Studii de Caz

Capitolul I.
Legislaţie. Definiţii. Categorii de date

cu caracter personal
Studii de caz
Capitolul I. Legislaţie. Definiţii. Categorii de date cu caracter personal
Dr. Gheorghe Păcurar
Studiul de caz nr. 11
Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul X și a constatat

încălcarea dispozițiilor art. 5 alin. (1) lit. b) și c) și alin. (2) și art. 6 și art. 7 din Regulamentul
General privind Protecția Datelor.
Ca atare, operatorul X a fost sancționat contravențional cu amendă în cuantum de 24.362,50 lei
(echivalentul în lei al sumei de 5.000 Euro).
În urma investigației, Autoritatea Națională de Supraveghere a constatat că operatorul a
prelucrat imaginea angajaților săi, în mod excesiv, prin intermediul camerelor video instalate în
spații cu destinația de vestiare și în zona destinată servirii mesei, invocând scopul protejării
bunurilor și a produselor societății, precum și al descurajării furtului.
În acest context, Autoritatea Națională de Supraveghere a apreciat că prelucrările datelor
personale nu au fost adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile
în care sunt prelucrate („reducerea la minimum a datelor”), încălcându-se astfel principiile art. 5
alin. (1) lit. b) și c) din Regulamentul General privind Protecția Datelor. Autoritatea Națională de
Supraveghere a apreciat că scopul declarat de operator (protejarea bunurilor, a produselor
societății și descurajarea furtului) se putea realiza prin mijloace mai puțin intruzive pentru viața
privată a angajaților.
Pe de altă parte, în investigația efectuată, având în vedere relația angajator-angajat, s-a
reținut faptul că nu a putut fi considerat liber exprimat consimțământul persoanei vizate și nici nu
a putut fi identificat alt temei legal de prelucrare, operatorul neputând face dovada respectării
principiilor de prelucrare, prin raportare și la art. 5 alin. (2) din Regulamentul General privind
Protecția Datelor.
Măsuri corective aplicate:

 măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale
în activitatea de monitorizare video, cu respectarea principiului „reducerii la minimum a
datelor”, raportat la art. 5 alin. (1) lit. c);
 să reanalizeze orientarea unghiului de captare a imaginilor video astfel încât aceastea să
nu monitorizeze activitatea angajaților săi în spații cu destinația de vestiare și în sala de
mese, raportat la scopul prelucrării.
Investigația a fost demarată ca urmare a unei sesizări a unei persoane fizice care a semnalat
faptul că operatorul X prelucrează date cu caracter personal (respectiv imaginea), prin intermediul
camerelor video instalate în birourile angajaților, în vestiare și în sala de mese.
1
Sursa:https://www.dataprotection.ro/?page=Comunicat_Presa_15_/_04_/_2021&lang=ro (accesat la 18
aprilie 2021).
Autoritatea Națională de Supraveghere a finalizat în luna februarie 2021 o

investigație la operatorul X și a constatat încălcarea prevederilor art. 32 alin. (1) și alin.
(2) din Regulamentul General privind Protecția Datelor și încălcarea prevederilor art. 3
alin. (1) și alin. (3) lit. a) și lit. b) din Legea nr. 506/2004, modificată şi completată.
Ca atare, operatorul X a fost sancționat contravențional:
 cu amendă în cuantum de 48.748,00 lei (echivalentul a 10.000 EURO), pentru
încălcarea art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția
Datelor;
 cu amendă în cuantum de 15.000 lei, pentru săvârşirea contravenţiei prevăzută de
art. 13 alin. (1) lit. a) din Legea nr. 506/2004
În investigația efectuată s-a constatat că operatorul nu a implementat măsuri tehnice
și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător
riscului prelucrării, ceea ce a condus la divulgarea neautorizată și/sau accesul neautorizat
la datele cu caracter personal, precum: client ID, cod client, nume și prenume, CNP, data
nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor
asociate codului de client ale unui număr de 99.210 persoane vizate/clienți. Astfel,
adresele de facturare ale acestora au fost introduse eronat în baza de date cu clienți
persoane fizice, transmisă unui partener contractual în baza unui contract de cesiune
creanțe, ceea ce a determinat expedierea către adrese greșite a notificărilor transmise
clienților.
De asemenea, s-a constatat că operatorul nu a luat măsuri tehnice și organizatorice
adecvate în vederea asigurării securității prelucrării datelor cu caracter personal, de
natură să protejeze datele cu caracter personal stocate sau transmise împotriva stocării,
prelucrării, accesării ori divulgării ilicite, ceea ce a condus la accesul neautorizat la datele
personale din conturile MyAccount (numele titularului de cont; data nașterii; numere de
telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile
contractate; extraopțiuni active pe cont; istoricul facturilor simple) ale unui număr de 413
persoane vizate/clienți Telekom România. Subliniem că, operatorul avea obligația de a
garanta că datele cu caracter personal pot fi accesate numai de persoane autorizate, în
scopurile menționate de lege, încălcându-se astfel prevederile art. 3 alin. (1) și alin. (3)
lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și
protecția vieții private în sectorul comunicațiilor electronice, modificată și completată.
Dispozițiile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004, modificată
și completată, prevăd următoarele:
”(1) Furnizorul unui serviciu de comunicații electronice destinat publicului are
obligația de a lua măsuri tehnice și organizatorice adecvate în vederea asigurării securității
prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de
comunicații electronice destinate publicului va lua aceste măsuri împreună cu furnizorul
rețelei publice de comunicații electronice.”
2
Sursa: https://www.dataprotection.ro/?page=Comunicat_30_/_03_/_2021&lang=ro (accesat la 18 aprilie
2021).
”(3) Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările și

completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel puțin
următoarele condiții:
a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane
autorizate, în scopurile autorizate de lege;
b) să protejeze datele cu caracter personal stocate sau transmise împotriva
distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale și
împotriva stocării, prelucrării, accesării ori divulgării ilicite.”
De asemenea, operatorului i-au fost aplicate și măsuri corective, constând în:
 revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca
urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv
a procedurilor referitoare la comunicațiile electronice;
 implementarea unui proces pentru testarea, evaluarea și aprecierea periodică ale
eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea
prelucrării, conform prevederilor RGPD.
În acest context, reamintim că art. V alin. (2) din Legea nr. 129/2018 prevede că ”Toate
trimiterile la Legea nr. 677/2001, cu modificările şi completările ulterioare, din actele
normative se interpretează ca trimiteri la Regulamentul general privind protecţia datelor
şi la legislaţia de punere în aplicare a acestuia.”
Divulgare neautorizată de date cu caracter personal prin intermediul e-mail-ului
O instituție bancară a notificat Autoritatea națională de supraveghere cu privire la

producerea unui incident de încălcare a securității datelor cu caracter personal, prin
completarea formularului privind încălcarea securității datelor cu caracter personal
prevăzut de Regulamentul (UE) 2016/679. Incidentul de securitate notificat a constat în
faptul că, urmare a unei erori tehnice a aplicației utilizate de instituţia bancară pentru
comunicarea automată către clienţii proprii a formularului de definire și actualizare date
personale – persoane fizice, în procesul de înrolare/actualizare au fost transmise către un
număr de 56 de adrese de e-mail eronate formulare de definire și actualizare date
personale – persoane fizice, care conțineau următoarele date cu caracter personal: nume,
prenume, data nașterii, codul numeric personal, numărul și seria actului de identitate,
data nașterii, locul nașterii, profesie, loc de muncă, număr de telefon, adresa de e-mail,
adresa de domiciliu, situație familială, date privind bunurile deținute, salariu.
Ca urmare a producerii incidentului de securitate, instituţia bancară a contactat
telefonic persoanele care au recepționat în mod eronat corespondența transmisă din
partea băncii, 30 de persoane confirmând distrugerea/ștergerea corespondenței
recepționate în mod eronat. Pentru alte 27 de persoane, comunicarea solicitării de
ștergere/distrugere de îndată a informațiilor transmise eronat a fost comunicată pe adresa
de e-mail pe care a fost transmis inițial, în mod eronat, documentul menționat, persoanele
afectate de incidentul de securitate, care nu au confirmat ștergerea/distrugerea
corespondenței recepționate eronat, urmând să fie notificate cu privire la incidentul
produs. În urma investigaţiei efectuate la instituția bancară, Autoritatea națională de
supraveghere a constatat că instituţia bancară nu a implementat măsuri tehnice și
organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător
riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea,
pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu
caracter personal transmise, stocate sau prelucrate într-un alt mod, prin transmiterea
formularelor pentru definire și actualizare date personale – persoane fizice (clienți) către
adrese de e-mail eronate, din cauza unei erori tehnice a aplicației, fiind afectate de
incident un număr de 56 de persoane fizice vizate. Aceasta a condus la încălcarea
confidențialității datelor cu caracter personal (nume, prenume, data nașterii, codul
numeric personal, numărul și seria actului de identitate, data nașterii, locul nașterii,
profesie, loc de muncă, număr de telefon, adresa de e-mail, adresa de domiciliu, situație
familială, date privind bunurile deținute, salariu), deși instituţia bancară avea aceste
obligații, inclusiv potrivit prevederilor art. 5 lit. f), „integritate și confidențialitate” din
Regulamentul (UE) 2016/679.
În acest caz, Autoritatea națională de supraveghere a constatat că operatorul a
încălcat prevederile art. 32 alin. (1) lit. b) și d) din Regulamentul (UE) 2016/679și a dispus
operatorului o măsură corectivă, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE)
3
Sursa: Raportul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, pe anul
2019, Fisa de caz 4, pag. 81-82 (https://www.dataprotection.ro/?page=Rapoarte%20anuale&lang=ro, accesat
la 18 aprilie 2021).
2016/679, raportat la art. 14 alin. (11) și art. 16 alin. (5) din Legea nr. 102/2005, respectiv
instruirea angajaților asupra riscurilor și consecințelor pe care le implică divulgarea
datelor personale.
Prin petiţia adresată Autorității naționale de supraveghere, un petent a reclamat

dezvăluirea datelor sale (ex. nume și prenume, adresă, date autoturism) pe site-ul unei
societăți comerciale care își desfășoară activitatea în domeniul asigurărilor, fără
consimțământul său, situație în care datele sale au putut fi obținute de către o altă
persoană fizică care le-a postat ulterior pe pagina sa de Facebook. Petentul a mai susținut
că sistemul de evidență deținut de acest operator poate fi accesat pe internet. În urma
investigației efectuate, a reieșit că datele cu caracter personal ale petentului au fost
furnizate de către acesta în momentul emiterii unei polițe CASCO. Ulterior, aceste date
au fost dezvăluite neautorizat pe Facebook de către angajata unei alte societăți care
avea calitatea de persoană împuternicită a operatorului. Operatorul a declarat că
dezvăluirea datelor petentului a fost remediată după constatarea acesteia, prin
ștergerea datelor de pe Facebook, iar persoana care a dezvăluit aceste date a suportat
consecințele unei măsuri disciplinare.
Totodată, a reieșit că site-ul în cauză nu este un site cu informații accesibile
tuturor, ci este o interfață pentru accesarea unei aplicații de emitere oferte/produse de
asigurare care aparține operatorului, iar personalul propriu și asistenții de brokeraj ai
operatorului, avizați de către Autoritatea de Supraveghere Financiară (ASF), se pot loga
la această aplicație doar pe bază de credențiale (user și parolă individuală) conform
condițiilor/restricțiilor de securitate prevăzute de Norma 6/2015 emisă de ASF. Astfel,
față de informațiile și documentele transmise în cadrul investigației, s-a constatat că
operatorul nu a respectat prevederile legale referitoare la prelucrarea datelor prin
intermediul unei persoane împuternicite, întrucât nu a elaborat instrucțiuni
documentate în sarcina împuternicitului său, conform prevederilor art. 28 din
Regulamentul (UE) 2016/679. De asemenea, s-a apreciat că operatorul nu a asigurat
suficiente măsuri tehnice și organizatorice prevăzute de art. 32 din Regulamentul (UE)
2016/679, respectiv, nu a luat în calcul riscurile prezentate de prelucrare, generate, în
special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea
neautorizată sau accesul neautorizat la datele cu caracter personal prelucrate. Prin
urmare, operatorul a fost sancționat contravențional cu avertisment pentru încălcarea
art. 28 alin. (1) și (3) și art. 32 din Regulamentul (UE) 2016/679 și au fost aplicate măsuri
corective prin care operatorul a fost obligat să întreprindă demersurile necesare pentru
asigurarea conformității cu aceste prevederi.
4
Sursa: Raportul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, pe anul
2019, Fisa de caz, pag. 113-114 (https://www.dataprotection.ro/?page=Rapoarte%20anuale&lang=ro,
accesat la 18 aprilie 2021).
În data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o

investigație la operatorul X și a constatat că acesta a încălcat dispozițiile Legii nr.
506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în
sectorul comunicaţiilor electronice, cu modificările și completările ulterioare.
Operatorul X a fost sancționat contravențional cu două amenzi în cuantum total de 20.000
lei.
Sancțiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la
faptul că X a încălcat securitatea și confidențialitatea datelor cu caracter personal.
Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin
intermediul site-ului operatorului X și că, ulterior, a primit pe adresa sa de e-mail, un
contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că
datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.
Ca urmare a investigației efectuate la operator, Autoritatea a constatat că X nu a
respectat dispozițiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și
completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii
electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice
adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că
acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în
vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri și să
respecte cel puţin următoarele condiţii:
distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi
împotriva stocării, prelucrării, accesării ori divulgării ilicite;
c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în
ceea ce priveşte prelucrarea datelor cu caracter personal
De asemenea, s-a constatat faptul că nu au fost respectate dispozițiile art. 3
alin. (6) din Legea nr. 506/2004, cu modificările și completările ulterioare, conform
cărora ”În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de
servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără
întârziere, la respectiva încălcare.”
Pe lângă sancțiunile cu amenda aplicate operatorului X, Autoritatea Națională de
Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării
procesului-verbal, să ia măsurile necesare respectării prevederilor art. 3 alin. (1) – (3)
din Legea nr. 506/2004, cu modificările și completările ulterioare, în vederea
implementării unor măsuri adecvate de securitate a prelucrării datelor personale,
inclusiv sub aspectul asigurării confidenţialității și protejării datelor cu caracter personal
împotriva divulgării ilicite
5
Sursa:https://www.dataprotection.ro/?page=Comunicat_noua_amenda_vodafone&lang=ro (accesat la 18
aprilie 2021).
De asemenea, s-a recomandat operatorului X ca, pe viitor, să notifice breșele de

securitate, fără întârzieri, Autorităţii Naționale de Supraveghere.
Capitolul II.
Principii privind prelucrarea datelor cu

caracter personal
Studii de caz
Studiu de caz 1 – Principii GDPR
Care principiu a fost incalcat?
Autoritatea Națională de Supraveghere a finalizat în data de 18.11.2019 o investigație la

operatorul Royal President S.R.L., constatând următoarele:
 încălcarea dispozițiilor art. 12 alin. (3) și (4) și art. 15 din Regulamentul General
privind Protecția Datelor;
 încălcarea art. 5 alin. (1) lit. f) și art. 32 alin. (1) lit b) din Regulamentul (UE)
679/2016.
Operatorul Royal President S.R.L. a fost sancționat cu avertisment pentru încălcarea
prevederile art. 15 și art. 12 alin. (3) și (4) din Regulamentul (UE) 679/2016 și cu amendă
în cuantum de 11.932,25 lei, echivalentul sumei de 2500 EURO pentru încălcarea art. 5
alin. (1) lit. f) și art. 32 alin. (1) lit b) din Regulamentul (UE) 679/2016.
Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul
că Royal President S.R.L. a refuzat soluționarea unei cereri de exercitare a dreptului
de acces prevăzut de art. 15 din Regulamentul General privind Protecția Datelor,
precum și faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei
vizate.
În cadrul investigației, operatorul Royal President S.R.L. nu a putut face dovada
soluționării cererii de exercitare a dreptului de acces în termenul prevăzut de art. 12
alin. (3) din Regulamentul (UE) 2016/679.
De asemenea, s-a constatat că datele cu caracter personal colectate prin intermediul
fișei de cazare nu au fost prelucrate într-un mod care să asigure securitatea lor, prin
luarea de măsuri tehnice sau organizatorice corepunzătoare, pentru a se putea evita orice
dezvăluire neautorizată încălcându-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin.
(1) lit. b) și ale art. 32 alin. (2) din Regulamentul (UE) 2016/679,
Totodată, operatorului i s-a aplicat și o măsură corectivă care a constat în întocmirea și
implementarea unei proceduri interne privind protecția datelor cu caracter personal ale
beneficiarilor serviciilor de cazare, prin raportare la prevederile art. 32 din Regulamentul
(UE) 2016/679.
Studiu de caz 2 – Principii GDPR
Care dintre principii RGDP a fost incalcat?
În luna iulie, Autoritatea Națională de Supraveghere a finalizat o investigație la

operatorul UTTIS INDUSTRIES SRL și a constatat că acesta a încălcat prevederile art. 12 și
art. 5 alin. (1) lit. c) coroborate cu art. 6 din Regulamentul (UE) 2016/679 al
Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor
fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera
circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general
privind protecţia datelor).
Operatorul UTTIS INDUSTRIES SRL a fost sancționat contravențional cu amendă în
cuantum total de 11.834,25 lei (echivalentul sumei de 2500 euro).
Astfel, a fost aplicată:
 amendă în cuantum de 4.733,70 lei (echivalentul sumei de 1000 euro) pentru
încălcarea dispoziţiilor art. 12 din RGPD şi
 amendă în cuantum de 7.100,55 lei (echivalentul sumei de 1500 euro) pentru
încălcarea dispoziţiilor art. 5 alin. (1) lit. c) coroborate cu art. 6 din RGPD.
Sancțiunile au fost aplicate operatorului deoarece:
 nu a putut face dovada realizării informării persoanelor vizate cu privire la
prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de
supraveghere video, pe care o realiza începând din anul 2016;
 a efectuat dezvăluirea CNP-ul angajaţilor, prin afișarea Referatului pentru
instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societăţii și nu
a putut face dovada legalității prelucrării CNP-ului, prin dezvăluire, potrivit art. 6
RGPD.
Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unor sesizări din
data de 21.03.2019 prin care se semnala faptul că UTTIS INDUSTRIES SRL are instalate
camere de supraveghere video, fără a efectua informarea legală privind supravegherea
video, precum şi faptul că acesta a dezvăluit în mod ilegal numele şi CNP-ul salariaţilor,
prin afişarea acestor date personale la avizierul societăţii.
Potrivit art. 12 din RGPD, operatorul avea obligaţia de a lua măsuri adecvate pentru a
furniza persoanei vizate orice informaţiimenţionate la art. 13 şi 14.
Studiu de caz 3 –Principii GDPR
Sancțiune pentru încălcarea RGPD – care principiu a fost incalcat?
Autoritatea Națională de Supraveghere a finalizat, în data de 16.12.2019, o investigație

la operatorul SC Enel Energie S.A., constatând următoarele:
 încălcarea dispozițiilor art. 5 alin. (1) lit. d) și (2) din Regulamentul General
privind Protecția Datelor;
 încălcarea prevederilor art. 6 și art. 7 din Regulamentul General privind
Protecția Datelor;
 încălcarea prevederilor art. 21 alin. (1) din Regulamentul General privind
Protecția Datelor.
Operatorul S.C. Enel Energie S.R.L. a fost sancționat contravențional cu două amenzi,
fiecare în cuantum de 14.334,30 lei, echivalentul sumei de 3000 EURO pentru
încălcarea art. 5 alin. (1) lit. d), art. 6 alin. (1) lit. a) și art. 7 alin. (1) din Regulamentul
General privind Protecția Datelor, respectiv pentru încălcarea dispozițiilor art. 21 alin.
(1) din Regulamentul General privind Protecția Datelor.
Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că S.C
Enel Energie S.A. a prelucrat nelegal datele petentului, neputând face dovada obținerii
consimțământului acestuia pentru transmiterea de notificări pe această adresă de e-mail și
fără respectarea principiului exactității. În plus, operatorul nu a luat măsurile necesare
pentru dezactivarea transmiterii de notificări, deși petentul și-a exercitat dreptul de
opoziție în mai multe rânduri.
Amenda a fost achitată de operator.
Studiu de caz 4 –Principii GDPR
Altă sancțiune pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a finalizat în data de 26.09.2019 o investigație

la INTELIGO MEDIA SA, constatând următoarele:
Încălcarea prevederilor art. 5 alin. (1) lit. a) și b), art. 6 alin.(1) lit. a) și art. 7 din
RGPD, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 9000 de
Euro.
Sancțiunea a fost aplicată ca urmare a unor sesizări prin care se semnala faptul că
pentru crearea unui cont nou pe website-ul avocatnet.ro - ce aparține operatorului Inteligo
Media SA, se afișează o căsuță nebifată, cu un text alăturat cu următorul conținut: «Nu
vreau să primesc "Personal Update", informarea trimisă zilnic, gratuit, pe email, de
avocatnet.ro».
Potrivit acestor condiții stabilite de operator, în măsura în care un utilizator omite
bifarea acestei căsuțe, el este automat abonat, respectiv e-mailul său este introdus
automat în baza de abonați la această informare.
Astfel, abonarea a avut loc în absența unei manifestări de voință din partea
utilizatorilor, care să indice în mod clar acceptarea prelucrării în scopul stabilit de
operator.
În cadrul controlului, operatorul nu a putut face dovada obținerii unui consimțământ
explicit, în condițiile prevăzute de art. 7 din RGPD, pentru un număr de 4357 de
utilizatori, cărora le-a prelucrat datele cu caracter personal.
De asemenea, pentru transmiterea prin e-mail a informării zilnice, operatorul a
prelucrat datele în baza unui temei legal neadecvat scopului, respectiv ”executarea unui
contract”.
În acest context, subliniem că potrivit art. 7 din RGPD, în cazul în care prelucrarea
se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că
persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter
personal.
Totodată, considerentul (32) din același regulament prevede următoarele:
”Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o
manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului
persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o
declaraţie făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea
include bifarea unei căsuţe atunci când persoana vizitează un site, alegerea
parametrilor tehnici pentru serviciile societăţiiinformaţionale sau orice altă declaraţie
sau acţiune care indică în mod clar în acest context acceptarea de către persoana
vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absenţa
unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să
constituie un consimţământ. Consimţământul ar trebui să vizeze toate activităţile de
prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă prelucrarea datelor
se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile
prelucrării. În cazul în care consimţământul persoanei vizate trebuie acordat în urma
unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară şi
concisă şi să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă
consimţământul.”
Studiue de caz 5 – Principii GDPR
O nouă sancțiune pentru încălcarea RGPD- comentarii privind principiul incalcat
Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație

la operatorul Entirely Shipping & Trading S.R.L., constatând următoarele:
 încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind

Protecția Datelor (RGPD);
 încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD;
 încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD;
 încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD.
Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:
 avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât

operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară,
completă și corectă a persoanelor vizate;
 amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea
dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a
prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi
prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară
activitatea și în locurile în care există dulapuri unde angajații își depozitează
hainele de schimb (vestiare);
 amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea
dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a
prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte
mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a
persoanelor vizate;
 avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6
din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale
unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta
electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației
contractuale cu acesta.
Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul
că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în
birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces
restricționat), accesul se realiza pe bază de amprentă.
De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost
angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi
fost informat în prealabil.
În cadrul investigației, s-au constatat următoarele:
 operatorul nu a făcut dovada unui interes legitim justificat în ceea ce privește

sistemul de supraveghere video instalat la sediul său, care să prevaleze asupra
intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate, nu a
făcut dovada consultării sindicatului sau, după caz, a reprezentanților angajaților
înainte de introducerea sistemelor de monitorizare, precum și nici a faptului că alte
forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de
angajator nu și-au dovedit anterior eficiența;
 operatorul nu a făcut dovada existenței unor politici adecvate de protecție a
datelor și a implementării unor măsuri tehnice și organizatorice adecvate în
vederea asigurării unui nivel de securitate corespunzător acestui risc;
 prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau
colectate în scopuri adecvate, relevante și limitate la ceea ce era necesar în raport
cu scopurile în care erau prelucrate;
 operatorul nu a efectuat o evaluare a impactului asupra protecției datelor.
Totodată, operatorului i s-au aplicat și următoarele măsuri corective:
 măsura corectivă de a asigura informarea corectă a persoanelor vizate prin

comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a
tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență
menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se
realizează în prezent informarea;
 măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor
personale în activitatea de monitorizare video, cu respectarea principiului
“reducerii la minimum a datelor”;
personale în activitatea de control acces, cu respectarea principiului “reducerii la
minimum a datelor”;
personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și
implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării
unui nivel de securitate corespunzător riscurilor.
.
Capitolul III.
Modalităţi de prelucrare a datelor cu

caracter personal şi drepturile
persoaneivizate, în cadrul activităţilor
specifice ale sistemului de coordonare,
gestionareşi control al FESI
Studii de caz
VOLKER UND MARKUS SCHECKE ȘI EIFERT
HOTĂRÂREA CURȚII (Marea Cameră)

9 noiembrie 2010 *
În cauzele conexate C-92/09 și C-93/09,
având ca obiect cereri de pronunțare a unor hotărâri preliminare formulate în temeiul

articolului 234 CE de Verwaltungsgericht Wiesbaden (Germania), prin deciziile din
27 februarie 2009, primite de Curte la 6 martie 2009, în procedurile
Volker und Markus Schecke GbR (C-92/09),
Hartmut Eifert (C-93/09)
împotriva
Land Hessen,
cu participarea:
Bundesanstalt für Landwirtschaft und Ernährung,
* Limba de procedură: germana.
I - 11117
HOTĂRÂREA DIN 9.11.2010 — CAUZELE CONEXATE C-92/09 ȘI C-93/09
CURTEA (Marea Cameră),
compusă din domnul V. Skouris, președinte, domnii A. Tizzano, J. N. Cunha Rodrigu

es, K. Lenaerts (raportor), J.-C. Bonichot, K. Schiemann, A. Arabadjiev și J.-J. Kasel,
președinți de cameră, domnul E. Juhász, doamna C. Toader și domnul M. Safjan, ju
decători,
avocat general: doamna E. Sharpston,

grefier: domnul B. Fülöp, administrator,
având în vedere procedura scrisă și în urma ședinței din 2 februarie 2010,
luând în considerare observațiile prezentate:
— pentru Volker und Markus Schecke GbR, de R. Seimetz și P. Breyer, Rechtsanwäl

te, precum și de domnul Schecke;
— pentru domnul Eifert, de R. Seimetz și P. Breyer, Rechtsanwälte;
— pentru Land Hessen, de H.-G. Kamann, Rechtsanwalt;
I - 11118
— pentru guvernul elen, de domnii V. Kontolaimos și I. Chalkias, precum și de
doamnele K. Marinou și V. Karra, în calitate de agenți;
— pentru guvernul olandez, de doamna C. Wissels și de domnul Y. de Vries, în cali

tate de agenți;
— pentru guvernul suedez, de doamnele A. Falk și C. Meyer-Seitz, în calitate de
agenți;
— pentru Consiliul Uniunii Europene, de domnul E. Sitbon și de doamna Z. Kupčová,

în calitate de agenți;
— pentru Comisia Europeană, de domnii B. Smulders și F. Erlbacher, precum și de

doamna P. Costa de Oliveira, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 17 iunie 2010,
pronunță prezenta
I - 11119
Hotărâre
1 Cererile de pronunțare a unei hotărâri preliminare privesc validitatea, pe de o parte,

a articolului 42 punctul 8b și a articolului 44a din Regulamentul (CE) nr. 1290/2005 al
Consiliului din 21 iunie 2005 privind finanțarea politicii agricole comune (JO L 209,
p. 1, Ediție specială, 14/vol. 1, p. 193), astfel cum a fost modificat prin Regulamentul
(CE) nr. 1437/2007 al Consiliului din 26 noiembrie 2007 (JO L 322, p. 1, denumit în
continuare „Regulamentul nr. 1290/2005”), precum și, pe de altă parte, a Regulamen
tului (CE) nr. 259/2008 al Comisiei din 18 martie 2008 de stabilire a normelor de
aplicare a Regulamentului nr. 1290/2005 în ceea ce privește publicarea informațiilor
referitoare la beneficiarii fondurilor provenite din Fondul european de garantare
agricolă (FEGA) și din Fondul european agricol pentru dezvoltare rurală (FEADR)
(JO L 76, p. 28), și a Directivei 2006/24/CE a Parlamentului European și a Consiliului
din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu
furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de
comunicații publice și de modificare a Directivei 2002/58/CE (JO L 105, p. 54, Ediție
specială, 13/vol. 53, p. 51). Pentru cazul în care Curtea ar considera că reglementarea
Uniunii vizată anterior nu este nevalidă, cererile de pronunțare a unei hotărâri preli
minare privesc de asemenea interpretarea articolului 7, a articolului 18 alineatul (2)
a doua liniuță și a articolului 20 din Directiva 95/46/CE a Parlamentului European
și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea
ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date
(JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).
2 Aceste cereri au fost formulate în cadrul unui litigiu între Volker und Markus Schecke
GbR, precum și domnul Eifert (denumiți în continuare „reclamanții din acțiunea
principală”), pe de o parte, și Land Hessen, pe de altă parte, cu privire la publicarea pe
site-ul internet al Bundesanstalt für Landwirtschaft und Ernährung (Oficiul federal
pentru agricultură și alimentație, denumit în continuare „Bundesanstalt”) a datelor cu
caracter personal care îi privesc în calitate de beneficiari ai fondurilor provenite din
FEGA sau din FEADR.
I - 11120
I — Cadrul juridic
A — Convenția europeană pentru apărarea drepturilor omului și a libertăților

fundamentale
3 Intitulat „Respectarea vieții private și de familie”, articolul 8 din Convenția europeană

pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma
la 4 noiembrie 1950 (denumită în continuare „CEDO”), prevede:
„(1) Orice persoană are dreptul la respectarea vieții sale private și de familie, a domi
ciliului său și a corespondenței sale.
(2) Nu este admis amestecul unei autorități publice în exercitarea acestui drept decât
în măsura în care acest amestec este prevăzut de lege și dacă constituie o măsură care,
într-o societate democratică, este necesară pentru securitatea națională, siguranța
publică, bunăstarea economică a țării, apărarea ordinii și prevenirea faptelor penale,
protejarea sănătății sau a moralei, ori protejarea drepturilor și libertăților altora.”
I - 11121
B — Dreptul Uniunii
1. Directiva 95/46
4 Din articolul 1 alineatul (1) din Directiva 95/46 reiese că aceasta urmărește să asigure
protejarea drepturilor și libertăților fundamentale ale persoanei și în special a drep
tului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal. În
conformitate cu articolul 2 litera (a) din directiva respectivă, este considerată dată
cu caracter personal „orice informație referitoare la o persoană fizică identificată sau
identificabilă”.
5 În temeiul articolului 7 din directiva menționată, „[s]tatele membre prevăd ca datele

cu caracter personal să fie prelucrate numai dacă:
(a) persoana vizată și-a dat consimțământul neechivoc
sau
[…]
I - 11122
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului
sau
[…]
(e) prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes
public sau care rezultă din exercitarea autorității publice cu care este învestit ope
ratorul sau terțul căruia îi sunt comunicate datele.
[…]”
6 Potrivit articolului 18 alineatul (1) din Directiva 95/46, „[s]tatele membre prevăd
notificarea de către operator sau, dacă este cazul, de către persoana împuternicită a
autorității de supraveghere prevăzute în articolul 28 înainte de efectuarea prelucrării
total sau parțial automatizate”.
7 Articolul 18 alineatul (2) a doua liniuță din Directiva 95/46 prevede că statele membre
pot să prevadă simplificarea notificării sau a derogării de la această obligație în special
în cazul următor:
I - 11123
„atunci când operatorul, în conformitate cu dreptul intern căruia i se supune, numește

un funcționar pentru protecția datelor cu caracter personal, responsabil în special:
— de asigurarea în mod independent a aplicării interne a dispozițiilor de drept in

tern adoptate în temeiul prezentei directive;
— de păstrarea registrului cu prelucrările efectuate de operator, conținând

informațiile prevăzute în articolul 21 alineatul (2),
și garantând astfel că prelucrările nu pot să aducă atingere drepturilor și libertăților

persoanelor vizate”.
8 Articolul 19 alineatul (1) din Directiva 95/46 prevede:
„Statele membre precizează informațiile care urmează să fie prezentate în notificare.

Acestea cuprind cel puțin:
(a) numele și adresa operatorului și a persoanei împuternicite, dacă este cazul;
(b) scopul sau scopurile prelucrării;
I - 11124
(c) o descriere a categoriei sau a categoriilor de persoane vizate și a datelor sau cate
goriilor de date privitoare la acestea;
(d) destinatarii sau categoriile de destinatari cărora li se pot comunica datele;
(e) propunerile de transferuri de date către țări terțe;
[…]”
9 Articolul 20 din Directiva 95/46, intitulat „Controlul prealabil”, prevede la alineatele

(1) și (2):
„(1) Statele membre precizează care sunt prelucrările care pot prezenta riscuri speci
fice în ceea ce privește drepturile și libertățile persoanelor vizate și veghează ca aceste
prelucrări să fie examinate înainte de a le pune în practică.
(2) Astfel de verificări prealabile se efectuează de către autoritatea de supraveghere

după primirea unei notificări de la operator sau de către funcționarul responsabil de
protecția datelor care, în caz de dubiu, trebuie să consulte autoritatea de supraveghere.”
10 Conform articolului 21 alineatul (2) primul și al doilea paragraf din Directiva 95/46,

„[s]tatele membre prevăd ca autoritatea de supraveghere să țină un registru cu
prelucrările notificate în conformitate cu articolul 18 […] [care] conține cel puțin
informațiile enumerate în articolul 19 alineatul (1) literele (a)-(e)”.
I - 11125
11 În temeiul articolului 28 din Directiva 95/46, fiecare stat membru este obligat să de
semneze una sau mai multe autorități publice (în continuare „autoritatea de supra
veghere”) care sunt responsabile de supravegherea, în deplină independență, a apli
cării pe teritoriul acestui stat a dispozițiilor naționale adoptate în temeiul directivei
menționate.
2. Regulamentul (CE) nr. 45/2001
12 Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 de

cembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor
cu caracter personal de către instituțiile și organele comunitare și privind libera
circulație a acestor date (JO 2001, L 8, p. 1, Ediție specială, 13/vol. 30, p. 142) prevede
la articolul 27 alineatele (1) și (2):
„(1) Operațiunile de prelucrare care pot prezenta riscuri specifice prin natura, do
meniul de aplicare sau scopurile lor privind drepturile și libertățile persoanelor vizate
fac obiectul unei verificări prealabile de către Autoritatea Europeană pentru Protecția
Datelor.
(2) Următoarele operațiuni de prelucrare prezintă astfel de riscuri potențiale:
(a) prelucrarea de date referitoare la starea de sănătate și la presupuse infracțiuni,

infracțiuni, condamnări penale sau măsurile de siguranță;
I - 11126
(b) operațiunile de prelucrare destinate evaluării aspectelor personalității persoanei

vizate, inclusiv a competenței, a randamentului sau a conduitei;
(c) operațiunile de prelucrare care permit conexiuni care nu sunt prevăzute de

legislațiile interne sau de legislația comunitară între datele prelucrate în diferite
scopuri;
(d) operațiunile de prelucrare în scopul privării persoanelor de un drept, beneficiu

sau contract.”
3. Directiva 2006/24
13 Directiva 2006/24 obligă statele membre să păstreze un anumit timp datele generate
sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesi
bile publicului sau de rețele de comunicații publice.
4. Regulamentul nr. 1290/2005
14 Regulamentul nr. 1290/2005 stabilește condiții și norme speciale privind finanțarea

cheltuielilor care intră sub incidența politicii agricole comune (denumită în continua
re „PAC”).
I - 11127
15 Articolul 42 din Regulamentul nr. 1290/2005 prevede că normele de aplicare a pre

zentului regulament se adoptă de Comisia Europeană. În temeiul articolului 42 punc
tul 8b din același regulament, Comisia stabilește printre altele:
„norme detaliate privind publicarea informațiilor referitoare la beneficiari prevăzute

la articolul 44a, precum și privind aspectele practice referitoare la protecția persoa
nelor în ceea ce privește prelucrarea datelor lor cu caracter personal, în conformitate
cu principiile prevăzute în legislația comunitară cu privire la protecția datelor. Aceste
norme garantează în special că beneficiarii fondurilor sunt informați cu privire la
faptul că datele în cauză pot fi făcute publice și pot fi prelucrate de organe de anchetă
și de audit în scopul protejării intereselor financiare ale Comunităților, inclusiv cu
privire la momentul în care are loc această informare”.
16 Articolul 44a din Regulamentul nr. 1290/2005, intitulat „Publicarea beneficiarilor”,

prevede:
„[…] statele membre asigură publicarea anuală ex post a beneficiarilor FEGA și FEADR,
precum și a sumelor primite de fiecare beneficiar din fiecare dintre aceste fonduri.
Informațiile publicate includ cel puțin:
(a) pentru FEGA, suma subdivizată în plăți directe în sensul articolului 2 litera (d)
din Regulamentul (CE) nr. 1782/2003 și în alte cheltuieli;
I - 11128
(b) pentru FEADR, suma totală a finanțării publice pentru fiecare beneficiar.”
17 În această privință, considerentele (13) și (14) ale Regulamentului nr. 1437/2007, de

modificare a Regulamentului nr. 1290/2005, au următorul cuprins:
„(13) În contextul revizuirii Regulamentului (CE, Euratom) nr. 1605/2002 al Consi

liului din 25 iunie 2002 privind regulamentul financiar aplicabil bugetului gene
ral al Comunităților Europene [JO L 248, p. 1, Ediție specială, 01/vol. 3, p. 198],
dispozițiile privind publicarea anuală ex post de către statele membre a listei
beneficiarilor fondurilor alocate de la buget au fost incluse în regulamentul
respectiv pentru a pune în aplicare Inițiativa Europeană privind Transparența.
Reglementările sectoriale vor furniza mijloacele necesare acestei publicări. Atât
FEGA, cât și FEADR fac parte din bugetul general al Comunităților Europene
și finanțează cheltuieli în contextul unei gestiuni comune exercitate de statele
membre și de Comunitate. De aceea, ar trebui stabilite norme privind publica
rea informațiilor referitoare la beneficiarii acestor fonduri. În acest scop, state
le membre ar trebui să asigure publicarea anuală ex post a listei beneficiarilor
acestor fonduri, precum și a sumelor primite de către fiecare beneficiar din
fiecare dintre aceste fonduri.
(14) Punerea acestor informații la dispoziția publicului îmbunătățește transparența

în ceea ce privește utilizarea fondurilor comunitare în cadrul [PAC] și promo
vează o mai bună gestionare financiară a acestor fonduri, în special prin conso
lidarea controlului public asupra sumelor utilizate. Având în vedere importanța
primordială a obiectivelor urmărite, este justificat, ținând cont de principiul
proporționalității și de necesitatea protecției datelor cu caracter personal, să se
I - 11129
prevadă publicarea generală a informațiilor relevante, în măsura în care aceas

ta nu depășește ceea ce este necesar într-o societate democratică și în scopul
prevenirii neregularităților. Luând în considerare avizul Autorității Europene
pentru Protecția Datelor din 10 aprilie 2007 [JO C 134, p. 1], este indicat să se
prevadă informarea beneficiarilor fondurilor respective cu privire la faptul că
datele în cauză pot fi făcute publice și pot fi prelucrate de organe de anchetă și
de audit.”
5. Regulamentul nr. 259/2008
18 În temeiul articolului 42 punctul 8b din Regulamentul nr. 1290/2005, Comisia a adop

tat Regulamentul nr. 259/2008.
19 Considerentul (6) al regulamentului menționat are următorul cuprins:
„Punerea informații[lor] [privind beneficiarii fondurilor provenite din FEGA și din

FEADR] la dispoziția publicului sporește transparența în ceea ce privește utilizarea
fondurilor comunitare în cadrul [PAC] și promovează gestionarea financiară corectă
a acestor fonduri, în special prin consolidarea controlului public al sumelor respec
tive. Având în vedere importanța primordială a obiectivelor urmărite, este justificat,
ținând cont de principiul proporționalității și de cerințele privind protecția datelor cu
caracter personal, să se asigure publicarea generală a informațiilor relevante, întrucât
această dispoziție nu depășește ceea ce este necesar într-o societate democratică, pre
cum și prevenirea neregularităților.”
I - 11130
20 În considerentul (7) al aceluiași regulament se precizează că, „[p]entru a se conforma

cerințelor privind protecția datelor, beneficiarii fondurilor trebuie informați cu privi
re la publicarea datelor [care îi privesc] aferente anterior publicării”.
21 Articolul 1 alineatul (1) din Regulamentul nr. 259/2008 precizează conținutul publi

cării prevăzute la articolul 44a din Regulamentul nr. 1290/2005 și prevede că aceasta
include următoarele informații:
„(a) prenumele și numele de familie ale beneficiarilor, în cazul în care aceștia sunt
persoane fizice;
(b) denumirea juridică completă înregistrată a beneficiarilor, în cazul în care aceștia

sunt persoane juridice;
(c) denumirea completă a asociației, astfel cum a fost înregistrată sau recunoscută
oficial, în cazul în care beneficiarii reprezintă asociații de persoane fizice sau
juridice fără personalitate juridică proprie;
(d) localitatea în care beneficiarul își are domiciliul sau în care acesta este înregistrat
și, după caz, codul poștal sau partea din acesta specifică localității respective;
(e) în cazul [FEGA], suma plăților directe, în sensul articolului 2 litera (d) din Regu
lamentul (CE) nr. 1782/2003, primite de fiecare beneficiar în cursul exercițiului
financiar în cauză;
I - 11131
(f ) în cazul FEGA, suma plăților, altele decât cele prevăzute la litera (e), primite de
către fiecare beneficiar în cursul exercițiului financiar în cauză;
(g) în cazul [FEADR], suma totală a finanțării publice primite de către fiecare be
neficiar în cursul exercițiului financiar în cauză, care include atât contribuția
comunitară, cât și cea națională;
(h) valoarea sumelor menționate la literele (e), (f ) și (g), primite de către fiecare be

neficiar în cursul exercițiului financiar în cauză;
(i) moneda în care sunt exprimate aceste sume.”
22 Potrivit articolului 2 din Regulamentul nr. 259/2008, „[i]nformațiile prevăzute la arti

colul 1 sunt puse la dispoziție pe un singur site web pentru fiecare stat membru, prin
tr-un instrument de căutare care permite utilizatorilor să caute beneficiarii în funcție
de nume, localitate, sume primite, astfel cum se prevede la articolul 1 literele (e), (f ),
(g) și (h) sau în funcție de o combinație a acestora și să extragă toate informațiile co
respunzătoare sub forma unui set unic de date”.
23 Articolul 3 alineatul (3) din regulamentul menționat precizează că „[i]nformațiile ră

mân disponibile pe site-ul [internet] pentru o perioadă de doi ani de la data publicării
lor inițiale”.
I - 11132
24 Articolul 4 din Regulamentul nr. 259/2008 prevede:
„(1) Statele membre informează beneficiarii cu privire la faptul că datele lor vor fi
făcute publice în conformitate cu Regulamentul […] nr. 1290/2005 și cu prezentul
regulament, precum și că acestea pot fi prelucrate de către organisme de audit și de
investigare ale Comunităților sau ale statelor membre, în vederea protejării interese
lor financiare ale Comunităților.
(2) În cazul datelor cu caracter personal, informațiile prevăzute la alineatul (1) sunt

puse la dispoziție în conformitate cu cerințele [Directivei 95/46], iar beneficiarii sunt
informați cu privire la drepturile lor în calitate de persoane vizate în temeiul respecti
vei directive și cu privire la procedurile aplicabile pentru exercitarea acestor drepturi.
(3) Informațiile prevăzute la alineatele (1) și (2) sunt puse la dispoziția beneficiarilor
prin includerea lor în formularele de cerere în vederea primirii de fonduri din FEGA
și FEADR sau în momentul colectării datelor.
[…]”
I - 11133
II — Acțiunile principale și întrebările preliminare
25 Reclamanții din acțiunea principală, dintre care unii își au sediul, iar celălalt reședința
în landul Hessen, constituie o întreprindere agricolă având forma juridică a unei
societăți de drept civil (cauza C-92/09) și, respectiv, desfășoară cu titlu principal ac
tivitatea de producător agricol (cauza C-93/09). Pentru exercițiul 2008, aceștia au
introdus la autoritatea locală competentă cereri în vederea primirii de fonduri din
FEGA sau din FEADR, care au fost admise prin deciziile din 5 decembrie 2008 (cauza
C-93/09) și din 31 decembrie 2008 (cauza C-92/09).
26 În ambele cazuri, formularul de cerere cuprindea următoarea mențiune:
„Recunosc că am luat cunoștință de faptul că articolul 44a din Regulamentul [...]

nr. 1290/2005 impune publicarea informațiilor referitoare la beneficiarii [fondurilor
provenite din] FEGA și din FEADR, precum și a sumelor primite de fiecare beneficiar.
Publicarea privește toate măsurile care au făcut obiectul unei cereri în cadrul unei
cereri comune, în calitate de cerere unică în sensul articolului 11 din Regulamentul
(CE) nr. 796/2004, și care este efectuată în fiecare an până cel mai târziu la data de
31 martie a anului următor.”
27 Instanța de trimitere explică faptul că site-ul internet al Bundesanstalt pune la

dispoziția publicului numele beneficiarilor de fonduri din FEGA și din FEADR,
I - 11134
localitatea în care aceștia au sediul sau reședința și codul poștal al acestei localități,
precum și sumele primite anual. Acest site dispune de un instrument de căutare.
28 La 26 septembrie 2008 (cauza C-92/09) și la 18 decembrie 2008 (cauza C-93/09),
reclamanții din acțiunile principale au formulat acțiuni prin care se urmărea împiedi
carea publicării datelor care îi priveau. Potrivit acestora, publicarea sumelor primite
din FEGA sau din FEADR nu ar fi justificată de interese publice preponderente. Pe de
altă parte, normele referitoare la Fondul social european nu ar prevedea desemnarea
nominală a beneficiarilor. În acțiunile lor, reclamanții solicită să se dispună ca Land
Hessen să se abțină sau să refuze să transmită ori să publice aceste date în vederea pu
blicării generale de informații referitoare la mijloacele financiare provenite din FEGA
și din FEADR, care le-au fost acordate.
29 Land Hessen, care consideră că obligația de publicare a datelor referitoare la

reclamanții din acțiunile principale decurge din Regulamentele nr. 1290/2005 și
nr. 259/2008, s-a angajat totuși să nu publice sumele primite de acești reclamanți în
calitate de beneficiari ai fondurilor din FEGA sau din FEADR înainte de pronunțarea
unei hotărâri definitive în acțiunile principale.
30 Instanța de trimitere consideră că obligația de publicare ce rezultă din articolul 44a

din Regulamentul nr. 1290/2005 constituie o atingere nejustificată adusă dreptului
fundamental la protecția datelor cu caracter personal. Aceasta apreciază că dispoziția
menționată, care urmărește obiectivul de a spori transparența în ceea ce privește uti
lizarea fondurilor europene, nu ameliorează prevenirea neregularităților, deoarece
există mecanisme extinse de control pentru punerea în aplicare a acesteia. Înteme
indu-se pe Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții (C-465/00,
C-138/01 și C-139/01, Rec., p. I-4989), instanța de trimitere consideră că, în orice
I - 11135
caz, respectiva obligație de publicare nu este proporțională cu obiectivul urmărit.

