See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/336867626

Răspunderea administratorului unei pagini găzduite pe o rețea socială.

Calitatea de operator în sensul reglementărilor privind protecția datelor
(Liability of the Administrator of...

Article  in  SSRN Electronic Journal · January 2019

DOI: 10.2139/ssrn.3471476

CITATIONS READS

0 103

1 author:

Mihai Sandru
Romanian Academy
136 PUBLICATIONS   18 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Legal Information Technology Community - LITC View project

DEZBATERI JURIDICE View project

All content following this page was uploaded by Mihai Sandru on 31 August 2020.

The user has requested enhancement of the downloaded file.

160 Daniel-Mihail Șandru
Daniel-Mihail Șandru
Răspunderea administratorulu i unei pagini gă zduite de o rețea socială. Calitatea de operator...

RĂSPUNDEREA ADMINISTRATORULUI UNEI PAGINI GĂZDUITE

DE O REȚEA SOCIALĂ. CALITATEA DE OPERATOR ÎN SENSUL
REGLEMENTĂRILOR PRIVIND PROTECȚIA DATELOR

*
Prof. univ. dr. DANIEL-MIHAIL ȘANDRU

ABSTRACT

The Court of Justice unitarily interprets the law of the European Union by way of the preliminary
reference procedure. Social networks make available to every person possibilities of individual
communication or in communities. The meeting between the Court of Justice and the social networks
is not new, but now the European Court has consolidated the interpretation of the notion of controller
within the regulations on personal data protection.

The administrator of a page hosted by a social network is a controller within the meaning of
European legislation.

The study attempts to correlate the main attributes of the controller with the functions of
the administrator of a page hosted by a social network and to deepen the liability of this
administrator.

Key words:

liability; controller; data protection; the Court of Justice of the European Union; page
administrator; social network.

*
e-mail: mihai.sandru@csde.ro; Pagina web: www.mihaisandru.ro; D.-M. Șandru este
cercetător științific gr. I, a fondat și coordonează Centrul de Studii de Drept European al Institutului
de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române. Profesor universitar la
Universitatea Creștină „Dimitrie Cantemir” București și Universitatea din București. Judecător
ad-hoc la Curtea Europeană a Drepturilor Omului și arbitru la Curtea de Arbitraj Comercial
Internațional de pe lângă Camera de Comerț și Industrie a României. Președinte al Societății de
Științe Juridice și al Asociației Române de Drept și Afaceri Europene. Redactor-șef al „Revistei
române de drept european” (Wolters Kluwer). Studiul a fost pregătit pentru Conferința europeană a
serviciilor financiare (ECFS 2019) organizată de Institutul de Studii Financiare, Asociația Centrul de
Arbitraj și Mediere în Asigurări (ACAMA) și Societatea Română de Cercetare pentru Afaceri
Publice și Private, 21–22 martie 2019, Brașov și a fost finalizat la 11 aprilie 2019, dată la care au
fost accesate ultima dată paginile web la care face trimitere studiul.
Dreptul, serie nouă, anul XXX, nr. 7/2019
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 161

Context

Hotărârile Curții de Justiție a Uniunii Europene pronunțate în urma formulării unei

cereri de decizie preliminară sunt obligatorii. Caracterul obligatoriu se referă la toate
elementele hotărârii, însă cu precădere la dispozitiv și are efecte erga omnes atât pentru
instituțiile Uniunii Europene, cât și pentru statele membre și autoritățile ori instituțiile
acestora. În Cauza C-210/161, Wirtschaftsakademie Schleswig-Holstein, Curtea de
Justiție a Uniunii Europene (CJUE) a adus lămuriri în privința noțiunii de „operator”,
noțiune centrală în privința stabilirii drepturilor și obligațiilor actorilor din sistemul instituit
de reglementarea privind protecția datelor cu caracter personal2. Încă dinainte de a se fi
pronunțat hotărârea în Cauza C-210/16, am atras atenția că aceasta va fi o hotărâre
importantă în privința protecției datelor în comunitățile virtuale3.
În definirea contextului avem în vedere trei elemente-cheie: rețea socială, operator
și administratorul unei pagini de rețea socială. Acestea sunt esențiale pentru a înțelege
argumentele Curții de Justiție, în sensul considerării unui administrator de pagină creată
pe o rețea socială ca fiind operator în sensul Regulamentului general privind protecția
datelor (GDPR). Rețeaua socială este construită pe o platformă de internet, un site web,

1
C-210/16, Wirtschaftsakademie Schleswig-Holstein, Hotărârea din 5 iunie 2018,
ECLI:EU:C:2018:388. A se vedea: Charlotte Ducuing, Jessica Schroers, Els J. Kindt, The
Wirtschaftsakademie fan page decision: a landmark on joint controllership – a challenge for
supervisory authorities competences, European Data Protection Law Review, volume 4, 2018–12,
p. 547–553 (în continuare Ch. Ducuing, J. Schroers, E. J. Kindt, EDPRL, 4/2018). Florian Jotzo,
EuGH, Urteil v. 5. 6. 2018 – C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-
Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH., JuristenZeitung (JZ), Jahrgang 73
(2018), Heft 23, s. 1154–1159.
2
Reglementarea generală este Regulamentul (UE) 2016/679 al Parlamentului European și
al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE (Regulamentul general privind protecția datelor); a fost publicat în Jurnalul Oficial L 119,
4.5.2016, p. 1–88. Pentru detalii, a se vedea: D.-M. Șandru, I. Alexe (editori), Legislația Uniunii
Europene privind protecția datelor personale, Editura Universitară, București, 2018. Hotărârea a
fost pronunțată sub imperiul Directivei, însă este pe deplin aplicabilă și după 25 mai 2018, dată de
la care se aplică GDPR. Directiva 95/46/CE a Parlamentului European și a Consiliului din 24
octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31, Ediție specială,
13/vol. 17, p. 10. A se vedea I. Alexe, C.-M. Banu, De la directivă la regulament în reglementarea
protecției datelor cu caracter personal la nivelul Uniunii Europene, în volumul I. Alexe, N.-D.
Ploeșteanu, D.-M. Șandru (coordonatori), Protecția datelor cu caracter personal. Impactul protecției
datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile
provocări ale Regulamentului (UE) 2016/679, Editura Universitară, București, 2017, p. 14–40.
3
A se vedea, pentru considerații privind rețelele sociale: D.-M. Șandru, Imposibila
coexistență între protecția datelor și comunitățile virtuale? Ce urmează?, în „Pandectele române”,
nr. 1/2018, p. 22, disponibil la adresa https://papers.ssrn.com/sol3/papers.cfm?abstract_id=
3357430; a se vedea, Homero Gil de Zúñiga, Mark Coddington, Social Media, Oxford
Bibliographies Online, disponibil la adresa http://www.oxfordbibliographies.com/view/document/
obo-9780199756841/obo-9780199756841–0105.xml.
162 Daniel-Mihail Șandru

