism sau faptelor antisociale (furturi, scandaluri) n mijloacele de transport
n comun i a constatrii abaterilor disciplinare ale oferilor;

a transmis autoritii de supraveghere modelul de informare a persoanelor vizate i l-a afiat

n mijloacele de transport supravegheate video;

a elaborat procedura operaional pentru supravegherea video n mijloacele de transport n

comun;

a stabilit persoanele cu drept de acces la imaginile stocate.

Fiind ndeplinite msurile stabilite de autoritatea de supraveghere, s-a dispus revocarea

suspendrii prelucrrii datelor prin sistemul de supraveghere video.

n acelai timp, autoritatea a interzis utilizarea datelor colectate prin sistemul de
supraveghere video instalat n mijloacele de transport n comun pentru constatarea abaterilor
disciplinare ale oferilor, scop considerat incompatibil cu cel notificat, respectiv securitatea
persoanelor i a spaiilor publice/private.
3.5 Investigaii n domeniul serviciilor financiar-bancare
Una dintre investigaiile efectuate n cursul anului 2007 a urmrit respectarea dispoziiilor
Legii nr. 677/2001 din perspectiva implementrii unor msuri de securitate adecvate pentru
protejarea datelor personale, cu att mai mult cu ct pstrarea confidenialitii datelor este legat n
mod neechivoc de secretul bancar.
Astfel, au fost investigate mprejurrile n care un suport de stocare electronic (dischet),
coninnd un fiier cu datele personale ale angajailor unei instituii (nume, prenume, cod numeric
personal, salariu net, numr de cont bancar) a intrat n posesia unei alte instituii, ambele fiind
cliente ale aceleiai bnci. S-a constatat c fiierul de pe suportul magnetic nu era securizat prin nici
o metod (spre exemplu, printr-o metod de criptare), iar banca nu stabilise instruciuni exprese cu
privire la obligaiile personalului cu acces la datele astfel stocate. n plus, datele personale din
fiierul ncrcat pe suporturile magnetice puteau fi vizualizate n clar de orice persoan care ar fi
intrat n posesia lor.
Datele personale colectate prin intermediul suporturilor magnetice, n formatul de fiier i
modalitatea impus de banc prin convenia ncheiat cu clienii si, sunt de natur special,
determinnd identificarea direct a persoanelor prin codul numeric personal (asociat numelui i
prenumelui angajailor respectivi) i dezvluind informaii privind conturile bancare i veniturile
salariale nete lunare.

36

n consecin, s-a reinut svrirea de ctre banc a contraveniei prevzute de art. 33 din
Legea nr. 677/2001, n legtur cu nendeplinirea obligaiilor privind confidenialitatea i aplicarea
msurilor de securitate, fapt care a determinat dezvluirea unor date personale ctre persoane
neautorizate. Pentru fapta constatat, s-a aplicat amend n cuantum de 15.000 lei (RON).
Totodat, autoritatea de supraveghere a adresat bncii recomandarea de a adopta msuri de
securitate adecvate pentru a proteja datele personale mpotriva dezvluirii i accesului neautorizat,
inclusiv de ctre funcionarii bancari care manipuleaz suporturi magnetice cu fiiere coninnd date
cu caracter personal.
Banca s-a conformat recomandrii autoritii i a transmis, n termen, o procedur intern
detaliat, menit s previn repetarea unor erori de genul celor investigate.
Seciunea a 4-a: Activitatea de soluionare a plngerilor
Persoanele fizice care se consider lezate prin modul de prelucrare a datelor personale pot
adresa plngeri autoritii de supraveghere, cu condiia de a nu fi introdus anterior o aciune n
justiie cu acelai obiect. Legea prevede obligaia persoanei vizate de a depune o cerere la
operatorul reclamat, anterior (15 zile) plngerii naintate autoritii de supraveghere.
Autoritatea de supraveghere a primit n cursul anului 2007 un numr de 51 de plngeri, prin
care au fost sesizate aspecte legate de posibile nclcri ale drepturilor reglementate de Legea nr.
677/2001. Cele mai multe dintre acestea au avut ca obiect dezvluirea datelor personale, raportarea
datelor personale ale debitorilor diferitelor bnci la Biroul de Credit sau la Centrala Riscurilor
Bancare.
Motivele de respingere ca inadmisibile sau nentemeiate a plngerilor depuse de persoanele
vizate au fost:
nerespectarea procedurii prealabile prevzute de lege;
reclamarea unor fapte n legtur cu care autoritatea de supraveghere nu avea competena
material sau teritorial s intervin, cum ar fi: refuzul furnizrii unor documente
coninnd date personale n urma exercitrii liberului acces la informaiile de interes
public, refuzul furnizrii unor date informatice aparinnd unor tere persoane; primirea de
comunicri comerciale specifice marketingului direct de la operatori care nu erau situai n
Romnia, prin mijloace care se afl pe teritoriul altor state;
neprezentarea de dovezi n susinerea plngerii.
n cazurile considerate ca fiind ntemeiate, au fost aplicate sanciuni contravenionale i,
dup caz, s-a dispus prin decizia preedintelui autoritii de supraveghere ncetarea prelucrrii

37

datelor n scop de marketing direct i tergerea datelor personale prelucrate cu nesocotirea

drepturilor persoanelor vizate.
Pe parcursul anului 2007, s-a observat tendina tot mai crescut n a utiliza modelele de
plngere pe care autoritatea de supraveghere le-a furnizat pe site-ul su n vederea diminurii
cazurilor de inadmisibilitate (cel puin din punct de vedere procedural).
4.1. Servicii medicale
Plngerile adresate autoritii de supraveghere cu privire la posibile nclcri ale dreptului la
via intim, familial i privat, prin prelucrarea datelor privind starea de sntate, s-au dovedit, n
general, nentemeiate.
Astfel, ntr-un caz, persoana vizat a adus la cunotina autoritii nerespectarea obligaiei de
notificare a prelucrrilor de date personale efectuate de ctre un centru medical (din municipiul
Bucureti) i dezvluirea datelor personale privind starea de sntate cu ocazia cercetrii
disciplinare efectuate mpotriva unui medic.
n urma investigaiei, s-a constatat c prelucrarea datelor personale pentru constatarea
abaterilor disciplinare svrite s-a realizat cu respectarea legii, iar respectivele date nu au fost
transmise de centrul medical ctre nicio ter persoan. Prin urmare, nu s-a putut reine n sarcina
operatorului o eventual nclcare a confidenialitii datelor medicale ale pacientului.
Pentru nerespectarea obligaiei de a notifica prelucrrile de date personale, s-a reinut
svrirea contraveniei prevzute de art. 31 din Legea nr. 677/2001, n forma omisiunii de a
notifica, motiv pentru care operatorul a fost sancionat. De asemenea, s-a recomandat afiarea la
sediul operatorului a drepturilor persoanelor vizate expres prevzute de Legea nr. 677/2001.
Ulterior investigaiei, operatorul a dat curs obligaiilor ce i reveneau i a depus notificarea
impus de lege pentru prelucrrile efectuate.
4.2. Selecie i plasare a forei de munc
Prin plngerea adresat autoritii de supraveghere, persoana vizat a invocat nerespectarea
legii de ctre o societate de selecie i plasare a forei de munc prin Internet, creia i-a solicitat n
mod expres s i tearg datele personale colectate cu ocazia crerii unui cont pe site-ul acesteia.
Din verificrile efectuate, s-a constatat c datele aferente contului persoanei vizate au fost
dezactivate n cadrul termenului legal de 15 zile, prevzut de Legea nr. 677/2001, modificat i
completat. Cu toate acestea, nregistrarea detaliilor contului coninea n continuare informaii

38

personale cum ar fi: nume, prenume, data naterii, numr telefon mobil, categorie profesional,
domeniu de activitate.
Avnd n vedere aceste constatri i solicitarea expres a persoanei vizate de a-i fi terse
datele personale pe care societatea le deinea pe site-ul su, a fost emis o decizie a preedintelui
autoritii de supraveghere prin care s-a dispus tergerea definitiv a datelor personale aferente
contului creat, care erau stocate fr un motiv justificat de ctre respectiva societate.
4.3. Servicii de turism
Prin plngerea adresat autoritii, persoana vizat a sesizat primirea repetat de mesaje
comerciale nesolicitate, n ciuda opoziiei manifestate n mod expres. n contextul Legii nr.
677/2001, modificat i completat i al Legii nr. 506/2004, s-a efectuat o investigaie la operator,
pentru verificarea aspectelor semnalate.
Astfel, dei fa de primul mesaj recepionat, persoana vizat i-a exercitat dreptul de
opoziie, aceasta a primit n continuare mesaje cu acelai caracter, n mod repetat, de la aceeai
agenie de turism. S-a constatat, aadar, c dreptul de opoziie al persoanei vizate nu a fost respectat.
De asemenea, mesajele respective nu ofereau posibilitatea de a se opune printr-un mijloc
simplu i gratuit primirii de comunicri comerciale nesolicitate, conform art. 12 din Legea nr.
506/2004, fapt ce constituie contravenia de comunicare comercial nesolicitat, sancionat de art.
13 alin. (1) lit. l) din aceeai lege.
Mai mult, agenia de turism nu notificase prelucrrile de date, conform obligaiei prevzute
de art. 22 din Legea nr. 677/2001, dei prelucra date personale n cadrul activitii sale curente.
Pe baza constatrilor rezultate din investigaie, operatorul a fost sancionat contravenional,
iar autoritatea de supraveghere a dispus tergerea datelor persoanei vizate din lista pentru mesaje
comerciale.
Operatorul a dat curs recomandrii autoritii de supraveghere.
4.4. Supraveghere video
Prin plngerea adresat autoritii, persoana vizat a susinut o posibil nclcare a dreptului
la via intim, familial i privat, prin utilizarea abuziv a unui sistem de supraveghere video
compus din 16 camere de luat vederi, incluznd aparatur de nregistrare i stocare a imaginilor
captate, instalat n incinta unui colegiu naional, fr consimmntul celor care lucreaz i nva n
coal.

39

Din verificrile efectuate a rezultat c sistemul de supraveghere video, instalat n temeiul

unui contract, funciona de la data de 15 ianuarie 2007, n scopul monitorizrii accesului n instituia
de nvmnt, asigurrii securitii persoanelor i a spaiilor de utilitate colar. S-a constatat c
erau n funciune i activate un numr de 16 camere video fixe, cu posibiliti limitate de efect de
mrire prin zoom, orientate asupra spaiilor de acces, nspre clase, birouri administrative, ci acces
etaj, subsol, laboratoare informatic i psiho-pedagogie, curile interioare i uile de acces ale
acestora.
Cu privire la vizualizarea intrrii n toaletele profesorilor i ale elevilor, s-a constatat c
acestea nu erau monitorizate distinct n mod specific, camerele fiind amplasate pe coridor, fr a
avea un unghi de vizualizare ctre toalete, aspect care nu impieteaz asupra intimitii. Imaginile
erau captate prin senzor de micare, nregistrate i pstrate pn la capacitatea hard-diskului, fr s
fie stocate pe mijloace de stocare extern, cu excepia cazurilor de producere a unui incident (de
exemplu: sustragere, ncierare etc.), situaie n care imaginile stocate se transmit organelor de
cercetare abilitate.
Referitor la informarea persoanelor vizate privind supravegherea video asupra spaiilor i
dependinelor colegiului, aceasta era asigurat de furnizorul echipamentelor de supraveghere, prin
intermediul unor avertizoare tipizate. ntruct aceste afie aveau un caracter discret, s-a recomandat
operatorului ca avertizarea supravegherii video s fie efectuat prin semne grafice vizibil amplasate.
Din discuiile purtate cu elevii i cadrele didactice, s-a constatat c acetia au fost informai
verbal cu privire la scopul, destinaia i amplasarea camerelor de supraveghere video, anterior
montrii lor. Fa de aceste constatri, nu s-au reinut aspecte de nelegitimitate a prelucrrii.
Avnd n vedere c respectiva unitate colar, dei prelucra date personale prin intermediul
supravegherii video, nu a notificat autoritatea de supraveghere, motiv pentru care a fost sancionat
contravenional.
Totodat, a fost sesizat Inspectoratul General al Poliiei Romne, deoarece instalarea
camerelor de supraveghere video s-a realizat fr avizul acestuia, necesar potrivit Legii nr.
333/2003, aspect confirmat ulterior de instituia sesizat, care a dispus luarea msurilor de
remediere prevzute de lege.
Operatorul a depus diligenele necesare n vederea nregistrrii prelucrrii pe care o efectua
la autoritatea de supraveghere, conform recomandrilor ce i-au fost adresate.

