Documente Academic
Documente Profesional
Documente Cultură
net/publication/336867626
CITATIONS READS
0 103
1 author:
Mihai Sandru
Romanian Academy
136 PUBLICATIONS 18 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Mihai Sandru on 31 August 2020.
*
Prof. univ. dr. DANIEL-MIHAIL ȘANDRU
ABSTRACT
The Court of Justice unitarily interprets the law of the European Union by way of the preliminary
reference procedure. Social networks make available to every person possibilities of individual
communication or in communities. The meeting between the Court of Justice and the social networks
is not new, but now the European Court has consolidated the interpretation of the notion of controller
within the regulations on personal data protection.
The administrator of a page hosted by a social network is a controller within the meaning of
European legislation.
The study attempts to correlate the main attributes of the controller with the functions of
the administrator of a page hosted by a social network and to deepen the liability of this
administrator.
Key words:
liability; controller; data protection; the Court of Justice of the European Union; page
administrator; social network.
*
e-mail: mihai.sandru@csde.ro; Pagina web: www.mihaisandru.ro; D.-M. Șandru este
cercetător științific gr. I, a fondat și coordonează Centrul de Studii de Drept European al Institutului
de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române. Profesor universitar la
Universitatea Creștină „Dimitrie Cantemir” București și Universitatea din București. Judecător
ad-hoc la Curtea Europeană a Drepturilor Omului și arbitru la Curtea de Arbitraj Comercial
Internațional de pe lângă Camera de Comerț și Industrie a României. Președinte al Societății de
Științe Juridice și al Asociației Române de Drept și Afaceri Europene. Redactor-șef al „Revistei
române de drept european” (Wolters Kluwer). Studiul a fost pregătit pentru Conferința europeană a
serviciilor financiare (ECFS 2019) organizată de Institutul de Studii Financiare, Asociația Centrul de
Arbitraj și Mediere în Asigurări (ACAMA) și Societatea Română de Cercetare pentru Afaceri
Publice și Private, 21–22 martie 2019, Brașov și a fost finalizat la 11 aprilie 2019, dată la care au
fost accesate ultima dată paginile web la care face trimitere studiul.
Dreptul, serie nouă, anul XXX, nr. 7/2019
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 161
Context
1
C-210/16, Wirtschaftsakademie Schleswig-Holstein, Hotărârea din 5 iunie 2018,
ECLI:EU:C:2018:388. A se vedea: Charlotte Ducuing, Jessica Schroers, Els J. Kindt, The
Wirtschaftsakademie fan page decision: a landmark on joint controllership – a challenge for
supervisory authorities competences, European Data Protection Law Review, volume 4, 2018–12,
p. 547–553 (în continuare Ch. Ducuing, J. Schroers, E. J. Kindt, EDPRL, 4/2018). Florian Jotzo,
EuGH, Urteil v. 5. 6. 2018 – C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-
Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH., JuristenZeitung (JZ), Jahrgang 73
(2018), Heft 23, s. 1154–1159.
2
Reglementarea generală este Regulamentul (UE) 2016/679 al Parlamentului European și
al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE (Regulamentul general privind protecția datelor); a fost publicat în Jurnalul Oficial L 119,
4.5.2016, p. 1–88. Pentru detalii, a se vedea: D.-M. Șandru, I. Alexe (editori), Legislația Uniunii
Europene privind protecția datelor personale, Editura Universitară, București, 2018. Hotărârea a
fost pronunțată sub imperiul Directivei, însă este pe deplin aplicabilă și după 25 mai 2018, dată de
la care se aplică GDPR. Directiva 95/46/CE a Parlamentului European și a Consiliului din 24
octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31, Ediție specială,
13/vol. 17, p. 10. A se vedea I. Alexe, C.-M. Banu, De la directivă la regulament în reglementarea
protecției datelor cu caracter personal la nivelul Uniunii Europene, în volumul I. Alexe, N.-D.
Ploeșteanu, D.-M. Șandru (coordonatori), Protecția datelor cu caracter personal. Impactul protecției
datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile
provocări ale Regulamentului (UE) 2016/679, Editura Universitară, București, 2017, p. 14–40.
