INFLUENȚA RGPD ASUPRA JURISPRUDENȚEI

DIN ROMÂNIA

CUPRINS

CAPITOLUL I. PROTECȚIA DATELOR PERSONALE - CADRUL GENERAL

1.1 Noțiunea și conținutul dreptului la protecția datelor personale
1.1.1 Caracteristicile dreptului la confidențialitate în România
1.1.2 Adeziunea României la organizațiile internaționale - impact legal asupra recunoașterii
dreptului la viață privată și a dreptului la protecția datelor
1.1.3 Dreptul la confidențialitate și dreptul la protecția datelor, în raport cu actele Consiliului
Europei
1.1.4 Dreptul la confidențialitate și dreptul la protecția datelor, în raport cu actele Uniunii
Europene
1.2 Obiectul dreptului la protectia datelor personale
1.2.1 Cadrul legal privind păstrarea datelor în România
1.2.2 Rolul instanței constituționale române în protejarea dreptului la viață privată și a dreptului
la protecția datelor cu caracter personal, cazul particular al „păstrării datelor”
CAPITOLUL II. SUBIECTELE DE DREPT VIZATE DE RESPECTARE A
DREPTULUI LA PROTECȚIA DATELOR PERSONALE
2.1. Titularii dreptului la protecția datelor personale
2.2. Titularii obligațiilor specifice la protecția datelor personale
2.3.Drepturile subiective născute din dreptul la protecția datelor personale și obligațiile corelative
CAPITOLUL III. INFLUENȚA RGPD ASUPRA JURISPRUDENȚEI DIN ROMÂNIA
3.1 Impactul RGPD asupra mediului de afaceri din România
3.2 RGPD, obiectivele adoptării sale și rațiunea schimbării
3.3 Soluții pronunțate în jurisprudența română
3.4 Impactul avut de RGPD asupra măsurilor luate de autoritățile naționale

1
 CAPITOLUL I. PROTECȚIA DATELOR PERSONALE
- CADRU GENERAL -

1. Noțiunea și conținutul dreptului la protecția datelor personale

Garanțiile legale ale drepturilor fundamentale într-un stat sunt influențate de gradul de
evoluție al societății respective și de nivelul democratic unde se manifestă „statul de drept”. Cu
atât mai mult este valabilă această afirmație, cu cât un drept precum dreptul la viață privată este
specific acelor sisteme de drept care recunosc importanța dezvoltării libere a personalității umane,
fără constrângeri dictatorii, în care individul își poate exercita pe deplin drepturile și libertăile
fundamentale.
Folosirea intruzivă de mijloace de intervenție de către autorități în viața privată a cetățenilor
unui stat pentru atingerea obiectivelor de pretins interes public, implică reducerea până la
anihilarea intimității vieții private a unei persoane. Argumentul bazat pe viața privată este
fundamental pentru integritatea personală și rămâne unul dintre puținele mijloace de apărare de
care dispune o persoană în caz de conflict cu puterea publică. Din această perspectivă, un stat
totalitar ca România în anii '40 -90 al secolului XX, când majoritatea drepturilor omului erau doar
declarații formale, nu a conceput admiterea unui drept constituțional la confidențialitate. 1
Cu toate acestea, aspecte colaterale de protecție a vieții private, precum secretul
corespondenței și inviolabilitatea domiciliului au fost încă adoptate în toate constituțiile moderne
românești, din 1866 până în 19652. Prima Constituție post-comunistă (1991) a stabilit dispoziții
specifice pentru regulile de drept, în timp ce cel de-al doilea titlu constă într-un adevărat catalog
al drepturilor, libertăților și îndatoririlor fundamentale, care reflectă și principalele reguli
internaționale la care România respectase anterior.3 Demnitatea umană, drepturile și libertățile
cetățenilor și libera dezvoltare a personalității umane au fost declarate valori supreme garantate

1 Adriana-Maria Șandru, Daniel-Mihail Șandru, Dreptul umanitar și protecția datelor personale, Pandectele române,
nr. 4/2018, p. 58-66
2 Muraru, I. & Iancu, Gh., 1995, Constituţiile române (Romanian Constitutions), Regia Autonomă Monitorul
Oficial, București.
3 V. Stoica, Drept civil. Drepturile reale principale, ediția a 2-a, Editura C.H. Beck, București, 2013, p. 236.

2
de art. 1 (3) din legea fundamentală, lângă justiție, pluralismul politic, statul de drept și trăsăturile
unui stat democratic și social. Pentru prima dată au fost oferite o serie de drepturi și libertăți
fundamentale, printre care dreptul la viață intimă, familială și privată (art. 26). Spre deosebire de
instrumentele juridice internaționale admise de România (Declarația universală a drepturilor
omului, Pactul internațional privind drepturile civile și politice, Convenția europeană a drepturilor
omului), elemente specifice inviolabilității domiciliului și secretului corespondenței nu sunt
incluse în conținutul dreptul fundamental la confidențialitate, întrucât Constituția României din
1991 prevede aceste drepturi fundamentale în trei articole distincte, dar consecutive (Art. 26-28).
Revizuirea din 2003 a Constituției a păstrat aceeași arhitectură a acestor trei drepturi și, astfel, a
consolidat caracterul autonom al dreptului la viață privată. Spre deosebire de alte state europene,
Constituția României nu a inclus în catalogul drepturilor și libertăților fundamentale un drept
fundamental la protecția datelor cu caracter personal, nici prin dispoziții separate (ca în cazul
Poloniei sau Sloveniei), nici de o parte constitutivă din dreptul la confidențialitate (ca în Olanda
sau Elveția). 5
Această situație a continuat chiar și după revizuirea din 2003, când propunerile pentru
ridicarea gradului acestui drept la unul constituțional nu au avut o viață lungă. Cu toate acestea,
datorită obligației României de a transpune acquis-ul înainte de aderarea sa la UE, au fost adoptate
o serie de legi importante care aduc garanții legale specifice la dreptul constituțional la viața intimă,
familială și privată, ca parte a obligației generale, pozitive a statului, menționată la art. 26 (1) din
Constituție, să ia măsuri pentru protejarea acestui drept. În sensul acestui articol, cele mai relevante
instrumente juridice sunt legea-cadru pentru protecția datelor (Legea 677/20018 care transpune
Directiva 95/46 / CE9), legea privind confidențialitatea în sectorul comunicațiilor electronice.

1.1.1 Caracteristicile dreptului la confidențialitate în România

5. Daniel Mihail Șandru, Dreptul de acces al persoanei vizate în jurisprudenţa relevantă, Revista română de drept
al afacerilor, nr. 4/2018, p. 21-26.

3
 Având în vedere conținutul dreptului constituțional la viața intimă, familială și privată, se
pot remarca mai multe caracteristici ale acestui drept, astfel cum derivă din dispozițiile art. 26 din
Constituție:
• acest drept inviolabil este tratat ca un drept complex, cu un conținut pe trei straturi, având
ca obiect protecția vieții intime, a vieții de familie și a vieții private. În textul Constituției nu există
alte reguli suplimentare care definesc separat toate aceste trei elemente (ale căror limite nu pot fi
stabilite cu greu); prin urmare, conținutul real al acestor drepturi trebuie stabilit prin jurisprudență
și doctrină. Cu toate acestea, ținând cont de sensul autentic al conceptului de confidențialitate și
de practica CEDO bazată pe art. 8 din Convenție, conrezultă că noțiunea de drept la
confidențialitate reunește într-un mod holistic caracteristicile celor trei noțiuni utilizate de puterea
constitutivă românească. Acesta este motivul pentru care este necesară o modificare a Constituției.
Un alt argument care poate fi adus în sprijinul unei astfel de necesități este faptul că trimiterile la
același drept fundamental, adică dreptul la confidențialitate, sunt conținute în alte articole unde se
folosește o terminologie diferită. De exemplu, în limitele libertății de exprimare, alături de
demnitate și onoare, sunt menționate „viața particulară a persoanei” și „dreptul la propria imagine”,
aceasta din urmă fiind deja stabilită de doctrină ca inseparabilă de respectarea vieții private.
Această abordare eterogenă este vizibilă și la nivelul legislației obișnuite, în ceea ce privește
construcția dată de Codul civil drepturilor personalității;6
• revine statului o obligație pozitivă generală, pentru a adopta măsuri legislative și
coercitive pentru apărarea dreptului nu numai împotriva autorităților publice, așa cum prevede
Constituția, ci și împotriva oricărui alt subiect; în plus, conținutul acestui drept atrage de asemenea
obligația negativă de a se abține de la interferențe contrare legii;
• în ceea ce privește deținătorii (și beneficiarii, în același timp) acestui drept, art. 26 (2) din
Constituție folosește noțiunea de „individ” și nu „cetățean” ca în cazul altor reguli privind
principiile directoare pentru drepturile și libertățile fundamentale (universalitate și egalitate) sau
cu privire la alte drepturi constituționale (dreptul la libertatea de circulație, dreptul la un nivel de
trai decent, dreptul la petiție). Această terminologie este folosită în mod adecvat și nu este

4 Noul Cod civil din 2011 (art. 58) include în sfera drepturilor personalității dreptul la viață, dreptul la sănătate, dreptul
la integritate fizică și morală, dreptul la demnitate, dreptul la propria imagine, dreptul la viață privată, iar lista nu este
închisă.

4
întâmplător, având în vedere că dreptul la confidențialitate trebuie asigurat fiecărui individ,
indiferent de natura relației sale cu statul român. Pentru aceeași chestiune, este relevantă și
jurisprudența CEDO: România a fost condamnată pentru încălcarea art. 8 din Convenție, inclusiv
în cazurile în care reclamantul nu era cetățean român;
• numai unul dintre elementele care compun dreptul la confidențialitate este oferit de textul
constituțional: dreptul unei persoane de a se dispune de ea însăși (așa-numita „libertate corporală”
21), văzută de unii autori ca un „corolar al dreptul la viață și integritatea fizică și morală ”22, care
este strâns legată de dreptul german la autodeterminare, dar nu acoperă toate aspectele dreptului la
viață privată;
• limitele admisibile stabilite de Constituție sunt, de asemenea, raportate la dreptul unic
(sub) de a se dispune de sine: drepturi și libertăți ale altora, ordine publică și moravuri. Nu a fost
necesar să se stabilească aici limitele acestui drept (sub-) drept art. 5323 din Constituție stabilește
oricum regulile generale pentru restrângerea exercitării anumitor drepturi și libertăți și chiar într-
o manieră mai cuprinzătoare. Cu toate acestea, admisibilitatea unei ingerințe în exercitarea oricărui
drept relativ trebuie interpretată în lumina instrumentelor internaționale privind drepturile omului
și, în special, potrivit jurisprudenței CEDO7.