care pune la dispoziția utilizatorilor, gratuit sau nu, spațiu și mijloace tehnice pentru
constituirea unui site web sau a unei pagini, care funcționează în cadrul platformei,
conform termenilor și condițiilor acesteia. Pentru fiecare dintre rețelele sociale existente,
datele utilizatorilor sunt importante și fac parte din planul de afaceri4, relația dintre
utilizatori și societățile care oferă servicii gratuite pe internet fiind în esență de natură
feudală5. Statisticile arată cum veniturile din publicitate au crescut în direcția on-line, dar
nu în orice direcție, ci cu precădere pentru Facebook și Google. Doar Facebook ar avea
20% din piața on-line de publicitate6. Pentru a se sublinia trecerea de la publicațiile cu un
control redacțional la utilizarea rețelelor, în literatura dedicată drepturilor omului în
internet se subliniază că în 2013–2014 publicația New York Times avea, într-o lună, un
număr de vizualizări egal cu acela dintr-o zi pe Youtube7. Fiecare utilizator al unei rețele
sociale poate fi valorizat („monetizat”, cu sensul de transformat în beneficii) și poate fi
măsurat din punctul de vedere al activității sale în rețeaua socială8. Wikipedia consideră
rețele sociale: Facebook, Youtube, WhatsApp, Facebook Messenger, WeChat,
Instagram, QQ, QZone, Tik Tok, Sina Weibo, Twitter, Reddit, Baidu Tieba, Skype,
LinkedIn, Viber, Snapchat, Line, Pinterest, Telegram, Tinder (această ordine are în
vedere numărul de membri activi în iulie 2018)9. În România, cele mai utilizate sunt
Facebook, Google, Youtube (fără a avea date statistice relevante)10. Punctul comun al
4
De curând a început o investigație contra Facebook, inclusiv pe latură penală, ca urmare a
acestor transferuri de date ale utilizatorilor. M. LaForgia, M. Rosenberg, Gabriel J. X. Dance,
Facebook’s data deals are under criminal investigation, New York Times, 13.03.2019, https://
www.nytimes.com/2019/03/13/technology/facebook-data-deals-investigation.html. Pentru documente,
a se vedea The Associated Press (Danica Kirka, Frank Bajak, Barbara Ortutay), Facebook Used
User Data as Competitive Weapon, 5 decembrie 2018, https://www.bloomberg.com/news/articles/
2018-12-05/uk-parliament-releases-internal-facebook-documents; documentele publicate de un
membru al Parlamentului britanic sunt disponibile la adresa https://www.parliament.uk/documents/
commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-
Six4Three.pdf.
5
Pe larg: B. Schneier, Data and Goliath: The Hidden Battles to Capture Your Data and
Control Your World, W. W. Norton & Company, 2015, p. 58.
6
Sunt multe website-uri care conțin sfaturi sau ghiduri privind posibilitățile de realizare a
publicității pe rețelele sociale, aceasta fiind ea însăși o activitate comercială în sine.
7
Rikke Frank Jørgensen, Human Rights and Private Actors in the Online Domain, în vol.
Molly K. Land, Jay D. Aronson (eds), „New Technologies for Human Rights Law and Practice”,
Cambridge University Press, 2018, p. 243–244.
8
Fiecare utilizator devine „distribuitor”, așa cum a remarcat și Avocatul general Pedro Cruz
Villalón: „din momentul în care un conținut informațional este postat pe internet, particularii se
transformă imediat, voluntar sau involuntar, în distribuitori de informații prin rețele de socializare,
prin comunicare electronică, prin linkuri, prin bloguri sau prin orice alte mijloace oferite de internet.”
(Concluziile Avocatului general Pedro Cruz Villalón prezentate la 29 martie 2011 în cauzele
conexate C-509/09 și C-161/10, par. 47) De altfel, calitatea de distribuitor inferează mult cu
existența și valoarea rețelei sociale și a răspunderii administratorului de pagină.
9
Wikipedia, „Social media”, disponibil la adresa https://en.wikipedia.org/wiki/Social_media.
10
K. Houser, G. Voss, GDPR: The End of Google and Facebook or a New Paradigm in
Data Privacy?, Richmond Journal of Law & Technology nr. 1/2018, disponibil la adresa https://
jolt.richmond.edu/gdpr-the-end-of-google-and-facebook-or-a-new-paradigm-in-data-privacy/; M. Yang,
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 163

rețelelor sociale este posibilitatea ca utilizatorii fiecăreia dintre ele, dincolo de contul
propriu de membru, să poată realiza o „pagină” care se poate referi la o afacere
(produs), o comunitate de idei, o comunitate educațională (universitară, școlară) pe care
să o administreze. Rolul de administrator se interpune între rețeaua socială și
utilizatorii/membrii paginii, având în vedere respectarea obligațiilor legilor naționale și
internaționale, dar și a termenilor și condițiilor pe care le acceptă în momentul creării
paginii. În fine, definiția operatorului este chiar în Regulamentul general privind protecția
datelor și o vom utiliza pe aceasta, întrucât este asemănătoare celei din directivă11,
respectiv „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care,
singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor
cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin
dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea
acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern” (art. 4 pct. 7). În
continuarea acestei definiții trebuie avute în vedere și obligații, precum și natura juridică
definite de art. 26 GDPR în privința operatorilor asociați, noțiune care se întâlnește „în
cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de
prelucrare”. Dar oare există un „în comun” atunci când una dintre părți acceptă termeni și
condiții? Hotărârea nu ia în considerare posibilitatea aplicării regimului juridic de la
operatorii asociați, ci doar îl consacră operator pe administratorul paginii. Referința la
operator nu are în vedere vreun criteriu prevăzut de Regulament cu privire la
obligativitatea numirii responsabilului cu protecția datelor, a respectării art. 30 și art. 35.
În plus, vor trebui avute în vedere Avizul nr. 1/2010 al Grupului de lucru pentru art. 29
privind conceptele de „operator” și „persoană împuternicită de către operator”12, care
analizează pe larg conceptele fundamentale: „stabilește”, „persoana fizică sau juridică,
autoritatea publică, agenția sau orice alt organism”, „care, singur sau împreună cu
altele,” „stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”.
Astfel, trebuie observat că Avizul a fost urmat de Curtea de Justiție, fără să fie citat, în
stabilirea cadrului factual, concret, iar nu în analiza juridică a unor documente, dând
prevalență faptul că administratorul paginii de pe o rețea socială facilitează profilarea și
colectarea datelor utilizatorilor. Expresia „care, singur sau împreună cu altele” este
desigur foarte relevantă în context, fiind îndeplinită o condiție esențială a definiției13.

