Rolul responsabilului cu protecţia datelor în respectarea drepturilor persoanei vizate

Rolul responsabilului cu protecţia datelor în

respectarea drepturilor persoanei vizate
dr. Irina ALEXE*

ABSTRACT

It has been three years since the European Union’s General Data Protection
Regulation (GDPR) came into force, one of the most debated and analysed piece
of EU legislation. Throughout this period, and especially after its implementation,
starting with 25 May 2018, mechanisms have been explored and still are being
explored aimed at ensuring that a reasonable balance is struck between the need to
respect the rights of European citizens, called data subject and the free movement
of personal data. We therefore propose to examine whether and to what extent
one of the key actors in the system set up by the Regulation, namely the Data
Protection Officer (DPO), designated by the controller or, as the case may be,
by the processor, has a role to play in respecting the rights of the data subject,
whether or not it would entail a conflict of interests and whether or not this role
is in contradiction with the role, position and tasks of the DPO, to be exercised in
the name and for the person who appointed it.

Keywords: General Data Protection Regulation; Data Protection Officer; rights of

the data subject; conflict of interests

REZUMAT

Au trecut trei ani de când a intrat în vigoare unul dintre cele mai dezbătute și
analizate acte legislative ale Uniunii Europene, Regulamentul general privind
protecţia datelor (GDPR). În toată această perioadă, dar mai ales după punerea sa
în aplicare, începând cu data de 25 mai 2018, au fost și mai sunt analizate, pentru a
fi aplicate cât mai bine, mecanismele prin care se încearcă asigurarea unui echilibru
rezonabil între necesitatea respectării drepturilor cetăţenilor europeni, denumiţi
persoane vizate și libera circulaţie a datelor cu caracter personal. Ne propunem
astfel să analizăm dacă și în ce măsură unul dintre actorii cheie în sistemul instituit
de regulament, responsabilul cu protecţia datelor (DPO), desemnat de operator
*
Irina Alexe este doctor în drept al Universităţii din București și cercetător știinţific asociat la Institutul de Cercetări
Juridice „Acad. Andrei Rădulescu” al Academiei Române. Ariile sale de interes vizează dreptul administrativ, dreptul
constituţional și dreptul european. Articolul a fost pregătit pentru Conferinţa naţională „Comunităţi virtuale în epoca
Regulamentului General privind Protecţia Datelor (CVGDPR)”, Ediţia a II-a, 2018: „Drepturile persoanei vizate”, organizată
de Universitatea „Danubius” din Galaţi, Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” din cadrul Academiei
Române – Centrul de Studii de Drept European (CSDE) și Asociaţia română de drept și afaceri europene (ARDAE), în data
de 13 noiembrie 2018. Materialele disponibile pe internet au fost verificate ultima dată la 28 august 2019.

PROTECŢIA DATELOR | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | 23

 Irina ALEXE

sau, după caz, de persoana împuternicită de operator, trebuie să exercite un rol în

respectarea drepturilor persoanei vizate, dacă acesta ar atrage sau nu un conflict
de interese și dacă acest rol vine sau nu în contradicţie cu rolul, poziţia și sarcinile
DPO, necesar a fi exercitate în numele și pentru cel care l-a desemnat.

Cuvinte-cheie: Regulamentul general privind protecţia datelor; responsabilul cu

protecţia datelor; drepturile persoanei vizate; conflict de interese

Legislaţie relevantă: Regulamentul (UE) 2016/679 privind protecţia datelor cu caracter

personal

I. Succintă introducere
În ceea ce privește aplicarea Regulamentului general privind protecţia datelor[1], una dintre
preocupările majore pe care operatorii sau persoanele împuternicite[2] o au, este de a reuși să își
conformeze activitatea cu dispoziţiile acestuia. Considerăm că scopul unei astfel de conformări
se referă nu doar la respectarea drepturilor cetăţenilor europeni și la asigurarea echilibrului între
aceste drepturi și libera circulaţie a datelor cu caracter personal, ci mai ales la evitarea regimului
sancţionator deosebit de sever pe care regulamentul l-a instituit[3].

Dacă ne întrebăm cine este persoana sau structura care îl poate ajuta pe un operator să își
atingă obiectivul de conformare a activităţii proprii cu dispoziţiile regulamentului, este evident
că aceasta nu poate fi alta decât responsabilul cu protecţia datelor.

Analizăm în cadrul articolului care sunt importanţa, rolul și sarcinile acestui responsabil cu
protecţia datelor în arhitectura regulamentului, dar și care este rolul unui astfel de responsabil
în respectarea drepturilor persoanelor vizate, fără să analizăm în detaliu conţinutul fiecăruia dintre
DOCTRINĂ

drepturi. De asemenea, evidenţiem rolul responsabilului cu protecţia datelor în ceea ce privește

procedurile ce pot angaja nu doar răspunderea operatorului, ci și sancţiunile pe care regulamentul
le prevede pentru aceste cazuri și analizăm contradicţia aparentă între sarcinile DPO și rolul
acestuia în respectarea drepturilor persoanei vizate. Articolul cuprinde și câteva concluzii care
vin să sublinieze analizele realizate.
[1]
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date
și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) a fost publicat în Jurnalul Oficial
L 119, 4.5.2016, p. 1–88, iar textul a fost rectificat ulterior, înainte de punerea sa în aplicare, rectificarea fiind publicată
în Jurnalul Oficial L 127, 23.5.2018.
[2]
Apreciem că, pentru realizarea obiectivelor articolului nu are o atât de mare relevanţă distincţia dintre operator
și persoana împuternicită de operator, astfel că ne vom referi în continuare doar la operator, iar atunci când există
chestiuni distincte de subliniat vom face referire și la persoana împuternicită de acesta. Despre relaţia dintre operator
și persoana împuternicită de acesta a se vedea Irina Alexe, Relaţia dintre operator și persoana împuternicită, în domeniul
protecţiei datelor personale, Revista Pandectele Române, nr. 2/2018, p. 71-79.
[3]
Referitor la particularităţile regimului sancţionator a se vedea Irina Alexe, Regimul sancţionator prevăzut de
Regulamentul (UE) 2016/679 privind protecţia datelor cu caracter personal, Revista Curierul Judiciar nr. 1/2018, p. 36-42;
în același sens, referitor la aplicarea acestui regim sancţionator în România a se vedea Irina Alexe, Daniel-Mihail
Șandru, Reglementări naţionale ce vizează aplicarea, în România, a Regulamentului General privind protecţia datelor,
în volumul Irina Alexe, Daniel-Mihail Șandru (editori), Legislaţia privind protecţia datelor în România, Editura Rosetti
International, București, 2018, p. 7-25.

