Irina ALEXE

Particularităţile procedurii de efectuare a

DOCTRINĂ

investigaţiilor ce vizează protecţia datelor

dr. Irina ALEXE*

ABSTRACT

The application, for almost a year, of Regulation (EU) 2016/679, the General
Regulation on data protection or the GDPR, led to the highlighting of the
particularities that the European legislator drew up, and the national emphasized
them, for the different entities investigated, controllers or processors. We underline,
within the article, the way of regulating, in national law, the procedure for carrying
out investigations by the national supervisory authority and its particularities,
related to the juridical regime of the controlled entity. In this context, exemplifying
by the procedure of carrying out investigations in the field of financial services
and analysing the quality of public body of the Financial Supervisory Authority,
respectively of the private body of other entities in the field, we emphasize that,
for similar violations, the applicable procedure is different and, consequently, the
way of attracting operators’ liability may be different.

Keywords: Regulation (EU) 2016/679, protection of personal data, the national

supervisory authority, the procedure for carrying out investigations, the field of
financial services, the Financial Supervisory Authority, controller responsibility.

REZUMAT

Aplicarea, timp de aproape un an, a Regulamentului (UE) nr. 2016/679

(Regulamentul general privind protecţia datelor sau GDPR), a condus la
evidenţierea particularităţilor pe care legiuitorul european le-a creionat, iar cel
naţional le-a accentuat, pentru diversele entităţi investigate, operatori sau persoane
împuternicite. Subliniem, în cadrul articolului, modalitatea de reglementare, în
dreptul naţional, a procedurii de efectuare a investigaţiilor de către autoritatea
naţională de supraveghere și particularităţile acesteia, raportate la regimul
juridic al entităţii controlate. În acest context, exemplificând prin procedura de

*
Irina Alexe este doctor în drept al Universităţii din București și cercetător știinţific asociat la Institutul de Cercetări
Juridice „Acad. Andrei Rădulescu” al Academiei Române. Articolul a fost pregătit pentru Conferinţa Europeană a Serviciilor
Financiare – ECFS 2019, organizată la Brașov în perioada 21 – 22 martie 2019, de Institutul de Studii Financiare din
București, Asociaţia „Centrul de Arbitraj și Mediere în Asigurări” (ACAMA) din București și Societatea Română de
Cercetare pentru Afaceri Publice și Private (SOROCAPP) din Târgu Mureș. Informaţiile cuprinse în text sunt actualizate
la 9 septembrie 2019, care este și ultima dată când au fost consultate site-urile menţionate în cuprinsul articolului.

62 | PANDECTELE ROMÂNE NR. 4/2019 | DOCTRINĂ

 Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor

efectuare a investigaţiilor în domeniul financiar și analizând calitatea de organism

public a Autorităţii de Supraveghere Financiară, respectiv de organism privat a
altor entităţi din domeniu, subliniem faptul că, pentru încălcări asemănătoare,
procedura aplicabilă este diferită și, pe cale de consecinţă, modalitatea de atragere
a răspunderii operatorilor poate fi diferită.

Cuvinte-cheie: Regulamentul (UE) 2016/679 protecţia datelor cu caracter

personal, autoritatea naţională de supraveghere, procedura de efectuare a
investigaţiilor, domeniul serviciilor financiare, Autoritatea de Supraveghere
Financiară, răspunderea operatorului.

Legislaţie relevantă: Regulamentul (UE) nr. 2016/679, Legea nr. 102/2005,

Legea nr. 190/2018, Legea nr. 506/2004

Noţiuni prealabile referitoare la cadrul normativ aplicabil

domeniului
Este deja de notorietate faptul că reforma protecţiei datelor personale la nivelul Uniunii Europene
a implicat adoptarea, în anul 2016, a unui regulament general[1], denumit în continuare GDPR
sau regulamentul, prin care vechea directivă[2] ce reglementa domeniul protecţiei datelor a fost
abrogată. Acest proces de reformă este unul continuu, deoarece conţine mai multe excepţii de
la aplicarea sa, domeniile respective de protecţie a datelor fiind sau urmând să fie reglementate
pe parcurs, pe baza principiilor pe care GDPR le-a instituit[3]. Cu toate acestea, reforma este
consistentă, iar odată cu regulamentul, în același Jurnal Oficial al Uniunii Europene au fost
publicate și două noi directive, care își găsesc temeiul expres în textul regulamentului[4] sau, după
caz, un temei implicit în preambulul acestuia[5], și care vin să completeze aria de reglementare a
[1]
Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a
Directivei nr. 95/46/CE (Regulamentul general privind protecţia datelor) a fost publicat în JO L 119, 4 mai 2016, p. 1-88,
iar textul a fost rectificat ulterior, înainte de punerea sa în aplicare, rectificarea fiind publicată în JO L 127, 23 mai 2018.
[2]
Directiva nr. 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecţia persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulaţie a acestor date, JO L 281, 23 noiembrie
1995, p. 31, Ediţie specială, 13/vol. 17, p. 10.
[3]
Pentru detalii a se vedea: I. Alexe, C.-M. Banu, De la directivă la regulament în reglementarea protecţiei datelor cu
caracter personal la nivelul Uniunii Europene, în volumul I. Alexe, N.-D. Ploeşteanu, D.-M. Şandru (coordonatori), Protecţia
datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor
românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 14-40; D.-M. Șandru,
Protecţia datelor personale: surse legislative, jurisprudenţiale și soft law, în Pandectele române nr. 2/2018, p. 80-90.
[4]
Directiva (UE) nr. 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecţia persoanelor
fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării,
investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date și
de abrogare a Deciziei-cadru nr. 2008/977/JAI a Consiliului, JO L 119, 4 mai 2016, p. 89-131. Directiva (UE) nr. 2016/680
a fost transpusă în România prin Legea nr. 363/2018 privind protecţia persoanelor fizice relativ la prelucrarea datelor
cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și
combaterii infracţiunilor sau al executării pedepselor, măsurilor educative și de siguranţă, precum și libera circulaţie a
acestor date, M. Of. nr. 13 din 7 ianuarie 2019.
[5]
Directiva (UE) nr. 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din
registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracţiunilor

DOCTRINĂ | PANDECTELE ROMÂNE NR. 4/2019 | 63

 Irina ALEXE

domeniului protecţiei datelor. Statele membre au avut la dispoziţie un interval de doi ani pentru
a pregăti punerea în aplicare a GDPR, respectiv pentru a transpune directivele, iar România a
DOCTRINĂ

comunicat, în afara termenului, dar într-un termen rezonabil, Comisiei Europene, îndeplinirea
acestor obligaţii.