Yuqing Ching Ren, G. Adomavicius, Understanding User-Generated Content and Customer

Engagement on Facebook Business Pages, în Information Systems Research, (Forthcoming);
Kelley School of Business Research Paper Nr. 18–82, disponibil la adresa https://ssrn.com/
abstract=3260294.
11
Am atras atenția, în mai multe rânduri, că Regulamentul general privind protecția datelor
nu este o noutate absolută în peisajul legislativ european. A se vedea, de exemplu: D.-M. Șandru,
D.-A. Călin, C.-M. Banu, Aplicarea și interpretarea Directivei 95/46 de către instanțe române.
Tipologii și consecințe juridice, în volumul I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru (coordonatori),
„Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de
afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 679/2016”,
Editura Universitară, București, 2017, p. 41–76.
12
GL 169, 00264/10/RO, adoptat la 16 februarie 2010.
13
Asupra tipologiilor relevante, a se vedea teza de doctorat în drept a lui Brendan Van
164 Daniel-Mihail Șandru

Cadrul factual al trimiterii Wirtschaftsakademie, C-210/16

„Wirtschaftsakademie oferă servicii de formare prin intermediul unei pagini pentru

fani găzduite de Facebook” (pct. 14). Așadar, suntem în prezența unui operator
reglementat de Regulamentul general privind protecția datelor, care are o pagină pe o
rețea socială.
„Prin Decizia din 3 noiembrie 2011, [autoritatea de protecția datelor] ULD14, în
calitatea sa de autoritate de supraveghere, în sensul articolului 28 din Directiva 95/46,
responsabilă cu supravegherea aplicării pe teritoriul landului Schleswig-Holstein
(Germania) a dispozițiilor adoptate de Republica Federală Germania în temeiul acestei
directive, a somat Wirtschaftsakademie, în conformitate cu articolul 38 alineatul (5)
prima teză din BDSG, să dezactiveze pagina pentru fani pe care a creat-o pe
Facebook la adresa www.facebook.com/wirtschaftsakademie, sub sancțiunea unei
penalități cu titlu cominatoriu în cazul neexecutării în termenul stabilit, pentru motivul
că nici Wirtschaftsakademie, nici Facebook nu informau vizitatorii paginii pentru fani că
acesta din urmă colecta, cu ajutorul unor cookies, informații cu caracter personal care
îi vizau și că acestea prelucrau apoi respectivele informații. Wirtschaftsakademie a
introdus o reclamație împotriva acestei decizii, arătând în esență că ea nu răspundea,
în raport cu dreptul aplicabil protecției datelor, nici de prelucrarea datelor efectuată de
Facebook, nici de cookie-urile instalate de acesta din urmă.” Pagina amintită există și
în acest moment pe rețeaua socială. În practica administrativă ulterioară intrării în
vigoare a Regulamentului sunt două evidențieri pe care trebuie să le facem: în primul
rând, cea mai mare amendă de până în prezent se referă la dreptul la informare care
nu a fost respectat de operator 15, iar, în al doilea rând, reacția autorității olandeze
privind împiedicarea accesului sau acceptarea cookies ca „preț” al accesului pe un
site16.

Alsenoy, Regulating data protection – The allocation of responsibility and risk among actors
involved in personal data processing, KU Leuven, 2016, p. 59–62, disponibilă la adresa https://
lirias.kuleuven.be/retrieve/396984 și publicată în Brendan Van Alsenoy, Data Protection Law in the
EU: Roles, Responsibilities and Liability, Intersentia, 2019.
14
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autoritate regională
independentă de protecție a datelor din Schleswig-Holstein, Germania) (denumită în continuare
„ULD”), https://www.datenschutzzentrum.de/.
15
The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against
GOOGLE LLC 21 January 2019, disponibil la adresa https://www.cnil.fr/en/cnils-restricted-
committee-imposes-financial-penalty-50-million-euros-against-google-llc (inclusiv decizia integrală);
de asemenea, o altă sancțiune pecuniară, în jur de 220.000 de euro, se referă la amendarea de
către autoritatea poloneză de protecția datelor pentru lipsa de informare de care s-a făcut vinovat
un broker de date (a se vedea First fine imposed by the President of the Personal Data Protection
Office, https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-
protection-office_en).
16
Într-o informare a autorității olandeze de protecția datelor, disponibilă în original la adresa
https://autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-
tracking-cookies, se arată că politica privind cookies nu trebuie să altereze dreptul la informare,
exprimare, mai precis posibilitatea accesării normale a paginilor web. A se vedea N. Lomas, Cookie
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 165

Contestația împotriva deciziei a fost respinsă, întrucât autoritatea care a pronunțat