3
A se vedea, pentru considerații privind rețelele sociale: D.-M. Șandru, Imposibila
coexistență între protecția datelor și comunitățile virtuale? Ce urmează?, în „Pandectele române”,
nr. 1/2018, p. 22, disponibil la adresa https://papers.ssrn.com/sol3/papers.cfm?abstract_id=
3357430; a se vedea, Homero Gil de Zúñiga, Mark Coddington, Social Media, Oxford
Bibliographies Online, disponibil la adresa http://www.oxfordbibliographies.com/view/document/
obo-9780199756841/obo-9780199756841–0105.xml.
162 Daniel-Mihail Șandru
care pune la dispoziția utilizatorilor, gratuit sau nu, spațiu și mijloace tehnice pentru
constituirea unui site web sau a unei pagini, care funcționează în cadrul platformei,
conform termenilor și condițiilor acesteia. Pentru fiecare dintre rețelele sociale existente,
datele utilizatorilor sunt importante și fac parte din planul de afaceri4, relația dintre
utilizatori și societățile care oferă servicii gratuite pe internet fiind în esență de natură
feudală5. Statisticile arată cum veniturile din publicitate au crescut în direcția on-line, dar
nu în orice direcție, ci cu precădere pentru Facebook și Google. Doar Facebook ar avea
20% din piața on-line de publicitate6. Pentru a se sublinia trecerea de la publicațiile cu un
control redacțional la utilizarea rețelelor, în literatura dedicată drepturilor omului în
internet se subliniază că în 2013–2014 publicația New York Times avea, într-o lună, un
număr de vizualizări egal cu acela dintr-o zi pe Youtube7. Fiecare utilizator al unei rețele
sociale poate fi valorizat („monetizat”, cu sensul de transformat în beneficii) și poate fi
măsurat din punctul de vedere al activității sale în rețeaua socială8. Wikipedia consideră
rețele sociale: Facebook, Youtube, WhatsApp, Facebook Messenger, WeChat,
Instagram, QQ, QZone, Tik Tok, Sina Weibo, Twitter, Reddit, Baidu Tieba, Skype,
LinkedIn, Viber, Snapchat, Line, Pinterest, Telegram, Tinder (această ordine are în
vedere numărul de membri activi în iulie 2018)9. În România, cele mai utilizate sunt
Facebook, Google, Youtube (fără a avea date statistice relevante)10. Punctul comun al
4
De curând a început o investigație contra Facebook, inclusiv pe latură penală, ca urmare a
acestor transferuri de date ale utilizatorilor. M. LaForgia, M. Rosenberg, Gabriel J. X. Dance,
Facebook’s data deals are under criminal investigation, New York Times, 13.03.2019, https://
www.nytimes.com/2019/03/13/technology/facebook-data-deals-investigation.html. Pentru documente,
a se vedea The Associated Press (Danica Kirka, Frank Bajak, Barbara Ortutay), Facebook Used
User Data as Competitive Weapon, 5 decembrie 2018, https://www.bloomberg.com/news/articles/
2018-12-05/uk-parliament-releases-internal-facebook-documents; documentele publicate de un
membru al Parlamentului britanic sunt disponibile la adresa https://www.parliament.uk/documents/
commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-
Six4Three.pdf.
5
Pe larg: B. Schneier, Data and Goliath: The Hidden Battles to Capture Your Data and
Control Your World, W. W. Norton & Company, 2015, p. 58.
6
Sunt multe website-uri care conțin sfaturi sau ghiduri privind posibilitățile de realizare a
publicității pe rețelele sociale, aceasta fiind ea însăși o activitate comercială în sine.
7
Rikke Frank Jørgensen, Human Rights and Private Actors in the Online Domain, în vol.
Molly K. Land, Jay D. Aronson (eds), „New Technologies for Human Rights Law and Practice”,
Cambridge University Press, 2018, p. 243–244.
8
Fiecare utilizator devine „distribuitor”, așa cum a remarcat și Avocatul general Pedro Cruz
Villalón: „din momentul în care un conținut informațional este postat pe internet, particularii se
transformă imediat, voluntar sau involuntar, în distribuitori de informații prin rețele de socializare,
prin comunicare electronică, prin linkuri, prin bloguri sau prin orice alte mijloace oferite de internet.”