Pe de altă parte, potrivit aceleiași instanțe, articolul 42 punctul 8b din Regulamentul
nr. 1290/2005 ar acorda Comisiei o marjă de apreciere prea extinsă în ceea ce privește
atât stabilirea datelor care trebuie publicate, cât și a mijloacelor de publicare și, astfel,
ar fi incompatibil cu articolul 202 a treia liniuță CE și cu articolul 211 a patra liniuță CE.
31 Independent de problema validității articolului 42 punctul 8b și a articolului 44a

din Regulamentul nr. 1290/2005, instanța de trimitere consideră că Regulamentul
nr. 259/2008, care prevede publicarea exclusiv pe internet a informațiilor referitoare
la beneficiarii fondurilor din FEGA și din FEADR, încalcă dreptul fundamental la
protecția datelor cu caracter personal. Aceasta scoate în evidență faptul că acest din
urmă regulament nu limitează accesul la site-ul internet respectiv la adresele de „In
ternet Protocol” (denumite în continuare „adresele IP”) localizate pe teritoriul Uniu
nii Europene. Pe de altă parte, ar fi imposibil să se retragă datele de pe internet după
expirarea perioadei de doi ani prevăzute la articolul 3 alineatul (3) din Regulamentul
nr. 259/2008. Potrivit instanței menționate, publicarea datelor exclusiv pe internet ar
avea, în plus, un efect disuasiv. Pe de o parte, cetățenii care doresc să se informeze ar
trebui să aibă acces la internet. Pe de altă parte, acești cetățeni s-ar expune la riscul
de stocare a datelor lor în sensul Directivei 2006/24. Ar fi paradoxal, pe de o parte, să
se întărească controlul asupra telecomunicațiilor, iar, pe de altă parte, să se prevadă
că informațiile destinate să permită participarea cetățenilor la problemele de interes
public nu sunt accesibile decât pe cale electronică.
32 Pentru cazul în care Curtea ar considera că dispozițiile citate la punctele 30 și 31 din
prezenta hotărâre nu sunt nevalide, instanța de trimitere urmărește să obțină și o
interpretare a diferitelor dispoziții ale Directivei 95/46. Aceasta apreciază că publica
rea de date cu caracter personal nu poate avea loc decât dacă au fost luate măsurile
prevăzute la articolul 18 alineatul (2) a doua liniuță din această directivă. Potrivit
informațiilor furnizate de instanța națională, legiuitorul german, în special cel din
Land Hessen, a utilizat posibilitatea oferită de dispoziția respectivă. Cu toate acestea,
I - 11136
potrivit aceleiași instanțe, notificarea Ministerului Mediului Înconjurător, al Spațiului

Rural și al Protecției Consumatorului din landul Hessen către funcționarul pentru
protecția datelor cu caracter personal a fost efectuată în mod incomplet. Astfel, anu
mite informații nu i-ar fi fost comunicate acestuia din urmă, precum faptul că prelu
crarea datelor este efectuată de Bundesanstalt în contul landului menționat și, dacă
este cazul, cu ajutorul unui terț persoană fizică, precum informații concrete cu privire
la termenele de ștergere a datelor, precum și cu privire la furnizorul de acces la inter
net și de date referitoare la înregistrarea adreselor IP.
33 Pe de altă parte, publicarea informațiilor referitoare la beneficiarii fondurilor agricole

ar fi trebuit să fie precedată de un control prealabil, astfel cum este prevăzut la arti
colul 20 din Directiva 95/46. Or, potrivit instanței de trimitere, în speță, nu s-a reali
zat un control prealabil de o autoritate de supraveghere centrală, ci de funcționarul
pentru protecția datelor al întreprinderii sau al administrației responsabile și pe baza
unor notificări incomplete.
34 În sfârșit, instanța de trimitere ridică problema legalității, în raport cu articolul 7 li

tera (e) din Directiva 95/46, a înregistrării adreselor IP ale utilizatorilor care consultă
informațiile referitoare la beneficiarii fondurilor din FEGA și din FEADR pe site-ul
internet al Bundesanstalt.
35 În aceste condiții, Verwaltungsgericht Wiesbaden a hotărât să suspende judecarea

cauzei și să adreseze Curții următoarele întrebări preliminare, care sunt formulate în
mod identic în cauzele C-92/09 și C-93/09:
„1) Sunt nevalide articolul [42] punctul 8b și articolul 44a din Regulamentul […]
nr. 1290/2005 […], introduse prin Regulamentul […] nr. 1437/2007 […]?
I - 11137
2) Regulamentul […] nr. 259/2008 […]
a) este nevalid
b) sau este valid numai pentru că Directiva 2006/24 […] este nevalidă?
În ipoteza în care dispozițiile menționate în cuprinsul primei și al celei de a doua

întrebări sunt valide:
3) Articolul 18 alineatul (2) a doua liniuță din Directiva 95/46 […] trebuie inter
pretat în sensul că publicarea în temeiul Regulamentului […] nr. 259/2008 […]
poate avea loc numai dacă a fost urmată procedura prevăzută la acest articol, care
înlocuiește notificarea adresată autorității de supraveghere?
4) Articolul 20 din Directiva 95/46 […] trebuie interpretat în sensul că publicarea

în temeiul Regulamentului […] nr. 259/2008 […] poate avea loc numai dacă a
fost realizat controlul prealabil pe care îl prevede dreptul național pentru această
situație?
I - 11138
5) În ipoteza unui răspuns afirmativ la a patra întrebare: articolul 20 din Directiva

95/46 […] trebuie interpretat în sensul că nu s-a realizat un control prealabil va
labil în cazul în care acesta a fost efectuat pe baza unui registru, în sensul artico
lului 18 alineatul (2) a doua liniuță din aceeași directivă, care nu cuprinde toate
informațiile prevăzute de această reglementare?
6) Articolul 7 – în special litera (e) – din Directiva 95/46 […] trebuie interpretat în

sensul că se opune unei practici care constă în a înregistra adresele IP ale utiliza
torilor unui site internet fără consimțământul lor expres?”
36 Prin Ordonanța președintelui Curții din 4 mai 2009, cauzele C-92/09 și C-93/09 au
fost conexate în scopul procedurii scrise și orale, precum și al pronunțării hotărârii.
III — Cu privire la întrebările preliminare
37 Deciziile de trimitere cuprind, pe de o parte, întrebări referitoare la validitatea Regu

lamentului nr. 1290/2005 și a Regulamentului nr. 259/2008, și anume prima și a doua
întrebare, iar, pe de altă parte, întrebări cu privire la interpretarea Directivei 95/46, și
anume întrebările a treia-a șasea. Înainte de examinarea fondului cauzei, este necesar
să se ridice problema admisibilității atât a părții a doua a celei de a doua întrebări, cât
și a celei de a șasea întrebări.
I - 11139
A — Cu privire la admisibilitate
38 Prin intermediul celei de a doua părți a celei de a doua întrebări și al celei de a șasea
întrebări, instanța de trimitere solicită Curții să se pronunțe cu privire la validitatea
Directivei 2006/24 și, respectiv, cu privire la interpretarea articolului 7 litera (e) din
Directiva 95/46 pentru a putea aprecia dacă este legală păstrarea anumitor date refe
ritoare la utilizatorii site-urilor internet, prevăzută de legislația Uniunii și de legislația
germană.
39 În această privință, trebuie amintit de la bun început că, ținând cont de repartizarea
competențelor în cadrul procedurii preliminare, deși instanța națională este singura
competentă să definească obiectul întrebărilor pe care înțelege să le adreseze Curții,
este totuși de competența acesteia din urmă, în circumstanțe excepționale, să exami
neze condițiile în care a fost sesizată de instanța națională în vederea verificării pro
priei competențe (Hotărârea din 1 octombrie 2009, Woningstichting Sint Servatius,
C-567/07, Rep., p. I-9021, punctul 42).
40 Aceasta este situația în special atunci când problema ridicată este pur ipotetică sau
când interpretarea unei norme a Uniunii sau examinarea validității sale, solicitată de
instanța națională, nu are nicio legătură cu realitatea sau cu obiectul acțiunii principa
le (a se vedea în acest sens Hotărârea din 15 decembrie 1995, Bosman, C-415/93, Rec.,
p. I-4921, punctul 61, Hotărârea din 15 iunie 2006, Acereda Herrera, C-466/04, Rec.,
p. I-5341, punctul 48, Hotărârea din 31 ianuarie 2008, Centro Europa 7, C-380/05,
Rep., p. I-349, punctul 53, și Hotărârea Woningstichting Sint Servatius, citată anteri
or, punctul 43).
I - 11140
41 Din deciziile de trimitere reiese că fiecare dintre reclamanții din acțiunile principale
a formulat acțiune la instanța de trimitere împotriva publicării, în temeiul Regula
mentului nr. 1290/2005 și al Regulamentului nr. 259/2008, a datelor care îi privesc.
Acțiunile lor urmăresc ca Land Hessen să se abțină sau să refuze să transmită ori să
publice informațiile referitoare la fondurile pe care le-au primit de la FEGA și de la
FEADR.
42 A doua parte a celei de a doua întrebări și a șasea întrebare nu au legătură cu obiec

tul acțiunilor principale. Astfel, acestea nu privesc publicarea datelor referitoare la
beneficiarii fondurilor provenite din fondurile menționate, precum reclamanții din
acțiunile principale, ci păstrarea datelor referitoare la persoanele care consultă si
te-uri internet. Întrucât examinarea celei de a doua părți a celei de a doua întrebări
și a celei de a șasea întrebări nu prezintă, așadar, nicio utilitate pentru soluționarea
acțiunilor principale, nu este necesar să se răspundă la acestea.
B — Cu privire la fond
1. Cu privire la prima întrebare și la prima parte a celei de a doua întrebări
a) Observații introductive
43 Prin intermediul primei întrebări și al primei părți a celei de a doua întrebări, instanța
de trimitere solicită Curții să examineze validitatea, pe de o parte, a articolului 44a din
I - 11141
Regulamentul nr. 1290/2005, precum și a Regulamentului nr. 259/2008, care cuprinde

normele de aplicare a obligației de publicare impuse de acest articol 44a și, pe de altă
parte, a articolului 42 punctul 8b din Regulamentul nr. 1290/2005, dispoziție care
constituie temeiul juridic al Regulamentului nr. 259/2008.
44 Instanța de trimitere apreciază că obligația de publicare a datelor referitoare la be

neficiarii fondurilor din FEGA și din FEADR, care rezultă din dispozițiile citate la
punctul anterior, constituie o atingere nejustificată adusă dreptului fundamental la
protecția datelor cu caracter personal. În acest scop, aceasta se referă, în esență, la
articolul 8 din CEDO.
45 Trebuie amintit că, în conformitate cu articolul 6 alineatul (1) TUE, Uniunea

recunoaște drepturile, libertățile și principiile prevăzute în Carta drepturilor funda
mentale a Uniunii Europene (denumită în continuare „carta”), „care are aceeași valoa
re juridică cu cea a tratatelor”.
46 În aceste condiții, validitatea articolului 42 punctul 8b și a articolului 44a din Regula

mentul nr. 1290/2005, precum și a Regulamentului nr. 259/2008 trebuie apreciată în
raport cu dispozițiile cartei.
47 În această privință, trebuie arătat că articolul 8 alineatul (1) din cartă prevede că „[o]ri
ce persoană are dreptul la protecția datelor cu caracter personal care o privesc”. Acest
drept fundamental est strâns legat de dreptul la respectarea vieții private consacrat la
articolul 7 din aceeași cartă.
I - 11142
48 Dreptul la protecția datelor cu caracter personal nu este totuși o prerogativă absolu

tă, ci trebuie să fie luat în considerare în raport cu funcția sa în societate (a se vedea
în acest sens Hotărârea din 12 iunie 2003, Schmidberger, C-112/00, Rec., p. I-5659,
punctul 80 și jurisprudența citată).
49 Articolul 8 alineatul (2) din cartă autorizează prelucrarea datelor cu caracter perso

nal dacă sunt îndeplinite anumite condiții. În această privință, dispoziția respectivă
prevede că datele cu caracter personal „trebuie tratate în mod corect, în scopurile
precizate și pe baza consimțământului persoanei sau în temeiul unui alt motiv legitim
prevăzut de lege”.
50 Pe de altă parte, articolul 52 alineatul (1) din cartă admite că pot fi impuse restrângeri
ale exercițiului unor drepturi, precum cele consacrate la articolele 7 și 8 din aceas
ta, în măsura în care aceste restrângeri sunt prevăzute de lege, respectă substanța
acestor drepturi și libertăți și, prin respectarea principiului proporționalității, sunt
necesare și răspund efectiv obiectivelor de interes general recunoscute de Uniune sau
necesității protejării drepturilor și libertăților celorlalți.
51 În sfârșit, din articolul 52 alineatul (3) din cartă reiese că, în măsura în care aceasta
conține drepturi ce corespund unor drepturi garantate prin CEDO, înțelesul și întin
derea lor sunt aceleași ca și cele prevăzute de convenția menționată. Articolul 53 din
cartă adaugă în acest sens că nicio dispoziție a acesteia nu trebuie să fie interpretată
în sensul că limitează sau aduce atingere drepturilor recunoscute în special de CEDO.
I - 11143
52 În aceste condiții, trebuie să se considere, pe de o parte, că respectarea dreptului la

viață privată în raport cu prelucrarea datelor cu caracter personal, recunoscută prin
articolele 7 și 8 din cartă, se raportează la orice informație privind o persoană fizică
identificată sau identificabilă (a se vedea în special Curtea Europeană a Drepturilor
Omului, Hotărârea Amann împotriva Elveției din 16 februarie 2000, Recueil des arrêts
et décisions, 2000-II, § 65, precum și Hotărârea Rotaru împotriva României din 4 mai
2000, Recueil des arrêts et décisions, 2000-V, § 43) și, pe de altă parte, că restrângerile
care pot fi impuse în mod legitim dreptului la protecția datelor cu caracter personal
corespund celor tolerate în cadrul articolului 8 din CEDO.
b) Cu privire la validitatea articolului 44a din Regulamentul nr. 1290/2005 și a

Regulamentului nr. 259/2008
53 Trebuie să se amintească în primul rând că publicarea impusă prin articolul 44a din

Regulamentul nr. 1290/2005 și prin Regulamentul nr. 259/2008 de punere în aplicare
a acestui articol îi identifică nominal pe toți beneficiarii de fonduri din FEGA și din
FEADR, printre care figurează atât persoane fizice, cât și persoane juridice. Or, având
în vedere cele expuse la punctul 52 din prezenta hotărâre, persoanele juridice nu se
pot prevala de protecția articolelor 7 și 8 din cartă față de o astfel de identificare decât
în măsura în care denumirea persoanei juridice identifică una sau mai multe persoane
fizice.
54 Aceasta este în special situația reclamantei din acțiunea principală în cauza C-92/09.
Astfel, denumirea societății respective identifică în mod direct persoane fizice care
sunt asociați ai acesteia.
I - 11144
55 În al doilea rând, trebuie să se verifice dacă articolul 44a din Regulamentul

nr. 1290/2005 și Regulamentul nr. 259/2008 aduc, față de beneficiarii fondurilor din
FEGA și din FEADR care sunt persoane fizice identificate sau identificabile (denumite
în continuare „beneficiarii avuți în vedere”), o atingere a drepturilor care le sunt re
cunoscute prin articolele 7 și 8 din cartă și, în acest caz, dacă o astfel de atingere este
justificată în raport cu articolul 52 din aceasta.
i) Cu privire la existența unei atingeri aduse drepturilor recunoscute la articolele 7

și 8 din cartă
56 Articolul 44a din Regulamentul nr. 1290/2005 obligă statele membre să asigure pu

blicarea anuală ex post a beneficiarilor fondurilor din FEGA și din FEADR, precum
și a sumelor primite de fiecare beneficiar din fiecare dintre aceste fonduri. Din con
siderentul (14) al Regulamentului nr. 1437/2007 de modificare a Regulamentului
nr. 1290/2005 reiese că informațiile respective trebuie să facă obiectul unei „publicări
generale”.
57 La articolul 1 alineatul (1) litera (d) din Regulamentul nr. 259/2008 se precizează
conținutul publicării și se prevede că, în afară de elementele menționate la punctul
anterior și de alte informații referitoare la ajutoarele primite, sunt publicate „locali
tatea în care beneficiarul își are domiciliul sau în care acesta este înregistrat și, după
caz, codul poștal sau partea din acesta specifică localității respective”. Articolul 2 din
același regulament prevede că informațiile sunt puse la dispoziție pe un singur site
internet pentru fiecare stat membru, printr-un instrument de căutare.
I - 11145
58 Nu se contestă că sumele pe care beneficiarii avuți în vedere le primesc din FEGA și

din FEADR reprezintă o parte, adeseori considerabilă, din veniturile lor. Publicarea
pe un site internet a datelor nominale ale beneficiarilor menționați și a sumelor exacte
primite de aceștia constituie, din cauza faptului că aceste date devin accesibile terților,
o ingerință în viața lor privată în sensul articolului 7 din cartă (a se vedea în acest sens
Hotărârea Österreichischer Rundfunk și alții, citată anterior, punctele 73 și 74).
59 În această privință, este lipsit de importanță faptul că datele publicate au legătură cu

activitățile profesionale (a se vedea Hotărârea Österreichischer Rundfunk și alții, ci
tată anterior, punctele 73 și 74). Curtea Europeană a Drepturilor Omului a hotărât în
această privință, referitor la interpretarea articolului 8 din CEDO, că termenii „viață
privată” nu trebuie interpretați în mod restrictiv și că „niciun motiv de principiu nu
permite excluderea activităților profesionale […] din noțiunea «viață privată»” (a se
vedea în special Curtea Europeană a Drepturilor Omului, Hotărârile citate anterior
Amann împotriva Elveției, § 65, și Rotaru împotriva României, § 43).
60 Pe de altă parte, publicarea impusă prin articolul 44a din Regulamentul nr. 1290/2005

și prin Regulamentul nr. 259/2008 constituie o prelucrare a datelor cu caracter perso
nal care intră în domeniul de aplicare al articolului 8 alineatul (2) din cartă.
61 Cu toate acestea, Land Hessen pune în discuție însăși existența unei ingerințe în viața
privată a reclamanților din acțiunile principale de vreme ce aceștia fuseseră informați
în formularele de cerere în vederea primirii de fonduri despre publicarea obligatorie
a datelor care îi privesc și își dăduseră, în conformitate cu articolul 8 alineatul (2) din
cartă, consimțământul pentru această publicare prin depunerea cererii lor.
62 În această privință, trebuie să se constate că articolul 42 punctul 8b din Regulamentul

nr. 1290/2005 prevede numai că „beneficiarii fondurilor sunt informați cu privire la
I - 11146
faptul că datele [care îi privesc, și anume numele și sumele primite din fiecare dintre
fonduri] pot fi făcute publice”. Articolul 4 alineatul (1) din Regulamentul nr. 259/2008
conține o dispoziție similară, prevăzând că „statele membre informează beneficiarii
cu privire la faptul că datele lor vor fi făcute publice”.
63 Reglementarea în cauză a Uniunii, care se limitează să prevadă că beneficiarii fon

durilor vor fi informați în prealabil despre publicarea datelor care îi privesc, nu
urmărește, așadar, să întemeieze prelucrarea datelor cu caracter personal pe care o
impune pe consimțământul beneficiarilor vizați. Pe de altă parte, trebuie să se consta
te că, în acțiunile principale, în formularele de cerere în vederea primirii de fonduri,
reclamanții numai au „recunos[cut] că a[u] luat cunoștință de faptul că articolul 44a
din Regulamentul nr. 1290/2005 impune publicarea informațiilor referitoare la bene
ficiarii [fondurilor provenite din] FEGA și din FEADR”.
64 De vreme ce, pe de o parte, publicarea datelor nominale referitoare la beneficiarii

avuți în vedere și la sumele exacte provenite din FEGA și din FEADR primite de
aceștia constituie o atingere adusă drepturilor recunoscute acestor beneficiari prin
articolele 7 și 8 din cartă și, pe de altă parte, o astfel de prelucrare a datelor cu carac
ter personal nu se bazează pe consimțământul beneficiarilor respectivi, trebuie să se
examineze dacă această atingere este justificată în raport cu articolul 52 alineatul (1)
din cartă.
ii) Cu privire la justificarea atingerii aduse drepturilor recunoscute prin articolele 7

și 8 din cartă
65 Este necesar să se amintească faptul că articolul 52 alineatul (1) din cartă admite că

pot fi impuse restrângeri ale exercițiului unor drepturi, precum cele consacrate la
articolele 7 și 8, în măsura în care sunt prevăzute de lege, respectă substanța acestor
I - 11147
drepturi și libertăți și, prin respectarea principiului proporționalității, sunt necesare și

răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității
protejării drepturilor și libertăților celorlalți.
66 În primul rând, este cert că ingerința ce rezultă din publicarea pe un site internet a
datelor nominale referitoare la beneficiarii avuți în vedere trebuie să fie considerată ca
fiind „prevăzută de lege” în sensul articolului 52 alineatul (1) din cartă. Astfel, artico
lul 1 alineatul (1) și articolul 2 din Regulamentul nr. 259/2008 prevăd în mod expres
o astfel de publicare.
67 În al doilea rând, în ceea ce privește problema dacă ingerința respectivă corespunde

unui obiectiv de interes general recunoscut de Uniune în sensul articolului 52 aline
atul (1) din cartă, reiese din considerentul (14) al Regulamentului nr. 1437/2007 de
modificare a Regulamentului nr. 1290/2005 și din considerentul (6) al Regulamentului
nr. 259/2008 că publicarea numelor beneficiarilor fondurilor din FEGA și din FEADR
și a sumelor pe care aceștia le primesc din aceste fonduri urmărește să „spore[ască]
transparența în ceea ce privește utilizarea fondurilor comunitare în cadrul [PAC] și să
promove[ze] gestionarea financiară corectă a acestor fonduri, în special prin consoli
darea controlului public al sumelor respective”.
68 Este necesar să se amintească faptul că principiul transparenței este înscris la artico

lele 1 TUE și 10 TUE, precum și la articolul 15 TFUE. Acesta permite asigurarea unei
mai bune participări a cetățenilor la procesul de decizie, garantând o mai mare legi
timitate, eficacitate și responsabilitate a administrației față de cetățeni într-un sistem
democratic (a se vedea Hotărârea din 6 martie 2003, Interporc/Comisia, C-41/00 P,
Rec., p. I-2125, punctul 39, și Hotărârea din 29 iunie 2010, Comisia/Bavarian Lager,
C-28/08 P, Rep., p. I-6055, punctul 54).
I - 11148
69 Or, prin întărirea controlului public al utilizării sumelor plătite de FEGA și de FEADR,
publicarea impusă prin dispozițiile a căror validitate este contestată contribuie la uti
lizarea adecvată a fondurilor publice de către administrație (a se vedea în acest sens
Hotărârea Österreichischer Rundfunk și alții, citată anterior, punctul 81).
70 Pe de altă parte, respectiva publicare referitoare la utilizarea sumelor plătite de fon

durile agricole menționate va permite cetățenilor o mai bună participare la dezbate
rea publică ce însoțește deciziile privind orientările PAC.
71 Prin urmare, vizând sporirea transparenței în ceea ce privește utilizarea fonduri

lor în cadrul PAC, articolul 44a din Regulamentul nr. 1290/2005 și Regulamentul
nr. 259/2008 urmăresc un obiectiv de interes general recunoscut de Uniune.
72 În al treilea rând, trebuie să se verifice de asemenea dacă limitarea impusă drepturilor

consacrate prin articolele 7 și 8 din cartă este proporțională cu scopul legitim urmă
rit (a se vedea în special Curtea Europeană a Drepturilor Omului, Hotărârea Gillow
împotriva Regatului Unit din 24 noiembrie 1986, seria A, nr. 109, § 55, precum și
Hotărârea Österreichischer Rundfunk și alții, citată anterior, punctul 83).
73 În acest scop, reclamanții din acțiunile principale arată că datele a căror publicare
este prevăzută la articolul 44a din Regulamentul nr. 1290/2005 și în Regulamentul
nr. 259/2008 permit terților să facă deducții cu privire la veniturile lor. Ei explică
faptul că aceste fonduri reprezintă între 30 % și 70 % din veniturile totale ale benefici
arilor avuți în vedere. În opinia lor, interesele legitime ale publicului sunt respectate
prin publicarea de date statistice anonime.
74 Potrivit unei jurisprudențe constante, principiul proporționalității, care face parte

dintre principiile generale ale dreptului Uniunii, impune ca mijloacele puse în aplicare
I - 11149
printr-un act al Uniunii să fie apte să realizeze obiectivul urmărit și să nu depășească

ceea ce este necesar pentru atingerea acestuia (Hotărârea din 8 iunie 2010, Vodafone
și alții, C-58/08, Rep., p. I-4999, punctul 51 și jurisprudența citată).
75 Nu se contestă faptul că publicarea prin intermediul internetului a datelor nominale

referitoare la beneficiarii avuți în vedere, precum și la sumele exacte provenite din
FEGA și din FEADR primite de aceștia este de natură să sporească transparența în
ceea ce privește utilizarea fondurilor agricole menționate. Astfel de informații puse la
dispoziția cetățenilor întăresc controlul public asupra utilizării sumelor respective și
contribuie la o utilizare optimă a fondurilor publice.
76 În ceea ce privește caracterul necesar al măsurii, trebuie amintit că obiectivul publi

cării în cauză nu poate fi urmărit fără să se țină cont de faptul că obiectivul menționat
trebuie să fie compatibil cu drepturile fundamentale consacrate la articolele 7 și 8 din
cartă (a se vedea în acest sens Hotărârea din 16 decembrie 2008, Satakunnan Markki
napörssi și Satamedia, C-73/07, Rep., p. I-9831, punctul 53).
77 În consecință, este necesar să se verifice dacă atât Consiliul Uniunii Europene, cât și
Comisia au realizat un just echilibru între interesul Uniunii de a garanta transparența
acțiunilor sale și o utilizare optimă a fondurilor publice, pe de o parte, și atingerea adu
să dreptului beneficiarilor vizați la respectarea vieții private, în general, și la protecția
datelor cu caracter personal, în special, pe de altă parte. În această privință, Curtea a
hotărât deja că derogările de la protecția datelor cu caracter personal și restrângerile
de la aceasta trebuie să fie efectuate în limitele strictului necesar (Hotărârea Sata
kunnan Markkinapörssi și Satamedia, citată anterior, punctul 56).
78 Statele membre care au depus observații scrise în fața Curții, Consiliul și Comisia
argumentează că obiectivul urmărit prin publicarea impusă prin articolul 44a din Re
gulamentul nr. 1290/2005 și prin Regulamentul nr. 259/2008 nu putea fi atins prin
măsuri care să afecteze mai puțin dreptul beneficiarilor vizați la respectarea vieții lor
I - 11150
private, în general, și la protecția datelor lor cu caracter personal, în special. Informații

limitate la beneficiarii avuți în vedere care primesc fonduri ce depășesc un anumit
prag nu ar oferi contribuabilului o imagine fidelă a PAC. Astfel, acesta din urmă ar
avea impresia că nu există decât „mari” beneficiari de fonduri din fondurile agricole
menționate, pe când, în realitate, „micii” beneficiari sunt foarte numeroși. Nici limi
tarea publicării la persoanele juridice nu ar fi satisfăcătoare. În acest scop, Comisia
arată că printre cei mai mari beneficiari de fonduri agricole se numără persoane fizice.
79 Într-adevăr, deși, într-o societate democratică, contribuabilii au dreptul să fie informați

cu privire la utilizarea fondurilor publice (Hotărârea Österreichischer Rundfunk și
alții, citată anterior, punctul 85), nu este mai puțin adevărat că un just echilibru între
diferitele interese în cauză necesita, înainte de adoptarea dispozițiilor a căror validi
tate este contestată, verificarea de către instituțiile respective a aspectului dacă pu
blicarea, prin intermediul unui singur site internet pentru fiecare stat membru, site
care poate fi consultat în mod liber, a datelor nominale referitoare la toți beneficiarii
avuți în vedere și la sumele exacte provenite din FEGA și din FEADR primite de fie
care dintre aceștia – iar aceasta fără a face distincție în funcție de durata, de frecvența
sau de tipul și de valoarea fondurilor primite – nu depășea ceea ce era necesar pentru
realizarea obiectivelor legitime urmărite, având în vedere în special atingerea adusă
printr-o astfel de publicare drepturilor recunoscute prin articolele 7 și 8 din cartă.
80 Or, nu rezultă că, în ceea ce privește persoanele fizice beneficiare ale fondurilor din
FEGA și din FEADR, Consiliul și Comisia au încercat să realizeze un astfel de just
echilibru între interesul Uniunii de a garanta transparența acțiunilor sale, precum
și o utilizare optimă a fondurilor publice, pe de o parte, și drepturile fundamentale
consacrate la articolele 7 și 8 din cartă, pe de altă parte.
81 Astfel, niciun element nu indică faptul că, la adoptarea articolului 44a din Regula
mentul nr. 1290/2005 și a Regulamentului nr. 259/2008, Consiliul și Comisia au luat
în considerare modalități de publicare a informațiilor referitoare la beneficiarii avuți
în vedere, care ar fi conforme obiectivului unei astfel de publicări și în același timp ar
I - 11151
afecta mai puțin dreptul acestor beneficiari la respectarea vieții lor private, în general,
și la protecția datelor lor cu caracter personal, în special, precum limitarea publicării
datelor nominale referitoare la beneficiarii menționați în funcție de perioadele în care
aceștia au primit fonduri, de frecvența sau, în plus, de tipul și de valoarea acestora.
82 O publicare nominală astfel limitată ar putea fi însoțită, dacă este cazul, de explicații
relevante privind alte persoane fizice beneficiare ale fondurilor din fondurile
menționate și sumele primite de aceștia din urmă.
83 În consecință, instituțiile ar fi trebuit să examineze, în cadrul realizării unui just echi

libru între diferitele interese în cauză, dacă o publicare nominală limitată, precum cea
indicată la punctul 81 din prezenta hotărâre, nu ar fi fost suficientă pentru atingerea
obiectivelor reglementării Uniunii, în discuție în acțiunile principale. În special, nu
rezultă că o astfel de limitare, ce ar proteja anumiți beneficiari vizați de o ingerință
în viața lor privată, nu ar oferi cetățeanului o imagine suficient de fidelă a fondurilor
plătite de FEGA și de FEADR, care să permită atingerea obiectivelor reglementării
respective.
84 Statele membre care au prezentat observații scrise în fața Curții, precum și Consiliul
și Comisia se referă de asemenea la partea importantă ocupată de PAC în bugetul
Uniunii pentru a justifica necesitatea publicării impuse prin articolul 44a din Regula
mentul nr. 1290/2005 și prin Regulamentul nr. 259/2008.
85 Acest argument trebuie să fie respins. Trebuie amintit că, înainte de a divulga
informații referitoare la o persoană fizică, instituțiile sunt ținute să pună în balanță in
teresul Uniunii de a garanta transparența acțiunilor sale și atingerea adusă drepturilor
I - 11152
recunoscute prin articolele 7 și 8 din cartă. Or, nu se poate recunoaște obiectivului
transparenței nicio superioritate automată asupra dreptului la protecția datelor cu
caracter personal (a se vedea în acest sens Hotărârea Comisia/Bavarian Lager, citată
anterior, punctele 75-79), chiar dacă sunt în joc interese economice importante.
86 Din cele prezentate mai sus reiese că instituțiile nu au realizat un just echilibru între,
pe de o parte, obiectivele articolului 44a din Regulamentul nr. 1290/2005, precum
și cele ale Regulamentului nr. 259/2008 și, pe de altă parte, drepturile recunoscute
persoanelor fizice prin articolele 7 și 8 din cartă. Având în vedere că derogările de
la protecția datelor cu caracter personal și restrângerile impuse acesteia trebuie să
fie efectuate în limitele strictului necesar (Hotărârea Satakunnan Markkinapörssi și
Satamedia, citată anterior, punctul 56) și că măsuri prin care se aduc atingeri mai
puțin grave respectivului drept fundamental al persoanelor fizice pot fi concepute
astfel încât să contribuie în același timp în mod eficient la obiectivele reglementării
în cauză a Uniunii, trebuie să se constate că atât Consiliul, cât și Comisia, solicitând
publicarea numelor tuturor persoanelor fizice beneficiare ale fondurilor din FEGA și
din FEADR, precum și a sumelor exacte primite de acestea, au depășit limitele pe care
le impune respectarea principiului proporționalității.
87 În sfârșit, în ceea ce privește persoanele juridice beneficiare ale fondurilor din FEGA
și din FEADR și în măsura în care acestea se pot prevala de drepturile recunoscute la
articolele 7 și 8 din cartă (a se vedea punctul 53 din prezenta hotărâre), trebuie să se
considere că obligația de publicare ce rezultă din dispozițiile reglementării Uniunii,
a cărei validitate este pusă în discuție, nu depășește limitele impuse de respectarea
principiului proporționalității. Astfel, gravitatea atingerii aduse dreptului la protecția
datelor cu caracter personal se prezintă în mod diferit pentru persoanele juridice și
pentru persoanele fizice. În această privință, trebuie să se arate că persoanele juridice
sunt supuse deja unei obligații sporite de publicare a datelor care le privesc. Pe de altă
parte, obligația autorităților naționale competente de a examina, înainte de publica
rea datelor în cauză, pentru fiecare persoană juridică beneficiară de fonduri din FEGA
sau din FEADR, dacă numele acesteia identifică persoane fizice ar impune acestor
autorități o sarcină administrativă disproporționată (a se vedea în acest sens Curtea
Europeană a Drepturilor Omului, Hotărârea K. U. împotriva Finlandei din 2 martie
2009, cererea nr. 2872/02, nepublicată încă, § 48).
I - 11153
88 În aceste condiții, trebuie considerat că, în măsura în care se raportează la publicarea

datelor referitoare la persoane juridice, dispozițiile de drept al Uniunii a căror validi
tate este pusă în discuție de instanța de trimitere respectă un just echilibru în ceea ce
privește luarea în considerare a intereselor respective existente.
89 În temeiul considerațiilor precedente, articolul 44a din Regulamentul nr. 1290/2005

și Regulamentul nr. 259/2008 trebuie declarate nevalide în măsura în care, în ceea ce
privește persoanele fizice beneficiare ale fondurilor din FEGA și din FEADR, aceste
dispoziții impun publicarea datelor cu caracter personal referitoare la fiecare bene
ficiar fără a face distincție în funcție de criterii relevante, precum perioadele în care
acestea au primit astfel de fonduri, frecvența sau tipul și valoarea acestora.
c) Cu privire la validitatea articolului 42 punctul 8b din Regulamentul nr. 1290/2005
90 Este necesar să se amintească faptul că articolul 42 punctul 8b din Regulamentul

nr. 1290/2005 abilitează Comisia să stabilească normele de aplicare numai pentru
articolul 44a din regulamentul menționat.
91 Or, întrucât articolul 44a din Regulamentul nr. 1290/2005 trebuie să fie declarat
nevalid pentru motivele evocate mai sus, articolul 42 punctul 8b din regulamentul
menționat trebuie să fie declarat nevalid în același mod.
92 În consecință, trebuie să se răspundă la prima întrebare și la prima parte a ce

lei de a doua întrebări că articolul 42 punctul 8b și articolul 44a din Regulamentul
nr. 1290/2005, precum și Regulamentul nr. 259/2008 sunt nevalide în măsura în care,
I - 11154
în ceea ce privește persoanele fizice beneficiare ale fondurilor din FEGA și din FEADR,
aceste dispoziții impun publicarea datelor cu caracter personal referitoare la fiecare
beneficiar fără a face distincție în funcție de criterii relevante, precum perioadele în
care acestea au primit astfel de fonduri, frecvența sau tipul și valoarea acestora.
d) Cu privire la efectele în timp ale nevalidității constatate
93 Este necesar să se amintească faptul că, atunci când se justifică prin considerente
imperative de securitate juridică, Curtea beneficiază, în temeiul articolului 264 al doi
lea paragraf TFUE, aplicabil, prin analogie, și în cadrul unei trimiteri preliminare în
aprecierea validității actelor Uniunii, în temeiul articolului 267 TFUE, de o putere de
apreciere pentru indicarea, în fiecare caz, a acelor efecte ale actului vizat care trebuie
considerate definitive (a se vedea în acest sens Hotărârea din 22 decembrie 2008, Re
gie Networks, C-333/07, Rep., p. I-10807, punctul 121 și jurisprudența citată).
94 Având în vedere numărul ridicat de publicări ce au avut loc în statele membre în

temeiul unei reglementări considerate valide, este necesar să se recunoască faptul că
nevaliditatea dispozițiilor menționate la punctul 92 din prezenta hotărâre nu permite
să se repună în discuție efectele publicării listelor beneficiarilor fondurilor din FEGA
și din FEADR efectuate de autoritățile naționale, în temeiul dispozițiilor menționate,
în perioada anterioară datei pronunțării prezentei hotărâri.
I - 11155
2. Cu privire la a treia întrebare
95 Prin intermediul celei de a treia întrebări, instanța de trimitere solicită, în esență, să

se stabilească dacă articolul 18 alineatul (2) a doua liniuță din Directiva 95/46 trebuie
interpretat în sensul că publicarea informațiilor care rezultă din articolul 42 punc
tul 8b și din articolul 44a din Regulamentul nr. 1290/2005, precum și din Regulamen
tul nr. 259/2008 nu poate avea loc decât dacă funcționarul pentru protecția datelor
cu caracter personal a ținut, anterior unei astfel de publicări, un registru complet în
sensul respectivului articol 18 alineatul (2) a doua liniuță.
96 În această privință, este necesar să se amintească faptul că articolul 18 alineatul (1)

din Directiva 95/46 stabilește principiul notificării autorității de supraveghere înainte
de efectuarea unei prelucrări a datelor cu caracter personal [sau a unui ansamblu de
astfel de prelucrări] care este total sau parțial automatizată destinate să servească
unui scop sau mai multor scopuri legate între ele. Astfel cum se explică în conside
rentul (48) al aceleiași directive, „notificarea autorităților de supraveghere este desti
nată să organizeze publicitatea scopurilor și caracteristicilor principale ale prelucrării
pentru ca aceasta să poată controla dacă prelucrarea datelor este în conformitate cu
măsurile interne adoptate în temeiul directivei [menționate]”.
97 Articolul 18 alineatul 2 a doua liniuță din Directiva 95/46 prevede totuși că statele
membre pot să prevadă simplificarea notificării sau a derogării de la această obligație
în special atunci când operatorul numește un funcționar pentru protecția datelor cu
caracter personal. Din deciziile de trimitere reiese că o astfel de numire a fost efectu
ată în Land Hessen în ceea ce privește publicarea datelor care rezultă din articolul 42
punctul 8b și din articolul 44a din Regulamentul nr. 1290/2005, precum și din Regu
lamentul nr. 259/2008.
98 Potrivit articolului 18 alineatul (2) a doua liniuță din Directiva 95/46, funcționarului

pentru protecția datelor cu caracter personal îi revin diferite sarcini care sunt de
I - 11156
natură să garanteze că prelucrările nu pot să aducă atingere drepturilor și libertăților

persoanelor vizate. Funcționarul este astfel însărcinat, printre altele, să țină un „regis
tru cu prelucrările efectuate de operator, conținând informațiile prevăzute la artico
lul 21 alineatul (2) [din Directiva 95/46]”. Această din urmă dispoziție face trimitere la
articolul 19 alineatul (1) literele (a)-(e) din aceeași directivă.
99 Cu toate acestea, contrar aprecierilor instanței de trimitere, articolul 18 alineatul (2)

a doua liniuță din Directiva 95/46 nu impune nicio obligație funcționarului pentru
protecția datelor cu caracter personal de a ține un registru conținând informațiile
prevăzute la articolul 21 alineatul (2) coroborat cu articolul 19 alineatul (1) litere
le (a)-(e) din aceeași directivă înainte de efectuarea respectivei prelucrări a datelor.
Astfel, registrul la care se face referire la articolul 18 alineatul (2) a doua liniuță din
Directiva 95/46 nu trebuie să conțină decât „prelucrările efectuate”.
100 În aceste condiții, lipsa unui registru complet anterior prelucrării datelor, la care
se referă instanța de trimitere, nu poate afecta legalitatea unei publicări, precum
cea care rezultă din articolul 42 punctul 8b și din articolul 44a din Regulamentul
nr. 1290/2005, precum și din Regulamentul nr. 259/2008.
101 În consecință, este necesar să se răspundă la a treia întrebare că articolul 18 alinea

tul (2) a doua liniuță din Directiva 95/46 trebuie interpretat în sensul că nu supune
funcționarul pentru protecția datelor cu caracter personal unei obligații de a ține re
gistrul prevăzut la această dispoziție anterior efectuării unei prelucrări a datelor cu
caracter personal, precum cea care rezultă din articolul 42 punctul 8b și din artico
lul 44a din Regulamentul nr. 1290/2005, precum și din Regulamentul nr. 259/2008.
I - 11157
3. Cu privire la a patra întrebare
102 Prin intermediul celei de a patra întrebări, instanța de trimitere solicită, în esență, să
se stabilească dacă articolul 20 din Directiva 95/46 trebuie interpretat în sensul că su
pune publicarea informațiilor rezultate din articolul 42 punctul 8b și din articolul 44a
din Regulamentul nr. 1290/2005, precum și din Regulamentul nr. 259/2008 controlu
lui prealabil prevăzut la respectivul articol 20.
103 Trebuie să se amintească de la bun început că articolul 20 alineatul (1) din Directiva

95/46 prevede că „[s]tatele membre precizează care sunt prelucrările care pot pre
zenta riscuri specifice în ceea ce privește drepturile și libertățile persoanelor vizate și
veghează ca aceste prelucrări să fie examinate înainte de a le pune în practică”.
104 Rezultă că Directiva 95/46 nu supune prelucrările de date cu caracter personal

unui control prealabil generalizat. Astfel, după cum reiese din considerentul (52) al
acestei directive, legiuitorul Uniunii a considerat că „controlul a posteriori de către
autoritățile competente trebuie să fie, în general, considerat o măsură suficientă”.
105 În ceea ce privește prelucrările supuse controlului prealabil, și anume cele care pot
să prezinte riscuri specifice pentru drepturile și libertățile persoanelor vizate, consi
derentul (53) al Directivei 95/46 prevede că prelucrările pot prezenta astfel de riscuri
„prin însăși natura lor, domeniul de aplicare sau scopurile lor”. Chiar dacă se permi
te statelor membre să precizeze mai detaliat în legislația lor prelucrările ce pot să
prezinte riscuri specifice pentru drepturile și libertățile persoanelor vizate, directiva
menționată prevede, astfel cum rezultă din considerentul (54) al acesteia, că numărul
lor „trebuie să fie foarte restrâns”.
I - 11158
106 În plus, este necesar să se arate că, în temeiul articolului 27 alineatul (1) din Regu
lamentul nr. 45/2001, prelucrările de date cu caracter personal care pot să prezinte
riscuri specifice pentru drepturile și libertățile persoanelor vizate fac, de asemenea,
obiectul unei verificări prealabile atunci când sunt efectuate de instituții și de organe
ale Uniunii. Alineatul (2) al aceluiași articol precizează prelucrările care pot să pre
zinte astfel de riscuri. Or, având în vedere paralelismul existent între dispozițiile Di
rectivei 95/46 și cele ale Regulamentului nr. 45/2001 referitoare la controlul prealabil,
enumerarea efectuată la articolul 27 alineatul (2) din acest regulament a prelucrărilor
susceptibile să prezinte riscuri specifice pentru drepturile și libertățile persoanelor
vizate trebuie să fie considerată relevantă pentru interpretarea articolului 20 din Di
rectiva 95/46.
107 Or, nu rezultă că publicarea datelor impuse prin articolul 42 punctul 8b și prin arti
colul 44a din Regulamentul nr. 1290/2005, precum și prin Regulamentul nr. 259/2008
intră în vreuna dintre categoriile de prelucrări prevăzute la articolul 27 alineatul (2)
din Regulamentul nr. 45/2001.
108 În aceste condiții, este necesar să se răspundă la a patra întrebare că articolul 20

din Directiva 95/46 trebuie interpretat în sensul că nu impune statelor membre
obligația de a supune controlului prealabil prevăzut de această dispoziție publicarea
informațiilor ce rezultă din articolul 42 punctul 8b și din articolul 44a din Regulamen
tul nr. 1290/2005, precum și din Regulamentul nr. 259/2008.
109 Având în vedere răspunsul dat la a patra întrebare, nu mai este necesar să se răspundă
la a cincea întrebare.
I - 11159
IV — Cu privire la cheltuielile de judecată
110 Întrucât, în privința părților din acțiunea principală, procedura are caracterul unui in
cident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu
privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații
Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Marea Cameră) declară:
1) Articolul 42 punctul 8b și articolul 44a din Regulamentul (CE) nr. 1290/2005

al Consiliului din 21 iunie 2005 privind finanțarea politicii agricole comune,
astfel cum a fost modificat prin Regulamentul (CE) nr. 1437/2007 al Consi
liului din 26 noiembrie 2007, precum și Regulamentul (CE) nr. 259/2008 al
Comisiei din 18 martie 2008 de stabilire a normelor de aplicare a Regulamen
tului nr. 1290/2005 în ceea ce privește publicarea informațiilor referitoare la
beneficiarii fondurilor provenite din Fondul european de garantare agricolă
(FEGA) și din Fondul european agricol pentru dezvoltare rurală (FEADR)
sunt nevalide în măsura în care, în ceea ce privește persoanele fizice benei
ciare ale fondurilor din FEGA și din FEADR, aceste dispoziții impun publi
carea datelor cu caracter personal referitoare la fiecare beneficiar fără a face
distincție în funcție de criterii relevante, precum perioadele în care acestea
au primit astfel de fonduri, frecvența sau tipul și valoarea acestora.
2) Nevaliditatea dispozițiilor de drept al Uniunii menționate la punctul 1 al

acestui dispozitiv nu permite să se repună în discuție efectele publicării liste
lor beneficiarilor fondurilor din FEGA și din FEADR efectuate de autoritățile
I - 11160
naționale, în temeiul dispozițiilor menționate, în perioada anterioară datei

pronunțării prezentei hotărâri.
3) Articolul 18 alineatul (2) a doua liniuță din Directiva 95/46/CE a Parlamen

tului European și a Consiliului din 24 octombrie 1995 privind protecția per
soanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
și libera circulație a acestor date trebuie interpretat în sensul că nu supune
funcționarul pentru protecția datelor cu caracter personal unei obligații de
a ține registrul prevăzut la această dispoziție anterior efectuării unei prelu
crări a datelor cu caracter personal, precum cea care rezultă din articolul 42
punctul 8b și din articolul 44a din Regulamentul nr. 1290/2005, astfel cum a
fost modificat prin Regulamentul nr. 1437/2007, precum și din Regulamen
tul nr. 259/2008.
4) Articolul 20 din Directiva 95/46 trebuie interpretat în sensul că nu impu

ne statelor membre obligația de a supune controlului prealabil prevăzut de
această dispoziție publicarea informațiilor ce rezultă din articolul 42 punc
tul 8b și din articolul 44a din Regulamentul nr. 1290/2005, astfel cum a fost
modificat prin Regulamentul nr. 1437/2007, precum și din Regulamentul
nr. 259/2008.
Semnături
I - 11161
Repertoriul jurisprudenței
8 aprilie 2014 *
„Neîndeplinirea obligațiilor de către un stat membru — Directiva 95/46/CE — Protecția persoanelor

fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date —
Articolul 28 alineatul (1) — Autorități naționale de supraveghere — Independență —
Legislație națională care pune capăt înainte de termen mandatului autorității de supraveghere —
Înființarea unei noi autorități de supraveghere și numirea unei alte persoane în calitate de președinte”
În cauza C-288/12,
având ca obiect o acțiune în constatarea neîndeplinirii obligațiilor în temeiul articolului 258 TFUE,
introdusă la 8 iunie 2012,
Comisia Europeană, reprezentată de K. Talabér-Ritz și de B. Martenczuk, în calitate de agenți, cu

domiciliul ales în Luxemburg,
reclamantă,
susținută de:
Autoritatea Europeană pentru Protecția Datelor (AEPD), reprezentată de I. Chatelier, de A. Buchta,
de Z. Belényessy și de H. Kranenborg, în calitate de agenți,
intervenientă,
împotriva
Ungariei, reprezentată de M. Z. Fehér, în calitate de agent,
pârâtă,
compusă din domnul V. Skouris, președinte, domnul K. Lenaerts, vicepreședinte, domnii M. Ilešič,
L. Bay Larsen, T. von Danwitz, E. Juhász, A. Borg Barthet, C. G. Fernlund și J. L. da Cruz Vilaça,
președinți de cameră, domnii G. Arestis și J. Malenovský, doamnele M. Berger și A. Prechal și domnii
E. Jarašiūnas (raportor) și C. Vajda, judecători,
avocat general: domnul M. Wathelet,
grefier: doamna C. Strömholm, administrator,
având în vedere procedura scrisă și în urma ședinței din 15 octombrie 2013,
* Limba de procedură: maghiara.
RO
ECLI:EU:C:2014:237 1
HOTĂRÂREA DIN 8.4.2014 – CAUZA C-288/12
COMISIA/UNGARIA
după ascultarea concluziilor avocatului general în ședința din 10 decembrie 2013,
pronunță prezenta
Hotărâre
1 Prin cererea introductivă, Comisia Europeană solicită Curții să constate că, prin faptul că a pus capăt în
mod anticipat mandatului autorității de supraveghere a protecției datelor cu caracter personal, Ungaria
nu și-a îndeplinit obligațiile care îi revin în temeiul Directivei 95/46/CE a Parlamentului European și a
Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială,
13/vol. 17, p. 10).
Cadrul juridic
Dreptul Uniunii
2 În considerentul (62) al Directivei 95/46 se arată:
„întrucât instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile
în deplină independență este un element esențial al protecției persoanelor în ceea ce privește
prelucrarea datelor cu caracter personal.”
3 Articolul 28 din Directiva 95/46, intitulat „Autoritatea de supraveghere”, prevede la alineatele (1) și (2):
„(1) Fiecare stat membru prevede ca una sau mai multe autorități publice să fie responsabile de
supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei
directive.
Aceste autorități acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt
învestite.
(2) Fiecare stat membru prevede ca autoritățile de supraveghere să fie consultate la elaborarea
normelor și actelor administrative referitoare la protecția drepturilor și libertăților persoanelor în ceea
ce privește prelucrarea datelor cu caracter personal.”
4 Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000
privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către
instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1, Ediție
specială, 13/vol. 30, p. 142) instituie, în capitolul V, o autoritate independentă de supraveghere,
denumită Autoritatea Europeană pentru Protecția Datelor (AEPD).
5 Potrivit articolului 42 din același regulament, intitulat „Numirea”:
„(1) Parlamentul European și Consiliul numesc de comun acord [AEPD] pentru un mandat de cinci
ani, pe baza unei liste întocmite de Comisie, în urma unui anunț public de depunere a candidaturilor.
[…]
(3) Mandatul [AEPD] poate fi reînnoit.
2 ECLI:EU:C:2014:237
COMISIA/UNGARIA
(4) În afara înlocuirii obișnuite sau a decesului, atribuțiile [AEPD] încetează în cazul demisiei sau
destituirii în conformitate cu dispozițiile alineatului (5).
(5) [AEPD] poate fi demisă sau decăzută din dreptul la pensie sau la alte beneficii de către Curtea de
Justiție, la cererea Parlamentului European, a Consiliului sau a Comisiei în cazul în care nu mai
îndeplinește condițiile necesare pentru exercitarea atribuțiilor sale sau în caz de greșeală gravă.
[…]”
Dreptul maghiar
6 Până la 31 decembrie 2011, autoritatea de supraveghere a protecției datelor cu caracter personal vizată
la articolul 28 din Directiva 95/46 (denumită în continuare „autoritatea de supraveghere”) era
reglementată prin Legea nr. LXIII din 1992 privind protecția datelor cu caracter personal și accesul la
datele de interes general, cu modificările ulterioare (denumită în continuare „legea din 1992”).
Articolul 23 din această lege este redactat astfel:
„(1) Parlamentul numește un comisar pentru protecția datelor [(denumit în continuare «comisarul»)]
în vederea protejării dreptului constituțional la protecția datelor cu caracter personal și la accesul la
datele de interes general […]
(2) [Comisarului] i se aplică – sub rezerva derogărilor prevăzute în prezenta lege – dispozițiile Legii
privind comisarul parlamentar pentru protecția drepturilor cetățenilor.”
7 Atribuțiile comisarului erau prevăzute la articolele 24 și 25 din legea din 1992. În special, articolul 24
menționat prevedea la litera a) că acesta „controlează respectarea prezentei legi și a celorlalte norme
juridice referitoare la tratamentul datelor, fie ca urmare a unei plângeri, fie din oficiu, dacă în dosarul
în cauză nu este în curs nicio procedură judiciară”, iar la litera d), că el „favorizează aplicarea
uniformă a dispozițiilor legislative privind tratamentul datelor personale și accesul la datele de interes
general”.
8 Întrucât legea din 1992 nu conținea dispoziții referitoare la durata sau la încetarea mandatului
comisarului, erau aplicabile dispozițiile Legii nr. LIX din 1993 privind comisarul parlamentar pentru
protecția drepturilor cetățenilor, în versiunea în vigoare până la 31 decembrie 2011 (denumită în
continuare „legea din 1993”). Articolul 4 alineatul (5) din această lege prevedea că comisarul era ales
pentru șase ani și putea fi reales o singură dată. Articolul 15 din legea respectivă reglementa încetarea
mandatului astfel:
„(1) Mandatul comisarului parlamentar încetează prin:
a) încheierea mandatului;
b) deces;
c) demisie;
d) constatarea unui conflict de interese;
e) pensionare obligatorie;
f) demitere.
ECLI:EU:C:2014:237 3
COMISIA/UNGARIA
(2) Președintele Parlamentului constată încetarea mandatului comisarului parlamentar în conformitate