1.1.2 Adeziunea României la organizațiile internaționale - impact legal asupra

recunoașterii dreptului la viață privată și a dreptului la protecția datelor

Conform art. 148 (2) din Constituție, toate autoritățile publice (aparținând puterilor
legislative, executive și judiciare) trebuie să respecte principiul aplicării prealabile a întregului
acquis al UE. Drept urmare, actele interne care nu corespund sau încalcă legislația UE nu vor fi
aplicabile ordinii juridice naționale; astfel de acte interne nu sunt automat invalidate sau anulate,
fiind în continuare capabile să producă efecte juridice, dar în alte situații, nu sunt specifice
dreptului UE. În ceea ce privește instrumentele internaționale privind drepturile omului,
Constituția României a consacrat principiul lex mitior, care impune aplicarea dispozițiilor cele

5 Daniel Mihail Șandru, Dreptul de acces al persoanei vizate în jurisprudenţa relevantă, Revista română de drept al
afacerilor, nr. 4/2018, p. 21-26

5
mai favorabile drepturilor persoanelor, natura juridică internă sau externă a actului fiind irelevantă.
Începând cu 1 decembrie 2009, când a intrat în vigoare Tratatul de la Lisabona care
modifică tratatele constitutive ale UE, toate drepturile fundamentale prevăzute de Carta drepturilor
fundamentale a Uniunii Europene au căpătat forță juridică pentru toate statele membre, în relație
la activitățile în care legislația UE este pusă în aplicare. În consecință directă, dreptul la
confidențialitate (art.7 din Cartă) și dreptul la protecția datelor cu caracter personal (art. 8 din
Cartă) și-au consolidat sau au dobândit valoarea fundamentală, după caz, în fiecare stat membru.
În plus, art. 16 TFUE a recunoscut dreptul la protecția datelor cu caracter personal ca opozabil
organismelor și instituțiilor UE și statelor membre, în exercitarea activităților lor care intră în sfera
de aplicare a legislației UE.
Considerentele de mai sus sunt luate în considerare pentru a evalua modul în care dreptul
la confidențialitate și dreptul la protecția datelor cu caracter personal sunt reflectate în mod legal
la nivelul dreptului național, prin referire la instrumentele juridice internaționale privind drepturile
omului (în special, ale Consiliului a Europei) ratificată de România, pe de o parte și de legislația
UE, pe de altă parte.

1.1.3 Dreptul la confidențialitate și dreptul la protecția datelor, în raport cu actele

Consiliului Europei

Actele Consiliului Europei au devenit parte a sistemului de drept românesc prin ratificarea
anumitor convenții și prin implementarea recomandărilor și rezoluțiilor Comitetului Miniștrilor.
În ceea ce privește protecția datelor, România a ratificat Convenția pentru protecția persoanelor cu
privire la prelucrarea automată a datelor cu caracter personal din 1981 (Convenția pentru protecția
datelor) și protocolul adițional28 din 2001 prin Legea 682/2001 și Legea 55/2005. Declarațiile pe
care România le-a făcut la depunerea instrumentului de ratificare a Convenției pentru protecția
datelor privesc domeniul de aplicare al legii și autoritatea națională competentă (Ombudsmanul la
acel moment). Întrucât Convenția pentru protecția datelor și Directiva 95/46 / CE conțin dispoziții
similare cu privire la principiile și regulile generale de

6
prelucrare a datelor cu caracter personal, legile naționale care ratifică sau transpun aceste acte
asigură un cadru uniform în ceea ce privește protecția datelor, precum și acestea trebuie să fie
interpretate împreună (chiar dacă actele de origine provin din diferite ordine juridice). Cu toate
acestea, o revizuire sistematică a celor două legi (Legea 677/2001 și Legea 682/2001) relevă
anumite diferențe în ceea ce privește domeniul lor de aplicare: în timp ce Legea 682/2001 exclude
de la aplicarea sa prelucrarea datelor cu caracter personal obținute din documente publice, această
excepție nu poate se regăsește în prevederile Legii 677/2001.8
Ținând cont de principiul primordial al dreptului UE și analizând jurisprudența recentă a
CEJ în această privință, legile interne trebuie să admită normele privind protecția datelor cu
caracter personal chiar și atunci când aceste date sunt conținute în documente publice, deci
prevederile Legii 677/2001 ar trebui să aibă prioritate asupra Legii 682/2001. Recomandarea R
(87) 15 a Comitetului Miniștrilor către statele membre care reglementează utilizarea datelor cu
caracter personal în sectorul poliției, deși este un instrument legal neobligator, a devenit parte a
„legii dure” acceptate, ca parte a acquis-ului Schengen; în consecință, România a pus-o în aplicare
prin Legea 238/2009 care stabilește reguli aproape identice cu actul de origine.9

1.1.4 Dreptul la confidențialitate și dreptul la protecția datelor, în raport cu actele Uniunii

Europene

Dreptul la viață privată era deja recunoscut drept drept fundamental la data intrării în
vigoare a Tratatului de la Lisabona, ca element al dreptului la viață intimă, familială și privată (art.
26 din Constituție), prin urmare, în acest sens, Dispozițiile în vigoare (anexate la tratat) au reiterat
valoarea acestui drept doar în ceea ce privește sistemul de drept românesc. Conținutul dreptului,
astfel cum este reglementat de art. 7 din Cartă, este reflectată de elementele celor trei

6 Directiva 95/46 / CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor
cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995).
7 Daniel-Mihail Şandru, Principiile integrităţii şi confidenţialităţii în protecţia datelor personale, loc. cit. supra.

7
drepturi fundamentale prevăzute de Constituția României (dreptul la viață intimă, familială și
privată, inviolabilitatea domiciliului și secretul corespondenței). 10
După transpunerea Directivei 95/46 / CE prin Legea 677/2001, s-au creat premisele pentru
respectarea dreptului la protecția datelor cu caracter personal, chiar și fără consacrarea expresă a
acestuia ca termen. În caz contrar, primul articol din Legea 677/2001 stabilește în mod clar
domeniul de aplicare al regulamentului, fără a se face referiri la protecția datelor: „scopul acestei
legi este garantarea și protejarea drepturilor și libertăților fundamentale ale persoanei, în special
dreptul la intimitate , viața familială și privată, în ceea ce privește prelucrarea datelor cu caracter
personal ”.
Cu toate acestea, ca urmare a obligațiilor pe care România și le-a asumat în perioada de
preaderare la UE și la Zona Shengen, cadrul legislativ a fost îmbogățit prin transpunerea acquis-
ului relevant care se referă în mod expres la „protecția datelor cu caracter personal”. În orice caz,
noțiunea de „drept la protecția datelor cu caracter personal” este evidentă în aproape toate actele
administrative (cu funcție normativă) emise de Autoritatea Națională de Supraveghere pentru
Prelucrarea Datelor cu Caracter Personal (NSAPDP).
Actele legislative pe care România le-a adoptat pentru a aborda cerințele apropierii
legislative cu acquis-ul Schengen, conțin reguli detaliate care conțin regimul juridic al protecției
datelor cu caracter personal. În toate celelalte acte juridice, caracteristica comună este norma unică
și generală de referință pentru legislația-cadru (Legea 677/2001), în ceea ce privește respectarea
normelor de confidențialitate și securitate ale operațiunilor de prelucrare a datelor cu caracter
personal.
Noul cadru pentru reformarea legislației privind protecția datelor cu caracter personal
propusă de Comisia Europeană în 2012, care înlocuiește Directiva 95/46 / CE actuală cu un
regulament obligatoriu și direct aplicabil, va asigura un nivel echivalent de protecție a acestui drept
în întreaga UE prin eliminarea diferențelor și a restricțiilor posibile care pot împiedica libera
circulație a datelor cu caracter personal. În caz contrar, primul paragraf al prezentei propuneri
prevede afirmarea caracterului fundamental al dreptului la „protecția persoanelor fizice în raport
cu prelucrarea datelor cu caracter personal”, luând ca referință art. 8 (1) din Cartă și art.

8 Daniel-Mihail Șandru, Principiile protecţiei datelor – de la teorie la practică, Curierul Judiciar, nr. 6/2018, p. 73.

8
 16 (1) TFUE. Prin urmare, România va trebui să adopte aceeași opinie în ceea ce privește natura
fundamentală a dreptului la protecția datelor cu caracter personal pentru toate activitățile care intră
în sfera de aplicare a noului regulament propus (excepții sunt prevăzute în prezent de articolul 2
alineatul (2) din propunere).11

1.2 Obiectul dreptului la protecția datelor personale

1.2.1 Cadrul legal privind păstrarea datelor în România

Ca toate celelalte state membre, România a trebuit să transpună Directiva 2006/24 / CE

până la 15 septembrie 2007. România a adoptat Legea 298/2008 după termenul stabilit de directivă
și a folosit norma de extindere care a permis statelor membre să amâne aplicarea prezenta directivă
privind păstrarea datelor de comunicații referitoare la acces la internet, telefonie la Internet și e-
mail pe internet, până la 15 martie 2009. Dezbaterea publică puternică în jurul legii a dus curând
la o acțiune în justiție introdusă de o ONG care a contestat constituționalitatea legii.
Curtea Constituțională a României (CCR) a fost prima care a decis o lege privind păstrarea
datelor, contrar Constituției (a se vedea mai jos), decizia fiind văzută ca un succes al societății
civice. Pe de altă parte, acest eveniment constituțional a produs un decalaj legislativ în ceea ce
privește obligația României de a transpune Directiva 2006/24 / CE, deoarece unul dintre motivele
majore de neconstituționalitate declarate de CCR se referea la obligația furnizorilor de a păstra în
permanență traficul, localizarea și identificarea date pentru șase luni.
Legiuitorul român s-a confruntat astfel cu două tipuri de obligații aparent incompatibile:
obligația constituțională a Parlamentului (art. 147) de a respecta decizia CCR și de a modifica în
consecință dispozițiile legale; obligația de natură dublă bazată pe Constituție (art. 148) și tratatele
UE (art. 258 din TFUE), de a respecta caracterul obligatoriu al directivelor, în ceea ce privește
obiectivul lor de bază stabilit. Deoarece România se confruntă cu amenințarea că Comisia
Europeană va introduce o procedură de încălcare împotriva acesteia, 41 după mai bine de doi ani

11 Ibidem.

9
de la decizia CCR și revocarea implicită a Legii 298/2008, Parlamentul a adoptat o nouă lege
pentru transpunerea Directivei 2006/24 / CE (Legea 82/2012 ) 42), pentru a evita o decizie negativă
a CJUE. Acest lucru a pus capăt unui proces legislativ lung și dificil, din cauza disensiunilor asupra
proiectelor anterioare, exprimate atât de comisiile Parlamentului, cât și de NSAPDP. Legea
82/2012 îmbunătățește unele dispoziții tehnice criticate anterior de CCR, dar încă nu asigură un
nivel satisfăcător de protecție a drepturilor persoanelor, întrucât procedura de obținere a datelor
păstrate nu este reglementată foarte clar (în special în ceea ce privește drepturile naționale agenții
de securitate). Deși noua lege a fost contestată de o serie de ONG-uri, nu a fost prezentată până
acum nicio acțiune în justiție sau o cerere de decizie privind constituționalitatea.