decizia a considerat că Wirtschaftsakademie era operator pentru pagina de pe rețeaua
socială. Mai mult, autoritatea de protecția datelor a arătat că, „prin faptul că a creat
pagina sa pentru fani, Wirtschaftsakademie aducea o contribuție activă și voluntară la
colectarea de către Facebook a unor date cu caracter personal privind vizitatorii acestei
pagini pentru fani, date de care ea profita prin intermediul statisticilor puse la dispoziție
de acesta din urmă” (pct. 17). Acest raționament a fost păstrat de Curtea de Justiție.
„Wirtschaftsakademie a introdus o acțiune împotriva acestei decizii la
Verwaltungsgericht (Tribunalul Administrativ, Germania), susținând că prelucrarea
datelor cu caracter personal efectuată de Facebook nu poate să îi fie imputată și că ea
nu a însărcinat nicidecum Facebook să procedeze, în sensul articolului 11 din BDSG, la
prelucrarea unor date pe care le-ar controla sau pe care le-ar putea influența.
Wirtschaftsakademie deducea din aceasta că ULD ar fi trebuit să se îndrepte direct
împotriva Facebook, iar nu să adopte împotriva sa decizia atacată” (pct. 18). Această
instanță a anulat decizia, considerând că nu suntem în prezența unui operator atunci
când administrează o pagină pe o rețea socială. Și instanța superioară a respins apelul
autorității de protecția datelor, păstrând decizia, subliniind că există o serie de măsuri
care trebuie luate progresiv, pentru conformarea la legislația privind protecția datelor, iar
nu desființarea paginii. În plus, administratorul paginii nu prelucrează date personale în
urma consultării serviciului Facebook, ci doar poate urmări statistici, care sunt excluse
de la protecție. Autoritatea a atacat această decizie cu recurs, la
Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania), considerând „că
încălcarea săvârșită de Wirtschaftsakademie se referă la faptul că aceasta a încredințat
unui furnizor necorespunzător, întrucât acesta nu respectă dreptul aplicabil protecției
datelor – în cazul de față, Facebook Ireland –, realizarea, găzduirea și întreținerea unui
site internet. Somația adresată Wirtschaftsakademie prin decizia atacată, de a proceda
la dezactivarea paginii sale pentru fani, ar viza astfel remedierea acestei încălcări, de
vreme ce i-ar interzice să continue utilizarea infrastructurii Facebook ca bază tehnică a
site-ului său internet.” În trimiterea preliminară formulată, însăși
Bundesverwaltungsgericht a considerat că administratorul unei pagini de pe o rețea
socială nu este operator în sensul reglementărilor privind protecția datelor.

Raționamentul Curții de Justiție

Codul de utilizator face identificabilă o persoană, așadar îi conferă drepturi, iar

lipsa de informare, prin nerespectarea principiului transparenței protecției datelor, este
un alt aspect, indicat în mod direct în raționament. Se urmărește doar traseul tehnic și
beneficiile operatorului și ale administratorului paginii de rețea socială. În principiu, așa
cum subliniază și CJUE, „reglementarea europeană urmărește să garanteze un nivel
ridicat de protecție a drepturilor și a libertăților fundamentale ale persoanelor fizice, în
special a dreptului la viață privată, în privința prelucrării datelor cu caracter personal”

walls don’t comply with GDPR, says Dutch DPA, 08.03.2019, disponibil la adresa https://
techcrunch.com/2019/03/08/cookie-walls-dont-comply-with-gdpr-says-dutch-dpa/.
166 Daniel-Mihail Șandru

(pct. 26, făcându-se referire la Hotărârea din 11 decembrie 2014, Ryneš, C-212/13,
EU:C:2014:2428, punctul 27 și jurisprudența citată). În consecință, în pct. 28–29, Curtea
a analizat definiția „operatorului” și aplicabilitatea acesteia unui administrator de pagină
de pe o rețea socială, utilizând cele mai înalte standarde de protecție a persoanei vizate.
În prima premisă a raționamentului hotărârii, Curtea a reamintit jurisprudența
Google Spain și Google17, în care a definit în mod larg noțiunea de operator, întrucât
numai în acest mod se realizează o protecție eficientă și completă a persoanelor în
cauză.
A doua premisă majoră a silogismului este faptul că operatorul stabilește, singur
sau împreună cu alți operatori, scopurile și mijloacele de prelucrare a datelor cu caracter
personal18. Această a doua premisă este mai greu de explicat și se ridică întrebarea
fundamentală: în ce măsură un administrator de pagină de rețea socială stabilește
scopurile și mijloacele de prelucrare a datelor?
Pentru a răspunde la această întrebare am preluat două clauze din termenii și
condițiile pe care Facebook le impune administratorilor de pagini. Astfel, în privința
colectării de date de la utilizatori, se arată că: „În cazul în care colectați conținut și
informații direct de la utilizatori, Pagina, Grupul sau Evenimentul dumneavoastră va
specifica faptul că dumneavoastră (și nu Facebook) efectuați colectarea; în plus, veți
informa utilizatorii și veți obține consimțământul acestora în legătură cu utilizarea
conținutului și a informațiilor pe care le colectați. Indiferent de modul în care obțineți
conținutul și informațiile de la utilizatori, aveți responsabilitatea de a obține toate
permisiunile necesare pentru a reutiliza conținutul și informațiile acestora.”19
Din acest fragment rezultă că administratorul paginii este operator cel puțin în
privința colectării, cu atât mai mult cu cât în unele situații administratorul paginii poate
solicita declinarea adevăratei identități a unui membru Facebook20.
Administratorul paginii are acces la funcția „Facebook Insight” și, în consecință, își
poate adapta modalitățile de comunicare, de publicare a anunțurilor, chiar dacă funcția
amintită pusă la dispoziție oferă date statistice. Mai mult, Curtea consideră că
administratorul este operator chiar dacă statisticile sunt anonime, întrucât prin
intermediul acestuia Facebook își poate sistematiza mijloacele de profilare pe care le
poate realiza cu privire la utilizatori, atât utilizatori care sunt membri Facebook, dar mai

17
Cauza C-131/12, Google Spain și Google, Hotărârea din 13 mai 2014, EU:C:2014:317,
pct. 34.
18
„În plus, de vreme ce, astfel cum prevede expres articolul 2 litera (d) din Directiva 95/46,
noțiunea „operator” vizează organismul care, „singur sau împreună cu altele”, stabilește scopurile și
mijloacele de prelucrare a datelor cu caracter personal, această noțiune nu face trimitere în mod
necesar la un organism unic și poate privi mai mulți actori care participă la această prelucrare,
fiecare dintre ei fiind în acest caz supus dispozițiilor aplicabile în materie de protecție a datelor.”
Cauza C-210/16, cit. supra, pct. 29.
19
https://www.facebook.com/policies/pages_groups_events/.
20
Nu are importanță activitatea/reacția utilizatorilor pe paginile de rețele sociale, aceasta
constituind obiectul altor dispute doctrinare și jurisprudențiale (I. Robbins, What Is the Meaning of
‘Like’?: The First Amendment Implications of Social-Media Expression, The Federal Courts Law
Review, 2013, p. 127; disponibil la adresa https://www.fclr.org/fclr/articles/html/2010/robbins.pdf).
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 167