cu alineatul (1) literele a)-c). În ceea ce privește încetarea mandatului în cazurile vizate la alineatul (1)
literele d)-f), Parlamentul adoptă o decizie. Declararea încetării mandatului necesită o majoritate de
două treimi din numărul reprezentanților.
(3) Demisia trebuie prezentată în scris președintelui Parlamentului. Mandatul comisarului parlamentar
încetează la data indicată în demisie. Pentru ca demisia să fie valabilă, nu este necesară nicio declarație
de acceptare.
[…]”
9 Alineatele (4)-(6) ale articolului 15 menționat detaliau ipotezele vizate la alineatul (1) literele d)-f) al
aceluiași articol. În special, articolul 15 alineatul (5) din legea din 1993 preciza că pensionarea
obligatorie putea interveni numai în cazul în care comisarul parlamentar era în incapacitate de a-și
exercita funcțiile aferente mandatului pentru o perioadă mai lungă de 90 de zile din motive care nu îi
erau imputabile. Alineatul (6) al acestui articol preciza, în ceea ce îl privește, că demiterea putea fi
decisă atunci când comisarul parlamentar nu își asuma funcțiile aferente mandatului pentru o
perioadă mai lungă de 90 de zile, din motive care îi erau imputabile, se sustrăgea în mod intenționat
de la obligația de declarare a averii, menționa în mod intenționat date sau fapte esențiale inexacte în
declarația respectivă sau săvârșise un delict constatat printr-o hotărâre care a dobândit putere de lucru
judecat.
10 Legea fundamentală a Ungariei a intrat în vigoare la 1 ianuarie 2012. Potrivit articolului VI alineatul (3)
din aceasta, „o autoritate independentă instituită prin lege organică supraveghează respectarea
drepturilor aferente protecției datelor cu caracter personal și accesului la datele de interes general”.
Punctele 3 și 5 din dispozițiile finale ale Legii fundamentale prevăd că Parlamentul va adopta separat
dispoziții tranzitorii și, respectiv, că acestea vor face parte din Legea fundamentală.
11 Articolul 16 din aceste dispoziții tranzitorii, adoptate de Parlament, prevede:
„Intrarea în vigoare a prezentei Legi fundamentale pune capăt mandatului [comisarului] în funcție.”
12 La 1 ianuarie 2012, reglementarea maghiară privind autoritatea de supraveghere a fost astfel modificată,
iar Legea nr. CXII din 2011 privind autodeterminarea în domeniul informației și al libertății de
informare (denumită în continuare „legea din 2011”), care, potrivit articolului 77 litera a), transpune
Directiva 95/46 în ordinea juridică maghiară, a intrat în vigoare. Această lege abrogă legea din 1992 și
înființează, în locul comisarului, Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoritatea
Națională pentru Protecția Datelor și Libertatea Informației, denumită în continuare „autoritatea”).
13 Atribuțiile autorității sunt definite la articolul 38 alineatele (2) și (3) din legea din 2011. Articolul 38
alineatul (2) din legea menționată prevede că autoritatea „are ca atribuții supravegherea și favorizarea
aplicării legislației privind accesul la datele de interes general și la datele accesibile pentru motive de
interes general și privind protecția datelor cu caracter personal”. Articolul 38 alineatul (3) din legea
menționată precizează printre altele că, în cadrul atribuțiilor care îi sunt devolute, autoritatea poate
acționa în urma unei plângeri sau din oficiu.
14 Articolul 75 alineatele (1) și (2) din legea din 2011 asigură continuitatea între comisar, pe de o parte, și
autoritate, pe de altă parte, prevăzând, în esență, că aceasta din urmă gestionează dosarele deschise de
comisar pe baza observațiilor depuse anterior datei de 1 ianuarie 2012 și că, începând de la 1 ianuarie
2012, prelucrează datele prelucrate anterior acestei date de către comisar.
4 ECLI:EU:C:2014:237
COMISIA/UNGARIA
15 Articolul 38 alineatul (5) din legea menționată precizează că „autoritatea este independentă și se
supune numai legii, nu poate primi nicio instrucțiune în domeniul său de competență și își
îndeplinește atribuțiile în deplină autonomie în raport cu alte organisme, fără a suferi nicio formă de
influență”. Potrivit acestei dispoziții, atribuțiile autorității pot fi definite numai prin lege.
16 Articolul 40 alineatele (1) și (3) din legea din 2011 prevede că autoritatea are un președinte, care este
numit de președintele Republicii la propunerea prim-ministrului pentru un mandat de nouă ani.
Articolul 45 din legea menționată reglementează încetarea mandatului de președinte al autorității. În
versiunea rezultată din Legea nr. XXV din 2012, în vigoare de la 7 aprilie 2012, acest articol prevede la
alineatul (1):
„Mandatul președintelui autorității încetează prin:
a) încheierea mandatului;
b) demisie;
c) deces;
d) constatarea faptului că nu sunt îndeplinite condițiile pentru numire sau a faptului că au fost
încălcate normele privind declarația de avere;
e) constatarea unui conflict de interese.”
17 Articolul 45 alineatele (2)-(8) din legea din 2011, astfel cum a fost modificată prin Legea nr. XXV din
2012, aduce precizări acestor ipoteze.
18 Articolul 74 din legea din 2011 stabilește normele privind numirea primului președinte al autorității.
Conform acestuia:
„Înainte de 15 noiembrie 2011, prim-ministrul propune președintelui Republicii numele primului
președinte al autorității. Președintele Republicii numește primul președinte al autorității cu începere
de la 1 ianuarie 2012.”
Situația de fapt
19 Domnul V Jóri a fost numit comisar la 29 septembrie 2008 în temeiul legii din 1992 și a intrat în
funcție la aceeași dată. Întrucât mandatul său era de șase ani, acesta ar fi trebuit să înceteze în luna
septembrie 2014. Cu toate acestea, în aplicarea articolului 16 din dispozițiile tranzitorii ale Legii
fundamentale, mandatul a încetat la 31 decembrie 2011. Autoritatea și-a început activitatea la
1 ianuarie 2012 și, la propunerea prim-ministrului, președintele Republicii l-a numit în funcția de
președinte al autorității pe domnul V Péterfalvi, pentru un mandat de nouă ani.
Procedura precontencioasă și procedura în fața Curții
20 La 17 ianuarie 2012, Comisia a adresat Ungariei o scrisoare de punere în întârziere. În această
scrisoare, Comisia a arătat că Ungaria a încălcat articolul 28 alineatele (1) și (2) din Directiva 95/46
prin faptul că a pus capăt anticipat mandatului comisarului, că nu l-a consultat pe acesta cu privire la
proiectul noii legi privind protecția datelor, precum și că a oferit posibilități mult prea largi de încetare
a mandatului președintelui autorității în cadrul acestei legi noi și că a acordat în această privință un rol
președintelui Republicii și prim-ministrului.
ECLI:EU:C:2014:237 5
COMISIA/UNGARIA
21 Prin scrisoarea din 17 februarie 2012, Ungaria a contestat încălcarea care îi era reproșată. În primul
rând, acest stat membru a arătat că încetarea anticipată a mandatului comisarului rezulta din
schimbarea modelului maghiar de autoritate de supraveghere, că comisarul nu dorea să fie numit
președinte al autorității și că a pune capăt în mod anticipat mandatului președintelui actual al acesteia
ar fi contrar normelor de drept care asigură independența sa. În al doilea rând, Ungaria a pus la
dispoziția Comisiei documente referitoare la consultarea comisarului cu privire la proiectul noii legi
privind protecția datelor. În al treilea rând, acest stat membru a precizat că dispozițiile privind
posibilitățile de încetare a mandatului de președinte al autorității vor fi modificate pentru a răspunde
preocupărilor Comisiei.
22 La 7 martie 2012, Comisia a adresat un aviz motivat Ungariei, în care și-a retras obiecțiunile referitoare
la consultarea prealabilă a comisarului cu privire la proiectul noii legi privind protecția datelor. Cu
toate acestea, Comisia și-a reiterat preocupările în ceea ce privește, pe de o parte, încetarea anticipată
a mandatului comisarului și, pe de altă parte, posibilitățile de încetare a mandatului președintelui
autorității și rolul președintelui Republicii și al prim-ministrului în aceasta. În privința celui din urmă
aspect, Comisia a precizat totuși că, în cazul în care Ungaria ar adopta anunțatele modificări
legislative în termenul acordat prin avizul motivat, care era de o lună de la notificarea acestuia, ar
considera că încălcarea cu privire la acest aspect a încetat.
23 Ungaria a răspuns la avizul motivat prin scrisoarea din 30 martie 2012. Aceasta a precizat că
amendamentul legislativ de modificare a articolului 45 din legea din 2011 va fi adoptat în zilele care
urmau, ceea ce s-a și întâmplat la 2 aprilie 2012, prin Legea nr. XXV din 2012, intrată în vigoare la
7 aprilie 2012. În această scrisoare, Ungaria și-a menținut însă punctul de vedere în privința încetării
anticipate a mandatului comisarului, fapt care a determinat Comisia să introducă prezenta acțiune.
24 Prin scrisoarea din 6 decembrie 2012, Ungaria a solicitat, în temeiul articolului 60 alineatul (1) din
Regulamentul de procedură al Curții, soluționarea cauzei de către Marea Cameră.
25 Prin Ordonanța președintelui Curții din 8 ianuarie 2013, a fost admisă cererea de intervenție în
susținerea concluziilor Comisiei formulată de AEPD.
Cu privire la acțiune
Cu privire la admisibilitate
Argumentele părților
26 Ungaria consideră că prezenta acțiune este inadmisibilă, întrucât hotărârea prin care s-ar constata
pretinsa neîndeplinire a obligațiilor nu ar putea fi executată. Astfel, presupunând că Curtea ar
constata că a pus capăt funcției comisarului cu încălcarea Directivei 95/46, o astfel de nelegalitate nu
ar putea fi remediată decât prin revocarea președintelui autorității și înlocuirea acestuia cu fostul
comisar, fapt prin care s-ar repeta pretinsa neîndeplinire a obligațiilor. Or, potrivit Ungariei, Comisia
nu poate solicita Curții pronunțarea unei hotărâri de constatare a neîndeplinirii obligațiilor pe care
statul membru nu ar putea să o respecte decât printr-o încălcare a dreptului Uniunii. În plus,
încetarea anticipată a mandatului președintelui autorității ar încălca principiul independenței acesteia,
prevăzut de Legea fundamentală.
27 Soluția propusă de Comisie pentru îndreptarea pretinsei neîndepliniri a obligațiilor, în cazul în care
aceasta ar fi constatată, ar implica în plus faptul că toate actele îndeplinite de actualul președinte al
autorității ar fi incompatibile cu dreptul Uniunii, întrucât acestea au fost adoptate de o autoritate de
6 ECLI:EU:C:2014:237
COMISIA/UNGARIA
supraveghere care nu îndeplinește cerințele Directivei 95/46, ceea ce ar încălca principiul securității
juridice. Ungaria invocă în această privință faptul că legea din 2011 răspunde totuși cerințelor
Directivei 95/46.
28 Comisia răspunde că argumentele Ungariei trebuie respinse întrucât prezenta acțiune continuă să aibă
obiect și nimic nu se opune executării unei hotărâri prin care s-ar constata pretinsa neîndeplinire a
obligațiilor.
Aprecierea Curții
29 Mai întâi, trebuie amintit că, potrivit unei jurisprudențe constante a Curții, existența unei neîndepliniri
a obligațiilor trebuie apreciată în funcție de situația din statul membru astfel cum se prezenta aceasta la
momentul expirării termenului stabilit în avizul motivat (Hotărârea Comisia/Portugalia, C-20/09,
EU:C:2011:214, punctul 31 și jurisprudența citată). În speță, termenul stabilit Ungariei în avizul
motivat pentru a se conforma acestuia expira la o lună după notificarea lui, respectiv la 7 aprilie 2012.
30 În această privință, Curtea a putut deja să statueze că o acțiune în constatarea neîndeplinirii obligațiilor
este inadmisibilă dacă, la data expirării termenului stabilit în avizul motivat, pretinsa neîndeplinire a
obligațiilor nu continua să producă efecte (a se vedea în acest sens Hotărârea Comisia/Spania,
C-221/04, EU:C:2006:329, punctele 25 și 26, precum și Hotărârea Comisia/Portugalia, EU:C:2011:214,
punctul 33).
31 Cu toate acestea, neîndeplinirea obligațiilor pretinsă de către Comisie rezidă în faptul că, în speță,
comisarul nu a putut să își execute mandatul până la termenul prevăzut inițial și că este cert că acest
termen nu expirase la data stabilită prin avizul motivat. În aceste împrejurări, nu se poate considera
că pretinsa neîndeplinire a obligațiilor nu mai producea efecte la expirarea termenului stabilit în avizul
motivat.
32 Împrejurarea, presupunând că a fost dovedită, că legea din 2011 răspunde cerințelor Directivei 95/46
nu are efect cu privire la aspectul în discuție, aceasta neavând legătură cu problema dacă pretinsa
neîndeplinire a obligațiilor încetase sau nu încetase să producă efecte la expirarea termenului stabilit
în avizul motivat, întrucât prezenta acțiune privește numai problema dacă, prin faptul că a pus capăt
în mod anticipat mandatului comisarului, Ungaria nu și-a îndeplinit obligațiile care îi revin în temeiul
Directivei 95/46.
33 În continuare, trebuie amintit că, în cazul în care Curtea admite că un stat membru și-a încălcat una
dintre obligațiile care îi revin în temeiul tratatelor, acest stat membru este obligat, potrivit articolului
260 alineatul (1) TFUE, să ia măsurile pe care le impune executarea hotărârii Curții, problema
determinării măsurilor pe care le impune executarea unei hotărâri de constatare a neîndeplinirii
obligațiilor nefăcând obiectul unei hotărâri pronunțate în temeiul articolului 258 TFUE (a se vedea în
acest sens Hotărârea Comisia/Germania, C-503/04, EU:C:2007:432, punctul 15 și jurisprudența citată).
34 Astfel, chiar presupunând că împrejurarea invocată de Ungaria potrivit căreia i-ar fi imposibil să
remedieze pretinsa neîndeplinire a obligațiilor fără să încalce Directiva 95/46 sau principiul securității
juridice ar fi stabilită, aceasta intră, în orice caz, în sfera executării hotărârii de constatare a
neîndeplinirii obligațiilor și, prin urmare, nu are efect în privința admisibilității prezentei acțiuni.
35 În sfârșit, ca răspuns la argumentul Ungariei întemeiat pe faptul că executarea hotărârii prin care s-ar
constata pretinsa neîndeplinire a obligațiilor ar putea crea o situație care ar contraveni Legii
fundamentale, este necesar să se constate că rezultă dintr-o jurisprudență constantă că un stat
membru nu poate invoca dispoziții din ordinea sa juridică națională, nici chiar constituțională, pentru
ECLI:EU:C:2014:237 7
COMISIA/UNGARIA
a justifica nerespectarea obligațiilor care rezultă din dreptul Uniunii (a se vedea în special Hotărârea
Comisia/Belgia, 102/79, EU:C:1980:120, punctul 15, precum și Hotărârea Comisia/Portugalia, C-70/06,
EU:C:2008:3, punctele 21 și 22).
36 Din aceste considerații rezultă că prezenta acțiune este admisibilă.
Cu privire la fond
37 Comisia, susținută de AEPD, invocă faptul că rezultă din jurisprudența Curții că expresia „în condiții
de independență deplină” care figurează la articolul 28 alineatul (1) din Directiva 95/46 semnifică o
independență totală în raport cu orice influență directă sau indirectă, care asigură autorității de
supraveghere în cauză posibilitatea de a acționa în condiții de libertate deplină, protejată de orice
instrucțiune și de orice presiune, fără nicio influență exterioară și fără să existe riscul ca o astfel de
influență să poată fi exercitată.
38 Comisia și AEPD recunosc faptul că Directiva 95/46 acordă statelor membre o marjă de manevră
pentru punerea în aplicare a articolului 28, în special în ceea ce privește alegerea modelului
instituțional și a duratei precise a mandatului autorității de supraveghere. În consecință, statele
membre ar fi, în principiu, libere să aleagă această durată. Cu toate acestea, odată definită durata
acestui mandat, statul membru ar trebui să o respecte și nu ar putea să îi pună capăt înainte de
termen, cu excepția situației în care există motive grave și care pot fi verificate în mod obiectiv. O
comparație cu articolul 42 din Regulamentul nr. 45/2001, privind AEPD, ar confirma această
interpretare.
39 În speță, Ungaria nu ar fi dovedit că exista un motiv obiectiv care să justifice încetarea anticipată a
mandatului comisarului. În primul rând, reformarea autorității de supraveghere nu poate constitui o
justificare admisibilă, chiar dacă Ungaria are dreptul să schimbe modelul instituțional al autorității sale
de supraveghere. În al doilea rând, acest stat membru nu ar fi dovedit că comisarul renunțase la
dreptul de a-și continua mandatul și că refuzase să conducă autoritatea. În al treilea rând, faptul că
reglementarea maghiară în cauză face parte din Legea fundamentală și din dispozițiile tranzitorii ale
acesteia sau că legea din 2011 îndeplinește sau nu îndeplinește criteriile Directivei 95/46 ar fi fără
relevanță.
40 Ungaria subliniază, cu titlu introductiv, că decizia de a înlocui comisarul printr-un organism sub forma
unei autorități și cea de a pune capăt, în mod corelativ, mandatului comisarului au fost adoptate de
puterea constituantă și că noua reglementare privind autoritatea se întemeiază pe Legea fundamentală.
41 Cu privire la fond, acest stat membru contestă poziția apărată de Comisie și de AEPD. El își exprimă
îndoiala cu privire la faptul că cerința de independență prevăzută la articolul 28 din Directiva 95/46
s-ar extinde asupra deciziei unui stat membru în privința formei sau a schimbării formei conferite
autorității de supraveghere, din moment ce funcționarea și procesul decizional ale organismului creat
îndeplinesc cerința de independență astfel cum este prevăzută în directiva menționată și interpretată de
Curte.
42 Potrivit Ungariei, reiese cu claritate din modul de redactare a articolului 28 menționat și a articolului
44 din Regulamentul nr. 45/2001, precum și din jurisprudența Curții că cerința de independență
prevăzută la articolul 28 alineatul (1) din Directiva 95/46 este legată de independența în exercitarea
atribuțiilor cu care autoritățile de supraveghere sunt învestite și se raportează astfel la independența
funcțională a autorității în cauză. Reglementarea maghiară, atât cea anterioară, cât și cea ulterioară
datei de 1 ianuarie 2012, ar satisface pe deplin această cerință. Nu se poate deduce din respectivul
articol 28 că acesta impune să i se confere persoanei care conduce autoritatea un drept subiectiv la
8 ECLI:EU:C:2014:237
COMISIA/UNGARIA
exercitarea acestei atribuții. În măsura în care independența funcțională a autorității este asigurată, ar
conta mai puțin că intervine o schimbare la nivelul persoanei aflate la conducere, fie și înainte de
încheierea mandatului său inițial. Această concepție ar fi conformă cu competența recunoscută
statelor membre de a stabili durata mandatului autorităților de supraveghere.
43 Întrucât Directiva 95/46 nu determină nici structura, nici organizarea autorităților de supraveghere și
nici durata mandatelor persoanelor care le conduc, statele membre ar fi libere să definească structura
lor instituțională. Această libertate ar include alegerea persoanei însărcinate cu exercitarea
competențelor autorității de supraveghere în cadrul modelului instituțional reținut și decizia de a o
înlocui cu ocazia unei schimbări de model, inclusiv atunci când aceasta ar rezulta dintr-o încetare
anticipată, „prin efectul legii”, a mandatului autorității de supraveghere în exercițiu.
44 Singura limită impusă statelor membre prin articolul 28 din Directiva 95/46 ar fi aceea de a garanta că
autoritățile de supraveghere pot să își îndeplinească atribuțiile în mod neîntrerupt și în condiții de
independență deplină pe parcursul mandatului lor, stabilit de aceleași state membre. Aceasta ar fi
tocmai situația în speță.
45 Modificarea sistemului instituțional de protecție a datelor ar constitui astfel un motiv obiectiv care
justifică încetarea anticipată a mandatului comisarului. Având în vedere că noul sistem, precum și
încetarea mandatului comisarului sunt prevăzute de Legea fundamentală și de dispozițiile tranzitorii ale
acesteia, nici vechea, nici noua reglementare, de nivel legislativ, nu ar putea să conțină dispoziții diferite
în materie. Ținând seama de schimbarea instituțională introdusă prin noua reglementare, nu ar fi fost
justificat să se prevadă ca funcția de președinte al autorității să fie ocupată în mod automat de comisar.
Comisarul și-ar fi exprimat de altfel dezacordul în privința noului model instituțional, precum și
intenția sa de a nu accepta o astfel de numire.
46 Dacă s-ar urma teza Comisiei, Directiva 95/46 ar trebui interpretată în sensul că exclude și posibilitatea
ca mandatul persoanei aflate la conducerea autorității de supraveghere să fie reînnoit sau ca această
persoană să exercite o altă funcție publică electivă. Astfel, din teza respectivă ar rezulta că speranța
unei reînnoiri a mandatului sau a exercitării unei alte funcții publice l-ar putea încuraja pe
președintele autorității de supraveghere să se conformeze unor așteptări reale sau prezumate ale puterii
politice, în interesul carierei sale ulterioare.
Aprecierea Curții
47 Cu titlu introductiv, trebuie amintit că articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46
impune statelor membre să instituie una sau mai multe autorități de supraveghere, care să acționeze
în condiții de independență deplină în exercitarea atribuțiilor cu care sunt învestite. Cerința de
supraveghere de către o autoritate independentă a respectării normelor Uniunii referitoare la protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal rezultă și din dreptul
primar al Uniunii, în special din articolul 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii
Europene și din articolul 16 alineatul (2) TFUE.
48 Instituirea în statele membre a unor autorități de supraveghere independente constituie astfel un

element esențial al respectării protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter
personal (Hotărârea Comisia/Germania, C-518/07, EU:C:2010:125, punctul 23, și Hotărârea
Comisia/Austria, C-614/10, EU:C:2012:631, punctul 37), astfel cum se arată de altfel în considerentul
(62) al Directivei 95/46.
49 Trebuie amintit că, în Ungaria, legea din 1992 prevedea că comisarul, numit pentru un mandat de șase
ani care putea fi reînnoit o singură dată, constituia autoritatea de supraveghere a protecției datelor cu
caracter personal în sensul Directivei 95/46, fapt care nu a fost contestat de Ungaria.
ECLI:EU:C:2014:237 9
COMISIA/UNGARIA
50 Pentru a aprecia temeinicia prezentei acțiuni, este necesar să se examineze dacă, astfel cum pretinde
Comisia, cerința, prevăzută la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46, potrivit
căreia trebuie să se garanteze că fiecare autoritate de supraveghere exercită în condiții de
independență deplină atribuțiile cu care este învestită implică obligația statului membru în cauză de a
respecta durata mandatului unei astfel de autorități până la termenul prevăzut inițial.
51 Curtea a statuat deja că articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 trebuie
interpretat în sensul că autoritățile de supraveghere competente pentru supravegherea prelucrării
datelor cu caracter personal trebuie să beneficieze de o independență care să le permită să își exercite
atribuțiile fără a fi suspuse unei influențe exterioare. Această independență exclude printre altele orice
ingerință și orice altă influență exterioară, sub orice formă, fie directă, fie indirectă, care ar fi
susceptibile să le orienteze deciziile și care, astfel, ar putea să pună în discuție îndeplinirea de către
autoritățile menționate a sarcinii lor care constă în stabilirea unui echilibru just între protecția
dreptului la viață privată și libera circulație a datelor cu caracter personal (a se vedea în acest sens
Hotărârile Comisia/Germania, EU:C:2010:125, punctul 30, și Comisia/Austria, EU:C:2012:631, punctele
41 și 43).
52 Independența funcțională a autorităților de supraveghere, în sensul că membrii acestora nu sunt ținuți

de niciun fel de instrucțiuni în exercitarea atribuțiilor lor, este astfel o condiție necesară pentru ca
acestea să poată respecta criteriul de independență în sensul articolului 28 alineatul (1) al doilea
paragraf din Directiva 95/46, dar, contrar celor susținute de Ungaria, o asemenea independență
funcțională nu este suficientă prin ea însăși pentru a feri autoritățile de supraveghere de orice
influență exterioară (Hotărârea Comisia/Austria, EU:C:2012:631, punctul 42).
53 În această privință, Curtea a statuat deja că simplul risc ca autoritățile de tutelă ale statului să poată
exercita o influență politică asupra deciziilor autorităților de supraveghere este suficient pentru a
împiedica exercitarea în mod independent a atribuțiilor acestora. Astfel, pe de o parte, el ar putea
conduce la o „supunere anticipată” a acestor autorități în ceea ce privește practica decizională a
autorității de tutelă. Pe de altă parte, având în vedere rolul de gardian al dreptului la viață privată pe
care și-l asumă autoritățile de supraveghere, articolul 28 alineatul (1) al doilea paragraf din Directiva
95/46 impune ca deciziile acestora și, prin urmare, ele însele să fie mai presus de orice suspiciune de
părtinire (Hotărârile Comisia/Germania, EU:C:2010:125, punctul 36, și Comisia/Austria,
EU:C:2012:631, punctul 52).
54 Or, dacă fiecare stat membru ar avea dreptul să pună capăt mandatului unei autorități de supraveghere
înainte de termenul inițial prevăzut al acestuia, fără a respecta normele și garanțiile prestabilite în acest
scop prin legislația aplicabilă, pericolul unei asemenea încetări anticipate, care ar plana în acest fel
asupra autorității respective pe tot parcursul exercitării mandatului său, ar putea conduce la o formă
de supunere a acesteia față de puterea politică, incompatibilă cu cerința de independență menționată
(a se vedea în acest sens Hotărârea Comisia/Austria, EU:C:2012:631, punctul 51). Acest lucru este
valabil chiar și atunci când terminarea anticipată a mandatului rezultă dintr-o restructurare sau
dintr-o schimbare de model, care trebuie organizate astfel încât să fie respectate cerințele de
independență impuse prin legislația aplicabilă.
55 În plus, într-o asemenea situație, nu s-ar putea considera că autoritatea de supraveghere poate opera, în
orice împrejurări, mai presus de orice suspiciune de părtinire. Cerința de independență care figurează
la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 trebuie interpretată, în consecință, în
sensul că include obligația de a respecta durata mandatului autorităților de supraveghere până la
terminarea acestuia și de a nu îi pune capăt în mod anticipat decât cu respectarea normelor și a
garanțiilor legislației aplicabile.
10 ECLI:EU:C:2014:237
COMISIA/UNGARIA
56 Normele care se aplică încetării mandatului AEPD reflectă această interpretare. Astfel, din capitolul V
din Regulamentul nr. 45/2001 și în special din articolul 42 alineatele (4) și (5), care circumscriu cu
strictețe împrejurările în care mandatul AEPD poate înceta în mod anticipat, reiese că respectarea
mandatului AEPD până la terminarea acestuia, cu excepția unor motive grave și care pot fi verificate
în mod obiectiv, este o condiție primordială a independenței sale.
57 În speță, articolul 15 alineatul (1) din legea din 1993, aplicabil comisarului în temeiul articolului 23
alineatul (2) din legea din 1992, prevedea că mandatul comisarului parlamentar putea înceta numai
prin încheierea mandatului, deces, demisie, constatarea unui conflict de interese, pensionare
obligatorie sau demitere. Aceste din urmă trei ipoteze necesită o decizie a Parlamentului, adoptată cu
o majoritate de două treimi din numărul membrilor săi. În plus, atât pensionarea obligatorie, cât și
demiterea pot interveni numai în cazuri limitate, precizate la alineatul (5) și, respectiv, la alineatul (6)
ale articolului 15 menționat.
58 Or, este cert că mandatului comisarului nu i s-a pus capăt în aplicarea vreuneia din aceste dispoziții și
în special că el nu a demisionat în mod oficial.
59 În consecință, Ungaria a pus capăt mandatului comisarului fără a respecta garanțiile instituite prin lege
pentru a proteja acest mandat, aducând astfel atingere independenței sale, în sensul articolului 28
alineatul (1) al doilea paragraf din Directiva 95/46. Faptul că această încetare rezultă dintr-o
schimbare de model instituțional nu o poate face compatibilă cu independența autorităților de
supraveghere impusă prin această dispoziție, astfel cum s-a arătat la punctul 54 din prezenta hotărâre.
60 Desigur, statele membre sunt libere să adopte și să modifice modelul instituțional pe care îl apreciază
ca fiind cel mai adecvat pentru autoritățile lor de supraveghere. Cu toate acestea, trebuie să se asigure,
în acest cadru, că nu se aduce atingere independenței autorității de supraveghere rezultate din
articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46, care implică obligația de a respecta
durata mandatului acestei autorități, în conformitate cu cele expuse la punctul 54 din prezenta
hotărâre.
61 În plus, chiar dacă, după cum susține Ungaria, comisarul și autoritatea se disting în mod fundamental
prin organizarea și prin structura lor, aceste două entități au, în esență, atribuții identice, și anume cele
devolute autorităților de supraveghere naționale în aplicarea Directivei 95/46, astfel cum reiese din
atribuțiile care le-au fost încredințate și din continuitatea dintre ele în prelucrarea dosarelor, care este
asigurată prin articolul 75 alineatele (1) și (2) din legea din 2011. Prin urmare, această simplă
schimbare de model instituțional nu poate să justifice în mod obiectiv posibilitatea de a pune capăt
mandatului persoanei căreia i se încredințaseră atribuțiile comisarului fără a fi prevăzute măsuri
tranzitorii care să permită asigurarea respectării duratei acestui mandat.
62 Având în vedere toate considerațiile care precedă, trebuie să se constate că, prin faptul că a pus capăt
în mod anticipat mandatului autorității de supraveghere a protecției datelor cu caracter personal,
Ungaria nu și-a îndeplinit obligațiile care îi revin în temeiul Directivei 95/46.
Cu privire la limitarea în timp a efectelor prezentei hotărâri
63 Ungaria sugerează Curții să limiteze în timp efectele hotărârii sale dispunând că neîndeplinirea
obligațiilor constatată nu afectează mandatul președintelui autorității. În susținerea cererii, acest stat
membru invocă conformitatea legii din 2011 cu Directiva 95/46, precum și noutatea problemei
ridicate prin prezenta cauză. Comisia solicită, în schimb, respingerea acestei cereri.
64 În această privință, chiar presupunând că hotărârile pronunțate în temeiul articolului 258 TFUE au
aceleași efecte precum cele pronunțate în temeiul articolului 267 TFUE și că, prin urmare, considerații
care privesc securitatea juridică ar putea face necesară, cu titlu excepțional, limitarea efectelor lor în
ECLI:EU:C:2014:237 11
COMISIA/UNGARIA
timp, din moment ce condițiile stabilite prin jurisprudența Curții referitoare la articolul 267 TFUE ar fi
îndeplinite (a se vedea în special Hotărârea Comisia/Grecia, C-178/05, EU:C:2007:317, punctul 67 și
jurisprudența citată, precum și Hotărârea Comisia/Irlanda, C-82/10, EU:C:2011:621, punctul 63 și
jurisprudența citată), trebuie să se constate că, în speță, Ungaria nu a dovedit că aceste condiții ar fi
îndeplinite. În special, având în vedere neîndeplinirea obligațiilor constatată la punctul 62 din prezenta
hotărâre, expresia „în condiții de independență deplină” conținută de articolul 28 alineatul (1) al doilea
paragraf din Directiva 95/46 este clară prin ea însăși și, în orice caz, această expresie a făcut obiectul
unei interpretări a Curții în Hotărârea Comisia/Germania, EU:C:2010:125, cu mai mult de un an
înainte de sus-menționata neîndeplinire a obligațiilor. Ca urmare a acestei hotărâri, dreptul Uniunii nu
putea, așadar, să fie de o manieră rezonabilă înțeles în sensul că autoriza Ungaria să pună capăt în mod
anticipat mandatului comisarului.
65 În consecință, cererea Ungariei privind limitarea în timp a efectelor prezentei hotărâri trebuie respinsă.
Cu privire la cheltuielile de judecată
66 Potrivit articolului 138 alineatul (1) din Regulamentul de procedură, partea care cade în pretenții este
obligată, la cerere, la plata cheltuielilor de judecată. Întrucât Comisia a solicitat obligarea Ungariei la
plata cheltuielilor de judecată, iar Ungaria a căzut în pretenții, se impune obligarea acesteia la plata
cheltuielilor de judecată.
67 Conform articolului 140 alineatul (3) din același regulament, Curtea poate decide ca un intervenient,
altul decât cei menționați la alineatele (1) și (2) ale articolului 140, să suporte propriile cheltuieli de
judecată. Astfel, Curtea decide că AEPD, care a intervenit în litigiu, suportă propriile cheltuieli de
judecată.
Pentru aceste motive, Curtea (Marea Cameră) declară și hotărăște:
1) Prin faptul că a pus capăt în mod anticipat mandatului autorității de supraveghere a

protecției datelor cu caracter personal, Ungaria nu și-a îndeplinit obligațiile care îi revin în
temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie
1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și libera circulație a acestor date.
2) Obligă Ungaria la plata cheltuielilor de judecată.
3) Autoritatea Europeană pentru Protecția Datelor (AEPD) suportă propriile cheltuieli de

judecată.
Semnături
12 ECLI:EU:C:2014:237
HOTĂRÂRE DIN 24.11.2011 — CAUZELE CONEXATE C-468/10 ȘI C-469/10
HOTĂRÂREA CURȚII (Camera a treia)

24 noiembrie 2011 *
În cauzele conexate C-468/10 și C-469/10,
având ca obiect cereri de pronunțare a unor hotărâri preliminare formulate în temeiul

articolului 267 TFUE de Tribunal Supremo (Spania), prin deciziile din 15 iulie 2010,
primite de Curte la 28 septembrie 2010, în procedurile
Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)

(C-468/10),
Federación de Comercio Electrónico y Marketing Directo (FECEMD) (C-469/10)
împotriva
Administración del Estado,
* Limba de procedură: spaniola.
I - 12186
ASNEF ȘI FECEMD
cu participarea:
Unión General de Trabajadores (UGT) (C-468/10 și C-469/10),
Telefónica de España SAU (C-468/10),
France Telecom España SA (C-468/10 și C-469/10),
Telefónica Móviles de España SAU (C-469/10),
Vodafone España SA (C-469/10),
Asociación de Usuarios de la Comunicación (C-469/10),
I - 12187
CURTEA (Camera a treia),
compusă din domnul K. Lenaerts (raportor), președinte de cameră, doamna R. Silva

de Lapuerta, domnii E. Juhász, T. von Danwitz și D. Šváby, judecători,
avocat general: domnul P. Mengozzi,

grefier: doamna M. Ferreira, administrator principal,
având în vedere procedura scrisă și în urma ședinței din 15 septembrie 2011,
— pentru Asociación Nacional de Establecimientos Financieros de Crédito (AS

NEF), de C. Alonso Martínez și A. Creus Carreras, abogados;
— pentru Federación de Comercio Electrónico y Marketing Directo (FECEMD), de

R. García del Poyo Vizcaya și M. Á. Serrano Pérez, abogados;
— pentru guvernul spaniol, de domnul M. Muñoz Pérez, în calitate de agent;
I - 12188
ASNEF ȘI FECEMD
— pentru Comisia Europeană, de doamna I. Martínez del Peral și de domnul B. Mar

tenczuk, în calitate de agenți,
având în vedere decizia de judecare a cauzei fără concluzii, luată după ascultarea avo
catului general,
pronunță prezenta
Hotărâre
1 Cererile de pronunțare a unor hotărâri preliminare privesc interpretarea articolu

lui 7 litera (f ) din Directiva 95/46/CE a Parlamentului European și a Consiliului din
24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție
specială, 13/vol. 17, p. 10).
2 Aceste cereri au fost formulate în cadrul unor litigii între Asociación Nacional de
Establecimientos Financieros de Crédito (ASNEF) și Federación de Comercio Elec
trónico y Marketing Directo (FECEMD), pe de o parte, și Administración del Estado,
pe de altă parte.
I - 12189
Cadrul juridic
Dreptul Uniunii
Directiva 95/46
3 Considerentele (7), (8) și (10) ale Directivei 95/46 au următorul cuprins:
„(7) întrucât diferența dintre nivelurile de protecție a drepturilor și libertăților per

soanelor, în special a dreptului la viață privată, în ceea ce privește prelucrarea
datelor cu caracter personal permisă în statele membre poate împiedica trans
miterea unor astfel de date de pe teritoriul unui stat membru pe cel al altui stat
membru; întrucât această diferență poate constitui, prin urmare, un obstacol
în desfășurarea unor activități economice la nivel comunitar, poate denatura
concurența și poate împiedica autoritățile să-și îndeplinească responsabilitățile
conform dreptului comunitar; întrucât diferența dintre nivelurile de protecție
se datorează disparităților între actele cu putere de lege și actele administrative
interne;
(8) întrucât, pentru a îndepărta obstacolele din calea circulației datelor cu carac
ter personal, nivelul protecției drepturilor și libertăților persoanei în ceea ce
privește prelucrarea unor astfel de date trebuie să fie echivalent în toate state
le membre; întrucât acest obiectiv este vital pentru piața internă, dar nu poa
te fi atins numai de statele membre, în special având în vedere dimensiunea
I - 12190
ASNEF ȘI FECEMD
divergențelor existente în prezent între legislațiile interne ale statelor membre

și necesitatea de coordonare a legislațiilor statelor membre astfel încât să re
glementeze fluxul transfrontalier de date cu caracter personal în mod coerent
și conform cu obiectivele pieței interne […]; întrucât acțiunea Comunității de
apropiere a legislațiilor este, prin urmare, necesară;
[...]
(10) întrucât obiectivul legislației interne privind prelucrarea datelor cu caracter

personal este de a proteja drepturile și libertățile fundamentale, inclusiv dreptul
la viață privată care este recunoscut atât prin articolul 8 din Convenția euro
peană pentru apărarea drepturilor omului și a libertăților fundamentale[, sem
nată la Roma la 4 noiembrie 1950 (denumită în continuare «CEDO»),] cât și în
principiile generale ale dreptului comunitar; întrucât, din acest motiv, apropie
rea acestor legislații nu trebuie să aibă ca rezultat scăderea protecției pe care o
oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecție în
Comunitate”.
4 Articolul 1 din această directivă, intitulat „Obiectul directivei”, este redactat în urmă
torii termeni:
„(1) Statele membre asigură, în conformitate cu prezenta directivă, protejarea drep

turilor și libertăților fundamentale ale persoanei și în special a dreptului la viața pri
vată în ceea ce privește prelucrarea datelor cu caracter personal.
I - 12191
(2) Statele membre nu pot limita sau interzice libera circulație a datelor cu caracter
personal între statele membre din motive legate de protecția asigurată în conformi
tate cu alineatul (1).”
5 Articolul 5 din aceeași directivă are următorul cuprins:
„Statele membre precizează, în limitele dispozițiilor prezentului capitol, condițiile în

care operațiunile de prelucrare a datelor cu caracter personal sunt legale.”
6 Articolul 7 din Directiva 95/46 prevede:
„Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:
(a) persoana vizată și-a dat consimțământul neechivoc
sau
[...]
(f ) prelucrarea este necesară pentru realizarea interesului legitim urmărit de opera

tor sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudi
cieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care
necesită protecție în temeiul articolului 1 alineatul (1).”
I - 12192
ASNEF ȘI FECEMD
7 Articolul 13 alineatul (1) din această directivă prevede:
„Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor
și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alinea
tul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură nece
sară pentru a proteja:
(a) securitatea statului;
(b) apărarea;
(c) siguranța publică;
(d) prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a

încălcării eticii în cazul profesiunilor reglementate;
(e) un interes economic sau financiar important al unui stat membru sau al Uniunii
Europene, inclusiv în domeniile monetar, bugetar și fiscal;
(f ) o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazi

onal, de exercitarea autorității publice în cazurile menționate la literele (c), (d)
și (e);
I - 12193
(g) protecția persoanei vizate sau a drepturilor și libertăților altora.”
Dreptul național
Legea organică 15/1999
8 Legea organică 15/1999 privind protecția datelor cu caracter personal (BOE nr. 298
din 14 decembrie 1999, p. 43088) transpune Directiva 95/46 în dreptul spaniol.
9 Articolul 3 litera j) din Legea organică 15/1999 enumeră „sursele aflate la dispoziția
publicului” într-o listă exhaustivă și limitativă, care are următorul cuprins:
„[...] acele sisteme de evidență a căror consultare poate fi efectuată de orice persoană,
fără restricții și fără o altă cerință decât, dacă este cazul, plata unei contraprestații.
Au calitatea de surse aflate la dispoziția publicului exclusiv copiile listelor electorale,
listele telefonice în condițiile prevăzute de reglementarea specifică și listele de mem
bri ai grupurilor profesionale care conțin numai datele privind numele, titulatura,
profesia, activitatea, nivelul de studii, adresa și indicarea apartenenței la grup. De ase
menea, au calitatea de surse aflate la dispoziția publicului ziarele și jurnalele oficiale,
precum și mijloacele de comunicare în masă.”
I - 12194
ASNEF ȘI FECEMD
10 Articolul 6 alineatul 1 din Legea organică 15/1999 condiționează prelucrarea datelor

de manifestarea consimțământului neechivoc al persoanei vizate, cu excepția situației
în care legea prevede altfel. Astfel, articolul 6 alineatul 2 in fine din această lege pre
vede că nu este necesar consimțământul în special „atunci când datele se regăsesc
în surse aflate la dispoziția publicului, iar prelucrarea acestora este necesară pentru
realizarea interesului legitim urmărit de operator sau de terțul căruia i se comunică
datele, cu condiția ca drepturile și libertățile fundamentale ale persoanei vizate să nu
fie încălcate”.
11 Articolul 11 alineatul 1 din Legea organică 15/1999 reiterează necesitatea

consimțământului persoanei vizate pentru a se putea comunica terților datele cu ca
racter personal, în timp ce alineatul 2 al articolului menționat prevede totuși că acest
consimțământ nu este necesar, printre altele, atunci când sunt vizate date colectate
din surse aflate la dispoziția publicului.
Decretul regal 1720/2007
12 Guvernul spaniol a pus în aplicare Legea organică 15/1999 prin Decretul regal
1720/2007 (BOE nr. 17 din 19 ianuarie 2008, p. 4103).
13 Articolul 10 alineatul 1 din Decretul regal 1720/2007 permite prelucrarea și trans

ferul datelor cu caracter personal în cazul în care persoana vizată își exprimă
consimțământul în prealabil.
I - 12195
14 Cu toate acestea, articolul 10 alineatul 2 din Decretul regal 1720/2007 prevede:
„[...] prelucrarea sau transferul datelor cu caracter personal sunt posibile fără
consimțământul persoanei vizate, atunci când:
a) o normă cu putere de lege sau o normă de drept comunitar permite acest lucru și
în special în unul dintre următoarele cazuri:
— prelucrarea sau transferul au ca obiect realizarea unui interes legitim al

operatorului sau al cesionarului la care se referă normele menționate, cu
condiția să nu prevaleze interesul sau drepturile și libertățile fundamentale
ale persoanelor vizate, prevăzute la articolul 1 din Legea organică 15/1999 din
13 decembrie;
— prelucrarea sau transferul datelor sunt necesare pentru ca operatorul să înde

plinească o obligație care îi este impusă de una dintre normele menționate;
b) datele care fac obiectul prelucrării sau al transferului sunt conținute în surse aflate
la dispoziția publicului, iar operatorul sau terțul căruia i se comunică datele are
un interes legitim care justifică prelucrarea sau comunicarea acestora, cu condiția
ca acest lucru să nu aducă atingere drepturilor și libertăților fundamentale ale
persoanei vizate.
Cu toate acestea, administrațiile publice nu vor putea comunica, în temeiul acestui

alineat, datele colectate din surse aflate la dispoziția publicului operatorilor de date
privați decât dacă sunt autorizate în acest sens de o normă cu putere de lege.”
I - 12196
ASNEF ȘI FECEMD
Acțiunile principale și întrebările preliminare
15 ASNEF, pe de o parte, și FECEMD, pe de altă parte, au formulat o acțiune în conten

cios administrativ împotriva mai multor articole din Decretul regal nr. 1720/2007.
16 Printre dispozițiile atacate se numără articolul 10 alineatul 2 litera a) prima liniuță și

articolul 10 alineatul 2 litera b) primul paragraf din decretul menționat, despre care
ASNEF și FECEMD consideră că încalcă articolul 7 litera (f ) din Directiva 95/46.
17 În special, ASNEF și FECEMD consideră că dreptul spaniol adaugă la condiția înte

meiată pe interesul legitim pentru prelucrarea datelor fără consimțământul persoanei
vizate o condiție care nu se regăsește în Directiva 95/46, potrivit căreia datele trebuie
să fie conținute în surse aflate la dispoziția publicului.
18 Tribunal Supremo apreciază că temeinicia acțiunilor formulate de ASNEF și, respec

tiv, de FECEMD depinde în mare măsură de interpretarea de către Curte a articolului
7 litera (f ) din Directiva 95/46. Astfel, acesta precizează că, în cazul în care Curtea
consideră că statelor membre nu le este permis să adauge condiții suplimentare la
cele prevăzute de această dispoziție și că se poate recunoaște dispoziției menționate
un efect direct, articolul 10 alineatul 2 litera b) din Decretul regal 1720/2007 ar trebui
să fie înlăturat.
19 Tribunal Supremo arată că, în lipsa consimțământului persoanei vizate, pentru a per
mite prelucrarea datelor cu caracter personal ale acesteia din urmă, necesară pen
tru realizarea interesului legitim urmărit de operator sau de terțul ori de terții că
rora le sunt comunicate aceste date, dreptul spaniol impune, pe lângă respectarea
I - 12197
drepturilor și libertăților fundamentale ale persoanei vizate, ca datele menționate să

fie conținute în sursele enumerate la articolul 3 litera j) din Legea organică 15/1999.
În această privință, Tribunal Supremo consideră că legea menționată și Decretul regal
1720/2007 restrâng domeniul de aplicare al articolului 7 litera (f ) din Directiva 95/46.
20 Potrivit Tribunal Supremo, această restrângere constituie un obstacol în calea liberei

circulații a datelor cu caracter personal care nu este compatibil cu Directiva 95/46
decât dacă interesul sau drepturile și libertățile fundamentale ale titularului datelor
o impun. Din acest fapt Tribunal Supremo deduce că singura posibilitate de a evita
o contradicție între această directivă și dreptul spaniol ar fi aceea de a considera că
libera circulație a datelor cu caracter personal conținute în alte sisteme de evidență
decât cele enumerate la articolul 3 litera j) din Legea organică 15/1999 aduce atingere
interesului sau drepturilor și libertăților fundamentale ale titularului datelor.
21 Cu toate acestea, Tribunal Supremo solicită să se stabilească dacă o astfel de interpre

tare este conformă cu voința legiuitorului Uniunii.
22 În aceste împrejurări, considerând că soluționarea celor două litigii cu care a fost

sesizat depinde de interpretarea unor dispoziții din dreptul Uniunii, Tribunal Supre
mo a hotărât să suspende judecarea cauzelor și să adreseze Curții următoarele în
trebări preliminare, care sunt formulate în termeni identici în fiecare dintre cauzele
menționate:
„1) Articolul 7 litera (f ) din Directiva 95/46 […] trebuie interpretat în sensul că se
opune unei reglementări naționale care, în lipsa consimțământului persoanei vi
zate și pentru a permite prelucrarea datelor cu caracter personal ale acesteia, ne
cesară pentru realizarea unui interes legitim al operatorului sau al terților cărora
I - 12198
ASNEF ȘI FECEMD
le sunt comunicate datele, impune, pe lângă respectarea drepturilor și libertăților

fundamentale ale persoanei vizate, ca datele să fie conținute în surse aflate la
dispoziția publicului?
2) Articolul 7 litera (f ) […] îndeplinește condițiile impuse de jurisprudența Curții

pentru a i se atribui un efect direct?”
23 Prin Ordonanța președintelui Curții din 26 octombrie 2010, cauzele C-468/10
și C-469/10 au fost conexate pentru buna desfășurare a procedurii scrise și orale,
precum și în vederea pronunțării hotărârii.
Cu privire la întrebările preliminare
Cu privire la prima întrebare
24 Prin intermediul primei întrebări, instanța de trimitere solicită, în esență, să se stabi

lească dacă articolul 7 litera (f ) din Directiva 95/46 trebuie interpretat în sensul că se
opune unei reglementări naționale care, în lipsa consimțământului persoanei vizate
și pentru a permite prelucrarea datelor cu caracter personal ale acesteia, necesară
pentru realizarea interesului legitim urmărit de operator sau de terțul ori de terții
cărora le sunt comunicate aceste date, impune, pe lângă respectarea drepturilor și
libertăților fundamentale ale persoanei vizate, ca datele menționate să fie conținute
în surse aflate la dispoziția publicului.
I - 12199
25 Articolul 1 din Directiva 95/46 impune statelor membre obligația de a asigura

protecția drepturilor și a libertăților fundamentale ale persoanelor fizice și în special
a dreptului la viață privată, în ceea ce privește prelucrarea datelor cu caracter perso
nal (a se vedea în acest sens Hotărârea din 16 decembrie 2008, Huber, C-524/06, Rep.,
p. I-9705, punctul 47).
26 Potrivit dispozițiilor capitolului II din Directiva 95/46, intitulat „Condițiile generale

de legalitate a prelucrării datelor cu caracter personal”, sub rezerva derogărilor per
mise în temeiul articolului 13 din această directivă, orice prelucrare a datelor cu ca
racter personal trebuie, pe de o parte, să fie conformă cu principiile referitoare la
calitatea datelor, enunțate la articolul 6 din directiva menționată, și, pe de altă parte,
trebuie să respecte unul dintre cele șase principii privind legitimitatea prelucrării da
telor, enumerate la articolul 7 din aceeași directivă (a se vedea în acest sens Hotărârea
din 20 mai 2003, Österreichischer Rundfunk și alții, C-465/00, C-138/01 și C-139/01,
Rec., p. I-4989, punctul 65, precum și Hotărârea Huber, citată anterior, punctul 48).
27 Din considerentul (7) al Directivei 95/46 rezultă că instituirea și funcționarea pieței

interne pot fi grav afectate de diferențele dintre regimurile naționale aplicabile prelu
crării datelor cu caracter personal (a se vedea Hotărârea din 6 noiembrie 2003, Lind
qvist, C-101/01, Rec., p. I-12971, punctul 79).
28 În acest context, trebuie amintit că Directiva 95/46 urmărește, astfel cum reiese în
special din considerentul (8) al acesteia, ca nivelul protecției drepturilor și libertăților
persoanei în ceea ce privește prelucrarea datelor cu caracter personal să fie echivalent
în toate statele membre. În considerentul (10) al acestei directive se adaugă că apro
pierea legislațiilor naționale aplicabile în acest domeniu nu trebuie să aibă ca rezul
tat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să aibă drept obiectiv
asigurarea unui nivel înalt de protecție în Uniune (a se vedea în acest sens Hotărârea
Lindqvist, citată anterior, punctul 95, și Hotărârea Huber, citată anterior, punctul 50).
I - 12200
ASNEF ȘI FECEMD
29 Astfel, s-a stabilit că armonizarea legislațiilor naționale menționate nu se limitează

la o armonizare minimă, ci are ca rezultat o armonizare care este, în principiu, com
pletă. Din această perspectivă, Directiva 95/46 urmărește garantarea liberei circulații
a datelor cu caracter personal, asigurând în același timp un înalt nivel de protecție
a drepturilor și intereselor persoanelor vizate de aceste date (a se vedea Hotărârea
Lindqvist, citată anterior, punctul 96).
30 Prin urmare, din obiectivul constând în asigurarea unui nivel de protecție echivalent
în toate statele membre rezultă că articolul 7 din Directiva 95/46 prevede o listă ex
haustivă și limitativă de cazuri în care o prelucrare de date cu caracter personal poate
fi considerată ca fiind legală.
31 Această interpretare este confirmată de termenii „să fie prelucrate numai dacă” și
de conjuncția „sau” din textul articolului 7 din Directiva 95/46, care pun în evidență
natura exhaustivă și limitativă a listei prevăzute la acest articol.
32 Rezultă că statele membre nu pot nici să adauge principii noi privind legitimarea
prelucrărilor de date cu caracter personal la articolul 7 din Directiva 95/46, nici să
prevadă cerințe suplimentare care să modifice conținutul unuia dintre cele șase prin
cipii prevăzute la acest articol.
33 Interpretarea de mai sus nu este pusă sub semnul întrebării de articolul 5 din Di
rectiva 95/46. Astfel, acest articol nu permite statelor membre decât să precizeze, în
limitele capitolului II din directiva menționată și, prin urmare, ale articolului 7 din
aceasta, condițiile în care operațiunile de prelucrare a datelor cu caracter personal
sunt legale.
I - 12201
34 Prin urmare, marja de apreciere de care dispun statele membre în temeiul articolului
5 menționat nu poate fi utilizată decât în conformitate cu obiectivul urmărit de Di
rectiva 95/46, care constă în menținerea unui echilibru între libera circulație a datelor
cu caracter personal și protecția vieții private (a se vedea Hotărârea Lindqvist, citată
anterior, punctul 97).
35 Directiva 95/46 cuprinde norme caracterizate printr-o anumită suplețe și lasă în mul
te cazuri statelor membre sarcina de a stabili detaliile sau de a alege dintre opțiuni
(a se vedea Hotărârea Lindqvist, citată anterior, punctul 83). Astfel, este important
să se distingă între măsuri naționale care prevăd cerințe suplimentare, modificând
conținutul unui principiu prevăzut la articolul 7 din Directiva 95/46, pe de o parte,
și măsuri naționale care prevăd o simplă precizare a unuia dintre aceste principii, pe
de altă parte. Primul tip de măsură națională este interzis. Numai în cadrul celui de
al doilea tip de măsură națională, în temeiul articolului 5 din Directiva 95/46, statele
membre dispun de o marjă de apreciere.
36 Rezultă că, în temeiul articolului 5 din Directiva 95/46, statele membre nu pot nici să
introducă alte principii referitoare la legitimarea operațiunilor de prelucrare a datelor
cu caracter personal decât cele prevăzute la articolul 7 din această directivă, nici să
modifice, prin cerințe suplimentare, conținutul celor șase principii prevăzute la arti
colul 7 menționat.
37 În speță, articolul 7 litera (f ) din Directiva 95/46 prevede că prelucrarea datelor cu

caracter personal este legală dacă „este necesară pentru realizarea interesului legitim
urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes
să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei
vizate, care necesită protecție în temeiul articolului 1 alineatul (1)”.
I - 12202
ASNEF ȘI FECEMD
38 Articolul 7 litera (f ) prevede două condiții cumulative pentru ca o prelucrare de date

cu caracter personal să fie legală, și anume, pe de o parte, ca prelucrarea datelor cu
caracter personal să fie necesară pentru realizarea interesului legitim urmărit de ope
rator sau de terțul ori de terții cărora le sunt comunicate datele, și, pe de altă parte, ca
drepturile și libertățile fundamentale ale persoanei vizate să nu prevaleze.
39 Rezultă că, în ceea ce privește prelucrarea datelor cu caracter personal, articolul 7

litera (f ) din Directiva 95/46 se opune oricărei reglementări naționale care, în lipsa
consimțământului persoanei vizate, impune, în plus față de cele două condiții cumu
lative menționate la punctul precedent, cerințe suplimentare.
40 Cu toate acestea, trebuie să se țină cont de faptul că a doua dintre aceste condiții ne
cesită o ponderare a drepturilor și a intereselor opuse în cauză care depinde, în prin
cipiu, de împrejurările concrete ale cazului respectiv și în cadrul căreia persoana sau
instituția care efectuează ponderarea trebuie să țină cont de importanța drepturilor
persoanei vizate care rezultă din articolele 7 și 8 din Carta drepturilor fundamentale
a Uniunii Europene (denumită în continuare „carta”).
41 În această privință, trebuie arătat că articolul 8 alineatul (1) din cartă prevede că „[o]ri
ce persoană are dreptul la protecția datelor cu caracter personal care o privesc”. Acest
drept fundamental este strâns legat de dreptul la respectarea vieții private consacrat
la articolul 7 din cartă (Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke
și Eifert, C-92/09 și C-93/09, Rep., p. I-11063, punctul 47).
42 Potrivit jurisprudenței Curții, respectarea dreptului la viață privată în raport cu prelu

crarea datelor cu caracter personal, recunoscută prin articolele 7 și 8 din cartă, se ra
portează la orice informație privind o persoană fizică identificată sau identificabilă (a
I - 12203
se vedea Hotărârea Volker und Markus Schecke și Eifert, citată anterior, punctul 52).
Cu toate acestea, din articolul 8 alineatul (2) și din articolul 52 alineatul (1) din cartă
rezultă că, în anumite condiții, pot fi impuse limitări ale dreptului menționat.
43 În plus, revine statelor membre obligația ca, la transpunerea Directivei 95/46, să se

asigure că se întemeiază pe o interpretare a acesteia din urmă care le permite să asi
gure un echilibru corect între diferitele drepturi și libertăți fundamentale protejate de
ordinea juridică a Uniunii (a se vedea, prin analogie, Hotărârea din 29 ianuarie 2008,
Promusicae, C-275/06, Rep., p. I-271, punctul 68).
44 În ceea ce privește ponderarea necesară în temeiul articolului 7 litera (f ) din Directiva

