Experienţe ale aplicării amenzilor administrative din România în domeniul GDPR

Experienţe ale aplicării amenzilor

administrative din România
în domeniul GDPR
Dr. Irina ALEXE*

ABSTRACT

Since the entry into force of the General Data Protection Regulation (GDPR), on
May 25, 2016, but especially after its implementation, starting of May 25, 2018,
the doctrine and practitioners have signalled the particularly severe sanctioning
regime on which the European law act instituted it for non-compliance with
data protection provisions. Although in its public communications the national
supervisory authority in Romania urged caution and drew attention to the fact that
the regulation contains much more news than those brought by the sanctioning
regime, after the first year of implementation some of the private sector operators
have already been sanctioned with administrative fines. In this context we analyse
the causes of the application of this type of corrective measures and we draw their
consequences, not only for the sanctioned operators but also for the other subjects
of the GDPR, respectively for the subsequent, correct, uniform and coherent
application of the regulation.

Keywords: General Data Protection Regulation (GDPR), the national supervisory

authority, sanctioning regime, corrective measures, administrative fines

REZUMAT

De la intrarea în vigoare a Regulamentului general privind protecţia datelor

(GDPR), la 25 mai 2016, dar mai ales după punerea sa în aplicare, începând cu
data de 25 mai 2018, doctrina și practicienii au semnalat regimul sancţionator
deosebit de sever pe care actul legislativ european l-a instituit pentru nerespectarea
dispoziţiilor privind protecţia datelor. Deși în comunicatele sale publice autoritatea
naţională de supraveghere din România îndemna la prudenţă și atrăgea atenţia
*
Irina Alexe este doctor în drept al Universităţii București și cercetător știinţific asociat la Institutul de Cercetări Juridice
„Acad. Andrei Rădulescu” al Academiei Române. Ariile sale de interes vizează dreptul administrativ, dreptul constituţional
și dreptul european. Materialul a fost pregătit pentru Conferinţa naţională „Comunităţi virtuale în epoca Regulamentului
General privind Protecţia Datelor (CVGDPR)”, ed. a III-a, 2019, organizată de Universitatea Danubius din Galaţi, Institutul
de Cercetări Juridice „Acad. Andrei Rădulescu” din cadrul Academiei Române – Centrul de Studii de Drept European
(CSDE) și Asociaţia română de drept și afaceri europene (ARDAE), în data de 13 noiembrie 2019. Informaţiile cuprinse în
text sunt actualizate la data de 4 noiembrie 2019, care este și ultima dată la care au fost accesate site-urile menţionate.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 5/2019 | 79

 Irina ALEXE

asupra faptului că regulamentul conţine mult mai multe noutăţi în afară de cele
aduse prin regimul sancţionator, după scurgerea primului an de aplicare unii dintre
DOCTRINĂ

operatorii din domeniul privat au fost deja sancţionaţi cu amenzi administrative. În

acest context analizăm cauzele aplicării acestui tip de măsuri corective și creionăm
consecinţele acestora, nu doar pentru operatorii sancţionaţi ci și pentru celelalte
subiecte ale GDPR, respectiv pentru aplicarea ulterioară, corectă, uniformă și
coerentă a regulamentului.

Cuvinte-cheie: Regulamentul general privind protecţia datelor (GDPR), autoritatea

naţională de supraveghere, regim sancţionator, măsuri corective, amenzi
administrative

Legislaţie relevantă: Legea nr. 190/2018

I. Succinte consideraţii introductive

După un an și jumătate de la momentul în care Regulamentul general privind protecţia datelor[1]
(denumit în continuare GDPR sau, după caz, regulamentul) a fost pus în aplicare în toate statele
membre ale Uniunii Europene, ne-am propus să analizăm, cu puţinele informaţii furnizate de
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal[2] (denumită,
în continuare, ANSPDCP sau, după caz, autoritatea naţională de supraveghere), cauzele,
modul de aplicare, precum și consecinţele aplicării în România a primelor măsuri corective de
natura amenzilor administrative în domeniul GDPR. Luând în considerare faptul că, în diverse
ocazii, ANSPDCP și-a propus „creșterea nivelului de conștientizare și de înţelegere a riscurilor,
normelor, garanţiilor și drepturilor în materie de prelucrare a datelor”[3] și a asigurat operatorii
că toate garanţiile pe care regulamentul și dreptul intern le prevăd vor fi aplicate inclusiv pentru
individualizarea măsurilor corective de natura amenzilor administrative, pe parcursul analizei
noastre urmărim și respectarea principiului proporţionalităţii[4].

[1]
Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și
de abrogare a Directivei nr. 95/46/CE (Regulamentul general privind protecţia datelor) a fost publicat în JO L119, 4 mai
2016, p. 1-88, iar textul a fost rectificat ulterior, înainte de punerea sa în aplicare, rectificarea fiind publicată în JO L127,
23 mai 2018.
[2]
Detalii despre organizarea, funcţionarea și competenţele autorităţii sunt reglementate prin Legea nr. 129/2018 pentru
modificarea și completarea Legii nr. 102/2005 privind înfiinţarea, organizarea și funcţionarea Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulaţie a acestor date, M. Of. nr. 503 din
19 iunie 2018. Legea nr. 102/2005 a fost republicată în M. Of. nr. 947 din 9 noiembrie 2018, dându-se textelor o nouă
numerotare. Cu privire la aplicarea GDPR în România a se vedea, D.-M. Șandru, Aspecte privind aplicarea Regulamentului
nr. 679 din 2016 privind protecţia datelor cu caracter personal, în Studii și cercetări juridice nr. 1/2019, p. 81 și urm.
[3]
A se vedea, ca exemplu, comunicatul de presă postat de ANSPDCP pe site-ul oficial al acesteia la data de 9 februarie
2018, disponibil la adresa https://www.dataprotection.ro/?page=Obiective_RGPD&lang=ro
[4]
Pentru o analiză a principiului proporţionalităţii în dreptul administrativ european a se vedea R. Ortlep,
R. Winddershoven, European Administrativ Law, în volumul R. Seerden (editor), Comparative Administrative Law.
Administrative Law of the European Union, Its Member States and the United States, Intersentia, 2018, în special p. 307.
A se vedea și D.-M. Şandru, Principiul echităţii în prelucrarea datelor cu caracter personal, în Pandectele române nr. 3/2018,
p. 58-60.