ales că se poate referi și la persoane care nu sunt membri Facebook și care nu au

așteptări legitime cu privire la profilarea Facebook. Publicitatea comportamentală a făcut
obiectul unui aviz al Grupului de lucru pentru Articolul 29 21: „[p]ublicitatea
comportamentală este o formă de publicitate care se întemeiază pe observarea
comportamentului indivizilor de-a lungul timpului. Aceasta urmărește să studieze
caracteristicile acestui comportament prin intermediul acțiunilor lor (vizite succesive ale
site-urilor, interacțiuni, cuvinte-cheie, producere de conținut online etc.) pentru a întocmi
un profil specific și a propune persoanelor în cauză reclame adaptate centrelor lor de
interes astfel deduse”22.
Conform explicațiilor furnizate de Grupul de lucru „Articolul 29” în acest aviz și pe
care își fundamentează concluziile Avocatul general, „[a]ceastă tehnică funcționează în
mod obișnuit după cum urmează: furnizorul rețelei de publicitate depune în general un
cookie persistent pe echipamentul terminal al persoanei în cauză [...] prima dată când
vizitează un site care conține un anunț al aceleiași rețele. Cookie-ul este o combinație
scurtă alfanumerică stocată (și ulterior recuperată) pe echipamentul terminal al
persoanei vizate de un furnizor de rețea [...]. În cadrul publicității comportamentale,
cookie-ul permite acestuia din urmă să recunoască un vizitator anterior care revine pe
această pagină de internet sau consultă un alt site partener al furnizorului de rețea de
publicitate. Aceste vizite repetate vor permite furnizorului de rețea să elaboreze un profil
al vizitatorului, care va fi utilizat pentru a-i transmite reclame personalizate”23.
„Paginile pentru fani sunt conturi de utilizatori care pot fi configurate pe Facebook
de particulari sau de întreprinderi. În acest scop, autorul paginii pentru fani, odată
înregistrat la Facebook, poate să utilizeze platforma amenajată de acesta din urmă
pentru a se prezenta utilizatorilor acestei rețele sociale, precum și persoanelor care
vizitează pagina pentru fani și să difuzeze comunicări de orice natură pe piața mediei și
a opiniei. Administratorii paginilor pentru fani pot obține date statistice anonime privind
vizitatorii acestor pagini cu ajutorul unei funcții intitulate „Facebook Insight” puse în mod
gratuit la dispoziția lor de Facebook potrivit condițiilor de utilizare care nu pot fi
modificate. Aceste date sunt colectate cu ajutorul unor fișiere-martori (denumite în
continuare „cookies”) care conțin, fiecare, câte un cod de utilizator unic, active timp de
doi ani și salvate de Facebook pe discul dur al calculatorului sau pe orice alt suport al
vizitatorilor paginii pentru fani. Codul de utilizator, care poate stabili o legătură cu datele
de conectare ale utilizatorilor înregistrați pe Facebook, este colectat și prelucrat în
momentul deschiderii paginilor pentru fani. În această privință, reiese din decizia de
trimitere că nici Wirtschaftsakademie, nici Facebook Ireland Ltd nu au evocat
operațiunea de salvare și funcționarea acestui cookie sau prelucrarea consecutivă a
21
I. Alexe, Reforma instituțională, în materia protecției datelor, la nivel european, în volumul
coordonat de A. Săvescu, „Regulamentul general privind protecția datelor. Comentarii și explicații”,
Editura Hamangiu, București, 2018, p. 1–11.
22
Avizul GL 29, GL 171, nr. 2/2010 din 22 iunie 2010 privind publicitatea comportamentală
online.
23
Avizul 2/2010, p. 7. În acest sens trebuie coroborat cu Guidelines on Automated individual
decision-making and Profiling for the purposes of Regulation 2016/679, 17/EN, WP251rev.01,
03.10.2017.
168 Daniel-Mihail Șandru

datelor, cel puțin în cursul perioadei relevante pentru procedura principală.” [din fața
instanței naționale].
A doua clauză din termenii și condițiile rețelei sociale face trimite la posibilitatea
negocierii în situația colectării automate a datelor: „Pagina, Grupul sau Evenimentul
dumneavoastră nu va colecta conținut sau informații ale utilizatorilor și, în general, nu va
accesa Facebook utilizând mijloace automatizate (cum ar fi programele bot de colectare,
roboții sau programele de tip „spider” sau „scraper”) fără acordul scris din partea
Facebook.”24 Curtea de Justiție consideră că administratorul paginii încheie un contract
cu Facebook. În realitate, deși există posibilitatea negocierii, aceasta se limitează în cele
mai multe situații la acceptarea termenilor și condițiilor, așadar un contract de adeziune.

Răspundere

Răspunderea este foarte importantă în prezenta cauză, aspect subliniat de

instanța națională germană care s-a referit la răspundere în toate cele șase întrebări
formulate25. Curtea de Justiție a reformulat întrebările, iar în ceea ce privește calificarea
unui administrator al paginii rețelei sociale ca fiind operator: „prin intermediul primei și al
celei de a doua întrebări preliminare, care trebuie analizate împreună, instanța de
trimitere solicită în esență să se stabilească dacă [dispozițiile din reglementarea
europeană privind protecția datelor] trebuie interpretate în sensul că permit să se rețină
răspunderea unui organism, în calitatea sa de administrator al unei pagini pentru fani
găzduite pe o rețea socială, în cazul unei atingeri aduse normelor privitoare la protecția
datelor cu caracter personal, ca urmare a alegerii de a recurge la această rețea socială
pentru a difuza oferta sa de informații.” (pct. 25) Am indicat mai înainte argumentele
pentru care Curtea de Justiție a ajuns la un răspuns afirmativ. În continuare vom sublinia
partea din soluția Curții privind răspunderea.
În primul rând, se face referire la o răspundere a administratorului și consolidarea
statutului său de operator, întrucât paginile pentru fani găzduite pe Facebook pot fi
vizitate și de persoane care nu sunt utilizatori ai Facebook, iar vizita acestora
declanșează automat prelucrarea datelor lor cu caracter personal (pct. 41). De altfel,
acest lucru este subliniat în Avizul nr. 1/2010 citat supra, unde Grupul de lucru a arătat
că „mijloacele de stimulare a responsabilității pot fi proactive și reactive. În primul caz,
acestea urmăresc să asigure aplicarea eficientă a măsurilor de protecție a datelor și
mijloace suficiente de tragere la răspundere a operatorilor. În al doilea caz, acestea pot
implica răspunderea civilă și sancțiuni, pentru a asigura compensarea oricăror prejudicii