40

4.5. Poliie
O serie de investigaii au avut loc pentru soluionarea unei plngeri prin care persoana vizat
invoca o posibil utilizare abuziv a datelor sale cu caracter personal de ctre o unitate de poliie, cu
ocazia ncheierii unui proces-verbal.
n fapt, persoana vizat a contestat colectarea datelor sale personale (date privind codul
numeric personal, domiciliu, data i locul naterii) din surse autorizate, respectiv de la serviciile de
eviden a persoanelor, aa cum atestau datele din dosarul ntocmit de poliie.
Pentru soluionarea plngerii, autoritatea de supraveghere a ntreprins o serie de demersuri la
nivelul unitii de poliie incriminate, la serviciul de eviden a persoanei de unde au fost colectate
datele personale ale petentului, precum i la Centrul Naional de Administrare a Bazelor de Date
privind Evidena Persoanelor.
Din verificri au rezultat urmtoarele:

procesul-verbal ncheiat de poliie fcea parte din dosarul constituit ca urmare a unei
plngeri penale formulate mpotriva persoanei vizate; ntruct n legtur cu respectivele
infraciuni plngerea se depune la instana de judecat, dosarul a fost naintat la instana
competent potrivit unei proceduri interne; chiar i n aceste cazuri poliia este obligat s
procedeze la verificarea datelor de identificare ale prii reclamate;

verificarea datelor s-a realizat telefonic, la serviciul de eviden a persoanelor de pe raza

domiciliului petentului;

serviciul de eviden a persoanelor i Centrul Naional de Administrare a Bazelor de Date

privind Evidena Persoanelor nu au confirmat verificarea datelor petentului de ctre unitatea
de poliie investigat.
Avnd n vedere informaiile contradictorii, cazul a fost adus la cunotina Inspectoratului

General al Poliiei Romne (IGPR), cruia i s-au solicitat precizri cu privire la condiiile care
trebuie ndeplinite pentru a verifica datele de identificare, sursele oficiale de verificare a exactitii,
corectitudinii i completitudinii datelor personale, atunci cnd aceasta este obligatorie, procedura de
evideniere la nivelul fiecrei uniti a modului de accesare a bazelor de date oficiale, data la care au
fost accesate, persoanele care le-au accesat i rezultatul interogrii, respectiv datele personale care
au fost obinute.
Potrivit IGPR, pentru verificarea identitii fptuitorilor, conform normelor Codului de
procedur penal i practicii relaiilor de colaborare dintre poliie i instanele judectoreti,
unitile de poliie consult baza de date a Centrului Naional de Administrare a Bazelor de Date
privind Evidena Persoanelor (CNABDEP), ca surs oficial de verificare a exactitii,
corectitudinii i completitudinii datelor personale. Consultarea acestei baze de date se face potrivit

41

unei metodologii emise de CNABDEP n cursul anului 2004. Conform metodologiei, consultarea
evidenelor CNABDEP se nscrie n registrul de verificri care identific persoanele ce au interogat
aceste baze de date.
IGPR a concluzionat c unitatea de poliie supus verificrilor a acionat pentru ndeplinirea
unor activiti specifice, conform obligaiilor de serviciu, iar datele obinute (telefonic) au fost
folosite conform normelor legale n vigoare. Nu au fost furnizate precizri cu privire la caracterul
regulamentar al procedurii de verificare telefonic a datelor personale i la modalitile n care astfel
de verificri sunt evideniate.
Avnd n vedere constatrile rezultate din investigaiile efectuate pentru soluionarea acestei
plngeri, autoritatea de supraveghere a emis o recomandare adresat IGPR, referitoare la instituirea
unei proceduri uniforme de verificare a datelor personale n baza de date a CNABDEP, inclusiv
pentru unitile care nu dispun de acces direct, automatizat, n aceast baz. Procedura de verificare
va trebui s prevad consemnarea unor informaii certe, care s permit identificarea n orice
moment a persoanei care a solicitat verificarea, a datelor solicitate/obinute, a datei la care a avut loc
verificarea, precum i a motivului verificrii.
De asemenea, s-a recomandat urmrirea respectrii cerinelor minime de securitate a
prelucrrilor de date cu caracter personal, aa cum sunt stabilite prin Ordinul nr. 52/2002, cu referire
n mod special la cele privind identificarea i autentificarea utilizatorului, tipul de acces, fiierele de
acces.
Recomandarea a fost transmis spre tiin Inspectoratului Naional pentru Evidena
Persoanelor, Centrului Naional de Administrare a Bazelor de Date privind Evidena Persoanelor i,
n copie, Ministerului Justiiei, conform prevederilor art. 21 din Legea nr. 677/2001.
n conformitate cu cele recomandate, IGPR a procedat la emiterea unor norme metodologice
privind accesul la baza de date privind evidena populaiei care prevd condiiile concrete n care
este permis accesul direct sau dup caz, indirect al poliitilor la baza de date a CNABDEP, n
scopul exclusiv al ndeplinirii atribuiilor de serviciu, precum i modalitatea de evideniere a acestor
accesri.

42

CAPITOLUL al IV-lea
ACTIVITATEA DE PREGTIRE A PROCESULUI DE ADERARE
LA SPAIUL SCHENGEN
Seciunea 1: Autoritatea comun de control
n conformitate cu prevederile art. 115 din Convenia de aplicare a Acordului de la
Schengen, a fost nfiinat o autoritate comun de control nsrcinat cu controlul serviciului de
asisten tehnic al Sistemului de Informare Schengen. Aceast autoritate este alctuit din cte doi
reprezentani ai fiecrei autoriti naionale de control. Fiecare Parte Contractant dispune de un
singur vot. Controlul este exercitat n conformitate cu dispoziiile CAAS, ale Conveniei Consiliului
Europei din 28 ianuarie 1981 pentru protecia persoanelor cu privire la prelucrarea automat a
datelor personale, lund n considerare Recomandarea R (87) 15 din 17 septembrie 1987 a
Comitetului de Minitri al Consiliului Europei care reglementeaz utilizarea datelor personale n
sectorul poliienesc i n conformitate cu dreptul intern al Prii Contractante responsabile cu
serviciul de asisten tehnic. Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu
Caracter Personal particip la lucrrile autoritii comune de control din luna iunie 2007, prin
preedintele autoritii i un expert cu pregtire juridic.
Seciunea a 2-a: Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu
Caracter Personal
n temeiul prevederilor art. 114 din Convenia de aplicare a Acordului de la Schengen,
Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal este autoritate de
control, care asigur controlul extern al prelucrrilor de date cu caracter personal efectuate de
operatorul romn desemnat prin lege s administreze i s gestioneze implementarea Conveniei de
aplicare a Acordului de la Schengen Ministerul Internelor i Reformei Administrative.
Aceast autoritate exercit un control independent al fiierului de date din seciunea
naional a Sistemului de Informare Schengen i verific dac prelucrarea i utilizarea datelor
introduse in Sistemul de Informare Schengen nu ncalc drepturile persoanei n cauz.
Identificarea acquis-ului relevant n domeniul proteciei datelor personale pe capitolele IX i
X din Convenia de aplicare a Acordului de la Schengen, examinarea situaiei actuale din punct de
vedere legislativ, al independenei, organizrii i competenelor autoritii de supraveghere,
stabilirea clar a regulilor de acces al indivizilor la datele personale i, nu n ultimul rnd,

43

contientizarea public cu privire la domeniul proteciei datelor cu caracter personal au fost

examinate cu atenie de Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter
Personal la data acceptrii evalurii sale n vederea aderrii la spaiul Schengen.
Pentru stabilirea capacitii instituionale de efectuare a controlului prelucrrii datelor cu
caracter personal, n cursul anului 2007 autoritatea i-a propus o strategie pe termen scurt, care
cuprinde msuri organizatorice, pregtirea personalului, organizarea campaniei de informare cu
privire la drepturile persoanei vizate, cooperarea cu autoritile competente n implementarea
Conveniei de aplicare a Acordului de la Schengen, efectuarea de controale la poliie, poliie de
frontier, consulate, Centrul Naional de Vize.
Seciunea a 3-a: Msuri organizatorice la nivelul autoritii
n baza prevederilor Regulamentului de organizare i funcionare a Autoritii Naionale de
Supraveghere a Prelucrrii Datelor cu Caracter Personal a fost constituit un colectiv de experi
pentru domeniul Schengen, coordonat direct de preedintele autoritii. Acest colectiv are rolul de a
urmri ndeplinirea obligaiilor ce revin autoritii n vederea aderrii la spaiul Schengen,
organizarea i desfurarea campaniei de informare a persoanelor vizate n legtur cu drepturile ce
deriv din Legea nr. 677/2001 i Convenia de aplicare a Acordului de la Schengen, precum i
participarea la efectuarea investigaiilor n sectorul poliiei. n anul 2007, autoritatea de
supraveghere a solicitat autoritilor comune de control n domeniile Schengen, Europol i Eurodac
s permit participarea reprezentanilor si la lucrrile acestora, solicitare acceptat n cursul
trimestrului II.
Seciunea a 4-a: Pregtirea personalului
ntruct protecia datelor cu caracter personal reprezint o component esenial n cadrul
procesului de evaluare a Romniei pentru aderarea la spaiul Schengen, la sediul autoritii au fost
efectuate seminarii cu tematic n domeniu, n vederea dobndirii cunotinelor relevante privind
acquis-ului Schengen i a pregtirii ntregului personal la cele mai nalte standarde.
De asemenea, personalul autoritii a beneficiat de materiale documentare, a participat la
grupuri de lucru n domeniul Schengen, precum i la schimburi de experien n ri membre ale
Uniunii Europene.

44

Seciunea a 5-a: Campania de informare

Autoritatea de supraveghere a realizat o ampl campanie de informare a opiniei publice n
legtur cu drepturile persoanelor vizate n domeniul prelucrrii datelor cu caracter personal,
inclusiv n cadrul Conveniei de aplicare a Acordului de la Schengen.
Autoritatea a realizat i distribuit materiale informative privind drepturile indivizilor n
domeniul proteciei datelor personale, a postat pe site-ul propriu un ghid informativ Sistemul
Informatic Naional de Semnalri (SINS) i protecia datelor tale cu caracter personal ce cuprinde
elementele necesare informrii corecte a persoanelor vizate n legtur cu drepturile acestora n
spaiul Schengen i a organizat seminarii cu conductorii inspectoratelor judeene de poliie. Pe siteul inspectoratelor judeene de poliie au fost postate informrile recomandate de autoritatea de
supraveghere, ghidul oferit de autoritate i a fost creat un link direct cu site-ul autoritii, n scopul
informrii corecte i complete a indivizilor asupra drepturilor pe care le au n domeniul prelucrrii
datelor.
Subliniem interesul deosebit manifestat de conducerea Inspectoratului General al Poliiei
Romne n ncheierea protocolului de colaborare cu Autoritatea Naional de Supraveghere a
Prelucrrii Datelor cu Caracter Personal. Acesta a facilitat organizarea n etape a pregtirii
personalului cu funcii de conducere la nivelul inspectoratelor judeene de poliie, apoi a lociitorilor
acestora i a persoanelor responsabile cu protecia datelor. Contieni de importana domeniului
proteciei datelor personale n activitatea de implementare a Conveniei de aplicare a Acordului de
la Schengen, efii inspectoratelor de poliie au solicitat autoritii de supraveghere organizarea unor
cursuri de pregtire a poliitilor la nivel judeean. Cererile nu au putut fi onorate integral datorit
volumului mare de lucrri la nivelul autoritii i numrului redus de personal. Pentru acelai motiv
nu s-a putut da curs solicitrilor de a organiza dezbateri la nivelul poliiei oreneti i municipale.
La nivelul judeului Gorj, inspectoratul de poliie a organizat, mpreun cu autoritatea de
supraveghere, mai multe ntlniri pentru pregtirea personalului, de la funciile de conducere pn
la nivelul efului de post, n domeniul proteciei datelor. Urmare acestor ntlniri, au fost distribuite
pliante privind drepturile persoanelor vizate n tot judeul i au fost afiate informri la avizierele
unitilor de poliie, iar la postul local de televiziune s-a prezentat n direct o dezbatere cu
preedintele autoritii, pe tema drepturilor specifice ale persoanelor vizate.
La rndul lor, Universitatea Constantin Brncui din Trgu Jiu i, n special, Facultatea de
tiine Juridice s-au implicat n activitatea de informare a tineretului pe domeniul proteciei datelor
personale, iar n acest scop fiecare a ncheiat un protocol de colaborare cu autoritatea de
supraveghere pentru organizarea de cursuri, seminarii i dezbateri cu studenii. n sprijinul

45

informrii corecte a tinerilor despre drepturile acestora n domeniul proteciei datelor personale s-au
implicat i alte structuri academice, cum ar fi Universitatea Lucian Blaga Facultatea de drept
Simion Brnuiu din Sibiu i Universitatea Hyperion din Bucureti.
Campania de informare a fost susinut de autoritate i prin alte mijloace specifice, cum ar fi
interviuri acordate posturilor de radio i televiziune, conferine de pres organizate n teritoriu,
seminarii, difuzarea de pliante ctre poliie, primrii i prefecturi.
Rspunsul acestei campanii a fost pozitiv, n sensul c autoritii de supraveghere i sunt
adresate tot mai multe solicitri de organizare de seminarii pentru dezbaterea prevederilor legii
naionale cadru n domeniul proteciei datelor i a legislaiei secundare, precum i de transmitere a
unor materiale informative privind aplicarea corect a principiilor de prelucrare a datelor.
Seciunea a 6-a: Cooperarea cu autoritile similare din Uniunea European
ncepnd cu trimestrul II al anului 2007, autoritatea de supraveghere particip la lucrrile
autoritilor comune de control n domeniile Schengen, Europol i Eurodac.
n scopul cunoaterii bunelor practici n implementarea Conveniei de aplicare a Acordului
de la Schengen, autoritatea a efectuat schimburi de experien cu autoritile similare din Cehia i
Slovacia, iar cu aceasta din urm a ncheiat un Protocol de colaborare.
Seciunea a 7-a: Cooperarea cu autoritile competente n implementarea Conveniei
de aplicare a Acordului de la Schengen
Autoritatea de supraveghere a acionat n sensul stabilirii unor relaii de cooperare cu
operatorul de date cu caracter personal desemnat prin Ordonana de urgen a Guvernului nr.
128/2005, respectiv cu Ministerul Internelor i Reformei Administrative, n limitele oferite de
statutul autonom i independent al autoritii. Este de remarcat cooperarea realizat cu Inspectoratul
General al Poliiei Romne, care a ncheiat cu Autoritatea Naional de Supraveghere a Prelucrrii
Datelor cu Caracter Personal un Protocol de colaborare pe anul 2007, cu urmtoarele obiective:

desemnarea unei persoane responsabile cu protecia datelor la nivelul unitilor de poliie i

pregtirea acestora n cadrul unor cursuri organizate de inspectoratul general, cu predarea
asigurat de specialiti ai autoritii de supraveghere;

organizarea pregtirii la nivelul inspectoratului general i la nivelul conducerii

inspectoratelor de poliie, printr-un curs susinut de autoritatea de supraveghere cu ajutorul
echipamentelor video din dotarea poliiei; ulterior, pregtirea cu celelalte cadre cu funcii de
conducere de la nivelul inspectoratelor s-a realizat n aceeai modalitate;

46

desfurarea n comun a campaniei de informare a publicului.