95/46, este posibil să se ia în considerare faptul că gravitatea atingerii aduse dreptu
rilor fundamentale ale persoanei vizate de prelucrarea în cauză poate varia în funcție
de împrejurarea dacă datele în cauză sunt sau nu sunt deja conținute în surse aflate la
dispoziția publicului.
45 Astfel, spre deosebire de operațiunile de prelucrare a datelor care se regăsesc în surse

aflate la dispoziția publicului, operațiunile de prelucrare a datelor conținute în surse
care nu se află la dispoziția publicului implică în mod necesar faptul că informații des
pre viața privată a persoanei vizate vor fi cunoscute de operator și, după caz, de terțul
sau de terții cărora le sunt comunicate datele. Această atingere mai gravă a drepturilor
persoanei vizate, prevăzute la articolele 7 și 8 din cartă, trebuie să fie luată în consi
derare la adevărata sa valoare, prin punerea în balanță cu interesul legitim urmărit de
operator sau de terțul ori de terții cărora le sunt comunicate datele.
I - 12204
ASNEF ȘI FECEMD
46 În această privință, trebuie să se sublinieze că nimic nu se opune ca, în exercitarea

marjei lor de apreciere prevăzute la articolul 5 din Directiva 95/46, statele membre să
stabilească principii directoare pentru ponderarea în cauză.
47 Cu toate acestea, nu mai este vorba despre o precizare în sensul articolului 5 menționat
în cazul în care o reglementare națională exclude pentru anumite categorii de date cu
caracter personal posibilitatea de a fi prelucrate, prin stabilirea pentru aceste catego
rii, în mod definitiv, a rezultatului ponderării drepturilor și intereselor opuse, fără a
permite un rezultat diferit în funcție de împrejurările speciale ale unui caz concret.
48 Prin urmare, fără a aduce atingere articolului 8 din Directiva 95/46, referitor la
operațiunile de prelucrare a unor categorii speciale de date, dispoziție care nu este
în cauză în acțiunea principală, articolul 7 litera (f ) din această directivă se opune ca
un stat membru să excludă în mod categoric și generalizat posibilitatea ca anumite
categorii de date cu caracter personal să fie prelucrate, fără a permite o ponderare a
drepturilor și a intereselor opuse în cauză într-un anumit caz.
49 Având în vedere aceste considerații, la prima întrebare trebuie să se răspundă că ar

ticolul 7 litera (f ) din Directiva 95/46 trebuie interpretat în sensul că se opune unei
reglementări naționale care, în lipsa consimțământului persoanei vizate și pentru a
permite prelucrarea datelor cu caracter personal ale acesteia, necesară pentru reali
zarea interesului legitim urmărit de operator sau de terțul ori de terții cărora le sunt
comunicate aceste date, impune, pe lângă respectarea drepturilor și libertăților fun
damentale ale persoanei vizate, ca datele în cauză să fie conținute în surse aflate la
dispoziția publicului, excluzând astfel în mod categoric și generalizat orice prelucrare
a unor date care nu se regăsesc în astfel de surse.
I - 12205
Cu privire la a doua întrebare
50 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită, în esență, să

se stabilească dacă articolul 7 litera (f ) din Directiva 95/46 are un efect direct.
51 În această privință, trebuie amintit că, potrivit unei jurisprudențe constante a

Curții, în toate situațiile în care dispozițiile unei directive apar, din punctul de ve
dere al conținutului, ca fiind necondiționate și suficient de precise, particularii sunt
îndreptățiți să le invoce în fața instanțelor naționale împotriva statului, fie atunci când
acesta s-a abținut de la transpunerea în termen a directivei în dreptul național, fie
atunci când a transpus directiva în mod incorect (a se vedea Hotărârea din 3 martie
2011, Auto Nikolovi, C-203/10, Rep., p. I-1083, punctul 61 și jurisprudența citată).
52 Trebuie să se constate că articolul 7 litera (f ) din Directiva 95/46 este o dispoziție sui
cient de precisă pentru a fi invocată de un particular și aplicată de instanțele naționale.
În plus, chiar dacă Directiva 95/46 lasă în mod indiscutabil statelor membre o marjă
de apreciere mai mult sau mai puțin importantă pentru punerea în aplicare a unora
dintre dispozițiile sale, în ceea ce privește respectivul articol 7 litera (f ), acesta preve
de o obligație necondiționată (a se vedea, prin analogie, Hotărârea Österreichischer
Rundfunk și alții, citată anterior, punctul 100).
53 Utilizarea expresiei „cu condiția ca” în textul articolului 7 litera (f ) din Directiva 95/46
nu este de natură, în sine, să pună sub semnul întrebării caracterul necondiționat al
acestei dispoziții, în sensul jurisprudenței menționate.
I - 12206
ASNEF ȘI FECEMD
54 Astfel, această expresie urmărește să stabilească unul dintre cele două elemen
te cumulative prevăzute la articolul 7 litera (f ) din Directiva 95/46 de a căror res
pectare este condiționată posibilitatea de a prelucra date cu caracter personal fără
consimțământul persoanei vizate. Acest element fiind stabilit, el nu înlătură caracte
rul precis și necondiționat al respectivului articol 7 litera (f ).
55 Prin urmare, la a doua întrebare trebuie să se răspundă că articolul 7 litera (f ) din

Directiva 95/46 are un efect direct.
Pentru aceste motive, Curtea (Camera a treia) declară:
1) Articolul 7 litera (f) din Directiva 95/46/CE a Parlamentului European și a

Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal și libera circulație
a acestor date trebuie interpretat în sensul că se opune unei reglementări
naționale care, în lipsa consimțământului persoanei vizate și pentru a per
mite prelucrarea datelor cu caracter personal ale acesteia, necesară pentru
I - 12207
realizarea interesului legitim urmărit de operator sau de terțul ori de terții

cărora le sunt comunicate aceste date, impune, pe lângă respectarea dreptu
rilor și libertăților fundamentale ale persoanei vizate, ca datele în cauză să
fie conținute în surse aflate la dispoziția publicului, excluzând astfel în mod
categoric și generalizat orice prelucrare a unor date care nu se regăsesc în
astfel de surse.
2) Articolul 7 litera (f) din Directiva 95/46 are un efect direct.
Semnături
I - 12208
HOTĂRÂREA DIN 5.5.2011 — CAUZA C-543/09
HOTĂRÂREA CURȚII (Camera a treia)

5 mai 2011 *
În cauza C-543/09,
având ca obiect o cerere de pronunțare a unei hotărâri preliminare formulată în teme

iul articolului 267 TFUE de Bundesverwaltungsgericht (Germania), prin decizia din
28 octombrie 2009, primită de Curte la 22 decembrie 2009, în procedura
Deutsche Telekom AG
împotriva
Bundesrepublik Deutschland,
cu participarea:
GoYellow GmbH,
Telix AG,
I - 3486
DEUTSCHE TELEKOM
CURTEA (Camera a treia),
compusă din domnul K. Lenaerts (raportor), președinte de cameră, doamna R. Silva

de Lapuerta, domnii G. Arestis, J. Malenovský și T. von Danwitz, judecători,
avocat general: doamna V. Trstenjak,

grefier: domnul K. Malacek, administrator,
având în vedere procedura scrisă și în urma ședinței din 2 decembrie 2010,
— pentru Deutsche Telekom AG, de W. Roth, Rechtsanwalt, și de doamna I. Fink,

Justitiarin;
— pentru Bundesrepublik Deutschland, de doamna E. Greiwe, în calitate de agent;
— pentru GoYellow GmbH, de G. Jochum, Rechtsanwalt;
I - 3487
— pentru guvernul italian, de doamna G. Palmieri, în calitate de agent, asistată de

domnul P. Gentili, avvocato dello Stato;
— pentru guvernul Regatului Unit, de doamnele F. Penlington și C. Murrell, în cali

tate de agenți, asistate de domnul T. Ward, barrister;
— pentru Comisia Europeană, de domnii A. Nijenhuis și G. Braun, în calitate de

agenți,
după ascultarea concluziilor avocatului general în ședința din 17 februarie 2011,
pronunță prezenta
Hotărâre
1 Cererea de pronunțare a unei hotărâri preliminare privește interpretarea articolului

25 alineatul (2) din Directiva 2002/22/CE a Parlamentului European și a Consiliu
lui din 7 martie 2002 privind serviciul universal și drepturile utilizatorilor cu privi
re la rețelele și serviciile electronice de comunicații (Directiva privind serviciul uni
versal) (JO L 108, p. 51, Ediție specială, 13/vol. 35, p. 213), precum și a articolului
12 din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie
2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul
comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electro
nice) (JO L 201, p. 37, Ediție specială, 13/vol. 36, p. 63, denumită în continuare „Di
rectiva asupra confidențialității și comunicațiilor electronice”).
I - 3488
DEUTSCHE TELEKOM
2 Această cerere a fost formulată în cadrul unui litigiu între Deutsche Telekom AG (de
numită în continuare „Deutsche Telekom”), pe de o parte, și Republica Federală Ger
mania, reprezentată de Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,
Post und Eisenbahnen (denumită în continuare „Bundesnetzagentur”), pe de altă par
te, cu privire la obligația, impusă de Legea privind telecomunicațiile (Telekommuni
kationsgesetz, denumită în continuare „TKG”) întreprinderilor care alocă numere de
telefon abonaților, de a pune la dispoziția altor întreprinderi, a căror activitate constă
în furnizarea de servicii de informații telefonice accesibile publicului sau de liste de
abonați telefonici, a datelor pe care le dețin cu privire la abonații unor întreprinderi
terțe.
Cadrul juridic
Reglementarea Uniunii
Directiva 95/46/CE
3 Din articolul 1 alineatul (1) din Directiva 95/46/CE a Parlamentului European și a

Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal și libera circulație a acestor date
(JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10) reiese că aceasta urmărește să asi
gure protejarea drepturilor și libertăților fundamentale ale persoanei și în special a
dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.
I - 3489
4 Articolul 2 litera (h) din directiva menționată definește „consimțământul persoanei

vizate” ca fiind „orice manifestare de voință, liberă, specifică și informată prin care
persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc”.
5 Articolul 7 litera (a) din aceeași directivă prevede ca datele cu caracter personal să fie
prelucrate dacă „persoana vizată și-a dat consimțământul neechivoc”.
Directiva „FRD”
6 De la 1 ianuarie 1998, furnizarea serviciilor și a infrastructurilor de telecomunicații

a fost liberalizată în Uniunea Europeană. Această liberalizare a fost efectuată conco
mitent cu instituirea unui cadru normativ armonizat din care făcea parte Directiva
98/10/CE a Parlamentului European și a Consiliului din 26 februarie 1998 privind
aplicarea furnizării unei rețele deschise (FRD) la telefonia vocală și stabilirea unui
serviciu universal al telecomunicațiilor într-un mediu concurențial (JO L 101, p. 24,
denumită în continuare „Directiva «FRD»”).
7 Directiva „FRD” a fost abrogată prin articolul 26 din Directiva 2002/21/CE a Parla
mentului European și a Consiliului din 7 martie 2002 privind un cadru de reglemen
tare comun pentru rețelele și serviciile de comunicații electronice (Directivă-cadru)
(JO L 108, p. 33, Ediție specială, 13/vol. 35, p. 195, denumită în continuare „Directiva-
cadru”). Articolul 6 alineatul (3) din Directiva „FRD” prevedea:
„Pentru a garanta furnizarea serviciilor [de liste ale abonaților telefonici și de

informații telefonice], statele membre se asigură că toate organismele care alocă
I - 3490
DEUTSCHE TELEKOM
numere de telefon abonaților răspund tuturor cererilor rezonabile referitoare la fur

nizarea informațiilor relevante, într-un format agreat și în condiții echitabile, orien
tate către costuri și nediscriminatorii.”
Cadrul de reglementare comun
8 Astfel cum reiese din considerentul (1) al Directivei-cadru, la câțiva ani după liberali
zarea piețelor de telecomunicații, condițiile de concurență efectivă fuseseră realizate
și a fost adoptat un cadru de reglementare comun (denumit în continuare „CRC”).
Din CRC fac parte, printre altele, Directiva-cadru, Directiva privind serviciul univer
sal, precum și Directiva asupra confidențialității și comunicațiilor electronice.
— Directiva-cadru
9 Articolul 1 alineatul (1) din Directiva-cadru prevede:
„Prezenta directivă stabilește un cadru armonizat pentru reglementarea serviciilor de

comunicații electronice […]. Directiva prevede sarcini pentru autoritățile naționale
de reglementare și stabilește o serie de proceduri care să asigure o aplicare armoniza
tă a cadrului de reglementare pe teritoriul Comunității.”
I - 3491
10 Directiva-cadru conferă autorităților naționale de reglementare (denumite în con

tinuare „ANR”) sarcini specifice de reglementare a piețelor de comunicații electro
nice. Astfel, în temeiul articolului 16, ANR efectuează o analiză a piețelor relevan
te în sectorul comunicațiilor electronice și apreciază dacă aceste piețe sunt efectiv
concurențiale. Dacă o piață nu este efectiv concurențială, ANR competentă impune
obligații de reglementare specifice întreprinderilor cu putere semnificativă pe piața
respectivă.
— Directiva privind serviciul universal
11 Considerentele (11) și (35) ale Directivei privind serviciul universal prevăd:
„(11) Informațiile din lista abonaților telefonici și serviciul de informații telefonice

constituie instrumente esențiale pentru accesul la serviciile de telefonie dispo
nibile publicului și fac parte din obligația de serviciu universal. Utilizatorii și
consumatorii doresc liste ale abonaților telefonici cuprinzătoare și un serviciu
de informații telefonice care să cuprindă toți abonații telefonici înregistrați și
numerele acestora (inclusiv numerele de la telefonul fix și mobil); ei doresc ca
aceste informații să fie prezentate în mod imparțial. Directiva 97/66/CE a Parla
mentului European și a Consiliului din 15 decembrie 1997 cu privire la prelucra
rea datelor personale și protecția vieții private din sectorul telecomunicațiilor
[JO 1998, L 24, p. 1] asigură dreptul abonaților la respectarea vieții lor private
în ceea ce privește informațiile personale care pot figura într-o listă de abonați
telefonici.
[…]
I - 3492
DEUTSCHE TELEKOM
„(35) Furnizarea de servicii de informații telefonice și de liste ale abonaților telefo

nici este deja deschisă concurenței. Prevederile prezentei directive se adaugă
prevederilor Directivei 97/66/CE acordând abonaților dreptul de a avea datele
personale incluse într-o listă a abonaților telefonici tipărită sau electronică. Toți
furnizorii de servicii care alocă numere de telefon abonaților lor sunt obligați să
[…] pună la dispoziție informațiile utile în mod echitabil, în funcție de costuri și
fără discriminare.”
12 Articolul 5 din Directiva privind serviciul universal, intitulat „Serviciile de informații

telefonice și listele abonaților telefonici”, în versiunea în vigoare la data faptelor din
acțiunea principală, prevedea:
„(1) Statele membre se asigură că:
(a) cel puțin o listă completă a abonaților telefonici este pusă la dispoziția tuturor
utilizatorilor finali, într-o formă aprobată de autoritatea competentă, fie tipărită,
fie electronică sau ambele și aceasta să fie actualizată în mod periodic, cel puțin o
dată pe an;
(b) cel puțin un serviciu de informații telefonice complete este accesibil tuturor utili
zatorilor finali, inclusiv utilizatorilor de posturi telefonice publice cu plată.
(2) Listele abonaților telefonici de la alineatul (1) cuprind, sub rezerva dispozițiilor

articolului 11 din Directiva 97/66/CE, toți abonații la serviciile telefonice accesibile
publicului.
[...]”
I - 3493
13 În temeiul articolului 17 din Directiva privind serviciul universal, după efectuarea

unei analize a unei piețe cu amănuntul și după ce au constatat că piața relevantă nu
este efectiv competitivă, ANR impun obligații de reglementare adecvate întreprinde
rilor considerate ca fiind puternice pe această piață.
14 Articolul 25 din Directiva privind serviciul universal, intitulat „Serviciile de asistență

prin operator și de informații telefonice”, în versiunea în vigoare la data faptelor din
acțiunea principală, prevedea:
„(1) Statele membre se asigură că abonații la serviciile de telefonie accesibile publi

cului au dreptul de a figura în lista abonaților telefonici prevăzută la articolul 5 aline
atul (1) litera (a).
(2) Statele membre se asigură că toate întreprinderile care alocă numere de telefon
abonaților răspund tuturor cererilor rezonabile de punere la dispoziție, pentru furni
zarea de servicii de informații telefonice accesibile publicului și de liste ale abonaților
telefonici, a informațiilor relevante într-un format agreat și în condiții echitabile,
obiective, în funcție de costuri și fără discriminare.
[…]
(5) Alineatele (1), (2) […] se aplică sub rezerva cerințelor din legislația comunitară
privind protecția datelor personale și a vieții private, în special articolul 11 din Direc
tiva 97/66/CE.”
I - 3494
DEUTSCHE TELEKOM
— Directiva asupra confidențialității și comunicațiilor electronice
15 Considerentele (38) și (39) ale Directivei asupra confidențialității și comunicațiilor

electronice prevăd:
„(38) Listele de abonați la serviciile de comunicații electronice sunt publice și larg

răspândite. Dreptul la confidențialitate al persoanelor fizice și la apărarea inte
resului legitim al persoanelor juridice cere ca abonații să aibă dreptul de a hotărî
dacă datele lor personale vor fi publicate în astfel de liste sau nu. Furnizorii de
liste publice trebuie să-i informeze pe abonați cu privire la scopul listei și la
modurile de utilizare posibile ale versiunii electronice a listelor publice, mai
ales prin intermediul funcțiilor de căutare existente în orice software, cum ar
fi funcția de căutare inversă care permite utilizatorului să descopere numele și
adresa unui abonat doar pe baza numărului său de telefon.
(39) Obligația de a-i informa pe abonați cu privire la scopul sau scopurile listelor
publice în care vor apărea datele lor personale trebuie să-i revină părții care
adună datele pentru liste. În cazul în care datele pot fi transmise uneia sau mai
multor părți terțe, abonatul trebuie informat despre această posibilitate și des
pre persoana sau categoriile de persoane care vor primi aceste date. Orice astfel
de transfer se efectuează cu condiția ca datele să nu fie folosite în alte scopuri
decât cele pentru care au fost adunate. Dacă partea care a adunat datele sau
orice terță parte căreia i s-au transmis aceste date dorește să le utilizeze într-un
alt scop, partea care a adunat datele sau terța parte în cauză are obligația de a
obține acordul abonatului.”
I - 3495
16 Articolul 12 din Directiva asupra confidențialității și comunicațiilor electronice, inti

tulat „Listele de abonați”, prevede la alineatele (1)-(3):
„(1) Statele membre se asigură că abonații sunt informați, în mod gratuit și înainte
de a fi incluși în vreo listă, despre scopul sau scopurile unei liste imprimate sau elec
tronice de abonați accesibile publicului sau care poate fi consultată prin serviciile de
informații, în care pot fi incluse datele lor personale și despre orice utilizare posibilă
ulterioară existentă în baza funcțiilor de căutare incluse în versiunea electronică a
listei.
(2) Statele membre se asigură că abonații au posibilitatea să hotărască dacă datele

lor personale se includ într-o listă publică de abonați și în cazul afirmativ, în ce mă
sură aceste date sunt relevante pentru scopul listei enunțat de furnizorul listei și să
verifice, să corecteze sau să retragă astfel de date. Neincluderea într-o listă publică de
abonați, verificarea, corectarea sau retragerea de date personale din aceasta trebuie
să fie gratuită.
(3) Statele membre pot cere ca, pentru orice alt scop al unei liste publice altul decât
căutarea detaliilor de contact al persoanelor în funcție de nume sau de un minimum
de alți identificatori, să fie obligatorie obținerea acordului abonatului pentru fiecare
scop suplimentar.”
17 Articolul 19 din Directiva asupra confidențialității și comunicațiilor electronice pre

vede că Directiva 97/66 se abrogă de la 31 octombrie 2003 și că „[t]rimiterile la di
rectiva abrogată se interpretează ca trimiteri la prezenta directivă”. Trimiterile la ar
ticolul 11 din Directiva 97/66 trebuie astfel înțelese ca trimiteri la articolul 12 din
Directiva asupra confidențialității și comunicațiilor electronice.
I - 3496
DEUTSCHE TELEKOM
Reglementarea națională
18 Potrivit instanței de trimitere, din interpretarea coroborată a articolului 47 alinea

tul (1) și a articolelor 104 și 105 din TKG reiese că orice întreprindere care alocă nu
mere de telefon utilizatorilor finali este obligată să transmită furnizorilor serviciilor
de informații telefonice accesibile publicului sau de liste de abonați telefonici care
formulează cereri nu numai datele cu privire la propriii abonați, ci și datele pe care
le dețin cu privire la abonații unor terți furnizori de servicii telefonice. Transmiterea
unor astfel de date nu este condiționată de consimțământul sau de lipsa unei opoziții
din partea abonaților vizați sau a furnizorilor acestora de servicii telefonice.
Situația de fapt și întrebările preliminare
19 În calitate de administrator al unei rețele de telecomunicații în Germania, Deutsche

Telekom alocă numere de telefon abonaților săi. Aceasta administrează un serviciu
de informații telefonice pe întreg teritoriul german. În plus, aceasta editează liste de
abonați telefonici în formă tipărită și electronică care conțin informații nu numai
cu privire la propriii săi abonați, ci și cu privire la abonații unor întreprinderi terțe.
Deutsche Telekom achiziționează datele necesare în acest scop de la furnizorii de
servicii telefonice care au alocat numere de telefon abonaților în cauză. Aceasta a
încheiat astfel contracte având ca obiect achiziționarea de date referitoare la abonați
cu aproximativ 100 de întreprinderi.
20 Societățile GoYellow GmbH (denumită în continuare „GoYellow”) și Telix AG (de

numită în continuare „Telix”), interveniente în acțiunea principală, administrează un
serviciu de informații pe internet și, respectiv, un serviciu de informații telefonice și
utilizează datele care le sunt puse la dispoziție de Deutsche Telekom în schimbul unei
I - 3497
remunerații. În urma unui dezacord cu privire la întinderea datelor pe care Deutsche

Telekom era obligată să le pună la dispoziția societăților GoYellow și Telix în temeiul
articolului 47 alineatul (1) și al articolelor 104 și 105 din TKG, acestea din urmă au
sesizat Bundesnetzagentur.
21 Prin decizia din 11 septembrie 2006, Bundesnetzagentur a dispus ca Deutsche Te

lekom să pună la dispoziția societăților GoYellow și Telix nu numai datele cu privire
la propriii săi abonați, ci și datele pe care le deținea cu privire la abonații terților fur
nizori de servicii telefonice (denumite în continuare „datele externe”), chiar și în cazul
în care acești din urmă furnizori sau abonații lor doreau ca datele menționate să fie
publicate numai de Deutsche Telekom.
22 Deutsche Telekom a formulat o acțiune la Verwaltungsgericht Köln împotriva re

spectivei decizii a Bundesnetzagentur.
23 Prin hotărârea din 14 februarie 2008, Verwaltungsgericht Köln a respins acțiunea
menționată. În aceste condiții, Deutsche Telekom a formulat o acțiune în „Revision”
(recurs) la Bundesverwaltungsgericht, arătând în special că o obligație de transmi
tere de date extinsă la datele externe încalcă dispozițiile Directivei privind serviciul
universal.
24 Bundesverwaltungsgericht explică în decizia de trimitere că acțiunea principală se

limitează, pe de o parte, la obligația impusă societății Deutsche Telekom de a trans
mite date externe societății GoYellow, precum și societății Telix și, pe de altă parte, la
datele pe care abonatul sau furnizorul său de servicii telefonice dorește să fie publicate
numai de Deutsche Telekom. Potrivit instanței de trimitere, numai în temeiul drep
tului național recursul ar trebui respins. Aceasta ridică totuși problema dacă obligația
impusă de dreptul național aplicabil litigiului cu care este sesizată este conformă cu
dreptul Uniunii.
I - 3498
DEUTSCHE TELEKOM
25 Bundesverwaltungsgericht arată, pe de o parte, că Hotărârea din 25 noiembrie 2004,

KPN Telecom (C-109/03, Rec., p. I-11273), permite să se afirme că o întreprindere
care alocă numere de telefon este obligată, în temeiul articolului 25 alineatul (2) din
Directiva privind serviciul universal, să transmită numai datele cu privire la propriii
săi abonați. Instanța de trimitere apreciază, pe de altă parte, că nu este exclus ca drep
tul Uniunii să permită legiuitorului național să extindă la datele externe obligația de
a pune la dispoziție informații, având în vedere în special finalitatea generală a Direc
tivei-cadru care constă în promovarea concurenței. Astfel, potrivit acestei instanțe,
colectarea unor date dintr-o singură sursă este de natură, pe de o parte, să evite pie
dicile substanțiale, care ar fi în mod normal legate de obținerea datelor de la fiecare
întreprindere în parte care alocă numere de telefon, la momentul constituirii și, mai
ales, de actualizarea permanentă a stocurilor de date necesare pentru furnizarea de
servicii de liste de abonați telefonici, precum și de informații telefonice și, pe de altă
parte, să promoveze în mod durabil structuri concurențiale solide.
26 În ipoteza în care legiuitorul național ar extinde în mod întemeiat obligația de a pune

la dispoziție date și la datele externe deținute de întreprinderea care este supusă aces
tei obligații, instanța de trimitere ridică problema dacă articolul 12 din Directiva asu
pra confidențialității și comunicațiilor electronice condiționează transmiterea datelor
externe menționate de consimțământul abonaților în cauză și al furnizorului lor de
servicii telefonice.
27 În aceste condiții, Bundesverwaltungsgericht a hotărât să suspende judecarea cauzei

și să adreseze Curții următoarele întrebări preliminare:
„1) Articolul 25 alineatul (2) din [Directiva privind serviciul universal] trebuie in
terpretat în sensul că statele membre au dreptul să impună întreprinderilor care
alocă abonaților numere de telefon să pună la dispoziție date privind abonații că
rora întreprinderea în cauză nu le-a alocat ea însăși numere de telefon în vederea
I - 3499
furnizării de servicii de informații telefonice accesibile publicului și a unor liste de

abonați, în măsura în care întreprinderea respectivă deține aceste date?
În cazul unui răspuns afirmativ la întrebarea precedentă:
2) Articolul 12 din [Directiva asupra confidențialității și comunicațiilor electronice]

trebuie interpretat în sensul că impunerea obligației menționate mai sus de către
legiuitorul național este condiționată de împrejurarea ca celălalt furnizor de ser
vicii de telefonie sau abonații săi să consimtă la transmiterea datelor sau, cel puțin,
să nu se opună acestei transmiteri?”
Cu privire la întrebările preliminare
Cu privire la prima întrebare
28 Prin intermediul primei întrebări, instanța de trimitere solicită, în esență, să se sta

bilească dacă articolul 25 alineatul (2) din Directiva privind serviciul universal tre
buie interpretat în sensul că se opune unei reglementări naționale care impune în
treprinderilor care alocă numere de telefon utilizatorilor finali obligația de a pune
la dispoziția unor întreprinderi, a căror activitate constă în furnizarea de servicii de
informații telefonice accesibile publicului și de liste de abonați telefonici, a datelor pe
care le dețin cu privire la abonații unor întreprinderi terțe.
I - 3500
DEUTSCHE TELEKOM
29 Pentru a răspunde la această întrebare, trebuie să se examineze, în primul rând, dacă

datele externe în discuție în acțiunea principală constituie „informații relevante” în
sensul articolului 25 alineatul (2) din Directiva privind serviciul universal, pe care în
treprinderile care alocă numere de telefon sunt obligate, în temeiul acestei dispoziții,
să le transmită întreprinderilor a căror activitate constă în furnizarea de servicii de
informații telefonice accesibile publicului și de liste de abonați telefonici.
30 În această privință, trebuie să se constate că articolul 25 alineatul (2) din Directiva

privind serviciul universal impune o obligație de transmitere a datelor numai „între
prinderilor care alocă numere de telefon abonaților”. Având în vedere legătura astfel
stabilită între această obligație de transmitere de date, pe de o parte, și alocarea unui
număr de telefon unui abonat, pe de altă parte, trebuie să se considere că „informațiile
relevante” a căror comunicare este impusă de dispoziția menționată privesc numai
datele referitoare la propriii abonați ai întreprinderilor în cauză. Astfel, printr-o
asemenea dispoziție, unei întreprinderi precum Deutsche Telekom îi este impusă o
obligație în calitatea sa de întreprindere care alocă numere de telefon, iar nu ca furni
zor de servicii de informații telefonice și de liste de abonați telefonici.
31 O astfel de interpretare este susținută de obiectivul urmărit de articolul 25 aline

atul (2) din Directiva privind serviciul universal care este de a asigura respectarea
obligației de serviciu universal prevăzută la articolul 5 alineatul (1) din această direc
tivă, dispoziție care prevede că statele membre se asigură că cel puțin o listă comple
tă a abonaților telefonici sau un serviciu de informații telefonice complete este pus
la dispoziția tuturor utilizatorilor finali. Or, o obligație impusă fiecărei întreprinderi
care alocă numere de telefon de a transmite datele cu privire la propriii abonați per
mite întreprinderii desemnate să furnizeze serviciul universal vizat să constituie o
bază de date exhaustivă și, prin urmare, să asigure respectarea obligației care rezultă
din respectivul articol 5 alineatul (1).
I - 3501
32 În susținerea argumentației acestora, potrivit căreia obligația de transmitere de date

prevăzută la articolul 25 alineatul (2) din Directiva privind serviciul universal se ra
portează și la datele externe, Bundesnetzagentur și guvernul italian se referă la con
siderentul (11) al acestei directive, precum și la obiectivul general de promovare a
concurenței vizat de CRC.
33 În această privință, trebuie amintit că în considerentul (11) al Directivei privind ser

viciul universal se prevede că „[u]tilizatorii și consumatorii doresc liste ale abonaților
telefonici cuprinzătoare și un serviciu de informații telefonice care să cuprindă toți
abonații telefonici înregistrați și numerele acestora”. Totuși, acest considerent trebuie
coroborat cu obligația de serviciu universal prevăzută la articolul 5 alineatul (1) din
directiva menționată, care nu impune statelor membre obligația de a garanta că toate
listele de abonați telefonici și serviciile de informații telefonice sunt complete. Astfel,
în temeiul acestei dispoziții, statele membre trebuie să se asigure numai ca cel puțin o
listă completă a abonaților telefonici sau un serviciu de informații telefonice complete
să fie pus la dispoziția tuturor utilizatorilor finali. Or, astfel cum reiese din cuprinsul
punctului 31 din prezenta hotărâre, o obligație de transmitere care vizează întreprin
derile care alocă numere de telefon și care privește numai datele cu privire la propriii
abonați ai acestora din urmă este suficientă pentru a garanta respectarea obligației de
serviciu universal care rezultă din respectivul articol 5 alineatul (1).
34 Obiectivul general al CRC, care este de a promova concurența, nu permite nici să se

considere că o întreprindere care alocă numere de telefon abonaților, precum Deuts
che Telekom, ar fi obligată, în temeiul articolului 25 alineatul (2) din Directiva privind
serviciul universal să transmită unor întreprinderi terțe alte date decât cele cu privire
la propriii săi abonați.
35 Astfel, articolul 25 alineatul (2) din Directiva privind serviciul universal trebuie in

terpretat în lumina obiectivului său specific, care este acela de a asigura respecta
rea obligației de serviciu universal prevăzute la articolul 5 alineatul (1) din această
directivă.
I - 3502
DEUTSCHE TELEKOM
36 Pe de altă parte, considerentul (35) al Directivei privind serviciul universal prevede

că furnizarea de servicii de informații telefonice și de liste de abonați telefonici este
deja deschisă concurenței. Or, pe o piață concurențială, obligația întreprinderilor care
alocă numere de telefon de a transmite, în conformitate cu articolul 25 alineatul (2)
din această directivă, datele cu privire la propriii abonați permite, în principiu, nu
numai întreprinderii desemnate să asigure respectarea obligației de serviciu universal
prevăzute la articolul 5 alineatul (1) din directiva menționată, ci și oricărui furnizor
de servicii telefonice să constituie o bază de date exhaustivă și să desfășoare activități
pe piața serviciilor de informații telefonice și de liste de abonați telefonici. În această
privință, este suficient ca furnizorul vizat să solicite fiecărei întreprinderi care alocă
numere de telefon datele relevante cu privire la abonații săi.
37 Din considerațiile de mai sus reiese, așadar, că „informațiile relevante” în sensul arti
colului 25 alineatul (2) din Directiva privind serviciul universal, a căror comunicare
este impusă de această dispoziție, privesc numai informațiile referitoare la propriii
abonați ai întreprinderilor care alocă numere de telefon.
38 În al doilea rând, trebuie să se stabilească dacă articolul 25 alineatul (2) din Directiva

privind serviciul universal efectuează o armonizare completă sau dacă, dimpotrivă,
această dispoziție permite statelor membre să impună întreprinderilor care alocă nu
mere de telefon o obligație de a transmite întreprinderilor care intenționează să furni
zeze servicii de informații telefonice accesibile publicului și liste de abonați telefonici
nu numai „informațiile relevante” în sensul dispoziției menționate, ci și date externe.
39 În această privință, trebuie amintit de la bun început că, la punctul 35 din Hotărâ
rea KPN Telecom, citată anterior, privind interpretarea articolului 6 alineatul (3) din
Directiva „FRD”, al cărui conținut este analog celui al articolului 25 alineatul (2) din
Directiva privind serviciul universal, Curtea a statuat că acest articol 6 alineatul (3) nu
I - 3503
urmărea o armonizare completă și că statele membre erau în continuare competente

să stabilească dacă, într-un context național specific, anumite informații suplimenta
re trebuiau puse la dispoziția terților.
40 Cu toate acestea, Deutsche Telekom, guvernul Regatului Unit și Comisia Europeană

susțin că o astfel de interpretare a articolului 25 alineatul (2) din Directiva privind
serviciul universal nu poate fi reținută, din moment ce aceasta face parte din CRC,
care, astfel cum reiese din articolul 1 alineatul (1) din Directiva-cadru, este un cadru
armonizat pentru reglementarea serviciilor de comunicații electronice. Legiuitorul
național nu ar avea astfel dreptul de a impune întreprinderilor în cauză obligații mai
extinse decât cele prevăzute la acest articol 25 alineatul (2).
41 În această privință, trebuie să se constate, în primul rând, că articolul 25 alineatul (2)

din Directiva privind serviciul universal face parte din capitolul IV din aceasta con
sacrat intereselor și drepturilor utilizatorilor finali. Or, Curtea a statuat deja că Direc
tiva-cadru și Directiva privind serviciul universal nu prevăd o armonizare completă
a aspectelor cu privire la protecția consumatorilor (Hotărârea din 11 martie 2010,
Telekomunikacja Polska, C-522/08, Rep., p. I-2079, punctul 29).
42 În al doilea rând, trebuie amintit că articolul 25 alineatul (2) din Directiva privind
serviciul universal urmărește să asigure respectarea obligației care revine statelor
membre, în temeiul articolului 5 alineatul (1) din aceeași directivă, de a se asigura că
cel puțin o listă completă a abonaților telefonici și cel puțin un serviciu de informații
telefonice complete sunt puse la dispoziția utilizatorilor finali. Întrucât aceasta este o
cerință minimă care trebuie respectată de statele membre, în principiu, acestea sunt
I - 3504
DEUTSCHE TELEKOM
în continuare libere să adopte dispoziții mai stricte pentru a facilita intrarea unor noi
operatori pe piața serviciilor de informații telefonice accesibile publicului și de liste
de abonați telefonici.
43 Astfel, CRC nu se opune unei reglementări naționale precum cea în discuție în

acțiunea principală care, prin faptul că se adresează oricărei întreprinderi care alocă
numere de telefon utilizatorilor finali, afectează întreprinderile de comunicații elec
tronice în mod general și nediscriminatoriu, cu condiția ca totuși o astfel de regle
mentare să nu afecteze competențele ANR care rezultă în mod direct din dispozițiile
CRC (Hotărârea Telekomunikacja Polska, citată anterior, punctele 27 și 28; a se vedea
de asemenea Hotărârea din 3 decembrie 2009, Comisia/Germania, C-424/07, Rep.,
p. I-11431, punctele 78 și 91-99).
44 În speță, trebuie să se considere că o reglementare națională precum cea în discuție

în acțiunea principală nu afectează nicio competență atribuită în mod expres de CRC
în favoarea ANR în cauză.
45 Astfel, pe de o parte, articolul 25 alineatul (2) din Directiva privind serviciul universal

nu atribuie nicio competență specială și nu impune nicio obligație specifică ANR.
Această dispoziție impune obligații numai statelor membre ca atare.
46 Pe de altă parte, o reglementare națională precum cea în discuție în acțiunea prin

cipală nu afectează în niciun caz competențele ANR în cauză referitoare la analiza
diferitelor piețe de comunicații electronice și la impunerea unor obligații de regle
mentare întreprinderilor cu putere semnificativă pe piețe care nu sunt efectiv compe
titive, care rezultă din articolul 16 din Directiva-cadru și din articolul 17 din Directiva
privind serviciul universal. Cu toate acestea, simpla împrejurare că, în cazul în care
I - 3505
întreprinderile în cauză respectă reglementarea națională în discuție în acțiunea prin

cipală, ANR nu va mai fi determinată să recurgă la o măsură specifică după o even
tuală analiză a pieței cu amănuntul vizate, și anume la impunerea unei obligații unei
întreprinderi cu putere semnificativă de a transmite date externe unor întreprinderi
terțe, nu permite să se considere că ar fi afectate în mod direct competențele care
revin ANR în cauză în temeiul articolului 17 din Directiva privind serviciul universal
(a se vedea, prin analogie, în ceea ce privește o interdicție generală a vânzărilor legate,
Hotărârea Telekomunikacja Polska, citată anterior, punctul 28).
47 Din toate considerațiile de mai sus rezultă că trebuie să se răspundă la prima întrebare
că articolul 25 alineatul (2) din Directiva privind serviciul universal trebuie interpre
tat în sensul că nu se opune unei reglementări naționale care impune întreprinderilor
care alocă numere de telefon utilizatorilor finali obligația de a pune la dispoziția unor
întreprinderi a căror activitate constă în furnizarea de servicii de informații telefo
nice accesibile publicului și de liste de abonați telefonici nu numai datele cu privire
la propriii abonați ai acestora, ci și datele pe care le dețin cu privire la abonații unor
întreprinderi terțe.
Cu privire la a doua întrebare
48 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită, în esență, să se

stabilească dacă articolul 12 din Directiva asupra confidențialității și comunicațiilor
electronice condiționează transmiterea către o întreprindere a cărei activitate constă
în furnizarea de servicii de informații telefonice accesibile publicului și de liste de
abonați telefonici de o întreprindere care alocă numere de telefon a datelor pe care
aceasta le deține cu privire la abonații unei întreprinderi terțe de consimțământul sau
de lipsa unei opoziții din partea acesteia sau a abonaților săi.
I - 3506
DEUTSCHE TELEKOM
49 În această privință, trebuie arătat că articolul 8 alineatul (1) din Carta drepturilor fun
damentale a Uniunii Europene (denumită în continuare „Carta”) prevede că „[o]rice
persoană are dreptul la protecția datelor cu caracter personal care o privesc”.
50 Directiva 95/46 urmărește să asigure, în statele membre, respectarea dreptului la

protecția datelor cu caracter personal. Astfel cum reiese din articolul 1 alineatul (2)
din Directiva asupra confidențialității și comunicațiilor electronice, aceasta precizea
ză și completează Directiva 95/46 în sectorul comunicațiilor electronice.
51 Dreptul la protecția datelor cu caracter personal nu este totuși o prerogativă absolută,

ci trebuie să fie luat în considerare în raport cu funcția sa în societate (Hotărârea din
9 noiembrie 2010, Volker und Markus Schecke și Eifert, C-92/09 și C-93/09, Rep.,
p. I-11063, punctul 48 și jurisprudența citată).
52 Articolul 8 alineatul (2) din Cartă autorizează prelucrarea datelor cu caracter perso

nal dacă sunt îndeplinite anumite condiții. În această privință, dispoziția respectivă
prevede că datele cu caracter personal „trebuie tratate în mod corect, în scopurile
precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt
motiv legitim prevăzut de lege”.
53 Transmiterea datelor cu caracter personal ale abonaților către o întreprindere terță

care intenționează să furnizeze servicii de informații telefonice accesibile publicului
și de liste de abonați telefonici constituie o prelucrare a datelor cu caracter personal
în sensul articolului 8 alineatul (2) din Cartă, care nu se poate efectua decât „pe baza
consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut
de lege”.
I - 3507
54 Or, din Directiva asupra confidențialității și comunicațiilor electronice reiese că

aceasta condiționează publicarea datelor cu caracter personal care privesc abonații
într-o listă de abonați telefonici tipărită sau electronică de consimțământul respecti
vilor abonați.
55 Astfel, articolul 12 alineatul (2) din directiva menționată prevede că abonații sunt
liberi să hotărască dacă datele lor personale și care dintre aceste date se includ într-o
listă publică de abonați telefonici.
56 În schimb, nicio dispoziție din Directiva asupra confidențialității și comunicațiilor

electronice nu condiționează publicarea datelor cu caracter personal cu privire la
abonați de vreun consimțământ al întreprinderii care a alocat numerele de telefon
în cauză sau care deține date externe. Astfel, o asemenea întreprindere nu se poate
prevala, cu titlu personal, de dreptul de a-și da consimțământul, care este recunoscut
numai abonaților.
57 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită de asemenea

să se stabilească dacă articolul 12 din directiva menționată condiționează transmite
rea de date cu caracter personal către o întreprindere terță a cărei activitate constă
în furnizarea de servicii de informații telefonice accesibile publicului și de liste de
abonați telefonici de un nou consimțământ al abonatului, în cazul în care acesta din
urmă a consimțit la publicarea datelor sale cu caracter personal într-o singură listă de
abonați, în speță cea întocmită de Deutsche Telekom.
58 În această privință, trebuie amintit de la bun început că din articolul 12 alineatul (1)

din Directiva asupra confidențialității și comunicațiilor electronice, precum și din
considerentul (38) al acesteia reiese că, înainte de a fi înscriși în listele publice de
abonați, aceștia sunt informați cu privire la scopul listelor și la modurile de utiliza
re posibile ale acestora, în special în baza funcțiilor de căutare incluse în versiunea
electronică a listelor. O astfel de informație prealabilă permite abonatului în cauză să
I - 3508
DEUTSCHE TELEKOM
dea un consimțământ liber, specific și informat în sensul articolului 2 litera (h) și al

articolului 7 litera (a) din Directiva 95/46, la publicarea, în liste publice de abonați, a
unor date cu caracter personal care îl privesc.
59 Considerentul (39) al Directivei asupra confidențialității și comunicațiilor electronice

precizează, în ceea ce privește obligația de informare prealabilă a abonaților în teme
iul articolului 12 alineatul (1) din această directivă, că, „[î]n cazul în care datele [cu
caracter personal] pot fi transmise uneia sau mai multor părți terțe, abonatul trebuie
informat despre această posibilitate și despre persoana sau categoriile de persoane
care vor primi aceste date”.
60 Cu toate acestea, după obținerea informațiilor prevăzute la articolul 12 alineatul (1)

din directiva menționată, abonatul poate, astfel cum reiese din cuprinsul alineatului
(2) al aceluiași articol, să hotărască numai dacă datele sale personale și care dintre
aceste date se includ într-o listă publică de abonați.
61 Astfel cum a subliniat avocatul general la punctul 122 din concluzii, dintr-o interpre
tare contextuală și sistematică a articolului 12 din Directiva asupra confidențialității
și comunicațiilor electronice reiese că, în temeiul alineatului (2) al acestui articol,
consimțământul privește finalitatea publicării datelor cu caracter personal într-o listă
publică de abonați, iar nu identitatea furnizorului unei liste de abonați specifice.
62 Astfel, în primul rând, modul de redactare a articolului 12 alineatul (2) din Directiva

asupra confidențialității și comunicațiilor electronice nu permite să se considere că
abonatul ar dispune de un drept selectiv de decizie în beneficiul anumitor furnizori de
servicii de informații telefonice accesibile publicului și de liste de abonați telefonici.
În această privință, trebuie arătat că însăși publicarea datelor cu caracter personal
I - 3509
într-o listă de abonați cu o finalitate specifică se poate dovedi prejudiciabilă pentru

un abonat. Totuși, în cazul în care acesta din urmă a consimțit ca datele sale să fie pu
blicate într-o listă de abonați telefonici cu o finalitate specifică, nu va avea în general
interesul de a se opune publicării acelorași date într-o altă listă de abonați similară.
63 În al doilea rând, considerentul (39) al directivei menționate confirmă că transmiterea

datelor cu caracter personal ale abonaților către terți este permisă „cu condiția ca da
tele să nu fie folosite în alte scopuri decât cele pentru care au fost adunate”.
64 În al treilea rând, Directiva asupra confidențialității și comunicațiilor electronice

menționează un caz în care poate fi prevăzut un consimțământ nou sau specific al
abonatului. Astfel, în temeiul articolului 12 alineatul (3) din această directivă, statele
membre pot cere ca, pentru orice alt scop al unei liste publice altul decât căutarea
detaliilor de contact ale persoanelor în funcție de nume sau de un minimum de alți
identificatori, să fie obligatorie obținerea acordului abonatului pentru fiecare scop
suplimentar. Din considerentul (39) al aceleiași directive reiese că trebuie obținut un
nou consimțământ al abonatului „[d]acă partea care a adunat datele sau orice terță
parte căreia i s-au transmis aceste date dorește să le utilizeze într-un alt scop”.
65 Rezultă că, din moment ce abonatul a fost informat de întreprinderea care i-a alocat
un număr de telefon cu privire la posibilitatea transmiterii datelor cu caracter perso
nal care îl privesc către o întreprindere terță, precum Deutsche Telekom, în vederea
publicării acestora într-o listă publică de abonați, și acesta a consimțit la publicarea
respectivelor date într-o astfel de listă, în speță cea a acestei societăți, transmiterea
acelorași date către o altă întreprindere care intenționează să publice o listă publică
tipărită sau electronică sau să permită ca astfel de liste de abonați să fie consultate
prin intermediul unor servicii de informații nu trebuie să facă din nou obiectul unui
I - 3510
DEUTSCHE TELEKOM
consimțământ din partea abonatului, cu condiția ca datele în cauză să nu fie folosite

în alte scopuri decât cele pentru care au fost adunate în vederea primei publicări.
Astfel, consimțământul, în temeiul articolului 12 alineatul (2) din Directiva asupra
confidențialității și comunicațiilor electronice, al unui abonat informat corespunzător
la publicarea într-o listă publică de abonați a datelor cu caracter personal care îl pri
vesc se raportează la finalitatea acestei publicări și se extinde astfel la orice prelucrare
ulterioară a respectivelor date de întreprinderi terțe care operează pe piața servici
ilor de informații telefonice accesibile publicului și de liste de abonați telefonici, cu
condiția ca astfel de prelucrări să urmărească aceeași finalitate.
66 În plus, din moment ce un abonat a consimțit la transmiterea datelor cu caracter per

sonal care îl privesc către o întreprindere determinată în vederea publicării acestora
într-o listă publică de abonați a respectivei întreprinderi, transmiterea acelorași date
către o altă întreprindere care intenționează să publice o listă publică de abonați, fără
ca acest abonat să fi dat un nou consimțământ, nu poate aduce atingere înseși esenței
dreptului la protecția datelor cu caracter personal, astfel cum este recunoscut la arti
colul 8 din Cartă.
67 Prin urmare, trebuie să se răspundă la a doua întrebare că articolul 12 din Directiva

asupra confidențialității și comunicațiilor electronice trebuie interpretat în sensul că
nu se opune unei reglementări naționale prin care o întreprindere care publică lis
te publice de abonați este obligată să transmită date cu caracter personal pe care le
deține cu privire la abonații altor furnizori de servicii telefonice către o întreprindere
terță a cărei activitate constă în publicarea unei liste publice tipărite sau electronice de
abonați telefonici sau în înlesnirea consultării unor astfel de liste de abonați prin in
termediul unor servicii de informații, fără ca o astfel de transmitere să fie condiționată
de un nou consimțământ al abonaților, cu condiția totuși ca, pe de o parte, aceștia din
urmă să fi fost informați înainte de prima înscriere a datelor lor într-o listă publică de
abonați cu privire la finalitatea acesteia, precum și cu privire la faptul că aceste date ar
fi susceptibile de a fi comunicate unui alt furnizor de servicii telefonice și, pe de altă
parte, cu condiția ca, după transmiterea lor, datele menționate să nu fie folosite în alte
scopuri decât cele pentru care au fost adunate în vederea primei publicări.
I - 3511
Pentru aceste motive, Curtea (Camera a treia) declară:
1) Articolul 25 alineatul (2) din Directiva 2002/22/CE a Parlamentului Euro

pean și a Consiliului din 7 martie 2002 privind serviciul universal și dreptu
rile utilizatorilor cu privire la rețelele și serviciile electronice de comunicații
(Directiva privind serviciul universal) trebuie interpretat în sensul că nu se
opune unei reglementări naționale care impune întreprinderilor care alocă
numere de telefon utilizatorilor finali obligația de a pune la dispoziția unor
întreprinderi a căror activitate constă în furnizarea de servicii de informații
telefonice accesibile publicului și de liste de abonați telefonici nu numai da
tele cu privire la propriii abonați ai acestora, ci și datele pe care le dețin cu
privire la abonații unor întreprinderi terțe.
2) Articolul 12 din Directiva 2002/58/CE a Parlamentului European și a Con

siliului din 12 iulie 2002 privind prelucrarea datelor personale și proteja
rea confidențialității în sectorul comunicațiilor publice (Directiva asupra
confidențialității și comunicațiilor electronice) trebuie interpretat în sensul
că nu se opune unei reglementări naționale prin care o întreprindere care
publică liste publice de abonați este obligată să transmită date cu caracter
personal pe care le deține cu privire la abonații altor furnizori de servicii
telefonice către o întreprindere terță a cărei activitate constă în publicarea
unei liste publice tipărite sau electronice de abonați telefonici sau în înlesni
rea consultării unor astfel de liste de abonați prin intermediul unor servicii
I - 3512
DEUTSCHE TELEKOM
de informații, fără ca o astfel de transmitere să fie condiționată de un nou

consimțământ al abonaților, cu condiția totuși ca, pe de o parte, aceștia din
urmă să fi fost informați înainte de prima înscriere a datelor lor într-o listă
publică de abonați cu privire la finalitatea acesteia, precum și cu privire la
faptul că aceste date ar fi susceptibile de a fi comunicate unui alt furnizor de
servicii telefonice și, pe de altă parte, cu condiția ca, după transmiterea lor,
datele menționate să nu fie folosite în alte scopuri decât cele pentru care au
fost adunate în vederea primei publicări.
Semnături
I - 3513
16 octombrie 2012 *
„Neîndeplinirea obligațiilor de către un stat membru — Directiva 95/46/CE — Prelucrarea datelor cu

caracter personal și libera circulație a acestor date — Protecția persoanelor fizice — Articolul 28
alineatul (1) — Autoritate națională de supraveghere — Independență — Autoritate de supraveghere și
cancelarie federală — Legături personale și de natură organizatorică”
În cauza C-614/10,
având ca obiect o acțiune în constatarea neîndeplinirii obligațiilor formulată în temeiul articolului 258
TFUE, introdusă la 22 decembrie 2010,
Comisia Europeană, reprezentată de B. Martenczuk și de B.-R. Killmann, în calitate de agenți, cu

domiciliul ales în Luxemburg,
reclamantă,
susținută de:
Autoritatea Europeană pentru Protecția Datelor (AEPD), reprezentată de H. Kranenborg, de