De asemenea, fiind un regulament general, direct aplicabil în toate statele membre, și având
în vedere faptul că el vizează operatori și persoane împuternicite atât din sectorul public cât
și din cel privat, cu caracteristici, obiect de activitate și domenii distincte, GDPR nu a putut să
reglementeze, în detaliu, norme și proceduri aplicabile tuturor, astfel încât a lăsat la latitudinea
statelor membre sau a impus acestora, în unele situaţii, ca prin dreptul intern să reglementeze
mai multe aspecte, mai ales în ceea ce privește particularităţile pentru aplicarea regimului
sancţionator instituit[6], luând întotdeauna în considerare principiile de reglementare potrivit
cărora sancţiunile să fie eficace, proporţionale și disuasive și asigurând garanţiile prevăzute de
regulament pentru persoana fizică, cunoscută ca persoană vizată.

GDPR a reglementat în mod detaliat atât instituirea și organizarea, cât și competenţele

autorităţilor publice independente denumite autorităţi de supraveghere, care au rolul de a
asigura monitorizarea aplicării regulamentului, „în vederea protejării drepturilor și libertăţilor
fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei
circulaţii a datelor cu caracter personal în cadrul Uniunii”[7], precum și pe acela de a contribui la
aplicarea coerentă a regulamentului în Uniunea Europeană, instituind și mecanismele prin care
aceasta se poate realiza[8].

Competenţele autorităţilor naţionale de supraveghere, în integralitatea lor, nu fac obiectul

studiului nostru, dar ne vom opri atenţia, analizând particularităţile procedurii de investigare,
la două dintre categoriile de competenţe prevăzute de art. 58 din regulament, și anume
competenţele de investigare și competenţele corective, iar pentru a completa tabloul procedural
vom analiza inclusiv aspecte ce privesc dreptul persoanei vizate de a depune plângere la
autoritatea de supraveghere, precum și modalitatea de reglementare, în dreptul intern român,
a principiilor și normelor de aplicare a măsurilor corective de natura amenzilor administrative,
autorităţilor publice și organismelor publice, prevăzute în special de art. 83 și art. 84 din
regulament, cu luarea în considerare și a normelor particularizatoare, specifice dreptului român.

A fost nevoie însă și de adaptarea legislaţiei statelor membre la noile reglementări instituite
prin regulament, pentru ca autorităţile de supraveghere să poată îndeplini aceste roluri și să

de terorism și a infracţiunilor grave, JO L 119, 4 mai 2016, p. 132-149. Directiva (UE) nr. 2016/681 a fost transpusă în
România prin Legea nr. 363/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian
pentru prevenirea, depistarea, investigarea și urmărirea penală a infracţiunilor de terorism și a infracţiunilor grave, precum
și pentru prevenirea și înlăturarea ameninţărilor la adresa securităţii naţionale, M. Of. nr. 1013 din 29 noiembrie 2018.
[6]
Referitor la particularităţile regimului sancţionator a se vedea I. Alexe, Regimul sancţionator prevăzut de Regulamentul
(UE) nr. 2016/679 privind protecţia datelor cu caracter personal, în revista Curierul Judiciar nr. 1/2018, p. 36-42; în același
sens, referitor la aplicarea acestui regim sancţionator în România a se vedea I. Alexe, D.-M. Șandru, Reglementări naţionale
ce vizează aplicarea, în România, a Regulamentului General privind protecţia datelor, în volumul I. Alexe, D.-M. Şandru
(editori), Legislaţia privind protecţia datelor în România, Ed. Rosetti International, București, 2018, p. 7-25.
[7]
Art. 51 alin. (1) din Regulamentul (UE) nr. 2016/679.
[8]
Pentru detalii, a se vedea I. Alexe, Reforma instituţională, în materia protecţiei datelor, la nivel european, în volumul
A. Săvescu (coordonator), Regulamentul general privind protecţia datelor. Comentarii și explicaţii, Ed. Hamangiu, București,
2018, p. 1-11.

64 | PANDECTELE ROMÂNE NR. 4/2019 | DOCTRINĂ

 Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor

își exercite competenţele. În cazul României[9], în anul 2018 au fost adoptate două legi, una
prin care actul normativ ce reglementa înfiinţarea, organizarea și funcţionarea autorităţii de
supraveghere a fost modificat și completat în mod corespunzător[10] și alta prin care, așa cum și
titlul său prevede, au fost puse în aplicare diverse dispoziţii ale regulamentului[11], precum și trei
decizii ale președintelui autorităţii naţionale de supraveghere, toate trei fiind incidente analizei
noastre întrucât vizează notificarea de încălcare a securităţii datelor cu caracter personal pentru
organizaţii[12], aspect important inclusiv pentru individualizarea unei măsuri corective, procedura
de soluţionare a plângerilor[13] și, respectiv, procedura de efectuare a investigaţiilor[14].

Regimul juridic al entităţii controlate, premisă pentru aplicarea

diferenţiată a unor măsuri corective
În mai multe studii anterioare am evidenţiat atât modul de aplicare în legislaţia română a
dispoziţiilor art. 83 și art. 84 din regulament, cât și caracteristicile aplicării regimului sancţionator
pe care GDPR l-a instituit[15]. Dintre toate acestea, relevante pentru analiza noastră prezentă
sunt dispoziţiile art. 83 alin. (7) din regulament, în conformitate cu care, „fără a aduce
atingere competenţelor corective ale autorităţilor de supraveghere (...) fiecare stat membru
poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi
administrative autorităţilor publice și organismelor publice stabilite în statul membru respectiv”.

Din interpretarea textelor GDPR rezultă fără dubiu că pentru entităţile din sectorul privat sunt
aplicabile în mod direct dispoziţiile regulamentului [atât în ceea ce privește competenţa corectivă
a autorităţii de supraveghere, prevăzută în textul art. 58 alin. (2) lit. i), „de a impune amenzi
administrative în conformitate cu art. 83, în completarea sau în locul măsurilor menţionate la

[9]
Referitor la aplicarea GDPR în România a se vedea: I. Alexe, D.-M. Șandru, Reglementări naţionale ... op. cit., p. 7-25;
D.-M. Șandru, I. Alexe, Punerea în aplicare a Regulamentului General privind Protecţia Datelor 2016/679. Experienţe
din România în volumul D.-M. Șandru, I. Alexe (editori), Legislaţia Uniunii Europene privind protecţia datelor personale,
Ed. Universitară, 2018, p. 7-24.
[10]
Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înfiinţarea, organizarea și funcţionarea
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii
nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulaţie a
acestor date, M. Of. nr. 503 din 19 iunie 2018. Legea nr. 102/2005 a fost republicată în M. Of. nr. 947 din 9 noiembrie
2018, dându-se textelor o nouă numerotare. Referirile și trimiterile din prezentul material sunt făcute la textul republicat.
[11]
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) nr. 2016/679 al Parlamentului European
și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulaţie a acestor date și de abrogare a Directivei nr. 95/46/EC (Regulamentul general privind
protecţia datelor), M. Of. nr. 651 din 26 iulie 2018.
[12]
Decizia nr. 128/2018 a președintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal
privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate
cu Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și
de abrogare a Directivei nr. 95/46/EC (Regulamentul general privind protecţia datelor), M. Of. nr. 557 din 3 iulie 2018.
[13]
Decizia nr. 133/2018 a președintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal
privind aprobarea Procedurii de primire și soluţionare a plângerilor, M. Of. nr. 600 din 13 iulie 2018.
[14]
Decizia nr. 161/2018 a președintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal
privind aprobarea Procedurii de efectuare a investigaţiilor, M. Of. nr. 892 din 23 octombrie 2018.
[15]
A se vedea, de exemplu: I. Alexe, D.-M. Șandru, Reglementări naţionale ..., op. cit.; I. Alexe, Regimul sancţionator ...,
op. cit., p. 36-42.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 4/2019 | 65