80 | PANDECTELE ROMÂNE NR. 5/2019 | DOCTRINĂ

 Experienţe ale aplicării amenzilor administrative din România în domeniul GDPR

În doctrina de dată recentă au fost subliniate atât particularităţile aplicării, în România, a

regimului sancţionator pe care regulamentul l-a instituit, cât și dificultatea aplicării unitare a
acestuia în toate statele membre[5], inclusiv în ceea ce privește sancţiunile administrative[6].
Astfel, chiar înainte de împlinirea termenului de la care regulamentul devenea aplicabil au fost
evidenţiate trăsăturile particularizatoare ale regimului sancţionator, precum și rolul important
al autorităţilor naţionale de supraveghere, sau, după caz, necesitatea dezbaterii, îndrumării
aplicării și înţelegerii aprofundate a noţiunilor și regulilor pe care regulamentul le-a instituit
pentru operatori.

Opinia exprimată anterior, în conformitate cu care „dacă autoritatea de supraveghere din

România și-ar exercita mai plenar rolul pe care GDPR i-l conferă și ar publica pe site-ul său, nu
doar comunicate despre amenzile aplicate, ci și motivarea măsurilor luate, precum și informaţii
despre alte măsuri corective, în afara amenzilor contravenţionale, toate acestea ar constitui
un exemplu de bună practică și ar contribui la evitarea încălcărilor regulamentului de către
alţi operatori”[7] rămâne valabilă chiar dacă între timp, la finalul lunii octombrie, autoritatea
a publicat mai multe informaţii privind aplicarea măsurilor corective în perioada 1 iunie-30 sep-
tembrie 2019, în cadrul investigaţiilor efectuate[8]. Valabilitatea acesteia se susţine inclusiv prin
faptul că din descrierea măsurilor corective aplicate operatorilor din sectorul public și din sectorul
privat lipsesc uneori nuanţele care ar putea conduce la evitarea încălcării, de către alţi operatori,
a acelorași dispoziţii. Această opinie se susţine în continuare și prin lipsa unor informaţii despre
eventuale controale ulterioare pe care autoritatea le-a întreprins pentru a se asigura că măsurile
corective aplicate au produs schimbările necesare. De asemenea, pentru ca tabloul să fie complet
și într-adevăr util, considerăm important ca informaţiile publice furnizate să se refere de fiecare
dată la temeiul legal și la eventualele contestări ale măsurilor corective aplicate, respectiv la
modul de soluţionare a contestaţiilor, atunci când acestea au existat.

Am ales ca analiza noastră, realizată pe parcursul secţiunilor următoare, să urmărească

structurarea măsurilor corective în funcţie de mai multe criterii, ce vizează apartenenţa
operatorilor la sectorul public sau la sectorul privat[9], temeiul legal al aplicării și tipul măsurii
corective, să continue cu detalierea circumstanţelor care au condus la aplicarea amenzilor
contravenţionale și a lecţiilor ce trebuie învăţate din fiecare caz în parte și să se încheie cu câteva
succinte concluzii care au ca scop evitarea sancţionării altor operatori și aplicarea ulterioară,
corectă, uniformă și coerentă a regulamentului.

[5]
Referitor la particularităţile regimului sancţionator a se vedea I. Alexe, Regimul sancţionator prevăzut de Regulamentul
(UE) 2016/679 privind protecţia datelor cu caracter personal, în revista Curierul Judiciar nr. 1/2018, p. 36-42; în același sens,
referitor la aplicarea acestui regim sancţionator în România a se vedea I. Alexe, D.-M. Șandru, Reglementări naţionale ce
vizează aplicarea, în România, a Regulamentului General privind protecţia datelor, în volumul I. Alexe, D.-M. Şandru (editori),
Legislaţia privind protecţia datelor în România, Ed. Rosetti International, București, 2018, p. 7-25.
[6]
Pentru definirea și analiza diverselor tipuri de sancţiuni administrative în Uniunea Europeană a se vedea C.E. Paliero,
The Definition of Administrative Sanctions – General Report, în volumul O. Jansen (editor), Administrative Sanctions in the
European Union, Intersentia, 2013, în special p. 1-34.
[7]
I. Alexe, Particularităţile procedurii de efectuare a investigaţiilor ce vizează protecţia datelor, în Pandectele Române
nr. 4/2019, p. 74.
[8]
Detalii privind măsurile corective aplicate de ANSPDCP în perioada 1 iunie 2019 – 30 septembrie 2019 sunt disponibile
la adresa https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro
[9]
Pentru aprofundarea detaliilor despre regimul juridic al entităţii controlate ca premisă pentru aplicarea diferenţiată a
unor măsuri corective, a se vedea I. Alexe, Particularităţile procedurii ..., op. cit., p. 65-67.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 5/2019 | 81

 Irina ALEXE

II. Tipologii ale măsurilor corective aplicate de ANSPDCP în

perioada iunie-septembrie 2019
DOCTRINĂ

Am menţionat anterior faptul că autoritatea naţională de supraveghere a publicat, prin

intermediul site-ului propriu, măsurile corective aplicate operatorilor în perioada 1 iunie-30 sep-
tembrie 2019, ca urmare a investigaţiilor efectuate. Analizând puţinele informaţii disponibile
putem observa că în perioada de referinţă ANSPDCP a aplicat 98 de măsuri corective nu doar
în temeiul regulamentului, ci și al Legii nr. 506/2004[10], care stabilește condiţiile specifice de
garantare a dreptului la protecţia vieţii private în privinţa prelucrării datelor cu caracter personal
în sectorul comunicaţiilor electronice, ori chiar al Legii nr. 363/2018[11], care așa cum este
cunoscut, transpune Directiva nr. 680/2016[12], ce constituie una dintre excepţiile de la aplicarea
GDPR[13].