I. Chatelier și de H. Hijmans, în calitate de agenți,
intervenientă,
împotriva
Republicii Austria, reprezentată de G. Hesse, în calitate de agent, cu domiciliul ales în Luxemburg,
pârâtă,
susținută de:
Republica Federală Germania, reprezentată de T. Henze și de J. Möller, în calitate de agenți,
intervenientă,
compusă din domnul V. Skouris, președinte, domnul K. Lenaerts (raportor), vicepreședinte, domnii
A. Tizzano, M. Ilešič și G. Arestis, doamna M. Berger și domnul E. Jarašiūnas, președinți de cameră,
domnii E. Juhász, A. Borg Barthet, J.-C. Bonichot, M. Safjan și D. Šváby și doamna A. Prechal,
judecători,
RO
ECLI:EU:C:2012:631 1
COMISIA/AUSTRIA
avocat general: domnul J. Mazák,
grefier: domnul K. Malacek, administrator,
având în vedere procedura scrisă și în urma ședinței din 25 aprilie 2012,
după ascultarea concluziilor avocatului general în ședința din 3 iulie 2012,
pronunță prezenta
Hotărâre
1 Prin cererea introductivă, Comisia Europeană solicită Curții să constate că Republica Austria nu și-a
îndeplinit obligațiile care îi revin în temeiul articolului 28 alineatul (1) al doilea paragraf din Directiva
95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a
acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10) întrucât nu a adoptat toate dispozițiile
necesare pentru ca legislația în vigoare în Austria să respecte criteriul de independență a
Datenschutzkommission (Comisia de protecție a datelor, denumită în continuare „DSK”), instituită în
calitate de autoritate de supraveghere a protecției datelor cu caracter personal.
Cadrul juridic
Dreptul Uniunii
2 Articolul 28 alineatul (1) din Directiva 95/46, intitulat „Autoritatea de supraveghere”, prevede:
„Fiecare stat membru prevede una sau mai multe autorități publice [care] să fie responsabile de
supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei
directive.
Aceste autorități acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt
învestite.”
3 Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000
privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către
instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1, Ediție
specială, 13/vol. 30, p. 142) instituie, în capitolul V, o autoritate de supraveghere independentă, și
anume Autoritatea Europeană pentru Protecția Datelor (AEPD).
4 Articolul 43 din Regulamentul nr. 45/2001, care reglementează statutul și condițiile generale de
exercitare a atribuțiilor de către AEPD, prevede la alineatul (3):
„Bugetul [AEPD] figurează la o poziție separată a secțiunii VIII din bugetul general al Uniunii
Europene.”
2 ECLI:EU:C:2012:631
COMISIA/AUSTRIA
Dreptul austriac
Legea constituțională federală
5 Articolul 20 alineatul 2 din Legea constituțională federală (Bundes-Verfassungsgesetz, denumită în

continuare „BVG”), în versiunea modificată a acesteia din 1 ianuarie 2008, este redactat după cum
urmează:
„Prin lege, pot fi scutite de obligația de a respecta instrucțiunile organelor superioare, organele
[...]
2. care controlează respectarea legilor în vigoare de către administrație și atribuirea contractelor de

achiziții publice,
3. care se pronunță în ultimă instanță, atunci când sunt organizate în mod colegial, sunt compuse din
cel puțin un judecător, iar deciziile lor nu pot face obiectul nici al unei anulări, nici al unei modificări
pe cale administrativă,
[...]
8. în privința cărora și în măsura în care dreptul Uniunii Europene impune această măsură.
Legea constituțională a landului poate crea alte organe autonome. Legea prevede un drept adecvat de
control al activității organului autonom de către organele superioare, cel puțin dreptul de a se informa
cu privire la toate aspectele legate de administrarea organelor autonome și – cu excepția organelor
prevăzute la punctele 2, 3 și 8 – dreptul de a revoca organe autonome pentru motive grave.”
Legea din 1979 privind statutul funcționarilor
6 Articolul 45 alineatul 1 din Legea din 1979 privind statutul funcționarilor (Beamten-Dienstrechtsgesetz
1979, denumită în continuare „BDG 1979”) prevede:
„Funcționarul ierarhic superior se asigură că colaboratorii săi își îndeplinesc atribuțiile care le revin cu
respectarea legilor și în mod eficient și economic. El își îndrumă colaboratorii în exercitarea atribuțiilor
lor, le dă instrucțiuni dacă este nevoie, remediază eventualele greșeli și carențe și asigură respectarea
programului de lucru. Acesta încurajează promovarea colaboratorilor săi în funcție de performanțele
lor și îi orientează către atribuțiile care corespund cel mai bine propriilor capacități.”
Legea din 2000 privind protecția datelor
7 Legea din 2000 privind protecția datelor (Datenschutzgesetz 2000, denumită în continuare „DSG
2000”) vizează transpunerea în dreptul austriac a Directivei 95/46.
8 În conformitate cu articolul 36 alineatul 1 din DSG 2000, DSK este compusă din șase membri, care
sunt desemnați de președintele federal, la propunerea guvernului federal, pentru un mandat de cinci
ani.
9 În temeiul articolului 36 alineatul 2 din DSG 2000, cinci membri ai DSK sunt propuși de autoritățile
care reprezintă în mod legal interesele profesionale, de landurile austriece și de președintele Oberster
Gerichtshof. Potrivit articolului 36 alineatul 3 din DSG 2000, cel de al șaselea membru „este propus
dintre funcționarii federali juriști”.
ECLI:EU:C:2012:631 3
COMISIA/AUSTRIA
10 Fiind concepută ca o activitate cu normă redusă, funcția de membru al DSK se exercită, în

conformitate cu articolul 36 alineatul 3 bis din DSG 2000, în paralel cu alte activități profesionale.
11 În temeiul articolului 37 alineatul 1 din DSG 2000, membrii DSK „sunt „independenți și, în exercitarea
atribuțiilor lor, nu sunt ținuți de niciun fel de instrucțiuni”. Articolul 37 alineatul 2 din DSG 2000
prevede că agenții secretariatului DSK „nu sunt supuși decât instrucțiunilor tehnice ale președintelui
sau ale membrului administrator al [DSK]”.
12 Articolul 38 alineatul 1 din DSG 2000 prevede că DSK adoptă un regulament de ordine interioară prin
care încredințează administrarea afacerilor curente unuia dintre membrii săi, „membrul administrator”.
13 Articolul 38 alineatul 2 din DSG 2000 prevede:
„În sprijinul administrării [DSK], cancelarul federal creează un secretariat și pune la dispoziția acestuia
echipamentul și personalul necesare. Acesta are dreptul să se informeze în orice moment la
președintele sau la membrul administrator cu privire la toate aspectele legate de administrarea [DSK].”
Regulamentul de ordine interioară al DSK
14 Articolul 4 alineatul 1 din Regulamentul de ordine interioară al DSK prevede că funcționarul federal
desemnat în conformitate cu articolul 36 alineatul 3 din DSG 2000 exercită funcția de membru
administrator.
15 Articolul 7 alineatul 1 din acest regulament de ordine interioară prevede că, fără a aduce atingere
controlului ierarhic exercitat de cancelaria federală, agenții secretariatului nu primesc instrucțiuni
decât de la președintele sau de la membrul administrator al DSK.
Procedura precontencioasă
16 La 5 iulie 2005, Comisia a adresat o scrisoare de punere în întârziere Republicii Austria, în care
susținea că organizarea, în drept și în fapt, a DSK nu respectă criteriul de independență impus la
articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46.
17 Printr-o scrisoare din 2 noiembrie 2005, Republica Austria a transmis Comisiei observațiile sale în
răspuns, afirmând că DSK respectă cerințele directivei menționate.
18 La 8 ianuarie 2008, Comisia a adresat o nouă scrisoare de punere în întârziere Republicii Austria,
solicitându-i să îi furnizeze informații mai detaliate cu privire la consecințele pe care le are asupra
DSK intrarea în vigoare a modificărilor BVG din 1 ianuarie 2008.
19 În observațiile suplimentare din 9 ianuarie 2008 și din 7 martie 2008, Republica Austria a explicat că
versiunea modificată a articolului 20 alineatul 2 din BVG nu are niciun efect asupra independenței
DSK.
20 Ulterior, la 9 octombrie 2009, Comisia a adresat Republicii Austria un aviz motivat, reiterând
obiecțiunile pe care le formulase anterior.
21 Întrucât argumentația dezvoltată de Republica Austria în scrisoarea din 9 decembrie 2009, transmisă ca
răspuns la avizul motivat, nu a schimbat convingerea Comisiei, aceasta a introdus prezenta acțiune.
22 Prin Ordonanța președintelui Curții din 18 mai 2011 a fost admisă cererea de intervenție a Republicii
Federale Germania în susținerea concluziilor Republicii Austria.
4 ECLI:EU:C:2012:631
COMISIA/AUSTRIA
23 Prin Ordonanța președintelui Curții din 7 iulie 2011 a fost admisă cererea de intervenție a AEPD în
susținerea concluziilor Comisiei.
24 Prin scrisoarea din 25 noiembrie 2011, Republica Austria a solicitat, în temeiul articolului 44
alineatul (3) al doilea paragraf din Regulamentul de procedură al Curții, soluționarea cauzei de către
Marea Cameră.
Cu privire la acțiune
25 Comisia și AEPD susțin că Republica Austria a transpus în mod eronat articolul 28 alineatul (1) al
doilea paragraf din Directiva 95/46, întrucât reglementarea națională în vigoare nu permite DSK să își
exercite atribuțiile „în condiții de independență deplină”, în sensul dispoziției menționate. În acest scop,
ele fac referire, în primul rând, la faptul că, potrivit reglementării în vigoare, membrul administrator al
DSK trebuie să fie întotdeauna un funcționar al cancelariei federale. Toate afacerile curente ale DSK ar
fi astfel, de facto, administrate de un funcționar federal, care ar continua să fie ținut de instrucțiunile
angajatorului său și supus controlului ierarhic prevăzut la articolul 45 alineatul 1 din BDG 1979.
Articolul 37 alineatul 1 din DSG 2000 nu ar prevedea decât o simplă autonomie funcțională în
beneficiul autorității de supraveghere.
26 În al doilea rând, Comisia și AEPD arată că secretariatul DSK este integrat din punct de vedere
structural în serviciile cancelariei federale. Din cauza acestei integrări, DSK nu ar fi independentă nici
pe plan organizatoric, nici pe plan material. Astfel, toți agenții secretariatului DSK ar fi plasați, după
cum rezultă din articolul 38 alineatul 2 din DSG 2000 și din articolul 7 alineatul 1 din Regulamentul
de ordine interioară, sub autoritatea cancelariei federale și ar fi supuși controlului ierarhic al acesteia.
27 În al treilea rând, Comisia și AEPD se referă la dreptul la informare al cancelarului federal, care rezultă
din articolul 20 alineatul 2 din BVG și din articolul 38 alineatul 2 din DSG 2000.
28 Republica Austria și Republica Federală Germania solicită respingerea acțiunii.
29 Acestea subliniază că DSK este o „autoritate colegială cu atribuții jurisdicționale” în sensul BVG. Un
asemenea organ ar fi o instanță independentă, în sensul articolului 267 TFUE, precum și al articolului 6
alineatul 1 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale,
semnată la Roma la 4 noiembrie 1950, care ar îndeplini astfel și condiția de independență prevăzută la
articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46.
30 În opinia Republicii Austria, articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 se referă la
o independență funcțională. DSK ar dispune de o asemenea independență având în vedere că, potrivit
articolului 37 alineatul 1 din DSG 2000, membrii săi sunt independenți și nu sunt ținuți de niciun fel
de instrucțiuni în exercitarea atribuțiilor lor.
31 Niciuna dintre caracteristicile avansate de Comisie nu ar fi susceptibilă să pună la îndoială

independența DSK în sensul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46.
32 În primul rând, membrul administrator nu ar fi în mod necesar un funcționar al cancelariei federale. În

conformitate cu articolul 4 alineatul 1 din Regulamentul de ordine interioară și cu articolul 36
alineatul 3 din DSG 2000, el ar fi propus dintre funcționarii federali juriști. Pe de altă parte, DSK ar
putea ea însăși să decidă să numească în mod liber membrul său administrator, modificându-și în
ECLI:EU:C:2012:631 5
COMISIA/AUSTRIA
acest sens în mod autonom Regulamentul de ordine interioară. Faptul că membrul administrator,
asemănător oricărui alt funcționar, ar depinde, în privința promovării sale, de decizia funcționarului
ierarhic superior acestuia și, în ultimă instanță, de decizia unui ministru nu i-ar afecta independența.
33 În al doilea rând, în ceea ce privește integrarea secretariatului DSK în serviciile cancelariei federale,
Republica Austria susține că orice organ al administrației federale face parte, din punctul de vedere al
dreptului bugetar, dintr-un departament ministerial. Astfel, guvernul – în colaborare cu Parlamentul –
ar avea sarcina de a se asigura că diferitele organe executive dispun de mijloace materiale și de personal
suficiente. Pe de altă parte, secretariatul s-ar ocupa exclusiv de gestionarea programelor de acțiune ale
DSK. Agenții secretariatului s-ar conforma instrucțiunilor președintelui și ale membrului administrator
al DSK. Faptul că, din punct de vedere juridic, agenții secretariatului ar face parte din cancelaria
federală, atât din perspectivă ierarhică, cât și din perspectiva remunerării lor, nu le-ar afecta
independența. Controlul ierarhic, în sensul unui control disciplinar, ar reprezenta o garanție a bunei
funcționări a DSK.
34 În al treilea rând, referitor la „dreptul la informare” al cancelarului federal, Republica Austria amintește
că acest drept vizează să garanteze existența unei anumite legături democratice între organele
autonome și Parlament. El nu ar permite exercitarea niciunei influențe asupra administrării DSK. Pe de
altă parte, nici dreptul la informare nu ar fi contrar cerințelor de independență care se aplică unei
instanțe judecătorești.
35 În memoriul în intervenție formulat, Republica Federală Germania adaugă că un control ierarhic

limitat este conform prevederilor articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46.
Controlul ierarhic limitat ar garanta numai că persoana asupra căreia se exercită controlul acționează
în conformitate cu obligațiile care îi revin. El nu ar aduce, în schimb, atingere independenței materiale
și personale și nu ar permite, în special, ca aceasta să fie influențată pe fond. Jurisprudența
constituțională germană ar recunoaște compatibilitatea unui control ierarhic limitat al judecătorilor cu
principiul independenței acestora din urmă.
Aprecierea Curții
36 Articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 impune statelor membre să instituie
una sau mai multe autorități de supraveghere a protecției datelor cu caracter personal, care să își
exercite în condiții de independență deplină atribuțiile cu care sunt învestite. Cerința de supraveghere
de către o autoritate independentă a respectării normelor Uniunii referitoare la protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal rezultă și din dreptul primar al
Uniunii, în special din articolul 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene
și din articolul 16 alineatul (2) TFUE.
37 Instituirea în statele membre a unor autorități de supraveghere independente constituie astfel un

element esențial al respectării protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter
personal (Hotărârea din 9 martie 2010, Comisia/Germania, C-518/07, Rep., p. I-1885, punctul 23).
38 Pentru a aprecia temeinicia prezentei acțiuni, este necesar să se examineze dacă, astfel cum susține
Comisia, reglementarea în vigoare în Austria nu permite DSK să își exercite atribuțiile „în condiții de
independență deplină” în sensul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46.
39 În această privință, trebuie respinsă de la bun început argumentația Republicii Austria și a Republicii
Federale Germania potrivit căreia DSK ar beneficia de gradul de independență impus la articolul 28
alineatul (1) al doilea paragraf din Directiva 95/46 întrucât ar îndeplini condiția de independență
inerentă articolului 267 TFUE pentru a putea fi calificată drept instanță a unui stat membru.
6 ECLI:EU:C:2012:631
COMISIA/AUSTRIA
40 Astfel, din Hotărârea Comisia/Germania, citată anterior, reiese că expresia „în condiții de independență
deplină”, care figurează la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46, trebuie să
primească o interpretare autonomă și, prin urmare, independentă de articolul 267 TFUE, bazată pe
însuși modul de redactare a acestei dispoziții din Directiva 95/46, precum și pe obiectivele și pe
economia acesteia din urmă (a se vedea Hotărârea Comisia/Germania, citată anterior, punctele 17
și 29).
41 Curtea s-a pronunțat deja, în Hotărârea Comisia/Germania, citată anterior (punctul 30), că termenii „în
condiții de independență deplină” de la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46
trebuie să fie interpretați în sensul că autoritățile de supraveghere a protecției datelor cu caracter
personal trebuie să beneficieze de o independență care să le permită să își exercite atribuțiile fără nicio
influență exterioară. Curtea a precizat în aceeași hotărâre că autoritățile menționate trebuie să fie ferite
de orice influență exterioară, fie directă, fie indirectă, care ar putea să orienteze deciziile lor (a se vedea
în acest sens Hotărârea Comisia/Germania, citată anterior, punctele 19, 25, 30 și 50).
42 Împrejurarea că DSK beneficiază de o independență funcțională în sensul că, în conformitate cu

articolul 37 alineatul 1 din DSG 2000, membrii săi „sunt independenți și, în exercitarea atribuțiilor lor,
nu sunt ținuți de niciun fel de instrucțiuni” este, desigur, o condiție necesară pentru ca această
autoritate să poată respecta criteriul de independență în sensul articolului 28 alineatul (1) al doilea
paragraf din Directiva 95/46. Cu toate acestea, contrar a ceea ce susține Republica Austria, o asemenea
independență funcțională nu este suficientă, singură, pentru a feri autoritatea de supraveghere
menționată de orice influență exterioară.
43 Astfel, independența impusă la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 vizează
să excludă nu numai influența directă, sub forma unor instrucțiuni, ci și orice formă de influență
indirectă susceptibilă să orienteze deciziile autorității de supraveghere, astfel cum s-a amintit la
punctul 41 din prezenta hotărâre.
44 Or, diferitele elemente din reglementarea austriacă vizate de cele trei obiecțiuni cuprinse în cererea
introductivă a Comisiei nu permit să se considere că DSK își poate exercita atribuțiile la adăpost de
orice influență indirectă.
45 În ceea ce privește, mai întâi, prima obiecțiune, care se referă la poziția membrului administrator în
cadrul DSK, din interpretarea articolului 36 alineatul 3 coroborat cu articolul 38 alineatul 1 din DSG
2000, precum și a articolului 4 alineatul 1 din Regulamentul de ordine interioară al DSK reiese că
membrul menționat este un funcționar federal.
46 Apoi, trebuie arătat că, în temeiul articolului 38 alineatul 1 din DSG 2000, acest funcționar federal
administrează afacerile curente ale acesteia.
47 Desigur, astfel cum subliniază și Republica Austria, membrul administrator al DSK nu este în mod
necesar, în temeiul cadrului legislativ în vigoare, un funcționar al cancelariei federale, deși nu se
contestă că postul respectiv a fost mereu ocupat de un asemenea funcționar.
48 Cu toate acestea, indiferent de autoritatea federală de care aparține membrul administrator al DSK,
este cert că există un raport de serviciu între acesta din urmă și autoritatea federală menționată, care
permite funcționarului ierarhic superior membrului administrator respectiv să controleze activitatea
acestuia din urmă.
49 Trebuie amintit în această privință că articolul 45 alineatul 1 din BDG 1979 acordă funcționarului
ierarhic superior o putere de control extinsă asupra funcționarului care face parte din departamentul
său. Astfel, această dispoziție permite funcționarului ierarhic superior nu numai să se asigure că
colaboratorii săi își îndeplinesc sarcinile care le revin cu respectarea legilor și în mod eficient și
economic, ci și să îi îndrume în exercitarea atribuțiilor lor, să le remedieze eventualele greșeli și
ECLI:EU:C:2012:631 7
COMISIA/AUSTRIA
carențe, să asigure respectarea programului de lucru, să favorizeze promovarea lor în funcție de

performanțele fiecăruia și să îi orienteze către atribuțiile care corespund cel mai bine propriilor
capacități.
50 Or, având în vedere poziția pe care o ocupă membrul administrator în cadrul DSK, articolul 28
alineatul (1) al doilea paragraf din Directiva 95/46 se opune controlului ierarhic la care membrul
menționat este supus în temeiul articolului 45 alineatul 1 din BDG 1979. Astfel, chiar dacă
articolul 37 alineatul 1 din DSG 2000 urmărește să împiedice funcționarul ierarhic superior
membrului administrator să îi dea instrucțiuni acestuia din urmă, nu este mai puțin adevărat că
articolul 45 alineatul 1 din BDG 1979 acordă funcționarului ierarhic superior o putere de control
susceptibilă să aducă atingere independenței DSK în exercitarea atribuțiilor sale.
51 Este suficient să se menționeze în această privință că nu este exclus ca evaluarea funcționarului ierarhic
superior al membrului administrator al DSK făcută în vederea favorizării promovării funcționarului
respectiv să poată conduce la o formă de „supunere anticipată” din partea acestuia din urmă (a se
vedea în acest sens Hotărârea Comisia/Germania, citată anterior, punctul 36).
52 Pe de altă parte, din cauza legăturilor existente între membrul administrator al DSK și organul politic
care este supus supravegherii DSK, aceasta din urmă nu se află mai presus de orice suspiciune de
părtinire. Or, având în vedere rolul de gardieni ai dreptului la viață privată pe care și-l asumă
autoritățile de supraveghere, articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 impune ca
deciziile lor și, prin urmare, ele însele să se situeze mai presus de orice suspiciune de părtinire (a se
vedea Hotărârea Comisia/Germania, citată anterior, punctul 36).
53 Republica Austria replică totuși în sensul că funcționarul federal desemnat în conformitate cu

articolul 36 alineatul 3 din DSG 2000 îndeplinește funcția de membru administrator în temeiul
articolului 4 alineatul 1 din Regulamentul de ordine interioară al DSK. Ținând seama de faptul că
prezența în cadrul DSK a unui funcționar din cancelaria federală ca membru administrator s-a
întemeia pe o decizie autonomă a acestei autorități, independența autorității de supraveghere
menționate nu ar fi afectată.
54 O astfel de argumentare trebuie respinsă.
55 Astfel cum reiese din cuprinsul punctelor 48-52 din prezenta hotărâre, raportul de serviciu existent
între membrul administrator al DSK și autoritatea federală din care face parte acesta afectează
independența DSK, iar, în speță, modul de desemnare a membrului respectiv nu pune la îndoială
această constatare. Or, Republica Austria are sarcina de a adopta dispozițiile legale necesare pentru a
garanta că autoritatea de supraveghere menționată poate să își exercite atribuțiile „în condiții de
independență deplină”, în sensul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46.
56 Apoi, cu privire la cea de a doua obiecțiune a Comisiei, trebuie amintit că, în conformitate cu
articolul 38 alineatul 2 din DSG 2000, cancelaria federală pune la dispoziția secretariatului DSK
echipamentul și personalul necesare. Nu se contestă că secretariatul DSK este compus din funcționari
ai cancelariei federale.
57 Astfel cum susține și Comisia, nici includerea secretariatului DSK în serviciile cancelariei federale nu
permite să se considere că autoritatea de supraveghere menționată poate să își exercite atribuțiile
ferită de orice influență din partea cancelariei federale.
58 Desigur, astfel cum subliniază Republica Austria, DSK nu trebuie să dispună de o poziție bugetară
autonomă, asemănătoare celei prevăzute la articolul 43 alineatul (3) din Regulamentul nr. 45/2001
pentru AEPD, pentru a putea respecta criteriul de independență enunțat la articolul 28 alineatul (1) al
doilea paragraf din Directiva 95/46. Într-adevăr, statele membre nu sunt obligate să preia în legislația
lor națională dispoziții analoage celor din capitolul V din Regulamentul nr. 45/2001 pentru a garanta o
8 ECLI:EU:C:2012:631
COMISIA/AUSTRIA
totală independență autorităților lor de supraveghere și pot astfel să prevadă că, din punctul de vedere
al dreptului bugetar, autoritatea de supraveghere depinde de un departament ministerial determinat.
Cu toate acestea, atribuirea mijloacelor umane și materiale necesare unei asemenea autorități nu
trebuie să o împiedice să își exercite atribuțiile „în condiții de independență deplină”, în sensul
articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46.
59 Or, cadrul legislativ în vigoare în Austria nu îndeplinește această din urmă condiție. Astfel, personalul
pus la dispoziția secretariatului DSK este compus din funcționari ai cancelariei federale asupra cărora
aceasta din urmă exercită controlul ierarhic prevăzut la articolul 45 alineatul 1 din BDG 1979. Or,
astfel cum rezultă din cuprinsul punctelor 49-52 din prezenta hotărâre, un asemenea control al
statului nu este compatibil cu cerința de independență prevăzută la articolul 28 alineatul (1) al doilea
paragraf din Directiva 95/46, care trebuie să fie îndeplinită de autoritățile de supraveghere a protecției
datelor cu caracter personal.
60 Argumentul Republicii Austria potrivit căruia organizarea secretariatului nu poate afecta independența
DSK întrucât secretariatul nu ar executa decât deciziile DSK trebuie să fie respins.
61 Astfel, având în vedere sarcina de lucru care incumbă unei autorități de supraveghere a protecției
datelor cu caracter personal, pe de o parte, și faptul că membrii DSK își îndeplinesc atribuțiile, în
conformitate cu articolul 36 alineatul 3 bis din DSG 2000, în paralel cu alte activități profesionale, pe
de altă parte, trebuie să se considere că membrii unei asemenea autorități se bazează în mare măsură,
pentru îndeplinirea funcțiilor lor, pe asistența personalului care le-a fost pus la dispoziție. Faptul că
secretariatul este compus din funcționari ai cancelariei federale, ea însăși supusă supravegherii DSK,
implică riscul unei influențe asupra deciziilor acesteia din urmă. În orice caz, o asemenea suprapunere
organizațională între DSK și cancelaria federală nu permite ca DSK să fie mai presus de orice
suspiciune de părtinire și este, prin urmare, incompatibilă cu cerința de „independență”, în sensul
articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46.
62 În ceea ce privește cea de a treia obiecțiune a Comisiei, trebuie să se constate că, în conformitate cu
articolul 20 alineatul 2 din BVG și cu articolul 38 alineatul 2 din DSG 2000, cancelarul federal are
dreptul de a se informa în orice moment la președintele și la membrul administrator al DSK cu
privire la toate aspectele legate de administrarea autorității de supraveghere menționate.
63 Un asemenea drept la informare este de asemenea de natură să supună DSK la o influență indirectă din
partea cancelarului federal, care este incompatibilă cu criteriul de independență prevăzut la articolul 28
alineatul (1) al doilea paragraf din Directiva 95/46. Este suficient să se arate în această privință, pe de o
parte, că dreptul la informare este foarte vast, întrucât se referă la „toate aspectele legate de
administrarea [DSK]”, și, pe de altă parte, că este necondiționat.
64 În aceste condiții, dreptul la informare enunțat la articolul 20 alineatul 2 din BVG și la articolul 38
alineatul 2 din DSG 2000 nu permite ca DSK să poată fi considerată că poate opera, în orice
împrejurare, mai presus de orice suspiciune de părtinire.
65 În sfârșit, referitor la argumentul Republicii Federale Germania reprodus la punctul 35 din prezenta
hotărâre, este suficient să amintim că membrul administrator al DSK este un funcționar federal supus
unui control ierarhic care nu exclude posibilitatea ca funcționarul ierarhic superior membrului
menționat să exercite o influență indirectă asupra deciziilor autorității de supraveghere menționate (a
se vedea punctele 48-52 din prezenta hotărâre).
66 Având în vedere toate considerațiile care precedă, trebuie să se constate că Republica Austria nu și-a
îndeplinit obligațiile care îi revin în temeiul articolului 28 alineatul (1) al doilea paragraf din Directiva
95/46 întrucât nu a adoptat toate dispozițiile necesare pentru ca legislația în vigoare în Austria să
respecte criteriul de independență în privința DSK, mai precis întrucât a instituit un cadru legislativ în
temeiul căruia
ECLI:EU:C:2012:631 9
COMISIA/AUSTRIA
— membrul administrator al DSK este un funcționar federal supus unui control ierarhic,
— secretariatul DSK este integrat în serviciile cancelariei federale și
— cancelarul federal dispune de un drept necondiționat la informare cu privire la toate aspectele

legate de administrarea DSK.
67 Potrivit articolului 69 alineatul (2) din Regulamentul de procedură, partea care cade în pretenții este
obligată, la cerere, la plata cheltuielilor de judecată. Întrucât Comisia a solicitat obligarea Republicii
Austria la plata cheltuielilor de judecată, iar aceasta a căzut în pretenții, se impune obligarea
Republicii Austria la plata cheltuielilor de judecată.
68 Conform articolului 69 alineatul (4) primul și al treilea paragraf din același regulament, Republica
Federală Germania și AEPD, care au intervenit în litigiu, vor suporta propriile cheltuieli de judecată.
1) Republica Austria nu și-a îndeplinit obligațiile care îi revin în temeiul articolului 28

alineatul (1) al doilea paragraf din Directiva 95/46/CE a Parlamentului European și a
Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și libera circulație a acestor date întrucât nu a
adoptat toate dispozițiile necesare pentru ca legislația în vigoare în Austria să respecte
criteriul de independență în privința Datenschutzkommission (Comisia de protecție a
datelor), mai precis întrucât a instituit un cadru legislativ în temeiul căruia
— membrul administrator al Datenschutzkommission este un funcționar federal supus unui

control ierarhic,
— secretariatul Datenschutzkommission este integrat în serviciile cancelariei federale și
— cancelarul federal dispune de un drept necondiționat la informare cu privire la toate

aspectele legate de administrarea Datenschutzkommission.
2) Obligă Republica Austria la plata cheltuielilor de judecată efectuate de Comisia Europeană.
3) Republica Federală Germania și Autoritatea Europeană pentru Protecția Datelor suportă

propriile cheltuieli de judecată.
Semnături
10 ECLI:EU:C:2012:631
HOTĂRÂREA DIN 29.6.2010 — CAUZA C-28/08 P

29 iunie 2010 *
În cauza C-28/08 P,
având ca obiect un recurs formulat în temeiul articolului 56 din Statutul Curții de

Justiție, introdus la 23 ianuarie 2008,
Comisia Europeană, reprezentată de domnii C. Docksey și P. Aalto, în calitate de

agenți, cu domiciliul ales în Luxemburg,
recurentă,
susținută de:
Regatul Unit al Marii Britanii și Irlandei de Nord, reprezentat de doamnele

E. Jenkinson și V. Jackson, în calitate de agenți, asistate de domnul J. Coppel, barrister,
* Limba de procedură: engleza.
I - 6112
COMISIA/BAVARIAN LAGER
Consiliul Uniunii Europene, reprezentat de domnul B. Driessen și de doamna

C. Fekete, în calitate de agenți,
interveniente în recurs,
celelalte părți în proces fiind:
The Bavarian Lager Co. Ltd, cu sediul în Clitheroe (Regatul Unit), reprezentată de
domnii J. Webber și M. Readings, solicitors,
reclamantă în primă instanță,
susținută de:
Regatul Danemarcei, reprezentat de doamna B. Weis Fogh, în calitate de agent,
Republica Finlanda, reprezentată de domnul J. Heliskoski, în calitate de agent,
I - 6113
Regatul Suediei, reprezentat de doamna K. Petkovska, în calitate de agent,
interveniente în recurs,
Autoritatea Europeană pentru Protecția Datelor, reprezentată de domnii

H. Hijmans, A. Scirocco și H. Kranenborg, în calitate de agenți,
intervenientă în primă instanță,
compusă din domnul V. Skouris, președinte, domnii A. Tizzano, J. N. Cunha Rodri
gues, K. Lenaerts, doamnele R. Silva de Lapuerta și C. Toader, președinți de cameră,
domnii A. Rosas, K. Schiemann, E. Juhász (raportor), G. Arestis și T. von Danwitz,
judecători,
avocat general: doamna E. Sharpston,

grefier: domnul H. von Holstein, grefier adjunct,
având în vedere procedura scrisă și în urma ședinței din 16 iunie 2009,
după ascultarea concluziilor avocatului general în ședința din 15 octombrie 2009,
I - 6114
pronunță prezenta
Hotărâre
1 Prin recursul formulat, Comisia Comunităților Europene solicită Curții anularea Ho

tărârii Tribunalului de Primă Instanță al Comunităților Europene din 8 noiembrie
2007, Bavarian Lager/Comisia (T-194/04, Rep., p. II-4523, denumită în continuare
„hotărârea atacată”), în măsura în care prin aceasta a fost anulată decizia Comisiei
din 18 martie 2004 (denumită în continuare „decizia în litigiu”) de respingere a cererii
introduse de The Bavarian Lager Co. Ltd (denumită în continuare „Bavarian Lager”)
de a-i fi încuviințat accesul la conținutul complet al procesului-verbal al reuniunii din
11 octombrie 1996, desfășurată în cadrul unei proceduri de constatare a neîndeplini
rii obligațiilor (denumită în continuare „reuniunea din 11 octombrie 1996”).
Cadrul juridic
2 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995

privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu carac
ter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/
vol. 17, p. 10) impune statelor membre să asigure protecția drepturilor și libertăților
fundamentale ale persoanelor fizice și în special a dreptului la viață privată, în ceea ce
privește prelucrarea datelor cu caracter personal, pentru a asigura libera circulație a
datelor cu caracter personal la nivelul Comunității Europene.
I - 6115
3 Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 de

cembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor
cu caracter personal de către instituțiile și organele comunitare și privind libera
circulație a acestor date (JO 2001, L 8, p. 1, Ediție specială, 13/vol. 30, p. 142) a fost
adoptat în temeiul articolului 286 CE.
4 Considerentele (1), (2), (5), (7), (8), (12), (14) și (15) ale Regulamentului nr. 45/2001
sau anumite părți din acestea prevăd:
„(1) Articolul 286 [CE] impune aplicarea, în cazul instituțiilor și organelor comunita

re, a actelor comunitare privind protecția persoanelor fizice cu privire la prelucra
rea datelor cu caracter personal și la libera circulație a acestor date.
(2) Un sistem complet dezvoltat de protecție a datelor cu caracter personal nu im

plică doar conferirea de drepturi persoanelor vizate și de obligații în sarcina celor
care prelucrează datele cu caracter personal, ci și stabilirea de sancțiuni cores
punzătoare pentru contravenienți și monitorizarea acestora de către o autoritate
independentă de supraveghere.
[…]
(5) Este necesar un regulament care să confere persoanelor drepturi garantate din
punct de vedere juridic […]
[…]
I - 6116
(7) Persoanele care urmează să fie protejate sunt cele ale căror date personale sunt
prelucrate de către instituțiile sau organele comunitare indiferent de context […]
(8) Este necesar ca principiile protecției datelor să se aplice oricărei informații refe
ritoare la o persoană identificată sau identificabilă. […]
[…]
(12) Este necesar să fie asigurată aplicarea consecventă și omogenă a normelor de

protecție a drepturilor și libertăților fundamentale ale persoanelor în ceea ce
privește prelucrarea datelor cu caracter personal pe întreg teritoriul Comunității.
[…]
(14) În acest scop, este oportun să se adopte dispoziții obligatorii pentru instituțiile
și organele comunitare. Este necesar ca aceste dispoziții să se aplice în cazul ori
cărei prelucrări a datelor cu caracter personal efectuate de către toate instituțiile
și organele comunitare în măsura în care aceste prelucrări sunt efectuate pentru
desfășurarea tuturor sau a unei părți din activitățile care intră sub incidența do
meniului de aplicare al dreptului comunitar.
(15) În cazul în care aceste prelucrări de date sunt efectuate de instituțiile sau organele
comunitare în desfășurarea activităților care nu intră sub incidența domeniului de
aplicare al prezentului regulament, în special a acelora prevăzute de titluri
le V și VI din Tratatul [UE, în versiunea anterioară Tratatului de la Lisabona],
protecția drepturilor și libertăților fundamentale ale persoanelor este asigurată în
conformitate cu articolul 6 din Tratatul [UE menționat]. Accesul la documente,
inclusiv condițiile de acces la documente conținând date cu caracter personal,
este reglementat prin normele adoptate în temeiul articolului 255 […] CE sub
incidența căruia intră și titlurile V și VI din Tratatul [UE menționat]. ”
I - 6117
„(1) În conformitate cu prezentul regulament, instituțiile și organele instituite de

către sau în temeiul tratatelor de instituire a Comunităților Europene, denumite în
continuare «instituții sau organe comunitare», protejează drepturile și libertățile fun
damentale ale persoanelor fizice, în special dreptul acestora la viață privată în ceea
ce privește prelucrarea datelor cu caracter personal și nu limitează sau interzic libera
circulație a datelor cu caracter personal între acestea sau către destinatarii aflați sub
incidența legislației interne a statelor membre care pun în aplicare Directiva 95/46
[…]
(2) Autoritatea independentă de supraveghere instituită în temeiul prezentului regu

lament, denumită în continuare «Autoritatea Europeană pentru Protecția Datelor»,
monitorizează aplicarea dispozițiilor prezentului regulament în cazul tuturor prelu
crărilor de date efectuate de către o instituție sau un organ comunitar.”
6 Articolul 2 din acest regulament prevede:
„În sensul prezentului regulament:
(a) «date cu caracter personal» înseamnă orice informație referitoare la o persoană

fizică identificată sau identificabilă (denumită în continuare «persoana vizată»); o
persoană identificabilă este o persoană care poate fi identificată, direct sau indi
rect, în special prin referire la un număr de identificare sau la unul sau mai multe
elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice,
culturale sau sociale;
I - 6118
(b) «prelucrarea datelor cu caracter personal» […] înseamnă orice operațiune sau
serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin
mijloace automatizate sau neautomatizate, cum ar fi colectarea, înregistrarea, or
ganizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utiliza
rea, dezvăluirea prin transmitere, diseminarea sau în orice alt mod, alăturarea ori
combinarea, precum și blocarea, ștergerea sau distrugerea;
[…]”
7 Articolul 3 din regulamentul menționat prevede:
„(1) Prezentul regulament se aplică prelucrării de date cu caracter personal din ca

drul tuturor instituțiilor și organelor comunitare în măsura în care această prelucrare
este efectuată prin desfășurarea tuturor sau a unei părți a activităților care intră sub
incidența dreptului comunitar.
(2) Prezentul regulament se aplică prelucrării de date cu caracter personal, efectuate

total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace
decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem
de evidență sau care sunt destinate să facă parte dintr-un sistem de evidență.”
I - 6119
8 Potrivit articolului 4 din același regulament:
„(1) Datele cu caracter personal trebuie să fie:
(a) prelucrate în mod corect și legal;
(b) colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulteri

or într-un mod incompatibil cu aceste scopuri. [...]
[...]”
„Datele cu caracter personal pot fi prelucrate numai în cazul în care:
(a) prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public în te
meiul tratatelor de instituire a Comunităților Europene sau a altor instrumente
legislative adoptate în temeiul tratatelor sau care aparțin de domeniul exercitării
legitime a autorității publice cu care este învestită instituția sau organul comuni
tar sau un terț căruia îi sunt dezvăluite datele sau
(b) prelucrarea este necesară pentru a se respecta obligația legală a operatorului sau
[...]
I - 6120
(d) persoana vizată și-a dat în mod clar consimțământul [...]
[…]”
10 Articolul 8 din acest regulament, intitulat „Transferul de date cu caracter personal că

tre destinatari, alții decât instituțiile și organele comunitare, reglementat de Directiva
95/46 […]”, prevede:
„Fără a aduce atingere articolelor 4, 5, 6 și 10, datele cu caracter personal sunt trans
ferate numai către destinatari aflați sub incidența legislației interne adoptate pentru
punerea în aplicare a Directivei 95/46 […],
(a) în cazul în care destinatarul demonstrează că datele sunt necesare pentru înde
plinirea unei sarcini de interes public sau că țin de domeniul exercitării autorității
publice sau
(b) în cazul în care destinatarul demonstrează că există necesitatea transferului de

date și în care nu există niciun motiv să se presupună că transferul ar putea aduce
atingere intereselor legitime ale persoanei vizate.”
I - 6121
11 Articolul 18 din regulamentul menționat, intitulat „Dreptul la opoziție al persoanei

vizate”, precizează:
„Persoana vizată are dreptul:
(a) de a se opune în orice moment, din motive întemeiate și legitime legate de situația
sa particulară, ca datele care o privesc să facă obiectul unei prelucrări, cu excepția
cazurilor prevăzute la articolul 5 literele (b), (c) și (d). În cazul în care opoziția este
justificată, prelucrarea în cauză nu mai poate viza aceste date;
(b) de a fi informată înainte ca datele cu caracter personal să fie comunicate pentru

prima dată terților sau înainte ca datele să fie utilizate în numele terților în scopul
marketingului direct și de a i se oferi în mod expres dreptul de a se opune, în mod
gratuit, la această comunicare sau utilizare.”
12 Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din

30 mai 2001 privind accesul public la documentele Parlamentului European, ale Con
siliului și ale Comisiei (JO L 145, p. 43, Ediție specială, 01/vol. 3, p. 76) definește prin
cipiile, condițiile și limitele dreptului de acces la documentele acestor instituții pre
văzut la articolul 255 CE. Acest regulament se aplică începând cu 3 decembrie 2001.
13 Potrivit considerentului (1) al Regulamentului nr. 1049/2001:
„Tratatul [UE, în versiunea anterioară Tratatului de la Lisabona,] consacră noțiunea

de transparență în articolul 1 al doilea paragraf, în conformitate cu care tratatul
I - 6122
marchează o nouă etapă în procesul de creare a unei uniuni din ce în ce mai strânse
între popoarele Europei, în care deciziile sunt luate în modul cel mai transparent po
sibil și cât mai aproape posibil de cetățean.”
14 Potrivit considerentului (2) al acestui regulament:
„Transparența permite asigurarea unei mai bune participări a cetățenilor la proce

sul de decizie, garantând o mai mare legitimitate, eficacitate și responsabilitate a
administrației față de cetățeni într-un sistem democratic. Transparența contribuie
la consolidarea principiilor democrației și drepturilor fundamentale, astfel cum sunt
acestea definite în articolul 6 din Tratatul UE [, în versiunea anterioară Tratatului de
la Lisabona,] și în Carta drepturilor fundamentale a Uniunii Europene [denumită în
continuarea «carta»].”
15 Considerentele (4) și (11) ale regulamentului menționat prevăd:
„(4) Prezentul regulament vizează conferirea celui mai mare efect posibil dreptului
de acces public la documente și definirea principiilor generale și a limitelor, în
conformitate cu articolul 255 alineatul (2) […] CE.
[...]
I - 6123
(11) În principiu, publicul ar trebui să aibă acces la toate documentele instituțiilor. Cu

toate acestea, anumite interese publice și private ar trebui protejate printr-un re
gim de exceptări. Ar trebui să li se permită instituțiilor să își protejeze consultări
le și deliberările interne, în cazul în care este necesar pentru păstrarea capacității
lor de a-și îndeplini misiunile. La evaluarea necesității unei exceptări, instituțiile
ar trebui să țină seama de principiile consacrate de legislația comunitară în mate
rie de protecție a datelor personale în toate domeniile de activitate ale Uniunii.”
16 Potrivit articolului 2 din Regulamentul nr. 1049/2001, intitulat „Beneficiarii și dome

niul de aplicare”:
„(1) Orice cetățean al Uniunii și orice persoană fizică sau juridică având reședința sau
sediul social într-un stat membru are drept de acces la documentele instituțiilor, sub
rezerva principiilor, condițiilor și limitelor definite de prezentul regulament.
(2) Instituțiile pot, sub rezerva acelorași principii, condiții și limite, să permită ac
cesul la documente pentru orice persoană fizică sau juridică ce nu are reședința sau
sediul social într-un stat membru.
(3) Prezentul regulament se aplică tuturor documentelor deținute de o instituție, adi

că întocmite sau primite de către aceasta și aflate în posesia acesteia, în toate domeni
ile de activitate ale Uniunii Europene.
(4) Fără a aduce atingere articolelor 4 și 9, documentele devin accesibile publicului fie
printr-o cerere scrisă, fie direct, în formă electronică, sau prin intermediul unui regis
tru. În special, documentele întocmite sau primite în cadrul unei proceduri legislative
devin direct accesibile în conformitate cu articolul 12.
I - 6124
(5) Documentele sensibile, astfel cum sunt definite la articolul 9 alineatul (1), sunt
supuse unui regim special, în conformitate cu respectivul articol.
[…]”
17 Potrivit articolului 4 din acest regulament, privind excepțiile de la dreptul la acces:
„(1) Instituțiile resping cererile de acces la un document în cazul în care divulgarea

conținutului ar putea aduce atingere protecției:
[...]
(b) vieții private și integrității individului, în special în conformitate cu legislația co

munitară privind protecția datelor personale.
(2) Instituțiile resping cererile de acces la un document în cazul în care divulgarea

conținutului ar putea aduce atingere protecției:
[...]
I - 6125
— obiectivelor activităților de inspecție, de anchetă și de audit,
cu excepția cazului în care un interes public superior justifică divulgarea conținutului

documentului în cauză.
[...]”
18 Articolul 6 alineatul (1) din Regulamentul nr. 1049/2001 prevede că „[s]olicitantul nu

este obligat să își motiveze cererea”.
Situația de fapt
19 Situația de fapt din speță este expusă la punctele 15-28 și 34-37 din hotărârea atacată
după cum urmează:
„15 [Bavarian Lager] este o societate comercială înființată la 28 mai 1992 cu scopul
de a importa bere germană pentru magazinele specializate în vânzarea de băuturi
alcoolice din Regatul Unit, situate în special în nordul Angliei.
16 Totuși, [Bavarian Lager] nu a putut să își vândă produsul, întrucât numeroase ma

gazine specializate în vânzarea de băuturi alcoolice din Regatul Unit încheiaseră
contracte de cumpărare exclusivă care le obligau să se aprovizioneze cu bere de la
anumiți producători.
I - 6126
17 În temeiul Supply of Beer (Tied Estate) Order 1989 SI 1989/2390 (regulament din
Regatul Unit privind aprovizionarea cu bere), producătorii de bere britanici, care
dețin drepturi în mai mult de 2 000 de puburi, sunt obligați să acorde administra
torilor acestor localuri posibilitatea de a achiziționa bere provenind de la alt pro
ducător cu condiția ca, potrivit articolului 7 alineatul 2 litera a din regulamentul
menționat, berea să fie livrată la butoi și să aibă o concentrație de alcool de peste
1,2 % în volum. Această dispoziție este cunoscută sub denumirea de «Guest Beer
Provision» (denumită în continuare «GBP»).
18 Or, majoritatea berilor produse în afara Regatului Unit nu pot fi considerate «li
vrate la butoi», în sensul GBP, și prin urmare nu intră în domeniul de aplicare al
acestei dispoziții.
19 Apreciind că GBP reprezintă o măsură cu efect echivalent unei restricții cantita

tive la import și că este, așadar, incompatibilă cu articolul 30 din Tratatul CE (de
venit, după modificare, articolul 28 CE), [Bavarian Lager] a introdus o plângere la
Comisie prin scrisoarea din 3 aprilie 1993, înregistrată sub numărul P/93/4490/
UK.
20 În urma anchetei pe care a efectuat-o, Comisia a decis, la 12 aprilie 1995, să

declanșeze o procedură împotriva Regatului Unit al Marii Britanii și Irlandei de
Nord în temeiul articolului 169 din Tratatul CE (devenit articolul 226 CE). Comi
sia a informat [Bavarian Lager], la 28 septembrie 1995, asupra existenței acestei
anchete și a expedierii scrisorii de punere în întârziere Regatului Unit, la 15 sep
tembrie 1995. La 26 iunie 1996, Comisia a decis să adreseze Regatului Unit un aviz
motivat și, la 5 august 1996, a publicat un comunicat de presă prin care a adus la
cunoștință această decizie.
21 La 11 octombrie 1996, a avut loc [reuniunea din 11 octombrie 1996] la care au

participat reprezentanți ai Direcției Generale (DG) «Piața internă și servicii finan
ciare» din cadrul Comisiei, ai Ministerului Comerțului și Industriei din Regatul
Unit și reprezentanți ai Confederației producătorilor de bere din Piața Comună
I - 6127
(denumită în continuare «CBMC»). Prin scrisoarea din 27 august 1996, [Bavarian

Lager] a solicitat să participe la reuniune[a din 11 octombrie 1996], dar Comisia
a refuzat să dea curs acestei solicitări.
22 La 15 martie 1997, Ministerul Comerțului și Industriei din Regatul Unit a făcut

public un proiect de modificare a GBP, potrivit căruia o bere livrată la sticlă putea
fi revândută drept bere cu proveniență diferită, precum berea livrată la butoi.
După ce Comisia și-a suspendat în două rânduri, la 19 martie 1997 și la 26 iunie
1997, decizia de a adresa un aviz motivat Regatului Unit, șeful Unității 2 «Aplica
rea articolelor 30-36 din Tratatul CE (notificare, plângeri, încălcări etc.) și elimi
narea restricțiilor privind schimburile» din cadrul Direcției B «Libera circulație
a mărfurilor și achizițiile publice» a DG «Piața internă și servicii financiare» a
informat [Bavarian Lager], prin scrisoarea din 21 aprilie 1997, că, având în vedere
proiectul de modificare a GBP, procedura întemeiată pe articolul 169 din [tratat] a
fost suspendată și că avizul motivat nu a fost notificat guvernului Regatului Unit.
Acesta a precizat că respectiva procedură va înceta de îndată ce va intra în vigoa
re GBP modificată. GBP în varianta modificată a devenit aplicabilă la 22 august
1997. În consecință, avizul motivat nu a mai fost transmis Regatului Unit, iar Co
misia a decis, în cele din urmă, la 10 decembrie 1997, să claseze procedura privind
încălcarea obligațiilor.
23 [Bavarian Lager] a solicitat directorului general al DG «Piață internă și servicii

financiare», prin faxul transmis la 21 martie 1997, o copie a avizului motivat, în
temeiul codului de conduită [privind accesul public la documentele Consiliului și
ale Comisiei (JO 1993, L 340, p. 41)]. Această cerere a fost respinsă, ca de altfel și
cererea ulterioară în același sens.
24 Prin [decizia] din 18 septembrie 1997 […], secretarul general al Comisiei a con
firmat respingerea cererii adresate directorului general al DG «Piața internă și
servicii financiare».
I - 6128
25 Împotriva deciziei din 18 septembrie 1997, [Bavarian Lager] a introdus o acțiune,

înregistrată la Tribunal sub numărul T-309/97. Prin Hotărârea din 14 octombrie
1999, Bavarian Lager/Comisia (T-309/97, Rec., p. II-3217), Tribunalul a respins
această acțiune apreciind că realizarea obiectivului în discuție, mai exact acela
de a permite statului membru să se conformeze de bunăvoie exigențelor trata
tului sau, după caz, de a-i da ocazia să își justifice poziția, ar legitima, în temeiul
protecției interesului public, respingerea cererii de acces la un document prepa
rator privind faza anchetei din cadrul procedurii întemeiate pe articolul 169 din
[tratat].
26 La 4 mai 1998, [Bavarian Lager] a adresat Comisiei o cerere de acces la toate

documentele depuse în dosarul P/93/4490/UK de către unsprezece societăți și
organizații nominalizate și de către trei categorii definite de persoane sau între
prinderi, în aplicarea codului de conduită [privind accesul public la documentele
Consiliului și ale Comisiei]. Comisia a respins cererea inițială pentru motivul că
[respectivul] cod de conduită este aplicabil numai documentelor al căror autor
era Comisia. Cererea de confirmare a fost respinsă cu motivarea că nu Comisia
era autoarea documentelor în discuție, iar cererile trebuie adresate autorului.
27 La 8 iulie 1998, [Bavarian Lager] a depus o plângere la Ombudsmanul European,

înregistrată sub numărul 713/98/IJH, precizând prin scrisoarea din 2 februarie
1999 că urmărea să obțină numele reprezentanților CBMC care asistaseră la reu
niunea din 11 octombrie 1996 și pe cele ale societăților și ale persoanelor care se
încadrau în cele 14 categorii identificate de [Bavarian Lager] în cererea inițială de
acces la documentele conținând comentarii transmise Comisiei în cadrul dosaru
lui P/93/4490/UK.
28 Ca urmare a unui schimb de scrisori între Ombudsman și Comisie, aceasta din

urmă a precizat în octombrie și noiembrie 1999 că, la cele 45 de scrisori pe care
le-a adresat persoanelor vizate solicitându-le autorizarea de a divulga identitatea
I - 6129
acestora [către Bavarian Lager], a primit 20 de răspunsuri, dintre care 14 pozitive

și 6 negative. Comisia a transmis numele și adresa persoanelor care au acceptat
să le fie comunicat numele. [Bavarian Lager] a indicat Ombudsmanului faptul că
informațiile transmise de Comisie continuau să fie incomplete.
[…]
34 Prin e-mailul din 5 decembrie 2003, [Bavarian Lager] a solicitat Comisiei accesul
la documentele menționate la punctul 27 de mai sus în temeiul Regulamentului
nr. 1049/2001.
35 Comisia a răspuns acestei cereri prin scrisoarea din 27 ianuarie 2004 afirmând
că putea să divulge conținutul anumitor documente referitoare la reuniune[a din
11 octombrie 1996], dar atrăgea atenția [Bavarian Lager] asupra faptului că în
procesul-verbal al reuniunii din 11 octombrie 1996 cinci nume au fost ascunse,
întrucât două persoane s-au opus în mod expres divulgării identității lor, iar cele
lalte trei nu au putut fi contactate de Comisie.
36 Prin e-mailul din 9 februarie 2004, [Bavarian Lager] a depus o cerere de confirma
re în sensul articolului 7 alineatul (2) din Regulamentul nr. 1049/2001 prin care
a solicitat procesul-verbal complet al reuniunii din 11 octombrie 1996 care să
cuprindă numele tuturor participanților.
I - 6130
37 Prin [decizia în litigiu], Comisia a respins cererea de confirmare formulată de

