ANSPDCP.REGISTRUL GENERAL.0011708.

03-06-2020
ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

Doamnei Mădălina Prundea

madalina.prundea@gandul.ro

Stimată doamnă,

Vă informăm că solicitarea dumneavoastră a fost înregistrată la registratura generală a

Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal sub nr.
11450 din 02.06.2020.
Având în vedere conţinutul acesteia referitoare la prevederile art. 4 lit. l) din Norma
privind stabilirea măsurilor specifice de prevenire a răspândirii virusului SARS-CoV-2 pentru
activităţile de preparare, servire şi consum al produselor alimentare, băuturilor alcoolice şi
nealcoolice în spaţiile special amenajate din exteriorul clădirilor unităţilor de alimentaţie
publică, aprobată prin Ordinul nr. 966 din 29 mai 2020, respectiv Ordinul nr. 1809/2020 și
Ordinul nr. 105/2020, precizăm următoarele:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter

Personal nu a fost consultată în contextul elaborării dispozițiilor normative mai
sus menționate.
În ceea ce privește calitatea de operator, precizăm că art. 4 pct. 7 din RGPD
definește "operatorul" ca fiind persoana fizică sau juridică, autoritatea publică, agenţia sau
alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de
prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt
stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru
desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.”
De asemenea, art. 4 pct. 2 din RGPD definește "prelucrarea" ca fiind orice
operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra
seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar
fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea,
extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la
dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau
distrugerea”.
Totodată, potrivit art. 4 pct. 6 din RGPD, "sistem de evidenţă a datelor"
înseamnă ”orice set structurat de date cu caracter personal accesibile conform unor
criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale
sau geografice”.
Prin urmare, în măsura în care entitățile în cauză (cum sunt, în speță, unitățile de
alimentație publică) colectează și prelucrează date cu caracter personal, într-un sistem de
evidență, pentru îndeplinirea unui scop stabilit de dreptul intern, respectiva entitate are
calitatea de operator și Regulamentul general privind protecția datelor devine aplicabil.
 ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

În acest context, precizăm că în ceea ce privește sancțiunile ce pot fi acordate în cazul

încălcării normelor de protecție a datelor, potrivit dispozițiilor din Legea nr. 102/2005,
republicată, coroborate cu prevederile art. 83 din RGPD acestea sunt avertismentul și
amenda în cuantum de cel mult 10 mil. de euro sau 20 de mil de euro, în funcţie de
circumstanţele fiecărui caz în parte. De asemenea, Autoritatea de Supraveghere poate
lua și o serie de măsuri corective, prevăzute de art. 58 alin. (2) din RGPD.
Astfel, în măsura în care Regulamentul UE 2016/679 este aplicabil, acesta stabilește
că prelucrarea datelor cu caracter personal se realizează la consimțământul persoanei
vizate sau în condițiile de excepție de la consimțământ, prevăzute de art. 6, art. 9 și art.
10, în funcție de natura datelor și categoriilor de date colectate și prelucrate.
De asemenea, precizăm faptul că art. 5 din RGPD stabilește o serie de principii care
se impun a fi respectate în cadrul prelucrării datelor. Printre acestea, se numără cele privind
prelucrarea datelor în mod legal, echitabil şi transparent faţă de persoana vizată,
prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport
cu scopurile în care sunt prelucrate (principiul reducerii la minimum a datelor, respectiv al
prelucrării datelor strict necesare îndeplinirii scopului), colectarea datelor în scopuri
determinate, explicite şi legitime şi prelucrarea ulterioară într-un mod compatibil cu
aceste scopuri, precum și prelucrarea de date exacte.
În același timp, dispozițiile art. 53 din Constituție stabilesc că exerciţiul unor drepturi
sau al unor libertăţi poate fi restrâns numai prin lege şi numai dacă se impune, printre
altele, pentru apărarea sănătăţii publice, a drepturilor şi a libertăţilor cetăţenilor. De
asemenea, restrângerea poate fi dispusă numai dacă este necesară într-o societate
democratică, iar măsura trebuie să fie proporţională cu situaţia care a determinat-o,
să fie aplicată în mod nediscriminatoriu şi fără a aduce atingere existenţei
dreptului sau a libertăţii.
Prin urmare, raportat și la art. 23 din Regulamentul General privind Protec’ia Datelor,
rezultă că, în măsura în care este necesar a se asigura obiective importante de interes public
general ale unui stat membru, cum ar fi în domeniul sănătăţii publice, dreptul intern care se
aplică operatorului de date poate restricţiona printr-o lege, domeniul de aplicare al obligaţiilor
şi al drepturilor prevăzute de Regulamentul (UE) 2016/679.
Prin Legea nr. 55 din 15 mai 2020 privind unele măsuri pentru prevenirea şi
combaterea efectelor pandemiei de COVID-19 s-au instituit, pe durata stării de alertă
declarate în condiţiile legii, măsuri temporare şi, după caz, graduale, în scopul protejării
drepturilor la viaţă, la integritate fizică şi la ocrotirea sănătăţii, inclusiv prin restrângerea
exerciţiului altor drepturi şi libertăţi fundamentale. Cu toate acestea, această lege nu
conține prevederi privind prelucrarea datelor cu caracter personal.
Potrivit Hotărârii Guvernului nr. 394 din 18 mai 2020 privind declararea stării
de alertă şi măsurile care se aplică pe durata acesteia pentru prevenirea şi
combaterea efectelor pandemiei de COVID-19, cu modificările și completările
ulterioare, au fost aprobate o serie de măsuri de prevenire şi control al infecţiilor, condiţiile
concrete de aplicare şi destinatarii acestor măsuri, precum şi instituţiile şi autorităţile publice
care pun în aplicare sau urmăresc respectarea aplicării măsurilor pe durata stării de alertă,
fără însă a conține prevederi referitoare la prelucrarea datelor cu caracter
personal.
 ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