24 | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | PROTECŢIA DATELOR

 Rolul responsabilului cu protecţia datelor în respectarea drepturilor persoanei vizate

II. Responsabilul cu protecţia datelor în arhitectura GDPR

Am detaliat și cu alte ocazii[4] rolul de actor cheie pe care regulamentul îl conferă, în arhitectura
sa, responsabilului cu protecţia datelor. Pentru această analiză nu considerăm foarte relevante
condiţiile care au condus la adoptarea regulamentului[5], ci mai ales sublinierea faptului că rolul
pe care responsabilul cu protecţia datelor îl are potrivit regulamentului comportă, în opinia
noastră, o cvadruplă perspectivă: persoană desemnată de operator și consilier al acestuia; punct
de contact în legătură cu autoritatea de supraveghere; punct de contact pentru persoanele vizate;
auditor, formator și mediator în cadrul organizaţiei.

Luând în considerare perspectiva responsabilului cu protecţia datelor de persoană desemnată

de către operator în afara sau în cadrul relaţiilor de muncă, precum și calitatea de consilier
principal al acestuia în ceea ce privește domeniul protecţiei datelor, trebuie să subliniem faptul
că, indiferent de modalitatea de desemnare, rolul și sarcinile DPO sunt aceleași, prevăzute în
regulament. Ceea ce diferă, în opinia noastră, sunt, pe de o parte, modalităţile de atragere a
răspunderii pentru neîndeplinirea obligaţiilor, ori, pe de altă parte, subordonarea ierarhică
sau absenţa ei și, respectiv, posibilităţile de asigurare a resurselor și garanţiilor prevăzute de
regulament.

Dacă în cadrul relaţiilor de muncă, fie că este vorba despre un contract de muncă sau despre un
raport de serviciu[6], DPO desemnat și angajatorul său se află în raporturi ierarhice, ce presupun
subordonare, în cazul contractului de servicii părţile acestuia, DPO și operator, se află în relaţii
contractuale, în care obligaţiile sunt reciproce și interdependente. Din acest regim juridic distinct
rezultă și particularităţile de atragere a răspunderii DPO pentru neîndeplinirea obligaţiilor[7] sale:
dacă în cazul relaţiilor de muncă pot fi atrase patru forme de răspundere, specifice dreptului
muncii sau, după caz, funcţiei publice, în cadrul relaţiilor contractuale poate fi atrasă răspunderea
ambelor părţi contractante, respectiv răspunderea civilă delictuală, în conformitate cu regulile
dreptului comun sau răspunderea pentru neîndeplinirea obligaţiilor, în conformitate cu clauzele
contractuale.

Referitor la asigurarea de către operator a resurselor și garanţiilor prevăzute de regulament,

apreciem că în cazul contractului de servicii este destul de problematică asigurarea unora dintre
[4]
Pentru analiza instituţiei responsabilului cu protecţia datelor a se vedea Irina Alexe, Principalele noutăţi privind
responsabilul cu protecţia datelor, incluse în GDPR, Revista Pandectele Române nr. 1/2018, p. 34-45; în același sens:
Irina Alexe, Responsabilul cu protecţia datelor (DPO) – funcţionar public sau personal contractual?, Revista Română
de Dreptul Muncii, nr. 2/2108, p. 53-65; Collectif, Le data protection officer. Une fonction nouvelle dans l’entreprise,
2e édition, Editura Bruylant, 2018.
[5]
Irina Alexe, Constantin-Mihai Banu, De la directivă la regulament în reglementarea protecţiei datelor cu caracter
personal la nivelul Uniunii Europene, în volumul Irina Alexe, Nicolae-Dragoș Ploeşteanu, Daniel-Mihail Șandru
(coordonatori), Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri.
Evaluări ale experienţelor românești și noile provocări ale Regulamentului (UE) 2016/679, Editura Universitară, București,
2017, p. 14-40.
[6]
Pentru analiza particularităţilor unui astfel de raport de serviciu ipotetic a se vedea Irina Alexe, Responsabilul cu
protecţia datelor (DPO) – funcţionar public sau personal contractual?, Revista Română de Dreptul Muncii, nr. 2/2108,
p. 59-61.
[7]
Potrivit dispoziţiilor art. 38 alin. (3) din Regulament, responsabilul cu protecţia datelor „nu este demis sau sancţionat
de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu
protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicită de
operator”.

PROTECŢIA DATELOR | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | 25

 Irina ALEXE

resursele și garanţiile prevăzute la art. 38 din regulament, în special cea care vizează asigurarea
resurselor pentru menţinerea cunoștinţelor de specialitate ale responsabilului cu protecţia datelor
sau implicarea sa în mod corespunzător și în timp util în toate aspectele legate de protecţia
datelor.

De altfel, din interpretarea precizărilor incluse în ghidul referitor la responsabilii cu protecţia

datelor[8], elaborat de Grupul de lucru „Articolul 29”[9], rezultă faptul că neasigurarea de către
operator a garanţiilor pe care regulamentul le instituie pentru DPO echivalează de fapt cu
nedesemnarea acestuia potrivit regulamentului și atrage răspunderea operatorului.