 Irina ALEXE

prezentul alineat, în funcţie de circumstanţele fiecărui caz în parte”, cât și în ceea ce privește
amenzile administrative și, respectiv, limitele acestora, pentru încălcările dispoziţiilor GDPR,
DOCTRINĂ

pe care art. 83 le prevede în mod expres], în timp ce pentru entităţile din sectorul public sunt
aplicabile acele norme pe care statele membre pot decide să le introducă sau nu în dreptul lor
intern.

Subliniem că regulamentul lasă la latitudinea statelor membre nu numai dacă doresc să

reglementeze o astfel de răspundere pentru entităţile din sectorul public, ci și, mai ales,
măsura în care acestea pot să răspundă, printr-o amendă administrativă, pentru încălcările
regulamentului. Nu trebuie însă să pierdem din vedere faptul că măsura corectivă de a impune
amenzi administrative poate fi aplicată în locul sau în completarea unei alte măsuri corective și
vom detalia importanţa acestui aspect în secţiunea următoare a studiului nostru.

Pentru punerea în aplicare a acestor dispoziţii, prin legislaţia naţională privind organizarea
și funcţionarea autorităţii de supraveghere[16], denumită în continuare și ANSPDCP, au fost
stabilite mai multe aspecte referitoare la (1) regulile generale pentru desfășurarea investigaţiilor,
(2) abilitarea președintelui autorităţii de supraveghere pentru ca, prin decizie, să stabilească
procedura de efectuare a acestora, (3) faptul că, în activitatea de control, autoritatea de
supraveghere poate dispune aplicarea măsurilor corective prevăzute regulament, inclusiv a
sancţiunilor contravenţionale, (4) sancţiunile contravenţionale principale fiind avertismentul și
amenda (a cărei aplicare se face în condiţiile art. 83 din regulament), precum și (5) un termen
de prescripţie de 3 ani de la data săvârșirii faptei, care poate fi prelungit până la cel mult 4 ani
în total, în cazul întreruperii acestuia în condiţiile legii[17] și care produce efecte faţă de toţi
participanţii la săvârșirea respectivei încălcări. Rezultă de aici că echivalentul naţional al amenzilor
administrative din regulament sunt sancţiunile contravenţionale.

De asemenea, același act normativ reglementează și activitatea de soluţionare, de către

autoritatea de supraveghere, a plângerilor adresate de persoana vizată în exercitarea drepturilor
sale, prevăzute de regulament și îl abilitează pe președintele autorităţii să reglementeze, prin
decizie, procedura de soluţionare a acestor plângeri.

Sunt importante aceste menţiuni pentru a observa că cele două categorii de competenţe
prevăzute de art. 58 alin. (1) și (2) din regulament, competenţele de investigare și competenţele
corective, sunt reglementate în dreptul intern într-o secţiune privind exercitarea atribuţiilor de
control și de soluţionare a plângerilor, structurată în două părţi: activitatea de control, respectiv
activitatea de soluţionare a plângerilor. Vom observa, pe parcursul analizei, faptul că activitatea
de control, ce presupune realizarea unor investigaţii și se poate finaliza cu aplicarea unor măsuri
corective, inclusiv cu aplicarea unei sancţiuni contravenţionale, poate fi realizată și ca urmare a
unei plângeri depusă de persoana vizată sau de persoana mandatată de aceasta[18], la autoritatea
de supraveghere, pentru soluţionarea plângerii.
[16]
Pentru detalii a se vedea Legea nr. 102/2005, republicată, în special art. 14-19, pentru activitatea de control, și,
respectiv, art. 20-21, pentru activitatea de soluţionare a plângerilor.
[17]
Pentru analiza aprofundată a cauzelor de întrerupere a prescripţiei și a efectelor acestora a se vedea M. Nicolae, Tratat
de prescripţie extinctivă, Ed. Universul Juridic, București, 2010, p. 1181-1188.
[18]
Observăm că România a ales să reglementeze în dreptul intern, prin legile de punere în aplicare a GDPR, doar o ipoteză
din cele prevăzute de art. 80 din regulament și anume dreptul persoanei vizate de a mandata un organism dintre cele
enumerate de art. 80 alin. (1) să exercite în numele său dreptul menţionat la art. 77 – Dreptul de a depune o plângere
la o autoritate de supraveghere. Pentru detalii a se vedea și I. Alexe, D.-M. Șandru, Reglementări naţionale ce vizează

66 | PANDECTELE ROMÂNE NR. 4/2019 | DOCTRINĂ

 Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor

De asemenea, prin legea de punerea în aplicare a GDPR[19], au fost definite, în sensul legii
române, autorităţile și organismele publice, au fost reluate și completate dispoziţiile generale
privind măsurile corective și sancţiunile aplicabile tuturor organizaţiilor, indiferent de sectorul
de activitate, dar au fost instituite și norme speciale privind aplicarea măsurilor corective
autorităţilor și organismelor publice, respectiv, privind constatarea contravenţiilor și aplicarea de
sancţiuni autorităţilor și organismelor publice. Este important să subliniem că, în cazul acestora,
legislaţia este mult mai permisivă în situaţia constatării încălcării regulamentului, nu doar prin
faptul că impune personalului de control întocmirea unui plan de remediere, într-un anumit
termen, dar lasă și posibilitatea, neinstituind obligativitatea reluării controlului, pentru verificarea
îndeplinirii sau neîndeplinirii măsurilor cuprinse în planul de remediere. Menţionăm și faptul că
legea naţională stabilește limita minimă pentru amenzile contravenţionale aplicabile autorităţilor
și organismelor publice la 10.000 lei, iar limitele maxime la 100.000, respectiv la 200.000 lei,
în timp ce, potrivit regulamentului, pentru operatorii din sectorul privat, limita maximă a fost
stabilită la 20.000.000 euro sau 4% din cifra de afaceri mondială totală anuală corespunzătoare
exerciţiului financiar anterior.