(Concluziile Avocatului general Pedro Cruz Villalón prezentate la 29 martie 2011 în cauzele
conexate C-509/09 și C-161/10, par. 47) De altfel, calitatea de distribuitor inferează mult cu
existența și valoarea rețelei sociale și a răspunderii administratorului de pagină.
9
Wikipedia, „Social media”, disponibil la adresa https://en.wikipedia.org/wiki/Social_media.
10
K. Houser, G. Voss, GDPR: The End of Google and Facebook or a New Paradigm in
Data Privacy?, Richmond Journal of Law & Technology nr. 1/2018, disponibil la adresa https://
jolt.richmond.edu/gdpr-the-end-of-google-and-facebook-or-a-new-paradigm-in-data-privacy/; M. Yang,
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 163
rețelelor sociale este posibilitatea ca utilizatorii fiecăreia dintre ele, dincolo de contul
propriu de membru, să poată realiza o „pagină” care se poate referi la o afacere
(produs), o comunitate de idei, o comunitate educațională (universitară, școlară) pe care
să o administreze. Rolul de administrator se interpune între rețeaua socială și
utilizatorii/membrii paginii, având în vedere respectarea obligațiilor legilor naționale și
internaționale, dar și a termenilor și condițiilor pe care le acceptă în momentul creării
paginii. În fine, definiția operatorului este chiar în Regulamentul general privind protecția
datelor și o vom utiliza pe aceasta, întrucât este asemănătoare celei din directivă11,
respectiv „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care,
singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor
cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin
dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea
acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern” (art. 4 pct. 7). În
continuarea acestei definiții trebuie avute în vedere și obligații, precum și natura juridică
definite de art. 26 GDPR în privința operatorilor asociați, noțiune care se întâlnește „în
cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de
prelucrare”. Dar oare există un „în comun” atunci când una dintre părți acceptă termeni și
condiții? Hotărârea nu ia în considerare posibilitatea aplicării regimului juridic de la
operatorii asociați, ci doar îl consacră operator pe administratorul paginii. Referința la
operator nu are în vedere vreun criteriu prevăzut de Regulament cu privire la
obligativitatea numirii responsabilului cu protecția datelor, a respectării art. 30 și art. 35.
În plus, vor trebui avute în vedere Avizul nr. 1/2010 al Grupului de lucru pentru art. 29
privind conceptele de „operator” și „persoană împuternicită de către operator”12, care
analizează pe larg conceptele fundamentale: „stabilește”, „persoana fizică sau juridică,
autoritatea publică, agenția sau orice alt organism”, „care, singur sau împreună cu
altele,” „stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”.
Astfel, trebuie observat că Avizul a fost urmat de Curtea de Justiție, fără să fie citat, în
stabilirea cadrului factual, concret, iar nu în analiza juridică a unor documente, dând
prevalență faptul că administratorul paginii de pe o rețea socială facilitează profilarea și
colectarea datelor utilizatorilor. Expresia „care, singur sau împreună cu altele” este
desigur foarte relevantă în context, fiind îndeplinită o condiție esențială a definiției13.
Alsenoy, Regulating data protection – The allocation of responsibility and risk among actors
involved in personal data processing, KU Leuven, 2016, p. 59–62, disponibilă la adresa https://
lirias.kuleuven.be/retrieve/396984 și publicată în Brendan Van Alsenoy, Data Protection Law in the
EU: Roles, Responsibilities and Liability, Intersentia, 2019.
14
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autoritate regională
independentă de protecție a datelor din Schleswig-Holstein, Germania) (denumită în continuare
„ULD”), https://www.datenschutzzentrum.de/.
15
The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against
GOOGLE LLC 21 January 2019, disponibil la adresa https://www.cnil.fr/en/cnils-restricted-
committee-imposes-financial-penalty-50-million-euros-against-google-llc (inclusiv decizia integrală);
de asemenea, o altă sancțiune pecuniară, în jur de 220.000 de euro, se referă la amendarea de
către autoritatea poloneză de protecția datelor pentru lipsa de informare de care s-a făcut vinovat
un broker de date (a se vedea First fine imposed by the President of the Personal Data Protection
Office, https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-
protection-office_en).
