Documente Academic
Documente Profesional
Documente Cultură
ABSTRACT
Since the entry into force of the General Data Protection Regulation (GDPR), on
May 25, 2016, but especially after its implementation, starting of May 25, 2018,
the doctrine and practitioners have signalled the particularly severe sanctioning
regime on which the European law act instituted it for non-compliance with
data protection provisions. Although in its public communications the national
supervisory authority in Romania urged caution and drew attention to the fact that
the regulation contains much more news than those brought by the sanctioning
regime, after the first year of implementation some of the private sector operators
have already been sanctioned with administrative fines. In this context we analyse
the causes of the application of this type of corrective measures and we draw their
consequences, not only for the sanctioned operators but also for the other subjects
of the GDPR, respectively for the subsequent, correct, uniform and coherent
application of the regulation.
REZUMAT
asupra faptului că regulamentul conţine mult mai multe noutăţi în afară de cele
aduse prin regimul sancţionator, după scurgerea primului an de aplicare unii dintre
DOCTRINĂ
[1]
Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și
de abrogare a Directivei nr. 95/46/CE (Regulamentul general privind protecţia datelor) a fost publicat în JO L119, 4 mai
2016, p. 1-88, iar textul a fost rectificat ulterior, înainte de punerea sa în aplicare, rectificarea fiind publicată în JO L127,
23 mai 2018.
[2]
Detalii despre organizarea, funcţionarea și competenţele autorităţii sunt reglementate prin Legea nr. 129/2018 pentru
modificarea și completarea Legii nr. 102/2005 privind înfiinţarea, organizarea și funcţionarea Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulaţie a acestor date, M. Of. nr. 503 din
19 iunie 2018. Legea nr. 102/2005 a fost republicată în M. Of. nr. 947 din 9 noiembrie 2018, dându-se textelor o nouă
numerotare. Cu privire la aplicarea GDPR în România a se vedea, D.-M. Șandru, Aspecte privind aplicarea Regulamentului
nr. 679 din 2016 privind protecţia datelor cu caracter personal, în Studii și cercetări juridice nr. 1/2019, p. 81 și urm.
[3]
A se vedea, ca exemplu, comunicatul de presă postat de ANSPDCP pe site-ul oficial al acesteia la data de 9 februarie
2018, disponibil la adresa https://www.dataprotection.ro/?page=Obiective_RGPD&lang=ro
[4]
Pentru o analiză a principiului proporţionalităţii în dreptul administrativ european a se vedea R. Ortlep,
R. Winddershoven, European Administrativ Law, în volumul R. Seerden (editor), Comparative Administrative Law.
Administrative Law of the European Union, Its Member States and the United States, Intersentia, 2018, în special p. 307.
A se vedea și D.-M. Şandru, Principiul echităţii în prelucrarea datelor cu caracter personal, în Pandectele române nr. 3/2018,
p. 58-60.
[5]
Referitor la particularităţile regimului sancţionator a se vedea I. Alexe, Regimul sancţionator prevăzut de Regulamentul
(UE) 2016/679 privind protecţia datelor cu caracter personal, în revista Curierul Judiciar nr. 1/2018, p. 36-42; în același sens,
referitor la aplicarea acestui regim sancţionator în România a se vedea I. Alexe, D.-M. Șandru, Reglementări naţionale ce
vizează aplicarea, în România, a Regulamentului General privind protecţia datelor, în volumul I. Alexe, D.-M. Şandru (editori),
Legislaţia privind protecţia datelor în România, Ed. Rosetti International, București, 2018, p. 7-25.
[6]
Pentru definirea și analiza diverselor tipuri de sancţiuni administrative în Uniunea Europeană a se vedea C.E. Paliero,
The Definition of Administrative Sanctions – General Report, în volumul O. Jansen (editor), Administrative Sanctions in the
European Union, Intersentia, 2013, în special p. 1-34.
[7]
I. Alexe, Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor, în Pandectele Române
nr. 4/2019, p. 74.