Acest tratament diferenţiat și disproporţionat la o primă vedere, faţă de cel aplicabil entităţilor
din sectorul privat, are totuși o corespondenţă cu cel instituit prin legea de transpunere,
aplicabil autorităţilor și organismelor publice ale căror activităţi nu intră în sfera de aplicare
a GDPR ci, ca excepţie de la acesta, intră în sfera de aplicare a Directivei (UE) nr. 680/2016[20].
Un regim contravenţional aparent și mai favorabil este stabilit prin legea de transpunere pentru
transportatorii aerieni ale căror activităţi intră sub imperiul Directivei (UE) nr. 681/2016[21], însă
în cazul acestora trebuie să luăm în considerare și că faptele respective pot să atragă răspunderea
contravenţională dacă nu sunt săvârșite în astfel de condiţii încât să constituie infracţiuni. În mod
asemănător a fost reglementat și regimul sancţionator aplicabil pentru încălcările legislaţiei
referitoare la privind asigurarea unui nivel comun ridicat de securitate a reţelelor și sistemelor
informatice[22], prin care Directiva NIS[23] a fost transpusă în legislaţia din România.

Particularităţile procedurii de efectuare a investigaţiilor și exemple

din domeniul serviciilor financiare
Procedura de efectuare a investigaţiilor se întemeiază nu doar pe dispoziţiile regulamentului,
ale Legii nr. 102/2005 și ale Legii nr. 190/2018, acte normative menţionate anterior, ci și pe
dispoziţiile Legii nr. 506/2004[24], ce stabilește condiţiile specifice de garantare a dreptului la
aplicarea, în România, a Regulamentului general privind protecţia datelor, în Revista societăţilor și a dreptului comercial
nr. 3/2018, p. 77-78.
[19]
Legea nr. 190/2018, în special art. 2 și art. 12-15. Pentru analiza detaliată a acestora a se vedea I. Alexe, D.-M. Șandru,
Reglementări naţionale ..., op. cit.
[20]
Pentru detalii a se vedea dispoziţiile art. 61-63 din Legea nr. 363/2019.
[21]
Pentru detalii a se vedea dispoziţiile art. 42 din Legea nr. 284/2018.
[22]
Pentru detalii a se vedea în special dispoziţiile art. 37-42 din Legea nr. 362/2018 privind asigurarea unui nivel comun
ridicat de securitate a reţelelor și sistemelor informatice, M. Of. nr. 21din 9 ianuarie 2019.
[23]
Directiva (UE) nr. 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel
comun ridicat de securitate a reţelelor și a sistemelor informatice în Uniune, JO L 194, 19 iulie 2016.
[24]
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecţia vieţii private în sectorul comunicaţiilor
electronice, cu modificările și completările ulterioare.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 4/2019 | 67

 Irina ALEXE

protecţia vieţii private în privinţa prelucrării datelor cu caracter personal în sectorul comunicaţiilor
electronice. Este important să menţionăm că, potrivit dispoziţiilor art. 1-2 și art. 6, în exercitarea
DOCTRINĂ

atribuţiilor de control prevăzute de actele normative menţionate anterior, investigaţiile sunt

desfășurate din oficiu sau la plângere.

Cazurile de efectuare a investigaţiilor din oficiu sunt prevăzute de art. 3 al procedurii, dar ne atrag
atenţia cazurile prevăzute de lit. d) „ca urmare a transmiterii notificărilor de încălcare a securităţii
datelor cu caracter personal” și lit. e) „pentru verificarea unor date și informaţii cu privire la
prelucrarea datelor cu caracter personal obţinute de către ANSPDCP din alte surse decât cele
care fac obiectul unei plângeri, inclusiv pe baza sesizărilor sau a informaţiilor primite de la o altă
autoritate de supraveghere sau de la o altă autoritate publică”.

Am reţinut aceste două cazuri de sesizare din oficiu, dintre cele șase reglementate, deoarece
este foarte important, când, cum și cine notifică autoritatea de supraveghere despre încălcarea
securităţii datelor, fiind cunoscut faptul că, în conformitate cu dispoziţiile art. 83 alin. (2) din
regulament, aceste informaţii, precum și conduita operatorului, respectiv modul de cooperare cu
autoritatea de supraveghere sunt aspecte luate în calcul atunci când este individualizată măsura
corectivă. De altfel, cooperarea cu autoritatea de supraveghere la cerere, pentru îndeplinirea
sarcinilor acesteia, este prevăzută în mod expres ca obligaţie a operatorului și a persoanei
împuternicită de acesta, în textul art. 31 din regulament.

În opinia noastră, sesizarea din oficiu a autorităţii de supraveghere atunci când dorește să verifice
unele date și informaţii cu privire la prelucrarea datelor cu caracter personal, obţinute de către
ANSPDCP din alte surse decât cele care fac obiectul unor plângeri, poate fi, în fapt, tot o sesizare,
la plângerea unei alte persoane fizice sau juridice în afară de persoana vizată. De asemenea,
considerăm important de știut că, din datele publice existente, cel mai probabil ANSPDCP nu are
capacitatea administrativă de a efectua investigaţii din oficiu la cea mai mare parte a operatorilor
și este de evitat, mai ales într-un mediu concurenţial, în care buna reputaţie este esenţială, ca
aceasta să fie sesizată prin diverse alte surse sau să îi fie furnizate informaţii despre nerespectarea
dispoziţiilor regulamentului, de către un operator concurent sau chiar de către foștii colaboratori
ori asociaţi ai entităţii investigate[25].

Investigaţiilor desfășurate pentru soluţionarea plângerilor le este aplicabilă tot procedura de

investigare, dar pentru analizarea și soluţionare plângerilor este aplicabilă procedura specifică[26].
De altfel și art. 14 din Procedura de primire și soluţionare a plângerilor prevede că „investigaţiile
pentru soluţionarea plângerilor se desfășoară în conformitate cu procedura de efectuare
a investigaţiilor”[27]. Am amintit anterior faptul că persoana vizată poate depune plângere la
autoritatea de supraveghere, exercitându-și drepturile prevăzute de regulament și precizam cu
alte prilejuri cât de important este rolul unui responsabil cu protecţia datelor care să poată, pe
de o parte, să convingă organizaţia care l-a desemnat, despre necesitatea respectării drepturilor
persoanei vizate și a conformării activităţii cu dispoziţiile GDPR, să își asume și să își exercite

[25]
Un exemplu în acest sens îl constituie modul de sesizare a ANSPDCP în investigaţia care a condus la aplicarea în
România a celei de-a treia amenzi pentru nerespectarea dispoziţiilor GDPR. Pentru detalii, a se vedea comunicatul
ANSPDCP din 12 iulie 2019, disponibil la adresa electronică: https://www.dataprotection.ro/?page=2019%20A%20
treia%20amenda%20in%20aplicarea%20RGPD&lang=ro
[26]
Procedura de primire și soluţionare a plângerilor, aprobată prin Decizia nr. 33/2018 a președintelui ANSPDCP.
[27]
Procedura de efectuare a investigaţiilor, aprobată prin Decizia nr. 161/2018 a președintelui ANSPDCP.