16
Într-o informare a autorității olandeze de protecția datelor, disponibilă în original la adresa
https://autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-
tracking-cookies, se arată că politica privind cookies nu trebuie să altereze dreptul la informare,
exprimare, mai precis posibilitatea accesării normale a paginilor web. A se vedea N. Lomas, Cookie
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 165
walls don’t comply with GDPR, says Dutch DPA, 08.03.2019, disponibil la adresa https://
techcrunch.com/2019/03/08/cookie-walls-dont-comply-with-gdpr-says-dutch-dpa/.
166 Daniel-Mihail Șandru
(pct. 26, făcându-se referire la Hotărârea din 11 decembrie 2014, Ryneš, C-212/13,
EU:C:2014:2428, punctul 27 și jurisprudența citată). În consecință, în pct. 28–29, Curtea
a analizat definiția „operatorului” și aplicabilitatea acesteia unui administrator de pagină
de pe o rețea socială, utilizând cele mai înalte standarde de protecție a persoanei vizate.
În prima premisă a raționamentului hotărârii, Curtea a reamintit jurisprudența
Google Spain și Google17, în care a definit în mod larg noțiunea de operator, întrucât
numai în acest mod se realizează o protecție eficientă și completă a persoanelor în
cauză.
A doua premisă majoră a silogismului este faptul că operatorul stabilește, singur
sau împreună cu alți operatori, scopurile și mijloacele de prelucrare a datelor cu caracter
personal18. Această a doua premisă este mai greu de explicat și se ridică întrebarea
fundamentală: în ce măsură un administrator de pagină de rețea socială stabilește
scopurile și mijloacele de prelucrare a datelor?
Pentru a răspunde la această întrebare am preluat două clauze din termenii și
condițiile pe care Facebook le impune administratorilor de pagini. Astfel, în privința
colectării de date de la utilizatori, se arată că: „În cazul în care colectați conținut și
informații direct de la utilizatori, Pagina, Grupul sau Evenimentul dumneavoastră va
specifica faptul că dumneavoastră (și nu Facebook) efectuați colectarea; în plus, veți
informa utilizatorii și veți obține consimțământul acestora în legătură cu utilizarea
conținutului și a informațiilor pe care le colectați. Indiferent de modul în care obțineți
conținutul și informațiile de la utilizatori, aveți responsabilitatea de a obține toate
permisiunile necesare pentru a reutiliza conținutul și informațiile acestora.”19
Din acest fragment rezultă că administratorul paginii este operator cel puțin în
privința colectării, cu atât mai mult cu cât în unele situații administratorul paginii poate
solicita declinarea adevăratei identități a unui membru Facebook20.
Administratorul paginii are acces la funcția „Facebook Insight” și, în consecință, își
poate adapta modalitățile de comunicare, de publicare a anunțurilor, chiar dacă funcția
amintită pusă la dispoziție oferă date statistice. Mai mult, Curtea consideră că
administratorul este operator chiar dacă statisticile sunt anonime, întrucât prin
intermediul acestuia Facebook își poate sistematiza mijloacele de profilare pe care le
poate realiza cu privire la utilizatori, atât utilizatori care sunt membri Facebook, dar mai
17
Cauza C-131/12, Google Spain și Google, Hotărârea din 13 mai 2014, EU:C:2014:317,
pct. 34.
18
„În plus, de vreme ce, astfel cum prevede expres articolul 2 litera (d) din Directiva 95/46,
noțiunea „operator” vizează organismul care, „singur sau împreună cu altele”, stabilește scopurile și
mijloacele de prelucrare a datelor cu caracter personal, această noțiune nu face trimitere în mod
necesar la un organism unic și poate privi mai mulți actori care participă la această prelucrare,
fiecare dintre ei fiind în acest caz supus dispozițiilor aplicabile în materie de protecție a datelor.”
Cauza C-210/16, cit. supra, pct. 29.