Prin art. 6 pct. 3 din Anexa nr. 3 la hotărârea de mai sus, respectiv ”Măsurile pentru
diminuarea impactului tipului de risc”, se instituie următoarea obligație
”Prepararea, comercializarea şi consumul produselor alimentare şi băuturilor alcoolice şi
nealcoolice sunt permise în spaţiile special destinate dispuse în exteriorul clădirilor, în aer
liber, cu asigurarea unei distanţe de minimum 2 m între mese şi participarea a maximum 4
persoane la o masă, dacă sunt din familii diferite, şi cu respectarea măsurilor de protecţie
sanitară stabilite prin ordin comun al ministrului sănătăţii, ministrului economiei, energiei şi
mediului de afaceri şi al preşedintelui Autorităţii Naţionale Sanitare Veterinare şi pentru
Siguranţa Alimentelor, emis în temeiul art. 71 alin. (2) din Legea nr. 55/2020.”

Prin Ordinul nr. 1809 din 29 mai 2020 s-a aprobat Norma privind stabilirea
măsurilor specifice de prevenire a răspândirii virusului SARS-CoV-2 pentru
activităţile de preparare, servire şi consum al produselor alimentare, băuturilor
alcoolice şi nealcoolice în spaţiile special amenajate din exteriorul clădirilor
unităţilor de alimentaţie publică.
Potrivit art. 4 alin. (1) lit. l) din Normă, printre măsurile pe care trebuie să le adopte
operatorii economici din sectorul alimentaţiei publice, înainte de reluarea activităţilor de
preparare, servire şi consum al produselor alimentare, băuturilor alcoolice şi nealcoolice în
spaţiile special amenajate din exteriorul clădirilor unităţilor de alimentaţie publică se numără
și ”existenţa unui registru de evidenţă a rezervărilor clienţilor, astfel încât, în
cazul apariţiei unui caz de îmbolnăvire cu virusul SARS-CoV-2 în rândul clienţilor
unităţii de alimentaţie, să existe date concrete pe baza cărora să poată fi
efectuată ancheta epidemiologică”.

Cu toate acestea, sub aspectul legitimității colectării și prelucrării datelor

personale de către unele entități, precum operatorii economici de tipul cafenelelor,
restaurentelor, etc., subliniem faptul că în jurisprudența sa, Curtea Constituțională
(Decizia nr.461/2014) a statuat următoarele:
”41. În prezent, persoanele juridice care pun la dispoziția publicului puncte de acces la
internet sunt persoane juridice private, în special în spații comerciale și de agrement,
cafenele, restaurante, hoteluri, aeroporturi etc., sau persoane juridice de drept public —
instituții publice care oferă cetățenilor accesul direct și rapid la informații de interes public
(inclusiv cele distribuite pe paginile de internet proprii), precum primării, instituții de
învățământ, biblioteci publice, clinici medicale, teatre etc. Instituirea în sarcina acestor
persoane a obligației de a reține și de a stoca date cu caracter personal impune, în
mod corelativ, reglementarea expresă a unor măsuri adecvate, ferme și
neechivoce, de natură să asigure încrederea cetățenilor că datele cu vădit
caracter personal pe care le pun la dispoziție sunt înregistrate și păstrate în
condiții de confidențialitate. Sub acest aspect, legea se limitează la a institui măsurile de
reținere și stocare a datelor, fără a modifica sau completa dispozițiile legale cu privire la
garanțiile pe care statul trebuie să le asigure în exercitarea drepturilor fundamentale ale
cetățenilor. Or, cadrul normativ într-un domeniu atât de sensibil trebuie să se
realizeze într-o manieră clară, previzibilă și lipsită de confuzie, astfel încât să fie
îndepărtată, pe cât posibil, eventualitatea arbitrariului sau a abuzului celor
chemați să aplice dispozițiile legale.
 ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