68 | PANDECTELE ROMÂNE NR. 4/2019 | DOCTRINĂ

 Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor

cu bună credinţă rolul de punct de contact în legătură cu autoritatea de supraveghere dar și

în legătură cu persoana vizată, precum și pe cel de mediator între aceste subiecte ale GDPR[28].

Este important rolul DPO în cadrul organizaţiei și în legătură cu autoritatea de supraveghere și

prin prisma faptului că aceste investigaţii pot să fie desfășurate cu sau fără anunţarea prealabilă
a entităţii controlate, dar și a faptului că investigaţiile pot să fie desfășurate în scris, pe teren
sau la sediul autorităţii de supraveghere, modalitatea de desfășurare fiind stabilită în scris de cel
care dispune investigaţia. Considerăm că dacă ANSPDCP colaborează bine instituţional cu un
DPO pregătit, recunoscut pentru îndeplinirea sarcinilor profesionale și are experienţe favorabile
din colaborările anterioare, mai ales în cazul entităţilor din sectorul public, unde obligaţia de
colaborare instituţională există și potrivit dreptului comun, în funcţie de natura, gravitatea
încălcării, numărul persoanelor vizate afectate și eventualele prejudicii, este mai probabil ca
investigaţiile să fie desfășurate în scris, pe baza informaţiilor furnizate inclusiv de responsabilul
cu protecţia datelor. Subliniem în context și dispoziţiile art. 15 din procedură, în conformitate cu
care „ANSPDCP poate amâna sau suspenda efectuarea investigaţiei, inclusiv la solicitarea entităţii
controlate, pentru motive temeinice”. Întrucât aceste motive temeinice nu sunt definite, este
lăsată această interpretare la atitudine celui care are competenţa de a decide, potrivit specificului
fiecărui caz în parte.

Coroborând dispoziţiile art. 14 din Legea nr. 102/2005, republicată, cu cele ale art. 17-22 din
procedură, menţionăm că personalului de control care efectuează investigaţia îi sunt puse la
dispoziţie, de către entitatea controlată, orice informaţii și documente, indiferent de suportul de
stocare, inclusiv copii de pe acestea și îi este asigurat accesul la oricare dintre incintele entităţii
respective, fiindu-i permis inclusiv să verifice orice echipament, mijloc sau suport de stocare
a datelor, necesare desfășurării investigaţiei, în condiţiile legii, fără nicio procedură judiciară
prealabilă. Numai în situaţia în care acesta este împiedicat să își exercite atribuţiile respective,
ANSPDCP poate solicita autorizarea judiciară, în condiţiile legii, iar o copie a acestei autorizări
este adusă la cunoștinţa entităţii investigate, înainte de începerea investigaţiei. Observăm astfel
că autoritatea de supraveghere are competenţe largi, tocmai pentru a-și putea exercita rolul
prevăzut de GDPR, competenţe ce sunt însoţite însă și de garanţii procedurale corespunzătoare,
care să conducă la evitarea abuzurilor. Ne referim nu doar la limitele temporare stabilite de lege
pentru efectuarea investigaţiilor, la procedura de audiere a persoanelor considerate relevante
pentru investigaţie, la expertizele care pot să fie dispuse în condiţiile legii, ci și la completarea
normelor specifice cu cele ale Codului de procedură penală, sau la faptul că personalul de control
care efectuează investigaţii în teren poate solicita asistenţa din partea organelor de poliţie.
De asemenea, este necesar să menţionăm că, din interpretarea dispoziţiilor alin. (1) și (3) ale art. 9
din procedură, rezultă că doar pentru investigaţiile ce se desfășoară pe teren, în împuternicirea
acordată personalului de control, este obligatorie indicarea numelui sau a denumirii entităţii
controlate.

[28]
Pentru detalierea sarcinilor DPO: a se vedea A. Bensoussan, Règlement européen sur la protection des données, Textes,
commentaires et orientations pratiques, 2e édition, Ed. Bruylant, 2018, p. 281-284; I. Alexe, Principalele noutăţi privind
responsabilul cu protecţia datelor, incluse în GDPR, în Pandectele Române nr. 1/2018, p. 34-45; I. Alexe, Responsabilul cu
protecţia datelor (DPO) – funcţionar public sau personal contractual?, în R.R.D.M. nr. 2/2108, p. 53-65. Pentru importanţa
rolului de mediator al responsabilului cu protecţia datelor a se vedea I. Alexe, Rolul responsabilului cu protecţia datelor
în respectarea drepturilor persoanei vizate, în R.R.D.A. nr. 4/2019.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 4/2019 | 69

 Irina ALEXE

În ceea ce privește investigaţiile efectuate la sediul autorităţii de supraveghere se desfășoară cu

respectarea regulilor generale aplicabile investigaţiilor pe teren, diferenţa fiind dată de modul în
DOCTRINĂ

care entitatea controlată este anunţată, de modul de convocare a persoanelor din cadrul acesteia,
ce fac obiectul controlului și de modul în care sunt solicitate, respectiv în care sunt comunicate
actele, echipamentele ori informaţiile necesare: „personalul de control desemnat transmite o
adresă de convocare a reprezentanţilor entităţii controlate, cu precizarea datei și orei de începere
a investigaţiei. În adresă se menţionează obligaţia entităţii controlate de a se prezenta la sediul
ANSPDCP, după caz, cu documente, înregistrări relevante, echipamente informatice în funcţie de
obiectul controlului, acte de identitate ale reprezentantului legal/persoanei împuternicite și ale
entităţii controlate, inclusiv cu ștampila în cazul autorităţilor publice și registrul de control, dacă
este cazul”[29]. De asemenea, particular pentru acest tip de investigaţie este faptul că, la finalizarea
acesteia, procesul-verbal de constatare/sancţionare poate fi încheiat, în mod excepţional, potrivit
dispoziţiilor art. 32 alin. (3) din procedură, „fără convocarea reprezentanţilor entităţii controlate,
atunci când se decide că există dovezi suficiente/relevante pentru finalizarea investigaţiei, pe baza
notei echipei de control aprobate de șeful ierarhic”.