Nu putem ști însă cu certitudine că acestea sunt toate măsurile corective aplicate întrucât tot
de pe site-ul ANSPDCP aflam, la data de 14 octombrie 2019, că a fost finalizată o investigaţie
la un operator privat, ce a condus la aplicarea unei amenzi contravenţionale în temeiul Legii
nr. 506/2004[14], iar la data de 7 octombrie 2019, că au fost aplicate alte două amenzi pentru
încălcarea regulamentului, măsuri corective neincluse în tabelul centralizator publicat ulterior.
Pentru a respecta tema, particularităţile sancţiunilor aplicate în temeiul altor acte normative, nu
fac obiectul studiului nostru, însă, în lipsa informaţiilor despre data finalizării investigaţiei în cazul
amenzii aplicate pentru încălcarea Legii nr. 506/2004, am exemplificat doar pentru a sublinia
faptul că, absenţa unui registru public, ușor accesibil și facil de înţeles, al tuturor măsurilor
corective aplicate de ANSPDCP în temeiul regulamentului, face mai puţin probabil ca scopul
preventiv urmărit să fie atins.

Luând în considerare informaţiile publice despre măsurile corective aplicate de autoritatea

naţională de supraveghere în perioada 1 iunie-30 septembrie 2019, și având drept criteriu
apartenenţa operatorilor la sectorul public sau la sectorul privat, putem observa că dintre cei
55 de operatori cărora le-au fost aplicate cele 98 de măsuri corective menţionate, 44 de operatori
sunt din sectorul privat, 7 operatori sunt autorităţi sau organisme publice, 2 operatori sunt
[10]
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecţia vieţii private în sectorul comunicaţiilor
electronice, M. Of. nr. 1101 din 25 noiembrie 2004, cu modificările și completările ulterioare. Pentru detalii despre
efectuarea investigaţiilor inclusiv în temeiul acestei legi a se vedea I. Alexe, Particularităţile procedurii ..., op. cit., p. 67-68.
[11]
Legea nr. 363/2018 privind protecţia persoanelor fizice relativ la prelucrarea datelor cu caracter personal de către
autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracţiunilor sau al
executării pedepselor, măsurilor educative și de siguranţă, precum și libera circulaţie a acestor date, M. Of. nr. 13 din
7 ianuarie 2019.
[12]
Directiva (UE) nr. 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecţia persoanelor
fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării,
investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor și privind libera circulaţie a acestor date și
de abrogare a Deciziei-cadru nr. 2008/977/JAI a Consiliului, JO L119, 4 mai 2016, p. 89-131. Directiva (UE) nr. 2016/680
a fost transpusă în România prin Legea nr. 363/2018.
[13]
Pentru detalii a se vedea: I. Alexe, C.-M. Banu, De la directivă la regulament în reglementarea protecţiei datelor cu
caracter personal la nivelul Uniunii Europene, în volumul I. Alexe, N.-D. Ploeșteanu, D.-M. Şandru (coordonatori), Protecţia
datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor
românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 14-40.
[14]
Informaţiile publicate la data de 14 octombrie 2019 sub titlul „O nouă amendă în aplicarea Legii nr. 506/2004” sunt
disponibile la adresa https://www.dataprotection.ro/?page=Amenda_Elefant_Online&lang=ro

82 | PANDECTELE ROMÂNE NR. 5/2019 | DOCTRINĂ

 Experienţe ale aplicării amenzilor administrative din România în domeniul GDPR

persoane fizice (unul fiind deţinătorul unui domeniu de internet iar pentru al doilea neexistând
nici un fel de informaţie relevantă care să conducă la clarificarea calităţii sale de operator),
1 operator este ONG cu statut de utilitate publică, iar 1 operator este o asociaţie, probabil fără
scop lucrativ, dar nu au fost publicate suficiente informaţii pentru a ști dacă are sau nu statut de
utilitate publică și dacă, în temeiul legii[15], acest operator poate fi sau nu asimilat autorităţilor și
organismelor publice. În context, apreciem că chiar ANSPDCP este susceptibilă de a fi încălcat
dispoziţiile GDPR privind drepturile persoanelor fizice la protecţia datelor cu caracter personal
întrucât, în opinia noastră, nu ar fi trebuit să publice datele cu caracter personal referitoare la
numele și prenumele celor două persoane fizice sancţionate, date care, în lipsa anonimizării,
conduc la identificarea persoanelor vizate.

Realizând o clasificare având drept criteriu de analiză temeiul legal al aplicării măsurilor
corective aplicate, acolo unde acesta a fost menţionat, observăm că, dintre cele 98 de măsuri
corective, 8 au fost aplicate în temeiul Legii nr. 506/2014, una în temeiul Legii nr. 363/2018,
55 în temeiul GDPR, iar pentru 34 de măsuri corective nu a fost specificat temeiul legal însă,
din analiza datelor existente, se poate prezuma că au fost aplicate în temeiul regulamentului.