Materialele informative realizate de autoritatea de supraveghere au fost preluate de unitile

de poliie fie direct, fie prin intermediul inspectoratului general i au fost postate pe site-ul
inspectoratului ori afiate la avizier (exemplu: inspectoratul de poliie al judeului Gorj).
Contientiznd importana cunoaterii legislaiei privind prelucrarea datelor cu caracter
personal, dar i a bunelor practici n domeniu, conductorii inspectoratelor de poliie Mehedini,
Cara-Severin, Maramure, Sibiu i Gorj i-au manifestat interesul pentru stabilirea unor practici
unitare de implementare a proteciei datelor la nivel judeean i au dat tot concursul specialitilor
autoritii n realizarea investigaiilor.
Constatnd c pn la sfritul anului 2007 nu au fost prezentate, spre avizare, proiecte de
acte normative de ctre autoritile competente n implementarea Acordului de la Schengen,
autoritatea de supraveghere va organiza, mpreun cu autoritile competente, grupuri de lucru
pentru sprijinirea armonizrii legislative n domeniul proteciei datelor, la nceputul anului 2008.
De asemenea, autoritatea de supraveghere va depune diligenele necesare pentru ncheierea,
n anul 2008, a unui protocol de colaborare cu Ministerul Internelor i Reformei Administrative
(MIRA), n vederea gsirii de soluii pentru realizarea armonizrii legislative i a campaniei de
informare n domeniul proteciei datelor. Tot n anul 2008 se va clarifica solicitarea MIRA, potrivit
creia participanii romni la misiunea de evaluare Schengen trebuie s susin prezentrile numai
n limba englez, n condiiile n care misiunea de evaluare se realizeaz n Romnia, unde limba
oficial este limba romn.
n cursul anului 2008, autoritatea de supraveghere i propune s realizeze un Grup de lucru
cu toate autoritile competente n implementarea Acordului de la Schengen, inclusiv cu operatorul
MIRA, pentru sprijinirea realizrii obligaiei acestora de armonizare legislativ n domeniul
proteciei datelor pe fiecare sector de activitate, dar i Grupuri de lucru sectoriale cu Ministerul
Justiiei i Ministerul Afacerilor Externe, n acelai scop.
Seciunea a 8-a: Investigaii
8.1. Uniti de Poliie
Autoritatea de supraveghere a efectuat mai multe controale la unitile de poliie. Unul
dintre obiectivele urmrite a constat n verificarea existenei i coninutului unor metodologii
unitare privind modul de prelucrare a datelor personale cu care lucreaz n activitatea curent
unitile de poliie.

47

ntr-unul dintre cazurile investigate s-a constatat c metodologia adoptat de un inspectorat

judeean de poliie coninea o serie de dispoziii preluate din Legea nr. 677/2001 i din
Regulamentul de organizare i funcionare a Autoritii Naionale de Supraveghere a Prelucrrii
Datelor cu Caracter Personal, prin care se crea confuzie ntre rolul de operator de date cu caracter
personal al respectivului inspectorat de poliie i atribuiile de monitorizare i control ale autoritii
de supraveghere (de genul efecturii de controale prealabile i investigaii, soluionare de plngeri
privind protecia datelor personale).
Fa de aceast situaie, s-a recomandat modificarea metodologiei, n sensul includerii unor
dispoziii specifice de implementare a legislaiei privind protecia datelor personale, de natur a
nltura orice posibil interpretare de suprapunere cu atribuiile autoritii de supraveghere.
Operatorul n cauz a dat curs cu promptitudine recomandrilor autoritii.
Mai mult, autoritatea de supraveghere a recomandat unitilor de poliie efectuarea
corespunztoare a informrii persoanelor vizate, cu respectarea prevederilor art. 12 din Legea nr.
677/2001, stabilirea de instruciuni/norme metodologice pentru aplicarea unitar a dispoziiilor
legale, recomandri ce au fost aduse la ndeplinire.
8.2. Poliie de frontier
n cadrul poliiei de frontier au fost efectuate verificri la punctele de trecere a frontierei
terestre: Moravia, Porile de Fier, Jimbolia, Moldova Nou, Giurgiu, Oravia, Negru-Vod; la
Aeroporturile Internaionale Mihail Koglniceanu din Constana, Traian Vuia din Timioara i
Henri Coand din Otopeni; la inspectoratele poliiei de frontier din judeele Giurgiu, Constana,
Mehedini, Cara-Severin, Timi, Galai.
Reprezentanii autoritii de supraveghere au recomandat afiarea, la loc vizibil, a
drepturilor persoanelor vizate ori, dup caz, prezentarea acelorai drepturi pe site-ul poliiei de
frontier. De asemenea, s-a recomandat ca persoanelor crora nu li se permite accesul pe teritoriul
Romniei s li se aduc la cunotin drepturile de care beneficiaz.
La punctele de trecere a frontierei, autoritatea de supraveghere a recomandat efectuarea
informrii persoanelor vizate n legtur cu drepturile acestora, att n limba romn, ct i n alte
limbi utilizate frecvent de indivizi ai statelor tere.
La verificarea efectuat la inspectoratul poliiei de frontier din judeul Cara-Severin s-a
constatat c nu se realiza informarea persoanelor vizate i nu erau cunoscute regulile generale de
prelucrare a datelor personale prevzute de legea naional cadru privind protecia datelor cu
caracter personal.

48

Pornind de la aspectele de mai sus, autoritatea de supraveghere a ncercat realizarea unui

protocol de colaborare cu Inspectoratul General al Poliiei de Frontier, dar fr rezultat. Proiectul
de protocol a fost naintat la MIRA, fr a fi semnat.
n aceast situaie, apreciem c este necesar ca, n cursul anului 2008, autoritatea de
supraveghere s stabileasc legturi de cooperare direct cu inspectoratele judeene ale poliiei de
frontier, s intensifice controalele la punctele de trecere a frontierei, s identifice i s recomande
ndreptarea eventualelor deficiene n activitatea de prelucrare a datelor cu caracter personal.
8.3. Centrul Naional de Vize
n cursul anului 2007, n urma investigaiei efectuate la Ministerul Afacerilor Externe Centrul Naional de Vize, s-a recomandat declararea de ctre operatorul Ministerul Afacerilor
Externe, n termen de 30 zile lucrtoare, a prelucrrilor de date efectuate. Recomandarea autoritii
de supraveghere a fost nsuit de operator.
8.4. Consulate
Au fost efectuate verificri la dou consulate ale Romniei, n urma crora s-a constatat c
activitatea desfurat respecta regulile de confidenialitate i securitate a prelucrrii datelor cu
caracter personal. Autoritatea de supraveghere a recomandat ca informarea persoanelor vizate s se
efectueze att pe site, ct i la avizier, recomandare ce a fost respectat. Pentru anul 2008 se impune
stabilirea unui protocol de colaborare cu Ministerul Afacerilor Externe, care are calitatea de
operator n domeniul acordrii vizelor, precum i a unor reglementri pentru bune practici n
activitatea consular desfurat n state tere.
n cadrul verificrilor efectuate, s-a constatat c procedura de lucru utilizat asigura
securitatea datelor, formularele de solicitare a vizelor conineau informaii referitoare la drepturile
persoanelor vizate. De asemenea, exista posibilitatea acordrii vizei on-line, fiind cunoscute
prevederile din Instruciunile Comune Consulare.
Delegaia Romniei la Conferina anual a autoritilor pentru protecia datelor din Europa
Central i de Est a prezentat expunerea cu tema - acordarea vizei n Romnia, care s-a bucurat de
interes din partea participanilor.

49

CAPITOLUL al V-lea
ACTIVITATEA DE REGLEMENTARE I CONSULTARE
Seciunea 1: Acte cu caracter normativ emise n baza Legii nr. 677/2001
n anul 2007, lund n considerare noul statut al Romniei de stat membru al Uniunii
Europene, activitatea de reglementare a domeniului proteciei datelor personale a avut n vedere
aspectele constatate n activitatea curent, urmrindu-se armonizarea cadrului intern cu
reglementrile existente la nivelul Uniunii Europene, cu aplicabilitate la specificul naional.
Astfel, autoritatea de supraveghere a emis urmtoarele decizii:
1.1. Decizia nr. 28/2007 privind transferurile datelor cu caracter personal ctre alte state
n aplicarea prevederilor Directivei 95/46/CE i ale art. 22, art. 29 i art. 30 din Legea nr.
677/2001, autoritatea de supraveghere a emis Decizia nr. 28/2007 privind transferurile datelor cu
caracter personal ctre alte state 14 , decizie prin care au fost reglementate, distinct, condiiile i
procedura transmiterii de date cu caracter personal ctre statele membre ale Uniunii Europene i
statele din zona economic european sau ctre alte state crora Comisia European le-a recunoscut
un nivel de protecie adecvat, precum i ale transferului de date n statele tere.
Conform Deciziei nr. 28/2007, sunt supuse autorizrii transferurile de date cu caracter
personal ctre state tere care nu asigur un nivel de protecie adecvat, efectuate n baza unui
contract ncheiat ntre importatorul i exportatorul de date, care conine garanii suficiente cu privire
la protecia drepturilor fundamentale ale persoanelor.
1.2. Decizia nr. 100/2007 privind stabilirea cazurilor n care nu este necesar notificarea
prelucrrii unor date cu caracter personal
Aceast decizie a fost emis n aplicarea prevederilor art. 22 alin. (9) din Legea

nr.

677/2001, conform crora autoritatea de supraveghere poate stabili cazuri n care notificarea nu este
necesar. Emiterea acestei decizii s-a ntemeiat pe faptul c anumite prelucrri de date nu sunt
susceptibile de a afecta, cel puin aparent, drepturile persoanelor vizate, n cazul utilizrii lor
regulate.

14

Publicat n Monitorul Oficial nr. 182 din 16 martie 2007

50

Stabilirea scutirilor de la notificare a vizat, n principal, situaiile n care prelucrarea datelor

cu caracter personal n ndeplinirea obligaiilor prevzute de lege este efectuat de
compartimentele/persoanele competente ale entitilor de drept public i privat n scopul organizrii
i desfurrii activitii proprii curente de gestiune economico - financiar i administrativ;
situaiile n care prelucrarea datelor cu caracter personal referitoare la persoanele fizice nscrise la
concursuri sau examene este efectuat n vederea ocuprii locurilor de munc vacante sau n care
prelucrarea datelor cu caracter personal se efectueaz cu privire la participanii la seminarii,
conferine i alte evenimente similare ori n scopul desfurrii activitii profesionale i de
protocol.
De asemenea, s-a stabilit c nu este necesar notificarea n cazul prelucrrii datelor cu
caracter personal de ctre cultele i asociaiile religioase recunoscute potrivit legii, de ctre
cercettorii acreditai sau persoanele fizice care au acces la propriul dosar aflat n arhiva Consiliului
Naional pentru Studierea Arhivelor Securitii, precum i atunci cnd prelucrarea datelor cu
caracter personal este efectuat exclusiv n scopuri jurnalistice, literare sau artistice.
1.3. Decizia nr. 105/2007 cu privire la prelucrrile de date cu caracter personal efectuate
n sisteme de eviden de tipul birourilor de credit
La emiterea acestei decizii au fost luate n considerare riscurile pentru viaa intim, familial
i privat a persoanelor fizice reprezentate de prelucrarea datelor cu caracter personal prin mijloace
automatizate, de natur a evalua aspecte precum credibilitatea sau solvabilitatea. S-a urmrit
asigurarea unei protecii eficiente a drepturilor persoanelor ale cror date cu caracter personal sunt
supuse prelucrrii n cadrul sistemelor de eviden de tipul birourilor de credit.
Autoritatea de supraveghere a constatat existena unor disfuncionaliti n procedura de
apreciere, subiectiv uneori, pe baza creia angajaii participanilor la birourile de credite iau
decizia de a raporta anumite date personale ale clienilor sau potenialilor lor clieni. Din plngerile
adresate autoritii de supraveghere, a rezultat c unele bnci au raportat la Biroul de Credit
informaii privind sume restante infime care nu se datoreaz n mod direct unei culpe a debitorului,
ci unor deficiene de informare din partea bncii (comisioane legate de lichidarea unor conturi de
card de debit sau n legtur cu creterea dobnzilor la creditare).
Dat fiind importana acestui subiect, autoritatea de supraveghere a organizat mpreun cu
Asociaia Romn a Bncilor din Romnia o conferin internaional, n luna mai a anului 2007, la
care au fost invitai s participe att reprezentani ai sectorului bancar, din Romnia i din alte state,
ct i cei ai autoritilor de supraveghere din Uniunea European. Tema conferinei a urmrit