43. Reținerea și păstrarea datelor constituie în mod evident o limitare a

dreptului la protecția datelor cu caracter personal, respectiv a drepturilor
fundamentale protejate constituțional referitoare la viață intimă, familială și
privată, la secretul corespondenței, precum și libertatea de exprimare. O astfel de
limitare poate opera însă în conformitate cu dispozițiile art.53 din Constituție, care
prevăd posibilitatea restrângerii exercițiului unor drepturi sau al unor libertăți numai prin
lege și numai dacă se impune, după caz, pentru apărarea securității naționale, a ordinii, a
sănătății ori a moralei publice, a drepturilor și a libertăților cetățenilor, pentru desfășurarea
instrucției penale, prevenirea consecințelor unei calamități naturale, ale unui dezastru ori ale
unui sinistru deosebit de grav. Măsura restrângerii poate fi dispusă numai dacă este
necesară într-o societate democratică, trebuie să fie proporțională cu situația
care a determinat-o, să fie aplicată în mod nediscriminatoriu și fără a aduce
atingere existenței dreptului sau a libertății.”

În ceea ce privește stabilirea prelucrării de date printr-un act administrativ cu

caracter normativ (hotărâre de Guvern, ordin de ministru), și nu printr-o lege, precizăm
faptul că în jurisprudența sa (Decizia nr. 498/2018), Curtea Constituțională a statuat
următoarele:
” 50. Se observă că garanţii pentru asigurarea dreptului constituţional
prevăzut de art. 26 sunt cuprinse într-o hotărâre a Guvernului, însă o asemenea
manieră de reglementare este total neadecvată, fragilizând, în mod nepermis,
protecţia constituţională a vieţii intime, familiale şi private. Practic, autoritatea
administrativă poate oricând modifica standardele de garanţii asociate acestui
drept, prin emiterea unor acte administrative normative, cetăţeanul/pacientul fiind astfel la
bunul plac al autorităţii administrative. Or, o protecţie adecvată a acestui drept este
cea stabilită printr-o lege, ceea ce nu este cazul în speţa de faţă. În consecinţă,
textele criticate încalcă art. 26 din Constituţie.
52. Prin urmare, revine legiuitorului obligaţia de a reglementa garanţiile
asociate dreptului la viaţă intimă, familială şi privată. Această obligaţie trebuie să
se materializeze prin lege, în sens de instrumentum.”

Având în vedere exigența stabilită de Curtea Constituțională în jurisprudența sa în

sensul că reținerea și păstrarea datelor personale se realizează prin lege, faptul că norma
trebuie să fie clară, raportat la necesitatea respectării principiilor de protecție a datelor (în
special principiile proporționalității, legalității și necesității), considerăm că prevederile art. 4
alin. (1) lit. l) din Norma privind stabilirea măsurilor specifice de prevenire a
răspândirii virusului SARS-CoV-2 pentru activităţile de preparare, servire şi
consum al produselor alimentare, băuturilor alcoolice şi nealcoolice în spaţiile
special amenajate din exteriorul clădirilor unităţilor de alimentaţie publică,
aprobată prin Ordinul nr. 966 din 29 mai 2020, respectiv Ordinul nr. 1809/2020 și
Ordinul nr. 105/2020, afectează dreptul la viață privată și la protecția datelor
personale.
În consecință, Autoritatea de Supraveghere a solicitat Ministerului
Sănătății, Ministerului Economiei, Energiei și Mediului de Afaceri și Autorității
Naționale Sanitare Veterinare și pentru Siguranța Alimentelor eliminarea art. 4
 ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

alin. (1) lit. l) din Norma privind stabilirea măsurilor specifice de prevenire a
răspândirii virusului SARS-CoV-2 pentru activităţile de preparare, servire şi
consum al produselor alimentare, băuturilor alcoolice şi nealcoolice în spaţiile
special amenajate din exteriorul clădirilor unităţilor de alimentaţie publică,
aprobată prin Ordinul nr. 966 din 29 mai 2020, respectiv Ordinul nr. 1809/2020 și
Ordinul nr. 105/2020.

Alina SĂVOIU,

Director Direcția juridică și comunicare