De asemenea, în cazul efectuării investigaţiilor în scris, prin adresa trimisă către entitatea controlată
„se solicită informaţii, date și documente necesare soluţionării cazului supus investigaţiei. În adresă
se menţionează obligaţia entităţii controlate de a răspunde în scris, cu anexarea de dovezi în
copii certificate pentru conformitate cu originalul și în cadrul termenului stabilit de ANSPDCP”[30].
Sunt importante aceste precizări pentru că, potrivit dispoziţiilor art. 33 alin. (2) din procedură, de
modul în care este formulat răspunsul entităţii controlate depinde decizia de continuare sau nu
a investigaţiei. În situaţia în care decizia va fi cea de continuare a investigaţiei, aceasta va putea
fi realizată prin una dintre cele două modalităţi analizate anterior, adică prin investigaţii pe teren
sau prin investigaţii în scris, cu respectarea regulilor procedurale aplicabile fiecăreia dintre ipoteze.
Dacă însă analiza datelor comunicate conduce la concluzia că informaţiile furnizate sunt suficiente
pentru finalizarea investigaţiei, aceasta se realizează prin încheierea, la fel ca și în cazul celorlalte
două modalităţi, a procesului-verbal de constatare/sancţionare.

Dar există și o altă modalitate de finalizare a acestui tip de investigaţie. Astfel, pentru situaţia în
care nu se pot reţine fapte de natură contravenţională, doar pentru această a treia modalitate
de efectuare a investigaţiilor procedura instituie un instrument administrativ, nota de finalizare
a investigaţiei, care are alt regim juridic decât cel reglementat pentru procesul-verbal, și anume:
„În cazul în care, în urma investigaţiilor în scris, nu au fost reţinute fapte de natură să impună
sancţionarea contravenţională a entităţii controlate, finalizarea investigaţiei în scris se realizează
printr-o notă de finalizare a investigaţiei, întocmită de personalul de control/titularul desemnat,
avizată de șeful ierarhic și aprobată de președintele ANSPDCP, care poate delega această atribuţie
șefului compartimentului de control care a efectuat investigaţia”[31]. Deși procedura nu indică în
mod expres calea de urmat în situaţia în care nu se pot reţine fapte de natură contravenţională
dar ar putea să fie reţinute alte abateri care să impună aplicarea unei alte măsuri corective ori
chiar sesizarea organelor de urmărire penală, apreciem că pentru astfel de situaţii pot fi incidente
dispoziţiile privind aplicarea, prin procesul-verbal de constatare/sancţionare, a unor măsuri

[29]
A se vedea dispoziţiile art. 32 din Procedura de efectuare a investigaţiilor, în special textul alin. (1).
[30]
Potrivit art. 33 alin. (1) din Procedura de efectuare a investigaţiilor.
[31]
Potrivit dispoziţiilor art. 33 alin. (3) din Procedura de efectuare a investigaţiilor.

70 | PANDECTELE ROMÂNE NR. 4/2019 | DOCTRINĂ

 Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor

corective, altele decât cele ale impunerii unor sancţiuni contravenţionale, respectiv dispoziţiile
art. 30 din procedură, care se referă la sesizarea altor autorităţi competente.

Procedural, nu există particularităţi pentru efectuarea investigaţiilor la entităţile din în sectorul

public faţă de cele din sectorul privat[32], cu excepţia celor ce vizează încheierea procesului-verbal
de constatare/sancţionare[33], pe care le vom analiza în continuare. În procesul-verbal este
consemnat nu doar rezultatul investigaţiilor ci, ca urmare a acestuia, sancţiunile contravenţionale
aplicate sau, după caz, alte măsuri corective sau alte recomandări formulate.

De altfel, procedura conţine un capitol distinct, chiar dacă este format dintr-un singur articol,
art. 35, referitor la efectuarea investigaţiilor la autorităţile și organismele publice, iar esenţiale
pentru analiza noastră sunt definirea de către Legea nr. 190/2018, în textul art. 2, în aplicarea
regulamentului, a mai multor noţiuni utilizate în procedură, cum ar fi: autorităţi și organisme
publice[34], plan de remediere[35], măsură de remediere[36] sau termen de remediere[37].

Observăm astfel că remedierea deficienţelor și nu sancţionarea cu amendă a entităţii investigate

este principala activitate care, potrivit regulamentului, legii interne și procedurii, se află în atenţia
autorităţii de supraveghere, în cazul autorităţilor și organismelor publice. De altfel, procedura reia
o parte dintre dispoziţiile reglementate în actul normativ menţionat, prin care GDPR a fost pus
în aplicare în România, iar pentru a sublinia particularităţile în domeniu vom analiza comparativ,
ipotetic, aplicarea măsurilor corective a amenzilor administrative ca urmare a derulării unei
investigaţii ce vizează o entitate din sectorul public faţă de una din sectorul privat, în domeniul
serviciilor financiare.

Pentru analiza comparativă, în care identificăm răspunsuri la întrebarea dacă pentru încălcări
similare sunt similare procedura aplicabilă și răspunderea operatorilor, am ales ca exemple
Autoritatea de Supraveghere Financiară, denumită în continuare ASF, și oricare dintre ceilalţi
actori din piaţa de profil, operatorii privaţi din domeniul serviciilor financiare, care prelucrează
date cu caracter personal.
[32]
În conformitate cu dispoziţiile art. 35 alin. (5) din Procedura de efectuare a investigaţiilor, „În cazul investigaţiilor la
autorităţile/organismele publice, sunt aplicabile, după caz, prevederile prezentei proceduri”.
[33]
Detalii despre conţinutul procesului-verbal de constatare/sancţionare, procedura aplicabilă inclusiv pentru
comunicarea și pentru contestarea acestuia, precum și celelalte garanţii, sunt prevăzute în special în textele art. 23-28
din Procedura de efectuare a investigaţiilor.
[34]
Art. 2 lit. a) din Legea nr. 190/2018 definește autorităţile și organismele publice, astfel: „Camera Deputaţilor și Senatul,
Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de specialitate ale administraţiei publice centrale,
autorităţile și instituţiile publice autonome, autorităţile administraţiei publice locale și de la nivel judeţean, alte autorităţi
publice, precum și instituţiile din subordinea/coordonarea acestora. În sensul prezentei legi, sunt asimilate autorităţilor/
organismelor publice și unităţile de cult și asociaţiile și fundaţiile de utilitate publică”.
[35]
Potrivit art. 2 lit. c) din Legea nr. 190/2018, planul de remediere este „anexă la procesul-verbal de constatare și
sancţionare a contravenţiei, întocmit în condiţiile prevăzute la art. 11 (în realitate, este vorba despre art. 12, art. 11
referindu-se la acreditarea organismelor de certificare) (n.a.), prin care Autoritatea Naţională de Supraveghere a Prelucrării
Datelor cu Caracter Personal, denumită în continuare Autoritatea naţională de supraveghere, stabilește măsuri și un
termen de remediere”.
[36]
Măsura de remediere este definită de Legea nr. 190/2018, în textul art. 2 lit. d), ca o „soluţie dispusă de Autoritatea
naţională de supraveghere în planul de remediere în vederea îndeplinirii de către autoritatea/organismul public a
obligaţiilor prevăzute de lege”.
[37]
Legea nr. 190/2018 definește termenul de remediere în textul art. 2 lit. e) ca fiind „perioada de timp de cel mult 90 de
zile de la data comunicării procesului-verbal de constatare și sancţionare a contravenţiei, în care autoritatea/organismul
public are posibilitatea remedierii neregulilor constatate și îndeplinirii obligaţiilor legale”.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 4/2019 | 71