24
https://www.facebook.com/policies/pages_groups_events/.
25
Foarte pe scurt, asumarea răspunderii poate fi realizată și termenii menționați în acest
articol: Jessica Lam, Enforcement of judgement: Update CJEU Case C-210/16, disponibil la adresa
http://www.lawinfographic.com/route-enforce-eu-data-protection-rules-update-cjeu-judgement-case-
c-21016/; de altfel, așa cum a fost tratată răspunderea în această hotărâre, nu poate decât să
nască alte întrebări și nu se referă la soluții, care vor veni fie din partea instanțelor naționale, fie în
urma altor trimiteri preliminare. Pentru o serie de întrebări, a se vedea Ch. Ducuing, J. Schroers, E.
J. Kindt, loc. cit., EDPRL, 4/2018, p. 549.
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 169

relevante și luarea unor măsuri adecvate în vederea corectării erorilor sau greșelilor.” În
plus, stabilirea operatorului are legătură cu legislația națională aplicabilă, uneori având
importanță acest aspect, mai ales dacă operatorul este o autoritate sau organism public.
În al doilea rând, Curtea a subliniat că „existența unei responsabilități comune nu
înseamnă în mod necesar o răspundere echivalentă a diferitor operatori vizați de o
prelucrare a datelor cu caracter personal. Dimpotrivă, acești operatori pot fi implicați în
diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere
al fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente
ale speței” (pct. 43).
Acest argument va fi interpretat în hotărâri viitoare și va fi definitoriu pentru
răspunderea administratorilor de pagini pe rețele sociale. Tonul acestei fraze pare să
delimiteze răspunderea propriu-zisă a unui operator administrator de pagină cu cea a
operatorului – rețea socială. Dar cum se face acest lucru în condițiile în care
administratorii paginilor nu încheie contracte, ci doar acceptă termeni și condiții, nu au
acces la date personale, ci doar la statistici, culpa lor fiind că atrag utilizatori pe
platforme și rețelele sociale.
De altfel, nu fără temei, s-a subliniat că această hotărâre are efect doar în privința
raporturilor administrator pagină – rețea socială și pentru toate website-urile care au
programe care profilează, realizează statistici etc.: „deși CJUE nu o spune expres,
concluzia la care se poate ajunge este aceea că o entitate este responsabilă atât pentru
prelucrările de date făcute prin intermediul unui site propriu, dar și pentru prelucrările
efectuate cu privire la paginile folosite și care sunt administrate de aceasta în cadrul
rețelelor sociale. De asemenea, nu doar rețelele sociale ar trebui să fie luate în discuție
ci, de exemplu, credem că inclusiv utilizarea unor platforme de e-commerce, comune
mai multor vânzători, poate fi o situație în care considerentele CJUE să își găsească
aplicarea în mod corespunzător, în ceea ce privește răspunderea solidară pentru
prelucrarea datelor personale.”26

Măsuri tehnice și organizatorice practice pentru operator

În primul rând operatorul trebuie să ia măsuri funcționale și operaționale atât

tehnice, cât și proceduri în privința respectării hotărârii Curții de Justiție. Responsabilul
cu protecția datelor27 sau operatorul trebuie să disemineze aceste informații, mai ales
pentru personalul direct implicat (IT, marketing, juridic). Operatorul, prin responsabilul cu
protecția datelor, va trebui să realizeze primele acte, cele mai simple, respectiv citirea,
înțelegerea și luarea de măsuri în funcție de termenii și condițiile pe care rețelele sociale

26
C.-C. Pintilie, CJUE: administratorul unei „pagini pentru fani” găzduite de Facebook poate
răspunde pentru prelucrările de date făcute prin intermediul platformei sociale, 06.06.2018,
articol disponibil la adresa https://www.hotnews.ro/stiri-specialisti_stoica_si_asociatii-22492119-
cjue-administratorul-unei-pagini-pentru-fani-zduite-facebook-poate-spunde-pentru-prelucr-rile-date-
cute-prin-intermediul-platformei-sociale.htm
27
I. Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR,
revista „Pandectele române” nr. 1/2018, p. 34 și urm.
170 Daniel-Mihail Șandru

le impun pentru realizarea paginii. Operatorul trebuie să ia măsuri ca departamentul de

specialitate (comunicare, marketing) să înțeleagă și să opereze administrarea paginii de
pe rețeaua socială28. Aceste departamente, în analiza tipurilor de date pe care
operatorul le prelucrează, trebuie să cartografieze toate tipurile de date și raporturile cu
rețelele sociale. Un exemplu simplu, dar practic și care poate conduce la complicații
juridice este butonul „rezervă acum”, care apare în cazul hotelurilor, și în care datele nici
măcar nu ajungeau la hotel (administratorul paginii de pe rețeaua socială).
În al doilea rând, operatorul are obligația de respectare a art. 13–14 din
Regulament, prin informarea persoanei vizate cu privire la prelucrarea datelor prin
intermediul rețelelor sociale. Notificarea se va realiza pe site-ul propriu la secțiunea
politici de confidențialitate în termeni cât mai preciși, indicându-se toate rețelele sociale
pe care operatorul are pagini ale sale, fie că sunt pagini de comunicare, fie că sunt
grupuri, fie că sunt pagini dedicate doar anumitor produse sau servicii ale operatorului.
Corelativ, va trebui ca pagina de pe rețeaua socială să indice în mod clar operatorul.
Operatorul trebuie să respecte principiul transparenței29, având în vedere
Orientările privind transparența în Regulamentul 2016/679/UE elaborat de Grupul de
lucru pentru art. 29 (GL29)30, „transparența este o obligație atotcuprinzătoare potrivit
GDPR și se aplică în trei domenii de bază:
(1) norma juridică prin care se stabilește informarea persoanelor vizate cu privire la
prelucrarea echitabilă;
(2) cum anume operatorii de date comunică cu persoanele vizate în ceea ce
privește drepturile lor potrivit GDPR;
(3) cum anume operatorii de date ușurează exercitarea drepturilor persoanelor
vizate.”
În al treilea rând, operatorul trebuie să ia în considerare persoanele vizate care
vizitează și interacționează cu paginile de pe rețelele sociale în cadrul procedurii privind
respectarea art. 30 (evidența activităților de prelucrare a datelor cu caracter personal) și
a art. 35 (evaluarea impactului asupra protecției datelor)31. În cadrul registrului privind
evidența activităților trebuie să se menționeze: identitatea operatorului (dar nu rețeaua
socială, pentru că aceasta este un operator distinct), scopul prelucrării (marketing,
comunicare, relații publice), categoria de persoane vizate (utilizatori ai paginii de pe
rețelele sociale), descrierea datelor cu caracter personal (aici trebuie introduse datele pe
28
A se vedea, de exemplu, Politicile privind paginile, grupurile și evenimentele:
https://www.facebook.com/policies/pages_groups_events/. De asemenea, a se vedea și „Anexa
privind Operatorul Statisticilor Paginii”, https://www.facebook.com/legal/terms/page_controller_
addendum, precum și https://www.facebook.com/business/pages/manage#page_insights
29
D.-M. Șandru, Principiul transparenței în protecția datelor cu caracter personal, în
„Pandectele române” nr. 4/2018, p. 59 și urm.
30
Orientări asupra transparenței în temeiul Regulamentului 2016/679 [Guidelines on
transparency under Regulation 2016/679, 17/EN, WP260 rev.01, 11 April 2018]. Documentul, în
varianta de lucru, a fost tradus de Centrul pentru protecția datelor din cadrul UMFST, Târgu-Mureș
(https://cpd.upm.ro/).
31
S.-D. Șchiopu, Obligația de păstrare a evidenței activităților de prelucrare a datelor cu
caracter personal, în „Revista română de drept al afacerilor” nr. 1/2018, p. 85–94.
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 171