[8]
Detalii privind măsurile corective aplicate de ANSPDCP în perioada 1 iunie 2019 – 30 septembrie 2019 sunt disponibile
la adresa https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro
[9]
Pentru aprofundarea detaliilor despre regimul juridic al entităţii controlate ca premisă pentru aplicarea diferenţiată a
unor măsuri corective, a se vedea I. Alexe, Particularităţile procedurii ..., op. cit., p. 65-67.
Nu putem ști însă cu certitudine că acestea sunt toate măsurile corective aplicate întrucât tot
de pe site-ul ANSPDCP aflam, la data de 14 octombrie 2019, că a fost finalizată o investigaţie
la un operator privat, ce a condus la aplicarea unei amenzi contravenţionale în temeiul Legii
nr. 506/2004[14], iar la data de 7 octombrie 2019, că au fost aplicate alte două amenzi pentru
încălcarea regulamentului, măsuri corective neincluse în tabelul centralizator publicat ulterior.
Pentru a respecta tema, particularităţile sancţiunilor aplicate în temeiul altor acte normative, nu
fac obiectul studiului nostru, însă, în lipsa informaţiilor despre data finalizării investigaţiei în cazul
amenzii aplicate pentru încălcarea Legii nr. 506/2004, am exemplificat doar pentru a sublinia
faptul că, absenţa unui registru public, ușor accesibil și facil de înţeles, al tuturor măsurilor
corective aplicate de ANSPDCP în temeiul regulamentului, face mai puţin probabil ca scopul
preventiv urmărit să fie atins.
persoane fizice (unul fiind deţinătorul unui domeniu de internet iar pentru al doilea neexistând
nici un fel de informaţie relevantă care să conducă la clarificarea calităţii sale de operator),
1 operator este ONG cu statut de utilitate publică, iar 1 operator este o asociaţie, probabil fără
scop lucrativ, dar nu au fost publicate suficiente informaţii pentru a ști dacă are sau nu statut de
utilitate publică și dacă, în temeiul legii[15], acest operator poate fi sau nu asimilat autorităţilor și
organismelor publice. În context, apreciem că chiar ANSPDCP este susceptibilă de a fi încălcat
dispoziţiile GDPR privind drepturile persoanelor fizice la protecţia datelor cu caracter personal
întrucât, în opinia noastră, nu ar fi trebuit să publice datele cu caracter personal referitoare la
numele și prenumele celor două persoane fizice sancţionate, date care, în lipsa anonimizării,
conduc la identificarea persoanelor vizate.
Realizând o clasificare având drept criteriu de analiză temeiul legal al aplicării măsurilor
corective aplicate, acolo unde acesta a fost menţionat, observăm că, dintre cele 98 de măsuri
corective, 8 au fost aplicate în temeiul Legii nr. 506/2014, una în temeiul Legii nr. 363/2018,
55 în temeiul GDPR, iar pentru 34 de măsuri corective nu a fost specificat temeiul legal însă,
din analiza datelor existente, se poate prezuma că au fost aplicate în temeiul regulamentului.