În ceea ce privește necesitatea asumării de către responsabilul cu protecţia datelor a rolului

de punct de contact în legătură cu autoritatea de supraveghere considerăm că este foarte
important ca acest rol să fie cu adevărat înţeles nu numai de către DPO, ci și de către operator
și asumat de responsabilul cu protecţia datelor întrucât multe dintre potenţialele conflicte între
operator și persoana vizată sau între operator și autoritatea de supraveghere ar putea fi aplanate
sau eliminate dacă DPO are și calităţile și capacitatea și resursele necesare pentru exercitarea
acestuia, iar operatorul îi asigură garanţiile prevăzute de regulament.

În ceea ce privește a treia perspectivă a rolului responsabilului cu protecţia datelor, cea de punct
de contact pentru persoanele vizate, detaliem importanţa acestui rol în secţiunile următoare ale
studiului însă apreciem necesar să precizăm faptul că, în opinia noastră, mai ales de pregătirea,
experienţa profesională și capacitatea DPO de a-și îndeplini sarcinile depinde relaţia operatorului
cu persoanele vizate. Iar în această relaţie dintre DPO și persoana vizată este foarte important
nu numai ca responsabilul cu protecţia datelor să aibă cunoștinţele de specialitate în dreptul și
practicile din domeniul protecţiei datelor ori capacitatea de a-și îndeplini sarcinile, ci mai ales să
aibă calitatea de mediator între cele două părţi care, de cele mai multe ori, au interese divergente
sau chiar antagonice.
DOCTRINĂ

Ultima dintre cele patru perspective menţionate anterior vizează rolurile necesar a fi asumate
și exercitate de către responsabilul cu protecţia datelor, de auditor, formator și mediator în
cadrul organizaţiei. Considerăm că nu este relevantă aici detalierea acestora, ci doar sublinierea
importanţei unor astfel de roluri în stabilirea unui climat organizaţional optim și care să conducă
în timp la dezvoltarea unei culturi organizaţionale conforme dispoziţiilor regulamentului.

Atât modul în care operatorul, în sens larg, sau diversele nivele de management și mai ales
membrii personalului operatorului înţeleg să coopereze cu responsabilul cu protecţia datelor,
dar și modul de înţelegere deplină de către DPO a rolului și sarcinilor sale în organizaţie și în
[8]
Ghidul privind responsabilul cu protecţia datelor („DPOs”) a fost adoptat de Grupul de lucru „Articolul 29” pentru
protecţia datelor, la data de 13 decembrie 2016, fiind revizuit ulterior și adoptat la data de 5 aprilie 2017. Textul în limba
engleză, precum și diferitele versiuni în limbile statelor membre (în limba română este folosită denumirea de „orientări”)
sunt disponibile la http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048. Forma ghidului, în limba
română, este disponibilă, în format electronic, începând cu data de 19.11.2017, pe site-ul oficial al Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, la adresa www.dataprotection.ro/servlet/ViewDocument?id=1384
[9]
Grupul de lucru pentru protecţia persoanelor în ceea ce privește prelucrarea datelor cu caracter personal a fost
instituit, la nivel european, în temeiul art. 29 din directiva anterioară. Despre grupul de lucru, activitatea acestuia
și despre organul Uniunii Europene care l-a înlocuit începând cu data de 25 mai 2018, Comitetul european pentru
protecţia datelor, a se vedea Irina Alexe, Reforma instituţională, în materia protecţiei datelor, la nivel european, în
volumul Andrei Săvescu (coordonator), Regulamentul general privind protecţia datelor. Comentarii și explicaţii, Editura
Hamangiu, București, 2018, p. 2-3.

26 | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | PROTECŢIA DATELOR

 Rolul responsabilului cu protecţia datelor în respectarea drepturilor persoanei vizate

afara ei, precum și exercitarea efectivă a acestui rol sunt, împreună, de natură să conducă la
respectarea și aplicarea întocmai a drepturilor persoanei vizate, menţionate în GDPR, care sunt
componentele esenţiale ale dreptului persoanei vizate la protecţia datelor și a dreptului mai larg
al acesteia la viaţă privată[10].

Deși aparent divergente, considerăm că rolurile pe care responsabilul cu protecţia datelor

trebuie să le joace în cadrul unei organizaţii converg împreună la realizarea scopului pentru care
regulamentul a fost adoptat, dacă toţi actorii implicaţi reușesc să își îndeplinească sarcinile,
având permanent în atenţie nu doar evitarea regimului sancţionator, ci mai ales crearea culturii
organizaţionale menţionate anterior.

III. Contradicţia aparentă între sarcinile DPO și rolul acestuia în

respectarea drepturilor persoanei vizate
Sarcinile principale ale responsabilului cu protecţia datelor sunt cele menţionate în mod
expres în textul art. 39 din regulament și pot fi grupate în mai multe categorii: informare și
consiliere a operatorului și a angajaţilor săi care se ocupă de prelucrare; monitorizarea respectării
regulamentului de către operator; cooperarea cu autoritatea de supraveghere și asumarea rolului
de punct de contact în legătură cu aceasta.

Observăm astfel că, la o privire sumară, niciuna dintre sarcinile DPO menţionate în art. 39 nu se
referă la respectarea drepturilor persoanei vizate, însă, după o analiză mai atentă, vom observa, în
cele ce urmează, importanţa majoră a responsabilului cu protecţia datelor în respectarea acestor
drepturi și modul în care exercitarea cu bună credinţă de către DPO a rolului și sarcinilor sale
poate influenţa, în mod pozitiv sau negativ, drepturile persoanei vizate.