1.2.2 Rolul instanței constituționale române în protejarea dreptului la viață privată și a dreptului
la protecția datelor cu caracter personal, cazul particular al „păstrării datelor”.

România, spre deosebire de alte state europene, nu a creat un drept la protecția datelor cu
caracter personal (sau un alt drept similar al aceleiași specii) într-o manieră inovatoare, așa cum
au făcut judecătorii germani de la Karlsruhe și nici nu au identificat dreptul la protecția datelor cu
caracter personal înainte de integrarea sa în sistemul de drept național prin transpunerea dreptului
UE. 12
În mai multe cazuri, art. 26 din Constituție a fost invocată ca bază legală pentru constatarea
neconstituționalității anumitor acte juridice, dar numai în acele cazuri în care CCR a trebuit să ia
o decizie în legătură cu unele componente ale dreptului constituțional la viața intimă, familială și
privată, altele decât protecția datelor cu caracter personal (dreptul la propria imagine, dreptul de a
se dispune de el însuși). Pe de altă parte 40 Comisia Europeană a inițiat procedura pentru încălcarea
prin litera C (2011) 4111 din 16 iunie 2011, în cazul 2011/2089, pentru neimplementarea directivei
privind păstrarea datelor, în care României i se solicita să comunice măsurile de transpunere
națională a Directiva 2006/24 / CE, în termen de două luni. 42 JO,

12Muraru, I., Tănăsescu, S., Drept constituţional şi instituţii politice, Vol. I, All Beck, București, 2005,pp. 168-
169.

10
partea I, nr. 406 din 18.06.2012 de fapt, jurisprudența CCR nu pare să fie constantă în ceea ce
privește referințele noționale privind protecția datelor cu caracter personal, înainte și după intrarea
în vigoare a Tratatului de la Lisabona. De regulă generală, relativ puține decizii în care se folosește
noțiunea de „(dreptul la) protecție a datelor cu caracter personal’’ sunt acele hotărâri care se referă
la jurisprudența CEDO sau care analizează constituționalitatea legilor care transpun normele UE.
În alte cazuri, CCR a evitat să pună în discuție acest drept, chiar dacă dispozițiile legale supuse
dezbaterii erau în mod clar legate de acesta. Ca exemplu al acestei conduite, prin Decizia nr.
415/2010 privind Legea 144/2007 privind înființarea, organizarea și funcționarea Agenției
Naționale de Integritate, CCR a declarat neconstituționalitatea unor dispoziții legale care impun
publicarea integrală a declarațiilor patrimoniale ale funcționarilor publici pe paginile de internet
ale agenției respective și ale publicului instituții. Prin urmare, CCR a apreciat că „obligația legală
de a publica declarațiile de active și interese pe paginile de internet ale entităților în care persoanele
fizice au obligația legală de a le depune și de a le transmite Agenției Naționale de Integritate pentru
a fi publicate pe pagina sa de internet încalcă dreptul de a respecta și proteja viața privată, așa cum
prevede art. 26 din Constituție și prin art. 8 din Convenția pentru protecția drepturilor omului și a
libertăților fundamentale, datorită expunerii în mod obiectiv și rațional nejustificat, pe pagina de
internet, a datelor privind activele și interesele persoanelor fizice care au obligația legală de a
depune declarațiile de bunuri și interese ” .
Această decizie a fost luată după intrarea în vigoare a Tratatului de la Lisabona și a Cartei;
publicarea declarațiilor de active și interese a fost strâns legată de utilizarea datelor cu caracter
personal ca element al dreptului la confidențialitate (conform CEDO), în special dreptul la
protecția datelor. În ciuda tuturor acestor situații, CCR nu a făcut nicio referire la dreptul la
protecția datelor cu caracter personal, ca drept fundamental oferit de tratatele europene sau de
jurisprudența CJUE (sau CEDO) și nici ca instrument de interpretare (după caz a fost vorba de un
pur situație internă). Cu toate acestea, o decizie notorie în legătură cu dreptul la protecția datelor
este o dezbatere puternică cu referire la Decizia nr. 1258 / 2009, care a plasat CCR lângă instanțele
constituționale din Germania, Republica Cehă sau Cipru, care au declarat, de asemenea,
neconstituționalitatea parțială sau totală a legilor lor naționale care transpun aceeași

11
directivă 2006/24 / CE (deși motivele enunțate de germani Curtea Constituțională Federală, de
exemplu, este vizibil diferită de cele pronunțate de CCR). Prin această decizie, CCR a declarat
Legea 298/2008 neconstituțională, în ceea ce privește natura și sfera obligației de păstrare a datelor.
În opinia CCR, obligația de păstrare a datelor a fost exclusă ca „excepție de la„ principiul protecției
datelor cu caracter personal și confidențialitatea acestora ”protejată de Legea 677/2001 și Legea
506/2004, dar, prin sfera și întinderea sa, ar face ca anulează acest principiu.
Deși CCR nu a dovedit un rol creativ în ceea ce privește regimul juridic al dreptului la
protecția datelor cu caracter personal (întrucât Curtea Constituțională Federală Germană a inventat
dreptul la autodeterminare informațională), această decizie a marcat o evoluție inițială în ceea ce
privește interpretarea legislația UE în contextul dispozițiilor constituționale. CCR a criticat
obiectul Legii 298/2008; dar obiectul obiectului este identic cu cel stabilit prin Directiva 2006/24
/ CE (obligația furnizorilor de comunicații electronice de a păstra date, pentru a le pune la
dispoziția autorităților publice de aplicare a legii), ca urmare a obligațiile de transpunere asumate
de statele membre. Având în vedere prevederile art. 148 din Constituție și ale art. 288 TFUE,
obligația de a păstra date ar fi putut fi supusă controlului constituțional într-un singur caz: CCR ar
fi adoptat prin argumentarea sa doctrina germană Solange (primatul dreptului UE este admisibil
atâta timp cât nu contravine principiilor fundamentale precum drepturile persoanelor consacrate
de Constituție). Această decizie conține trimiteri la rezultatul directivelor care trebuie îndeplinite
de statele membre, dar CCR a evitat să-și bazeze argumentele pe supremația dispozițiilor
constituționale în dreptul UE, în cazurile de încălcare a drepturilor fundamentale. Recent, un
judecător CCR și-a exprimat pentru prima dată o opinie despre necesitatea ca CCR să își exprime
poziția cu privire la relația dintre UE și dreptul constituțional român. În susținerea opiniei sale,
judecătorul a citat, în cea mai mare parte, cazul de judecată al CJUE, acordând primatul dreptului
UE chiar și asupra dispozițiilor constituționale ale statelor membre, pentru a asigura eficiența și
uniformizarea dreptului UE.13
În luarea deciziei sale, CCR se bazează pe criterii preluate din bogata jurisprudență CEDO
privind art. 8 din Convenție. Astfel, CCR a considerat că: păstrarea continuă a datelor

13 Daniel-Mihail Șandru, Principiile protecţiei datelor, cit. supra., p. 74.

12
poate crește în conștiința indivizilor suspiciunea legitimă de rupere a intimității și de comiterea
abuzurilor; garanțiile legale privind utilizarea datelor nu sunt suficiente sau adecvate; iar limitarea
exercitării drepturilor personale în numele interesului public trebuie să fie echilibrată în mod
suficient între interese divergente. Chiar dacă această decizie poate fi criticată pentru ignorarea
anumitor principii ale dreptului UE (primatul dreptului UE, inclusiv ale directivelor), se poate
menționa temeinicia acestei hotărâri: rolul esențial al drepturilor omului și, în special, al dreptului
confidențialității într-un sistem de drept democratic, este reafirmat ca o valoare fundamentală, care
are prioritate față de alte norme legale.
În ambele decizii menționate mai sus, CCR nu s-a făcut referire în mod expres la dreptul
la protecția datelor cu caracter personal sau la crearea unui drept specific, similar dreptului
fundamental german al autodeterminării informaționale.
Analizând jurisprudența CCR se poate constata că dreptul la protecția datelor cu caracter
personal, chiar și în absența unei terminologii concrete în acest sens, este considerat ca o
componentă a dreptului la viață intimă, familială și privată, garantată de art. 26 din Constituție, dar
și ca mijloc de realizare a protecției drepturilor din aceasta. Actele legislative privind protecția
datelor (în special, Legea 677/2001 și Legea 506/2004) sunt citate de CCR ca reprezentând baza
legală pentru garantarea „principiului protecției datelor cu caracter personal și a confidențialității
lor”, care poate fi calificată doar , în acest context, ca principiu al comunei ius, inferior unui
principiu constituțional.