 Irina ALEXE

Analizând definiţia stabilită de Legea nr. 190/2018 pentru autorităţile publice, ASF face parte
dintre acestea întrucât, în conformitate cu legea sa de organizare și funcţionare[38], este o
DOCTRINĂ

autoritate administrativă autonomă, care își exercită atribuţiile de specialitate ce vizează

autorizare, reglementare, supraveghere și control în domeniul său de activitate, inclusiv pe
cele ce decurg din calitatea de „unica autoritate naţională competentă pentru reprezentarea
intereselor României în cadrul Organizaţiei Internaţionale a Comisiilor de Valori Mobiliare –
IOSCO, Autorităţii Europene pentru Valori Mobiliare și Pieţe – ESMA, Autorităţii Europene de
Supraveghere pentru Asigurări și Pensii Ocupaţionale – EIOPA și Asociaţiei Internaţionale a
Supraveghetorilor în Asigurări – IAIS”[39].

Dacă alegem, spre exemplu, o situaţie ipotetică de încălcare a principiilor[40] legate de prelucrarea
datelor cu caracter personal de către ASF, operator din sectorul public, pentru angajaţii proprii
care sunt contributori la sistemul pensiilor private, sau unul de către unul dintre operatorii privaţi
din acest sistem, observăm că finalizarea rezultatului investigaţiilor diferă și, implicit, modalitatea
de atragere a răspunderii acestor operatori este diferită.

Procedura de investigare a unei astfel de încălcări, fie că se desfășoară din oficiu, prin oricare
dintre modalităţile evidenţiate anterior, sau la plângerea persoanei vizate, nu este diferită,
dacă ne raportăm la regimul juridic aplicabil entităţii investigate. Diferenţele majore intervin în
momentul individualizării și aplicării sancţiunii, prin procesul-verbal de constatare/sancţionare.

Am amintit anterior faptul că măsura corectivă de a impune amenzi administrative poate fi

aplicată în locul sau în completarea unei alte măsuri corective iar acest aspect este important mai
ales prin prisma faptului că, în cazul autorităţilor și organismelor publice, aplicarea este graduală.

Astfel, potrivit textului art. 83 alin. (5) lit. a) din regulament, coroborat cu cel al art. 12 din legea
de punere în aplicare, pentru încălcarea dispoziţiilor referitoare la principiile legate de prelucrarea
datelor cu caracter personal[41], prevăzute de art. 5 din GDPR, „se aplică amenzi administrative
de până la 20.000.000 euro sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri
mondială totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea
mai mare valoare”.

Coroborând aceste dispoziţii cu cele ale art. 12 din Legea nr. 190/2018, care reglementează și
faptul că sancţiunile contravenţionale principale sunt avertismentul și amenda contravenţională,
precum și cu cele ale art. 15 din Legea nr. 102/2005, observăm că, după finalizarea investigaţiei,
pentru încălcarea principiilor prevăzute de art. 5 din GDPR, operatorilor din sectorul privat le

[38]
Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea și funcţionarea Autorităţii de
Supraveghere Financiară, M. Of. nr. 874 din 21 decembrie 2012, cu modificările și completările ulterioare.
[39]
Pentru detalii a se vedea textul art. 1 alin. (6) din O.U.G. nr. 93/2012, cu modificările și completările ulterioare.
[40]
Pentru analiza principiilor prevăzute de art. 5 din GDPR a se vedea D.-M. Șandru, Principiul transparenţei în protecţia
datelor cu caracter personal, în Pandectele române nr. 4/2018, p. 59-69; D.-M. Şandru, Principiile integrităţii și
confidenţialităţii în protecţia datelor personale, în Revista de drept public, Supliment, 2018, p. 39-46.
[41]
Am ales o astfel de situaţie ipotetică pentru că, din analiza celor 15 mai relevante situaţii în care instanţele de judecată
au menţinut în cea mai mare parte sancţiunile contravenţionale aplicate, în temeiul vechii legislaţii, de Autoritatea de
supraveghere, în urma investigaţiilor desfășurate până la 25 mai 2018, comunicate de autoritate pe site-ul propriu,
observăm că toate vizează și prelucrarea nelegală a datelor cu caracter personal. Disponibil la https://www.dataprotection.
ro/?page=Hotarari_definitive_de_mentinere_a_sanctiunilor_aplicate_de_Autoritatea_de_supraveghere&lang=ro

72 | PANDECTELE ROMÂNE NR. 4/2019 | DOCTRINĂ

 Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor

sunt aplicabile sancţiunile, în condiţiile regulamentului, iar amenzile se aplică și se achită în lei,
data de referinţă fiind data aplicării.

Pentru aceeași încălcare produsă de ASF, operator public, sunt aplicabile dispoziţiile art. 13
și art. 14 din Legea nr. 190/2018, ce instituie o procedură distinctă care, după finalizarea
investigaţiei, implică parcurgerea a două etape, pentru aplicarea unei sancţiuni contravenţionale.

Observăm astfel că, în prima etapă, la finalizarea investigaţiei, ANSPDCP aplică doar o măsură
corectivă și nu o amendă contravenţională. De altfel, chiar regulamentul include în textul art. 58
alin. (2), impunerea unei amenzi administrative în categoria măsurilor corective, iar legea de
punere în aplicare a acestuia denumește art. 13 aplicarea măsurilor corective autorităţilor și
organismelor publice. Astfel, autoritatea de supraveghere încheie un proces-verbal de constatare
și sancţionare a contravenţiei prin care se aplică sancţiunea avertismentului, la care este obligată
să anexeze și un plan de remediere, prevăzut în anexa la lege, în care trebuie să includă atât
termenul de remediere, ce va fi stabilit „în funcţie de riscurile asociate prelucrării, precum și
demersurile necesar a fi îndeplinite pentru asigurarea conformităţii prelucrării” [art. 13 alin. (2)
din lege este similar cu cel al art. 35 alin. (2) din procedura de investigare]. Este important să
subliniem faptul că legea nu obligă ANSPDCP să verifice îndeplinirea măsurilor din planul de
remediere, textul art. 13 alin. (3) fiind permisiv și lăsând la latitudinea autorităţii de supraveghere
să decidă dacă reia sau nu controlul în termenul de 10 zile stabilit de lege de la data expirării
termenului de remediere. Dacă autoritatea decide să nu reia controlul, procedura se oprește aici
iar ASF rămâne doar cu sancţiunea contravenţională a avertismentului.