Legătura dintre responsabilul cu protecţia datelor și persoanele vizate este realizată chiar de
regulament care, în textul alin. (4) al art. 38 menţionează că „persoanele vizate pot contacta
responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor
lor și la exercitarea drepturilor lor în temeiul prezentului regulament”, iar pentru ca DPO să
poată fi contactat de către persoanele vizate un alt text al GDPR instituie obligaţia pentru
operator de a publica datele de contact ale DPO[11]. Scopul acestor reglementări este, în opinia

[10]
Despre distincţia dintre cele două drepturi garantate și ocrotite de Carta drepturilor fundamentale a UE, dar și despre
corespondenţa acestora cu CEDO, a se vedea Adriana-Maria Șandru, Privire critică asupra jurisprudenţei Curţii de Justiţie
a UE referitoare la interpretarea art. 8 privind protecţia datelor cu caracter personal din Carta drepturilor fundamentale a
Uniunii Europene (CDFUE), în Pandectele Române nr. 1/2018, p. 26-33. Crearea unui drept independent privind protecţia
datelor nu înlătură răspunderea DPO în legătură cu încălcarea drepturilor la viaţă privată ale persoanei vizate, mai
ales dacă acestea se realizează din culpa DPO. Daniel-Mihail Șandru, Protecţia datelor personale: surse legislative,
jurisprudenţiale și soft law, Pandectele române, nr. 2/2018, p. 80-90, unde sunt oferite mai multe exemple de acte
normative, în special directive sectoriale, care protejează de asemenea persoana vizată; în același sens: Alain Bensoussan
(coord.), Règlement Européen sur la protection des données. Textes, commentaires et orientations pratiques, 2e édition,
Editura Bruylant, 2018, p.41-43; Irina Alexe, Constantin-Mihai Banu, De la directivă la regulament în reglementarea
protecţiei datelor cu caracter personal la nivelul Uniunii Europene, în volumul Irina Alexe, Nicolae-Dragoș Ploeșteanu,
Daniel-Mihail Șandru (coordonatori), Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale
asupra mediului de afaceri. Evaluări ale experienţelor românești și noile provocări ale Regulamentului (UE) 2016/679,
Editura Universitară, București, 2017, p. 15-17.
[11]
Potrivit art. 37 alin. (7) din regulament, „Operatorul sau persoana împuternicită de operator publică datele de contact
ale responsabilului cu protecţia datelor și le comunică autorităţii de supraveghere.”

PROTECŢIA DATELOR | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | 27

 Irina ALEXE

noastră, facilitarea contactului responsabilului cu protecţia datelor cu toţi actorii implicaţi în

protejarea drepturilor persoanei vizate, inclusiv cu aceasta și, mai ales, cu autoritatea naţională
de supraveghere.

Așa cum am precizat anterior, nu face obiectul studiului nostru evidenţierea detaliilor și
particularităţilor tehnice sau juridice ale fiecăruia dintre drepturile persoanei vizate[12], prevăzute
de regulament, ci, analizând în mod succint care sunt drepturile persoanei vizate, creionăm
conduita responsabilului cu protecţia datelor, conformă cu litera și cu spiritul GDPR. Analizăm
astfel nu doar categoriile de drepturi ale persoanelor vizate menţionate în mod expres în
capitolul al treilea al regulamentului, ci și pe cele ce izvorăsc din capitolul al optulea, referitor
la căile de atac, răspundere și sancţiuni, întrucât apreciem că DPO poate avea o influenţă
considerabilă asupra exercitării de către persoana vizată a oricărui drept inclus în oricare dintre
cele două categorii și, într-o mare măsură, la asigurarea premiselor pentru fericirea acesteia,
dar și a operatorului sau a celorlalte subiecte ale regulamentului[13]. Această concluzie parţială
rezultă, așa cum vom detalia în paragrafele următoare, chiar din analiza și interpretarea textului
regulamentului.

1) Transparenţa informaţiilor, a comunicărilor și a modalităţilor de exercitare a drepturilor

persoanei vizate este prevăzută în textul art. 12 din regulament, coroborat cu cele ale
considerentelor (58), (59) și (61) din preambul. Observăm din analiza acestora, că obligaţia pentru
respectarea drepturilor persoanei vizate incumbă operatorului și că nici unul dintre aceste texte
nu face referire la responsabilul cu protecţia datelor. Cu toate acestea, avem în vedere faptul că
responsabilul cu protecţia datelor este nu doar cel care îl consiliază pe operator în ceea ce privește
„măsurile adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele
13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare” [art. 12
alin. (1)], ori pentru a facilita „exercitarea drepturilor persoanei vizate în temeiul articolelor 15-22”
[art. 12 alin. (2)], sau pentru a furniza persoanei vizate, în termenele și cu respectarea condiţiilor
prevăzute de regulament, „informaţii privind acţiunile întreprinse în urma unei cereri în temeiul
DOCTRINĂ

articolelor 15-22” [art. 12 alin. (3)].

Este important să ţinem seama de faptul că, în opinia noastră, în funcţie de structura
organizatorică, de dimensiunea operatorului, respectiv de volumul datelor prelucrate,
responsabilul cu protecţia datelor poate fi el însuși desemnat de către operator (cu respectarea
regulilor privind evitarea conflictelor de interese), să se asigure că drepturile persoanei vizate,
exercitate în temeiul acestui articol 12, sunt garantate și respectate și, mai ales, că principiile de
protecţie a datelor sunt aplicate potrivit GDPR[14]. În susţinerea acestei opinii pot fi invocate și
dispoziţiile art. 38 alin. (1) din regulament, potrivit cărora „operatorul și persoana împuternicită
de operator se asigură că responsabilul cu protecţia datelor este implicat în mod corespunzător
și în timp util în toate aspectele legate de protecţia datelor cu caracter personal”, respectiv ale
[12]
Pentru detalierea evoluţiei acestora a se vedea, cu titlu de exemplu: Călina Jugastru, Tradiţie și inovaţie în materia
protecţiei datelor cu caracter personal, Revista Universul Juridic, nr. 2/2017, p. 74 și următoarele; Adriana Maria Șandru,
Inovări și reevaluări în privinţa drepturilor persoanei vizate în Regulamentul nr. 2016/679, în Revista Română de Drept al
Afacerilor, nr. 4/2018, p. 45-48.
[13]
Despre relaţia dintre fericirea persoanei vizate și responsabilul cu protecţia datelor, în contextul GDPR, a se vedea
Daniel Mihail-Șandru, Irina Alexe, Subiectele Regulamentului General privind Protecţia Datelor în caleidoscopul
nuanţelor de fericire, în Revista Pandectele Române, nr. 3/2019, p. 74-80.
[14]
Pentru o analiză a rolului DPO în respectarea principiilor a se vedea Collectif, Le data protection officer. Une fonction
nouvelle dans l’entreprise, 2e édition, Editura Bruylant, 2018, p. 39-48.