CAPITOLUL II.
SUBIECTELE DE DREPT VIZATE DE RESPECTAREA
DREPTULUI LA PROTECTIA DATELOR PERSONALE

13
 Legislația românească privind protecția datelor cu caracter personal, mai degrabă decât
inovarea normelor specifice, se remarcă prin adoptarea mimică a normelor legale ale Consiliului
Europei sau ale Uniunii Europene. Printre caracteristicile dreptului la protecția datelor cu
caracter personal în România se numără:

• este un drept derivat din dreptul fundamental la viața intimă, familială și privată, prevăzut
de art. 26 din Constituție și având ca bază constituțională demnitatea umană și libera dezvoltare a
personalității umane, protejate ca valori supreme de art. 1 din Constituție; cu toate acestea, nu este
încă un drept constituțional;
• este un drept care a apărut în contextul legislației europene de apărare a vieții private
împotriva riscurilor generate de progresele tehnicilor moderne de prelucrare a informațiilor; din
acest punct de vedere, este un drept autonom din dreptul la confidențialitate; nu este o creație
specifică spațiului juridic românesc, deoarece a fost adoptată mai întâi prin transpunerea
directivelor UE, iar apoi (după aderarea la UE și intrarea în vigoare a Tratatului de la Lisabona și
a Cartei), dezvoltată de către modul de efect direct al tratatelor UE. În prezent, normele legale care
furnizează acest drept fac parte din dreptul intern, potrivit art. 11 și art. 148 din Constituție;
• poate fi considerat un drept fundamental numai în ceea ce privește punerea în aplicare a
legislației UE, în conformitate cu art. 16 TFUE și normele de interpretare ale Cartei (art. 51). Drept
urmare, în toate situațiile în care Legea 677/2001, Legea 506/2004 sau Legea 82/2012, de exemplu,
sunt aplicabile, întrucât transpun directivele UE, informațiile interesate ar putea invoca direct
dreptul la protecția datelor cu caracter personal și ar putea beneficia de toate garanțiile stabilite de
acest regim juridic. Natura sa de drept fundamental poate fi opusă oricărei autorități publice
(executive, legislative, autorități judiciare), Curții Constituționale și entităților private în cazurile
în care legislația UE atrage efecte directe orizontale;
• este, de asemenea, un drept personal, în conformitate cu prevederile noului Cod civil;

• este un drept relativ, dar limitările sale trebuie să respecte cerințele prevăzute de
Constituție și identificate de case-law CEDO.
În ceea ce privește prelucrarea datelor cu caracter personal legate de activitățile de
securitate și apărare națională, garanțiile legale prevăzute de Legea 677/2001 și Legea 506/2004
nu sunt aplicabile, deoarece acestea sunt expres scutite de dispozițiile lor. În acest sens, părțile

14
 interesate vor trebui să recurgă la garanțiile legale generale corelate cu dreptul la viață privată (art.
26 din Constituție), în special la controlul judiciar, așa cum a subliniat deja CEDO în cazul Rotaru.
Păstrarea datelor cu caracter personal este un caz particular de exceptare de la normele
privind protecția datelor, astfel încât punerea în aplicare a Directivei 2006/24 / CE ar fi trebuit să
includă o gamă mai mare de garanții legale ale drepturilor persoanelor. Din păcate, legea actuală
privind păstrarea datelor nu îndeplinește toate aceste cerințe, în special în ceea ce privește
procedura de obținere și stocare a datelor de către autoritățile de aplicare a legii.

2.1 Titularii dreptului la protecția datelor personale

Titularul dreptului la protecția datelor personale (data controller) este „persoana fizică
sau juridică, autoritatea publică, serviciul sau un alt organism care, individual sau împreună cu
alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal” (art. 4.
paragraful 1, nr. 7 RGPD)15. În esență, proprietarul este cel care prelucrează datele fără a primi
instrucțiuni de la alții, care decide „de ce” și „cum” trebuie prelucrate datele.
Prin urmare, operatorul nu este cel care gestionează datele, ci cine decide motivul și
metodele de tratament. În plus, titularul este supus principiului fundamental al răspunderii
(accountability). Cu toate acestea, jurisprudența Curții Europene de Justiție a specificat că rolul de
titular al tratamentului trebuie să fie hotărât în privința situației concrete, ținând cont de faptul că
deseori unele decizii pot fi delegate terților. Prin urmare, integrarea unui serviciu care implică
procesarea datelor (de exemplu, introducerea de plugin-uri Facebook) și capacitatea de a influența
o astfel de procesare duce la calificarea operatorului de date.
Persoana căreia îi aparțin datele trebuie să poată prevedea înainte de a fi acordat un
consimțământ valabil (și, în realitate, aceste informații din amonte sunt funcționale tocmai astfel
încât persoana vizată să-și acorde liber și în cunoștință de cauză consimțământul), care va fi
utilizarea care va fi făcută de date proprii, la care operațiunile de prelucrare vor fi supuse la fel,
pentru cât timp, cu ce modalități și care sunt scopurile specifice pentru care sunt tratate.

14 http://www.privacy-regulation.eu/ro/4.htm, consultată în 12.11.2019.

15
 Numai astfel persoana în cauză poate fi cu adevărat conștientă și pe deplin informată cu
privire la transferul și utilizarea datelor sale personale pe care le-a consimțit, numai în acest fel
dreptul la autodeterminarea informațională care este substanța dreptul la protecția datelor cu
caracter personal, cel puțin din punctul de vedere al disponibilității, al administrării gratuite și al
utilizării independente a activelor informaționale aparținând fiecăruia dintre noi.
În plus, principiul transparenței este inextricabil legat de dreptul de acces al părții interesate
care, având în vedere protecția dreptului la protecția datelor cu caracter personal, are o importanță
strategică semnificativă în dinamica procedurală, deoarece este funcțional, am putea spune chiar
prodromal cu privire la exercitarea altor tipuri de drepturi conexe, cum ar fi rectificarea, limitarea,
opoziția, uitarea și portabilitatea datelor.
Nu rareori se întâmplă că utilizatorul este de acord să emită un consimțământ timpuriu și
general, copleșit de forța economică copleșitoare, care, în dialectica cererii și a ofertei de servicii
de pe piața digitală, au bănci, multinaționale și companii-companii gigante din sector (gândiți-vă
la rețea socială) și care este plasată ca o condiție indispensabilă pentru posibilitatea utilizării
serviciului. În cele mai multe cazuri, de fapt, revendicările garantate împotriva activelor noastre
de date sunt înlocuite rapid de avantajele și confortul pe care îl obținem din acest abonament, ca și
cum ar fi o „semnare a unui pact cu diavolul”16.
Introducerea noului regulament general european a creat unele probleme în traducerea
termenilor, deoarece termenul operator de date trebuie tradus, așa cum a fost stabilit de Garantul
Român, cu controlorul de date, acesta este cel care este responsabil pentru tratamentul în sine.
Acest lucru a creat o oarecare confuzie cu responsabilul de date, care este mai corect traducerea
unui procesor de date.
O persoană fizică care prelucrează date exclusiv în scopuri personale nu intră în sfera de
aplicare a directivei europene privind protecția datelor și, prin urmare, nu preia titlul de
proprietar17. Dar Curtea Europeană de Justiție (CJEU - Court of Justice of the European Union) a
stabilit că, în orice caz, publicarea datelor pe internet ale altor persoane constituie tratament,

15O’NEILL M., Terrorism and human rights- EU data protection framework, Cap. IX, in The Evolving EU Counter
Terrorism Legal Framework, Routledge research in EU law, Oxford, 2012, p. 28.

16WHITMAN J. Q., The Two Western Cultures of Privacy: Dignity versus Liberty, in The Yale Law Journal, New
Haven (Connecticut), 2004, p. 56.

16
 deoarece publicarea online determină accesibilitatea unui număr enorm de persoane, și, prin
urmare, se poate vorbi de difuzie sistematică.
Dreptul la protecția datelor cu caracter personal prevede că subiectul, la care se referă
aceste date, are disponibilitate completă a acestora și poate efectua toate actele de dispoziție
necesare pentru a garanta autenticitatea, actualizarea și, dacă este necesar, anularea.

2.2 Titularii obligațiilor specifice la protecția datelor personale

Unul dintre punctele forte ale noii reglementări constă în faptul că stabilește în mod clar
un „accountability principle”, ca parametru pe care trebuie să se bazeze fiecare acțiune a titularului
de date18.
Articolele 5, alin. 2 și art. 2419 din regulament sunt elementele de temelie ale unui nou
sistem, care impune controlorului de date să dezvolte „compliance program” reale (programe de
conformitate), un set de proceduri și mecanisme care să asigure eficient respectarea regulilor de
protecție. a datelor cu caracter personal.
Operatorul de date trebuie să introducă, de asemenea, module organizatorice în structura
sa de operare, ceea ce îi va permite, dacă este necesar, să demonstreze respectarea legii în fața
autorității garant. Onus probandi pentru titularul de date nu este indiferentă, întrucât este obligată
să demonstreze, în principiu, nu numai respectarea activităților de prelucrare cu regulamentul, ci
și eficiența măsurilor adoptate pentru protecția date personale deținute.
Această sarcină nu a fost prevăzută în mod expres în Directiva 95/46/CE, care părea să aibă
un profil scăzut, limitându-se la prevederea generică a unei constrângeri la respectarea obligațiilor
și interdicțiilor prevăzute de aceasta.

17GRIGORIU-ANDREȘAN, Beatrice; ȘTEFAN Tudorel, Tratatele Uniunii Europene, Ed. Hamangiu, București,
2007, p. 34.

18 Următorul paragraf este: ”Având în vedere natura, sfera de aplicare, contextul și scopurile tratamentului, precum
și riscurile care prezintă probabilități și seriozități diferite pentru drepturile și libertățile persoanelor fizice,
proprietarul tratamentul pune în aplicare măsuri tehnice și organizatorice adecvate care să garanteze și să poată
demonstra că tratamentul este realizat în conformitate cu prezentul regulament. Aceste măsuri sunt revizuite și
actualizate, dacă este necesar”.

17
 Regulamentul, pe de altă parte, își propune să promoveze implementarea eficientă a
prognozelor sale în practicile companiei, prefigurând adoptarea unei serii de măsuri, care să dea
concret organismului „programului de conformitate” (nu întâmplător se recomandă revizuirea
periodică a respectivului măsuri, pentru a evita ca acestea să fie caduce), precum și mecanisme
care să permită descărcarea sarcinii probatorii.
Așadar, la nivel general, principiul responsabilității este articulat pe două niveluri:
elaborarea de politici și proceduri interne adecvate pentru punerea în aplicare a principiilor
protecției datelor cu caracter personal și obligația de a dovedi conformitatea practicilor urmate cu
respectarea standardelor referință.
Autoritatea Europeană, deși a împărtășit structura generală a standardului, a criticat
referirea la tratamente „la scară largă”, considerând că această noțiune este ambiguă și neglijează
faptul că riscurile mari pot fi inerente chiar și în tratamente la scară mică, pentru prin natura
particulară a datelor sau a altor caracteristici ale prelucrării.
Titularul este legal răspunzător pentru respectarea obligațiilor prevăzute de legislația, atât
națională, cât și internațională, privind protecția datelor cu caracter personal, în acest sens
principiul responsabilității operatorului de date este esențial al reglementării europene20. În special,
obligațiile sunt:
➢ notificarea către garant în cazurile prevăzute;
➢ adoptarea de măsuri tehnice și organizatorice adecvate pentru a garanta, chiar din faza de
proiectare, protecția drepturilor persoanei vizate (privacy by design) și pentru a asigura că
datele nu sunt pierdute, modificate, distruse sau prelucrate în mod ilegal;
➢ constrângerea la obligația de confidențialitate a datelor, înțeleasă ca o obligație de a nu
utiliza, comunica sau disemina date în afara prelucrării;
➢ desemnarea operatorului de date căruia îi sunt încredințate sarcini importante de înalt
profesionalism, în faza de gestionare a datelor cu caracter personal;
➢ intocmirea registrului de tratament;
➢ instruirea personalului;

19BOROI, Gabriel; ANGHELESCU, Carla Alexandra, Curs de drept civil. Partea generală, ediția a II-a, ed.
Hamangiu, București, 2012, p. 118.