51

dezbaterea Proteciei datelor cu caracter personal n activitatea financiar-bancar, majoritatea

vorbitorilor abordnd prelucrarea datelor de ctre birourile de credit.
Concluziile conferinei au fost preluate i fructificate n cadrul grupului de lucru format din
reprezentani ai Biroului de Credit, ai unor bnci importante din Romnia, ai Autoritii Naionale
pentru Protecia Consumatorilor din Romnia i ai Autoritii Naionale de Supraveghere a
Prelucrrii Datelor cu Caracter Personal.
Lund n considerare opiniile tuturor prilor implicate, autoritatea de supraveghere a emis
Decizia nr. 105/2007, la elaborarea creia au fost avute n vedere i problemele care s-au aflat pe
agenda Seminarului de cazuistic de la Lisabona din noiembrie 2007, referitoare la prelucrarea
datelor personale de ctre birourile de credit.
Prin aceast decizie s-au stabilit participanii, din sectorul bancar, la sistemele de eviden
de tipul birourilor de credite, categoriile de date personale i condiiile de transmitere a acestora,
perioada de stocare, obligaiile participanilor la aceste sisteme, inclusiv cele de informare
prealabil a clienilor, de asigurare a confidenialitii i securitii prelucrrilor de date personale.
1.4. O.U.G. nr. 36/2007 pentru abrogarea Legii nr. 476/2003 privind aprobarea taxei de
notificare a prelucrrilor de date cu caracter personal, care cad sub incidena Legii
nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu
caracter personal i libera circulaie a acestor date
Operatorii i reprezentaii presei au semnalat faptul c existena taxelor de notificare
constituie un impediment n declararea prelucrrilor de date. Autoritatea de supraveghere a iniiat
un proiect de ordonan de urgen, prin care s fie abrogat Legea nr. 476/2003 privind aprobarea
taxei de notificare a prelucrrilor de date cu caracter personal.
Propunerea autoritii de supraveghere respect Directiva 95/46/EC a Parlamentului
European i a Consiliului, care statueaz necesitatea asigurrii liberei circulaii a datelor cu caracter
personal ntre statele membre ale Uniunii Europene.
n acest context, perceperea unei taxe n cazul notificrii de transfer n strintate aduce
atingere liberei circulaii a datelor personale.
Seciunea a 2-a: Avizarea actelor normative
Consultarea autoritii de supraveghere se realizeaz n baza prevederilor art. 21 alin. (3) lit.
h) din Legea nr. 677/2001, modificat i completat, atunci cnd se elaboreaz proiecte de acte
normative referitoare la protecia drepturilor i libertilor persoanelor n privina prelucrrii datelor

52

cu caracter personal. n procedura de elaborare a unor astfel de acte normative este obligatorie
solicitarea avizului prealabil al autoritii de supraveghere, care are natur consultativ.
Astfel, n anul 2007, au fost avizate, n principal, urmtoarele proiecte de acte normative:
2.1. Propunerea legislativ pentru modificarea i completarea Legii nr. 677/2001 pentru
protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera
circulaie a acestor date, modificat i completat
Avnd n vedere necesitatea deplinei armonizri a prevederilor Legii nr. 677/2001 cu
prevederile acquis-ului comunitar n domeniul proteciei datelor cu caracter personal, implicit cu
evoluiile legislative comunitare, n contextul noului statut al Romniei de stat membru al Uniunii
Europene, autoritatea de supraveghere a avizat favorabil aceast iniiativ.
n acest sens, considerm c propunerea legislativ este n concordan cu dispoziiile
Directivei 95/46/EC a Parlamentului European i a Consiliului privind protecia persoanelor fa de
prelucrarea datelor personale i libera circulaie a acestor date.
Una din cele mai importante prevederi viza modificarea art. 2 alin. (7) din Legea nr.
677/2001 prin excluderea excepiei de la aplicarea legii a prelucrrilor de date cu caracter personal
n cadrul activitilor din domeniul aprrii i siguranei naionale. Modificarea are n vedere
acquis-ul asumat n domeniile Schengen i Europol, precum i recomandrile Comisiei Europene
din ultimul raport de monitorizare din 16 mai 2006.
n prezent, iniiativa legislativ se afl n procedura dezbaterii parlamentare.
2.2. Proiectul Legii privind organizarea i funcionarea Sistemului Naional de Date
Genetice Judiciare
Acest proiect de lege stabilete condiiile n care pot fi prelevate probe biologice de la
anumite categorii de persoane fizice sau din urmele lsate la locul comiterii unor infraciuni, n
vederea determinrii profilului genetic, precum i a condiiilor n care pot fi prelucrate datele
cuprinse n acest sistem naional.
Sistemul Naional de Date Genetice Judiciare este o structur organizat pe trei segmente:
Baza de date cu caracter personal, Baza de date despre caz i Baza de date cu profiluri genetice
judiciare.
Baza de date cu caracter personal conine datele personale ale suspecilor sau persoanelor
condamnate definitiv pentru anumite infraciuni expres i limitativ stabilite, date despre infraciunea
comis sau cercetat.

53

Proiectul de lege a fost avizat favorabil dup ce iniiatorul i-a nsuit toate observaiile i
propunerile formulate de autoritatea de supraveghere, n sensul stabilirii exacte a datelor i
categoriilor de date cu caracter personal ce urmau a fi introduse n baz, a modalitilor concrete n
care se efectueaz tergerea datelor din acest sistem i a necesitii obinerii consimmntului
victimelor infraciunilor n scopul prelevrii i analizrii probelor biologice ale acestora.
2.3. Proiectul Ordonanei de urgen a Guvernului pentru reglementarea unor msuri de
punere n aplicare a Conveniei privind constituirea Oficiului European de Poliie,
ncheiat la 26 iulie 1995, ntemeiat pe dispoziiile articolului K 3 din Tratatul
privind Uniunea European i a protocoalelor la aceasta
Prin acest proiect de act normativ, Autoritatea Naional de Supraveghere a Prelucrrii
Datelor cu Caracter Personal a fost desemnat autoritate de supraveghere n domeniu, n
conformitate cu prevederile art. 23 din Convenia Europol, ce stabilesc necesitatea desemnrii unei
autoriti independente care s monitorizeze i s controleze transmiterea datelor de ctre statul
membru ctre Europol.
Fa de coninutul proiectului Ordonanei de urgen a Guvernului supus avizrii, autoritatea
de supraveghere a recomandat s se aib n vedere i dispoziiile cuprinse n Ordonana de urgen a
Guvernului nr. 103/2006 privind unele msuri pentru facilitarea cooperrii poliieneti
internaionale, referitoare la termenul n care se realizeaz informarea Unitii Naionale Europol.
Propunerea autoritii de supraveghere a fost nsuit de iniiator, iar acest proiect a mbrcat
forma O.U.G. nr. 61/2007.
2.4. Memorandumul cu tema Aderarea Romniei la Tratatul dintre Regatul Belgiei,
Republica Federal Germania, Regatul Spaniei, Republica Francez, Marele Ducat
de Luxemburg, Regatul rilor de Jos i Republica Austria privind aprofundarea
cooperrii

transfrontaliere,

special

vederea

combaterii

terorismului,

criminalitii transfrontaliere i migraiei ilegale, semnat la Prm, la 27 mai 2005

Autoritatea de supraveghere i-a exprimat rezerva fa de necesitatea aderrii la acest tratat,
n contextul n care nu exist nc o reglementare general comunitar privind protecia datelor pe
Pilonul III, avnd n vedere c unul din principalele scopuri ale Tratatului de la Prm este schimbul
de date ntre poliia i autoritile judiciare din statele membre ale Uniunii Europene, n special
ADN i date dactiloscopice.

54

Autoritatea European de Supraveghere a Datelor (EDPS) a formulat numeroase observaii

fa de acest tratat, inclusiv referitoare la respectarea principiului proporionalitii i necesitii, n
vederea asigurrii unui nivel adecvat de protecie a datelor personale, opinie mprtit de
autoritatea romn de supraveghere.
2.5. Memorandumul cu tema Negocierea Acordului ntre Guvernul Romniei i Guvernul
Republicii Bulgaria privind cooperarea poliieneasc n materie penal
Acest proiect a fost avizat de preedintele autoritii de supraveghere, cu recomandarea
reformulrii unui articol, n sensul c autoritile care transmit i primesc date sunt obligate s
aplice msurile tehnice i organizatorice adecvate pentru protejarea datelor cu caracter personal
mpotriva distrugerii accidentale sau ilegale, pierderii, modificrii, dezvluirii sau accesului
neautorizat, precum i mpotriva oricrei alte forme de prelucrare ilegal, avnd n vedere
dispoziiile art. 17 alin. (1) din Directiva 95/46/EC.
ncheierea acestui Acord se circumscrie procesului de pregtire i adoptare a msurilor
necesare aderrii Romniei la spaiul Schengen i are ca obiectiv nlturarea pericolelor la adresa
ordinii i siguranei publice prin combaterea infraciunilor i urmrirea penal a infractorilor. Acest
Memorandum a fost aprobat i publicat n Monitorul Oficial.
2.6. Proiectul Deciziei pentru modificarea i completarea Deciziei preedintelui
Autoritii Naionale de Reglementare n Comunicaii nr. 1074/2004 privind
implementarea serviciului universal n sectorul comunicaiilor electronice
Prin acest proiect se propunea realizarea unui registru complet al abonailor din Romnia,
constituit de furnizorii de serviciu universal desemnai s presteze servicii de informaii privind
abonaii i s pun la dispoziie utilizatorilor finali registrele abonailor. ntruct acest registru va
conine date de identificare ale abonailor serviciilor de telefonie destinate publicului, autoritatea de
supraveghere a subliniat c prelucrarea acestora trebuie s respecte prevederile Legii nr. 677/2001.
n raport cu prelucrrile datelor cu caracter personal ce vor fi trecute n registru, calitatea de
operatori, n sensul Legii nr. 677/2001, o vor avea furnizorii de servicii de telefonie fix/mobil din
Romnia.
Autoritatea a apreciat c este necesar s se stabileasc distinct datele care vor fi nscrise n
registrul n format fizic i datele care vor fi utilizate n cazul cutrii unidirecionale n registrul
electronic on-line (parametrii de cutare). Datele cu caracter personal ce vor fi introduse n registrul

55

abonailor vor fi colectate de operatori direct de la persoanele vizate i numai cu consimmntul

expres i neechivoc al acestora.
Ct privete respectarea art. 12 privind informarea persoanei vizate din Legea nr. 677/2001
i a art. 11 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protecia vieii
private n sectorul comunicaiilor electronice, modificat i completat, menionm c informarea
persoanelor vizate, respectiv a abonailor la serviciile de telefonie, ale cror date vor fi introduse n
registrul complet al abonailor n urma deciziei acestora, va fi realizat de ctre operatorii de date cu
caracter personal.
Acest proiect s-a concretizat n Decizia nr. 3284/2007 emis de Autoritatea Naional de
Reglementare n Comunicaii.
2.7.

Proiectul Hotrrii Guvernului pentru modificarea i completarea Hotrrii

Guvernului nr. 839/2006 privind forma i coninutul actelor de identitate, ale
autocolantului privind stabilirea reedinei i ale crii de imobil

Prin acest act normativ s-a nlocuit rubrica prenumele tatlui din cuprinsul actului de
identitate cu aceea a ceteniei. Aceast modificare se ntemeiaz pe dispoziiile exprese ale
Directivei 38/2004 a Parlamentului European i a Consiliului privind dreptul la liber circulaie i
edere pe teritoriul statelor membre pentru cetenii Uniunii i membrii familiilor acestora.
Autoritatea de supraveghere a avizat favorabil proiectul.
Seciunea a 3-a: Avizarea codurilor de conduit ale asociaiilor profesionale
Autoritatea de supraveghere a continuat n anul 2007 informarea asociaiilor profesionale cu
privire la obligaia ce le revine de a elabora coduri de conduit care s conin norme adecvate
pentru protecia drepturilor persoanelor ale cror date cu caracter personal sunt prelucrate.
Normele referitoare la protecia datelor cu caracter personal, coninute de fiecare cod de
conduit n parte, sunt cu att mai necesare asociaiilor profesionale cu ct, pe lng legislaia n
vigoare care alctuiete cadrul general n domeniul proteciei datelor, ele se aplic unui domeniu de
activitate restrns i specific, ce presupune prelucrarea anumitor tipuri de date ntr-un context dat.
Obligaia legal instituit n sarcina asociaiilor profesionale, prin art. 28 din Legea nr.
677/2001, a fost respectat de Asociaia Romn a Bncilor i Asociaia Medicilor Stomatologi cu
Practic Privat din Romnia, care au transmis spre avizare autoritii de supraveghere codurile de
conduit elaborate.