28 | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | PROTECŢIA DATELOR

 Rolul responsabilului cu protecţia datelor în respectarea drepturilor persoanei vizate

art. 39, din interpretarea căruia rezultă că sarcinile DPO prevăzute în acest articol sunt unele
minimale[15].

De asemenea, apreciem foarte relevantă pentru conduita ulterioară a unei persoane vizate,
modul în care acesta relaţionează cu operatorul, respectiv cu responsabilul cu protecţia datelor, în
virtutea exercitării drepturilor prevăzute de art. 12, dar și de celelalte texte ale GDPR. De exemplu,
observăm că și în textul art. 12, dar și al următoarelor articole (13), (14) și (15), rezultă obligaţia
de informare a persoanei vizate despre dreptul acesteia de a depune plângere la autoritatea de
supraveghere, dar și despre garanţiile prevăzute de regulament, drepturi și garanţii pe care le
vom analiza ulterior[16].

2) Drepturile de informare și acces la date cu caracter personal, prevăzute de textul art. 13 –

Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana
vizată, de textul art. 14 – Informaţii care se furnizează în cazul în care datele cu caracter personal nu
au fost obţinute de la persoana vizată [ambele coroborate cu textele considerentelor (60) – (62)
ale preambulului] precum și de textul art. 15 – Dreptul de acces al persoanei vizate, coroborat cu
textele considerentelor (63) – (64) ale preambulului, nu pot fi analizate din perspectiva implicării
responsabilului cu protecţia datelor decât în strânsă legătură cu textul prevăzut la art. 34 din
regulament, care se referă la Informarea persoanei vizate cu privire la încălcarea securităţii
datelor cu caracter personal, și cu aplicarea textelor considerentelor (86) – (88).

Observăm astfel că drepturile persoanei vizate sunt însoţite de obligaţii ale operatorului sau, după
caz, ale persoanei împuternicite de acesta, ce se întrepătrund și se completează reciproc, chiar
dacă legiuitorul european nu a menţionat de fiecare dată, în mod expres, corelările respective,
iar precizările anterioare privind relaţia dintre operator și responsabilul cu protecţia datelor sunt
aplicabile și în aceste cazuri. Menţionăm, de asemenea, că nerespectarea drepturilor de către
operator sau de către persoana împuternicită atrage răspunderea acestuia, la solicitarea persoanei
vizate, a altei entităţi publice sau private sau prin sesizarea, inclusiv din oficiu, a autorităţii de
supraveghere și detaliem aceste aspecte în finalul secţiunii, analizând dispoziţiile Capitolului VIII
din GDPR.

Explicând faptul că dreptul de acces se exercită de persoana vizată și nu de sau prin intermediul
autorităţii naţionale de protecţia datelor, aducând în argumentarea acestei opinii inclusiv juris-
prudenţă naţională, doctrina identifică situaţiile în care este atrasă răspunderea operatorului
pentru nerespectarea acestui drept și califică dreptul de acces ca „un drept aflat la baza piramidei
drepturilor persoanei vizate. Această situare are drept consecinţă o responsabilitate mai mare a
operatorului sau a persoanei împuternicite de operator precum și a responsabilului cu protecţia
datelor”[17].

Considerăm că este obligaţia DPO să se asigure că, în cadrul activităţii operatorului sau a
persoanei împuternicite, persoana vizată este informată potrivit regulamentului nu doar despre

[15]
Pentru detalii a se vedea Ghidul privind responsabilul cu protecţia datelor („DPOs”). În același sens, Alain Bensoussan
(coord.), Règlement Européen sur la protection des données. Textes, commentaires et orientations pratiques, 2e édition,
Editura Bruylant, 2018, p. 282.
[16]
A se vedea Secţiunea III.6 infra.
[17]
Pentru analiza dreptului de acces a se vedea Daniel-Mihail Șandru, Dreptul de acces al persoanei vizate în jurisprudenţa
relevantă, Revista română de drept al afacerilor, nr. 4/2018, p. 21-26.

PROTECŢIA DATELOR | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | 29

 Irina ALEXE

drepturile sale subiective specifice, ci și în legătură cu plângerile pe care le poate depune, cu

procedura de urmat și cu celelalte prevederi ale GDPR, aplicabile.

Este important să precizăm, în acest context, și faptul că DPO are obligaţia de notificare a
autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal, în condiţiile
art. 33, respectiv pe aceea de a se asigura că persoana vizată este informată, în condiţiile art. 34,
cu privire la încălcarea securităţii acestor date, iar atunci când autoritatea de supraveghere
verifică îndeplinirea unor astfel de obligaţii, interlocutorul ei „privilegiat” din cadrul operatorului
sau persoanei împuternicite este tocmai responsabilul cu protecţia datelor, prin rolul său de punct
de contact pe care îl asumă.