Utilizând drept criteriu de analiză tipul măsurii corective, cele 98 de sancţiuni pot fi
structurate astfel: avertismente pentru încălcări ale dispoziţiilor regulamentului sau ale
Legii nr. 506/2004 (32); amenzi contravenţionale (7); dispunerea luării măsurilor tehnice și
organizatorice necesare (7); instruirea angajaţilor asupra riscurilor și consecinţelor pe care le
implică divulgarea datelor personale (2) ori asupra procedurilor de lucru (1) sau a măsurilor luate
de operator pentru accesul date doar în scopul îndeplinirii atribuţiilor de serviciu (1); obligarea
operatorului de a revizui și actualiza măsurile tehnice și organizatorice implementate (6);
obligarea operatorului la a reanaliza și a lua măsurile necesare pentru ca datele să fie prelucrate
în mod legal, inclusiv în ceea ce privește aplicarea Legii nr. 506/2004 (6); obligarea operatorului
de a lua măsuri astfel încât să fie respectate, în toate cazurile, prevederile art. 12, respectiv ale
art. 21 din GDPR (4); interdicţia de prelucrare a datelor cu caracter personal fără respectarea
dispoziţiilor art. 6 și art. 7 din regulament (2); obligarea operatorului de a furniza persoanei vizate
informaţii privind acţiunile întreprinse în urma unor cereri întemeiate pe dispoziţiile art. 12-22
din regulament (2); obligarea operatorului de a transmite un răspuns sau un răspuns complet
către petent/persoana vizată, inclusiv în cazurile în care și-a exercitat dreptul la ștergere (8);
recomandarea adresată operatorului de a da curs cererii petentului și de a i se comunica un
răspuns (1); obligarea operatorului la întocmirea unei proceduri referitoare la gestionarea cererilor
persoanelor vizate prin care acestea își pot exercita drepturile și aducerea acesteia la cunoștinţa
persoanelor vizate (1) sau, după caz, transmiterea acestei proceduri ANSPDCP (1); obligarea
operatorului de a lua măsuri pentru asigurarea securităţii conturilor create pe o platformă și a
datelor clienţilor (1); obligarea operatorului de a respecta o procedură de lucru de identificare
a clienţilor persoane fizice (1); obligarea operatorului de a analiza situaţiile existente și de a
[15]
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) nr. 2016/679 al Parlamentului European
și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulaţie a acestor date și de abrogare a Directivei nr. 95/46/EC (Regulamentul general privind
protecţia datelor), M. Of. nr. 651 din 26 iulie 2018. Art. 2 lit. a) din Legea nr. 190/2018 definește autorităţile și organismele
publice, astfel: „Camera Deputaţilor și Senatul, Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de
specialitate ale administraţiei publice centrale, autorităţile și instituţiile publice autonome, autorităţile administraţiei
publice locale și de la nivel judeţean, alte autorităţi publice, precum și instituţiile din subordinea/coordonarea acestora.
În sensul prezentei legi, sunt asimilate autorităţilor/organismelor publice și unităţile de cult și asociaţiile și fundaţiile
de utilitate publică”.

DOCTRINĂ | PANDECTELE ROMÂNE NR. 5/2019 | 83

 Irina ALEXE

stabili măsurile necesare în cazul transmiterii/dezvăluirii datelor, pentru respectarea principiilor

de prelucrare (1); obligarea operatorului de a efectua o evaluare a riscurilor incidente prelucrărilor
DOCTRINĂ

preconizate potrivit art. 35 alin. (3) din Legea nr. 363/2018 (1); obligarea operatorului de a realiza
informarea persoanelor vizate (2); obligarea operatorului de a transmite un răspuns sau un
răspuns complet ANSPDCP (10); instituirea unui plan de remediere prin care operatorul privat
să furnizeze autorităţii naţionale de supraveghere toate informaţiile solicitate (1).

Din analiza acestor măsuri observăm că toate se încadrează în opt din cele zece categorii de
competenţe corective prevăzute de art. 58 alin. (2) din regulament[16], în România nefiind aplicate
încă măsuri ca cele prevăzute la lit. h) și j)[17].

Semnalăm însă o situaţie care, în opinia noastră, trebuie explicată mai mult de către autoritatea
naţională de supraveghere întrucât, din informaţiile publice furnizate de aceasta rezultă că unui
operator i-a fost aplicat un avertisment și a fost întocmit și un plan de remediere[18] – „furnizarea
tuturor informaţiilor conform celor solicitate de ANSPDCP”, aceasta constând probabil în măsura
de remediere prevăzută de lege, nefiind disponibile nici informaţii privind statutul operatorului,
termenul de remediere ori dacă, după expirarea acestuia, a fost sau nu dispusă o altă măsură
legală[19].

De asemenea, observăm că 4 din cele 7 amenzi și 24 din cele 32 de avertismente din perioada
de referinţă analizată au fost aplicate alături de o altă măsură corectivă, în conformitate cu
dispoziţiile regulamentului dar și cu normele de drept intern și apreciem că scopul autorităţii
naţionale de supraveghere nu a fost acela de a aplica doar amenzi contravenţionale ci și de a
dispune alte măsuri prin care conduita operatorilor să fie corectată iar drepturile persoanei vizate
să fie respectate.

III. Aspecte relevante ale aplicării amenzilor administrative în

România, în domeniul GDPR
Semnalam, în secţiunile anterioare, că în România, în perioada pentru care autoritatea de
supraveghere a întocmit o centralizare a măsurilor aplicate, doar 7 din cele 98 de măsuri corective
fac parte din categoria amenzilor contravenţionale. Reiterăm faptul că, dintre cele 7 menţionate,
[16]
Pentru analiza competenţelor corective a se vedea I. Alexe, Regimul sancţionator...., op. cit., iar despre particularităţile
aplicării acestui regimul sancţionator în România a se vedea I. Alexe, D.-M. Șandru, Reglementări naţionale ce vizează
aplicarea, în România ..., op. cit.
[17]
Potrivit dispoziţiilor art. 58 alin. (2) lit. h) și j) din regulament „Fiecare autoritate de supraveghere are următoarele
competenţe corective: (...) h) de a retrage o certificare sau de a obliga organismul de certificare să retragă o certificare
eliberată în temeiul articolului 42 și 43 sau de a obliga organismul de certificare să nu elibereze o certificare în cazul în
care cerinţele de certificare nu mai sunt îndeplinite; (...) j) de a dispune suspendarea fluxurilor de date către un destinatar
dintr-o ţară terţă sau către o organizaţie internaţională”.
[18]
Potrivit art. 2 lit. c) din Legea nr. 190/2018, planul de remediere este „anexă la procesul-verbal de constatare și
sancţionare a contravenţiei, întocmit în condiţiile prevăzute la art. 11 (în realitate, este vorba despre art. 12, art. 11
referindu-se la acreditarea organismelor de certificare) (n.a), prin care Autoritatea Naţională de Supraveghere a Prelucrării
Datelor cu Caracter Personal, denumită în continuare Autoritatea naţională de supraveghere, stabilește măsuri și un
termen de remediere”.
[19]
Din surse publice putem afla că ONG-ul sancţionat are statut de utilitate publică. Detalii sunt disponibile la adresa:
https://a-carvaslui.ro/asociatia-asistentei-rutiere-a-car-vaslui Pentru o analiză a importanţei acestor aspecte, precum
și pentru alte detalii se vedea I. Alexe, Particularităţile procedurii ..., op. cit., p. 62-75.