[Bavarian Lager]. Comisia a confirmat că Regulamentul nr. 45/2001 era aplicabil
cererii de divulgare a numelui celorlalți participanți. Totuși, întrucât [Bavarian
Lager] nu a făcut dovada niciunui obiectiv expres și legitim și nici a necesității
unei astfel de divulgări, nu sunt întrunite cerințele prevăzute la articolul 8 din
regulamentul menționat și este aplicabilă excepția prevăzută la articolul 4 ali
neatul (1) litera (b) din Regulamentul nr. 1049/2001. Comisia a adăugat că, deși
normele în materie de protecție a datelor cu caracter personal nu sunt aplicabile,
instituția putea totuși să refuze divulgarea celorlalte nume în temeiul articolului
4 alineatul (2) a treia liniuță din Regulamentul nr. 1049/2001 pentru a nu își pune
în pericol capacitatea de a efectua anchete.”
Procedura în fața Tribunalului și hotărârea atacată
20 Prin hotărârea atacată, Tribunalul a anulat decizia în litigiu.
21 În ceea ce privește accesul la conținutul complet al procesului-verbal al reuniunii din

11 octombrie 1996, Tribunalul a considerat, la punctele 90-95 din hotărârea atacată,
că cererea formulată de Bavarian Lager se întemeiază pe Regulamentul nr. 1049/2001.
Amintind totodată că, în temeiul articolului 6 alineatul (1) din acest regulament, soli
citantul de acces nu este obligat să își motiveze cererea și, prin urmare, nu trebuie să
demonstreze niciun fel de interes pentru a avea acces la documentele solicitate, Tri
bunalul a examinat excepția de comunicare prevăzută la articolul 4 alineatul (1) lite
ra (b) din regulamentul menționat în cazul în care divulgarea conținutului unui astfel
de document ar putea aduce atingere protecției vieții private și integrității individului.
I - 6131
22 La punctele 96-119 din hotărârea atacată, Tribunalul a analizat relația dintre Regula
mentul nr. 45/2001 și Regulamentul nr. 1049/2001. Evidențiind totodată că, potrivit
considerentului (15) al Regulamentului nr. 45/2001, accesul la documente, inclusiv la
cele conținând date cu caracter personal, este reglementat de articolul 255 CE, Tribu
nalul a subliniat că, potrivit considerentului (11) al Regulamentului nr. 1049/2001, la
evaluarea aplicabilității unei exceptări, instituțiile trebuie să țină seama de principiile
consacrate de legislația Uniunii în materie de protecție a datelor personale în toate
domeniile de activitate ale Uniunii, prin urmare, și de principiile consacrate în Regu
lamentul nr. 45/2001.
23 Referindu-se la definițiile noțiunilor „date cu caracter personal” și „prelucrarea date

lor cu caracter personal” menționate la articolul 2 literele (a) și (b) din Regulamentul
nr. 45/2001, la punctul 105 din hotărârea atacată, Tribunalul a dedus din acestea că a
comunica datele prin transmitere, prin diseminare sau în orice alt mod intră în sfera
noțiunii „prelucrare” și, astfel, Regulamentul nr. 45/2001 prevede el însuși, indepen
dent de Regulamentul nr. 1049/2001, posibilitatea de a face publice anumite date cu
caracter personal.
24 La punctul 106 din hotărârea atacată, Tribunalul a subliniat că articolul 5 litera (a)

sau (b) din Regulamentul nr. 45/2001 impune ca prelucrarea datelor cu caracter per
sonal să fie licită, să fie necesară pentru îndeplinirea unei sarcini de interes public sau
pentru respectarea unei obligații legale a operatorului prelucrării. Ulterior, Tribuna
lul a subliniat că dreptul de acces la documentele instituțiilor recunoscut cetățenilor
Uniunii și tuturor persoanelor fizice și juridice care au reședința sau sediul într-un
stat membru, prevăzut la articolul 2 din Regulamentul nr. 1049/2001, reprezintă o
obligație legală în sensul articolului 5 litera (b) din Regulamentul nr. 45/2001. Prin
urmare, dacă Regulamentul nr. 1049/2001 impune comunicarea datelor, ceea ce re
prezintă o „prelucrare” în sensul articolului 2 litera (b) din Regulamentul nr. 45/2001,
articolul 5 din același regulament conferă caracter legal, în această privință, acestei
comunicări.
I - 6132
25 Pronunțându-se asupra aspectului probei necesității transferului de date, prevăzută

la articolul 8 litera (b) din Regulamentul nr. 45/2001, și al dreptului de opoziție al
persoanei în cauză, prevăzut la articolul 18 din acest regulament, la punctele 107-109
din hotărârea atacată, Tribunalul a afirmat în special următoarele:
„107 În ceea ce privește obligația de a demonstra necesitatea transferului de date,

prevăzută la articolul 8 litera (b) din Regulamentul nr. 45/2001, trebuie amin
tit că accesul la documente conținând date cu caracter personal intră sub
incidența Regulamentului nr. 1049/2001 și că, potrivit articolului 6 alinea
tul (1) din regulament, solicitantul de acces nu este obligat să își motiveze ce
rerea și nu trebuie, așadar, să demonstreze niciun fel de interes pentru a avea
acces la documentele solicitate […]. Prin urmare, în cazul în care datele cu
caracter personal sunt transferate în aplicarea articolului 2 din Regulamentul
nr. 1049/2001, care recunoaște tuturor cetățenilor Uniunii dreptul de acces
la documente, această situație intră sub incidența respectivului regulament
și, astfel, solicitantul nu trebuie să demonstreze caracterul necesar al divul
gării conținutului documentului în sensul articolului 8 litera (b) din Regula
mentul nr. 45/2001. Într-adevăr, dacă solicitantul ar fi obligat să demonstreze
caracterul necesar al transferului, ca o condiție suplimentară impusă prin
Regulamentul nr. 45/2001, această exigență ar fi contrară obiectivului Regu
lamentului nr. 1049/2001, anume acela al accesului cât mai larg al publicului
la documentele deținute de instituții.
108 În plus, dat fiind că, în temeiul articolului 4 alineatul (1) litera (b) din Regula
mentul nr. 1049/2001, se poate refuza accesul la un document, în cazul în care
divulgarea conținutului său ar putea aduce atingere protecției vieții private
și integrității individului, un transfer care nu intră sub incidența excepției nu
poate, în principiu, să aducă atingere intereselor legitime ale persoanei viza
te, în sensul articolului 8 litera (b) din Regulamentul nr. 45/2001.
I - 6133
109 În ceea ce priveşte dreptul la opoziţie al persoanei vizate, articolul 18 din Re

gulamentul nr. 45/2001 prevede că aceasta are dreptul de a se opune în orice
moment, din motive întemeiate și legitime legate de situația sa particulară, ca
datele care o privesc să facă obiectul unei prelucrări, cu excepția cazurilor prevă
zute, printre altele, la articolul 5 litera (b) din regulamentul menționat. Prin ur
mare, dat fiind că prelucrarea datelor prevăzută în Regulamentul nr. 1049/2001
reprezintă o obligație legală în sensul articolului 5 litera (b) din Regulamentul
nr. 45/2001, persoana vizată nu are, în principiu, un drept de opoziție. Totuși,
dat fiind că articolul 4 alineatul (1) litera (b) din Regulamentul nr. 1049/2001
prevede o excepție de la această obligație legală, trebuie avută în vedere, în acest
temei, incidența divulgării datelor referitoare la persoana vizată.”
26 În sfârșit, Tribunalul a considerat că excepția prevăzută la articolul 4 alineatul (1)

litera (b) din Regulamentul nr. 1049/2001 trebuia să fie de strictă interpretare și se
referea numai la datele cu caracter personal care ar putea aduce atingere în mod con
cret și efectiv respectării vieții private și a integrităţii individului. Analizarea acestor
atingeri trebuie efectuată în lumina articolului 8 din Convenția europeană pentru
apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 no
iembrie 1950 (denumită în continuare „CEDO”) și a jurisprudenței dezvoltate în te
meiul acestuia.
27 Tribunalul a concluzionat în mod general la punctul 113 și în mod specific la punctul

139 din hotărârea atacată că, în speță, Comisia a săvârșit o eroare de drept constatând
că Bavarian Lager nu a făcut dovada unui obiectiv expres și legitim și nici a necesității
de a obține numele celor cinci persoane care au participat la reuniunea din 11 octom
brie 1996 și care s-au opus, după această reuniune, la comunicarea identității lor către
Bavarian Lager.
28 În ceea ce privește excepția referitoare la protecția activităților de inspecție, de an

chetă și de audit, prevăzută la articolul 4 alineatul (2) a treia liniuță din Regulamen
tul nr. 1049/2001, Tribunalul a înlăturat aplicarea acestei dispoziții în general și, în
I - 6134
special, a considerat că un tratament confidențial nu poate fi acordat altor persoane

decât autorului plângerii și că această protecție nu este justificată decât dacă proce
dura în cauză este încă în curs.
Procedura în fața Curții și concluziile părților
29 Prin Ordonanța președintelui Curții din 13 iunie 2008, au fost admise cererile de
intervenție ale Regatului Unit al Marii Britanii și Irlandei de Nord și Consiliului
Uniunii Europene în susținerea concluziilor Comisiei. Au fost admise cererile de
intervenție ale Republicii Finlanda și Regatului Suediei în susținerea concluziilor Ba
varian Lager și cererea de intervenție a Regatului Danemarcei în susținerea concluzi
ilor Bavarian Lager și ale Autorității Europene pentru Protecția Datelor.
30 Comisia solicită Curții:
— anularea hotărârii atacate, în măsura în care prin aceasta se anulează decizia în

litigiu;
— pronunțarea unei hotărâri definitive privind aspectele care fac obiectul prezentu
lui recurs și
— obligarea Bavarian Lager la plata cheltuielilor de judecată efectuate de aceas

ta în primă instanță și în prezentul recurs sau, în cazul în care Comisia cade în
pretenții, obligarea sa la plata a jumătate din cheltuielile suportate de Bavarian
Lager în primă instanță.
I - 6135
31 Consiliul solicită Curții:
— anularea hotărârii atacate și
— obligarea Bavarian Lager la plata cheltuielilor de judecată.
32 Regatul Unit solicită Curții:
— admiterea recursului formulat de Comisie și primirea concluziilor formulate de

aceasta.
33 Bavarian Lager solicită Curții:
— respingerea în întregime a recursului Comisiei și
— obligarea Comisiei la plata cheltuielilor de judecată efectuate de Bavarian Lager

în primă instanță și în prezentul recurs sau, în cazul în care recursul ar fi admis,
obligarea fiecărei părți să suporte propriile cheltuieli de judecată.
I - 6136
34 Regatul Danemarcei, Republica Finlanda, Regatul Suediei și Autoritatea Europeană

pentru Protecția Datelor solicită Curții:
— respingerea în întregime a recursului.
Cu privire la cererea de redeschidere a procedurii orale
35 Prin scrisorile din 11 și din 13 noiembrie 2009, Comisia și Autoritatea Europeană
pentru Protecția Datelor au solicitat redeschiderea procedurii orale.
36 Din oficiu, la propunerea avocatului general sau la cererea părților, Curtea poate dis
pune redeschiderea procedurii orale, în conformitate cu articolul 61 din Regulamen
tul de procedură, în cazul în care consideră că nu este suficient lămurită sau că trebuie
să soluționeze cauza în temeiul unui argument care nu a fost pus în discuția părților
(Hotărârea din 8 septembrie 2009, Liga Portuguesa de Futebol Profissional și Bwin
International, C-42/07, Rep., p. I-7633, punctul 31 și jurisprudența citată).
37 În cererile lor, Comisia și Autoritatea Europeană pentru Protecția Datelor se

limitează la invocarea faptului că avocatul general și-ar întemeia concluziile
pe argumente care nu au fost puse în discuție nici în fața Tribunalului, nici în
fața Curții.
I - 6137
38 Curtea consideră că dispune în speță de toate elementele necesare pentru a soluționa

litigiul cu care este sesizată și că acesta nu trebuie să fie examinat în raport cu argu
mente care nu au fost puse în discuție în fața sa.
39 În consecință, nu este necesar să se dispună redeschiderea procedurii orale.
Cu privire la recurs
40 În susținerea recursului său, Comisia invocă trei motive, și anume:
— prin faptul că a declarat că articolul 8 litera (b) din Regulamentul nr. 45/2001 nu

era aplicabil în speță, Tribunalul a interpretat și a aplicat în mod greșit articolul 4
alineatul (1) litera (b) din Regulamentul nr. 1049/2001;
— prin faptul că a realizat o interpretare restrictivă a condiției prevăzute la artico

lul 4 alineatul (1) litera (b) din Regulamentul nr. 1049/2001, Tribunalul a săvârșit
o eroare de drept excluzând din domeniul de aplicare al acesteia legislația Uniunii
privind protecția datelor cu caracter personal cuprinse într-un document și
— în ceea ce privește interpretarea articolului 4 alineatul (2) a treia liniuță din acest

regulament, Tribunalul a limitat în mod eronat protecția confidențialității an
chetelor numai la autorii plângerilor și, pentru ca această confidențialitate să fie
menținută, a impus ca ancheta să fie încă în curs.
I - 6138
Aprecierea Curții
41 Având în vedere că primele două motive se suprapun într-o mare măsură, acestea
trebuie analizate împreună.
42 Comisia, susținută de Regatul Unit și de Consiliu, invocă în esență că Tribunalul a

săvârșit erori de drept în constatările sale referitoare la aplicarea excepției prevăzute
la articolul 4 alineatul (1) litera (b) din Regulamentul nr. 1049/2001 și a făcut astfel
încât anumite dispoziții ale Regulamentului nr. 45/2001 să fie inoperante.
43 Comisia apreciază că Tribunalul s-a pronunțat fără a avea în vedere a doua parte a
tezei de la articolul 4 alineatul (1) litera (b) din Regulamentul nr. 1049/2001, care
precizează că instituțiile resping cererile de acces la un document care ar putea aduce
atingere protecției vieții private și integrității individului, „în special în conformitate
cu legislația comunitară privind protecția datelor personale”. Tribunalul nu ar fi inter
pretat excepția prevăzută la această dispoziție decât în lumina articolului 8 din CEDO
și a jurisprudenței dezvoltate în temeiul acestuia.
44 Această interpretare eronată a excepției prevăzute la articolul 4 alineatul (1) litera (b)

ar avea drept consecință să facă inoperante mai multe dispoziții ale Regulamen
tului nr. 45/2001 și în special articolul 8 litera (b) și articolul 18 litera (a) din acest
regulament.
I - 6139
45 Mai precis, potrivit Comisiei, acordând prioritate articolului 6 alineatul (1) din Re

gulamentul nr. 1049/2001, care prevede că solicitantul nu este obligat să își motiveze
cererea în cadrul cererilor de acces public la documente, Tribunalul face ca articolul 8
litera (b) din Regulamentul nr. 45/2001, care impune destinatarului transferului da
telor cu caracter personal obligația de a demonstra necesitatea divulgării acestora, să
fie inoperant.
46 Or, obligația de a demonstra urmărirea unui obiectiv legitim ce revine destinatarului

unui transfer de date cu caracter personal, înscrisă la articolul 8 litera (b) din Regu
lamentul nr. 45/2001, ar fi una dintre dispozițiile-cheie ale întregii legislații a Uniu
nii referitoare la protecția datelor. Astfel, comunicarea de date cu caracter personal
cuprinse într-un document deținut de o instituție ar constitui un acces public la un
document, potrivit Regulamentului nr. 1049/2001, și totodată o prelucrare a datelor
cu caracter personal, potrivit Regulamentului nr. 45/2001, lucru de care Tribunalul
nu ar fi ținut seama.
47 Comisia adaugă că, prin faptul că a considerat că orice cerere de date cu caracter
personal trebuie să respecte obligația legală care rezultă din dreptul de acces public,
în sensul articolului 5 litera (b) din Regulamentul nr. 45/2001, Tribunalul lipsește de
efect util articolul 18 litera (a) din același regulament, care conferă persoanei vizate
posibilitatea de a se opune în orice moment, din motive întemeiate și legitime legate
de situația sa particulară, ca datele care o privesc să facă obiectul unei prelucrări.
48 Trebuie să se sublinieze că Tribunalul consacră o parte importantă din raționamentul

său, în special punctele 96-119 din hotărârea atacată, analizării relației dintre Regula
mentul nr. 45/2001 și Regulamentul nr. 1049/2001 și aplică în continuare, la punctele
121-139 din această hotărâre, criteriile pe care le-a dedus din această relație la pre
zenta speță.
I - 6140
49 Astfel cum a subliniat în mod corect Tribunalul la punctul 98 din hotărârea ataca
tă, la analizarea relației existente între Regulamentul nr. 1049/2001 și Regulamentul
nr. 45/2001 în vederea aplicării excepției prevăzute la articolul 4 alineatul (1) lite
ra (b) din Regulamentul nr. 1049/2001 în speță, nu trebuie pierdut din vedere faptul
că regulamentele menționate au obiective diferite. Primul urmărește să asigure cea
mai mare transparență posibilă procesului decizional al autorităților publice, precum
și informațiilor pe care se întemeiază deciziile acestora. Regulamentul urmărește,
așadar, să faciliteze la maximum exercitarea dreptului de acces la documente, precum
și să promoveze bunele practici administrative. Al doilea regulament urmărește să
asigure protecția drepturilor și a libertăților fundamentale ale persoanelor fizice, în
special a dreptului la viață privată, în cadrul prelucrării datelor cu caracter personal.
50 Astfel cum rezultă din considerentul (2) al Regulamentului nr. 45/2001, legiuitorul
Uniunii a avut intenția de a institui un sistem „complet” de protecție și a considerat
necesar, potrivit modului de redactare a considerentului (12) al acestui regulament,
„să fie asigurată aplicarea consecventă și omogenă a normelor de protecție a drepturi
lor și libertăților fundamentale ale persoanelor în ceea ce privește prelucrarea datelor
cu caracter personal pe întreg teritoriul Comunității”.
51 Potrivit aceluiași considerent (12), drepturile conferite persoanelor vizate pentru

protecția lor în ceea ce privește prelucrarea datelor cu caracter personal constituie
norme de protecție a drepturilor și libertăților fundamentale. În spiritul legiuitorului
Uniunii, reglementarea Uniunii referitoare la prelucrarea datelor cu caracter personal
servește protecției drepturilor și libertăților fundamentale.
52 În temeiul considerentelor (7) și (14) ale Regulamentului nr. 45/2001, este vorba des
pre „dispoziții obligatorii”, care se aplică „în cazul oricărei prelucrări a datelor cu ca
racter personal efectuate de către toate instituțiile și organele comunitare” și „indife
rent de context”.
I - 6141
53 Regulamentul nr. 1049/2001, astfel cum reiese din considerentul (1) al acestuia, se
înscrie în voința exprimată la articolul 1 al doilea paragraf UE de a marca o nouă etapă
în procesul de creare a unei uniuni din ce în ce mai strânse între popoarele Europei,
în care deciziile sunt luate în modul cel mai transparent posibil și cât mai aproape de
cetățean.
54 Potrivit considerentului (2) al acestui regulament, transparența permite asigurarea

unei mai bune participări a cetățenilor la procesul de decizie, garantând o mai mare
legitimitate, eficacitate și responsabilitate a administrației față de cetățeni într-un sis
tem democratic.
55 Regulamentul nr. 1049/2001 stabilește drept regulă generală accesul public la docu

mentele instituțiilor, dar prevede excepții în temeiul anumitor interese publice și pri
vate. În special, considerentul (11) al acestui regulament amintește că „[l]a evaluarea
necesității unei exceptări, instituțiile ar trebui să țină seama de principiile consacrate
de legislația comunitară în materie de protecție a datelor personale în toate domeniile
de activitate ale Uniunii”.
56 Regulamentele nr. 45/2001 și nr. 1049/2001 au fost adoptate la date foarte apropiate.

Acestea nu cuprind dispoziții care să prevadă expres supremația unuia dintre regula
mente asupra celuilalt. Trebuie, în principiu, să se asigure deplina lor aplicare.
57 Singura legătură explicită între aceste două regulamente este stabilită la articolul 4
alineatul (1) litera (b) din Regulamentul nr. 1049/2001, care prevede o excepție de la
accesul la un document în cazul în care divulgarea conținutului său ar putea aduce
atingere protecției vieții private sau integrității individului, în special în conformitate
cu legislația Uniunii privind protecția datelor personale.
I - 6142
58 Or, la punctele 111-120 din hotărârea atacată, Tribunalul limitează aplicarea excepției
prevăzute la această dispoziție la situațiile în care viața privată sau integritatea in
dividului ar fi încălcată în sensul articolului 8 din CEDO și al jurisprudenței Curții
Europene a Drepturilor Omului, fără a lua în considerare legislația Uniunii privind
protecția datelor personale, în special Regulamentul nr. 45/2001.
59 Trebuie să se observe că, acționând în acest mod, Tribunalul încalcă textul articolului
4 alineatul (1) litera (b) din Regulamentul nr. 1049/2001, care este o dispoziție indivi
zibilă și care impune ca atingerea eventuală a vieții private și a integrității individului
să fie întotdeauna analizată și apreciată în conformitate cu legislația Uniunii privind
protecția datelor personale, în special cu Regulamentul nr. 45/2001.
60 Articolul 4 alineatul (1) litera (b) din Regulamentul nr. 1049/2001 instituie un regim

specific și consolidat de protecție a unei persoane ale cărei date cu caracter personal
ar putea, eventual, să fie comunicate public.
61 Potrivit articolului 1 alineatul (1) din Regulamentul nr. 45/2001, obiectul acestui re

gulament este să asigure „[protecția] drepturilor și libertăților fundamentale ale per
soanelor fizice, în special dreptul acestora la viață privată în ceea ce privește prelucra
rea datelor cu caracter personal”. Această dispoziție nu permite o separare a cazurilor
de prelucrare a datelor cu caracter personal în două categorii, și anume o categorie
în care această prelucrare ar fi analizată numai în temeiul articolului 8 din CEDO și
al jurisprudenței Curții Europene a Drepturilor Omului referitoare la acest articol și
o altă categorie în care prelucrarea menționată ar fi supusă dispozițiilor Regulamen
tului nr. 45/2001.
I - 6143
62 Din prima teză a considerentului (15) al Regulamentului nr. 45/2001 reiese că legiui

torul Uniunii a evocat necesitatea de a se proceda la aplicarea articolului 6 UE și, prin
intermediul acestuia, a articolului 8 din CEDO, „[î]n cazul în care aceste prelucrări de
date sunt efectuate de instituțiile sau organele comunitare în desfășurarea activităților
care nu intră sub incidența domeniului de aplicare al prezentului regulament, în spe
cial a acelora prevăzute de titlurile V și VI din [t]ratat[ul UE, în versiunea anterioară
Tratatului de la Lisabona]”. În schimb, o astfel de trimitere nu se dovedește necesară
pentru o prelucrare efectuată în desfășurarea activităților care intră sub incidența
domeniului de aplicare al regulamentului menționat, dat fiind că, în astfel de situații,
se aplică în mod evident chiar Regulamentul nr. 45/2001.
63 Rezultă că, în cazul în care o cerere întemeiată pe Regulamentul nr. 1049/2001 privește

obținerea accesului la documente care conțin date cu caracter personal, dispozițiile
Regulamentului nr. 45/2001 devin integral aplicabile, inclusiv articolele 8 și 18 din
acesta.
64 Prin faptul că nu a ținut seama de trimiterea făcută de articolul 4 alineatul (1) lite

ra (b) din Regulamentul nr. 1049/2001 la legislația Uniunii referitoare la protecția
datelor cu caracter personal și, prin urmare, la Regulamentul nr. 45/2001, Tribunalul
a înlăturat, de la bun început, la punctul 107 din hotărârea atacată, aplicarea artico
lului 8 litera (b) din Regulamentul nr. 45/2001 și, la punctul 109 din această hotărâ
re, aplicarea articolului 18 din acest regulament. Or, articolele respective reprezintă
dispoziții esențiale ale regimului de protecție instituit prin Regulamentul nr. 45/2001.
65 În consecință, interpretarea particulară și limitativă dată de Tribunal articolului 4

alineatul (1) litera (b) din Regulamentul nr. 1049/2001 nu corespunde cu echilibrul
pe care legiuitorul Uniunii avea intenția să îl stabilească între cele două regulamente
în cauză.
I - 6144
66 În speță, din elementele dosarului, și în special din decizia în litigiu, reiese că, în
urma cererilor Bavarian Lager din 4 mai 1998, din 5 decembrie 2003 și din 9 februarie
2004, Comisia a adresat acesteia un document care cuprinde minutele reuniunii din
11 octombrie 1996, din care erau eliminate cinci nume. Dintre aceste cinci nume, trei
persoane nu au putut fi contactate de Comisie pentru a-și da consimțământul, iar alte
două persoane s-au opus în mod expres divulgării identității lor.
67 Pentru a refuza accesul complet la acest document, Comisia s-a întemeiat pe arti
colul 4 alineatul (1) litera (b) din Regulamentul nr. 1049/2001 și pe articolul 8 din
Regulamentul nr. 45/2001.
68 Trebuie să se sublinieze că, la punctul 104 din hotărârea atacată, Tribunalul, anali
zând articolul 2 litera (a) din Regulamentul nr. 45/2001, și anume definiția noțiunii
„date cu caracter personal”, a constatat în mod corect că numele și prenumele pot fi
considerate date cu caracter personal.
69 Tribunalul a stabilit de asemenea în mod corect, la punctul 105 din această hotă
râre, analizând articolul 2 litera (b) din regulamentul menționat, și anume definiția
noțiunii „prelucrarea datelor cu caracter personal”, că intră în sfera noțiunii „prelucra
re”, în sensul aceluiași regulament, comunicarea unor astfel de date.
70 În mod întemeiat, Tribunalul a conchis, la punctul 122 din hotărârea atacată, că lis
ta participanților la reuniunea din 11 octombrie 1996 cuprinsă în procesul-verbal al
acestei reuniuni conține, astfel, date cu caracter personal în sensul articolului 2 lite
ra (a) din Regulamentul nr. 45/2001, pentru că persoanele care au participat la această
reuniune pot fi identificate.
I - 6145
71 Prin urmare, aspectul decisiv este acela dacă Comisia putea acorda accesul la do
cumentul care cuprinde cele cinci nume ale participanților la reuniunea din 11 oc
tombrie 1996, în conformitate cu articolul 4 alineatul (1) litera (b) din Regulamentul
nr. 1049/2001 și cu Regulamentul nr. 45/2001.
72 Mai întâi, trebuie să se sublinieze că Bavarian Lager a putut avea acces la toate
informațiile referitoare la reuniunea din 11 octombrie 1996, inclusiv la opiniile pe
care intervenienții le-au exprimat cu titlu profesional.
73 Comisia, cu ocazia primei cereri a Bavarian Lager din 4 mai 1998, a solicitat acordul
participanților la reuniunea din 11 octombrie 1996 de a le difuza numele. Astfel cum
a arătat Comisia în decizia din 18 martie 2003, această procedură era conformă pre
vederilor Directivei 95/46, în vigoare la momentul respectiv.
74 În urma unei noi cereri a Bavarian Lager către Comisie, din 5 decembrie 2003, având
ca obiect comunicarea conținutului complet al procesului-verbal al reuniunii din
11 octombrie 1996, Comisia i-a adus la cunoștință, la 27 ianuarie 2004, că, ținând
seama de intrarea în vigoare a Regulamentelor nr. 45/2001 și nr. 1049/2001, trebuia să
soluționeze în continuare această cerere sub regimul specific al acestor regulamente,
în special al articolului 8 litera (b) din Regulamentul nr. 45/2001.
75 Indiferent că a procedat potrivit regimului anterior al Directivei 95/46 sau sub regi
mul Regulamentelor nr. 45/2001 și nr. 1049/2001, în mod întemeiat, Comisia a veri
ficat dacă persoanele în cauză își dăduseră consimțământul pentru difuzarea datelor
personale care le privesc.
I - 6146
76 Trebuie să se constate că, prin difuzarea versiunii documentului în litigiu din care
erau eliminate cele cinci nume ale participanților la reuniunea din 11 octombrie 1996,
Comisia nu a încălcat dispozițiile Regulamentului nr. 1049/2001 și a respectat în mod
suficient obligația de transparență.
77 Impunând ca, pentru cele cinci persoane care nu și-au dat consimțământul în mod
expres, Bavarian Lager să dovedească necesitatea transferului acestor date perso
nale, Comisia s-a conformat dispozițiilor articolului 8 litera (b) din Regulamentul
nr. 45/2001.
78 Întrucât Bavarian Lager nu a oferit nicio motivare expresă și legitimă și niciun argu
ment convingător pentru a demonstra necesitatea transferului acestor date persona
le, Comisia nu a putut să compare diferitele interese ale părților în cauză. Aceasta nu
putea nici să verifice dacă nu exista niciun motiv să se presupună că acest transfer ar
putea aduce atingere intereselor legitime ale persoanelor vizate, astfel precum preve
de articolul 8 litera (b) din Regulamentul nr. 45/2001.
79 Rezultă din cele de mai sus că în mod întemeiat Comisia a respins cererea de acces la
conținutul complet al procesului-verbal al reuniunii din 11 octombrie 1996.
80 În consecință, Tribunalul a săvârșit o eroare de drept concluzionând, la punctele 133

și 139 din hotărârea atacată, că în mod eronat Comisia a aplicat articolul 4 alinea
tul (1) litera (b) din Regulamentul nr. 1049/2001 la situația din speță și a constatat că
Bavarian Lager nu făcuse dovada unui obiectiv expres și legitim și nici a necesității de
a obține documentul în cauză în integralitatea sa.
I - 6147
81 Având în vedere ansamblul acestor considerații, se impune, fără a fi necesar să se

analizeze celelalte argumente și motive ale părților, să se anuleze hotărârea atacată, în
măsura în care prin aceasta se anulează decizia în litigiu.
Cu privire la consecințele anulării hotărârii atacate
82 Conform articolului 61 primul paragraf din Statutul Curții de Justiție, aceasta poate,
atunci când anulează hotărârea Tribunalului, să soluționeze ea însăși în mod definitiv
litigiul, atunci când acesta este în stare de judecată.
83 Aceasta este situația în speță.
84 Astfel cum a constatat Curtea la punctele 69 și 73 din prezenta hotărâre, decizia în
litigiu nu a încălcat dispozițiile Regulamentelor nr. 45/2001 și nr. 1049/2001.
85 Prin urmare, acțiunea în anulare formulată de Bavarian Lager împotriva deciziei

menționate trebuie să fie respinsă.
I - 6148
86 Potrivit articolului 122 primul paragraf din Regulamentul de procedură, atunci când
recursul este fondat, iar Curtea soluționează ea însăși în mod definitiv litigiul, aceasta
se pronunță asupra cheltuielilor de judecată. Potrivit articolului 69 alineatul (2) din
acest regulament, aplicabil procedurii de recurs în temeiul articolului 118 din același
regulament, partea care cade în pretenții este obligată, la cerere, la plata cheltuielilor
de judecată. Potrivit articolului 69 alineatul (4) din acest regulament, aplicabil pro
cedurii de recurs în temeiul articolului 118 din același regulament, statele membre
și instituțiile care intervin în litigiu suportă propriile cheltuieli de judecată. Curtea
poate hotărî ca un intervenient să suporte propriile cheltuieli de judecată.
87 Întrucât Comisia a solicitat obligarea Bavarian Lager la plata cheltuielilor de judecată,

iar Bavarian Lager a căzut în pretenții în cadrul recursului, se impune obligarea aces
teia la plata cheltuielilor de judecată privind acest recurs.
88 Întrucât Comisia a solicitat totodată obligarea Bavarian Lager la plata cheltuielilor de

judecată pentru procedura în primă instanță, iar acțiunea introdusă a fost respinsă,
se impune obligarea Bavarian Lager la plata cheltuielilor de judecată privind această
procedură.
89 Regatul Danemarcei, Republica Finlanda, Regatul Suediei, Regatul Unit, Consiliul

și Autoritatea Europeană pentru Protecția Datelor suportă propriile cheltuieli de
judecată.
I - 6149
1) Anulează Hotărârea Tribunalului de Primă Instanță al Comunităților Euro

pene din 8 noiembrie 2007, Bavarian Lager/Comisia (T-194/04), în măsura în
care prin aceasta se anulează decizia Comisiei din 18 martie 2004 de respin
gere a unei cereri de acces la conținutul complet al procesului-verbal al reu
niunii din 11 octombrie 1996 care cuprinde numele tuturor participanților
și în măsura în care obligă Comisia Europeană la plata cheltuielilor de jude
cată ale The Bavarian Lager Co. Ltd.
2) Respinge acțiunea The Bavarian Lager Co. Ltd împotriva deciziei Comisiei
din 18 martie 2004 de respingere a unei cereri de acces la conținutul complet
al procesului-verbal al reuniunii din 11 octombrie 1996 care cuprinde nume
le tuturor participanților.
3) Obligă The Bavarian Lager Co. Ltd la plata cheltuielilor de judecată efectua
te de Comisia Europeană atât în cadrul procedurii de recurs, cât și în cadrul
procedurii în primă instanță.
4) Regatul Danemarcei, Republica Finlanda, Regatul Suediei, Regatul Unit al

Marii Britanii și Irlandei de Nord, Consiliul Uniunii Europene și Autoritatea
Europeană pentru Protecția Datelor suportă propriile cheltuieli de judecată.
Semnături
I - 6150
HOTĂRÂREA TRIBUNALULUI FUNCȚIEI PUBLICE A UNIUNII EUROPENE (Camera întâi)
5 iulie 2011 *
„Funcție publică — Agent contractual — Condiții de angajare — Aptitudine fizică — Vizită medicală
de angajare — Protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal —
Secret medical — Transferul de date medicale între instituții — Dreptul la respectarea vieții private”
În cauza F-46/09,
având ca obiect o acțiune formulată în temeiul articolelor 236 CE și 152 EA,
V, candidată la un post de agent contractual în cadrul Parlamentului European, cu domiciliul în

Bruxelles (Belgia), reprezentată de É. Boigelot și S. Woog, avocați,
reclamantă,
susținută de
Autoritatea Europeană pentru Protecția Datelor, reprezentată de doamna M. V. Pérez Asinari și de
domnul H. Kranenborg, în calitate de agenți,
intervenientă,
împotriva
Parlamentului European, reprezentat de doamnele K. Zejdová și S. Seyr, în calitate de agenți,
pârât,
TRIBUNALUL FUNCȚIEI PUBLICE (Camera întâi),
compus din domnul S. Gervasoni (raportor), președinte, domnul H. Kreppel și doamna M. I. Rofes i
Pujol, judecători,
grefier: domnul R. Schiano, administrator,
având în vedere procedura scrisă și în urma ședinței din 8 martie 2011,
pronunță prezenta
* Limba de procedură: franceza.
RO
ECLI:EU:F:2011:101 1
HOTĂRÂREA DIN 5.7.2011 – CAUZA F-46/09
V/PARLAMENTUL EUROPEAN
Hotărâre
1 Prin cererea depusă la grefa Tribunalului la 5 octombrie 2009, V a introdus prezenta acțiune având ca
obiect, în principal, anularea, pe de o parte, a deciziei din 19 decembrie 2008 prin care directorul
Direcției gestionare administrativă personal a Parlamentului European a retras oferta de muncă pe care
i-o prezentase la 10 decembrie 2008, ca urmare a inaptitudinii pentru încadrare în muncă, și, pe de altă
parte, a avizului eliberat de medicul consultant al Parlamentului European la 18 decembrie 2008,
precum și repararea prejudiciilor pe care apreciază că le-a suferit.
Cadrul juridic
2 Articolul 82 alineatul (3) din Regimul aplicabil celorlalți agenți ai Uniunii Europene (denumit în
continuare „RAA”) prevede:
„Poate fi încadrată în muncă ca agent contractual numai persoana care:
[…]
(d) este aptă din punct de vedere fizic să își exercite atribuțiile; [...]”
3 Potrivit articolului 83 din RAA:
„Înainte de a fi angajat în muncă, agentul contractual este supus unui examen medical efectuat de către
un medic consultant al instituției, astfel încât instituția să se asigure că acesta îndeplinește condițiile
prevăzute la articolul 82 alineatul (3) [litera] (d).
Articolul 33 paragraful al doilea din [S]tatut[ul funcționarilor Uniunii Europene] se aplică prin
analogie.”
4 Articolul 33 al doilea paragraf din Statutul funcționarilor Uniunii Europene (denumit în continuare
„statutul”) prevede:
„În cazul unui aviz medical negativ, primit ca urmare a efectuării examenului medical prevăzut la
primul paragraf, candidatul poate solicita, în termen de 20 de zile de la data la care instituția i-a
notificat respectivul aviz, examinarea cazului său de către o comisie medicală compusă din trei medici
aleși de autoritatea împuternicită să facă numiri dintre medicii consultanți ai instituțiilor. Medicul
consultant care a emis avizul negativ inițial este audiat de comisia medicală. Candidatul poate
prezenta comisiei medicale avizul unui medic ales de el. Atunci când avizul comisiei medicale
confirmă concluziile examenului medical prevăzut la primul paragraf, onorariile și cheltuielile aferente
sunt suportate de candidat în proporție de 50 %.”
5 Articolul 15 din Decizia Biroului Parlamentului European din 3 mai 2004 privind reglementarea
internă referitoare la recrutarea funcționarilor și a celorlalți agenți (denumită în continuare
„reglementarea internă”) prevede:
„Anterior angajării unui agent contractual, acesta este supus unui examen medical în conformitate cu
articolul 83 din RAA. Rezultatul acestui examen este valabil timp de un an, cu excepția unei indicații
contrare realizate de medicul consultant al instituției, care, dacă este cazul, poate stabili un termen de
valabilitate mai scurt.”
6 Manualul de proceduri al Serviciului medical al Comisiei Europene prevede că, în cazul în care
persoana în cauză nu a fost încadrată în muncă, după confirmarea aptitudinii sau a inaptitudinii
acesteia, dosarul este transmis la arhive după șase luni.
2 ECLI:EU:F:2011:101
7 Articolul 1 alineatul (1) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului
din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter
personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001,
L 8, p. 1, Ediție specială, 13/vol. 30, p. 142) prevede:
„În conformitate cu prezentul regulament, instituțiile și organele instituite de către sau în temeiul
tratatelor de instituire a [Uniunii Europene], denumite în continuare «instituții sau organe [ale
Uniunii]», protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul
acestora la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, și nu limitează
sau interzic libera circulație a datelor cu caracter personal între acestea sau către destinatarii aflați sub
incidența legislației interne a statelor membre care pun în aplicare Directiva 95/46/CE.”
„(1) Datele cu caracter personal trebuie să fie:
(a) prelucrate în mod corect și legal;
(b) colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod
incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor cu caracter personal în scopuri
istorice, statistice sau științifice nu este considerată incompatibilă în măsura în care operatorul ia
măsurile de securitate adecvate, în special pentru a se asigura că datele nu sunt prelucrate în nici
un alt scop și nici utilizate pentru a sprijini dispoziții sau decizii luate în privința unei persoane
anume;
(c) adecvate, relevante și neexcesive în raport cu scopurile pentru care sunt colectate și prelucrate
ulterior;
(d) exacte și, dacă este necesar, actualizate; pot fi luate orice măsuri justificate pentru ca datele
inexacte sau incomplete să fie șterse sau rectificate, având în vedere scopurile pentru care acestea
sunt colectate sau pentru care sunt ulterior prelucrate;
(e) păstrate într-o formă care să permită identificarea persoanelor vizate pentru o perioadă de timp
care nu o depășește pe cea necesară scopurilor pentru care au fost colectate sau pentru care sunt
ulterior prelucrate. Instituțiile sau organele [Uniunii] stabilesc ca datele cu caracter personal care
urmează să fie păstrate pe perioade mai lungi decât perioada menționată în scopuri istorice,
statistice sau științifice [să fie] păstrate doar într-o formă anonimă sau, în cazul în care acest
lucru nu este posibil, să fie stocate numai cu condiția codificării identității persoanei vizate. În
orice caz, datele nu trebuie folosite în alte scopuri decât cele istorice, statistice sau științifice.
(2) Asigurarea respectării dispozițiilor alineatului (1) incumbă operatorului.”
9 Conform articolului 6 din Regulamentul nr. 45/2001:
„Fără a aduce atingere articolelor 4, 5 și 10:
(1) Datele cu caracter personal nu pot fi prelucrate în alte scopuri decât cele pentru care au fost
colectate decât în cazul în care modificarea scopului este permisă expres de normele interne ale
instituției sau ale organului [Uniunii].
[…]”
ECLI:EU:F:2011:101 3
„Fără a aduce atingere articolelor 4, 5, 6 și 10:
(1) Datele cu caracter personal nu sunt transferate între instituții sau între organe comunitare sau în
cadrul acestora decât în cazul în care sunt necesare pentru îndeplinirea legitimă a sarcinilor care
sunt de competența destinatarului.
[…]”
11 Alineatele (1)-(3) ale articolului 10 din Regulamentul nr. 45/2001 prevăd:
„(1) Este interzisă prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică,
opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea
datelor privind sănătatea sau viața sexuală.
(2) Alineatul (1) nu se aplică atunci când:
(a) persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date, cu excepția
cazului în care normele interne ale instituției sau ale organului [Uniunii] prevăd ca interdicția
menționată la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate sau
(b) prelucrarea este necesară în scopul respectării obligațiilor și drepturilor specifice ale operatorului
în materie de drept al muncii, în măsura în care este autorizat de tratatele de instituire a [Uniunii
Europene] sau de alte instrumente legislative adoptate în temeiul acestora sau, dacă este necesar,
în măsura în care este acceptat de către Autoritatea Europeană pentru Protecția Datelor, cu
condiția adoptării unor garanții adecvate […]
(3) Alineatul (1) nu se aplică atunci când prelucrarea datelor este necesară în scopuri legate de
medicina preventivă, de stabilirea diagnosticelor medicale, de administrarea unor îngrijiri sau
tratamente ori de gestionarea serviciilor de sănătate și atunci când datele sunt prelucrate de un cadru
medical supus secretului profesional sau de către altă persoană supusă, de asemenea, unei obligații
echivalente în ceea ce privește secretul.”
Situația de fapt aflată la originea litigiului
12 În perioada februarie 1997-martie 2006, reclamanta a lucrat în cadrul mai multor servicii ale Comisiei
ca agent auxiliar sau ca membru al personalului interimar, pentru o perioadă totală de aproximativ trei
ani. Aceasta a exercitat ultima dată, printre altele, ad-interim, atribuții în calitate de asistentă în cadrul
Unității „Anchete în comun cu alte organisme” a Oficiului European de Luptă Antifraudă (OLAF), în
perioada septembrie 2005-martie 2006.
13 Prin nota din 27 februarie 2006, reclamanta a fost informată cu privire la reușita sa la testele de selecție
a agenților contractuali, denumite CAST 25, pentru cele 25 de state membre, în domeniul
secretariatului. În consecință, numele său a fost înscris în baza de date finală a Oficiului European
pentru Selecția Personalului (EPSO) care cuprinde candidații care au reușit și a cărei valabilitate era
de trei ani.
14 În iunie 2006, două direcții generale ale Comisiei și-au manifestat intenția de a recruta reclamanta.
15 Reclamanta a fost convocată la un examen medical pentru a se aprecia dacă este aptă să își exercite
atribuțiile, în conformitate cu articolul 83 din RAA.
4 ECLI:EU:F:2011:101
16 La 26 iunie 2006, examenul medical de angajare a avut loc la sediul Serviciului medical al Comisiei, la
Bruxelles (Belgia), iar reclamanta a fost consultată de doctorul K.
17 La 29 iunie 2006, reclamanta a adresat o scrisoare domnului F., șeful Serviciului medical al Comisiei,
pentru a se plânge de conduita necorespunzătoare pe care ar fi avut-o doctorul K. față de ea în timpul
examenului medical de angajare din 26 iunie 2006.
18 Domnul F. a examinat această plângere în iulie 2006, ascultându-i, pe de o parte, pe doctorul K., care a
negat săvârșirea faptelor imputate, și, pe de altă parte, pe reclamantă.
19 Ca urmare a acestei cercetări, în pofida lipsei probelor privind faptele imputate doctorului K., s-a decis
să se încredințeze analizarea dosarului reclamantei unui alt medic.
20 La 26 septembrie 2006, medicul consultant al Comisiei a emis un aviz medical în care constata
inaptitudinea fizică a reclamantei.
21 Prin scrisoarea din 9 noiembrie 2006, doamna S., directoare în cadrul Direcției Generale (DG) Personal
și administrație, a informat reclamanta că nu îndeplinește condițiile privind aptitudinea fizică necesare
pentru exercitarea atribuțiilor sale și că, în conformitate cu articolul 33 al doilea paragraf din statut, are
posibilitatea de a solicita în termen de 20 de zile ca situația sa să fie supusă avizului unei comisii
medicale.
22 Prin scrisoarea din 18 noiembrie 2006, reclamanta a solicitat ca situația sa să fie supusă avizului unei
comisii medicale.
23 În avizul din 17 aprilie 2007 al comisiei medicale, adoptat în unanimitate de cei trei membri, se arăta
că, în urma examinării tuturor înscrisurilor din dosarul persoanei interesate și a solicitării unei
expertize psihiatrice, comisia respectivă este „de părere că [reclamanta] nu are aptitudinile necesare
pentru exercitarea atribuțiilor sale”. La finalul avizului, se preciza că „temeiul medical al concluziilor
este transmis în regim de secret medical [Serviciului medical al Comisiei]”.
24 Prin scrisoarea din 15 mai 2007, Comisia a informat reclamanta că „[p]otrivit avizului comisiei [anexat
în copie la scrisoare], [aceasta] nu îndeplinește condițiile privind aptitudinea fizică necesare pentru
exercitarea atribuțiilor [sale]”. Se menționa în această scrisoare că „[t]emeiul medical al concluziilor
[fusese] transmis, în regim de secret medical, [ș]efului Serviciului medical al Comisiei, la Bruxelles,
care îl [depusese la] dosarul medical [al reclamantei]”.
25 La 9 mai 2007, reclamanta a formulat o reclamație împotriva acestei decizii.
26 Prin decizia din 12 iulie 2007, Comisia a respins reclamația.
27 La 4 martie 2008, reclamanta a introdus o acțiune în special împotriva deciziei din 15 mai 2007, cu
numărul F-33/08. Prin Hotărârea din 21 octombrie 2009, Tribunalul a respins această acțiune.
Tribunalul Uniunii Europene, sesizat cu recurs, a menținut această soluție de respingere, prin
Hotărârea din 15 iunie 2011 (V/Comisia, T-510/09 P).
28 După ce, printr-o notă din 9 decembrie 2008, Serviciul medical al Parlamentului European a solicitat
comunicarea dosarului medical al reclamantei de către serviciile Comisiei, Parlamentul European a
prezentat, prin scrisoarea din 10 decembrie 2008, o ofertă de muncă reclamantei în calitate de agent
contractual, pentru un post din grupa de funcții II la Secretariatul general, pentru perioada cuprinsă
între 2 februarie 2009 și 2 august 2009. În această scrisoare, se precizase că această ofertă era
prezentată sub rezerva respectării condițiilor de angajare prevăzute la articolul 82 din RAA și a
rezultatului pozitiv al examenului medical de angajare. Se solicita de asemenea reclamantei să
transmită prin fax, în termen de două săptămâni, documentele necesare, în special copii certificate
ECLI:EU:F:2011:101 5
conforme cu originalul după adeverințele de la toți angajatorii anteriori. Prin scrisoarea din aceeași zi,
persoana responsabilă cu gestionarea dosarului de recrutare a reclamantei a informat-o, printre altele,
cu privire la modalitățile de desfășurare a examenului medical de angajare și i-a solicitat să aducă o
fotografie „pentru constituirea dosarului [său] medical”.
29 Prin e-mailul din 10 decembrie 2008, reclamanta a acceptat oferta de muncă a Parlamentului
European. Prin alt e-mail din aceeași zi, reclamanta a informat Parlamentul European că îi este
imposibil să transmită prin fax documentele solicitate în termen de 15 zile, din cauza unei deplasări în
străinătate și, ținând seama de perioada Crăciunului, a solicitat un termen până în ianuarie.
30 Prin scrisoarea din 10 decembrie 2008, reclamanta a fost convocată la 7 ianuarie 2009 pentru examenul
medical de angajare. Această scrisoare cuprindea, în partea de jos a paginii, numele a șase medici
membri ai Serviciului medical al Parlamentului European la Bruxelles. Scrisoarea era semnată de
doctorul B. Printre cei șase medici menționați figura doctorul K., care efectuase vizita medicală de
angajare de la 26 iunie 2006 a reclamantei la Comisie și a cărui conduită fusese contestată de
reclamantă.
31 Prin e-mailul din 11 decembrie 2008, persoana responsabilă cu gestionarea dosarului reclamantei i-a
răspuns că este în regulă să transmită documentele solicitate în ianuarie, recrutarea fiind prevăzută
pentru 2 februarie 2009.
32 La 12 decembrie 2008, reclamanta s-a prezentat, din proprie inițiativă, la Clinica Parc Léopold din
Bruxelles în vederea efectuării analizelor de sânge.
33 La 12 decembrie 2008, Serviciul medical al Parlamentului European a primit o copie a dosarului
medical de angajare al reclamantei, al cărui original fusese păstrat la arhivele Comisiei după refuzul
angajării persoanei interesate de către această instituție.
34 Prin avizul din 18 decembrie 2008, medicul consultant al Parlamentului European, după consultarea
elementelor comunicate de Comisie, a concluzionat în sensul inaptitudinii fizice a reclamantei în
exercitarea „oricărei funcții la oricare dintre [i]nstituțiile europene”. Acest aviz este intitulat
„Rezultatul examenului medical din 26 [iunie] 2006 realizat la Comisie la Bruxelles” și se întemeiază
pe constatarea potrivit căreia reclamanta a fost recunoscută inaptă la 26 septembrie 2006 de către
medicul consultant al Comisiei, iar inaptitudinea a fost confirmată la 17 aprilie 2007 de comisia
medicală de recurs și este „încă valabilă în prezent în raport cu exercitarea oricărei funcții la oricare
dintre instituțiile europene”.
35 Prin scrisoarea din 19 decembrie 2008, Parlamentul European a informat reclamanta cu privire la
avizul de constatare a inaptitudinii din 18 decembrie 2008 sus-menționat și a retras oferta de muncă
pe care i-o prezentase la 10 decembrie 2008 (denumită în continuare „decizia în litigiu”). În această
scrisoare, în primul rând, Parlamentul European amintea obligația care ar fi revenit reclamantei de a-l
fi informat cu privire la orice altă vizită medicală de angajare realizată în trecut la o altă instituție
pentru a facilita procedura de recrutare și a permite transferul dosarului medical deținut de instituția în
cauză. În al doilea rând, Parlamentul European arăta că obținuse transferul dosarului medical al
reclamantei deținut de Comisie, după ce a aflat, prin consultarea bazei de date CAST, că persoana
interesată lucrase înainte în cadrul instituției menționate.
36 Prin scrisoarea din 5 ianuarie 2009, reclamanta a formulat o reclamație împotriva deciziei în litigiu în
temeiul articolului 90 alineatul (2) din statut. Parlamentul European susține, fără a fi contrazis, că a
primit reclamația la 7 ianuarie 2009.
6 ECLI:EU:F:2011:101
37 Prin e-mailurile din 26 ianuarie 2009 și din 13 martie 2009, reclamanta a completat reclamația. În plus,
a solicitat comunicarea rezultatelor analizelor de sânge efectuate la 12 decembrie 2008 la Clinica Parc
Léopold și la 26 iunie 2006 de către Serviciul medical al Comisiei și l-a acuzat pe doctorul K. că a
falsificat rezultatele acestor analize medicale.
38 La 18 februarie 2009, reclamanta a efectuat o nouă analiză de sânge din care a rezultat, potrivit surselor
citate, „o diferență evidentă și la prima vedere dificil de explicat față de rezultatele analizelor de sânge
din 12 decembrie 2008”.
39 Prin scrisoarea din 30 aprilie 2009, Parlamentul European a informat reclamanta că respinge acuzațiile
potrivit cărora doctorul K. ar fi falsificat rezultatele analizelor de sânge menționate mai sus.
40 La 7 mai 2009, s-a luat decizia implicită de respingere a reclamației.
41 Prin scrisoarea din 12 mai 2009, Parlamentul European a comunicat reclamantei rezultatele analizelor
de sânge.
42 Prin scrisoarea din 24 iunie 2009, notificată reclamantei la 2 iulie 2009, secretarul general al
Parlamentului European a respins în mod expres reclamația.
Concluziile părților și procedura
43 Reclamanta solicită Tribunalului:
— obligarea Parlamentului European, prin hotărâre interlocutorie, pe de o parte, să retragă din dosarul
său medical rezultatele analizelor de sânge realizate la 12 decembrie 2008 la Clinica Parc Léopold
din cauza falsificării de către doctorul K. și, pe de altă parte, să retragă, să înlocuiască sau să
revizuiască în dosarul său medical răspunsurile false pe care le-a dat sub presiunea doctorului K.,
cu ocazia vizitei medicale de angajare la Comisie;
— anularea deciziei în litigiu;
— anularea avizului medicului consultant din 18 decembrie 2008;
— obligarea Parlamentului European să organizeze o vizită de angajare reală și nediscriminatorie și să