3) Rectificarea și ștergerea, secţiune distinctă în cadrul capitolului privind drepturile persoanei

vizate, include texul art. 16 – Dreptul la rectificare, coroborat cu prevederile paragrafului (65), al
art. 17 – Dreptul la ștergerea datelor („dreptul de a fi uitat”), coroborat cu prevederile paragrafelor
(65) și (66), al art. 18 – Dreptul la restricţionarea prelucrării, coroborat cu prevederile paragrafului
(67), al art. 19 – Obligaţia de notificare privind rectificarea sau ștergerea datelor cu caracter
personal sau restricţionarea prelucrării, coroborat cu prevederile paragrafului (66) și al art. 20 –
Dreptul la portabilitatea datelor, coroborat cu prevederile paragrafului (67) din preambul.

Analizând conţinutul acestor drepturi și rolul DPO apreciem că responsabilul cu protecţia datelor
are o misiune foarte importantă în a se asigura că operatorul a adoptat acele măsuri tehnice
și organizatorice care să asigure securitatea datelor în conformitate cu dispoziţiile art. 32 din
regulament, respectiv pe cele care să permită exercitarea drepturilor persoanei vizate, iar, pe de
altă parte, DPO are o misiune foarte dificilă, de a asigura punerea la dispoziţia persoanei vizate
a răspunsurilor la cererile acesteia și de a asigura încă din momentul interacţiunii dezamorsarea
eventualelor conflicte între aceasta și operator, respectiv persoana împuternicită.

4) Dreptul la opoziţie și procesul decizional individual automatizat, detaliate în textul

DOCTRINĂ

art. 21 – Dreptul la opoziţie, coroborat cu prevederile paragrafelor (69) și (70) și în textul art. 22 –
Procesul decizional individual automatizat, inclusiv crearea de profiluri, coroborat cu prevederile
paragrafelor (71) și (72), sunt, ca și cele menţionate anterior, drepturi subiective ale persoanei
fizice care presupun exercitarea de către aceasta, în anumite condiţii, a unei relaţii directe cu
operatorul sau cu persoana împuternicită de acesta, posibil generatoare de conflicte. Opinia
noastră se argumentează nu doar prin faptul că exercitarea dreptului la opoziţie implică opunerea
persoanei vizate faţă de o acţiune a operatorului, ci și pe faptul că, chiar și în cazul anumitor
prelucrări automatizate operatorul este obligat să pună în aplicare „măsuri corespunzătoare
pentru protejarea drepturilor, libertăţilor și intereselor legitime ale persoanei vizate, cel puţin
dreptul acesteia de a obţine intervenţie umană din partea operatorului, de a-și exprima punctul
de vedere și de a contesta decizia” [art. 22 alin. (3)].

Din analiza drepturilor menţionate la punctele 1-4 putem observa și faptul că, în relaţia cu
persoana vizată, DPO poate sprijini realizarea drepturilor acesteia prin două elemente extrinseci
relaţiei și anume registrul evidenţei activităţilor de prelucrare și avizul în cadrul procedurii de
evaluare a impactului asupra protecţiei datelor.

30 | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | PROTECŢIA DATELOR

 Rolul responsabilului cu protecţia datelor în respectarea drepturilor persoanei vizate

În mod particular, DPO este acela care trebuie să urmărească ca evidenţa activităţilor de
prelucrare să se realizeze în scopul protejării efective a drepturilor[18], așa cum prevede textul
art. 30. Toate elementele registrului activităţilor sunt importante[19], însă precizările privind
scopurile prelucrării (b) și descrierea categoriilor de persoane vizate și a categoriilor de date cu
caracter personal (c) au un efect direct în privinţa realizării drepturilor persoanei vizate precum
și a rolului responsabilului cu protecţia datelor în situaţia unor cereri sau a unor incidente.

Avizul DPO în cadrul procedurii de evaluare a impactului asupra protecţiei datelor, menţionat în
textul art. 35, este un alt element obligatoriu pentru operator. În cadrul acestei proceduri, DPO
trebuie să-și exercite atribuţiile cu bună credinţă, în conformitate cu principiul obiectivităţii, mai
ales că aceste prelucrări sunt susceptibile să genereze un risc ridicat pentru drepturile și libertăţile
persoanelor fizice.

Un rol important îl are DPO și în ceea ce privește consilierea operatorului și asigurarea facilitării de
către acesta a exercitării drepturilor persoanei vizate, prin formulare sau operaţiuni automatizate.
De exemplu, analizând dreptul de acces, în doctrină se arată că „între procedurile care trebuie rea-
lizate pentru îndeplinirea acestui drept sunt modelul de cerere de acces la date, modelul de răspuns
negativ privind prelucrarea; model de răspuns conform art. 14 și care să respecte elementele de
conţinut ale dreptului de acces la date. Atât în realizarea procedurilor, cât și în respectarea eficientă
a dreptului de acces, rolul responsabilului cu protecţia datelor trebuie să se manifeste chiar dacă ar
întâmpina dificultăţi de ordin tehnic, economic etc.”[20] Chiar dacă la o privire superficială, o astfel de
facilitare poate aduce costuri suplimentare pentru operator, în timp această facilitare poate conduce
nu doar la o mai bună desfășurare a activităţii, la procedurizare, standardizare, operaţionalizare și la
o învăţare mai facilă a proceselor de către angajaţi, ci și la o economisire a resurselor[21].

5) Restricţiile, prevăzute în textul art. 23, ultimul dintre articolele capitolului privind drepturile,
ori textul corespondent din preambul, al paragrafului (73), privind restricţiile izvorâte din
dreptul Uniunii Europene sau cele pe care statele membre le pot impune cu privire la exercitarea
drepturilor persoanei vizate, fără a afecta însă esenţa drepturilor și libertăţilor fundamentale,
nu fac obiectul analizei noastre întrucât nu identificăm o relaţie specifică a DPO și apreciem că
acestea nu instituie drepturi pentru persoana vizată, ci doar garanţii că instituţiile UE și cele din
statele membre respectă drepturile persoanei vizate atunci când propun măsuri legislative cu un
astfel de obiect de reglementare.