care rețelele sociale le pun la dispoziția administratorului paginii, așa cum este cazul în
statisticile „Facebook Insight”), categoriile de destinatari cărora le-au fost sau le vor fi
divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații
internaționale (respectiv Facebook, LinkedIn etc.), transferurile către o țară terță (mai
ales că majoritatea rețelelor sociale aparțin unor societăți stabilite în afara Uniunii
Europene), termene-limită pentru ștergere/distrugere (dar în această situație nu este
aplicabilă) și măsurile de securitate (aici măsurile de securitate se referă în special la
operatorul care deține rețeaua socială). În privința realizării evaluării impactului asupra
protecției datelor, operatorul este obligat să verifice criteriile stabilite în Regulament și
documentele soft-law aplicabile32 și să individualizeze posibilele riscuri. Prin aceste
proceduri, operatorul trebuie să stabilească modalitățile de respectare a drepturilor
persoanelor vizate, precum și riscurile asociate.
Un exemplu de măsuri este acela luat de juridice.ro, care a realizat următoarea
notificare:
„Având în vedere că, potrivit CJUE, administratorul unei pagini pentru fani pe
Facebook are, împreună cu Facebook, calitatea de operator care prelucrează datele
vizitatorilor paginii sale, politica de confidențialitate JURIDICE.ro este aplicabilă și paginilor
Facebook administrate de noi, cu toate că nu avem acces nici la fișiere cookies utilizate de
Facebook și nici nu cunoaștem identitatea persoanelor care accesează paginile Facebook
administrate de noi fără să fie logați pe Facebook. Din acest motiv, vă aducem la
cunoștință drepturile pe care le aveți în calitate de persoane vizate ne-logate pe Facebook
și vă rugăm ca, dacă nu doriți ca Facebook să instaleze cookies în computerele
dumneavoastră, să dezactivați aceste elemente tehnice din browserul dumneavoastră. Vă
mulțumim pentru înțelegere.”33 Mai mult, o serie de pagini administrate de juridice.ro au
fost dezactivate sau au fost transferate unor persoane fizice34.

Impactul protecției consumatorilor

În ultimii trei ani, acțiuni (reuniuni, în special) diferite au avut loc între autoritățile
UE pentru protecția consumatorilor și Comisia Europeană, pe de o parte, și societățile

32
Decizia ANSPDCP nr. 174 din 18 octombrie 2018 privind lista operațiunilor pentru care
este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal; Ghid
privind evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este
„susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679, W P 248 rev.01;
Declarația Grupului de lucru pentru Articolul 29 cu privire la rolul unei abordări bazate pe riscuri
pentru cadrul legal în domeniul protecției datelor, 14/EN WP 218, adoptată în data de 30 mai 2014;
Ghidul Grupului de lucru pentru Articolul 29 privind responsabilul cu protecția datelor, 16/EN
WP243; Opinia Grupului de lucru pentru Articolul 29 privind limitarea scopului, 13/EN WP 203;
Considerentele 75, 84, 89, 90, 91, 92, 93 din Regulament.
33
https://www.juridice.ro/politica-de-confidentialitate.
34
A se vedea: Actualizare informare privind protecția datelor cu caracter personal
JURIDICE.ro, în ce privește paginile Facebook, disponibilă la adresa https://www.juridice.ro/
595686/actualizare-informare-privind-protectia-datelor-cu-caracter-personal-juridice-ro-in-ce-priveste-
paginile-facebook.html, 03.08.2018, JURIDICE.ro.
172 Daniel-Mihail Șandru

vizate, pe de altă parte, pentru a discuta elemente-cheie35. Operatorii de platforme de

comunicare socială au fost de acord, în mod specific, să modifice: clauzele de furnizare
a serviciilor care limitează sau exclud complet răspunderea rețelelor de comunicare
socială în legătură cu prestarea serviciilor; clauzele care le impun consumatorilor să
renunțe la drepturile obligatorii în UE, cum ar fi dreptul de a se retrage dintr-o achiziție
online; clauzele care privează consumatorii de dreptul lor de a sesiza o instanță
judecătorească din statul lor membru de reședință și impun, în schimb, aplicarea
legislației din California; clauza prin care platforma este eliberată de obligația de a
identifica mesajele cu caracter comercial și conținutul sponsorizat. În 2019, un nou
comunicat al Comisiei Europene informează că „Facebook se conformează solicitărilor
Comisiei Europene și ale autorităților de protecție a consumatorilor de a-și modifica
clauzele de furnizare a serviciilor și de a clarifica modul de utilizare a datelor
utilizatorilor”36 și se au în vedere următoarele măsuri: „– politica sa cu privire la limitarea
răspunderii, recunoscându-și acum răspunderea în caz de neglijență, spre exemplu în
cazul în care datele au fost prelucrate necorespunzător de către terți; – capacitatea sa
de a modifica în mod unilateral termenele și condițiile prin limitarea acesteia la cazurile
în care modificările sunt rezonabile, luând în considerare și interesul consumatorilor; –
normele privind păstrarea temporară a conținutului care a fost șters de către utilizatori.
Conținutul de acest tip poate fi păstrat numai în anumite cazuri – spre exemplu, în scopul
conformării unei cereri de executare din partea unei autorități – și pentru o perioadă de
maximum 90 de zile din motive de natură tehnică; – limbajul ce clarifică dreptul de apel
al utilizatorilor cărora le-a fost șters conținutul.” Toate acestea au legătură și cu
răspunderea administratorului paginii de pe rețele sociale, în cazul de față Facebook,
întrucât sunt elemente esențiale ale antrenării posibilei răspunderi, care se poate realiza
doar dacă administratorul unei pagini de pe o rețea socială înțelege drepturile și
obligațiile pe care le are atât față de utilizatori, cât și față de rețeaua socială.