84 | PANDECTELE ROMÂNE NR. 5/2019 | DOCTRINĂ

 Experienţe ale aplicării amenzilor administrative din România în domeniul GDPR

6 sunt aplicate în temeiul dispoziţiilor regulamentului și una a fost dispusă o în temeiul Legii
nr. 506/2004, care nu face obiectul analizei noastre, precum și faptul că, în afara perioadei de
referinţă, ANSPDCP a mai comunicat informaţii despre alte trei amenzi contravenţionale aplicate
în luna octombrie 2019, 2 în temeiul regulamentului[20] și una în temeiul Legii nr. 506/2004[21].

Întrucât impactul aplicării acestui tip de sancţiuni, nu doar cel financiar, este major în rândul
operatorilor, analizăm, punctual, atât aspectele care au condus la aplicarea sancţiunii, cât și lecţiile
ce trebuie învăţate din fiecare dintre cele 8 cazuri de aplicare a măsurilor corective prevăzute
de art. 58 alin. (2) lit. i) din regulament, adică a amenzilor contravenţionale dispuse în temeiul
și pentru nerespectarea dispoziţiilor GDPR. În context subliniem că, potrivit regulamentului și
dreptului intern, în funcţie de circumstanţele fiecărui caz în parte, amenzile contravenţionale pot
fi aplicate în locul sau în completarea altor măsuri corective și evidenţiem inclusiv situaţiile în
care ANSPDCP a aplicat și alte măsuri corective.

Am ales să individualizăm aceste sancţiuni contravenţionale în funcţie de momentul publicării

de către autoritatea naţională de supraveghere a informaţiilor despre amenzi și prin cuantumul
acestora. Menţionăm faptul că, potrivit legii[22], în România, amenzile se aplică și se achită în lei,
dar pentru că nu de fiecare dată ANSPDCP a publicat și informaţiile despre cuantumul în lei al
amenzilor aplicate, le vom individualiza utilizând valoarea lor în moneda europeană.

1) Prima amendă – 130.000 euro

Informaţiile despre prima dintre amenzile contravenţionale[23] aplicate în domeniul GDRP au

produs dezbateri în spaţiul public și îngrijorări în rândul operatorilor, fiind prima măsură corectivă
despre care autoritatea naţională de supraveghere a comunicat public la începutul lunii iulie 2019,
deși din informaţiile ulterioare a rezultat că aceasta mai aplicase alte 14 măsuri corective, altor
operatori, despre care nu a informat până la finalul lunii octombrie.

Analizând datele comunicate, constatăm că această primă amendă, aplicată unei bănci la data de
27 iunie 2019, a survenit ca urmare a unei investigaţii ce a fost desfășurată la sediul operatorului,
după ce autoritatea naţională de supraveghere a dat curs unei plângeri pe care o primise anterior,
la 22 noiembrie 2018, prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor
care efectuau plăţi la banca respectivă, prin intermediul tranzacţiilor on-line, erau dezvăluite
către beneficiarul tranzacţiei, prin formularele de extras de cont/detalii.

Nu există date despre durata exactă a investigaţiei dar putem presupune că acesta s-a derulat
pe parcursul mai multor luni, din noiembrie 2018 până în iunie 2019 iar la finalizarea acesteia
ANSPDCP a constatat că operatorul a încălcat prevederile art. 25 alin. (1), coroborate cu cele
ale art. 5 alin. (1) lit. c) din regulament și a aplicat o sancţiune contravenţională în cuantum de
613.912 lei, echivalentul a 130.000 euro.

[20]
Detalii pot fi regăsite la adresa https://www.dataprotection.ro/?page=Comunicat_Presa_09_10_2019&lang=ro
[21]
Detalii pot fi regăsite la adresa https://www.dataprotection.ro/?page=Amenda_Elefant_Online&lang=ro
[22]
Coroborând dispoziţiile art. 12 din Legea nr. 190/2018, cu cele ale art. 15 din Legea nr. 102/2005, observăm că, după
finalizarea investigaţiei, pentru încălcarea dispoziţiilor GDPR și a actelor normative naţionale care îl pun în aplicare,
amenzile se aplică și se achită în lei, data de referinţă fiind data aplicării.
[23]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=Comunicat_Amenda_Unicredit&lang=ro

DOCTRINĂ | PANDECTELE ROMÂNE NR. 5/2019 | 85

 Irina ALEXE

Din detaliile publicate de autoritatea naţională de supraveghere rezultă că „operatorul nu a pus

în aplicare măsuri tehnice și organizatorice adecvate, atât în momentul stabilirii mijloacelor
DOCTRINĂ

de prelucrare, cât și în cel al prelucrării în sine, pentru a îndeplini cerinţele RGPD și a proteja
drepturile persoanelor vizate, ceea ce a condus la dezvăluirea în documentele ce conţin detaliile
tranzacţiilor și care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor într-o anumită
perioadă, a datelor privind CNP-ul și adresa persoanei care a efectuat plata/plătitorului, respectiv
a datelor privind adresa plătitorului, pentru un număr mare de persoane vizate, deși, potrivit
art. 5 alin. (1) lit. c) din RGPD, avea obligaţia de a prelucra date limitate la ceea ce este necesar
în raport cu scopurile în care sunt prelucrate”[24].