Dacă decide să reia controlul în termenul menţionat anterior și „constată faptul că autorităţile/
organismele publice nu au dus la îndeplinire în totalitate măsurile prevăzute în planul de
remediere, ANSPDCP poate aplica sancţiunea contravenţională a amenzii, cu luarea în considerare
a criteriilor prevăzute la art. 83 alin. (2) din Regulamentul general privind protecţia datelor”[42],
ţinând cont de circumstanţele fiecărui caz în parte. Acesta este a doua etapă procedurală care, așa
cum am mai menţionat, poate fi sau nu parcursă, decizia referitoare la calea de urmat aparţinând
în totalitate autorităţii de supraveghere.

Dar diferenţele de tratament între operatorii din sectorul public și cel privat nu se opresc aici.
Spre deosebire de operatorii privaţi, cărora le sunt aplicabile limitele sancţiunilor prevăzute
de regulament, în cazul ASF și al celorlalţi operatori autorităţi și organisme publice pentru
aceeași încălcare a dispoziţiilor referitoare la principiile legate de prelucrarea datelor cu caracter
personal, prevăzute de art. 5 din GDPR sunt aplicabile dispoziţiile art. 14 alin. (5) și (6) din Legea
nr. 180/2018, potrivit cărora contravenţia respectivă poate fi sancţionată cu amendă de la 10.000
până la 200.000 lei.

Dacă în cazul aplicării unei astfel de sancţiuni, la limita sau spre limita sa maximă, un operator
din sectorul privat poate intra în insolvenţă sau chiar își poate încheia activitatea, nu la fel
stau lucrurile pentru un operator din sectorul public, autoritate sau organism public, care nu
are astfel de probleme și pentru care observăm că limita maximă a sancţiunii contravenţionale
ce i-ar putea fi aplicabilă este de doar 200.000 lei, nu 20.000.000 euro sau 4% din cifra de
faceri, ca în cazul operatorilor privaţi. Și mai observăm faptul că, potrivit formularului de

[42]
A se vedea art. 35 alin. (4) din Procedura de efectuare a investigaţiilor. Norme asemănătoare sunt cuprinse și în textul
art. 14 alin. (1) din Legea nr. 190/2018.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 4/2019 | 73

 Irina ALEXE

proces-verbal de constatare/sancţionare, doar în cazul autorităţilor și organismelor publice,

pentru contravenţiile stabilite în baza Legii nr. 180/2018, sunt aplicabile dispoziţiile privind
DOCTRINĂ

posibilitatea contravenientului de a „achita jumătate din minimul amenzii prevăzute de lege în

termen de 15 zile de la data înmânării/comunicării procesului-verbal”[43].

Concluzii
Regulamentul general privind protecţia datelor are ca obiectiv asigurarea unui regim sancţionator
uniform, prin care să se asigure nu doar o monitorizare coerentă a modalităţilor de protecţie a
datelor cu caracter personal ci și sancţiuni echivalente în toate statele membre, pentru încălcări
similare. Chiar dacă regulamentul instituie temei pentru reglementarea, de către statele membre
a unui regim sancţionator contravenţional diferit pentru autorităţile sau organismele publice,
pentru încălcări similare ar trebui să existe sancţiuni eficace, proporţionale și disuasive.

Pentru investigarea de către personalul de control al autorităţii de supraveghere, a faptelor

semnalate ca încălcări ale regulamentului general, prin diversele modalităţi de declanșare
a investigaţiilor, mare parte a pașilor procedurali sunt asemănători, dar există și diferenţieri
semnificative, particularităţi raportate la regimul juridic aplicabil entităţii investigate nu doar
în ceea ce privește finalizarea procedurii prin procesul-verbal de constatare/sancţionare, ci
mai aplicarea efectivă a măsurilor corective, prin introducerea planului de remediere în cazul
autorităţilor și organismelor publice și prin individualizarea sancţiunii, pentru fiecare caz
investigat.

Exemplele analizate prin prisma regimului juridic aplicabil entităţilor publice și celor private
conduc la concluzia că, pentru încălcări asemănătoare, procedura aplicabilă este diferită și, pe
cale de consecinţă, modalitatea de atragere a răspunderii operatorilor poate fi diferită.

Considerăm că, dacă autoritatea de supraveghere din România și-ar exercita mai plenar rolul
pe care GDPR i-l conferă și ar publica pe site-ul său, nu doar comunicate despre amenzile
aplicate, ci și motivarea măsurilor luate, precum și informaţii despre alte măsuri corective, în
afara amenzilor contravenţionale, toate acestea ar constitui un exemplu de bună practică și ar
contribui la evitarea încălcărilor regulamentului de către alţi operatori. Din cele patru amenzi
despre care ANSPDCP a informat, prin intermediul site-ului oficial, că au fost aplicate pentru
încălcarea regulamentului, nici una nu vizează o autoritate sau un organism public. Spre deosebire
de România, amintim doar faptul că, recent, după finalizarea procedurii proprii de investigare a
unei breșe de securitate, autoritatea competentă din Bulgaria a sancţionat încălcări ale GDPR
comise de un operator din sectorul public, cu o amendă de aproximativ 2.600.000 euro, adică
de 5.100.000 leva și cu impunerea unor măsuri care să conducă la o protecţie efectivă a datelor
personale[44].

Este evident că astfel de exemple ne conduc la concluzia că, cel puţin în acest moment, în
România, organismelor private le sunt aplicabile elemente particularizatoare ale procedurii de
investigare și un regim sancţionator ce vizează aplicarea amenzilor contravenţionale, diferenţiate

[43]
A se vedea nota de subsol nr. 4 din Anexa nr. 2 la Decizia nr. 161/2018 a președintelui ANSPDCP.
[44]
Detalii despre sancţiunea aplicată se regăsesc în Comunicatul Comisiei pentru Protecţia Datelor din Bulgaria, publicat
la 29 august 2019, la adresa https://www.cpdp.bg/en/?p=news_view&aid=1519

74 | PANDECTELE ROMÂNE NR. 4/2019 | DOCTRINĂ

 Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor

de cele aplicabile organismelor publice. De altfel, putem observa că aplicarea uniformă a

regulamentului pentru autorităţile și organismele publice în statele membre, ar putea conduce
la concluzia că principiul proporţionalităţii nu poate fi aplicat dacă un stat ca România decide să
introducă limite maxime de sancţionare de până la 200.000 lei, adică aproximativ 42.000 euro,
iar alte state, cum ar fi Bulgaria, aplică amenzi de aproximativ 2.600.000 euro.

Așteptăm cu interes interpretarea și aplicarea, uniforme, de către instanţe, inclusiv de către

Curtea de Justiţie a Uniunii Europene, a dispoziţiilor regulamentului general, care să conducă
la o corectă aplicare a acestuia în toate statele membre, pentru a asigura o protecţie efectivă a
datelor personale.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 4/2019 | 75

Reproduced with permission of copyright owner. Further
reproduction prohibited without permission.