56

Proiectul Codului de conduit al Asociaiei Medicilor Stomatologi cu Practic Privat din

Romnia a fost avizat de autoritatea de supraveghere.
n ceea ce privete proiectul Codului de conduit transmis de Asociaia Romn a Bncilor,
autoritatea de supraveghere a formulat mai multe observaii i recomandri, considernd c este
necesar reevaluarea i completarea acestuia. Una din principalele recomandri ale autoritii s-a
referit la necesitatea includerii unor precizri privind protecia datelor prelucrate n sisteme de
eviden tip birou de credit, n concordan cu prevederile Deciziei nr. 105/2007.
Seciunea a 4-a: Avize i Recomandri
n temeiul prevederilor art. 21 alin. (3) lit. j) din Legea nr. 677/2001, autoritatea de
supraveghere formuleaz recomandri i avize asupra oricrei chestiuni legate de protecia
drepturilor i libertilor fundamentale, n privina prelucrrii datelor cu caracter personal.
Faptul c unii operatori de date cu caracter personal nscrii la autoritatea de supraveghere,
dar i persoane vizate ori teri au solicitat un numr considerabil de avize, reliefeaz att interesul
din ce n ce mai accentuat acordat domeniului prelucrrii datelor, ct i buna credin n legtur cu
respectarea legislaiei n vigoare.

240
240
230
220
210

204

200

2006
2007

190
180

Recomandri i Avize

4.1. Prelucrri de date cu caracter personal efectuate de autoriti publice

a) Autoriti locale
n exercitarea atribuiilor ce le revin, Inspectoratul Naional pentru Evidena Persoanelor,
direciile ori serviciile publice comunitare de eviden a persoanelor, instituia prefectului, alte
autoriti ale administraiei publice locale prelucreaz, n mod constant, date cu caracter personal.

57

n cele ce urmeaz exemplificm o serie de situaii relevante ce au fost aduse n atenia autoritii de
supraveghere:

ntr-un caz a fost solicitat punctul de vedere al autoritii n legtur cu includerea

ceteniei n categoria datelor cu caracter personal i au fost cerute precizri privind temeinicia
unui eventual refuz al unei instituii romne de a transmite ctre autoriti germane date ale unei
persoane de cetenie german care a redobndit, n condiiile legii, cetenia romn.
Autoritatea a precizat c cetenia este o dat personal i a apreciat c autoritile romne ar
putea transmite datele persoanei n cauz, dac prelucrarea este necesar n vederea realizrii unui
interes legitim al terului cruia i sunt dezvluite datele, cu condiia dovedirii existenei acestui
interes legitim i fr a se prejudicia drepturile i libertile fundamentale ale persoanei vizate.

O direcie public comunitar de eviden a persoanelor a solicitat punctul de vedere al

autoritii de supraveghere cu privire la sarcinile ce-i revin de a transmite situaii statistice lunare
ctre Inspectoratul Naional Pentru Evidena Persoanelor n legtur cu emiterea de certificate de
stare civil i acte de identitate a cetenilor de etnie rrom.
Autoritatea a precizat c nu este cerut consimmntul persoanei vizate pentru prelucrarea
datelor sale cu caracter personal atunci cnd respectiva prelucrare este efectuat exclusiv n scopuri
statistice, de cercetare istoric sau tiinific, iar datele rmn anonime pe toat durata prelucrrii.
Astfel, n contextul legal menionat, lund n considerare atribuiile Direciilor Publice
Comunitare de Eviden a Persoanelor i Inspectoratului Naional pentru Evidena Persoanelor, s-a
concluzionat c se pot transmite Inspectoratului Naional pentru Evidena Persoanelor situaiile
statistice lunare referitoare la certificatele de stare civil i la actele de identitate ale cetenilor
romni de etnie rrom.
b) Autoriti centrale
Un numr semnificativ de autoriti publice centrale au solicitat opinia autoritii cu privire
la aplicabilitatea prevederilor din domeniul proteciei datelor asupra unor situaii concrete, astfel:

Ministerul Finanelor Publice Direcia General de Tehnologia Informaiei a cerut

autoritii de supraveghere precizri cu privire la datele cu caracter personal de identificare ale

contribuabilului persoan fizic ce pot fi fcute publice, astfel nct acesta s se poat recunoate
ntr-un act administrativ ntocmit de organele fiscale.
Conform prevederilor din Codul de procedur fiscal, actul administrativ fiscal se emite
numai n form scris i cuprinde, printre alte elemente, datele de identificare ale contribuabilului
sau ale persoanei mputernicite de contribuabil, dup caz.

58

Cerina legii este aceea ca, n cuprinsul anunului n care se menioneaz c a fost emis actul
administrativ fiscal pe numele contribuabilului, s figureze numele, prenumele i domiciliul
contribuabilului n cauz, fr alte date de identificare. Dac legiuitorul ar fi intenionat prelucrarea
codului numeric personal n situaia pus n discuie, ar fi fcut referire n mod expres la aceasta,
astfel cum s-a procedat i n alte cazuri reglementate de Codul de procedur fiscal. n plus, avnd
n vedere faptul c anunul ce conine inclusiv codul numeric personal se public i pe anumite
pagini de internet, aceasta implic un grad de risc sporit pentru securitatea prelucrrii i pentru
protecia drepturilor persoanelor vizate.
Totodat, autoritatea de supraveghere a considerat c prelucrarea acestei date cu caracter
personal avnd funcie de identificare este excesiv n raport cu scopul stabilit de prevederile din
Codul de procedur fiscal.
n consecin, autoritatea de supraveghere a apreciat c sunt suficiente menionarea n
cuprinsul anunului a numelui i prenumelui contribuabilului, precum i a domiciliului fiscal al
acestuia, fr precizarea codului numeric personal.

Casa Naional de Asigurri de Sntate a cerut s i se precizeze dac este legal utilizarea

codului numeric personal drept cod de identificare personal pe cardurile europene de asigurri de
sntate.
Potrivit legii, prelucrarea codului numeric personal sau a altor date cu caracter personal
avnd o funcie de identificare de aplicabilitate general poate fi efectuat numai dac persoana
vizat i-a dat n mod expres consimmntul sau prelucrarea este prevzut n mod expres de o
dispoziie legal.
Ct privete prelucrarea codului numeric personal n legtur cu cardul de asigurare de
sntate european, n Legea nr. 95/2006 privind reforma n domeniul sntii, modificat i
completat, se prevede faptul c acest card european conine un set obligatoriu de informaii
vizibile, printre care i codul numeric personal al asiguratului.
n plus, n Anexa la Decizia nr. 190 din 18 iunie 2003 privind caracteristicile tehnice ale
cardului de asigurare de sntate (2003/752/CE), se precizeaz c n cuprinsul Cardului de asigurare
de sntate european este trecut codul numeric personal al titularului cardului sau, dac acesta nu
exist, al persoanei asigurate de la care deriv drepturile titularului cardului precum i faptul c nici
un cmp specific nu poate fi atribuit pe card caracteristicilor personale, cum ar fi sexul sau situaia
familial.
n consecin, prelucrarea codului numeric personal pentru emiterea cardului de asigurare de
sntate european se efectueaz n condiiile unor dispoziii legale exprese.

59

4.2. Prelucrarea imaginii i a codului numeric personal prin utilizarea tehnologiei RFID
Un club de fotbal a supus analizei autoritii de supraveghere posibilitatea prelucrrii
imaginii i codului numeric personal, n vederea emiterii abonamentelor sau tichetelor pentru
participarea publicului la meciurile de fotbal disputate pe stadionul acestui club, prin utilizarea
tehnologiei RFID.
Autoritatea de supraveghere a precizat c, de regul, colectarea imaginii persoanei vizate
(fotografie) se realizeaz cu consimmntul acesteia. Avnd n vedere scopul declarat de operator,
respectiv de a asigura securitatea persoanelor participante la meciurile de fotbal, autoritatea a
apreciat c se justific prelucrarea acestei date cu caracter personal. n sensul celor de mai sus, s-a
considerat c este necesar ca imaginea persoanelor vizate s fie prelucrat strict n scopul protejrii
dreptului la via a persoanelor i a combaterii violenei pe stadioane. n plus, s-a menionat c
operatorul trebuie s asigure i un nivel de protecie adecvat pentru datele prelucrate.
4.3. Prelucrarea datelor cu caracter personal referitoare la minori
Numeroi operatori de date personale din domeniul privat au apelat la autoritatea de
supraveghere n situaii referitoare la necesitatea obinerii consimmntului n cazul prelucrrii
datelor anumitor categorii de persoane vizate (inclusiv minori) i al prelucrrii datelor cu caracter
special.

O societate comercial a adus n atenia autoritii de supraveghere faptul c a solicitat

anumitor uniti de nvmnt situaia colar a elevilor ai cror prini au semnat contracte de
prestri servicii cu aceast firm, n vederea comunicrii prin e-mail ori SMS a situaiei colare i a
unor statistici realizate prin raportare la situaia tuturor elevilor, inclusiv a celor ai cror prini nu
au semnat contracte de prestri servicii n acest scop.
Conducerea unitilor colare nu a dat curs solicitrilor adresate de societatea comercial
respectiv, dei aceasta a invocat faptul c situaiile colare ale elevilor sunt informaii publice cu
caracter confidenial.
n acest context, autoritatea a precizat c situaia colar a unui elev nu face parte din
informaiile considerate a fi de interes public, refuzul conducerii unitilor colare de a furniza
informaii cu privire la situaia colar a elevilor fiind justificat. Cu privire la dezvluirea situaiei
colare, este necesar obinerea consimmntului persoanelor vizate (elevii i/sau reprezentanii
legali ai acestora prini, tutori, curatori).

60

Cu privire la colectarea codului numeric personal al elevului prin contractul de prestri

servicii, autoritatea de supraveghere a considerat c aceasta este excesiv prin raportare la scopul
prelucrrii. Pentru identificarea elevului este suficient colectarea datelor referitoare la nume,
prenume, instituia de nvmnt, anul de nvmnt i clasa unde acesta este nscris.

O societate comercial a solicitat opinia autoritii de supraveghere cu privire la prelucrarea

datelor cu caracter personal ale minorilor n scop de marketing.

S-a precizat c datele cu caracter personal ale minorilor pot fi prelucrate numai cu
consimmntul anterior al prinilor. n acelai timp, operatorul de date trebuie s adopte msuri
rezonabile pentru verificarea faptului c persoana care exercit drepturile copilului este printele
acestuia.
n operaiunea de colectare, operatorii trebuie s se asigure c se efectueaz corect
informarea copilului i a printelui despre scopul prelucrrii datelor personale ale copilului. n cazul
n care se utilizeaz materiale promoionale adresate direct copiilor sau se colecteaz date de la ei cu
acest scop, informaiile trebuie s fie vizibile, uor de citit i neles de ctre copii.
Operatorul nu trebuie s condiioneze participarea copilului la jocuri, primirea de premii sau
orice alt tip de activitate promoional de dezvluirea de ctre acesta a mai multor date personale
dect cele strict necesare pentru participare.
4.4. Prelucrarea datelor cu caracter personal n vederea informrii populaiei cu privire la
sistemul de pensii private
Comisia de Supraveghere a Sistemului de Pensii Private a solicitat punctul de vedere al
autoritii de supraveghere n legtur cu posibilitatea i modalitatea efectiv de utilizare a unor date
cu caracter personal (nume i adres) din baza de date a Casei Naionale de Pensii i Alte Drepturi
de Asigurri Sociale CNPAS, n vederea informrii populaiei, i n special a angajailor din
Romnia asigurai n sistemul public de pensii, cu privire la sistemul de pensii private.
Potrivit prevederilor Ordonanei de urgen a Guvernului nr. 50/2005 privind nfiinarea,
organizarea i funcionarea Comisiei de Supraveghere a Sistemului de Pensii Private, aceasta are,
printre alte atribuii, informarea i educarea populaiei cu privire la sistemul de pensii private. Prin
prisma legislaiei privind protecia datelor cu caracter personal, autoritatea de supraveghere a
considerat c acestei Comisii i pot fi furnizate date cu caracter personal (nume i adres) din baza
de date a Casei Naionale de Pensii i Alte Drepturi de Asigurri Sociale CNPAS.