18
 ➢ documentarea încălcării datelor cu caracter personal, inclusiv circumstanțele referitoare la
acestea, consecințele acestora și măsurile luate pentru remedierea acestora21.

2.3 Drepturile subiective născute din dreptul la protecția datelor personale și obligațiile
correlative

Drepturile subiective şi obligaţiile corelative se intercondiţionează, deoarece existenţa şi

întinderea drepturilor impun o obligaţie corelativă22.
Un drept subiectiv poate fi definit ca o relație triadică, o relație care implică trei entități:
un subiect (proprietarul dreptului subiectiv), un alt subiect (care include poziția juridică legată de
dreptul subiectiv) și descrierea unui act sau o stare de fapt (conținutul dreptului subiectiv)23.
Cu alte cuvinte, un drept subiectiv - orice drept subiectiv - poate fi descris ca o relație pe
care A (proprietarul dreptului) o are cu B (care include poziția juridică corespunzătoare dreptului
subiectiv) și al cărui conținut este C (o conduită, o stare de lucruri etc.).
Pentru analiza relației dintre proprietarul dreptului și proprietarul poziției juridice
corespunzătoare, grila conceptuală dezvoltată în primele decenii ale secolului XX de juristul
american Wesley Newcomb Hohfeld este încă fundamentală24.
Potrivit lui Hohfeld, discursurile formulate în termeni de drepturi sunt afectate de o
profundă ambiguitate și uneori de confuzii conceptuale reale. Pentru a remedia aceste defecte,
Hohfeld propune să descompunem conceptul de drept subiectiv în anumite poziții juridice

20UNGUREANU, Ovidiu, MUNTEANU CORNELIA, Drept civil. Partea general în reglementarea noului cod civil,
Editura Universul Juridic, București, 2013, p. 86.

21 Al. Athanasiu, Dreptul securităţii sociale, Bucureşti, Edit. Actami, 1995, p. 24.

22 Cfr. D. Lyons, The Correlativity of Rights and Duties, pp. 47-48; J. Finnis, Natural Law and Natural Rights, p. 199.

23W.N. Hohfeld, Some Fundamental Legal Conceptions as Applied in Judicial Reasoning; Id., Fundamental Legal
Conceptions as Applied in Judicial Reasoning, p. 39.

19
elementare distincte, exact definite: revendicare (claim), libertate (liberty, privilege), putere
(power), imunitate (immunity).
Din punct de vedere strict tehnic, conceptul juridic de confidențialitate (privacy) apare ca
fiind legat de un drept subiectiv de a fi exercitat în relațiile interinstituționale a căror încălcare dă
naștere la o infracțiune de natură civilă, cu alte cuvinte la o infracțiune25.
Legiuitorul a decis să reglementeze confidențialitatea, construindu-l ca un drept individual
real și nu ca un simplu interes comunitar. Prin urmare, a urmat schema clasică a dreptului subiectiv,
care are consecințe decisive în ceea ce privește dreptul de proprietate (revine persoanelor juridice,
fizice sau juridice); de responsabilitate (orice încălcare expune persoana responsabilă pentru
diverse tipuri de consecințe penale, civile sau administrative); compensații (care pot fi atât echitate,
cât și specifice, odată cu înlăturarea situației prejudiciabile); de acțiune în instanță (care aparține
titularului).
Totuși, doctrina a criticat mult timp o astfel de abordare, menționând că, deși dreptul la
viață privată a fost construit (de doctrina în sine și apoi de legiuitor) ca un drept subiectiv perfect,
doar această calitate poate să nu fie suficientă pentru a face față leziunilor „în masă” pe care le
permite prelucrarea digitală a datelor. S-a spus, într-adevăr, că confidențialitatea „încetează să mai
fie un drept individual - chiar caracteristic vârstei și clasei burgheze - de a-și asuma o dimensiune
socială. Devine una dintre condițiile necesare pentru a face posibilă relațiile cu ceilalți [...] "26. Pe
scurt: întrucât riscurile la care se confruntă confidențialitatea sunt sociale, socialul ar trebui să fie
și răspunsul pe care legea ar trebui să îl permită.

24 Neil M. Richards, Daniel J. Solove, Prosser's Privacy Law: A Mixed Legacy, California Law Review, vol. 98, 2010,
p. 64; D. K. Citron, Mainstreaming Privacy Torts, California Law Review, vol. 98, 2010, p. 73.

25 Avizul Grupului de Lucru privind nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către
operator”, 16.02.2010, pag. 15.

20
 CAPITOLUL III
INFLUENȚA RGPD ASUPRA JURISPRUDENȚEI DIN ROMÂNIA

RGPD aduce câteva lucruri noi în comparație cu DPD (Directiva privind Protecția Datelor)
atât în privința consimțământului, cât și a altor aspecte importante de protecție a datelor. Conform
Comisiei, obiectivele principale ale RGPD rămân totuși aceleași ca obiectivele DPD: protejarea
drepturilor fundamentale și libertățile persoanelor fizice, în special dreptul la protecția datelor, pe
de o parte și promovarea fluxului liber de date cu caracter personal, realizând astfel o piață internă,
pe de altă parte27. Modificările aduse cadrului de protecție a datelor, inclusiv cele de furniza
consimțământul. Prin urmare, ar trebui privit în primul rând ca o încercare de a consolida obiective
menționate anterior. Un alt motiv al schimbării poate fi găsit în faptul că DPD nu a împiedicat
fragmentarea, incertitudinea juridică și o percepție largă a publicului că activitățile online sunt
riscante28. Drept urmare, un „cadru de protecție a datelor mai puternic și mai coerent, susținut de o
aplicare puternică care va permite economiei digitale să se dezvolte pe piața internă, va pune
persoanele în control asupra propriilor date și va consolida securitatea juridică și practică pentru
operatorii economici și autoritățile publice ”a fost considerată necesară de către Comisie29. În plus,
RGPD ar putea fi văzută ca o consecință a dorințelor comisiilor de a moderniza cadrul UE de
protecție a datelor, permițându-i să continue să fie o forță motrice în promovarea unui nivel ridicat
de protecție a datelor la scară mondială30.

27 COM (2010) 609 final, pag. 2.

21
riscante28. Drept urmare, un „cadru de protecție a datelor mai puternic și mai coerent, susținut de
o aplicare puternică care va permite economiei digitale să se dezvolte pe piața internă, va pune
persoanele în control asupra propriilor date și va consolida securitatea juridică și practică pentru
operatorii economici și autoritățile publice ”a fost considerată necesară de către Comisie29. În plus,
RGPD ar putea fi văzută ca o consecință a dorințelor comisiilor de a moderniza cadrul UE de
protecție a datelor, permițându-i să continue să fie o forță motrice în promovarea unui nivel ridicat
de protecție a datelor la scară mondială30.
Modificările privind consimțământul ca temei legal pentru prelucrarea datelor cu caracter
personal vor fi acum discutate. Pe lângă introducerea unor lucruri noi pentru consimțământ,
regulile actuale privind consimțământul sunt, de asemenea, mai clare prin articolele și
considerentele RGPD. RGPD a adus unele modificări cerințelor unui consimțământ valabil, a
introdus un drept de retragere a consimțământului, a introdus o sarcină de probă pentru controlorii
de date pentru a dovedi că o persoană a consimțit și a formulat reguli speciale privind
consimțământul minorilor. De remarcat este faptul că acordarea consimțământului mai strictă, prin
utilizarea unei interpretări restrânse a conceptului și adăugarea de cerințe mai formale, nu
îmbunătățește per se protejarea datelor persoanelor. Consimțământul, care este unul dintre cele
mai importante drepturi, își pierde semnificația ca temei al prelucrării legale atunci când cerințele
formale consolidate pentru a fi consimțite sunt dificil de respectat. Mai mult, s-ar fi putut
argumenta în acest context că un consimțământ este întotdeauna necesar să fie explicit (o
modificare propusă care nu a fost inclusă în textul

28 COM (2012) 11 final, pag. 2.

29 COM (2012) 11 final, pag. 2. A se vedea, de asemenea, rec. 7 din RGPD.

30 COM (2010) 609 final, pag. 5.

22
 final al RGPD)32. Prin urmare, rămâne o întrebare importantă, dacă modificările aduse
consimțământului vor îmbunătăți de fapt protecția datelor personale.

Atât DPD, cât și RGPD au două obiective principale care nu s-au schimbat: asigurarea
unui nivel ridicat de protecție a datelor și realizarea unei piețe interne în UE. Prin urmare,
modificările aduse cadrului, cum ar fi cele care trebuie consimțite, ar trebui, în general, considerate
o încercare de consolidare pentru atingerea acestor obiective. Datorită formulării RGPD și
adăugării de drepturi individuale și a unei reglementări mai stricte, se poate susține că RGPD
încearcă în primul rând să îmbunătățească controlul persoanelor vizate privind protecția datelor.
În ceea ce privește cerințele pentru un acord valid, cadrul de reglementare a primit câteva
modificări. O schimbare majoră este aceea că în regulament este exclusă consimțământul pasiv,
precizând că este necesară o acțiune afirmativă și tăcerea, casetele marcate în prealabil,
inactivitatea etc. nu constituie consimțământ valabil. O altă modificare este că RGPD afirmă acum
că consimțământul nu trebuie utilizat în situațiile în care există un dezechilibru clar între
controlorul de date și individ, cum ar fi relațiile guvernamentale și relații între angajator și angajat.
Mai mult, RGPD presupune că un consimțământ nu a fost dat în mod liber dacă utilizarea
consimțământului pentru o operațiune de prelucrare a datelor este obligatoriu inclusă cu diferite
operațiuni de prelucrare a datelor sau dacă consimțământul este utilizat pentru executarea unui
contract, în timp ce consimțământul nu este de fapt necesar pentru acea operațiune. Pe lângă aceste
modificări, cerința consimțământului informat a primit astfel claritate. Conform modificărilor,
consimțământul preformulat trebuie să fie furnizat într-o formă ușor accesibilă, utilizând un limbaj
clar. În plus, dacă se solicită consimțământul online, solicitarea trebuie să fie clară și să nu perturbe
inutil utilizarea serviciului pentru care este solicitat consimțământul.