Sancţiunea a fost aplicată întrucât operatorul nu a adoptat măsuri tehnice și organizatorice

adecvate, nici în momentul stabilirii mijloacelor de prelucrare, nici în momentul prelucrării, care
să conducă la protejarea drepturilor persoanelor vizate, inacţiunea având drept consecinţă că, în
perioada 25 mai 2018 - 10 decembrie 2018, au fost dezvăluite datele personale pentru un număr
de peste 337.000 persoane vizate.

Nu avem date despre modul în care a fost individualizată sancţiunea, dar luând în considerare
faptul că amenda nu a fost însoţită de nicio altă măsură corectivă dintre cele menţionate de
art. 58 alin. (2) din regulament, precum și cuantumul mare al unei astfel de sancţiuni pentru
operatorii din România, dar relativ scăzut faţă de limita maximă prevăzută în GDPR, putem
prezuma că, dintre condiţiile generale pentru impunerea amenzilor administrative stabilite
în textul de art. 83 din regulament, au fost decisive: modul în care încălcarea a fost adusă la
cunoștinţa autorităţii, fiind deja cunoscut că nu operatorul a notificat încălcarea ci investigaţia
a fost derulată ca urmare a unei sesizări; dacă încălcarea a fost comisă intenţionat sau din
neglijenţă; gravitatea și durata încălcării, numărul persoanelor vizate afectate (337.042) și
nivelul prejudiciilor suferite de acestea; categoriile de date afectate de încălcare; gradul de
responsabilitate al operatorului în condiţiile în care nu a implementat măsurile tehnice și
organizatorice prevăzute de art. 25 și art. 32 și, după caz, gradul de cooperare cu ANPDCP.

Nu există informaţii publice dacă amenda a fost sau nu contestată și nici dacă operatorul a
remediat problemele pentru care a fost sancţionat. Totuși, pe baza informaţiilor disponibile, care
indică faptul că datele au fost dezvăluite în perioada 25 mai 2018 - 10 decembrie 2018, se poate
concluziona că după momentul primirii sesizării la ANSPDCP încălcarea a fost stopată, remediată,
iar operatorul și-a conformat activitatea cu dispoziţiile legale în materia protecţiei datelor.

2) A doua amendă – 15.000 euro

Datele despre cea ce-a doua amendă contravenţională[25] în domeniul GDPR au fost publicate la
o distanţă de doar două zile faţă de anunţul primei amenzi.

În acest caz amenda a fost aplicată unui operator din domeniul hotelier iar investigaţia, finalizată
la data de 2 iulie 2019, a fost desfășurată de ANSPDCP în urma unei notificări prevăzută de art. 33

[24]
A se vedea descrierea măsurii corective înscrise la pct. 15 din tabelul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro
[25]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=O_noua_amenda_GDPR&lang=ro

86 | PANDECTELE ROMÂNE NR. 5/2019 | DOCTRINĂ

 Experienţe ale aplicării amenzilor administrative din România în domeniul GDPR

din RGPD, realizată de operator prin completarea formularului privind încălcarea securităţii
datelor cu caracter personal[26].

Constatând că operatorul a încălcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) și (2)
din regulament, referitoare la securitatea prelucrării datelor cu caracter personal, ANSPDCP a
aplicat acestuia o amendă contravenţională în cuantum de 71.028 lei, echivalentul a 15.000 euro.

Din detaliile publicate de autoritatea naţională de supraveghere rezultă că nici în acest caz
„operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării
unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental
sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal, ceea
ce a condus la accesul neautorizat la datele cu caracter personal ale unui număr mare de clienţi,
printate pe suport de hârtie din aplicaţia hotelieră a operatorului, și divulgarea neautorizată a
acestor date, în mediul on-line”[27].

Din descrierea faptei rezultă că o listă imprimată, ce cuprindea date personale a 46 de persoane
cazate în hotel, utilizată pentru verificarea celor ce serveau micul dejun, a fost fotografiată de
către o persoană ce nu ar fi trebuit să aibă acces la acea listă, iar ulterior a fost publicată în
mediul on-line.

Observăm astfel că operatorul a fost sancţionat întrucât nu a luat măsuri pentru a se asigura
că angajaţii săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa,
potrivit legii, și pentru că nu a implementat măsuri tehnice și organizatorice adecvate, inacţiunile
sale conducând în final la divulgarea neautorizată a datelor, în mediul on-line, și la afectarea
drepturilor la viaţă privată și la protecţia datelor cu caracter personal, ale persoanelor vizate.

Această amendă contravenţională a fost aplicată în completarea unei alte măsuri corective prin
care ANSPDCP a dispus operatorului „revizuirea și actualizarea măsurilor tehnice și organizatorice
implementate ca urmare a evaluării privind riscul pentru drepturile și libertăţile persoanelor,
(și) revizuirea procedurilor de lucru referitoare la protecţia datelor cu caracter personal”[28]. Este
important de subliniat că, pe lângă amendă, a fost dispusă și măsura corectivă, iar punerea ei
în aplicare în conformitate cu dispoziţiile art. 24 din regulament aduce garanţii că drepturile
persoanei vizate sunt respectate.

Nici în acest caz nu avem date despre modul în care a fost individualizată sancţiunea, dar luând
în considerare faptul că amenda a fost însoţită de o altă măsură, precum și cuantumul relativ mic
al sancţiunii, apreciem că, dintre condiţiile generale pentru impunerea amenzilor administrative
stabilite în textul de art. 83 din regulament, au fost decisive: faptul că încălcarea a fost adusă
la cunoștinţa autorităţii chiar de operator, prin completarea formularului de notificare; dacă
[26]
A se vedea și Decizia nr. 128/2018 a președintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal
în conformitate cu Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016
privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie
a acestor date și de abrogare a Directivei nr. 95/46/EC (Regulamentul general privind protecţia datelor), M. Of. nr. 557
din 3 iulie 2018.
[27]
A se vedea descrierea măsurii corective nr. 1, înscrisă la pct. 17 din tabelul publicat pe site-ul ANSPDCP, la adresa
https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro
[28]
A se vedea descrierea măsurii corective nr. 2, înscrise la pct. 17 din tabelul publicat pe site-ul ANSPDCP, la adresa
https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro

DOCTRINĂ | PANDECTELE ROMÂNE NR. 5/2019 | 87

 Irina ALEXE

încălcarea a fost comisă intenţionat sau din neglijenţă; gravitatea și durata încălcării, numărul
persoanelor vizate afectate (46) și nivelul prejudiciilor suferite de acestea; categoriile de date
DOCTRINĂ

afectate de încălcare; gradul de responsabilitate al operatorului și gradul de cooperare cu

ANPDCP.