Utilizând drept criteriu de analiză tipul măsurii corective, cele 98 de sancţiuni pot fi
structurate astfel: avertismente pentru încălcări ale dispoziţiilor regulamentului sau ale
Legii nr. 506/2004 (32); amenzi contravenţionale (7); dispunerea luării măsurilor tehnice și
organizatorice necesare (7); instruirea angajaţilor asupra riscurilor și consecinţelor pe care le
implică divulgarea datelor personale (2) ori asupra procedurilor de lucru (1) sau a măsurilor luate
de operator pentru accesul date doar în scopul îndeplinirii atribuţiilor de serviciu (1); obligarea
operatorului de a revizui și actualiza măsurile tehnice și organizatorice implementate (6);
obligarea operatorului la a reanaliza și a lua măsurile necesare pentru ca datele să fie prelucrate
în mod legal, inclusiv în ceea ce privește aplicarea Legii nr. 506/2004 (6); obligarea operatorului
de a lua măsuri astfel încât să fie respectate, în toate cazurile, prevederile art. 12, respectiv ale
art. 21 din GDPR (4); interdicţia de prelucrare a datelor cu caracter personal fără respectarea
dispoziţiilor art. 6 și art. 7 din regulament (2); obligarea operatorului de a furniza persoanei vizate
informaţii privind acţiunile întreprinse în urma unor cereri întemeiate pe dispoziţiile art. 12-22
din regulament (2); obligarea operatorului de a transmite un răspuns sau un răspuns complet
către petent/persoana vizată, inclusiv în cazurile în care și-a exercitat dreptul la ștergere (8);
recomandarea adresată operatorului de a da curs cererii petentului și de a i se comunica un
răspuns (1); obligarea operatorului la întocmirea unei proceduri referitoare la gestionarea cererilor
persoanelor vizate prin care acestea își pot exercita drepturile și aducerea acesteia la cunoștinţa
persoanelor vizate (1) sau, după caz, transmiterea acestei proceduri ANSPDCP (1); obligarea
operatorului de a lua măsuri pentru asigurarea securităţii conturilor create pe o platformă și a
datelor clienţilor (1); obligarea operatorului de a respecta o procedură de lucru de identificare
a clienţilor persoane fizice (1); obligarea operatorului de a analiza situaţiile existente și de a
[15]
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) nr. 2016/679 al Parlamentului European
și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulaţie a acestor date și de abrogare a Directivei nr. 95/46/EC (Regulamentul general privind
protecţia datelor), M. Of. nr. 651 din 26 iulie 2018. Art. 2 lit. a) din Legea nr. 190/2018 definește autorităţile și organismele
publice, astfel: „Camera Deputaţilor și Senatul, Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de
specialitate ale administraţiei publice centrale, autorităţile și instituţiile publice autonome, autorităţile administraţiei
publice locale și de la nivel judeţean, alte autorităţi publice, precum și instituţiile din subordinea/coordonarea acestora.
În sensul prezentei legi, sunt asimilate autorităţilor/organismelor publice și unităţile de cult și asociaţiile și fundaţiile
de utilitate publică”.
preconizate potrivit art. 35 alin. (3) din Legea nr. 363/2018 (1); obligarea operatorului de a realiza
informarea persoanelor vizate (2); obligarea operatorului de a transmite un răspuns sau un
răspuns complet ANSPDCP (10); instituirea unui plan de remediere prin care operatorul privat
să furnizeze autorităţii naţionale de supraveghere toate informaţiile solicitate (1).
Din analiza acestor măsuri observăm că toate se încadrează în opt din cele zece categorii de
competenţe corective prevăzute de art. 58 alin. (2) din regulament[16], în România nefiind aplicate
încă măsuri ca cele prevăzute la lit. h) și j)[17].
Semnalăm însă o situaţie care, în opinia noastră, trebuie explicată mai mult de către autoritatea
naţională de supraveghere întrucât, din informaţiile publice furnizate de aceasta rezultă că unui
operator i-a fost aplicat un avertisment și a fost întocmit și un plan de remediere[18] – „furnizarea
tuturor informaţiilor conform celor solicitate de ANSPDCP”, aceasta constând probabil în măsura
de remediere prevăzută de lege, nefiind disponibile nici informaţii privind statutul operatorului,
termenul de remediere ori dacă, după expirarea acestuia, a fost sau nu dispusă o altă măsură
legală[19].
De asemenea, observăm că 4 din cele 7 amenzi și 24 din cele 32 de avertismente din perioada
de referinţă analizată au fost aplicate alături de o altă măsură corectivă, în conformitate cu
dispoziţiile regulamentului dar și cu normele de drept intern și apreciem că scopul autorităţii
naţionale de supraveghere nu a fost acela de a aplica doar amenzi contravenţionale ci și de a
dispune alte măsuri prin care conduita operatorilor să fie corectată iar drepturile persoanei vizate
să fie respectate.