redeschidă postul propus reclamantei în cadrul DG Comunicare a Parlamentului European;
— obligarea Parlamentului European la plata sumei de 70 000 de euro cu titlu de prejudicii morale și
materiale pretinse și a dobânzilor de întârziere aferente;
— obligarea Parlamentului European la plata cheltuielilor de judecată.
44 Parlamentul European solicită Tribunalului:
— respingerea acțiunii;
— obligarea reclamantei la plata tuturor cheltuielilor de judecată.
45 Prin scrisoarea din 12 februarie 2010 privind o măsură de organizare a procedurii, Tribunalul a solicitat
Parlamentului European să prezinte Decizia Biroului Parlamentului European din 3 mai 2004 privind
reglementarea internă referitoare la recrutarea funcționarilor și a celorlalți agenți. Parlamentul
European a dat curs acestei solicitări.
ECLI:EU:F:2011:101 7
46 Prin scrisoarea din 12 aprilie 2010, Tribunalul a adoptat o măsură de cercetare judecătorească, în
temeiul articolului 58 alineatul (2) al doilea paragraf din Regulamentul de procedură, prin care a
solicitat Comisiei să precizeze, printre altele, care sunt normele interne ale acestei instituții aplicabile
în materie de transfer al datelor cu caracter medical către o altă instituție și care sunt împrejurările de
fapt în care s-a realizat transferul datelor medicale ale V către Parlamentul European. Prin scrisoarea
din 23 aprilie 2010, Comisia a dat curs acestei măsuri.
47 Prin scrisoarea din 12 aprilie 2010, Tribunalul a solicitat Parlamentului European, pe de o parte, în
cadrul măsurilor de organizare a procedurii, să precizeze împrejurările de fapt în care a avut loc
transferul de date medicale ale reclamantei către acesta și, pe de altă parte, în conformitate cu
articolul 111 alineatul (1) din Regulamentul de procedură, să își depună observațiile cu privire la
caracterul oportun al invitării Autorității Europene pentru Protecția Datelor (AEPD) să intervină în
procedură. Prin scrisoarea din 23 aprilie 2010, Parlamentul European a dat curs măsurii de organizare
a procedurii și a informat Tribunalul că nu are observații cu privire la caracterul oportun al invitării
AEPD să intervină în procedură.
48 Prin scrisoarea din 12 aprilie 2010, Tribunalul a solicitat reclamantei, în conformitate cu articolul 111
alineatul (1) din Regulamentul de procedură, să depună observații cu privire la caracterul oportun al
invitării AEPD să intervină în procedură. Prin scrisoarea din 23 aprilie 2010, reclamanta a răspuns că
o asemenea invitație de a depune o cerere de intervenție îi pare oportună.
49 Tribunalul a apreciat că nu este necesar să solicite Comisiei să depună o cerere de intervenție în

prezentul litigiu, întrucât această instituție prezentase Tribunalului, în cadrul măsurii de cercetare
judecătorească menționate mai sus, informațiile suplimentare necesare în dosar. În plus, în prezentul
litigiu, drepturile Comisiei nu pot fi prejudiciate direct, niciun act al acestei instituții nefiind vizat de
concluziile acțiunii.
50 Prin e-mailul din 23 aprilie 2010, reclamanta a informat Tribunalul că a suspendat mandatul avocatului
său până la pronunțarea unei decizii cu privire la cererea de desesizare a Tribunalului pe care o
adresase Curții de Justiție a Uniunii Europene.
51 După un schimb de scrisori și de e-mailuri între Tribunal și reclamantă, care a inclus între altele o
scrisoare a grefierului din 21 mai 2010 și o scrisoare a președintelui Tribunalului din 10 iunie 2010,
reclamanta a confirmat, prin scrisoarea din 15 iunie 2010, adresată președintelui Tribunalului, că își
menține acțiunea pe rolul Tribunalului și mandatul de reprezentare pe care îl încredințase avocatului
Boigelot în prezenta cauză. Această scrisoare, care provine de la reclamantă, nu a fost depusă în dosar.
Prin scrisoarea din 1 iulie 2010, avocatul Boigelot a confirmat că este încă împuternicit de reclamantă
în această cauză. Scrisoarea din 15 iunie 2010 a reclamantei era anexată la această scrisoare.
52 Prin scrisoarea din 8 iulie 2010, Tribunalul a solicitat AEPD să îi precizeze dacă dorește să depună o
cerere de intervenție în prezentul litigiu. În această scrisoare, Tribunalul a subliniat, printre altele, că
reclamanta invoca încălcarea articolelor 6 și 7 din Regulamentul nr. 45/2001.
53 Prin scrisoarea din 31 august 2010, AEPD a răspuns că dorește să intervină în prezenta cauză în
susținerea concluziilor reclamantei.
54 Prin scrisoarea din 16 septembrie 2010, Tribunalul a solicitat părților, în conformitate cu articolul 111
alineatul (2) din Regulamentul de procedură, să îi indice, dacă este cazul, înscrisurile pe care le
apreciază a fi secrete și confidențiale și care, în consecință, nu doresc să fie comunicate intervenientei.
Prin scrisoarea din 20 septembrie 2010, Parlamentul European a răspuns Tribunalului că niciun înscris
depus la dosar nu era secret sau confidențial. Prin scrisoarea din 24 septembrie 2010, reclamanta a
solicitat tratarea confidențială a datelor sale cu caracter personal în orice act de procedură din prezenta
cauză, în vederea evitării oricărei posibilități de identificare, și a transmis Tribunalului o versiune
neconfidențială a cererii.
8 ECLI:EU:F:2011:101
55 Părțile au fost informate prin scrisoarea din 11 octombrie 2010 că Tribunalul a admis cererea
reclamantei de aplicare a regimului de confidențialitate. Tribunalul a solicitat Parlamentului European
să îi transmită o versiune neconfidențială a memoriului în apărare și a scrisorii din 23 aprilie 2010
prin care precizase, printre altele, că nu intenționează să depună observații cu privire la caracterul
oportun al unei intervenții a AEPD în cadrul procedurii. Parlamentul European a dat curs acestei
solicitări.
56 Prin Ordonanța din 10 noiembrie 2010, s-a admis cererea de intervenție a AEPD.
57 La 10 ianuarie 2011, AEPD și-a depus memoriul în intervenție. Aceasta precizează în memoriul
respectiv că intervine în susținerea concluziilor reclamantei numai în măsura în care susține că
conduita Serviciului medical al Parlamentului European a încălcat normele privind protecția datelor.
58 Prin scrisorile din 3 februarie 2011, părțile și-au prezentat observațiile cu privire la acest memoriu.
În drept
1. Cu privire la concluziile în anularea avizului medicului consultant din 18 decembrie 2008
59 Potrivit unei jurisprudențe constante, nu constituie acte sau decizii susceptibile să facă obiectul unei
acțiuni în anulare decât măsurile care produc efecte juridice obligatorii de natură a afecta interesele
reclamantului, modificând în mod distinct situația juridică a acestuia (Hotărârea Tribunalului de
Primă Instanță din 15 iunie 1994, Pérez Jiménez/Comisia, T-6/93, punctul 34). Atunci când este vorba
despre acte sau decizii a căror elaborare se efectuează în mai multe etape, în special la încheierea unei
proceduri interne, sunt susceptibile să facă obiectul unei acțiuni în anulare, în principiu, numai
măsurile care stabilesc definitiv poziția instituției la încheierea acestei proceduri, cu excluderea
măsurilor intermediare al căror obiectiv este de a pregăti hotărârea definitivă (a se vedea în special, în
ceea ce privește un aviz al comisiei medicale, Hotărârea Tribunalului de Primă Instanță din 11 aprilie
2006, Angeletti/Comisia, T-394/03, punctul 36, și, în ceea ce privește un aviz al comisiei pentru
invaliditate, Hotărârea Tribunalului din 4 noiembrie 2008, Marcuccio/Comisia, F-41/06, punctele 53
și 54).
60 Avizul medicului consultant din 18 decembrie 2008 constituie un act pregătitor al deciziei în litigiu și,
prin urmare, contestarea lui directă nu este admisibilă. În consecință, concluziile îndreptate împotriva
acestui aviz trebuie respinse ca inadmisibile.
2. Cu privire la concluziile prin care se urmărește dispunerea anumitor măsuri de către Tribunal
61 Reclamanta solicită Tribunalului să dispună ca, pe de o parte, Parlamentul European să retragă din
dosarul ei medical rezultatele la analizele de sânge efectuate la 12 decembrie 2008 și, pe de altă parte,
să retragă din dosarul ei medical, să înlocuiască sau corecteze răspunsurile false pe care le-a dat sub
presiunea doctorului K., cu ocazia vizitei medicale de angajare la Comisie. Reclamanta solicită de
asemenea Tribunalului să dispună ca Parlamentul European să organizeze o vizită medicală de
angajare și să redeschidă postul care îi fusese propus în cadrul DG Comunicare a Parlamentului
European.
62 Potrivit Parlamentului European, astfel de solicitări sunt concluzii în sensul emiterii unor somații.
63 Or, potrivit jurisprudenței constante, instanța Uniunii nu este competentă să adreseze ordine
instituțiilor (Hotărârea Curții din 21 noiembrie 1989, Becker și Starquit/Parlamentul European,
C-41/88 și C-178/88, punctul 6, Hotărârea Tribunalului de Primă Instanță din 9 iunie 1994,
X/Comisia, T-94/92, punctul 33, Hotărârea Tribunalului de Primă Instanță din 9 iunie 1998, Chesi și
ECLI:EU:F:2011:101 9
alții/Consiliul, T-172/95, punctul 33, Hotărârea Tribunalului de Primă Instanță din 15 decembrie 1999,
Latino/Comisia, T-300/97, punctul 28 și jurisprudența citată, și Hotărârea Tribunalului din
7 noiembrie 2007, Hinderyckx/Consiliul, F-57/06, punctul 65).
64 În consecință, cererea menționată mai sus trebuie respinsă ca inadmisibilă.
3. Cu privire la concluziile în anularea deciziei în litigiu
65 Reclamanta invocă, în esență, patru motive:
— primul, întemeiat pe caracterul nelegal al avizului medicului consultant al Parlamentului European,

eliberat pe baza documentelor care proveneau de la Serviciul medical al Comisiei din urmă cu peste
doi ani și în lipsa unui examen clinic și psihologic prealabil al persoanei interesate;
— al doilea, întemeiat pe încălcarea procedurii prevăzute la articolul 33 al doilea paragraf din statut și
a principiului respectării dreptului la apărare, în măsura în care decizia în litigiu a fost adoptată fără
ca reclamanta să fi fost în măsură să sesizeze în prealabil comisia medicală de apel;
— al treilea, întemeiat pe încălcarea principiului respectării vieții private și a dispozițiilor articolelor 6

și 7 din Regulamentul nr. 45/2001;
— al patrulea, întemeiat pe existența unei hărțuiri morale.
Cu privire la primul motiv, întemeiat pe caracterul nelegal al avizului medicului consultant
66 Reclamanta susține că avizul medicului consultant, pe baza căruia a fost adoptată decizia în litigiu, a
fost emis în condiții nelegale. Astfel, medicul consultant ar fi emis avizul său fără a realiza o
examinare medicală a reclamantei și exclusiv pe baza unui dosar medical vechi, care provenea de la
Serviciul medical al Comisiei și care cuprindea informații cu o vechime de peste doi ani și care a fost
contestat în cauza F-33/08. Or, instanța Uniunii ar considera că vizita medicală de angajare trebuie să
implice în mod necesar un examen clinic, în caz contrar fiind complet inutilă. În plus, potrivit
reglementării Comisiei, un aviz privind aptitudinea fizică ar avea o durată de valabilitate limitată la șase
luni.
67 Parlamentul European nu contestă că reclamanta nu a fost supusă unui examen clinic de către medicul
consultant. Totuși, în speță, acesta apreciază că medicul său consultant nu era obligat să realizeze un
astfel de examen.
68 În primul rând, cu titlu introductiv, Parlamentul European subliniază că decizia de constatare a

inaptitudinii fizice adoptată de Comisie în privința reclamantei a fost considerată legală de Tribunal,
în Hotărârea din 21 octombrie 2009 (V/Comisia, citată anterior). Decizia în litigiu și avizul emis de
medicul consultant ar fi, prin urmare, întemeiate pe o decizie pe care Comisia a adoptat-o în mod
legal.
69 În al doilea rând, potrivit Parlamentului European, caracterul oportun sau inoportun al unui examen
clinic al candidatului la angajare este o problemă pur medicală, care nu poate face obiectul unui
control al instanței. În această privință, Parlamentul European amintește, prin analogie, jurisprudența
instanței Uniunii în ceea ce privește caracterul oportun al examinării medicale a funcționarului de
către comisia pentru invaliditate.
10 ECLI:EU:F:2011:101
70 În al treilea rând, Parlamentul European susține că medicul său consultant ar fi fost în posesia
dosarului medical al reclamantei transmis de Comisie, care conținea rezultatele mai multor examene
clinice și al mai multor expertize complementare. Or, informațiile conținute în acest dosar ar fi fost
suficient de recente și de pertinente pentru a-i permite să elibereze un aviz ținând seama de caracterul
cronic și durabil al patologiei reclamantei.
71 În al patrulea rând, Parlamentul European înlătură argumentul întemeiat pe manualul de proceduri al

Serviciului medical al Comisiei, text care nu ar fi aplicabil în cadrul Parlamentului European. Singura
normă internă prevăzută de Parlamentul European cu privire la valabilitatea unui examen de angajare
ar fi reprezentată de articolul 15 din reglementarea internă, care prevede o durată de valabilitate de un
an a avizelor privind aptitudinea fizică. Or, această normă ar fi aplicabilă numai avizelor pozitive și nu
s-ar putea opune ca medicul consultant al Parlamentului European, pentru a emite avizul în litigiu, să
se refere la un aviz de constatare a inaptitudinii emis de un medic consultant al Comisiei cu peste un
an înainte.
Aprecierea Tribunalului
72 Cu toate că, în cadrul controlului legalității unui refuz de recrutare motivat prin inaptitudinea fizică,
instanța Uniunii nu poate substitui un aviz cu caracter strict medical cu propria apreciere, îi revine
totuși sarcina de a verifica dacă procedura de recrutare s-a desfășurat legal și în special de a examina
dacă refuzul recrutării se întemeiază pe un aviz medical motivat, care stabilește o legătură
comprehensibilă între constatările medicale pe care le cuprinde și concluzia la care ajunge (Hotărârea
Tribunalului de Primă Instanță din 14 aprilie 1994, A/Comisia, T-10/93, punctul 61).
73 Este posibil ca medicul consultant al unei instituții să își întemeieze avizul de constatare a inaptitudinii
fizice nu numai pe existența tulburărilor fizice sau psihice actuale, ci și pe un prognostic, întemeiat
medical, al unor tulburări viitoare, susceptibile să pună în discuție, într-un viitor previzibil,
îndeplinirea normală a atribuțiilor avute în vedere (Hotărârea A/Comisia, citată anterior, punctul 62).
74 În plus, trebuie amintit că, în cazurile în care o instituție a Uniunii dispune de o largă putere de
apreciere, controlul respectării garanțiilor conferite de ordinea juridică a Uniunii în cadrul
procedurilor administrative prezintă o importanță fundamentală. Instanța Uniunii a avut ocazia de a
preciza că printre aceste garanții figurează în special obligația instituției competente de a examina
atent și imparțial toate elementele relevante ale cazului și aceea de a-și motiva decizia în mod suficient
(a se vedea Hotărârea Curții din 21 noiembrie 1991, Technische Universität München, C-269/90,
punctul 14, Hotărârea Curții din 7 mai 1992, Pesquerias De Bermeo și Naviera Laida/Comisia,
C-258/90 și C-259/90, punctul 26, Hotărârea Curții din 22 noiembrie 2007, Spania/Lenzing,
C-525/04 P, punctul 58, Hotărârea Tribunalului de Primă Instanță din 8 septembrie 2009,
ETF/Landgren, T-404/06 P, punctul 163).
75 În speță, rezultă chiar din cuprinsul avizului din 18 decembrie 2008 că, în vederea emiterii acestui aviz,
medicul consultant al Parlamentului European s-a întemeiat exclusiv pe date medicale colectate de
Comisie în 2006 și în 2007, cu peste un an și jumătate înainte, în cadrul unei alte proceduri medicale
de angajare. De altfel, Parlamentul European nu contestă că aceste date medicale au fost obținute de
Comisie cu peste un an și jumătate înaintea avizului de constatare a inaptitudinii emis de medicul
consultant al Parlamentului European la 18 decembrie 2008.
76 Or, este necesar să se sublinieze mai întâi că articolul 15 din reglementarea internă, regulă de conduită
pe care Parlamentul European și-a impus-o și de la care nu se poate îndepărta fără a preciza motivele
care l-au determinat, limitează în general la un an durata valabilității rezultatului unui examen medical
realizat în temeiul dispozițiilor articolului 83 din RAA. Astfel, având în vedere această dispoziție,
Parlamentul European ar fi trebuit cel puțin să pună sub semnul întrebării valabilitatea datelor
ECLI:EU:F:2011:101 11
colectate de Comisie, în condițiile în care nu le-ar fi putut considera valabile mai mult de un an după
examenul de angajare dacă acestea ar fi fost obținute în cursul unei proceduri de angajare desfășurate
la Parlamentul European.
77 În continuare, s-a decis că examenul medical de angajare trebuie să presupună în mod necesar un
examen clinic și, dacă este cazul, testele biologice suplimentare indicate de medicul consultant, în caz
contrar fiind complet inutil (Hotărârea A/Comisia, citată anterior, punctele 49-51).
78 În sfârșit, din jurisprudența citată anterior la punctele 73 și 74 rezultă că, pentru a fi legal emis, un aviz
de constatare a inaptitudinii fizice trebuie să constate tulburări actuale sau viitoare și să fie întemeiat
pe elemente relevante.
79 Desigur, Parlamentul European susține, întemeindu-se pe jurisprudența în materie de constatare a

originii profesionale a unei invalidități, că necesitatea, în circumstanțele date, a unui examen clinic al
persoanei în cauză ține de puterea de apreciere conferită membrilor comisiei pentru invaliditate
(Hotărârea Tribunalului de Primă Instanță din 23 noiembrie 2004, O/Comisia, T-376/02, punctul 44).
80 Totuși, această jurisprudență se referă la limitele controlului jurisdicțional al aprecierilor pur medicale
și nu poate justifica o înlăturare a obligației medicului consultant prevăzute la articolul 83 din RAA de
a efectua un examen medical pentru a se asigura el însuși de aptitudinea persoanei interesate de a-și
exercita atribuțiile.
81 În plus, puterea de apreciere în materie medicală recunoscută medicului nu interzice instanței, pe de o

parte, să verifice exactitatea materială a elementelor de probă invocate, fiabilitatea și coerența lor și, pe
de altă parte, să controleze dacă aceste elemente constituie ansamblul datelor relevante ce trebuie să fie
luate în considerare pentru evaluarea unei situații complexe și dacă acestea sunt de natură să susțină
concluziile deduse de aici (a se vedea în acest sens Hotărârea Tribunalului de Primă Instanță din
12 mai 2004, Hecq/Comisia, T-191/01 P, punctul 63).
82 Astfel, în speță, având în vedere vechimea datelor medicale comunicate de Comisie și evoluția posibilă
a acestor date până în prezent, medicul consultant nu dispunea de toate elementele relevante privind
starea de sănătate a reclamantei atunci când a eliberat avizul de constatare a inaptitudinii.
83 Argumentul Parlamentului European întemeiat pe patologia care a motivat în 2007 constatarea de

către Comisie a inaptitudinii reclamantei trebuie înlăturat. Astfel, s-a considerat că tulburările psihice,
evolutive prin natura lor, nu pot justifica excluderea definitivă de la angajare a persoanei care suferă
de o astfel de boală, administrația având obligația de a asigura o reexaminare periodică a persoanei
interesate la intervale rezonabile (a se vedea, în ceea ce privește trimiterea din oficiu în concediu
medical a unui funcționar, Hotărârea Tribunalului din 13 decembrie 2006, de Brito Sequeira
Carvalho/Comisia, F-17/05, punctele 129 și 130, confirmate prin Hotărârea Tribunalului de Primă
Instanță din 5 octombrie 2009, de Brito Sequeira Carvalho/Comisia, T-40/07 P, și Hotărârea
Comisia/de Brito Sequeira Carvalho, T-62/07 P, punctele 231-240).
84 În ceea ce privește circumstanța că decizia de constatare a inaptitudinii reclamantei adoptată de

Comisie în 2007 a fost considerată legală de Tribunal, aceasta nu are nicio incidență asupra aprecierii
temeiniciei prezentului motiv, ținând seama de considerațiile formulate la punctele anterioare.
85 În plus, în ședință, drept răspuns la întrebările Tribunalului, agenții Parlamentului European au arătat
că, pentru motive de secret medical, nu au avut acces la înscrisurile pe baza cărora medicul consultant
al Parlamentului European a emis avizul de constatare a inaptitudinii fizice mai mult decât autoritatea
împuternicită să facă numiri atunci când s-a pronunțat asupra reclamației reclamantei. Prin urmare,
aceștia nu au putut preciza Tribunalului care era natura acestor înscrisuri și nici nu au putut confirma
că dosarul transferat de la Comisie la Parlamentul European permitea înțelegerea completă de către
medicul consultant al Parlamentului European a contextului particular al procedurii medicale de
12 ECLI:EU:F:2011:101
angajare desfășurate la Comisie și a faptului că reclamanta fusese angajată, în trecut, în mai multe
rânduri, de către Comisie. În mod similar, autoritatea competentă a Parlamentului European nu a fost
în măsură să verifice dacă avizul medicului consultant se întemeia pe toate datele relevante.
86 În sfârșit, Tribunalul constată că medicul consultant al Parlamentului European a emis un aviz

exprimat în termeni categorici și generali fără a fi examinat reclamanta, în timp ce, în cadrul
procedurii medicale de angajare la Comisie, experții desemnați de comisia medicală exprimaseră un
aviz mai nuanțat.
87 În consecință, motivul întemeiat pe caracterul nelegal al avizului medicului consultant trebuie admis.
Cu privire la al doilea motiv, întemeiat pe nerespectarea articolului 33 al doilea paragraf din statut
88 Reclamanta susține că Parlamentul European a încălcat dispozițiile articolului 33 din statut și principiul
respectării dreptului la apărare. Astfel, decizia în litigiu ar fi fost adoptată înainte chiar ca reclamanta să
sesizeze comisia medicală de apel prevăzută de aceste dispoziții.
89 În primul rând Parlamentul European susține că decizia în litigiu preciza că, în cazul în care consideră
oportun, reclamanta are posibilitatea de a sesiza comisia medicală cu o contestare a avizului medicului
consultant, posibilitate pe care ea nu a utilizat-o.
90 În al doilea rând, Parlamentul European precizează motivele pentru care decizia în litigiu a fost
adoptată imediat. Mai întâi, prin faptul că nu a informat Serviciul medical cu privire la examenele
medicale efectuate la Comisie, reclamanta ar fi afectat legătura de încredere cu instituția. În
continuare, consideră că postul propus reclamantei trebuia să fie ocupat rapid pentru a face față
absenței unei funcționare aflate în concediu de maternitate. În sfârșit, în cazul în care comisia
medicală ar fi ajuns la o concluzie contrară avizului medicului consultant, Parlamentul European
subliniază că, având în vedere natura postului, ar fi putut oferi reclamantei un post echivalent.
91 Din dispozițiile coroborate ale articolelor 82 și 83 din RAA rezultă că, anterior încadrării în muncă, un
candidat la un post de agent contractual este supus unui examen medical efectuat de către medicul
consultant al instituției în scopul de a verifica dacă îndeplinește condițiile de aptitudine fizică necesare
pentru exercitarea atribuțiilor propuse.
92 Articolul 33 al doilea paragraf din statut, aplicabil prin analogie în cazul agenților contractuali, prevede
o procedură internă de apel împotriva avizului negativ emis de medicul consultant al instituției.
93 S-a decis că, întrucât la articolul 33 al doilea paragraf din statut a instituit o comisie medicală de apel,
legiuitorul a avut ca obiectiv să constituie o garanție suplimentară pentru candidați și să amelioreze
astfel protecția drepturilor lor (Hotărârea A/Comisia, citată anterior, punctul 23). Această garanție,
care are legătură cu principiul respectării dreptului la apărare (Hotărârea Tribunalului din
13 decembrie 2007, N/Comisia, F-95/05, punctele 69 și 76), constituie o normă fundamentală de
procedură.
94 În plus, această garanție trebuie să fie în mod necesar respectată înainte de adoptarea deciziei de refuz
al recrutării, iar nu la un stadiu ulterior, întrucât aceasta și-ar pierde în acest caz rațiunea de a exista, și
anume aceea de a garanta dreptul la apărare al candidaților la recrutare (a se vedea, prin analogie,
Hotărârea Curții din 8 iulie 1999, Hercules Chemicals/Comisia, C-51/92 P, punctul 75-78, Hotărârea
ECLI:EU:F:2011:101 13
Tribunalului de Primă Instanță din 8 iulie 2008, Franchet și Byk/Comisia, T-48/05, punctul 151).
Textul articolului 33 al doilea paragraf din statut este clar în această privință: candidatul la angajare
dispune de un termen de 20 de zile pentru a sesiza comisia medicală, termen care curge nu de la data
notificării deciziei de refuz al angajării, ci de la data notificării avizului medicului consultant.
95 În speță, este necontestat că Parlamentul European a adoptat decizia în litigiu fără a fi permis în
prealabil reclamantei să sesizeze comisia medicală de apel. Desigur, Parlamentul European a informat
persoana interesată, în momentul notificării deciziei în litigiu, cu privire la această posibilitate. Totuși,
această împrejurare nu are influență asupra neregularității constatate, decizia menționată fiind deja
adoptată înainte ca reclamanta să fi fost în măsură să sesizeze comisia medicală de apel, în termenul
de 20 de zile care a urmat notificării avizului medicului consultant.
96 În sfârșit, pentru a justifica nerespectarea dispozițiilor articolului 33 din statut, Parlamentul European
subliniază că trebuia, în interesul serviciului, să recruteze rapid un agent pentru a înlocui o
funcționară aflată în concediu de maternitate și că, în consecință, nu putea aștepta, anterior adoptării
deciziei în litigiu, expirarea termenului de 20 de zile prevăzut de dispozițiile articolului 33 din statut
și, în cazul sesizării comisiei medicale, avizul acesteia din urmă.
97 Totuși, un asemenea motiv nu poate justifica legal eludarea de către Parlamentul European a
obligațiilor procedurale enunțate la articolul 33 din statut. În orice caz, plecarea unei funcționare în
concediu de maternitate nu prezintă un caracter excepțional și revenea Parlamentului European
sarcina fie să asigure înlocuirea persoanei aflate în concediu de maternitate cu un alt agent
contractual, fie să inițieze procesul de recrutare suficient de repede pentru a putea respecta norma
fundamentală de procedură prevăzută la articolul 33 al doilea paragraf din statut. În speță, în orice
situație, ținând seama de perioada dintre avizul medicului consultant și data prevăzută pentru
recrutare, stabilită la 2 februarie 2009, nu era a priori imposibil să se solicite avizul comisiei medicale.
98 Potrivit unei jurisprudențe constante, încălcarea unei norme procedurale, în special a principiului
respectării dreptului la apărare, nu este de natură să determine anularea deciziei decât în măsura în
care această încălcare a avut o influență asupra cuprinsului deciziei finale. Or, aceasta este situația în
prezentul litigiu, în condițiile în care nu este exclus că respectiva comisie medicală de apel, care
dispunea de toate elementele pertinente cu privire la starea de sănătate a reclamantei în momentul
adoptării deciziei în litigiu, ar fi putut emite un aviz diferit de cel al medicului consultant sau ar fi
putut pune la îndoială posibilitatea de a se întemeia pe date medicale obținute de Comisie cu peste un
an și jumătate înainte.
99 Rezultă că motivul întemeiat pe nerespectarea articolului 33 al doilea paragraf din statut trebuie să fie
de asemenea admis.
Cu privire la al treilea motiv, întemeiat pe încălcarea dreptului la respectarea vieții private și a

articolelor 6 și 7 din Regulamentul nr. 45/2001
100 Reclamanta apreciază că Parlamentul European a încălcat dreptul la respectarea vieții private și
normele referitoare la protecția datelor cu caracter personal, în special normele referitoare la
transferul dosarului său medical. Medicul consultant al Parlamentului European ar fi emis avizul
întemeindu-se pe documente care proveneau de la Comisie, Or, pe de o parte, ar fi trebuit ca aceste
documente să fie clasificate la arhivele Comisiei, în temeiul manualului de proceduri al Serviciului
medical al acestei instituții, și să nu mai fie utilizate drept înscrisuri probante în dosare medicale,
întrucât reclamanta nu exercita nicio atribuție în cadrul Comisiei. Pe de altă parte, articolele 6 și 7 din
Regulamentul nr. 45/2001 ar interzice transferul de date cu caracter medical care o privesc pe
reclamantă de la Comisie la Parlamentul European. Astfel, datele medicale deținute de Comisie ar fi
14 ECLI:EU:F:2011:101
fost colectate exclusiv în vederea recrutării reclamantei în serviciile acestei instituții. În plus, medicul
consultant al Parlamentului European ar avea atribuția de a efectua o vizită medicală de angajare, iar
nu de a investiga trecutul medical al reclamantei.
101 Potrivit Parlamentului European, decizia în litigiu nu ar încălca în niciun mod normele referitoare la
protecția datelor cu caracter personal. Astfel, articolul 7 din Regulamentul nr. 45/2001 ar prevedea că
transferurile de date cu caracter personal între instituții sunt posibile dacă sunt necesare pentru
îndeplinirea legitimă a sarcinilor care sunt de competența destinatarului. Or, transferul în litigiu ar fi
fost efectuat în scopul de a permite Parlamentului European să îndeplinească una dintre sarcinile sale,
respectiv controlul aptitudinii fizice a unui candidat la angajare. În plus, acest transfer ar fi fost
justificat prin interesul de a evita examenele medicale inutile și de a permite administrației să dispună
de informații complete.
102 AEPD apreciază că transferul și utilizarea ulterioară a datelor cu caracter medical colectate în 2006
și 2007 cu privire la starea de sănătate a reclamantei au încălcat Regulamentul nr. 45/2001. Acesta
precizează, cu titlu introductiv, că datele menționate nu fac parte din dosarul medical al reclamantei
în calitate de fost agent temporar și de fost agent contractual al Comisiei și că problema legalității
transferului acestora nu este similară cu cea a transferului între instituții a unui dosar medical al unei
persoane angajate de o instituție. Manualul de proceduri al Serviciului medical al Comisiei nu ar arăta
în ce scopuri sunt păstrate în arhive mai mult de șase luni datele medicale colectate în cadrul unei
proceduri de recrutare și nici condițiile în care sunt accesibile aceste date. AEPD amintește că, în
două avize adoptate în 2007 și 2008, a recomandat Parlamentului European și, respectiv, Comisiei ca,
în cazul candidaților declarați inapți fizic la angajare, datele medicale colectate în cadrul procedurii de
recrutare să fie păstrate doar pentru o perioadă limitată, care ar putea corespunde perioadei în care
este posibilă contestarea datelor sau a deciziei adoptate pe baza lor.
103 AEPD subliniază că transferul de date cu caracter personal între instituții este reglementat în principal
la articolul 7 din Regulamentul nr. 45/2001, însă fără a aduce atingere articolelor 4, 5, 6 și 10 din
regulamentul menționat. Respectarea articolului 7 din Regulamentul nr. 45/2001 nu ar conduce,
așadar, la conformitatea transferului și a utilizării ulterioare a datelor cu acest regulament în
ansamblu, în mod contrar a ceea ce pare să susțină Parlamentul European, care limitează memoriul
său în apărare la articolul 7 menționat. AEPD amintește că, în temeiul articolului 10 alineatul (1) din
Regulamentul nr. 45/2001, este interzisă prelucrarea unor categorii speciale de date, precum datele cu
caracter medical, și că protecția acestor date prezintă, pentru Curtea Europeană a Drepturilor Omului,
o importanță fundamentală în raport cu exercitarea dreptului la respectarea vieții private și a vieții de
familie, garantat prin articolul 8 din Convenția europeană pentru apărarea drepturilor omului și a
libertăților fundamentale, semnată la Roma la 4 noiembrie 1950 (denumită în continuare „CEDO”).
Întrucât reclamanta nu și-a dat consimțământul pentru prelucrarea datelor în litigiu, excepția
prevăzută la articolul 10 alineatul (2) litera (a) din Regulamentul nr. 45/2001 nu ar fi aplicabilă. În
plus, Parlamentul European nu ar fi demonstrat că transferul acestor date, deși legitim în raport cu
articolul 7 din Regulamentul nr. 45/2001, era în realitate necesar în vederea respectării drepturilor și
obligațiilor sale în materie de drept al muncii, în sensul celei de a doua excepții, enunțată la
articolul 10 alineatul (2) litera (b) din regulamentul menționat. Astfel, Parlamentul European ar fi
putut obține această informație în alt mod, care să afecteze mai puțin viața privată, de exemplu prin
solicitarea adresată reclamantei de a furniza această informație și prin efectuarea unui examen medical
de către serviciile sale. În această privință, AEPD precizează că, în avizul său din 2007 sus-menționat,
recomandase Parlamentului European să elimine din formularul pentru examenul medical prealabil
angajării întrebările prin care candidatul era chestionat dacă i-a fost deja refuzat un post pentru
motive medicale sau dacă a consultat un neurolog, un psihiatru, un psihanalist sau un psihoterapeut.
Parlamentul European s-ar fi conformat acestei recomandări.
104 Pe de altă parte, AEPD susține că, în momentul în care Parlamentul European a primit de la Serviciul
medical al Comisiei datele medicale privind reclamanta, aceste date nu mai erau deținute în vederea
scopului inițial, respectiv a examinării aptitudinii medicale a reclamantei în vederea ocupării unui post
ECLI:EU:F:2011:101 15
la Comisie. În plus, aceste date ar fi fost trimise la arhivele Comisiei, întrucât termenul de șase luni de
la decizia de constatare a inaptitudinii, prevăzut de manualul de proceduri al Serviciului medical al
Comisiei, ar fi expirat. Prin urmare, transferul și utilizarea acestor date s-ar fi realizat cu încălcarea
articolului 4 alineatul (1) literele (b) și (e) din Regulamentul nr. 45/2001. În plus, schimbarea scopului
prelucrării acestor date nu ar putea fi justificată în temeiul articolului 6 din acest regulament. Pe de
altă parte, Parlamentul European, autorul cererii de transfer, ar fi fost obligat, alături de Comisie, să
garanteze legalitatea transferului în întregime.
105 În sfârșit, AEPD precizează că, presupunând chiar că reclamanta a omis în mod deliberat să informeze
Parlamentul European cu privire la examenele medicale anterioare, această circumstanță nu ar avea
nicio incidență asupra dreptului la protecția datelor sale, pe care persoana interesată îl poate invoca în
temeiul Regulamentului nr. 45/2001.
106 În observațiile cu privire la memoriul în intervenție, reclamanta declară că se alătură în întregime

analizei AEPD potrivit căreia articolul 4 alineatul (1) literele (b) și (e) și articolul 10 alineatul (2)
litera (b) din Regulamentul nr. 45/2001 au fost încălcate de Parlamentul European. Afirmația că
transferul de date medicale nu răspundea unei necesități reale, în sensul articolului 10 alineatul (1)
litera (b) din regulamentul menționat, ar fi valabilă pentru aceleași motive în ceea ce privește
articolul 7 alineatul (1) din același text, dispoziție care ar fi fost de asemenea încălcată, transferul în
litigiu neputând fi considerat necesar pentru îndeplinirea legitimă a sarcinilor Parlamentului European.
Această instituție nu ar fi respectat principiul limitării scopurilor, al exactității și actualizării datelor,
precum și regulile de păstrare a acestora și, prin urmare, nu și-ar fi îndeplinit obligația de a respecta
articolul 4 alineatul (1) literele (b), (d) și (e) din Regulamentul nr. 45/2001.
107 În observațiile cu privire la memoriul în intervenție, Parlamentul European subliniază că prelucrarea