61

Autoritatea a recomandat Comisiei de Supraveghere a Sistemului de Pensii Private s

realizeze informarea persoanelor vizate, n conformitate cu prevederile art. 13-18 din Legea nr.
677/2001, modificnd corespunztor nota de informare a participanilor la sistem.
Recomandarea a fost nsuit.
4.5. Prelucrarea datelor cu caracter personal n cadrul unitilor de poliie
n urma investigaiei efectuate de reprezentanii autoritii de supraveghere pentru
soluionarea unei plngeri n legtur cu o posibil prelucrare abuziv a datelor cu caracter personal
la nivelul unei uniti de poliie, a fost emis o recomandare ctre Inspectoratul General al Poliiei
Romne.
Autoritatea a avut n vedere adresa Inspectoratului General al Poliiei Romne, conform
creia sursa oficial de verificare a caracterului exact, corect i complet al datelor personale este
baza de date administrat de Centrul Naional de Administrare a Bazelor de Date privind Evidena
Persoanelor, precum i Metodologia privind evidena i gestionarea interogrilor efectuate n bazele
de date de evidena persoanelor, care a fost comunicat Inspectoratului General al Poliiei Romne
de ctre Centrul Naional de Administrare a Bazelor de Date privind Evidena Persoanelor.
Aadar, n contextul celor de mai sus, n baza art. 4, art. 5, art. 19 i art. 20 din Legea
nr. 677/2001, autoritatea a recomandat Inspectoratului General al Poliiei Romne s instituie o
procedur uniform de verificare a datelor personale de ctre unitile de poliie subordonate, n
baza de date administrat de Centrul Naional de Administrare a Bazelor de Date privind Evidena
Persoanelor, inclusiv n cazul unitilor care nu dispun de acces direct, automatizat, n aceast baz.
S-a precizat c este necesar ca procedura de verificare menionat anterior s prevad
consemnarea unor informaii certe, care s permit identificarea n orice moment a persoanei care a
solicitat verificarea, a datelor solicitate/obinute, a datei la care a avut loc verificarea, precum i a
motivului verificrii.
Totodat, a fost subliniat importana respectrii cerinelor minime de securitate a
prelucrrilor de date cu caracter personal de ctre Inspectoratul General al Poliiei Romne, n
contextul verificrilor n baza de date a Centrului Naional de Administrare a Bazelor de Date
privind Evidena Persoanelor, cu referire n mod special la dispoziiile privind identificarea i
autentificarea utilizatorului, tipul de acces, fiierele de acces.
Recomandarea a fost transmis spre tiin i Inspectoratului Naional pentru Evidena
Persoanelor, Centrului Naional de Administrare a Bazelor de Date privind Evidena Persoanelor i,
n copie, Ministerului Justiiei.

62

Inspectoratul General al Poliiei Romne a acionat prompt n sensul respectrii

recomandrii primite i a transmis autoritii de supraveghere metodologia corespunztoare.
4.6. Echilibrul ntre informaiile de interes public i datele cu caracter personal
O serie de autoriti i instituii publice au solicitat punctul de vedere al autoritii de
supraveghere, cu privire la modul de interpretare i aplicare a dispoziiilor Legii nr. 544/2001
privind liberul acces la informaiile de interes public, modificat i completat, prin raportare la cele
ale Legii nr. 677/2001, mai ales atunci cnd mass-media sau unele organizaii neguvernamentale
solicit informaii considerate de interes public, ce conin i date personale.
1. Unei instituii publice de control financiar i-au fost solicitate, n temeiul Legii nr.
544/2001, copii de pe documentele ntocmite de aceasta, cu ocazia unor controale efectuate
conform atribuiilor sale legale.
Autoritatea de supraveghere a precizat c, n situaia n care documentele solicitate conin
date cu caracter personal, acestea pot fi comunicate numai cu respectarea legislaiei n vigoare,
respectiv principiul consimmntului expres i neechivoc al persoanelor vizate.
n mod corelativ, este de reinut faptul c Legea nr. 544/2001 stabilete n sarcina
autoritilor i instituiilor publice obligaia de a comunica, din oficiu, prin publicarea unui buletin
anual informativ, o serie de informaii de interes public, enumerate limitativ. Printre acestea se afl
i lista cuprinznd documentele de interes public.
n acest context, autoritatea de supraveghere consider c fiecare instituie public poate s
decid, pe anumite criterii, categoriile de informaii care sunt de interes public i cele care nu fac
parte din aceast sfer, anterior publicrii.
2. Un inspectorat judeean de poliie a solicitat clarificri privind posibilitatea de a pune la
dispoziie unor ziariti informaii i, eventual, date cu caracter personal privind anumite persoane
asupra crora sunt efectuate acte premergtoare de cercetare penal.
Autoritatea de supraveghere a precizat c prelucrarea datelor cu caracter personal referitoare
la svrirea de infraciuni de ctre persoana vizat ori la condamnri penale, msuri de siguran
sau sanciuni administrative ori contravenionale, aplicate persoanei vizate, poate fi efectuat numai
de ctre sau sub controlul autoritilor publice, n limitele puterilor ce le sunt conferite prin lege i
n condiiile stabilite de legile speciale care reglementeaz aceste materii.
Coroborat cu aceste dispoziii, Legea nr. 677/2001 prevede, cu titlu de excepie, c
prelucrarea datelor referitoare la svrirea de infraciuni de ctre persoana vizat nu se aplic n
situaia n care prelucrarea datelor se face exclusiv n scopuri jurnalistice, literare sau artistice, dac
prelucrarea privete date cu caracter personal care au fost fcute publice n mod manifest de ctre

63

persoana vizat sau care sunt strns legate de calitatea de persoan public a persoanei vizate ori de
caracterul public al faptelor n care este implicat.
n plus, Legea nr. 544/2001 stabilete c informaiile cu privire la datele personale ale
ceteanului pot deveni informaii de interes public numai n msura n care afecteaz capacitatea de
exercitare a unei funcii publice.
n contextul celor de mai sus, datele cu caracter personal pot fi dezvluite unor teri cu
consimmntul persoanei vizate, iar fr consimmnt n msura n care prelucrarea este necesar
n vederea ndeplinirii unei obligaii legale a operatorului, cnd se urmrete aducerea la ndeplinire
a unor msuri de interes public ori cnd acestea figureaz deja n documente accesibile publicului.
Seciunea a 5-a: Activitatea de reprezentare n faa instanelor judectoreti
n anul 2007 s-a constatat c instanele au adoptat o practic unitar n litigiile referitoare la
protecia datelor, dei, iniial, la nivelul instanelor cu grad inferior a existat o abordare diferit.
ntr-o prim faz, unele din deciziile autoritii prin care se aplicau sanciuni
contravenionale au fost atacate n instan, contestndu-se procedura de aplicare a acestora.
nalta Curte de Casaie i Justiie a decis irevocabil, prin Decizia nr. 1188/2007, c: Legea
nr. 677/2001, ca lege special, are dispoziii ce derog de la dreptul comun n materia
contraveniilor, respectiv Ordonana Guvernului nr. 2/2001. Emiterea unei decizii ulterioare
ntocmirii procesului-verbal de constatare a contraveniei nu este contrar Legii nr. 677/2001,
ntruct art. 3 alin. (2) i (5) din Legea nr. 102/2005 care modific i completeaz Legea nr.
677/2001 prevede c, constatarea i sancionarea contraveniilor se face de autoritatea de
supraveghere prin preedintele autoritii, care n exercitarea atribuiilor sale, emite decizii.
Prezentm n continuare cteva dintre situaiile relevante n care au fost contestate
sanciunile aplicate de autoritatea de supraveghere:
a. n urma investigaiei efectuate la o grdini particular care prelucra date cu caracter
personal prin mijloace de supraveghere video, aceasta a fost sancionat contravenional pentru
omisiunea de a notifica. Operatorul a formulat plngere mpotriva procesului-verbal de constatare,
solicitnd schimbarea sanciunii din amend n avertisment.
Avnd n vedere c s-au prelucrat datele cu caracter personal ale copiilor aflai n grdini
i ale personalului de specialitate, fr notificarea acestei prelucrri, instana a apreciat c svrirea
contraveniei prevzute de art. 31 din Legea nr. 677/2001 a fost reinut n mod corect. n ceea ce
privete sanciunea contravenional aplicat, instana a reinut c, potrivit Ordonanei Guvernului
nr. 2/2001, sanciunea contravenional trebuie s fie proporional cu gradul de pericol social al
faptei svrite.

64

n consecin, avnd n vedere att dispoziiile legale, ct i argumentele autoritii de

supraveghere, instana a respins plngerea formulat de operator ca nentemeiat, sentina rmnnd
definitiv i irevocabil.
b. n acelai domeniu al prelucrrii datelor cu caracter personal prin intermediul camerelor
de supraveghere video, autoritatea de supraveghere a efectuat o investigaie la o societate
comercial, unde a constatat nclcarea dispoziiilor privind obligaia de a notifica, realizarea
prelucrrii datelor personale fr informarea persoanei vizate, precum i neasigurarea
confidenialitii datelor prelucrate, fapte contravenionale ce intr sub incidena Legii nr. 677/2001.
Imaginea constituie indubitabil o dat cu caracter personal, deoarece poate conduce la identificarea
unei persoane.
Operatorul instalase camere de supraveghere video pentru a prelucra imaginea persoanelor
care se aflau n magazin, fr a notifica n prealabil autoritii de supraveghere, susinnd c
prelucrarea efectuat nu intr sub incidena Legii nr. 677/2001.
Instana a reinut c sancionarea contravenional dispus de autoritate va fi analizat n
cadrul procedurii reglementate de Ordonana Guvernului nr. 2/2001 i Codul de procedur civil,
admind astfel plngerea fr a ine cont de faptul c Legea nr. 677/2001 derog de la regimul
general al contraveniilor prevzut de Ordonana Guvernului nr. 2/2001 i c, potrivit Directivei
95/46/CE, imaginile video sunt date cu caracter personal.
Tot n acest dosar s-a invocat i excepia neconstituionalitii art. 26 din Legea nr.
677/2001, prin care se stabilete un singur grad de jurisdicie n cazul contestrii deciziilor emise de
autoritatea de supraveghere. Acest articol reglementeaz numai situaia deciziilor prin care sunt
aplicate msuri specifice, precum: suspendarea sau ncetarea prelucrrii, tergerea datelor. Curtea
Constituional a decis c prevederea contestat este constituional, deoarece dreptul la dublul grad
de jurisdicie are aplicabilitate doar n materie penal, argument care a fost prezentat i de
autoritatea de supraveghere n faa instanei constituionale.
c. n faa instanelor de judecat au fost aduse unele cazuri n care s-au contestat proceseverbale de constatare a contraveniilor svrite de operatori care nu au personalitate juridic
(servicii publice comunitare locale de eviden a persoanelor nfiinate prin hotrri ale consiliilor
locale).
n urma efecturii de investigaii la serviciile publice comunitare de eviden a persoanelor,
desemnate ca operatori prin Ordonana Guvernului nr. 84/2001, acestea au fost sancionate
contravenional pentru omisiunea de a notifica, precum i pentru

nerespectarea dreptului la

informare a persoanelor vizate.

65

Serviciile de eviden a persoanelor menionate au formulat plngeri mpotriva deciziilor de

aplicare a sanciunilor emise de autoritatea de supraveghere.
n mod indirect, serviciile de eviden a persoanelor au recunoscut, prin contestaiile
formulate, c nu au informat persoanele vizate de existena drepturilor sau de condiiile de
exercitare a acestora.
Cu toate c instanele de fond au admis plngerile formulate, curile de apel care s-au
pronunat n recurs au meninut deciziile autoritii de supraveghere i au dispus modificarea n
ntregime a sentinelor atacate, n sensul recunoaterii calitii de operator a serviciilor comunitare
locale de eviden a persoanelor i a obligaiilor ce decurg din aceasta.
d. Autoritatea de supraveghere a efectuat o investigaie la o agenie de turism, n urma creia
a constatat c operatorul nu a notificat prelucrarea de date efectuat.
Astfel, s-a constatat c operatorul prelucreaz datele clienilor n desfurarea activitii de
asisten turistic i agenie de voiaj. Cu toate c, ulterior sancionrii, operatorul a notificat
prelucrrile de date efectuate, a contestat sanciunea aplicat de autoritatea de supraveghere.
Dei instana de fond a admis contestaia, nalta Curte de Casaie i Justiie a dispus
admiterea recursului formulat de autoritatea de supraveghere, a respins ca nentemeiat plngerea
formulat de operator, meninnd ca legal i temeinic decizia autoritii de supraveghere.
Decizia pronunat de instan este definitiv i irevocabil.
e. O alt situaie a fost aceea n care un centru de formare profesional a contestat procesulverbal de constatare i sancionare contravenional, invocnd faptul c n acesta nu era menionat
data svririi faptelor contravenionale, dei era trecut data ntocmirii procesului verbal.
Autoritatea de supraveghere a sancionat contravenional operatorul pentru notificarea
incomplet a prelucrrilor de date efectuate, lipsa informrii persoanelor vizate cu privire la
drepturile i condiiile de exercitare a acestora i, de asemenea, pentru nendeplinirea obligaiei
privind asigurarea confidenialitii i aplicarea msurilor de securitate asupra datelor prelucrate.
Operatorul a notificat incomplet prelucrarea, n sensul c nu a declarat toate datele cu
caracter personal colectate n desfurarea obiectului su de activitate (codul numeric personal,
seria i numrul crii de identitate sau buletinului de identitate). n acelai timp, a declarat c va
realiza informarea persoanelor prin afiare pe site i la sediu, operatorul nu a ndeplinit aceast
obligaie legal. De asemenea, operatorul nu a respectat cerinele minime de securitate a prelucrrii
datelor cu caracter personal, prevzute n Ordinul nr. 52/2002.

66

Fa de obiectul contestaiei formulate de operator, instana a decis c faptele reinute drept

contravenii sunt fapte continue, situaie n care data ntocmirii procesului verbal reprezint chiar
data comiterii lor.
n consecin, constatrile i procedura urmat de autoritatea de supraveghere au fost
corecte, iar instana a meninut sanciunea aplicat.
n concluzie, subliniem faptul c, n ciuda diversitii de aspecte contestate n instan i a
situaiilor supuse controlului judectoresc, interpretarea legislaiei privind protecia datelor
personale s-a realizat de instanele de judecat ntr-o manier similar abordrii propuse de
autoritatea de supraveghere.