6 sunt aplicate în temeiul dispoziţiilor regulamentului și una a fost dispusă o în temeiul Legii
nr. 506/2004, care nu face obiectul analizei noastre, precum și faptul că, în afara perioadei de
referinţă, ANSPDCP a mai comunicat informaţii despre alte trei amenzi contravenţionale aplicate
în luna octombrie 2019, 2 în temeiul regulamentului[20] și una în temeiul Legii nr. 506/2004[21].
Întrucât impactul aplicării acestui tip de sancţiuni, nu doar cel financiar, este major în rândul
operatorilor, analizăm, punctual, atât aspectele care au condus la aplicarea sancţiunii, cât și lecţiile
ce trebuie învăţate din fiecare dintre cele 8 cazuri de aplicare a măsurilor corective prevăzute
de art. 58 alin. (2) lit. i) din regulament, adică a amenzilor contravenţionale dispuse în temeiul
și pentru nerespectarea dispoziţiilor GDPR. În context subliniem că, potrivit regulamentului și
dreptului intern, în funcţie de circumstanţele fiecărui caz în parte, amenzile contravenţionale pot
fi aplicate în locul sau în completarea altor măsuri corective și evidenţiem inclusiv situaţiile în
care ANSPDCP a aplicat și alte măsuri corective.
Analizând datele comunicate, constatăm că această primă amendă, aplicată unei bănci la data de
27 iunie 2019, a survenit ca urmare a unei investigaţii ce a fost desfășurată la sediul operatorului,
după ce autoritatea naţională de supraveghere a dat curs unei plângeri pe care o primise anterior,
la 22 noiembrie 2018, prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor
care efectuau plăţi la banca respectivă, prin intermediul tranzacţiilor on-line, erau dezvăluite
către beneficiarul tranzacţiei, prin formularele de extras de cont/detalii.
Nu există date despre durata exactă a investigaţiei dar putem presupune că acesta s-a derulat
pe parcursul mai multor luni, din noiembrie 2018 până în iunie 2019 iar la finalizarea acesteia
ANSPDCP a constatat că operatorul a încălcat prevederile art. 25 alin. (1), coroborate cu cele
ale art. 5 alin. (1) lit. c) din regulament și a aplicat o sancţiune contravenţională în cuantum de
613.912 lei, echivalentul a 130.000 euro.
[20]
Detalii pot fi regăsite la adresa https://www.dataprotection.ro/?page=Comunicat_Presa_09_10_2019&lang=ro
[21]
Detalii pot fi regăsite la adresa https://www.dataprotection.ro/?page=Amenda_Elefant_Online&lang=ro
[22]
Coroborând dispoziţiile art. 12 din Legea nr. 190/2018, cu cele ale art. 15 din Legea nr. 102/2005, observăm că, după
finalizarea investigaţiei, pentru încălcarea dispoziţiilor GDPR și a actelor normative naţionale care îl pun în aplicare,
amenzile se aplică și se achită în lei, data de referinţă fiind data aplicării.
[23]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=Comunicat_Amenda_Unicredit&lang=ro
de prelucrare, cât și în cel al prelucrării în sine, pentru a îndeplini cerinţele RGPD și a proteja
drepturile persoanelor vizate, ceea ce a condus la dezvăluirea în documentele ce conţin detaliile
tranzacţiilor și care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor într-o anumită
perioadă, a datelor privind CNP-ul și adresa persoanei care a efectuat plata/plătitorului, respectiv
a datelor privind adresa plătitorului, pentru un număr mare de persoane vizate, deși, potrivit
art. 5 alin. (1) lit. c) din RGPD, avea obligaţia de a prelucra date limitate la ceea ce este necesar
în raport cu scopurile în care sunt prelucrate”[24].