19
https://www.facebook.com/policies/pages_groups_events/.
20
Nu are importanță activitatea/reacția utilizatorilor pe paginile de rețele sociale, aceasta
constituind obiectul altor dispute doctrinare și jurisprudențiale (I. Robbins, What Is the Meaning of
‘Like’?: The First Amendment Implications of Social-Media Expression, The Federal Courts Law
Review, 2013, p. 127; disponibil la adresa https://www.fclr.org/fclr/articles/html/2010/robbins.pdf).
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 167
datelor, cel puțin în cursul perioadei relevante pentru procedura principală.” [din fața
instanței naționale].
A doua clauză din termenii și condițiile rețelei sociale face trimite la posibilitatea
negocierii în situația colectării automate a datelor: „Pagina, Grupul sau Evenimentul
dumneavoastră nu va colecta conținut sau informații ale utilizatorilor și, în general, nu va
accesa Facebook utilizând mijloace automatizate (cum ar fi programele bot de colectare,
roboții sau programele de tip „spider” sau „scraper”) fără acordul scris din partea
Facebook.”24 Curtea de Justiție consideră că administratorul paginii încheie un contract
cu Facebook. În realitate, deși există posibilitatea negocierii, aceasta se limitează în cele
mai multe situații la acceptarea termenilor și condițiilor, așadar un contract de adeziune.
Răspundere
24
https://www.facebook.com/policies/pages_groups_events/.
25
Foarte pe scurt, asumarea răspunderii poate fi realizată și termenii menționați în acest
articol: Jessica Lam, Enforcement of judgement: Update CJEU Case C-210/16, disponibil la adresa
http://www.lawinfographic.com/route-enforce-eu-data-protection-rules-update-cjeu-judgement-case-
c-21016/; de altfel, așa cum a fost tratată răspunderea în această hotărâre, nu poate decât să
nască alte întrebări și nu se referă la soluții, care vor veni fie din partea instanțelor naționale, fie în
urma altor trimiteri preliminare. Pentru o serie de întrebări, a se vedea Ch. Ducuing, J. Schroers, E.
J. Kindt, loc. cit., EDPRL, 4/2018, p. 549.
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 169
relevante și luarea unor măsuri adecvate în vederea corectării erorilor sau greșelilor.” În
plus, stabilirea operatorului are legătură cu legislația națională aplicabilă, uneori având
importanță acest aspect, mai ales dacă operatorul este o autoritate sau organism public.
În al doilea rând, Curtea a subliniat că „existența unei responsabilități comune nu
înseamnă în mod necesar o răspundere echivalentă a diferitor operatori vizați de o
prelucrare a datelor cu caracter personal. Dimpotrivă, acești operatori pot fi implicați în
diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere
al fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente
ale speței” (pct. 43).
Acest argument va fi interpretat în hotărâri viitoare și va fi definitoriu pentru
răspunderea administratorilor de pagini pe rețele sociale. Tonul acestei fraze pare să
delimiteze răspunderea propriu-zisă a unui operator administrator de pagină cu cea a
operatorului – rețea socială. Dar cum se face acest lucru în condițiile în care
administratorii paginilor nu încheie contracte, ci doar acceptă termeni și condiții, nu au
acces la date personale, ci doar la statistici, culpa lor fiind că atrag utilizatori pe
platforme și rețelele sociale.
De altfel, nu fără temei, s-a subliniat că această hotărâre are efect doar în privința
raporturilor administrator pagină – rețea socială și pentru toate website-urile care au
programe care profilează, realizează statistici etc.: „deși CJUE nu o spune expres,
concluzia la care se poate ajunge este aceea că o entitate este responsabilă atât pentru
prelucrările de date făcute prin intermediul unui site propriu, dar și pentru prelucrările
efectuate cu privire la paginile folosite și care sunt administrate de aceasta în cadrul
rețelelor sociale. De asemenea, nu doar rețelele sociale ar trebui să fie luate în discuție
ci, de exemplu, credem că inclusiv utilizarea unor platforme de e-commerce, comune
mai multor vânzători, poate fi o situație în care considerentele CJUE să își găsească
aplicarea în mod corespunzător, în ceea ce privește răspunderea solidară pentru
prelucrarea datelor personale.”26
26
C.-C. Pintilie, CJUE: administratorul unei „pagini pentru fani” găzduite de Facebook poate
răspunde pentru prelucrările de date făcute prin intermediul platformei sociale, 06.06.2018,
articol disponibil la adresa https://www.hotnews.ro/stiri-specialisti_stoica_si_asociatii-22492119-
cjue-administratorul-unei-pagini-pentru-fani-zduite-facebook-poate-spunde-pentru-prelucr-rile-date-
cute-prin-intermediul-platformei-sociale.htm
27
I. Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR,
revista „Pandectele române” nr. 1/2018, p. 34 și urm.