31 I. Schermer, N. Custers, P. Van der Hof, Protection of Consent, Ethics of Information Technology nr. 16/2014, pag.
172.

23
 Alături de cerințele pentru un consimțământ valid, RGPD aduce și modificări cu privire la
alte subiecte referitoare la consimțământ. O primă modificare este introducerea dreptului de
retragere a consimțământului.
În primul rând, adăugarea regulii potrivit căreia retragerea consimțământului ar trebui să
fie la fel de facilă pe cât a fost emiterea consimțământului este nouă. O a doua modificare este
aceea că retragerea consimțământului ar trebui să aibă loc fără penalități, astfel interzicând
penalizarea consumatorului pentru retragerea consimțământului. O a treia modificare constă în
faptul că operatorii de date sunt obligați să demonstreze existența consimțământului dacă li se
solicită acest lucru. Aceasta înseamnă că procurarea de probe privind furnizarea legală a
consimțământului a devenit crucială. O a treia modificare se referă la acordul minorilor. Atunci
când oferă servicii de societate informațională copiilor cu vârsta sub 16 ani este necesară
autorizarea parentală. În plus, operatorii de date trebuie să ia măsuri pentru a verifica vârsta
persoanelor fizice pentru a determina dacă este necesară autorizarea părinților / ocrotitorului legal.
Pentru a încheia discuția privind modificările aduse cerinței consimțământului, putem
sublinia că au fost introduse reguli noi, precum regulile privind autorizarea părinților și regulile
privind obligația operatorilor de a demonstra existența consimțământului, dar în multe cazuri
RGPD clarifică conceptele cunoscute. Ca urmare a acestor modificări, cerința consimțământului
ca temei legal pentru prelucrarea datelor cu caracter personal a devenit armonizată în UE, oferind
același nivel de protecție a datelor la nivelul tuturor statelor membre. Anumite concepte sunt
clarificate, cum ar fi ceea ce constituie un consimțământ informat. Multe dintre aceste subiecte
au fost abordate anterior de Grupul de lucru 29, dar acestea nu sunt încă schimbări importante,
întrucât documentele acestor grupuri nu sunt obligatorii din punct de vedere juridic. În cele din
urmă, aceste modificări arată că consimțământul rămâne important, deși devine din ce în ce mai
dificil de utilizat în mod corespunzător datorită cerințelor sale mai stricte. S-ar părea că aceste
cerințe mai stricte îmbunătățesc protecția datelor persoanelor. Aceste modificări ale elementelor
consimțământului vor face consimțământul mai semnificativ, în timp ce regulile privind retragerea
consimțământului oferă persoanelor un control sporit. În plus, regulile suplimentare privind
minorii le oferă acestora mai multă protecție juridică.

24
3.1 Impactul RGPD asupra mediului de afaceri din România

Autoritatea națională română pentru prelucrarea datelor cu caracter personal a anunțat că a

aplicat primele amenzi în aplicarea noului regulament european privind prelucrarea datelor cu
caracter personal (RGPD).

Prima amendă a ajuns la 27 iunie împotriva Unicredit Bank și a dus la o amendă de 613.912
lei (echivalentul a aproximativ 130 de mii de euro) pentru că a dezvăluit datele personale ale
clienților săi destinatarilor plăților. În documentele care conțin detaliile tranzacției, acesta din urmă
a primit date precum PIN-ul și adresa personală a clientului.

În încălcarea a fost implicată 337.042 de persoane, în perioada 25 mai - 10 decembrie 2018.

Decizia a venit în conformitate cu articolul 5 alineatul (1) c) din RGPD, care prevede că persoana
responsabilă de gestionarea datelor folosește doar cele strict necesare scopului pentru care sunt
colectate.

După cum subliniază Valentina Pavel pe site-ul EDRi, amenda ar putea fi chiar mai grea
dacă s-ar fi aplicat și punctele b) și f) din același articol: primul prevede colectarea datelor în
scopuri precise și explicite, și apoi tratate într-o manieră în concordanță cu cele declarate, în timp
ce punctul f) privește capacitatea managerului de a garanta securitatea acesteia.

La 2 iulie a fost aplicată cea de-a doua amendă, împotriva World Trade Center București,
pentru o sumă de 71.028 de lei (aproximativ 15 mii de euro). Încălcarea presupunea o listă cu
datele a 46 de invitați ai unui hotel WTC, care a fost fotografiată și pusă online de cineva care nu
face parte din personalul hotelului. Autoritatea a constatat că compania nu a luat măsurile tehnice și
organizatorice de securitate necesare pentru a preveni diseminarea ilegală a datelor cu caracter
personal ale clienților săi, prevăzută la articolul 24 din RGPD.

Cea de-a treia amendă a fost anunțată pe 12 iulie și a lovit compania care administrează site-
ul avocatoo.ro, care, în mod curios, se ocupă de consultanță juridică și respect pentru RGPD.
Datorită măsurilor necorespunzătoare în gestionarea datelor utilizatorilor, datele persoanelor care
au încheiat tranzacții cu site-ul web au fost accesibile public în perioada 10 decembrie 2018 - 1
februarie 2019. Prin intermediul a două legături publice a fost posibilă vizualizarea numelui,

25
prenumelui , adresa, e-mail, număr de telefon, angajator și detalii despre tranzacție pentru toți
utilizatorii implicați. Amenda în acest caz a fost de 14.173 lei, aproximativ 3 mii de euro.

În cadrul companiei, s-a observat că noul Regulament european privind protecția datelor cu
caracter personal, spre deosebire de Decretul legislativ nr. 196 din 2003, nu prevede punerea în
aplicare a măsurilor minime de securitate, întrucât legiuitorul a preferat să includă, în cadrul acestei
legislații, unele acțiuni stricte către operatorul de date, față de care a crescut toată responsabilitatea
pentru răspundere . În mod precis, atribuirea unei responsabilități mai mari a prevăzut o analiză
preventivă a riscurilor, precum și adoptarea tuturor măsurilor organizatorice și tehnologice care
permit implementarea RGPD.

În esență, companiile sunt invitate să implementeze un sistem care să includă analiza de risc a
datelor prelucrate prin adoptarea, în companie, a unui concept absolut și dinamic în ceea ce privește
protecția persoanelor atunci când tratamentul este implementat a datelor lor personale. Această
abordare necesită implementarea competențelor care traversează diverse domenii: juridic, IT și
organizațional. Cele mai semnificative modificări care sunt introduse vizează, pe lângă
comunicarea și notificarea eventualelor încălcări de securitate, de asemenea introducerea unui
registru de tratament, evaluarea impactului, figura responsabilului cu protecția datelor (DPO - Data
Protection Officer), concepte noi precum de exemplu confidențialitate prin design și
confidențialitate în mod implicit, precum și instruire rezervată personalului33.

Pentru a se adapta la acest nou sistem, este de o importanță fundamentală ca, companiile să
nu facă unele greșeli: în special, ele trebuie să întreprindă un proces de adaptare, prin adoptarea
unei abordări culturale și organizaționale, care este concepută doar în ceea ce privește costurile, dar
nu ar trebui considerate o oportunitate de consolidare a competitivității cuiva.

Mai mult, companiile nu ar trebui să considere acest sistem de protecție ca un instrument

universal pentru a rezolva toate problemele, ci ar trebui considerate ca un instrument care le
permite să se adapteze la legislație. Abordarea implementată de companii trebuie să se bazeze pe
trei cuvinte cheie; protecția, integritatea și disponibilitatea datelor cu caracter personal, ceea ce
impune personalului companiei să lucreze pe trei fronturi, și anume cel al guvernanței, dreptului și
asigurărilor, care se califică și ca piloni ai organizațiilor corporative34.

33
Macri 'E. și Castiglia G., Noul regulament european privind confidențialitatea: un scurt vademecum, 2018;
34
Ibid.
26
 Pe baza acestor indicații, companiile au fost chemate să se adapteze la noua legislație, punând
în aplicare toate măsurile necesare activării acesteia și atingerii obiectivelor pe care le oferă,
pregătind pentru organizarea companiei toate produsele și serviciile conforme cu RGPD35.

Primul pas pe care trebuie să-l facă companiile este să pună în aplicare un proces de evaluare
a datelor care să fie clar și de încredere și să facă acest lucru, în majoritatea cazurilor, aleg să
folosească profesioniști calificați pentru a-i ajuta să aleagă metodele mai fiabil pentru
managementul documentelor și datelor în cadrul companiei. Ajutorul acestei figuri profesionale
este foarte important, deoarece, dacă compania constată deficiențe, această cifră, fiind expertă și
bine informată, va sfătui compania însăși ce instrumente hardware și software trebuie utilizate
astfel încât toate procedurile și măsurile utilizate să fie conform legislației promulgate36.

3.2 RGPD - obiectivele adoptării sale și rațiunea schimbării

La 25 mai, intră în vigoare Regulamentul UE 2016/679, denumit și RGPD - Regulamentul

general privind protecția datelor.

Odată cu introducerea acestui regulament, legiuitorul european inversează complet

perspectiva cadrului de reglementare actual și atrage atenția asupra îndatoririlor și responsabilității
operatorului de date („responsabilitate”). Obiectivul RGPD este armonizarea legislației în ceea ce
privește confidențialitatea și prelucrarea datelor și, prin urmare, consolidarea protecției drepturilor
cetățenilor în acest domeniu.