Nu avem date despre modul în care a fost individualizată sancţiunea, dar luând în considerare
faptul că amenda nu a fost însoţită de nicio altă măsură corectivă dintre cele menţionate de
art. 58 alin. (2) din regulament, precum și cuantumul mare al unei astfel de sancţiuni pentru
operatorii din România, dar relativ scăzut faţă de limita maximă prevăzută în GDPR, putem
prezuma că, dintre condiţiile generale pentru impunerea amenzilor administrative stabilite
în textul de art. 83 din regulament, au fost decisive: modul în care încălcarea a fost adusă la
cunoștinţa autorităţii, fiind deja cunoscut că nu operatorul a notificat încălcarea ci investigaţia
a fost derulată ca urmare a unei sesizări; dacă încălcarea a fost comisă intenţionat sau din
neglijenţă; gravitatea și durata încălcării, numărul persoanelor vizate afectate (337.042) și
nivelul prejudiciilor suferite de acestea; categoriile de date afectate de încălcare; gradul de
responsabilitate al operatorului în condiţiile în care nu a implementat măsurile tehnice și
organizatorice prevăzute de art. 25 și art. 32 și, după caz, gradul de cooperare cu ANPDCP.
Nu există informaţii publice dacă amenda a fost sau nu contestată și nici dacă operatorul a
remediat problemele pentru care a fost sancţionat. Totuși, pe baza informaţiilor disponibile, care
indică faptul că datele au fost dezvăluite în perioada 25 mai 2018 - 10 decembrie 2018, se poate
concluziona că după momentul primirii sesizării la ANSPDCP încălcarea a fost stopată, remediată,
iar operatorul și-a conformat activitatea cu dispoziţiile legale în materia protecţiei datelor.
Datele despre cea ce-a doua amendă contravenţională[25] în domeniul GDPR au fost publicate la
o distanţă de doar două zile faţă de anunţul primei amenzi.
În acest caz amenda a fost aplicată unui operator din domeniul hotelier iar investigaţia, finalizată
la data de 2 iulie 2019, a fost desfășurată de ANSPDCP în urma unei notificări prevăzută de art. 33
[24]
A se vedea descrierea măsurii corective înscrise la pct. 15 din tabelul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro
[25]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=O_noua_amenda_GDPR&lang=ro
din RGPD, realizată de operator prin completarea formularului privind încălcarea securităţii
datelor cu caracter personal[26].
Constatând că operatorul a încălcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) și (2)
din regulament, referitoare la securitatea prelucrării datelor cu caracter personal, ANSPDCP a
aplicat acestuia o amendă contravenţională în cuantum de 71.028 lei, echivalentul a 15.000 euro.
Din detaliile publicate de autoritatea naţională de supraveghere rezultă că nici în acest caz
„operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării
unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental
sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal, ceea
ce a condus la accesul neautorizat la datele cu caracter personal ale unui număr mare de clienţi,
printate pe suport de hârtie din aplicaţia hotelieră a operatorului, și divulgarea neautorizată a
acestor date, în mediul on-line”[27].
Din descrierea faptei rezultă că o listă imprimată, ce cuprindea date personale a 46 de persoane
cazate în hotel, utilizată pentru verificarea celor ce serveau micul dejun, a fost fotografiată de
către o persoană ce nu ar fi trebuit să aibă acces la acea listă, iar ulterior a fost publicată în
mediul on-line.
Observăm astfel că operatorul a fost sancţionat întrucât nu a luat măsuri pentru a se asigura
că angajaţii săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa,
potrivit legii, și pentru că nu a implementat măsuri tehnice și organizatorice adecvate, inacţiunile
sale conducând în final la divulgarea neautorizată a datelor, în mediul on-line, și la afectarea
drepturilor la viaţă privată și la protecţia datelor cu caracter personal, ale persoanelor vizate.