Concluzii

Se poate afirma că suntem în fața unei hotărâri istorice puțin cunoscute, având în
vedere reacția pe care o putem constata în adaptarea politicilor de confidențialitate
publicate de operatori care administrează pagini pe rețele sociale. Hotărârea Curții de
Justiție trebuie coroborată cu întreaga legislație referitoare la protecția datelor, în special
cu Regulamentul general privind protecția datelor și este obligatorie de la data
pronunțării. În mod esențial, administratorul paginii de pe o rețea socială este operator în
sensul reglementărilor privind protecția datelor cu toate obligațiile care derivă din
aceasta. Cele mai importante consecințe se referă la răspundere și pentru a o înlătura

35
Comisia Europeană, „Societățile care gestionează platforme de comunicare socială
trebuie să facă mai mult pentru a respecta pe deplin normele UE privind protecția consumatorilor”,
Bruxelles, 15 februarie 2018, disponibil la adresa http://europa.eu/rapid/press-release_IP-18-761_
ro.htm.
36
https://ec.europa.eu/romania/news/20190410_facebook_clauze_furnizare_date_protectie
_consumatori_ro.
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 173

sau reduce operatorul trebuie să ia măsuri organizatorice, tehnice și să introducă

proceduri privind informarea persoanelor vizate.

BIBLIOGRAFIE

Alexe I. (2018), Reforma instituțională, în materia protecției datelor, la nivel european, în A. Săvescu
(coord.), „Regulamentul general privind protecția datelor. Comentarii și explicații”, Editura Hamangiu,
București, p. 1–11.
Alexe I. (2018), Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, în
„Pandectele române”, 1, 34.
Alexe I., Ploeșteanu N.-D., Șandru D.-M. (coordonatori) (2017), Protecția datelor cu caracter
personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor
românești și noile provocări ale Regulamentului (UE) 679/2016, Editura Universitară, București.
Ducuing Ch., Schroers J., Kindt E. J. (2018), The Wirtschaftsakademie fan page decision: a
landmark on joint controllership – a challenge for supervisory authorities competences, European Data
Protection Law Review, 12, 547–553.
Gil de Zúñiga H., Coddington M. (2018), Social Media, în „Oxford Bibliographies Online”, disponibil la
adresa http://www.oxfordbibliographies.com/view/document/obo-9780199756841/obo-9780199756841-0105.xml
Houser K., Voss G. (2018), GDPR: The End of Google and Facebook or a New Paradigm in Data
Privacy?, Richmond Journal of Law & Technology, nr. 1, disponibil la adresa https://jolt.richmond.edu/gdpr-
the-end-of-google-and-facebook-or-a-new-paradigm-in-data-privacy/
Jørgensen R.F. (2018), Human Rights and Private Actors in the Online Domain, în M. K. Land, J. D.
Aronson (eds.), „New Technologies for Human Rights Law and Practice”, Cambridge University Press, p.
243–244.
LaForgia M., Rosenberg M., Dance G. (2019), Facebook’s data deals are under criminal
investigation, New York Times, disponibil la adresa https://www.nytimes.com/2019/03/13/technology/
facebook-data-deals-investigation.html.
Lomas N. (2019), Cookie walls don’t comply with GDPR, says Dutch DPA, 08.03.2019, disponibil la
adresa https://techcrunch.com/2019/03/08/cookie-walls-dont-comply-with-gdpr-says-dutch-dpa/
Pintilie C.-C. (2018), CJUE: administratorul unei „pagini pentru fani” găzduite de Facebook poate
răspunde pentru prelucrările de date făcute prin intermediul platformei sociale, disponibil la adresa
https://hotnews.ro.
Robbins I. (2013), What Is the Meaning of ‘Like’?: The First Amendment Implications of Social-Media
Expression, The Federal Courts Law Review, 127.
Schneier B. (2015), Data and Goliath: The Hidden Battles to Capture Your Data and Control Your
World, W. W. Norton & Company.
Șandru D.-M. (2018), Imposibila coexistență între protecția datelor și comunitățile virtuale? Ce
urmează?, în „Pandectele române”, 1, 22.
 174 Daniel-Mihail Șandru

Șandru D. M. (2018), Principiul transparenței în protecția datelor cu caracter personal, în „Pandectele

române”, 4, 59.
Șandru D.-M., Alexe I. (editori) (2018), Legislația Uniunii Europene privind protecția datelor
personale, Editura Universitară, București.
Șandru D.-M., Călin D.-A., Banu C.-M. (2017), Aplicarea și interpretarea Directivei 95/46 de către
instanțe române. Tipologii și consecințe juridice, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru (coordonatori),
„Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri.
Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 679/2016”, Editura
Universitară, București, p. 41–76.
Șchiopu S.-D. (2018), Obligația de păstrare a evidenței activităților de prelucrare a datelor cu
caracter personal, în „Revista română de drept al afacerilor”, 1, 85.
Van Alsenoy B. (2019), Data Protection Law in the EU: Roles, Responsibilities and Liability,
Intersentia.
Yang M., Ren Y.C., Adomavicius G. (2019), Understanding User-Generated Content and Customer
Engagement on Facebook Business Pages, în „Information Systems Research, (Forthcoming)”, Kelley
School of Business Research Paper, nr. 18–82, disponibil la adresa https://ssrn.com/abstract=3260294.

View publication stats