Nu există informaţii publice dacă amenda a fost sau nu contestată, ori dacă ANSPDCP a verificat
îndeplinirea de către operator a măsurii corective complementare amenzii contravenţionale și
nici dacă operatorul a realizat evaluarea riscurilor privind drepturile și libertăţile persoanelor
fizice și, pe baza acesteia, dacă a revizuit și actualizat măsurile tehnice și organizatorice pe care
le implementase iniţial și nici dacă acesta a revizuit procedurile de lucru astfel încât activitatea
sa să fie conformă cu regulamentul.

3) A treia amendă – 3.000 euro

Anunţul aplicării celei de-a treia amenzi[29] în domeniul GDPR, tot pentru încălcarea dispoziţiilor
art. 32 alin. (1) și (2) din regulament, referitoare la securitatea prelucrării datelor cu caracter
personal, a fost făcut de autoritatea naţională de supraveghere la data de 12 iulie 2019 și a fost
surprinzătoare întrucât a vizat un operator din sfera de activitate juridică, ce oferă servicii inclusiv
în domeniul GDPR.

Astfel, la data de 5 iulie 2019, ANSPDCP a finalizat investigaţia pe care o începuse ca urmare a
primirii în urmă cu mai mult de jumătate de an, la data de 10 decembrie 2018, a unei sesizări
prin care i se semnala faptul că un set de fișiere cu privire la detaliile tranzacţiilor recepţionate de
un site specializat în domeniul juridic, ce conţinea date cu caracter personal, era accesibil public
prin intermediul a două link-uri.

Din descrierea faptei rezultă că operatorul „nu a implementat măsuri tehnice și organizatorice
adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta
a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale
persoanelor care au efectuat tranzacţii recepţionate de site(-ul ...) (nume, prenume, adresa de
corespondenţă, email, telefon, loc de muncă, detalii tranzacţii efectuate), documente accesibile
public, în perioada 10 decembrie 2018-1 februarie 2019”[30], ceea ce a condus la aplicarea unei
amenzi contravenţionale în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Considerăm important să precizăm că autoritatea naţională de supraveghere a subliniat

și obligaţia pe care operatorul o avea, în conformitate cu dispoziţiile art. 5 alin. (1) lit. f) din
regulament, de a prelucra datele într-un mod care asigură securitatea adecvată a acestora,
prin luarea măsurilor tehnice și organizatorice corespunzătoare, reafirmând astfel importanţa
asigurării unui nivel adecvat de securitate a datelor, luând în considerare riscul prelucrării.

Nu avem date nici în acest caz despre modul în care a fost individualizată sancţiunea, dar luând în
considerare faptul că amenda nu a fost însoţită de o altă măsură corectivă, precum și cuantumul
relativ mic al sancţiunii, opinăm că au fost determinante următoarele aspecte: categoriile de
date afectate de încălcare; gradul de responsabilitate al operatorului și gradul de cooperare cu

[29]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=2019%20A%20treia%20amenda%20in%20aplicarea%20RGPD&lang=ro
[30]
Ibidem.

88 | PANDECTELE ROMÂNE NR. 5/2019 | DOCTRINĂ

 Experienţe ale aplicării amenzilor administrative din România în domeniul GDPR

ANSPDCP; acţiunile întreprinse de operator pentru a reduce prejudiciile suferite de persoanele

vizate; gravitatea și durata încălcării, relativ reduse, numărul persoanelor vizate afectate și nivelul
prejudiciilor suferite de acestea. Există însă, în acest caz, declaraţii publice ale reprezentantului
operatorului, care susţin opinia exprimată anterior, și potrivit cărora „în decursul anului trecut,
am decis să mutăm site-ul (...) pe un nou serviciu de hosting și să demarăm o procedură de
rebranding. Am apelat la o firmă terţă de IT, în speranţa că vom obţine rezultate optime. După ce
a fost efectuat transferul, am efectuat o serie de teste de securitate de bază și am fost asiguraţi de
faptul că totul este pus la punct din perspectivă tehnică. În ciuda acestui lucru, după cum aveam
să aflăm ulterior, în urma investigaţiei ANSPDCP, în momentul în care s-a făcut migraţia de pe
un server pe altul, un fișier care conţinea date criptate despre un număr limitat de tranzacţii B2B a
putut fi accesat pe bază de link direct, doar dacă se știa adresa exactă la care putea fi accesat acest
fișier. (...) este vorba despre un fișier de tranzacţii vechi, inactiv, care nu a fost accesat de persoane
neautorizate. (...) Nici furnizorul de servicii și nici noi, ulterior, nu am identificat un potenţial risc,
deși ar fi trebuit. Au fost luate măsuri suplimentare pentru a asigura securitatea site-ului (...) și a
datelor vizitatorilor, utilizatorilor și clienţilor noștri. Suntem de părere că legea GDPR este una dintre
cele mai importante și valoroase măsuri aplicate la nivel european în ceea ce privește protecţia
utilizatorilor de internet și privim măsura luată de ANSDCP drept o lecţie din care am învăţat lucruri,
o lecţie pe care o putem aplica și atunci când venim în sprijinul partenerilor noștri de business”[31].