Această amendă contravenţională a fost aplicată în completarea unei alte măsuri corective prin
care ANSPDCP a dispus operatorului „revizuirea și actualizarea măsurilor tehnice și organizatorice
implementate ca urmare a evaluării privind riscul pentru drepturile și libertăţile persoanelor,
(și) revizuirea procedurilor de lucru referitoare la protecţia datelor cu caracter personal”[28]. Este
important de subliniat că, pe lângă amendă, a fost dispusă și măsura corectivă, iar punerea ei
în aplicare în conformitate cu dispoziţiile art. 24 din regulament aduce garanţii că drepturile
persoanei vizate sunt respectate.
Nici în acest caz nu avem date despre modul în care a fost individualizată sancţiunea, dar luând
în considerare faptul că amenda a fost însoţită de o altă măsură, precum și cuantumul relativ mic
al sancţiunii, apreciem că, dintre condiţiile generale pentru impunerea amenzilor administrative
stabilite în textul de art. 83 din regulament, au fost decisive: faptul că încălcarea a fost adusă
la cunoștinţa autorităţii chiar de operator, prin completarea formularului de notificare; dacă
[26]
A se vedea și Decizia nr. 128/2018 a președintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal
în conformitate cu Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016
privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie
a acestor date și de abrogare a Directivei nr. 95/46/EC (Regulamentul general privind protecţia datelor), M. Of. nr. 557
din 3 iulie 2018.
[27]
A se vedea descrierea măsurii corective nr. 1, înscrisă la pct. 17 din tabelul publicat pe site-ul ANSPDCP, la adresa
https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro
[28]
A se vedea descrierea măsurii corective nr. 2, înscrise la pct. 17 din tabelul publicat pe site-ul ANSPDCP, la adresa
https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro
încălcarea a fost comisă intenţionat sau din neglijenţă; gravitatea și durata încălcării, numărul
persoanelor vizate afectate (46) și nivelul prejudiciilor suferite de acestea; categoriile de date
DOCTRINĂ
Nu există informaţii publice dacă amenda a fost sau nu contestată, ori dacă ANSPDCP a verificat
îndeplinirea de către operator a măsurii corective complementare amenzii contravenţionale și
nici dacă operatorul a realizat evaluarea riscurilor privind drepturile și libertăţile persoanelor
fizice și, pe baza acesteia, dacă a revizuit și actualizat măsurile tehnice și organizatorice pe care
le implementase iniţial și nici dacă acesta a revizuit procedurile de lucru astfel încât activitatea
sa să fie conformă cu regulamentul.
Anunţul aplicării celei de-a treia amenzi[29] în domeniul GDPR, tot pentru încălcarea dispoziţiilor
art. 32 alin. (1) și (2) din regulament, referitoare la securitatea prelucrării datelor cu caracter
personal, a fost făcut de autoritatea naţională de supraveghere la data de 12 iulie 2019 și a fost
surprinzătoare întrucât a vizat un operator din sfera de activitate juridică, ce oferă servicii inclusiv
în domeniul GDPR.
Astfel, la data de 5 iulie 2019, ANSPDCP a finalizat investigaţia pe care o începuse ca urmare a
primirii în urmă cu mai mult de jumătate de an, la data de 10 decembrie 2018, a unei sesizări
prin care i se semnala faptul că un set de fișiere cu privire la detaliile tranzacţiilor recepţionate de
un site specializat în domeniul juridic, ce conţinea date cu caracter personal, era accesibil public
prin intermediul a două link-uri.
Din descrierea faptei rezultă că operatorul „nu a implementat măsuri tehnice și organizatorice
adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta
a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale
persoanelor care au efectuat tranzacţii recepţionate de site(-ul ...) (nume, prenume, adresa de
corespondenţă, email, telefon, loc de muncă, detalii tranzacţii efectuate), documente accesibile
public, în perioada 10 decembrie 2018-1 februarie 2019”[30], ceea ce a condus la aplicarea unei
amenzi contravenţionale în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.
Nu avem date nici în acest caz despre modul în care a fost individualizată sancţiunea, dar luând în
considerare faptul că amenda nu a fost însoţită de o altă măsură corectivă, precum și cuantumul
relativ mic al sancţiunii, opinăm că au fost determinante următoarele aspecte: categoriile de
date afectate de încălcare; gradul de responsabilitate al operatorului și gradul de cooperare cu
[29]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=2019%20A%20treia%20amenda%20in%20aplicarea%20RGPD&lang=ro
[30]
Ibidem.