RGPD solicită companiilor să protejeze datele cu caracter personal pentru a evita formele

35
În realitate, foarte puține organizații sunt în măsură să consilieze alte companii, iar autoritățile avertizează oamenii să
acorde cea mai mare atenție atunci când decid să încredințeze securitatea datelor lor companiilor care pretind că sunt
conforme cu RGPD . Deși este riscant să spunem că este posibil să se obțină conformitatea urmând procedurile
„preambalate”, este de asemenea adevărat că unele produse pot fi de ajutor pentru organizații în scopuri de
conformitate, de exemplu, criptarea datelor gestionate sau automatizarea proceselor de afaceri pentru prelucrarea
datelor;
36
Printre acestea, de exemplu, îmbunătățirea securității datelor prin criptarea end-to-end cu suportul protocolului SSL
și IPSec, utilizarea sistemelor de suprascriere a datelor și protecția hard disk-ului dispozitivelor de imprimare. Un
partener bun pentru prelucrarea datelor va putea, de asemenea, să gestioneze datele originale solicitate sau nu solicitate
de la nenumăratele aplicații de întoarcere și sistemele ERP corporative.
27
 ilegale de prelucrare, în special:

 Dezvăluirea neautorizată;

 Accesul sau modificarea datelor cu caracter personal.

Pentru aceasta este necesară implementarea tehnicilor adecvate care să asigure un nivel

ridicat de securitate.

Începând cu 25 mai 2018, toate organizațiile trebuie să demonstreze că au implementat

măsuri adecvate pentru a reduce riscul nerespectării standardului și că obligația de protecție a

datelor este luată în serios în considerare. În caz de încălcări ale datelor, sunt prevăzute penalități

de până la 4% din cifra de afaceri totală a companiilor.

Companiile trebuie să poată demonstra respectarea regulamentului prin măsuri de

guvernare, care includ:

 Documentație detaliată;

 Actualizarea informațiilor și a contractelor;

 Înregistrarea și verificarea proceselor de management furnizate de RGPD (inclusiv

tratamente, programări, informații);

 Evaluarea continuă a riscurilor;

 Pregătirea personalului.

Obiectivul RGPD este să armonizeze legislația privind protecția datelor cu caracter personal
în Uniunea Europeană cu dublul obiectiv de a crește protecția și puterea de control a cetățenilor
asupra datelor lor personale, pe de o parte, și de a maximiza circulația acestora altele. Prin urmare,
regulamentul tratează o problemă fundamentală, dacă luăm în considerare modul în care
digitalizarea implică astăzi fiecare aspect al vieții noastre de zi cu zi, pornind de la cel mai de preț
bun, sănătatea noastră. Datele noastre ADN sunt baza celor mai inovatoare terapii și constituie
hrana medicamentului personalizat și a tuturor cercetărilor biomedicale actuale. Ceea ce se va
întâmpla cu cercetarea științifică în urma RGPD este așadar o întrebare care ne preocupă pe toți.

28
 RGPD introduce o serie întreagă de facilități și excepții pentru prelucrarea datelor cu caracter
personal în scopuri de cercetare științifică, oferind o interpretare foarte amplă a ceea ce constituie
„cercetare științifică”, până la cercetarea efectuată cu fonduri private și în scopuri care nu sunt
neapărat de timp la urmărirea interesului public. Pe de altă parte, RGPD pune bazele promovării
intereselor și solicitărilor pacienților și participanților la cercetare, necesitând, înainte de a putea
refolosi datele personale, să efectueze o analiză a relației dintre organismul care transferă datele. și
ce obține, verificând dacă obiectivele și valorile celor două instituții sunt compatibile.

Introducerea RGPD a permis UE să adopte reguli comune între țări, pentru a le alinia pe cât
posibil la nivel de reglementare, anterior la nivel european reglementările erau fragmentate și nu
erau uniforme între diferitele țări.

Prin urmare, sunt prezentate principalele diferențe care sunt delimitate cu acest nou regulament:

Conceptul de confidențialitate (privacy)

 Cod privacy - Confidențialitatea nu a fost concepută ca element constitutiv al activităților

de prelucrare a datelor, ci ca element final. În caz de nereguli sau defecte, acestea au fost
reparate după efectuarea tratamentului și nu de la început.

 RGPD - Sunt introduse principiile „Confidențialitate prin design” (“Privacy by Design”) și

„Confidențialitate prin implicit” (Privacy by Default), de la începutul prelucrării datelor
este necesar să respectăm cu strictețe regulile stabilite de legiuitor. (Dike Schindhelm,
2018).

Aplicabilitatea legii

 Oficiul proprietarului a fost considerat a aplica legea.

 Odată cu RGPD, legea aplicabilă devine acum cea a părții interesate, prin urmare
proprietarii (inclusiv rețelele sociale și platformele web) sunt supuse legislației europene,
chiar dacă sediul central este situat în afara UE. Prin urmare, pentru aplicarea legislației UE,
este suficient ca datele prelucrate să fie cele referitoare la bunuri și servicii oferite
cetățenilor UE.

Informaţiile

 Întrucât nu existau cerințe particulare de divulgare, acestea au fost neclare, lungi și cu

29
 referințe reglementare complexe.

 Informațiile trebuie să fie accesibile, concise și să fie scrise într-un limbaj clar, simplu, cu
un număr limitat de referințe de reglementare pentru a nu fi complexe.

Consimțământul

 „Consimțământul trebuia să fie gratuit, specific și informat, făcut printr-un act formal
pentru acceptarea procesării datelor” (Eur-lex, 2016).

 „Consimțământul, precum și gratuit, specific și informat, trebuie să fie fără echivoc. Voința
trebuie să fie exprimată într-o manieră fără echivoc, sub pedeapsa invalidității
consimțământului ”(Dike Schindhelm, 2018)5.

Documentație

 Nu existau obligații particulare de păstrare a documentației care dovedea prelucrarea

datelor.

 Se introduce principiul „Responsabilității” (“Accountability”), adică responsabilitatea

„verificabilă”. Acum, pentru a fi pasibil de sancțiuni (stabilite prin regulament), este
suficient să nu aveți documentația datelor prelucrate.

Figuri

 Figurile erau: proprietarul, managerul, persoana responsabilă și persoana în cauză.

 Figura persoanei responsabile nu este prevăzută în mod expres, deși există posibilitatea de a
insera cifre autorizate să prelucreze datele sub autoritatea proprietarului sau managerului.

Notificare către Autoritatea de Confidențialitate

 Se prevedea că, înainte de a efectua activități de prelucrare a datelor, aceasta trebuia

notificată Autorității de Confidențialitate.

 Cu noul Regulament, notificarea către Autoritatea Garantă nu mai este necesară, dar
Proprietarul este obligat să țină evidența activităților de prelucrare a datelor, deoarece este

5
Dike Schindhelm, 2018. Tabel de comparație între codul de confidențialitate D. lgs. 196/2003 și Regulamentul
european de confidențialitate RGPD 2016/679.
30
 posibil, trebuie să oferim descrierea măsurilor de securitate adoptate.

Încălcarea datelor cu caracter personal

 Nu era necesară notificarea încălcărilor datelor personale.

 În cazul în care apar încălcări ale datelor cu caracter personal (încălcarea datelor),
proprietarul este obligat să notifice Autoritatea Garantă în termen de 72 de ore de la
momentul în care a luat cunoștință de aceasta, precum și părții interesate la momentul
acestei încălcări a datelor cu caracter personal vă poate oferi un risc ridicat.

Drepturile părții interesate

 Vechea legislație nu recunoaște drepturi speciale pentru partea interesată.

 Pe lângă drepturile preexistente care au fost modificate, s-au adăugat „drepturi noi”, cum ar
fi: dreptul la portabilitate și dreptul de a omite.

Figuri de conectare

 Anterior, nu era prevăzută nicio figură ca legătură între subiecții de prelucrare a datelor și
Autoritatea Garantă.

 Noul regulament introduce figura DPO (Data Protection Officer - Responsabil cu Protecția
Datelor), cifră care este obligatorie pentru anumite categorii de controlori de date. Această
cifră a fost introdusă pentru a acționa ca punct de referință cu Garantul, această cifră trebuie
să posede, de asemenea, cerințe și abilități specifice. (Dike Schindhelm, 2018)

3.3 Soluții pronunțate în jurisprudența română

Autoritatea Română pentru Protecția Datelor (Autoritatea Națională de Supraveghere a

Prelucrării Datelor cu Caracter Personal) a sancționat Raiffeisen Bank și platforma online de credit
„Vreau Credit” pentru o sumă totală de 170.000 de euro, din care 150.000 de euro au fost plătite de
Raiffeisen, pentru o serie de încălcări ale confidențialității datelor.

În special, Raiffeisen Bank România a efectuat evaluări ale scorului pe baza datelor personale
ale persoanelor care s-au înregistrat pe platforma Vreau Credit, furnizate prin WhatsApp de către

31
angajații platformei și apoi au returnat rezultatul către Vreau Credit folosind aceleași mijloace de
comunicare. Astfel, datele personale de aproximativ 1.100 de persoane au fost distribuite între cele
două entități comerciale.

Raiffeisen Bank a efectuat investigații în baza de date a Biroului de Credit și în baza de date a
agenției de colectare a impozitelor, unde este posibilă găsirea unei cantități mai mari de informații
despre acești subiecti.

În plus, angajații Raiffeisen au încălcat reglementările băncii, dezvăluind rezultatul scorului

negativ pentru Vreau Credit.

Platforma a fost amendată de Autoritatea Română pentru dezvăluirea datelor personale către
Raiffeisen fără acordul clienților, în timp ce Raiffeisen a fost amendată pentru efectuarea
punctajului bazat pe date cu caracter personal și dezvăluirea rezultatelor fără acordul subiecților. și
ambii subiecți au fost responsabili de utilizarea mijloacelor de comunicare neprotejate.

Autoritatea națională de supraveghere a României a amendat Unicredit Bank pentru 130.000

de euro pe baza RGPD. De fapt, instituția a detectat încălcarea articolului 25, a articolului 5 și a
considerentului 78 din regulamentul european privind protecția persoanelor cu privire la libera
circulație a datelor. O pedeapsă considerată corectă de către experți: „În această fază trebuie să dăm
semnale clare”, comentează Francesco Pizzetti, lector în Drept constituțional și fost garant al
confidențialității.

Conform afirmațiilor, Unicredit nu ar aplica în mod eficient măsurile tehnice și organizatorice

necesare pentru a asigura o protecție optimă a datelor pentru a păstra drepturile persoanelor vizate.
Se pare că, în noiembrie 2018, în timpul unei verificări, autoritatea națională de supraveghere a
constatat că datele celor care au efectuat plăți cu tranzacții online au fost dezvăluite.