67

CAPITOLUL al VI-lea
ACTIVITI N DOMENIUL RELAIILOR INTERNAIONALE
Seciunea 1: Grupuri de lucru la nivel internaional
Avnd n vedere importana problemelor dezbtute n cadrul reuniunilor grupurilor de lucru
la nivel internaional, Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter
Personal a luat parte la reuniunile acestora, n special la Grupul de Lucru Art. 29, Comitetul
Consultativ al Conveniei 108 i Grupul Internaional de Lucru n domeniul Telecomunicaiilor.
1.1. Grupul de Lucru Art. 29
Cel mai important i eficient mijloc de cooperare ntre autoritile pentru protecia datelor
din statele membre ale Uniunii Europene este Grupul de Lucru Art. 29, organism consultativ i
independent n domeniul proteciei datelor, n cadrul cruia fiecare autoritate este reprezentat la
nivelul conducerii.
Autoritatea de supraveghere a participat n anul 2006 la reuniunile Grupului de Lucru Art.
29, n calitate de observator, i, ncepnd cu 1 ianuarie 2007, odat cu aderarea Romniei la
Uniunea European, a devenit membru cu drepturi depline.
Aa cum sublinia domnul Peter Schaar, preedintele Grupului de Lucru Art. 29, n ultima
decad, conceptul european al proteciei datelor a devenit un model atractiv la nivel global. Acest
model trebuie s-i dovedeasc utilitatea n mod constant, n caz contrar riscnd s-i piard
atractivitatea. Trebuie s fie deschis inovaiilor i s in cont de ultimele evoluii tehnologice,
economice i sociale. Pentru a rspunde acestor cerine, n anul 2007, Grupul de Lucru a acordat o
atenie special urmtoarelor aspecte: conceptul de date personale, prelucrarea datelor pasagerilor
(PNR), cazul Swift, aciuni unitare de aplicare a cadrului legislativ n domeniul asigurrilor de
sntate, transferul datelor ctre state tere (Binding Corporate Rules), prelucrarea datelor personale
privind starea de sntate n cadrul registrelor medicale electronice, Internetul, telecomunicaiile i
noile tehnologii, protecia consumatorului.
a) Prelucrarea datelor pasagerilor (Passenger Name Record PNR)
n luna iulie 2007, Uniunea European a ncheiat un acord de monitorizare cu Statele Unite
ale Americii privind transferul de date din registrul cu numele pasagerilor (PNR) i prelucrarea
acestora de ctre Departamentul pentru Securitate Intern al Statelor Unite ale Americii. Acest

68

acord urmrete s ofere temei legal transportatorilor aerieni care opereaz zboruri ctre i dinspre
Statele Unite ale Americii.
n urma ncheierii acestui acord, Grupul de Lucru a adoptat Opinia 5/2007 privind
prelucrarea i transferul de date PNR de ctre transportatorii aerieni ctre departamentul pentru
securitate intern al Statelor Unite. n cuprinsul documentului, Grupul de Lucru subliniaz faptul c
sprijin lupta mpotriva terorismului internaional i a crimei organizate, ns trebuie s se
stabileasc un echilibru corect ntre cerinele privind protecia siguranei publice i dreptul
persoanelor la via privat.
Anterior, n noiembrie 2006, Grupul de lucru a mandatat subgrupul PNR s pregteasc o
strategie referitoare la datele pasagerilor care s-a concretizat la nceputul anului 2007 prin adoptarea
Opiniei 2/2007 referitoare la informarea pasagerilor cu privire la transferul datelor PNR ctre
autoritile din Statele Unite.
Aceast opinie conine un model de informare prin care companiile aeriene trebuie s
ntiineze clienii n legtur cu transferul datelor ctre autoritile din Statele Unite atunci cnd se
efectueaz o rezervare la un zbor cu destinaia Statele Unite.
Urmare a adoptrii acestui document, la nivel naional, autoritatea de supraveghere a
ntreprins demersuri pe lng operatorii implicai (transportatori aerieni i agenii de turism) n
vederea respectrii obligaiei de informare a pasagerilor cu privire la transferul datelor n Statele
Unite ale Americii.
De asemenea, aspecte importante referitoare la prelucrarea datelor pasagerilor au fost
dezbtute i n cadrul Conferinei Internaionale a Comisarilor pentru protecia datelor i a vieii
private de la Montreal. n cadrul dezbaterilor, s-a precizat c scopul folosirii datelor PNR este acela
de a preveni i combate terorismul i infraciunile asociate, alte infraciuni grave de natur
transnaional, inclusiv crima organizat i sustragerea de la executarea mandatului de arestare sau
de la executarea pedepsei privative de libertate pentru infraciunile menionate anterior.
b) VISA i Datele Biometrice
n martie 2007, Grupul de lucru a adoptat o opinie (Opinia nr. 3/2007) cu privire la
Propunerea de Regulament a Parlamentului European i a Consiliului de modificare a
Instruciunilor Comune Consulare privind vizele pentru misiuni diplomatice i posturi consulare n
legtur cu introducerea datelor biometrice. Instruciunile Comune Consulare stabilesc practicile
minime care trebuie respectate de ctre reprezentanele consulare din statele membre la eliberarea
vizelor n mod uniform.
Opinia Grupului de lucru Art. 29 cu privire la aceast Propunere de Regulament cuprinde o
serie de recomandri. n ceea ce privete includerea datelor biometrice i posibila utilizare a

69

amprentelor digitale n legtur cu cererile de viz, se recomand s se aib n vedere implicaiile

asupra demnitii umane i drepturilor fundamentale, iar utilizarea acestora n scopul identificrii s
fie limitat. Grupul de lucru a recomandat restricionarea colectrii i prelucrrii amprentelor
digitale ale copiilor i persoanelor n vrst.
c) Transferul de date n strintate
Directiva pentru protecia datelor 95/46/CE permite transferul datelor personale n afara
Zonei Economice Europene numai n cazul n care statul ter prezint un nivel adecvat de protecie a
datelor sau atunci cnd operatorul aduce garanii adecvate n ceea ce privete protecia vieii private.
Clauzele contractuale obligatorii (Binding Corporate Rules BCR) reprezint unul dintre
mijloacele prin care pot fi demonstrate garaniile adecvate de ctre un grup de companii, n ceea ce
privete transferurile de date din cadrul respectivului grup. Utilizarea Clauzelor Contractuale
Obligatorii ca temei legal pentru transferul de date din Zona Economic European necesit
aprobarea fiecrei autoriti pentru protecia datelor din Zona Economic European din a crei ar
datele urmeaz a fi transferate. Recomandarea 1/2007 adoptat de Grupul de lucru Art.29 conine
formularul utilizat de ctre companiile care solicit aprobarea Clauzelor Contractuale Obligatorii.
De asemenea, n octombrie 2007, Grupul de lucru a adoptat dou opinii (Opinia nr. 8/2007
i Opinia nr. 9/2007) prin care recunoate un nivel de protecie adecvat al datelor n Insula Jersey i
Insulele Faroe.
1.2. Comitetul Consultativ al Conveniei nr. 108/1981 pentru protecia persoanelor cu
privire la prelucrarea automat a datelor cu caracter personal i Biroul Comitetului
Consultativ al Conveniei nr. 108 (T-PD i T-PD-BUR)
Activitatea T-PD a fost concentrat, n perioada de referin, n primul rnd asupra
propunerii Consiliului UE pentru o Decizie Cadru referitoare la cooperarea poliieneasc i judiciar
n materie penal. n acest sens, T-PD a inut s sublinieze 15 faptul c principiile fundamentale
privind protecia datelor cu caracter personal prevzute de acest act normativ vor trebui s se refere
att la transferurile internaionale de date, ct i la prelucrrile de date efectuate la nivel naional. n
acest mod va fi asigurat o relaie eficient de cooperare poliieneasc i judiciar ntre Statele
Membre, fiind asigurat, n acelai timp, i un nivel adecvat de protecie tuturor prelucrrilor de date
cu caracter personal efectuate n acest domeniu.
Un alt aspect, deosebit de important n activitatea T-PD, a privit reanalizarea noiunilor de
prelucrare automat a datelor i de operator de date cu caracter personal n contextul reelelor
15

n documentul T-PD-BUR (2006) 15 E FIN, adoptat la Strasbourg (Frana) n data de 20 martie 2007

70

internaionale de telecomunicaii. Conceptele stabilite iniial de ctre Convenia nr. 108 nu i

regseau aplicabilitatea n toate situaiile practice aprute odat cu dezvoltarea rapid a domeniului
telecomunicaiilor electronice. Astfel, n contextul actual al reelelor internaionale de
telecomunicaii electronice, apar mai multe persoane i/sau entiti care stabilesc toi parametrii
prelucrrilor automate de date cu caracter personal. Prin urmare, una dintre obligaiile operatorului,
stabilit de art. 8 din Convenie, este de a comunica persoanei vizate locul i entitatea unde poate
solicita exercitarea dreptului su de acces sau rectificare.
1.3. Grupul internaional de lucru privind protecia datelor n telecomunicaii
O alt platform important este Grupul internaional de lucru privind protecia datelor n
telecomunicaii. Printre aspectele luate n discuie n cadrul acestui grup de lucru se numr
urmtoarele: televiziunea digital, biletele electronice (e-ticketing), prelucrarea datelor personale n
cadrul serviciilor oferite de Google Inc., probleme legate de intimitatea n cadrul serviciilor web,
intimitatea pe internet cu referire, n special, la tineri i copii, cutri online, reele bazate pe
senzori.
Seciunea a 2-a: Colaborarea cu alte autoriti de supraveghere
n anul 2007 s-a continuat colaborarea prin schimburi de experien cu instituii similare din
spaiul european. Astfel, autoritile de supraveghere din Spania (Agencia Espanola de Proteccion
de Datos) i Italia (Garante per la protezione dei dati personali), cu o bogat experien n
domeniul proteciei datelor cu caracter personal, au acordat asisten autoritii romne n
clarificarea unor aspecte privind transferurile de date cu caracter personal n state tere. Aceste
schimburi de experien au avut ca rezultat creterea eficienei activitii de transfer de date cu
caracter personal efectuat n baza unui contract cu clauze standard.
De asemenea, s-au efectuat schimburi de experien, pe problematica Schengen, cu
Autoritile pentru Protecia Datelor din Cehia i din Slovacia. Precizm c, n Cehia, evaluarea
Schengen pentru domeniul proteciei datelor s-a desfurat pe parcursul anului 2006, iar Slovacia a
fost implicat, pn n prezent, n dou misiuni de evaluare pe acest domeniu.
Evideniem ncheierea unor acorduri de cooperare cu autoritile de supraveghere din Italia,
Spania i Slovacia.

71

Seciunea a 3-a: Conferine internaionale

Avnd n vedere importana subiectelor dezbtute n cadrul conferinelor europene pe
protecia datelor, n anul 2007, personalul autoritii de supraveghere a participat la astfel de
conferine i seminarii, din care menionm:

reuniunea Autoritilor pentru Protecia Datelor din Europa Central i de Est (Croaia,
Zadar);

a XV-a Reuniune a Seminarului de Cazuistic (Finlanda, Helsinki);

a XVI-a Reuniune a Seminarului de Cazuistic (Portugalia, Lisabona);

seminarul Strategii eficiente pentru Autoritile pentru Protecia Datelor (Marea Britanie,
Londra).
n cadrul Seminarului de Cazuistic desfurat n Finlanda, preedintele autoritii de

supraveghere din Romnia a prezidat sesiunea dedicat domeniului financiar bancar. De

asemenea, cu prilejul participrii la evenimente europene, reprezentanii autoritii de supraveghere
din Romnia au prezentat materiale cu diferite subiecte, i anume: Condiiile pentru obinerea vizei
de intrare n Romnia, Protecia datelor copiilor i supravegherea video n grdinie, Proiectul
de decizie a Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal
privind prelucrrile de date efectuate de ctre Biroul de Credit.

72

CAPITOLUL VII
COMUNICARE I RELAII PUBLICE
Seciunea 1: Activitatea de comunicare i relaii publice
Dezvoltarea activitii de comunicare a reprezentat una din prioritile eseniale ale
autoritii de supraveghere, care a ntreprins o serie de activiti specifice n scopul creterii
gradului de informare i contientizare a publicului cu privire la domeniul proteciei datelor cu
caracter personal.
Ziua European a Proteciei Datelor a fost marcat prin organizarea la Sibiu capitala
culturala european 2007 a Mesei Rotunde cu tema Ziua European a Proteciei Datelor, pe
data de 25 ianuarie 2007. Manifestarea organizat cu sprijinul Instituiei Prefectului judeului Sibiu
s-a bucurat de prezena unor personaliti ale vieii publice romneti, care au marcat importana
domeniului proteciei datelor personale n societatea contemporan.
Conferina Internaional cu tema: Protecia i prelucrarea datelor personale n
activitatea financiar - bancar a fost organizat de autoritatea de supraveghere mpreun cu
Asociaia Romn a Bncilor, pe data de 24 mai 2007, la Bucureti. Aceast conferin a constituit
un excelent prilej de dezbatere, n context naional i internaional, a prelucrrii datelor cu caracter
personal n sistemele de tipul birourilor de credit i de aducere n atenia opiniei publice a punctelor
de vedere ale autoritii de supraveghere, ale unor instituii internaionale i ale principalilor
operatori (bnci comerciale, companii de asigurri, companii de leasing, operatori de telefonie
mobil i fix, societi de credit de consum, furnizori de utiliti).
Au fost organizate mai multe reuniuni i mese rotunde la sediul autoritii, cu participarea
operatorilor de date personale din domenii de activitate relevante: medici de familie, servicii de
eviden a persoanelor, transportatori rutieri, agenii de selecie i plasare for de munc, oficii
teritoriale ale registrului comerului, agenii de turism.
Concomitent, campania de informare la nivel naional declanat nc din anul 2006 s-a
intensificat i diversificat n cursul anului 2007, concretizndu-se n organizarea, cu sprijinul
instituiei prefectului, al camerelor de comer judeene, respectiv al Consiliului Superior al
Magistraturii, a 15 ntruniri n judeele Constana, Braov, Covasna, Brila, Tulcea, Mure, Bistria,
Cara-Severin, Harghita, Neam, Buzu, Cluj i n municipiul Bucureti, cu participarea
reprezentanilor autoritilor publice locale, ai serviciilor deconcentrate ale ministerelor, ai
societilor comerciale ce opereaz n domeniul turistic.