Aceste declaraţii ne sugerează că amenda nu a fost contestată, iar operatorul a revizuit măsurile
tehnice și organizatorice, astfel încât acestea să fie adecvate, în vederea asigurării unui nivel de
securitate corespunzător riscului reprezentat de prelucrare.
Observăm de asemenea că, cel mai probabil, între operatorul sancţionat și firma terţă de IT ar
fi putut exista o relaţie operator – împuternicit ca cea descrisă de art. 28 din regulament[32] însă
nu au fost furnizate informaţii publice despre un astfel de contract. Chiar și în aceste condiţii,
subliniem faptul că răspunderea operatorului este atrasă și în situaţiile în care acesta nu stabilește
acele măsuri tehnice și organizatorice și nu se asigură, inclusiv prin solicitarea garanţiilor
suficiente care să conducă la concluzia că persoana împuternicită desfășoară operaţiunile de
prelucrare în conformitate cu instrucţiunile primite de la operator, cu dispoziţiile GDPR și că
respectă drepturile persoanei vizate.
[31]
Declaraţiile reprezentantului operatorului sunt publice și sunt disponibile la adresa https://dpo-net.ro/a-treia-amenda-
gdpr-in-romania-aplicata-site-ului-avocatoo-ro/
[32]
Pentru detalii a se vedea I. Alexe, Relaţia dintre operator și persoana împuternicită, în domeniul protecţiei datelor
personale, în Pandectele Române nr. 2/2018, p. 71-79.
[33]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=A_patra_amenda&lang=ro
ANSPDCP a informat despre faptul că a finalizat în luna iulie 2019, fără a fi precizată data exactă,
o investigaţie derulată pe baza unor sesizări primite la data de 21 martie 2019, prin care i se
semnala că operatorul „are instalate camere de supraveghere video, fără a efectua informarea
legală privind supravegherea video, precum și faptul că acesta a dezvăluit în mod ilegal numele
și CNP-ul salariaţilor, prin afișarea acestor date personale la avizierul societăţii”[34].
Amenda în cuantum de 4.733,70 lei, echivalentul sumei de 1000 euro, a fost aplicată la finalul
efectuării investigaţiei pentru încălcarea dispoziţiilor art. 12 din regulament „deoarece operatorul
nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu
caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realizează
începând din anul 2016, deși avea obligaţia de a lua măsuri adecvate pentru a furniza persoanelor
vizate orice informaţii menţionate la art. 13-14 și orice comunicări în temeiul art. 15-22 și art. 34
referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând
un limbaj clar și simplu, în special pentru orice informaţii adresate în mod specific unui copil”[35].
În cadrul investigaţiei menţionată în paragraful de mai sus a fost constatată și încălcarea unora
dintre principiile privind prelucrarea datelor. Astfel, pentru aplicarea celei de-a cincea amenzi
contravenţionale în domeniul GDPR[36] a fost reţinută încălcarea dispoziţiilor art. 5 alin. (1) lit. c)
din regulament (principiul reducerii la minimum a datelor prelucrate), coroborat cu art. 6, privind
la legalitatea prelucrării[37].
Din justificarea acestei măsuri corective rezultă că amenda în cuantum de 7.100,55 lei,
echivalentul sumei de 1500 euro, a fost aplicată „deoarece prelucrarea/dezvăluirea CNP-ului
angajaţilor prin afișarea unui referat la avizier, nu era adecvată, relevantă și limitată în raport
cu scopul în care acesta era prelucrat, respectiv preîntâmpinarea oricărui accident de muncă.
Totodată operatorul nu a putut face dovada legalităţii prelucrării CNP-ului, prin dezvăluire la
avizier, potrivit art. 6 RGPD”[38].