170 Daniel-Mihail Șandru
care rețelele sociale le pun la dispoziția administratorului paginii, așa cum este cazul în
statisticile „Facebook Insight”), categoriile de destinatari cărora le-au fost sau le vor fi
divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații
internaționale (respectiv Facebook, LinkedIn etc.), transferurile către o țară terță (mai
ales că majoritatea rețelelor sociale aparțin unor societăți stabilite în afara Uniunii
Europene), termene-limită pentru ștergere/distrugere (dar în această situație nu este
aplicabilă) și măsurile de securitate (aici măsurile de securitate se referă în special la
operatorul care deține rețeaua socială). În privința realizării evaluării impactului asupra
protecției datelor, operatorul este obligat să verifice criteriile stabilite în Regulament și
documentele soft-law aplicabile32 și să individualizeze posibilele riscuri. Prin aceste
proceduri, operatorul trebuie să stabilească modalitățile de respectare a drepturilor
persoanelor vizate, precum și riscurile asociate.
Un exemplu de măsuri este acela luat de juridice.ro, care a realizat următoarea
notificare:
„Având în vedere că, potrivit CJUE, administratorul unei pagini pentru fani pe
Facebook are, împreună cu Facebook, calitatea de operator care prelucrează datele
vizitatorilor paginii sale, politica de confidențialitate JURIDICE.ro este aplicabilă și paginilor
Facebook administrate de noi, cu toate că nu avem acces nici la fișiere cookies utilizate de
Facebook și nici nu cunoaștem identitatea persoanelor care accesează paginile Facebook
administrate de noi fără să fie logați pe Facebook. Din acest motiv, vă aducem la
cunoștință drepturile pe care le aveți în calitate de persoane vizate ne-logate pe Facebook
și vă rugăm ca, dacă nu doriți ca Facebook să instaleze cookies în computerele
dumneavoastră, să dezactivați aceste elemente tehnice din browserul dumneavoastră. Vă
mulțumim pentru înțelegere.”33 Mai mult, o serie de pagini administrate de juridice.ro au
fost dezactivate sau au fost transferate unor persoane fizice34.
În ultimii trei ani, acțiuni (reuniuni, în special) diferite au avut loc între autoritățile
UE pentru protecția consumatorilor și Comisia Europeană, pe de o parte, și societățile
32
Decizia ANSPDCP nr. 174 din 18 octombrie 2018 privind lista operațiunilor pentru care
este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal; Ghid
privind evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este
„susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679, W P 248 rev.01;
Declarația Grupului de lucru pentru Articolul 29 cu privire la rolul unei abordări bazate pe riscuri
pentru cadrul legal în domeniul protecției datelor, 14/EN WP 218, adoptată în data de 30 mai 2014;
Ghidul Grupului de lucru pentru Articolul 29 privind responsabilul cu protecția datelor, 16/EN
WP243; Opinia Grupului de lucru pentru Articolul 29 privind limitarea scopului, 13/EN WP 203;
Considerentele 75, 84, 89, 90, 91, 92, 93 din Regulament.
33
https://www.juridice.ro/politica-de-confidentialitate.
34
A se vedea: Actualizare informare privind protecția datelor cu caracter personal
JURIDICE.ro, în ce privește paginile Facebook, disponibilă la adresa https://www.juridice.ro/
595686/actualizare-informare-privind-protectia-datelor-cu-caracter-personal-juridice-ro-in-ce-priveste-
paginile-facebook.html, 03.08.2018, JURIDICE.ro.