Situația a dus, de asemenea, la o încălcare a articolului 5 din RGPD, întrucât operatorul nu are
grijă în mod adecvat de minimizarea datelor: datele trebuiau gestionate doar în raport cu scopurile
pentru care au fost tratate inițial. Astfel, Unicredit a fost amendată. În moneda locală română suma
este de 613.912 lei, egală cu aproximativ 130.000 de euro.

Primul mare caz general de confidențialitate privind protecția datelor (RGPD) a izbucnit în
România la începutul lunii noiembrie 2018 în legătură cu un articol despre un scandal de corupție
care a implicat un politician și relația sa cu o companie cercetată pentru fraudă.

32
 Autoritatea română pentru protecția datelor (ANSPDCP) a trimis o serie de întrebări
jurnaliștilor care au publicat informații despre scandal, cerându-le „sursele” și menționând o
posibilă sancțiune - cea mai mare de la intrarea în vigoare a RGPD în mai 2018: până la 20.000.000
euro. ANSPDCP susține că acționează independent, fără nicio ingerință politică, și că întreaga sa
rațiune de stat încă de la înființarea sa din 2005 este de a „asigura un echilibru între dreptul la
protecția datelor cu caracter personal, libertatea de exprimare și dreptul la informație".

#TeleormanLeaks este numele poveștii de presă care descoperă legătura dintre Tel Drum, o
companie de construcții de drumuri cu sediul în județul Teleorman din România, (aflată în prezent
în anchetă pentru fraudă cu fonduri europene, pe baza unei plângeri trimise de Oficiul European
Antifraudă - OLAF (the European Anti Fraud Office) ), și Liviu Dragnea, președintele Partidului
Social Democrat și președintele Camerei Deputaților. Prima parte a anchetei a fost publicată pe 5
noiembrie 2018 de RISE Project, un magazin de jurnalism de investigație din România. De
asemenea, a fost publicată o postare pe Facebook pentru a promova ancheta, în calitate de teaser.

La 8 noiembrie, ANSPDCP a trimis o notificare către RISE Project pentru a pune opt
întrebări cu privire la datele cu caracter personal incluse în materialul postat pe Facebook, inclusiv
„sursele de unde au fost obținute datele personale”. Acest lucru a stârnit ultraj internațional,
Proiectul de raportare a crimei organizate și corupției (OCCRP - the Organized Crime and
Corruption Reporting Project), Comisiei Europene și zeci de jurnaliști și mijloace de comunicare în
masă au reacționat puternic.

Cu o zi înainte de scrisoarea autorității, mass-media română a raportat că una dintre

persoanele cheie implicate în acest scandal, în prezent director comercial al Tel Drum și fost șef al
departamentului financiar din aceeași companie, a depus o cerere „de a fi uitat”. ANSPDCP. Este
important de menționat că, aparent, anunțul ANSPDCP pentru Proiectul RISE nu se bazează pe
această plângere depusă de acest angajat, dar, în timp ce clarificările autorității subliniază, acestea
au emis scrisoarea lor pe baza unei notificări de la o terță parte care nu este direct afectată de caz.

ANSPDCP a considerat că avea dreptul să invoce articolul 57 alineatul (1) litera (f) și 58 (1)
din RGPD și să ceară informații despre sursa informațiilor publicate în postarea de pe Facebook.
Cu toate acestea, în ambele „clarificări” publicate pe site-ul său web, autoritatea nu explică de ce
consideră că situația nu se încadrează în derogările de la articolul 7 din legea 190/2018 (care a
implementat articolul 85 din RGPD) și nici nu împărtășește analiza sa pentru concilierea drepturilor

33
fundamentale în cauză.

În legea nr. 190/2018 care implementează RGPD, România a optat pentru a limita excepțiile
de la articolul 85 la următoarele scenarii alternative în care activitățile de prelucrare a datelor pot fi
realizate în scop jurnalistic (articolul 7):

 dacă este vorba de date cu caracter personal care au fost făcute publice în mod clar
de către persoana vizată;

 dacă datele cu caracter personal sunt strâns conectate la calitatea persoanei vizate ca
persoană publică;

 sau dacă datele personale sunt strâns conectate la caracterul public al actelor în care
este implicat persoana vizată.

Această implementare națională a RGPD este discutabilă, deoarece permite derogări de la

RGPD numai la prelucrarea datelor în scopuri jurnalistice doar într-unul dintre aceste trei scenarii
alternative, care sunt extrem de limitate. Prelucrarea datelor cu caracter personal pentru activitățile
jurnalistice este de obicei mult mai largă decât aceasta. Limitarea derogărilor în scopuri jurnalistice
numai la cele trei opțiuni enumerate nu face obiectul protecțiilor necesare pentru protejarea
libertății de exprimare, nerespectând, în special, libertatea jurnalistică și jurisprudența drepturilor
omului în acest sens. O asemenea abordare nu va conduce la o aplicare uniformă a RGPD la nivel
european.

Din corespondența cu Proiectul RISE, se poate presupune că ANSPDCP a interpretat că nu

este reglementată de articolul 7 din legea 190/2018 și că a considerat că:

 fie postarea de pe Facebook nu a fost scrisă în scop jurnalistic;

 sau că această situație nu este acoperită de una dintre excepțiile înguste din articolul
7.

Speculând mai pe larg, poate ANSPDCP nu a intenționat niciodată să analizeze activitatea

jurnalistică, dar au fost mai degrabă interesați dacă a existat un abuz de bază asupra datelor cu
caracter personal și au căutat să afle cine nu a protejat în mod adecvat datele personale care se află
acum în mâinile jurnalistului.

Că autoritatea de protecție a datelor a căutat să nu aplice excepția de la articolul 7, este în

34
sine discutabilă. Cu toate acestea, chiar dacă au aplicat articolul 7, deficiențele din această excepție
expuse mai sus înseamnă că nu este garantat faptul că nu ar fi existat o protecție adecvată pentru
libertatea de exprimare și sursele jurnalistice.

ApTI împreună cu Privacy International, EDRi și alte 15 ONG-uri în domeniul drepturilor

digitale au trimis o scrisoare către Consiliul European pentru Protecția Datelor, cu ANSPDCP și
Comisia Europeană în copie, solicitând să nu fie utilizat abuziv RGPD pentru a amenința libertatea
mass-media în România.

La nivel național, APTI împreună cu alte 11 organizații locale pentru drepturile omului și
mass-media au trimis o scrisoare deschisă prin care a solicitat ANSPDCP să analizeze cu atenție
cazurile RGPD care ar putea pune în pericol libertatea de exprimare și să solicite instituirea unui
mecanism urgent și transparent atunci când evaluăm revendicările care implică operațiuni de
prelucrare a datelor în scop jurnalistic.

Acest caz demonstrează că este esențial ca autoritățile de protecție a datelor să lucreze la

concilierea drepturilor fundamentale. Legea privind protecția datelor ar trebui utilizată pentru a
proteja drepturile și nu ca un instrument pentru a tăcea sau intimida jurnaliștii și raportarea de
interes public.

3.4 Impactul avut de RGPD asupra măsurilor luate de autoritățile naționale

Autoritățile naționale pot sau trebuie să evalueze amenzile pentru încălcări specifice ale
protecției datelor, în conformitate cu Regulamentul general privind protecția datelor. Amenzile sunt
aplicate pe lângă sau în loc de alte remedii sau puteri corective, cum ar fi ordinul de a pune capăt
unei încălcări, o instrucțiune de ajustare a procesării datelor în conformitate cu RGPD, precum și
puterea de a impune o limitare temporară sau definitivă inclusiv interzicerea procesării datelor.
Pentru dispozițiile referitoare la procesatori, acesta poate fi supus sancțiunilor direct și / sau
împreună cu controlorul.

Amenzile trebuie să fie eficiente, proporționale și disuasive pentru fiecare caz în parte.
Pentru a decide dacă și ce nivel de sancțiune poate fi evaluat, autoritățile au un catalog statutar de
criterii pe care trebuie să le ia în considerare pentru decizia lor. Printre altele, încălcarea
intenționată, nerespectarea măsurilor de atenuare a prejudiciului produs sau lipsa de colaborare cu
autoritățile pot crește sancțiunile. Pentru încălcări deosebit de grave, enumerate la art. 83 (5)
RGPD, cadrul de amendă poate fi de până la 20 de milioane de euro sau, în cazul unei întreprinderi,
35
până la 4% din cifra de afaceri totală din anul fiscal precedent, care este mai mare. Dar chiar și
catalogul încălcărilor mai puțin grave din art. 83 (4) RGPD stabilește amenzi de până la 10
milioane de euro sau, în cazul unei întreprinderi, până la 2% din întreaga cifră de afaceri globală
din anul fiscal precedent, care este mai mare. Este deosebit de important aici faptul că termenul
„întreprindere” este echivalent cu cel utilizat la art. 101 și 102 din Tratatul privind funcționarea
Uniunii Europene (TFUE). Conform jurisprudenței Curții Europene de Justiție, „conceptul de
întreprindere cuprinde orice entitate angajată într-o activitate economică, indiferent de statutul
juridic al entității sau de modul în care este finanțată”. Prin urmare, o întreprindere nu poate fi
constituită doar dintr-o singură companie în sensul unei persoane juridice, ci și din mai multe
persoane fizice sau entități corporative. Astfel, un grup întreg poate fi tratat ca o singură
întreprindere și cifra de afaceri totală la nivel mondial poate fi utilizată pentru a calcula amenda
pentru încălcarea RGPD a uneia dintre companiile sale. În plus, fiecare stat membru stabilește
norme privind alte sancțiuni pentru încălcarea regulamentului care nu sunt deja reglementate de art.
83. Acestea sunt cele mai probabile sancțiuni penale pentru anumite încălcări ale RGPD sau
sancțiuni pentru încălcarea normelor naționale care au fost adoptate pe baza clauzelor de
flexibilitate ale RGPD. Sancțiunile naționale trebuie să fie, de asemenea, eficiente, proporționale și
să acționeze ca un element de descurajare.

O situație pedepsibilă într-o companie poate fi dezvăluită prin activități de inspecție proactive
desfășurate de autoritățile de protecție a datelor, de un angajat nesatisfăcut sau de clienți sau clienți
potențiali care se plâng la autorități, prin intermediul companiei care face o auto-denunțare sau de
către presa din general, în special prin jurnalismul de investigație.

Tracker-ul pentru executare oferă o imagine de ansamblu asupra amenzilor și sancțiunilor

raportate pe care autoritățile de protecție a datelor din UE le-au impus până în prezent.

36