6) Drepturile persoanei vizate, incluse în Capitolul al VIII-lea din Regulament – Căi de atac,
răspundere și sancţiuni

În cuprinsul punctelor 1-4 ale prezentei secţiuni am analizat implicarea DPO în exercitarea unor
drepturi subiective ale persoanei vizate. Spre deosebire de această primă categorie de drepturi
[18]
Pentru o analiză a rolului DPO în asigurarea realizării evidenţei operaţiunilor de prelucrare a se vedea Collectif,
Le data protection officer. Une fonction nouvelle dans l’entreprise, 2e édition, Editura Bruylant, 2018, p. 54-55.
[19]
A se vedea și Silviu-Dorin Șchiopu, Obligaţia de păstrare a evidenţei activităţilor de prelucrare a datelor cu caracter
personal, Revista română de drept al afacerilor, nr. 1/2018, p. 85-94.
[20]
Daniel-Mihail Șandru, Dreptul de acces al persoanei vizate în jurisprudenţa relevantă, Revista română de drept al
afacerilor, nr. 4/2018, p. 22.
[21]
Pentru exemple privind importanţa acestor procese a se vedea Jef Ausloos, Pierre Dewitte, Shattering One-Way
Mirrors. Data Subject Access Rights in Practice (January 20, 2018). International Data Privacy Law (2018) 8(1), pp.4-28,
disponibil aici: https://ssrn.com/abstract=3106632

PROTECŢIA DATELOR | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | 31

 Irina ALEXE

analizate, în ceea ce privește următoarele drepturi, facem de la început precizarea că autorităţile

statului, instanţele judecătorești și, în cazul art. 80, organismele neguvernamentale, respectiv
persoana vizată, sunt cele care au roluri directe, nu operatorul sau persoana împuternicită.
Acestea două au în schimb, așa cum am observat anterior, inclusiv prin intermediul DPO, obligaţia
de a informa persoana vizată despre existenţa tuturor drepturilor și garanţiilor prevăzute de
GDPR, inclusiv dreptul de a adresa plângeri, de a beneficia de despăgubiri, de a exercita căi de atac
și, în anumite condiţii, de a beneficia de suportul unor organizaţii neguvernamentale. În opinia
noastră, această categorie de drepturi, dintre care unele sunt drepturi procedurale, constituie
veritabile garanţii, în conformitate cu dreptul Uniunii Europene, dar și cu dreptul intern, că
drepturile subiective ale persoanei vizate, incluse în prima categorie, sunt respectate și aplicate[22].

Dreptul de a depune o plângere la o autoritate de supraveghere, reglementat de art. 77, corelat cu

textul paragrafului (141), dreptul la o cale de atac judiciară eficientă împotriva unei autorităţi de
supraveghere, reglementat de art. 78, corelat cu textul paragrafului (143), precum și dreptul la o
cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator,
reglementat de art. 79, corelat cu textul paragrafului (145), constituie garanţii procedurale și
apreciem că acestea trebuie coroborate, așa cum am subliniat anterior, cu drepturile prevăzute
în capitolul III, în special cu cel privind transparenţa și cu cel privind informarea persoanei vizate,
iar aici rolul responsabilului cu protecţia datelor este unul major.

Subliniem și faptul că, prin reforma protecţiei datelor, realizată de GDPR, statele membre au
primit, în conformitate cu dispoziţiile art. 58 alin. (5), corelate cu paragraful (129) din preambul,
atribuţia de a reglementa în dreptul intern, competenţa, respectiv dreptul autorităţilor naţionale
de protecţie a datelor de a iniţia acţiuni judiciare sau de a se implica în proceduri judiciare pentru
a asigura aplicarea regulamentului. Astfel, în dreptul intern, prin Legea nr. 129/2018[23], a fost
reglementată inclusiv competenţa autorităţii de supraveghere de a sesiza instanţa, atunci când
apreciază că au fost încălcate oricare dintre drepturile persoanei vizate, din domeniul protecţiei
datelor, precum și procedura de urmat.
DOCTRINĂ

Rolul responsabilului cu protecţia datelor, precum și legătura sa cu exercitarea de către persoana

vizată a acestor drepturi sunt esenţiale întrucât, așa cum am mai arătat, dacă responsabilul cu
protecţia datelor reușește să își îndeplinească sarcinile în cadrul organismului care l-a desemnat,
este foarte probabil ca posibilele conflicte să fie aplanate sau atenuate, iar persoana vizată să
nu mai aibă motiv de a apela la aceste căi de atac. Am precizat anterior[24] că responsabilul cu
protecţia datelor poate fi el însuși desemnat de către operator, cu respectarea regulilor privind

[22]
Pentru detalii se vedea Irina Alexe, Regimul sancţionator prevăzut de Regulamentul (UE) 2016/679 privind protecţia
datelor cu caracter personal, Revista Curierul Judiciar nr. 1/2018, p. 36-42; referitor la aplicarea regimului sancţionator
în România a se vedea Irina Alexe, Daniel-Mihail Șandru, Reglementări naţionale ce vizează aplicarea, în România, a
Regulamentului General privind protecţia datelor, în volumul Irina Alexe, Daniel-Mihail Șandru (editori), Legislaţia
privind protecţia datelor în România, Editura Rosetti International, București, 2018, p. 18-19 și 23-24.
[23]
Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înfiinţarea, organizarea și
funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru
abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal și libera
circulaţie a acestor date, a fost publicată în Monitorul Oficial al României, Partea I, nr. 503 din 19 iunie 2018. În temeiul
acesteia, Legea nr. 102/2005 privind înfiinţarea, organizarea și funcţionarea Autorităţii Naţionale de Supraveghere
a Prelucrării Datelor cu Caracter Personal, a fost republicată în Monitorul Oficial al României, Partea I, nr. 947 din
9 noiembrie 2018.
[24]
A se vedea Secţiunea III.1, supra.