172 Daniel-Mihail Șandru
Concluzii
Se poate afirma că suntem în fața unei hotărâri istorice puțin cunoscute, având în
vedere reacția pe care o putem constata în adaptarea politicilor de confidențialitate
publicate de operatori care administrează pagini pe rețele sociale. Hotărârea Curții de
Justiție trebuie coroborată cu întreaga legislație referitoare la protecția datelor, în special
cu Regulamentul general privind protecția datelor și este obligatorie de la data
pronunțării. În mod esențial, administratorul paginii de pe o rețea socială este operator în
sensul reglementărilor privind protecția datelor cu toate obligațiile care derivă din
aceasta. Cele mai importante consecințe se referă la răspundere și pentru a o înlătura
35
Comisia Europeană, „Societățile care gestionează platforme de comunicare socială
trebuie să facă mai mult pentru a respecta pe deplin normele UE privind protecția consumatorilor”,
Bruxelles, 15 februarie 2018, disponibil la adresa http://europa.eu/rapid/press-release_IP-18-761_
ro.htm.
36
https://ec.europa.eu/romania/news/20190410_facebook_clauze_furnizare_date_protectie
_consumatori_ro.
Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator... 173
BIBLIOGRAFIE
Alexe I. (2018), Reforma instituțională, în materia protecției datelor, la nivel european, în A. Săvescu
(coord.), „Regulamentul general privind protecția datelor. Comentarii și explicații”, Editura Hamangiu,
București, p. 1–11.
Alexe I. (2018), Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, în
„Pandectele române”, 1, 34.
Alexe I., Ploeșteanu N.-D., Șandru D.-M. (coordonatori) (2017), Protecția datelor cu caracter
personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor
românești și noile provocări ale Regulamentului (UE) 679/2016, Editura Universitară, București.
Ducuing Ch., Schroers J., Kindt E. J. (2018), The Wirtschaftsakademie fan page decision: a
landmark on joint controllership – a challenge for supervisory authorities competences, European Data
Protection Law Review, 12, 547–553.
Gil de Zúñiga H., Coddington M. (2018), Social Media, în „Oxford Bibliographies Online”, disponibil la
adresa http://www.oxfordbibliographies.com/view/document/obo-9780199756841/obo-9780199756841-0105.xml
Houser K., Voss G. (2018), GDPR: The End of Google and Facebook or a New Paradigm in Data
Privacy?, Richmond Journal of Law & Technology, nr. 1, disponibil la adresa https://jolt.richmond.edu/gdpr-
the-end-of-google-and-facebook-or-a-new-paradigm-in-data-privacy/
Jørgensen R.F. (2018), Human Rights and Private Actors in the Online Domain, în M. K. Land, J. D.
Aronson (eds.), „New Technologies for Human Rights Law and Practice”, Cambridge University Press, p.
243–244.
LaForgia M., Rosenberg M., Dance G. (2019), Facebook’s data deals are under criminal
investigation, New York Times, disponibil la adresa https://www.nytimes.com/2019/03/13/technology/
facebook-data-deals-investigation.html.
Lomas N. (2019), Cookie walls don’t comply with GDPR, says Dutch DPA, 08.03.2019, disponibil la
adresa https://techcrunch.com/2019/03/08/cookie-walls-dont-comply-with-gdpr-says-dutch-dpa/
Pintilie C.-C. (2018), CJUE: administratorul unei „pagini pentru fani” găzduite de Facebook poate
răspunde pentru prelucrările de date făcute prin intermediul platformei sociale, disponibil la adresa
https://hotnews.ro.
Robbins I. (2013), What Is the Meaning of ‘Like’?: The First Amendment Implications of Social-Media
Expression, The Federal Courts Law Review, 127.
Schneier B. (2015), Data and Goliath: The Hidden Battles to Capture Your Data and Control Your
World, W. W. Norton & Company.
Șandru D.-M. (2018), Imposibila coexistență între protecția datelor și comunitățile virtuale? Ce
urmează?, în „Pandectele române”, 1, 22.
174 Daniel-Mihail Șandru