73

Fiecare reuniune s-a finalizat cu o sesiune de dezbateri n legtur cu aspectele de

aplicabilitate practic a Legii nr. 677/2001, iar conferinele de pres organizate cu aceste ocazii au
beneficiat de o larg prezen a reprezentanilor presei scrise i audio-vizuale.
Dintre manifestri, o importan deosebit a avut-o Dezbaterea public organizat mpreun
cu Consiliul Superior al Magistraturii, care a reunit magistrai de la nivelul Curilor de Apel i
Parchetelor de pe lng aceste curi din ntreaga ar. Subiectele abordate au vizat asigurarea
echilibrului dintre informaiile de interes public i cele cu caracter personal, menionarea pe
documentele specifice a numrului de prelucrare, precum i alte aspecte specifice semnalate
autoritii, n cursul anului 2007, de ctre instane i parchete prin rapoartele anuale.
n cursul anului 2007 s-a realizat o diversificare a tematicilor abordate pe site-ul autoritii
de supraveghere www.dataprotection.ro, pentru a veni n ntmpinarea cerinelor legate de
informare i dialog n relaia cu cetenii i operatorii de date personale. Acesta conine informaii
cu privire la legislaia comunitar i naional n domeniul proteciei datelor, inclusiv deciziile
autoritii publicate n Monitorul Oficial al Romniei, formularele de notificare, ghidul de
completare a notificrilor care vine n sprijinul operatorilor de date, proiectele deciziilor autoritii,
structura organizatoric, datele de contact ale autoritii, precum i alte informaii de interes public.
Autoritatea de supraveghere a difuzat peste 5000 de brouri referitoare la principalele sale
atribuii, precum i peste 7000 de pliante privind noiunea de date personale i drepturile cetenilor
specifice domeniului proteciei datelor.
n acelai timp, cu ocazia Zilei Europene a Proteciei Datelor, a Conferinei internaionale de
la Bucureti, organizat mpreun cu Asociaia Romn a Bncilor, precum i a Dezbaterii publice
organizat cu Consiliul Superior al Magistraturii, au fost realizate i difuzate brouri i pliante
speciale, n limba romn i englez.
Prin serviciile de dispecerat i audiene s-a realizat informarea rapid i eficient a
cetenilor i a operatorilor, n sensul c au fost oferite, ntr-o manier direct, informaii utile cu
privire la drepturile persoanelor vizate i obligaiile specifice operatorilor, lmuriri cu privire la
condiiile prelucrrii datelor i la dezvluirea acestora ctre teri.
Pe de alt parte, autoritatea de supraveghere a primit, n anul 2007, un numr de 240 cereri,
prin care s-au solicitat informaii cu privire la aplicarea Legii nr. 677/2001. Dintre aceste cereri, un
numr de 63 au fost transmise prin e-mail.
Seciunea a 2-a: Relaia cu mass-media
n ceea ce privete relaia cu presa scris, cu posturile de radio i televiziune, este de
subliniat schimbarea intervenit n perceperea activitii desfurate de autoritatea de supraveghere,

74

n sensul c, n cursul anului 2007, domeniul proteciei datelor s-a aflat constant n atenia
mijloacelor de informare n mas. Acest lucru s-a realizat prin susinerea unor conferine de pres
att n Bucureti, ct mai ales n judee, cu ocazia campaniei de informare realizate la nivel naional,
precum i prin transmiterea unor comunicate de pres. Aceste comunicate au fost preluate de
Rompres i Mediafax, principalele agenii de tiri romneti.
Domeniul proteciei datelor a fost reflectat n numeroase emisiuni radiofonice i televizate,
pe teme diverse, aspect ce denot interesul din ce n ce mai mare al mass-media pentru problemele
specifice din acest domeniu.
n luna ianuarie 2007, Radio Romnia Actualiti a fost gazda unei ediii speciale a
emisiunii Dosarele integrrii europene, dedicat autoritii de supraveghere i transmis n direct.
Alte posturi prestigioase de radio, precum BBC, au difuzat punctul de vedere al
reprezentanilor autoritii n legtur cu aspecte privind constituirea bazei de date n domeniul
educaiei sau asigurarea securitii i confidenialitii prelucrrilor de date.
Dintre posturile de televiziune, TVR 1 i TVR 2 au fost cele mai interesate n dezbaterea
anumitor teme cu implicaii asupra prelucrrilor de date personale.
De asemenea, reprezentanii autoritii de supraveghere au fost invitai la numeroase
emisiuni difuzate de posturile publice i private de radio i televiziune, unde au fost prezentate
aspecte principale ale activitii de protecie a datelor, printre care menionm TVS Braov, TV
Trgu-Jiu, Radio Romnia Actualiti, Radio Constana i News Fm.
Presa scris a reflectat activitatea autoritii de supraveghere prin mai multe articole care au
subliniat importana domeniului proteciei datelor la nivel european i naional, necesitatea
nregistrrii ca operator a persoanelor fizice sau juridice, drepturile de care beneficiaz cetenii n
acest domeniu (n special dreptul la informare i la plngere), precum i rolul autoritii de
supraveghere. Alte materiale au pus accent pe mijloacele de care dispune autoritatea de
supraveghere pentru sancionarea operatorilor ce ncalc prevederile legale n materie.
n acelai timp, a crescut semnificativ numrul articolelor aprute n diferite publicaii,
cotidiene sau sptmnale, centrale sau locale, referitoare la autoritatea de supraveghere i la
prelucrarea datelor cu caracter personal, cum ar fi Curierul Naional, Cotidianul, Sptmna
Financiar, Viaa Buzului, Evenimentul de Neam, Ziarul Prahova, Ziua de Cluj, Monitorul
Expres, Ghid Braov, Botoani News, Monitorul de Sibiu.
n scopul popularizrii activitii instituiei i a reglementrilor specifice n materie, au fost
difuzate 25 de comunicate de pres prin care au fost prezentate manifestrile organizate de
autoritatea de supraveghere, aspecte semnificative din activitatea acesteia, campaniile de informare
demarate i evenimentele internaionale relevante n domeniul proteciei datelor.

75

CAPITOLUL al VIII-lea
PERSONALUL AUTORITII
Structura organizatoric a autoritii de supraveghere reflect principalele domenii de
activitate, astfel cum sunt stabilite prin legea naional cadru, i anume:
a) operatori;
b) autorizaii;
c) relaii internaionale;
d) investigaii.
Organigrama aprobat de Biroul Permanent al Senatului corespunde etapei de
operaionalizare a autoritii, care se afl n plin proces de structurare a competenelor sale la nivelul
cerinelor unui stat membru al Uniunii Europene .
Autoritatea este condus de Preedinte, ajutat de un vicepreedinte, cu pregtire juridic.
Directorul economic coordoneaz activitatea economic i administrativ a autoritii.
n cadrul autoritii funcioneaz grupuri de lucru pentru activitatea de emitere a punctelor
de vedere n domeniul proteciei datelor, precum i pentru pregtirea misiunii de evaluare pe
protecia datelor n vederea aderrii Romniei la spaiul Schengen.
Autoritatea de supraveghere i-a desfurat activitatea n anul 2007 cu o schem de personal
ce cuprindea un numr de 52 de posturi, inclusiv demnitarii.
n principal, personalul de execuie de specialitate al autoritii este format din consilieri i
experi preluai, cu contract individual de munc de la instituia Avocatul Poporului, potrivit
prevederilor art. 19 din Legea nr. 102/2005 privind

nfiinarea, organizarea i funcionarea

Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal.

n anul 2007, la nivelul compartimentelor de specialitate au fost organizate cursuri de
perfecionare profesional cu prezentarea de materiale care privesc prelucrarea datelor cu caracter
personal i libera circulaie a acestor date. Dat fiind specificul domeniului de activitate, salariaii
care i desfoar activitatea n sectorul investigaii i notificri nu au putut fi trimii la cursuri de
perfecionare n cadrul universitilor din Romnia, deoarece acestea nu au programe pe domeniul
proteciei datelor.
Cu toate acestea, unele universiti au sprijinit autoritatea de supraveghere pentru rezolvarea
unor probleme de drept (ca de exemplu: Universitatea Lucian Blaga din Sibiu, Universitatea
Constantin Brncui din Trgu Jiu i Universitatea Hyperion din Bucureti).
Instituia a beneficiat ns, n continuare, pe domeniul su de activitate, de sprijinul
autoritilor din celelalte ri europene.

76

CAPITOLUL al IX-lea
MANAGEMENTUL ECONOMIC AL AUTORITII

Ultima parte a acestui raport se refer la situaia financiar-contabil, precum i la aspecte

privind execuia bugetar.
La finele anului 2007, bugetul actualizat al autoritii a fost n valoare de 3.884 mii lei, din
care a fost utilizat efectiv suma de 3.809,27 mii lei, ceea ce reprezint o execuie bugetar de 98,08
%. Menionm c unitatea s-a ncadrat n creditele bugetare repartizate de la bugetul de stat, la toate
capitolele, articolele i alineatele.

Denumire indicator
Total cheltuieli, din
care:
Cheltuieli de personal

Cod

Buget actualizat la 31
decembrie 2007

Execuie (%)

3.884 mii lei

98,08%

10

2.237 mii lei

99,85%

Bunuri i servicii

20

1.314 mii lei

95,19%

Cheltuieli de capital

70

333 mii lei

97,56%

Mai jos, prezentm o pondere a cheltuielilor pe titluri, raportat la totalul cheltuielilor

efectuate, potrivit extraselor de cont emise de la finele anului 2007:

mprirea cheltuielilor pe titluri (mii lei)

Cheltuieli de personal
1.314

2.237

Bunuri si servicii
Active fixe

333

Suma aferent cheltuielilor de personal ale autoritii a constituit un procent de 57,6 % din
totalul creditelor repartizate de la bugetul de stat, din care s-au utilizat efectiv credite n valoare de
2.233,58 mii lei (99,85% din creditele alocate de la buget). Majoritatea cheltuielilor de personal au

77

fost aferente plilor fcute pentru munca salariat a angajailor din departamentele de specialitate.
Sumele nu oglindesc venituri cu caracter continuu. Datorit condiiilor specifice privind continuarea
operaionalizrii autoritii, ca urmare a integrrii Romniei n Uniunea European, s-au desfurat
activiti inclusiv n afara orelor de program, n sumele achitate salariailor fiind cuprins i plata
orelor suplimentare care nu au putut fi recuperate prin timp liber n 30 de zile.
Pentru asigurarea sediului autoritii de supraveghere ntr-un interval de timp foarte scurt
datorit misiunilor de evaluare a domeniului proteciei datelor, n anul 2006 a fost nchiriat un
spaiu pentru care sunt prevzute n buget cheltuieli reprezentnd 45,5% din totalul creditelor
alocate la titlul Bunuri i servicii ( respectiv 15% din totalul cheltuielilor nregistrate de autoritate
pe anul 2007).
Autoritatea a continuat (dup nchirierea sediului) s fac demersurile necesare obinerii
unui spaiu administrativ destinat desfurrii activitii, din cele existente n patrimoniul de stat,
ns cererea nu a putut fi soluionat pozitiv.
Cheltuielile cu deplasrile reprezint 7% din totalul cheltuielilor pe anul 2007. Autoritatea
de supraveghere realizeaz obiectul principal de activitate prin investigaii i controale la operatorii
situai pe teritoriul Romniei, precum i la consulatele Romniei. La nivelul Uniunii Europene,
autoritatea de supraveghere are obligaia de a participa la lucrrile Grupului de lucru art.29 ce
funcioneaz pe lng Comisia European, precum i la grupurile de lucru pe domeniul proteciei
datelor constituite la acest nivel; la lucrrile autoritilor comune de control (Schengen, Europol,
Eurodac) i la lucrrile Consiliului Europei n domeniul proteciei datelor. Astfel, sumele alocate
pentru deplasri cuprind i aceast categorie de cheltuieli.
Nivelul relativ sczut al cheltuielilor n ceea ce privete bunurile i serviciile achiziionate
este rezultatul mai multor factori, dintre care menionm: criteriul preul cel mai sczut aplicat n
procedurile de achiziii, alturat unor cerine tehnice atent stabilite; precum i restriciile bugetare.
Execuia bugetar aferent cheltuielilor de investiii a fost de 97,56% din sumele alocate, din
cauza limitelor impuse de Ministerul Economiei i Finanelor, att n ceea ce privete alocarea pe
trimestre a fondurilor ct i referitor la nivelul lunar al deschiderilor de credite.
n acest context instituia a fost nevoit s ia decizia de amnare a unor investiii.

78