Aceste declaraţii ne sugerează că amenda nu a fost contestată, iar operatorul a revizuit măsurile
tehnice și organizatorice, astfel încât acestea să fie adecvate, în vederea asigurării unui nivel de
securitate corespunzător riscului reprezentat de prelucrare.

Observăm de asemenea că, cel mai probabil, între operatorul sancţionat și firma terţă de IT ar
fi putut exista o relaţie operator – împuternicit ca cea descrisă de art. 28 din regulament[32] însă
nu au fost furnizate informaţii publice despre un astfel de contract. Chiar și în aceste condiţii,
subliniem faptul că răspunderea operatorului este atrasă și în situaţiile în care acesta nu stabilește
acele măsuri tehnice și organizatorice și nu se asigură, inclusiv prin solicitarea garanţiilor
suficiente care să conducă la concluzia că persoana împuternicită desfășoară operaţiunile de
prelucrare în conformitate cu instrucţiunile primite de la operator, cu dispoziţiile GDPR și că
respectă drepturile persoanei vizate.

4) A patra amendă – 1.000 euro

La data de 6 august 2019 autoritatea naţională de supraveghere a publicat sub denumirea de

„a patra sancţiune cu amendă aplicată în domeniul GDPR”[33], informaţii despre două amenzi
(analizate în prezenta secţiune și în următoarea) cu care a fost sancţionat contravenţional un
operator din domeniul industrial, iar informaţiile furnizate s-au referit la cuantumul total al
acestora, dar și la cele diferenţiate, raportate la încălcările constatate.

[31]
Declaraţiile reprezentantului operatorului sunt publice și sunt disponibile la adresa https://dpo-net.ro/a-treia-amenda-
gdpr-in-romania-aplicata-site-ului-avocatoo-ro/
[32]
Pentru detalii a se vedea I. Alexe, Relaţia dintre operator și persoana împuternicită, în domeniul protecţiei datelor
personale, în Pandectele Române nr. 2/2018, p. 71-79.
[33]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=A_patra_amenda&lang=ro

DOCTRINĂ | PANDECTELE ROMÂNE NR. 5/2019 | 89

 Irina ALEXE

Semnalăm astfel aspectele comune sancţiunilor 4 și 5 și vom particulariza, fără a repeta

informaţiile, doar aspectele necesare individualizării cazurilor analizate.
DOCTRINĂ

ANSPDCP a informat despre faptul că a finalizat în luna iulie 2019, fără a fi precizată data exactă,
o investigaţie derulată pe baza unor sesizări primite la data de 21 martie 2019, prin care i se
semnala că operatorul „are instalate camere de supraveghere video, fără a efectua informarea
legală privind supravegherea video, precum și faptul că acesta a dezvăluit în mod ilegal numele
și CNP-ul salariaţilor, prin afișarea acestor date personale la avizierul societăţii”[34].

Amenda în cuantum de 4.733,70 lei, echivalentul sumei de 1000 euro, a fost aplicată la finalul
efectuării investigaţiei pentru încălcarea dispoziţiilor art. 12 din regulament „deoarece operatorul
nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu
caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realizează
începând din anul 2016, deși avea obligaţia de a lua măsuri adecvate pentru a furniza persoanelor
vizate orice informaţii menţionate la art. 13-14 și orice comunicări în temeiul art. 15-22 și art. 34
referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând
un limbaj clar și simplu, în special pentru orice informaţii adresate în mod specific unui copil”[35].

5) A cincea amendă – 1.500 euro

În cadrul investigaţiei menţionată în paragraful de mai sus a fost constatată și încălcarea unora
dintre principiile privind prelucrarea datelor. Astfel, pentru aplicarea celei de-a cincea amenzi
contravenţionale în domeniul GDPR[36] a fost reţinută încălcarea dispoziţiilor art. 5 alin. (1) lit. c)
din regulament (principiul reducerii la minimum a datelor prelucrate), coroborat cu art. 6, privind
la legalitatea prelucrării[37].

Din justificarea acestei măsuri corective rezultă că amenda în cuantum de 7.100,55 lei,
echivalentul sumei de 1500 euro, a fost aplicată „deoarece prelucrarea/dezvăluirea CNP-ului
angajaţilor prin afișarea unui referat la avizier, nu era adecvată, relevantă și limitată în raport
cu scopul în care acesta era prelucrat, respectiv preîntâmpinarea oricărui accident de muncă.
Totodată operatorul nu a putut face dovada legalităţii prelucrării CNP-ului, prin dezvăluire la
avizier, potrivit art. 6 RGPD”[38].

Considerăm important să subliniem că ultimele două amenzi menţionate au fost aplicate

în completarea altor două măsuri corective dispuse de ANSPDCP aceluiași operator, după
finalizarea investigaţiei. Prima dintre aceste măsuri constă în obligarea operatorului de a realiza
informarea „persoanelor vizate potrivit art. 12 din RGPD, inclusiv prin combinarea cu pictograme
standardizate în spaţiile/locurile monitorizate video, poziţionate la o distanţă rezonabilă de
[34]
Ibidem.
[35]
A se vedea descrierea măsurii corective nr. 1, înscrisă la pct. 26 din tabelul publicat pe site-ul ANSPDCP, la adresa
https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro
[36]
Detalii despre aplicarea acestei sancţiuni se regăsesc în comunicatul publicat pe site-ul ANSPDCP, la adresa https://
www.dataprotection.ro/?page=A_patra_amenda&lang=ro
[37]
Cu privire la principiul legalităţii prelucrării: D.-M. Șandru, Elemente privind reglementarea consimţământului în
prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul nr. 2016/679, în Revista Română de Dreptul
Afacerilor nr. 5/2017, p. 130-134.
[38]
A se vedea descrierea măsurii corective nr. 2, înscrisă la pct. 26 din tabelul publicat pe site-ul ANSPDCP, la adresa
https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro

90 | PANDECTELE ROMÂNE NR. 5/2019 | DOCTRINĂ

Reproduced with permission of copyright owner. Further
reproduction prohibited without permission.