32 | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | PROTECŢIA DATELOR

 Rolul responsabilului cu protecţia datelor în respectarea drepturilor persoanei vizate

evitarea conflictelor de interese, să se asigure că drepturile persoanei vizate, sunt garantate și

respectate.

Ghidul DPO, cuprinde și menţiuni referitoare la evitarea conflictului de interese în situaţia

desemnării unui responsabil cu protecţia datelor. Astfel, „un conflict de interese poate apărea,
de asemenea, de exemplu, în situaţia în care un DPO extern este rugat să reprezinte operatorul
sau persoana împuternicită de operator în instanţă, în cazurile care implică probleme de protecţie
a datelor”[25], tocmai pentru că responsabilului cu protecţia datelor trebuie să îi fie asigurată
independenţa în îndeplinirea sarcinilor sale și ca acesta să poată supraveghea procesele și să-l
poată consilia pe cel care l-a desemnat.

Pe de altă parte, de modul în care responsabilul cu protecţia datelor își asumă rolul de punct de
contact în legătură cu persoana vizată, dar și cu autoritatea de supraveghere, depinde inclusiv
exercitarea de către aceasta din urmă a competenţelor de soluţionare a plângerilor, de sesizare
a instanţei sau de aplicare a unora dintre măsurile corective impuse de regimul sancţionator,
fiind cunoscut faptul că aplicarea unei sancţiuni și individualizarea acesteia depind și de conduita
anterioară a operatorului și de cooperarea acestuia, prin intermediul DPO, cu autoritatea de
supraveghere[26].

Independent de exercitarea, pe cale administrativă, a drepturilor menţionate anterior, persoana

vizată are și dreptul de a fi despăgubită de operator sau de persoana împuternicită de acesta,
atunci când a suferit un prejudiciu material sau moral. Condiţiile pentru exercitarea acestui
drept sunt prevăzute în textul art. 82 – Dreptul la despăgubiri și răspunderea, corelat cu cele ale
paragrafelor (146) și (147) din preambul. Tocmai pentru evitarea aplicării sancţiunilor și a stabilirii
prejudiciilor în sarcina operatorului este esenţial rolul pe care DPO îl joacă în cadrul entităţii care
l-a desemnat, pentru a se asigura că activitatea acesteia este conformă cu regulamentul.

Iar GDPR mai aduce o inovaţie, în ceea ce privește reprezentarea persoanelor vizate, asemănătoare
celei reglementate în plan european în materia protecţiei drepturilor și libertăţilor fundamentale.
Astfel, textul art. 80 din regulament, coroborat cu cel al paragrafului (142) din preambul, au
fost aplicate doar parţial în legislaţia naţională din România, care a stabilit că persoana vizată
poate să mandateze, pentru depunerea plângerii la autoritatea de supraveghere, și o organizaţie,
o asociaţie sau o fundaţie fără scop patrimonial, care îndeplinește condiţiile prevăzute de lege
pentru reprezentarea persoanei vizate[27].

IV. Concluzii
Din analiza tuturor aspectelor menţionate anterior putem concluziona că nu există decât o
contradicţie aparentă între rolul pe care DPO trebuie să îl îndeplinească pentru respectarea
drepturilor persoanei vizate și rolul, poziţia și sarcinile DPO, necesar a fi exercitate în numele și
pentru cel care l-a desemnat.
[25]
Pct. 3.5 din Ghidul privind responsabilul cu protecţia datelor („DPOs”), adoptat de Grupul de lucru „Articolul 29”,
citat supra.
[26]
A se vedea textul art. 83 din GDPR – Condiţii generale pentru impunerea amenzilor administrative. Pentru detalierea
acestora, a se vedea Irina Alexe, Regimul sancţionator prevăzut de Regulamentul (UE) 2016/679 privind protecţia datelor
cu caracter personal, Revista Curierul Judiciar nr. 1/2018, p. 36-42.
[27]
A se vedea textul art. 20 alin. (3) din Legea nr. 102/2005, republicată.

PROTECŢIA DATELOR | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | 33

 Irina ALEXE

Persoana vizată este cea apărată de regulament, iar toate celelalte subiecte ale GDPR își
canalizează resursele pentru ca drepturile persoanei vizate să fie garantate și respectate.
Operatorul trebuie să asigure conformarea activităţii proprii cu GDPR, inclusiv respectarea
drepturilor persoanei vizate și evitarea, pe cale de consecinţă, a regimului sancţionator, cu toate
aspectele sale, iar contribuţia celui pe care îl desemnează pentru exercitarea acestui rol, DPO,
este esenţială.

Rolurile pe care responsabilul cu protecţia datelor trebuie să le joace în cadrul unei organizaţii
converg împreună la realizarea scopului pentru care regulamentul a fost adoptat, dacă toţi actorii
implicaţi reușesc să își îndeplinească sarcinile, având permanent în atenţie nu doar evitarea
regimului sancţionator, ci mai ales crearea culturii organizaţionale de calitate, propice respectării
drepturilor persoanei vizate[28]. Astfel, responsabilul cu protecţia datelor poate contribui în mod
substanţial la asigurarea premiselor fericirii tuturor subiectelor GDPR.
DOCTRINĂ

[28]
Pentru o analiză aprofundată a subiectului a se vedea Xavier Duncan L’Hoiry, Clive Norris, The honest data
protection officer’s guide to enable citizens to exercise their subject access rights: lessons from a ten-country European
study, International Data Privacy Law, Volume 5, Issue 3, August 2015, p. 190–204.

34 | REVISTA ROMÂNĂ DE DREPT AL AFACERILOR NR. 3/2019 | PROTECŢIA DATELOR

Reproduced with permission of copyright owner. Further
reproduction prohibited without permission.