datelor cu caracter personal ale reclamantei era necesară în vederea respectării obligațiilor instituției
în domeniul dreptului muncii, mai precis în vederea verificării aptitudinii fizice a reclamantei de a-și
exercita atribuțiile, astfel cum se prevede la articolul 83 din RAA și la articolul 33 din statut. Prin
urmare, prelucrarea acestor date ar fi licită în raport cu articolul 10 alineatul (2) litera (b) din
Regulamentul nr. 45/2001. Similar, prelucrarea acestor date doar de membrii Serviciului medical al
Parlamentului European, cărora le revine obligația de respectare a secretului profesional, în vederea
diagnosticării medicale referitoare la aptitudinea pentru muncă de către medicul consultant, ar fi
necesară și, prin urmare, legitimă, în sensul articolului 10 alineatul (3) din regulamentul menționat.
Această prelucrare ar ține și de exercitarea legitimă a autorității publice și ar fi, prin urmare, licită în
raport cu articolul 5 litera (a) din acest regulament.
108 În ceea ce privește transferul datelor, Parlamentul European susține că acesta era necesar pentru
executarea legitimă a sarcinilor instituției. Astfel, Parlamentul European nu și-ar fi putut îndeplini
sarcinile fără acest transfer: pe de o parte, reclamanta nu ar fi informat Serviciul medical al
Parlamentului European, la data la care aceasta a intrat în contact cu serviciul menționat, cu privire la
faptul că anterior a efectuat o vizită medicală la o altă instituție; pe de altă parte, practica
Parlamentului European de solicitare a transferului dosarului medical de angajare a unui candidat în
cazul în care persoana interesată a promovat deja un examen de angajare la o altă instituție ar fi în
interesul instituției, precum și al persoanei în cauză, permițând să evite reluarea anumitor examene
medicale. Posibilitatea, invocată de AEPD, de a realiza un nou examen medical la Parlamentul
European ar depinde de o apreciere pur medicală, lăsată la inițiativa medicului competent, pe baza
dosarului transferat.
109 În ceea ce privește calitatea datelor, Parlamentul European apreciază că nu a încălcat articolul 4
alineatul (1) literele (b) și (e) din Regulamentul nr. 45/2001. Apreciază că datele au fost colectate cu
un anumit scop, respectiv verificarea aptitudinii fizice a reclamantei în exercitarea atribuțiilor în
serviciul Uniunii, finalitate explicită și legitimă, din moment ce este prevăzută în special la articolul 33
din statut, și că aceste date au fost prelucrate ulterior cu același scop. De altfel, examenul de angajare
ar fi efectuat de toate instituțiile pe același temei juridic și s-ar desfășura în aceleași condiții. Condițiile
16 ECLI:EU:F:2011:101
care trebuie îndeplinite privitoare la aptitudine ar fi, în general, aceleași în toate instituțiile. Transferul
de date în litigiu ar fi analog cu cel al dosarului medical al unui funcționar transferat la o altă instituție,
considerat legitim de către AEPD în Avizul din 14 iunie 2007. În plus, datele colectate de Comisie nu
ar fi fost păstrate o perioadă mai îndelungată decât cea necesară pentru realizarea scopurilor colectării
și prelucrării. În „Orientările privind activitățile de prelucrare a datelor în materie de recrutare a
personalului” din octombrie 2008, AEPD ar fi recunoscut în mod expres că datele cu caracter
personal ale candidaților neîncadrați în muncă puteau fi păstrate timp de doi ani de la încheierea
procedurii, termen care, în speță, nu ar fi fost depășit. În sfârșit, termenul de un an prevăzut la
articolul 15 din reglementarea internă a Parlamentului European ar viza numai valabilitatea unui
examen.
– În ceea ce privește primul aspect al motivului, întemeiat pe încălcarea dreptului la respectarea vieții
private
110 În înscrisurile lor și în ședință, părțile au insistat cu privire la al doilea aspect al motivului, referitor la
încălcarea articolelor 6 și 7 din Regulamentul nr. 45/2001. Intervenția AEPD a contribuit la focalizarea
dezbaterilor pe acest al doilea aspect. Cu toate acestea, Tribunalul apreciază că primul aspect al
motivului, întemeiat pe încălcarea dreptului la respectarea vieții private, este formulat cu suficientă
precizie la punctele 14.1 și 16.12 din cererea introductivă, care au fost dezvoltate ulterior în ședință,
pentru a face obiectul unui răspuns distinct.
111 Potrivit jurisprudenței Curții, dreptul la respectarea vieții private, consacrat prin articolul 8 din CEDO
și care decurge din tradițiile constituționale comune statelor membre, constituie unul dintre drepturile
fundamentale protejate de ordinea juridică a Uniunii. Acesta presupune în special dreptul unei
persoane de a-și păstra secretă starea sănătății (a se vedea, printre altele, Hotărârea Curții din
5 octombrie 1994, X/Comisia, C-404/92 P, punctul 17; a se vedea de asemenea Curtea Europeană a
Drepturilor Omului, Hotărârea Z împotriva Finlandei din 25 februarie 1997, Recueil des arrêts et
décisions 1997-I, § 71, și S. și Marper împotriva Regatului Unit din 4 decembrie 2008, nr. 30562/04 și
nr. 30566/04, § 66).
112 Transferul către un terț, inclusiv către o altă instituție, al unor date cu caracter personal referitoare la
starea de sănătate a unei persoane, colectate de o instituție, constituie în sine o ingerință în viața
privată a persoanei în cauză, indiferent de utilizarea ulterioară a informațiilor astfel comunicate (a se
vedea, prin analogie, Hotărârea Curții din 20 mai 2003, Österreichischer Rundfunk și alții, C-465/00,
C-138/01 și C-139/01, punctele 73-75).
113 Totuși, s-a considerat că pot fi instituite restricții ale drepturilor fundamentale, cu condiția ca acestea
să răspundă efectiv unor obiective de interes general și să nu constituie, față de scopul urmărit, o
intervenție disproporționată și intolerabilă care ar aduce atingere însuși conținutului dreptului protejat
(Hotărârea din 5 octombrie 1994, X/Comisia, citată anterior, punctul 18). În această privință,
articolul 8 alineatul (2) din CEDO trebuie considerat drept normă de referință. Potrivit acestei
dispoziții, ingerința unei autorități publice în viața privată poate fi justificată în măsura în care i) este
„prevăzută de lege”, ii) urmărește unul sau mai multe obiective – enunțate limitativ – și iii) este
„necesară” pentru a atinge acest obiectiv sau aceste obiective.
114 Prin urmare, trebuie să se examineze, în speță, dacă transferul datelor cu caracter medical de la o
instituție la alta în vederea facilitării activității medicului consultant desfășurate în cadrul unei vizite
medicale de angajare poate fi considerat legal în raport cu cele trei condiții menționate mai sus.
115 În primul rând, în ceea ce privește prima condiție, dispozițiile Regulamentului nr. 45/2001 permit să se
considere că transferul de date cu caracter personal de la o instituție la alta este „prevăzut de lege”.
ECLI:EU:F:2011:101 17
116 Astfel, dispozițiile articolului 7 din Regulamentul nr. 45/2001 reglementează acest tip de prelucrare a
datelor cu caracter personal.
117 Totuși, se ridică problema dacă acest articol este formulat cu suficientă precizie pentru a permite
destinatarilor legii să își adapteze conduita și să răspundă astfel cerinței de previzibilitate stabilite prin
jurisprudența Curții Europene a Drepturilor Omului (a se vedea printre altele Curtea Europeană a
Drepturilor Omului, Hotărârea Rekvényi împotriva Ungariei din 20 mai 1999, Recueil des arrêts et
décisions, 1999-III, § 34). Astfel, articolul 7 din Regulamentul nr. 45/2001 prevede în termeni generali
că transferurile de date între instituții sunt posibile numai dacă datele comunicate „sunt necesare
pentru îndeplinirea legitimă a sarcinilor care sunt de competența destinatarului”.
118 În plus, articolul 6 din Regulamentul nr. 45/2001 prevede în mod expres că „[d]atele cu caracter
personal nu pot fi prelucrate în alte scopuri decât cele pentru care au fost colectate decât în cazul în
care modificarea scopului este permisă expres de normele interne ale instituției sau ale organului
[Uniunii]”.
119 Or, se impune să se constate că Parlamentul European nu a susținut nicidecum că ar exista vreo normă
scrisă care prevede transferul de date cu caracter medical între instituții sau schimbul de informații cu
caracter medical între serviciile medicale ale instituțiilor și care vizează nu persoanele angajate în aceste
instituții, ci candidații la angajare.
120 În al doilea rând, Parlamentul European susține că transferul de date medicale de la o instituție la alta
are drept obiectiv să permită să se verifice dacă un candidat îndeplinește condițiile privind aptitudinea
fizică în exercitarea atribuțiilor care îi sunt oferite și dacă, în caz de recrutare, va putea exercita efectiv
atribuțiile respective. În această privință, Curtea a considerat că efectuarea unui examen de angajare
vizează un interes legitim al instituțiilor Uniunii (Hotărârea din 5 octombrie 1994, X/Comisia, citată
anterior, punctul 20). Astfel, obiectivul invocat poate justifica, în sensul articolului 8 alineatul (2) din
CEDO, o ingerință în dreptul la respectarea vieții private.
121 În al treilea rând, trebuie să se verifice dacă ingerința în cauză este necesară, într-o societate
democratică, pentru atingerea scopului legitim urmărit.
122 Potrivit Curții Europene a Drepturilor Omului, o ingerință este considerată necesară într-o societate
democratică pentru atingerea unui scop legitim dacă răspunde unei nevoi sociale imperative și în
special dacă este proporțională cu scopul legitim urmărit și dacă motivele invocate de autoritățile
naționale pentru justificarea ei sunt pertinente și suficiente. Autoritățile naționale beneficiază de o
anumită marjă de apreciere în materie. Totuși, întinderea acestei marje este variabilă și depinde de un
număr de factori, printre care natura dreptului în cauză garantat de CEDO, importanța acestuia pentru
persoana în cauză, natura ingerinței și finalitatea acesteia. Marja menționată este cu atât mai restrânsă,
cu cât dreptul în cauză este mai important în raport cu garantarea exercitării efective de către individ a
drepturilor fundamentale sau de natură „intimă” care îi sunt recunoscute. Atunci când un aspect
deosebit de important al existenței sau al identității unui individ este în discuție, marja acordată
statului este restrânsă (Curtea Europeană a Drepturilor Omului, Hotărârea Evans împotriva Regatului
Unit din 10 aprilie 2007, nr. 6339/05, § 77).
123 În speță, astfel cum s-a afirmat anterior, protecția datelor cu caracter personal are un rol fundamental
în raport cu exercitarea dreptului la respectarea vieții private și de familie consacrat la articolul 8 din
CEDO. Respectarea caracterului confidențial al informațiilor privind sănătatea constituie unul dintre
drepturile fundamentale protejate în ordinea juridică a Uniunii (a se vedea Hotărârea Curții din
8 aprilie 1992, Comisia/Germania, C-62/90, punctul 23, și Hotărârea Curții din 5 octombrie 1994,
X/Comisia, citată anterior, punctul 17). Acest principiu este esențial nu numai pentru protejarea vieții
private a persoanelor bolnave, ci și pentru păstrarea încrederii acestora în personalul medical și în
serviciile de sănătate în general (Curtea Europeană a Drepturilor Omului, Hotărârea Z împotriva
Finlandei, citată anterior, § 95). Ținând seama de caracterul extrem de intim și de sensibil al datelor
18 ECLI:EU:F:2011:101
cu caracter medical, posibilitatea de a transfera sau de a comunica astfel de informații unui terț, chiar
dacă este vorba despre o altă instituție sau despre un alt organ al Uniunii, fără consimțământul
persoanei în cauză, necesită o examinare deosebit de riguroasă (a se vedea, prin analogie, Curtea
Europeană a Drepturilor Omului, Hotărârile citate anterior Z împotriva Finlandei, § 95, și S. și Marper
împotriva Regatului Unit, § 103). În această privință, Regulamentul nr. 45/2001 prevede la articolul 10
alineatul (1) că este interzisă prelucrarea de date cu caracter medical, în principiu, sub rezerva
derogărilor enunțate la alineatul (2) al articolului menționat.
124 Prin urmare, trebuie să se pună în balanță interesul Parlamentului European de a se asigura că
recrutează o persoană aptă să exercite atribuțiile care îi vor fi încredințate și gravitatea atingerii aduse
dreptului persoanei în cauză la respectarea vieții sale private.
125 Or, în speță, Tribunalul apreciază că, deși examenul de angajare urmărește un interes legitim al
instituțiilor Uniunii, care trebuie să fie în măsură să își îndeplinească sarcinile, acest interes nu
justifică faptul că se realizează un transfer de date medicale de la o instituție la alta fără
consimțământul persoanei interesate (a se vedea, prin analogie, Hotărârea din 5 octombrie 1994,
X/Comisia, citată anterior, punctul 20). Astfel, este necesar să se arate mai întâi că, astfel cum s-a
afirmat anterior, datele medicale constituie date deosebit de sensibile. Apoi, aceste date au fost
colectate cu aproximativ doi ani înainte, într-un scop bine determinat, de o instituție cu care
reclamanta nu a intrat într-un raport de muncă, în urma procedurii de verificare a aptitudinii
medicale la angajare. În sfârșit, Parlamentul European și-ar fi putut îndeplini sarcinile în condiții care
afectau mai puțin drepturile fundamentale ale reclamantei. Astfel, acesta ar fi putut efectua examenul
medical, pentru care fusese fixată data de 7 ianuarie 2009, ar fi putut desfășura eventual noi examene
medicale sau ar fi putut solicita acordul reclamantei de a obține transferul datelor medicale în litigiu
și chiar s-ar fi putut întemeia pe informațiile pe care reclamanta se angajase să i le transmită în
ianuarie 2009.
126 Contrar susținerilor Parlamentului European, decizia prin care medicul consultant a solicitat transferul
datelor colectate de Comisie nu este un act de natură pur medicală, care nu ar face obiectul controlului
instanței. Astfel, transferul a fost solicitat chiar înainte ca medicul consultant să fi examinat reclamanta
și chiar înainte ca aceasta să fi comunicat Serviciului medical informațiile care îi fuseseră solicitate.
127 Din toate considerațiile care precedă rezultă că avizul medicului consultant a fost emis cu încălcarea
dreptului la respectarea vieții private a reclamantei și că decizia în litigiu este, prin urmare, afectată de
asemenea de nelegalitate pentru acest motiv. În consecință, primul aspect al motivului trebuie admis.
– În ceea ce privește al doilea aspect al motivului, întemeiat pe nerespectarea articolelor 6 și 7 din
Regulamentul nr. 45/2001
128 Cu titlu introductiv, trebuie să se amintească faptul că articolul 1 din Regulamentul nr. 45/2001
prevede explicit că, în conformitate cu regulamentul menționat, instituțiile și organele Uniunii
protejează libertățile și drepturile fundamentale ale persoanelor fizice. De asemenea, dispozițiile
acestui regulament nu pot fi interpretate în sensul că ar putea legitima o atingere adusă dreptului la
respectarea vieții private, astfel cum este garantat la articolul 8 din CEDO (a se vedea Hotărârea
Österreichischer Rundfunk și alții, citată anterior, punctul 91).
129 Rezultă de la articolul 7 din Regulamentul nr. 45/2001 că o instituție sau un organ al Uniunii poate
transfera unei alte instituții sau unui alt organ al Uniunii date cu caracter personal numai în cazul în
care sunt necesare pentru îndeplinirea legitimă a sarcinilor care sunt de competența instituției sau a
organului destinatar al Uniunii.
130 În speță, nu se poate contesta că verificarea aptitudinii fizice a reclamantei la angajare de către
serviciile Parlamentului European ține de îndeplinirea legitimă a sarcinilor acestei instituții.
ECLI:EU:F:2011:101 19
131 Totuși, astfel cum a susținut în mod întemeiat AEPD în memoriul în intervenție, numai această
constatare nu permite să se stabilească faptul că transferul în litigiu al datelor medicale ale
reclamantei ar fi conform cu dispozițiile Regulamentului nr. 45/2001. Astfel, pe de o parte, transferul
trebuie să fie „necesar” pentru executarea legitimă a misiunilor instituției. În prezentul litigiu, trebuie
să se stabilească, prin urmare, că transferul era indispensabil în raport cu aprecierea aptitudinii fizice a
reclamantei de către serviciile Parlamentului European. Pe de altă parte, articolul 7 din regulamentul
menționat prevede expres că se aplică „fără a aduce atingere articolelor 4, 5, 6 și 10” din același text.
132 Prin urmare, pentru a răspunde motivului reclamantei întemeiat pe încălcarea regulamentului, în
special a articolului 7, trebuie să se examineze dacă acest transfer a fost efectuat cu respectarea cerinței
necesității, enunțată la acest articol și în conformitate cu dispozițiile la care face trimitere acest articol,
în special cu articolul 6 din regulament. În prezentul litigiu, este necesar să ne referim mai întâi la
examinarea articolelor 4, 6 și 10 din Regulamentul nr. 45/2001, a căror nerespectare a fost invocată de
reclamantă, înainte de a examina dacă cerința necesității transferului, prevăzută la articolul 7 din
același regulament, poate fi considerată îndeplinită.
133 În primul rând, în ceea ce privește articolele 4 și 6 din Regulamentul nr. 45/2001, trebuie să se
sublinieze că, în temeiul articolului 4 alineatul (1) din acest regulament, datele cu caracter personal
trebuie să fie prelucrate în mod corect și legal și colectate în scopuri determinate, explicite și legitime
și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. În plus, articolul 6 din
regulamentul menționat prevede că datele cu caracter personal nu pot fi prelucrate în alte scopuri
decât cele pentru care au fost colectate decât în cazul în care modificarea scopului este permisă
expres de normele interne ale instituției sau ale organului Uniunii.
134 În speță, astfel cum susțin în mod întemeiat reclamanta și AEPD, nu se contestă că datele medicale
colectate de Comisie cu privire la reclamantă, în cadrul vizitei medicale de angajare prevăzute de
dispozițiile articolului 83 din RAA, aveau drept scop exclusiv să permită a se stabili dacă persoana
interesată era, în momentul recrutării, aptă fizic să își exercite atribuțiile în cadrul serviciilor Comisiei.
135 Or, este necesar să se observe, pe de o parte, că prelucrarea ulterioară a acestor date medicale în
vederea verificării aptitudinii reclamantei de a-și exercita, în decembrie 2008, atribuțiile în cadrul
Parlamentului European constituie o altă finalitate decât cea pentru care au fost colectate inițial aceste
date. Parlamentul European nu poate invoca în mod valabil în această privință circumstanța că
examenele medicale realizate de toate instituțiile s-ar întemeia pe același temei juridic, s-ar efectua
potrivit acelorași modalități și s-ar întemeia pe criterii identice privind aptitudinea. Astfel, instanța
Uniunii a subliniat în mai multe hotărâri importanța autonomiei fiecărei instituții în calitate de
angajator, înlăturând argumentele întemeiate pe unicitatea funcției publice a Uniunii. S-a considerat
astfel că funcționarii recrutați de o instituție nu puteau revendica aceeași încadrare precum cea
acordată funcționarilor unei alte instituții, chiar dacă toți acești funcționari au reușit la același concurs
(Hotărârea Tribunalului din 9 decembrie 2010, Liljeberg și alții/Comisia, F-83/05, punctul 58). În mod
similar, deși, potrivit principiului unicității funcției publice, astfel cum este enunțat la articolul 9
alineatul (3) din Tratatul de la Amsterdam, toți funcționarii tuturor instituțiilor Uniunii sunt supuși
unui statut unic, un asemenea principiu nu implică faptul că instituțiile trebuie să facă uz în mod
similar de puterea de apreciere care le-a fost recunoscută prin statut, în condițiile în care, dimpotrivă,
în gestionarea personalului lor, ele beneficiază de un „principiu al autonomiei”, pentru a relua termenii
utilizați de Tribunalul de Primă Instanță al Comunităților Europene în Hotărârea din 16 septembrie
1997, Gimenez/Comitetul Regiunilor (T-220/95, punctul 72).
136 Pe de altă parte, în condițiile în care, în temeiul articolului 6 din Regulamentul nr. 45/2001, o
modificare a scopului colectării datelor trebuie să fie expres prevăzută de o normă internă a instituției,
rezultă din înscrisuri și s-a afirmat în ședință că modificarea scopului pentru care datele medicale ale
reclamantei au fost colectate în 2006 și 2007 de Comisie nu este prevăzută de niciun text care ar fi
fost adoptat de această instituție sau de Parlamentul European. Transferul unor asemenea date între
instituțiile în cauză se întemeiază numai pe o simplă practică, cu privire la care candidații la angajare
20 ECLI:EU:F:2011:101
nu sunt nicidecum informați. În plus, AEPD a susținut în ședință, fără a fi contrazisă, că practica
Parlamentului European care constă în solicitarea transferului de date medicale referitoare la
candidații la angajare nu îi fusese notificată, în condițiile în care o asemenea notificare este prevăzută la
articolul 27 din Regulamentul nr. 45/2001. În ceea ce privește Comisia, AEPD precizează că, în Avizul
din 10 septembrie 2007, emis în cadrul controlului prealabil al dosarului acestei instituții și intitulat
„Gestionarea activităților Serviciului medical – Bruxelles-Luxemburg în special prin aplicația
informatică SERMED”, a examinat exclusiv compatibilitatea cu dispozițiile Regulamentului nr. 45/2001
a transferurilor de date medicale, în cazuri excepționale, la Serviciul juridic al Comisiei, la Tribunal sau
la Mediatorul European, la cererea acestuia din urmă. În schimb, AEPD nu a ridicat în niciun mod, în
acest aviz, problema transferului de date medicale colectate de o instituție, cu ocazia unei vizite
medicale de angajare, la o altă instituție sau la un alt organ al Uniunii, întrucât responsabilul cu
protecția datelor din cadrul Comisiei nu a declarat acest tip de transfer de date. AEPD subliniază că a
recomandat Comisiei, în acest aviz, ca, pentru candidații declarați inapți fizic la angajare, datele
medicale colectate în cadrul procedurii de recrutare să fie păstrate numai pentru o perioadă limitată,
care ar putea corespunde perioadei în care este posibilă contestarea datelor sau a deciziei adoptate pe
baza lor. Astfel, Comisia a procedat în mod legitim atunci când a păstrat datele colectate în 2006
și 2007 cu privire la starea de sănătate a reclamantei, însă doar pentru desfășurarea acțiunilor
formulate de aceasta în fața instanțelor Uniunii în cauzele F-33/08 și T-510/09 P, care au urmat
refuzului Comisiei de a o angaja.
137 În al doilea rând, în ceea ce privește articolul 10 din Regulamentul nr. 45/2001, trebuie subliniat că, în
temeiul alineatului (1) al acestui articol, este, în principiu, interzisă prelucrarea datelor medicale.
Alineatul (2) al articolului menționat prevede, printre altele, că alineatul (1) nu se aplică atunci când
persoana vizată și-a dat consimțământul pentru prelucrare sau atunci când prelucrarea este necesară
în scopul respectării obligațiilor și drepturilor specifice ale operatorului în materie de drept al muncii.
138 Or, pe de o parte, este cert că reclamanta nu și-a dat consimțământul cu privire la transferul de la
Comisie la Parlamentul European al datelor medicale care o privesc.
139 Pe de altă parte, deși este adevărat că transferul în litigiu a fost realizat pentru ca Parlamentul
European să fie în măsură să verifice aptitudinea fizică a reclamantei în exercitarea atribuțiilor sale în
cadrul acestei instituții, obligație care rezultă din articolele 82 și 83 din RAA și care poate fi analizată
drept „obligație în materie de drept al muncii”, în sensul articolului 10 alineatul (2) litera (b) din
Regulamentul nr. 45/2001, totuși nu s-a dovedit că acest transfer era „necesar” în scopul respectării
acestei obligații. Astfel cum subliniază AEPD și cum s-a afirmat la punctul 125, alte măsuri care să
afecteze mai puțin viața privată puteau fi avute în vedere și ar fi permis Parlamentului European să
asigure deplina aplicare a articolelor 82 și 83 din RAA. Parlamentul European ar fi putut în special,
înainte de a solicita Comisiei să îi transfere aceste date, să invite reclamanta să îi furnizeze anumite
informații privind istoricul ei medical și să solicite realizarea examenelor medicale necesare de către
propriile servicii. În plus, caracterul relativ vechi al datelor transferate, colectate în 2006 și 2007, cu
peste un an și jumătate înaintea deciziei în litigiu, nu pledează în favoarea tezei Parlamentului
European potrivit căreia acest transfer ar fi fost necesar.
140 Astfel cum a susținut în mod corect reclamanta, Parlamentul European nu mai poate pretinde că
transferul în litigiu ar avea drept temei juridic articolul 10 alineatul (3) din Regulamentul nr. 45/2001.
Astfel, deși acest articol permite membrilor serviciului medical al unei instituții să prelucreze datele
necesare pentru diagnosticul medical privind aptitudinea unei persoane de a-și exercita atribuțiile,
acesta nu are nici ca obiect și nici ca efect autorizarea unui transfer de date medicale, precum cel
contestat în prezentul litigiu, nici chiar dacă se realizează între membrii serviciilor medicale ale celor
două instituții în cauză.
ECLI:EU:F:2011:101 21
141 În al treilea rând, în ceea ce privește articolul 7 din Regulamentul nr. 45/2001, se impune să subliniem,
astfel cum susține în mod întemeiat reclamanta, că un transfer care nu este considerat necesar în
sensul articolului 10 din regulament nu poate fi considerat necesar nici în sensul articolului 7 din
același text, întrucât este vorba despre aceeași sarcină vizată, respectiv despre examinarea aptitudinii
fizice a reclamantei la angajare.
142 Din considerațiile care precedă rezultă că, având în vedere natura deosebit de sensibilă a datelor
medicale ale reclamantei și condițiile în care acestea au fost obținute, Tribunalul apreciază că
Parlamentul European, prin prelucrarea acestor date, nu și-a îndeplinit în mod legitim sarcinile care
i-au fost încredințate în temeiul dispozițiilor articolelor 82 și 83 din RAA. În acest scop, revenea
acestuia sarcina de a solicita acordul reclamantei cu privire la transfer sau de a realiza examene
medicale specifice și nu avea posibilitatea să se întemeieze, fără autorizarea prealabilă a persoanei
interesate, pe date medicale colectate în cadrul unei alte proceduri de o altă instituție.
143 Prin urmare, reclamanta poate susține în mod întemeiat că medicul consultant al Parlamentului
European, atunci când a solicitat Comisiei transferul acestor date medicale, a încălcat dispozițiile
articolelor 6 și 7 din Regulamentul nr. 45/2001, iar atunci când s-a întemeiat pe aceste date, a emis un
aviz nelegal cu privire la aptitudinea ei fizică. În consecință, cel de al doilea aspect al motivului trebuie
admis.
144 Parlamentul susține totuși în înscrisurile sale că decizia în litigiu s-ar întemeia nu numai pe
inaptitudinea fizică, ci și pe ruperea legăturii de încredere.
145 Prin urmare, revine Tribunalului competența de a verifica dacă acest al doilea motiv a fost invocat
efectiv și dacă este de natură să justifice decizia în litigiu.
146 Or, deși Parlamentul European, în decizia în litigiu și în decizia de respingere a reclamației,
menționează împrejurarea că reclamanta nu ar fi respectat obligația care i-ar fi revenit, respectiv nu a
declarat că a efectuat anterior o vizită medicală la o altă instituție europeană, acesta nu deduce de aici
în mod direct consecințe juridice, întrucât aceste decizii sunt întemeiate din punct de vedere juridic pe
simpla constatare că reclamanta nu îndeplinește condiția privind aptitudinea fizică în exercitarea
atribuțiilor sale. Astfel, spre deosebire de susținerile Parlamentului European, decizia în litigiu nu este
întemeiată pe ruperea legăturii de încredere.
147 În cazul în care Parlamentul European, prin argumentația sa, intenționează să prezinte instanței o
substituire de motive, este necesar să se arate că invocarea în cursul procedurii a unui motiv care ar fi
putut justifica în mod legal decizia în litigiu nu este de natură să se opună anulării deciziei menționate
(a se vedea în acest sens Hotărârea Tribunalului de Primă Instanță din 10 decembrie 2003,
Tomarchio/Comisia, T-173/02, punctul 86, și Hotărârea Tribunalului de Primă Instanță din 15 martie
2006, Leite Mateus/Comisia, T-10/04, punctul 43), cu excepția situației în care administrația are o
competență nediscreționară în materie.
148 Or, în speță, Parlamentul European nu poate pretinde că s-ar afla într-o asemenea situație de
competență nediscreționară, din moment ce dispune, în ceea ce privește motivul referitor la ruptura
legăturii de încredere, de o marjă largă de apreciere (a se vedea în acest sens Hotărârea Tribunalului
din 15 decembrie 2010, Angulo Sánchez/Consiliul, F-67/09, punctele 76-78).
149 În plus, în orice caz, la data deciziei în litigiu, Parlamentul European nu era în măsură să afirme că
reclamanta a omis în mod intenționat să îi comunice că a lucrat în cadrul Comisiei sau că a efectuat
deja un examen medical la o altă instituție. Astfel, de la punctele 29 și 31 din prezenta hotărâre
rezultă că reclamanta și administrația conveniseră ca persoana interesată să transmită Parlamentului
European în ianuarie 2009 documentele necesare pentru constituirea dosarului de recrutare. Prin
22 ECLI:EU:F:2011:101
urmare, nu era exclus ca reclamanta să aducă aceste informații la cunoștința Parlamentului European
anterior preluării atribuțiilor sau cu ocazia examenului medical la care fusese convocată, care trebuia
să aibă loc la 7 ianuarie 2009.
150 Fără a fi necesar să se examineze ultimul motiv al acțiunii, întemeiat pe existența unei hărțuiri morale,
rezultă că decizia în litigiu trebuie anulată.
4. Cu privire la concluziile referitoare la despăgubiri
151 Reclamanta susține că neregularitățile procedurii medicale de angajare săvârșite constituie greșeli de
natură să angajeze răspunderea Parlamentului European, în condițiile în care, pe de o parte, i-au
produs un prejudiciu material și un prejudiciu moral și, pe de altă parte, se află în legătură directă cu
prejudiciile pe care le invocă.
152 În ceea ce privește prejudiciul material, reclamanta susține că greșelile săvârșite de Parlamentul
European ar fi făcut-o să piardă o șansă foarte serioasă de a ocupa un post în cadrul lui, post pe care
ar fi putut avea șanse să îl ocupe pentru o perioadă nedeterminată. Astfel, aceasta solicită o
despăgubire corespunzătoare valorii de 95 % din diferența dintre remunerația pe care ar fi trebuit să o
primească în perioada 2 februarie 2009-2 august 2009 și indemnizațiile de șomaj pe care le-a primit
efectiv pentru această perioadă. În această privință, solicită o despăgubire „provizorie” de 50 000 de
euro.
153 În ceea ce privește prejudiciul moral, reclamanta solicită suma de 20 000 de euro, având în vedere
sentimentul de nedreptate pe care l-ar fi avut din cauza blocării recrutării sale la Parlamentul
European și a numeroaselor nelegalități săvârșite, în special a încălcării dreptului la respectarea vieții
sale private.
154 Potrivit Parlamentului European, concluziile referitoare la despăgubiri trebuie respinse. Astfel,
reclamanta nu ar fi dovedit existența unei greșeli.
155 În plus, în ceea ce privește prejudiciul material, Parlamentul European apreciază, pe de o parte, că
acesta din urmă nu este real și cert, din moment ce nu s-a dovedit că reclamanta ar fi fost recrutată
dacă examenul medical ar fi fost efectuat fără datele medicale transferate de la Comisie. Pe de altă
parte, Parlamentul European consideră că acest prejudiciu a fost supraevaluat și nu poate corespunde
nicidecum sumei de 50 000 de euro. Potrivit Parlamentului European, remunerația pe care reclamanta
ar fi putut să o primească pentru perioada 2 februarie 2009-2 august 2009 s-ar fi ridicat cel mult la
suma de 15 600,60 euro. În plus, ar fi trebuit să se deducă din această sumă alocațiile de șomaj
primite pentru aceeași perioadă. În sfârșit, suma astfel obținută ar trebui ponderată cu un coeficient
de reducere pentru a se ține seama de faptul că șansa reclamantei de a fi recrutată era redusă.
156 În ceea ce privește prejudiciul moral, Parlamentul European susține că reclamanta nu a dovedit
suficient în ce ar consta acest prejudiciu și amintește jurisprudența constantă potrivit căreia anularea
deciziei atacate constituie în principiu o reparare adecvată și suficientă a prejudiciului moral suferit.
157 Potrivit unei jurisprudențe constante, angajarea răspunderii administrației presupune întrunirea mai
multor condiții în ceea ce privește ilegalitatea conduitei imputate instituțiilor, existența unui
prejudiciu real și existența unei legături de cauzalitate între conduita respectivă și prejudiciul invocat
ECLI:EU:F:2011:101 23
(Hotărârea Curții din 1 iunie 1994, Comisia/Brazzelli Lualdi și alții, C-136/92 P, punctul 42, și
Hotărârea Curții din 21 februarie 2008, Comisia/Girardot, C-348/06 P, punctul 52). Aceste trei
condiții sunt cumulative. Lipsa uneia dintre ele este suficientă pentru respingerea concluziilor în
despăgubiri.
158 În ceea ce privește legătura de cauzalitate, trebuie în principiu ca reclamantul să dovedească existența
unei relații directe și certe de la cauză la efect între fapta săvârșită de instituție și prejudiciul invocat
(Hotărârea Tribunalului de Primă Instanță din 28 septembrie 1999, Hautem/BEI, T-140/97,
punctul 85).
159 Totuși, gradul de certitudine a legăturii de cauzalitate impus de jurisprudență este atins atunci când
nelegalitatea săvârșită de o instituție a Uniunii a privat, într-un anumit mod, o persoană nu în mod
necesar de o recrutare, la care persoana interesată nu va putea dovedi niciodată că avea dreptul, ci de
o șansă serioasă de a fi recrutată ca funcționar sau agent, având drept consecință pentru persoana
interesată un prejudiciu material care constă într-o pierdere de venituri. Atunci când pare foarte
probabil, în circumstanțele speței, că respectarea legalității ar fi determinat instituția în cauză să
recruteze agentul, incertitudinea teoretică rămasă în ceea ce privește rezultatul pe care l-ar fi avut o
procedură desfășurată în mod legal nu se poate opune reparării prejudiciului material real suferit de
persoana interesată prin neîncadrarea sa în muncă într-un post pe care ar fi avut toate șansele să îl
ocupe (Hotărârea Tribunalului de Primă Instanță din 5 octombrie 2004, Sanders și alții/Comisia,
T-45/01, punctul 150, Hotărârea Tribunalului din 22 octombrie 2008, Tzirani/Comisia, F-46/07,
punctul 218).
160 În ceea ce privește prejudiciul material, reclamanta poate susține în mod justificat că, în lipsa
nelegalității săvârșite de Parlamentul European, al cărui medic consultant s-a întemeiat pe date
medicale care nu erau de actualitate și nu a efectuat personal examenul medical privind aptitudinea
fizică, prevăzut de RAA, avea șanse serioase să fie recrutată.
161 Astfel, în primul rând, Parlamentul European informase deja reclamanta că a fost recrutată. Prin
urmare, decizia de angajare nu era pur și simplu eventuală, ci efectivă, iar angajarea reclamantei era
condiționată numai de constatarea aptitudinii fizice pentru exercitarea atribuțiilor sale.
162 În continuare, contrar celor pretinse de Parlamentul European, nu s-a dovedit că, în ipoteza în care
vizita medicală de angajare s-ar fi desfășurat în mod legal, având în vedere numai informațiile pe care
le-ar fi primit Serviciul medical al Parlamentului European cu privire la starea de sănătate a
reclamantei în ianuarie 2009, persoana interesată nu ar fi fost recrutată. Astfel, era posibil ca datele
medicale care justificaseră refuzul recrutării reclamantei de către Comisie în 2007 să se fi schimbat și
ar fi putut justifica recunoașterea aptitudinii acesteia pentru a fi angajată de către serviciile
Parlamentului European.
163 În sfârșit, nu se poate impune unei persoane candidate la angajare să dezvăluie viitorului angajator tot
istoricul ei medical. Astfel cum a considerat Curtea de Justiție, dreptul la respectarea vieții private,
consacrat prin articolul 8 din CEDO și care decurge din tradițiile constituționale comune statelor
membre, constituie unul dintre drepturile fundamentale protejate în ordinea juridică a Uniunii (a se
vedea Hotărârea Comisia/Germania, citată anterior, punctul 23). Acesta implică în special dreptul unei
persoane de a păstra secretă starea sănătății sale (Hotărârea Curții din 5 octombrie 1994, X/Comisia,
citată anterior, punctul 17).
164 Desigur, angajatorul poate efectua examenele care îi permit să aprecieze aptitudinea fizică a persoanei
pe care o recrutează și dacă aceasta, întrucât are acest drept, refuză să se supună unor astfel de
examene, angajatorul poate pune în aplicare consecințele unui astfel de refuz pe care le consideră
adecvate, prin refuzul de a suporta riscul de a angaja persoana interesată (a se vedea în acest sens
Hotărârea din 5 octombrie 1994, X/Comisia, citată anterior, punctele 20 și 21).
24 ECLI:EU:F:2011:101
165 Totuși, în speță, nu este cert că, în lipsa informațiilor obținute de la Serviciul medical al Comisiei,
Parlamentul European ar fi fost determinat să aibă îndoieli cu privire la starea de sănătate a
reclamantei și să efectueze examene aprofundate, în condițiile în care, pe de altă parte, acesteia nu i se
propusese decât un contract pe termen scurt. Chiar dacă presupunem că reclamanta, astfel cum pare
să susțină, ar fi indicat Parlamentului European, în cadrul vizitei medicale care ar fi trebuit să aibă loc
în ianuarie 2009, că suferise anumite afecțiuni care au justificat consultarea unor psihiatri, nu este sigur
că o astfel de informație ar fi determinat instituția să respingă candidatura persoanei interesate. Dacă
simpla cunoaștere a altor tulburări decât cele de natură fiziologică ar trebui să justifice de la bun
început un refuz al angajării de către angajator, ar rezulta de aici serioase dificultăți de acces la
angajare pentru numeroase persoane care au suferit, în trecut, chiar și pentru perioade scurte, astfel de
tulburări.
166 În aceste condiții, Tribunalul apreciază că reclamanta a fost privată de o șansă reală de a fi recrutată pe
perioadă determinată și că, având în vedere toate elementele de care dispune Tribunalul, această
pierdere de șansă poate fi evaluată ex aequo et bono la 50 % (a se vedea, prin analogie, Hotărârea
Tribunalului de Primă Instanță din 6 iunie 2006, Girardot/Comisia, T-10/02, punctele 118 și 119).
Ținând seama de remunerația pe care reclamanta ar fi putut să o primească pentru perioada angajării
sale în calitate de agent contractual, evaluată de Parlamentul European la 15 600,60 de euro, și de
veniturile primite de persoana interesată în cursul perioadei în cauză, pe parcursul căreia reclamanta a
obținut beneficiul indemnizațiilor de șomaj de aproximativ 960 de euro pe lună, și în absența oricărui
element care să permită a se considera că angajarea reclamantei ar fi putut să fie prelungită peste șase
luni, este necesară, ex aequo et bono, obligarea Parlamentului European la plata către reclamantă a
sumei de 5 000 de euro cu titlu de prejudiciu material.
167 În ceea ce privește prejudiciul moral, este necesar să se amintească faptul că anularea actului atacat
poate constitui, în sine, o reparare adecvată și, în principiu, suficientă a acestui prejudiciu (Hotărârea
Tribunalului de Primă Instanță din 26 ianuarie 1995, Pierrat/Curtea de Justiție, T-60/94, punctul 62,
Hotărârea Tribunalului de Primă Instanță din 21 ianuarie 2004, Robinson/Parlamentul European,
T-328/01, punctul 79, și Hotărârea Tribunalului din 13 decembrie 2007, Sundholm/Comisia, F-42/06,
punctul 44).
168 Totuși, instanța Uniunii a admis anumite excepții de la această regulă.
169 În primul rând, anularea actului nelegal al administrației nu poate constitui repararea completă a
prejudiciului moral dacă acest act implică o apreciere a capacităților sau a conduitei persoanei
interesate susceptibilă să o lezeze (a se vedea Hotărârea Curții din 7 februarie 1990,
Culin/Commission, C-343/87, punctele 25-29, Hotărârea Pierrat/Curtea de Justiție, citată anterior,
punctul 62).
170 Or, în speță, aprecierile formulate de Parlamentul European cu privire la atitudinea reclamantei, în
decizia în litigiu și în răspunsul la reclamație, pot fi considerate, într-o anumită măsură, ca
susceptibile să o lezeze. Astfel, Parlamentul European îi reproșează în mod explicit că a omis în mod
voluntar să declare că a făcut deja obiectul unei vizite medicale de angajare la Comisie și că, astfel, își
încălcase obligațiile. Pronunțându-se în acești termeni, Parlamentul European a pus în mod deschis în
discuție buna-credință a reclamantei, în condițiile în care aceasta din urmă, pe de o parte, informase
Parlamentul European cu privire la experiența profesională în cadrul serviciilor Comisiei și, pe de altă
parte, ar fi putut, cu ocazia unui examen medical, comunica aceste informații și contextul lor. În acest
mod, aprecierile Parlamentului European, exprimate într-o decizie calificată deja drept nelegală mai
sus, au cauzat în mod direct un prejudiciu moral reclamantei (Hotărârea Tribunalului de Primă
Instanță din 23 martie 2000, Rudolph/Comisia, T-197/98, punctul 98).
ECLI:EU:F:2011:101 25
171 În al doilea rând, anularea actului nelegal al administrației nu poate constitui o reparație completă a
prejudiciului moral suferit, atunci când nelegalitatea săvârșită este de o gravitate deosebită (Hotărârea
Tribunalului de Primă Instanță din 30 septembrie 2004, Ferrer de Moncada/Comisia, T-16/03,
punctul 68, și Hotărârea Tribunalului din 7 iulie 2009, Bernard/Europol, F-99/07 și F-45/08,
punctul 106).
172 Or, în speță, diferitele nelegalități săvârșite de Parlamentul European, în special încălcarea dreptului la
respectarea vieții private și a Regulamentului nr. 45/2001, prezintă un grad deosebit de gravitate care
justifică acordarea unei indemnizații cu titlu de prejudiciu moral.
173 În al treilea rând, s-a considerat că anularea unui act, atunci când aceasta este privată de orice efect
util, nu poate constitui prin natura sa repararea adecvată și suficientă a oricărui prejudiciu moral
cauzat prin actul anulat (Hotărârea Tzirani/Comisia, citată anterior, punctul 223).
174 În speță, chiar dacă este încă posibil să adopte măsuri care permit corectarea nelegalităților săvârșite,
de exemplu prin realizarea unui nou examen medical al reclamantei, anularea deciziei în litigiu riscă
să fie privată de orice efect concret. Astfel, elementele referitoare la sănătatea reclamantei de care
Parlamentul European a luat cunoștință în mod nelegal sunt susceptibile să stea la baza unor îndoieli
care fac dificilă o analiză obiectivă a stării de sănătate a persoanei interesate de către Serviciul medical
al acestei instituții și este, în orice caz, puțin probabil ca Parlamentul European să aibă în vedere
recrutarea reclamantei, cu care nu a avut niciodată un raport de muncă, în calitate de agent
contractual în cadrul serviciilor sale.
175 Astfel, prejudiciul moral suferit de reclamantă nu este reparat în întregime prin anularea deciziei în
litigiu. Se realizează o justă apreciere a acestui prejudiciu, în special în raport cu gravitatea
nelegalităților constatate și a consecințelor acestora, prin evaluarea lui la suma de 20 000 de euro.
176 Din toate considerațiile care precedă rezultă că Parlamentul European este obligat să plătească
reclamantei suma de 25 000 de euro, în temeiul prejudiciului material și moral suferit, aceasta
incluzând toate dobânzile.
177 Potrivit articolului 87 alineatul (1) din Regulamentul de procedură, sub rezerva altor prevederi din
capitolul VIII din titlul II al respectivului regulament, partea care cade în pretenții este obligată, la
cerere, la plata cheltuielilor de judecată.
178 Potrivit articolului 89 alineatul (2) din Regulamentul de procedură, în cazul în care părțile cad în
pretenții cu privire la unul sau mai multe capete de cerere, Tribunalul poate să repartizeze cheltuielile
de judecată sau poate decide ca fiecare parte să suporte propriile cheltuieli.
179 În speță, întrucât acțiunea a fost admisă în cea mai mare parte, se realizează o justă apreciere a
împrejurărilor speței prin decizia ca Parlamentul European să suporte propriile cheltuieli de judecată,
precum și pe cele efectuate de reclamantă.
180 Potrivit articolului 89 alineatul (4) din Regulamentul de procedură, intervenientul suportă propriile
cheltuieli de judecată.
Pentru aceste motive,
TRIBUNALUL FUNCȚIEI PUBLICE (Camera întâi)
26 ECLI:EU:F:2011:101
declară și hotărăște:
1) Anulează decizia din 19 decembrie 2008 prin care Parlamentul European a retras oferta de
muncă pe care o propusese lui V.
2) Obligă Parlamentul European la plata către V a sumei de 25 000 de euro.
3) Respinge acțiunea cu privire la restul motivelor.
4) Parlamentul European suportă, pe lângă propriile cheltuieli de judecată, cheltuielile de

judecată efectuate de reclamantă.
5) Autoritatea Europeană pentru Protecția Datelor, intervenientă, suportă propriile cheltuieli

de judecată.
Gervasoni Kreppel Rofes i Pujol
Pronunțată astfel în ședință publică la Luxemburg, la 5 iulie 2011.
Grefier Președinte
W. Hakenberg S. Gervasoni
ECLI:EU:F:2011:101 27
Fișă informativă – Protecția datelor cu caracter personal
Noiembrie 2017
Această fișă tematică nu obligă Curtea și nu este exhaustivă
Protecția datelor cu caracter

personal
„Simpla înregistrare a datelor referitoare la viața privată a unui individ constituie o
ingerință în sensul art. 8 [din Convenția Europeană a Drepturilor Omului, care
garantează dreptul la respectarea vieții private și de familie, a domiciliului și a
corespondenței 1]... Utilizarea ulterioară a informațiilor stocate nu are niciun impact
asupra acestei constatări [...]. Cu toate acestea, pentru a stabili dacă informațiile
personale reținute de autorități implică orice [aspect] [...] al vieții private [...], Curtea va
ține seama în mod corespunzător de contextul specific în care informațiile în litigiu au
fost înregistrate și reținute, natura înregistrărilor, modul în care sunt utilizate și
prelucrate respectivele înregistrări și rezultatele care pot fi obținute [...].” [S. și Marper
împotriva Regatului Unit, hotărâre (Marea Cameră) din 4 decembrie 2008, pct. 67]
Colectarea datelor cu caracter personal
Informații privind ADN-ul și amprente digitale

A se vedea infra, „Stocarea și utilizarea datelor cu caracter personal”, „În contextul
poliției și al sistemului de justiție penală”.
Date GPS
Uzun împotriva Germaniei
2 septembrie 2010
Reclamantul, suspectat de implicare în atacuri cu bombă comise de o mișcare extremistă
de stânga, s-a plâns, în special, că supravegherea sa prin GPS și utilizarea datelor astfel
obținute în procesul penal împotriva sa i-au încălcat dreptul la respectarea vieții private.
Curtea a hotărât că nu a fost încălcat art. 8 din Convenție. Supravegherea GPS și
prelucrarea și utilizarea datelor astfel obținute au reprezentat într-adevăr o ingerință în
dreptul reclamantului la respectarea vieții sale private. Cu toate acestea, a observat
Curtea, a urmărit scopurile legitime de a proteja securitatea națională, siguranța publică
și drepturilor victimelor, și de a preveni săvârșirea de fapte penale. A fost, de asemenea,
proporțională: supravegherea prin GPS a fost dispusă numai după ce metode de anchetă
mai puțin invazive s-au dovedit insuficiente, s-a desfășurat pe o perioadă relativ scurtă
(de aproximativ trei luni) și l-a afectat pe reclamant numai atunci când acesta călătorea
1
. Art. 8 din Convenția Europeană a Drepturilor Omului prevede că:
„1. Orice persoană are dreptul la respectarea vieții sale private și de familie, a domiciliului său și a
corespondenței sale.
2. Nu este admis amestecul unei autorități publice în exercitarea acestui drept decât în măsura în care acest
amestec este prevăzut de lege și dacă constituie o măsură care, într-o societate democratică, este necesară
pentru securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii și prevenirea
faptelor penale, protejarea sănătății sau a moralei, ori protejarea drepturilor și libertăților altora”.
în autoturismul complicelui său. Reclamantul nu putea așadar afirma că a făcut obiectul

unei supravegheri totale și exhaustive. Dat fiind faptul că ancheta privea infracțiuni
foarte grave, supravegherea prin GPS a reclamantului a fost astfel necesară într-o
societate democratică.
Cerere pendinte
Ben Faiza împotriva Franței (cererea nr. 31446/12)
Cerere comunicată Guvernului francez la 3 februarie 2015
Reclamantul din această cauză se plânge, în special, de o ingerință în viața sa privată ca
urmare a instalării unui dispozitiv de urmărire GPS în vehiculul său, cu scopul de a-i
monitoriza mișcările în cursul unei anchete privind traficul de droguri.
Curtea a comunicat cererea guvernului francez și a adresat întrebări părților, în temeiul
art. 8 (dreptul la respectarea vieții private) din Convenție.
Date medicale
L.H. împotriva Letoniei (nr. 52019/07)
29 aprilie 2014
Reclamanta a susținut, în special, că colectarea datelor sale medicale cu caracter
personal de către o agenție de stat – în acest caz, Inspectoratul pentru Controlul Calității
în Domeniul Sănătății și cel al Capacității de Muncă („MADEKKI”) – fără consimțământul
său i-a încălcat dreptul la respectarea vieții sale private.
În această hotărâre, Curtea a reamintit importanța protecției datelor cu caracter medical
pentru ca o persoană să poată beneficia de dreptul la respectarea vieții sale private. A
hotărât că a fost încălcat art. 8 din Convenție în cazul reclamantei, constatând că
legislația aplicabilă nu a indicat cu suficientă claritate întinderea marjei de apreciere
conferite autorităților competente și modalitatea de exercitare a acesteia. Curtea a notat,
în special, că dreptul leton nu limita în niciun fel întinderea datelor private care puteau fi
colectate de MADEKKI, ceea ce a avut drept rezultat colectarea datelor medicale ale
reclamantei pentru o perioadă de 7 ani fără deosebire și fără a se face în prealabil o
evaluare dacă astfel de date puteau fi eventual decisive, relevante sau importante pentru
îndeplinirea oricărui scop pe care l-ar fi urmărit prin cercetarea în cauză.
Interceptarea comunicațiilor, interceptarea convorbirilor

telefonice și supravegherea secretă
Klass și alții împotriva Germaniei
6 septembrie 1978
În această cauză, reclamanții, cinci avocați germani, s-au plâns în special de legislația
din Germania care autoriza autoritățile să le monitorizeze corespondența și comunicațiile
telefonice fără a obliga autoritățile să-i informeze ulterior despre măsurile luate
împotriva lor.
Curtea a hotărât că nu a fost încălcat art. 8 din Convenție, constatând că era justificat
ca legiuitorul german să considere ingerința rezultată din legislația contestată în
exercitarea dreptului garantat de art. 8 § 1 ca fiind necesară într-o societate democratică
în interesul securității naționale și pentru a preveni dezordinea sau faptele penale
(art. 8 § 2). Curtea a observat, în special, că aceste competențe de a supraveghea în
secret cetățenii, caracteristice unui stat polițienesc, sunt tolerabile în temeiul Convenției
numai în măsura strict necesară pentru protejarea instituțiilor democratice. Constatând
însă că, în prezent, societățile democratice sunt amenințate de forme extrem de
sofisticate de spionaj și de terorism, ceea ce impune ca statul să fie capabil în mod
efectiv, pentru a contracara efectiv astfel de amenințări, să supravegheze în secret
elementele subversive care operează în jurisdicția sa, Curtea a considerat că existența
unei anumite legislații care acordă competența de a supraveghea în secret
corespondența, comunicările prin poștă și telecomunicațiile este, în condiții excepționale,
2
necesară într-o societate democratică, în interesul securității naționale și/sau pentru a

preveni dezordinea sau faptele penale.
Malone împotriva Regatului Unit
2 august 1984
Acuzat de o serie de infracțiuni privind tăinuirea de bunuri furate, reclamantul s-a plâns,
în special, de interceptarea comunicațiilor sale telefonice și poștale de către sau în
numele poliției și de „numărarea” apelurilor sale telefonice (proces care implică
utilizarea unui dispozitiv care înregistrează numerele apelate de la un anumit aparat
telefonic și ora și durata fiecărui apel).
Curtea a hotărât că a fost încălcat art. 8 din Convenție, atât în ceea ce privește
interceptarea comunicațiilor, cât și în ceea ce privește trimiterea evidențelor cu numerele
formate către poliție, pentru că nu erau prevăzute de lege.
Kruslin împotriva Franței
24 aprilie 1990
Această cauză privea ascultarea convorbirilor telefonice dispusă de judecătorul de
instrucție, într-un caz de omor.
Curtea a hotărât că a fost încălcat art. 8 din Convenție, constatând că dreptul francez
nu indica cu suficientă claritate întinderea și modul de exercitare a puterii de apreciere a
autorităților în acest domeniu. Acest fapt a fost cu atât mai evident la momentul faptelor,
astfel încât Curtea a considerat că reclamantul nu a beneficiat de gradul minim de
protecție acordat cetățenilor în temeiul statului de drept într-o societate democratică.
A se vedea, de asemenea, între altele: Huvig împotriva Franței, hotărâre din 24 aprilie
1990; Halford împotriva Regatului Unit, hotărâre din 25 iunie 1997.
Kopp împotriva Elveției
25 martie 1998
Această cauză privea punerea sub ascultare a liniilor telefonice ale firmei de avocatură a
reclamantului la ordinul Procurorului General Federal.
Curtea a hotărât, în speță, că a fost încălcat art. 8 din Convenție, constatând că
dreptul elvețian nu indica cu suficientă claritate întinderea și modul de exercitare a
marjei de apreciere a autorităților în acest domeniu. Prin urmare, Curtea a considerat că
reclamantul, în calitatea sa de avocat, nu a beneficiat de gradul minim de protecție
impus de statul de drept într-o societate democratică.
Amann împotriva Elveției
16 februarie 2000 (Marea Cameră)
Cauza privește apelul telefonic primit de reclamant de la ambasada fostei Uniuni
Sovietice – pentru a comanda un aparat depilator căruia acesta îi făcea publicitate –
interceptat de ministerul public, care a solicitat serviciului de informații să-i întocmească
un dosar reclamantului.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție întrucât apelul
telefonic a fost înregistrat, precum și că a fost încălcat aceleași articol întrucât a fost
creat și păstrat dosarul, constatând că aceste ingerințe în dreptul reclamantului la
respectarea vieții sale private nu erau prevăzute de lege, în măsura în care dreptul
elvețian era neclar în ceea ce privește puterea discreționară a autorităților în acest
domeniu.
Taylor-Sabori împotriva Regatului Unit
22 octombrie 2002
Această cauză privea interceptarea de către poliție, ca parte a unei operațiuni de
supraveghere sub acoperire, a mesajelor transmise către pagerul reclamantului.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție. Observând, în
special, că, la momentul faptelor în cauză, nu exista un sistem legal care să
reglementeze interceptarea mesajelor pager transmise printr-un sistem de
telecomunicații private, a constatat, astfel cum a admis Guvernul Regatului Unit, că
3
ingerința nu era prevăzută de lege.

Wisse împotriva Franței
22 decembrie 2005
Cei doi reclamanți au fost arestați cu învinuirea de a fi săvârșit jafuri armate și plasați în
arest preventiv. În temeiul unui mandat de arestare emis de judecătorul de instrucție,
convorbirile telefonice dintre aceștia și rudele lor la vorbitor au fost înregistrate. Cererea
reclamanților ca procedurile referitoare la înregistrarea convorbirilor lor să fie declarate
nule a fost respinsă. Aceștia au susținut că înregistrarea conversațiilor de la vorbitor au
constituit o ingerință în dreptul lor la respectarea vieții private și de familie.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție, constatând că
dreptul francez nu indica cu suficientă claritate în ce mod și în ce măsură exista
posibilitatea unei ingerințe a autorităților în viața privată a deținuților, nici întinderea și
modul de exercitare a puterii lor discreționare în domeniul în cauză. În consecință,
reclamanții nu au beneficiat de gradul minim de protecție impus de statul de drept într-o
societate democratică. Curtea a observat, în special, că înregistrarea sistematică a
convorbirilor la vorbitor în alte scopuri decât cele legate de securitatea penitenciarului
priva vorbitoarele de unica lor rațiune de a exista, și anume aceea de a permite
persoanelor private de libertate să-și păstreze într-un anumit grad viața privată, inclusiv
caracterul privat al discuțiilor cu familiile lor.
Kennedy împotriva Regatului Unit
18 mai 2010
Condamnat pentru omor – într-o cauză controversată din cauza probelor lipsă și
contradictorii – și eliberat din penitenciar în 1996, reclamantul a devenit ulterior activ în
lupta împotriva erorilor judiciare. Suspectând că poliția îi intercepta comunicațiile după
ce a început o mică afacere, a formulat o plângere către Tribunalul pentru Litigii
referitoare la Competențele de Investigare [Investigatory Powers Tribunal (IPT)]. În cele
din urmă a fost informat, în 2005, că nu a fost efectuată nicio constatare în favoarea sa
în privința plângerilor formulate. Aceasta însemna că comunicațiile sale nu au fost
interceptate sau că IPT a considerat orice interceptare ca fiind legală. IPT nu a furnizat
informații suplimentare. Reclamantul s-a plâns despre presupusa interceptare a de
comunicațiilor sale.
Curtea a hotărât că nu a fost încălcat art. 8 din Convenție, constatând că dreptul
Regatului Unit în ceea ce privește interceptarea comunicațiilor interne, coroborat cu
clarificările aduse prin publicarea unui cod de deontologie, indica cu o claritate suficientă
procedurile de autorizare și prelucrare a mandatelor de interceptare, precum și
prelucrarea, comunicarea și distrugerea datelor colectate. În plus, nu exista nicio dovadă
a unor deficiențe semnificative în aplicarea și funcționarea regimului de supraveghere.
Prin urmare, și având în vedere garanțiile împotriva abuzurilor în proceduri, precum și
garanțiile mai generale oferite prin controlul efectuat de Commissioner și examinarea
efectuată de IPT, măsurile de supraveghere contestate, în măsura în care ar fi putut să
fie aplicate reclamantului, erau justificate în temeiul art. 8 § 2 din Convenție.
Dragojević împotriva Croației
15 ianuarie 2015
Acest caz privea, în principal, supravegherea secretă a conversațiilor telefonice ale unui
suspect de trafic de droguri. Reclamantul a susținut, în special, că judecătorul de
instrucție nu a respectat procedura impusă de dreptul croat pentru a evalua în mod
efectiv dacă utilizarea supravegherii secrete a fost necesară și justificată în situația sa
specială.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție. A constat, în special,
că dreptul croat, astfel cum a fost interpretat de instanțele naționale, nu oferea o
claritate rezonabilă în ceea ce privește puterile discreționare ale autorităților de a
dispune măsuri de supraveghere și nu oferea în practică – astfel cum s-a întâmplat în
cazul reclamantului — suficiente garanții împotriva eventualelor abuzuri.
4
A se vedea, de asemenea: Bašić împotriva Croației, hotărâre din 25 octombrie 2016;

Matanović împotriva Croației, hotărâre din 4 aprilie 2017.
R.E. împotriva Regatului Unit (nr. 62498/11)
27 octombrie 2015
Reclamantul, care a fost arestat și plasat în detenție în Irlanda de Nord în trei rânduri, în
legătură cu uciderea unui polițist, s-a plâns, în special, cu privire la regimul de
supraveghere secretă a consultărilor dintre deținuți și avocații acestora și dintre deținuții
vulnerabili 2 și „adulții corespunzători” 3.
Această cauză a fost examinată din punctul de vedere al principiilor dezvoltate de Curte
în domeniul interceptării convorbirilor telefonice dintre avocat și client, care impun
garanții stringente. Curtea a constatat că aceste principii trebuie să fie aplicate
supravegherii secrete a consultărilor dintre avocat și client într-o secție de poliție. În
speță, Curtea a hotărât că a fost încălcat art. 8 din Convenție în ceea ce privește
supravegherea secretă a consultațiilor juridice. A notat, în special, că orientările care
prevăd tratarea, păstrarea și distrugerea în condiții de siguranță a probelor materiale
obținute prin supraveghere secretă erau puse în aplicare din 22 iunie 2010. Cu toate
acestea, la momentul la care reclamantul se afla în detenție, mai 2010, orientările
respective nu erau încă în vigoare. Prin urmare, Curtea nu a fost convinsă că prevederile
de drept intern în vigoare la momentul faptelor oferiseră garanții suficiente pentru a
proteja consultările reclamantului cu avocatul său, obținute prin supraveghere secretă.
Curtea a hotărât și că nu a fost încălcat art. 8 în ceea ce privește supravegherea
secretă a consultărilor dintre persoanele private de libertate și „adulții corespunzători”,
constatând, în special, că acestea nu erau supuse secretului profesional și, prin urmare,
o persoană privată de libertate nu putea avea aceleași așteptări de caracter privat ca în
cazul unei consultații juridice. În plus, Curtea a fost convinsă că prevederile interne
relevante, în măsura în care aveau legătură cu posibila supraveghere a consultărilor
dintre deținuți și „adulții corespunzători”, erau însoțite de garanții adecvate împotriva
abuzurilor.
Roman Zakharov împotriva Rusiei
4 decembrie 2015 (Marea Cameră)
Această cauză privea sistemul de interceptare secretă a comunicațiilor de telefonie
mobilă în Rusia. Reclamantul, editor-șef al unei edituri, s-a plâns, în special, de faptul că
operatorii de rețele de telefonie mobilă din Rusia erau obligați prin lege să instaleze
echipamente care să permită agențiilor de aplicare a legii să desfășoare măsuri operative
de investigații și că, fără garanții suficiente în temeiul dreptului rus, acest fapt permitea
interceptarea generalizată a comunicațiilor.
dispozițiile legale ruse care reglementau interceptarea comunicațiilor nu ofereau garanții
adecvate și efective împotriva arbitrarului și riscurilor de abuz inerente oricărui sistem de
supraveghere secretă, care era extrem de ridicat într-un sistem precum cel din Rusia, în
care serviciile secrete și poliția aveau acces direct, prin mijloace tehnice, la toate
comunicațiile de telefonie mobilă. În special, Curtea a constatat deficiențe în ceea ce
privește cadrul legal în următoarele domenii: circumstanțele în care autoritățile publice
din Rusia sunt abilitate să recurgă la măsuri de supraveghere secretă; durata unor astfel
de măsuri, în special circumstanțele în care ar trebui să înceteze; procedurile de
autorizare a interceptării, precum și stocarea și distrugerea datelor interceptate;
controlul interceptărilor. În plus, caracterul efectiv al căilor de atac disponibile pentru a
contesta interceptarea comunicațiilor era afectat de faptul că acestea erau disponibile
numai persoanelor care puteau să probeze interceptarea și că obținerea unor astfel de
2
Un minor sau o persoană care are o tulburare psihică sau vulnerabilă psihic în alt mod.
3
Un „adult corespunzător” poate fi o rudă sau un tutore sau o persoană cu experiență în tratarea persoanelor
cu tulburare psihică sau vulnerabile psihic.
5
probe era imposibilă în lipsa unui sistem de notificare sau a posibilității de a avea acces
la informații privind interceptarea.
Szabó și Vissy împotriva Ungariei
12 ianuarie 2016
Această cauză privea legislația maghiară referitoare la supravegherea secretă
antiteroristă, introdusă în 2011. Reclamanții s-au plâns, în special, că exista posibilitatea
de a face obiectul unor măsuri nejustificate și disproporționat intruzive, în cadrul juridic
maghiar, de supraveghere secretă în scopuri legate de securitatea națională [și anume
„art. 7/E (3) privind supravegherea”]. Reclamanții susțineau, în special, că acest cadru
juridic era predispus la abuzuri, în special în lipsa unui control jurisdicțional.
În speță Curtea a hotărât că a fost încălcat art. 8 din Convenție. A admis că era o
consecință firească a formelor actuale ale terorismului ca guvernele să recurgă la
tehnologii de vârf, inclusiv la o monitorizare masivă a comunicațiilor, pentru a anticipa
incidente iminente. Cu toate acestea, Curtea nu a fost convinsă că legislația în cauză
oferea suficiente garanții pentru evitarea abuzurilor. În special, domeniul de aplicare al
măsurilor putea include practic orice persoană în Ungaria, date fiind noile tehnologii care
permit Guvernului să intercepteze volume mari de date chiar și despre persoane din
afara sferei inițiale a operațiunii. Pe de altă parte, dispunerea unor astfel de măsuri s-a
luat în întregime de către executiv, fără a exista o evaluare dacă interceptarea
comunicațiilor era strict necesară și fără ca măsuri corective efective, nici măcar
judiciare, să fie puse în aplicare. Curtea a hotărât în continuare că, în speță, nu a fost
încălcat art. 13 (dreptul la un recurs efectiv) din Convenție, coroborat cu art. 8,
reiterând faptul că art. 13 nu poate fi interpretat ca impunând o cale de atac împotriva
stadiului în care se află dreptul intern.
Mustafa Sezgin Tanrıkulu împotriva Turciei
18 iulie 2017
Reclamanta s-a plâns de decizia unei instanțe interne din 2005 care admitea
interceptarea comunicațiilor oricărei persoane din Turcia, inclusiv a sa, pentru
aproximativ o lună și jumătate. A susținut, în special, că măsurile de interceptare
constituiau un abuz al legislației naționale în vigoare la acel moment. De asemenea, a
menționat că nu a dispus de un recurs efectiv, întrucât autoritățile naționale au refuzat
să efectueze o anchetă cu privire la plângerile sale legate de interceptarea comunicațiilor
sale.
Curtea a hotărât că a fost încălcat art. 8 din Convenție, constatând că ordinul de
interceptare în speță nu era prevăzut de lege. Curtea a hotărât, de asemenea, că în
speță a fost încălcat art. 13 (dreptul la un recurs efectiv) din Convenție.
Cereri pendinte
Centrum För Rättvisa împotriva Suediei (nr. 35252/08)
Cerere comunicată guvernului suedez la 21 noiembrie 2011 și la 14 octombrie 2014
Reclamanta, o firmă de avocatură de interes public fără scop lucrativ, se plânge de
practicile și legislația statului suedez în ceea ce privește măsurile de supraveghere
secretă.
Curtea a comunicat cererea guvernului suedez și a adresat întrebări părților, în temeiul
art. 8 (dreptul la respectarea vieții private), art. 13 (dreptul la un recurs efectiv) și
art. 34 (dreptul de petiționare individual) din Convenție.
Tretter și alții împotriva Austriei (nr. 3599/10)
Cerere comunicată guvernului austriac la 6 mai 2013
Această cauză privește modificările aduse legii privind competențele polițienești, lege ce
a intrat în vigoare în ianuarie 2008 și a extins competențele autorităților polițienești de a
colecta și prelucra date cu caracter personal.
Curtea a comunicat cererea guvernului austriac și a adresat întrebări părților, în temeiul
art. 8 (dreptul la respectarea vieții private și a corespondenței), art. 10 (libertatea de
exprimare) și art. 34 (dreptul de petiționare individual) din Convenție.
6
Cerere similară pendinte: Ringler împotriva Austriei (nr. 2309/10)

Cerere comunicată guvernului austriac la 6 mai 2013
Big Brother Watch și alții împotriva Regatului Unit (nr. 58170/13)
Bureau of Investigative Journalism și Alice Ross împotriva Regatului Unit (nr.
62322/14)
10 organizații pentru drepturile omului și alții împotriva Regatului Unit(nr. 24960/15)
Cereri comunicate Guvernului Regatului Unit la 9 ianuarie 2014, 5 ianuarie 2015 și, respectiv, la
24 noiembrie 2015
Plângerile în aceste 3 cauze au fost declanșate de dezvăluirile făcute de Edward Snowden privind
programele de supraveghere electronică folosite de către Statele Unite ale Americii și Regatul Unit
pentru interceptarea majoritatea comunicațiilor, precum și privind schimbul comunicațiilor
interceptate și a comunicațiilor electronice dintre cele două state. Reclamanții din cele trei cauze
erau convinși că, având în vedere natura delicată a activităților lor, comunicațiile le-au fost
interceptate de către unul din serviciile de informații al Regatul Unit sau al Statelor Unite.
Curtea a comunicat prima cerere Guvernului Regatului Unit la 9 ianuarie 2014 și a
adresat întrebări părților, în temeiul art. 8 (dreptul la respectarea vieții private și a
corespondenței) din Convenție. A comunicat cea de-a doua cerere Guvernului Regatului
Unit la 5 ianuarie 2015 și a adresat întrebări părților, în temeiul art. 8 și art. 10
(libertatea de exprimare) din Convenție. Cea de-a treia cerere a fost comunicată
Guvernului Regatului Unit la 24 noiembrie 2015 și Curtea a adresat întrebări părților în
temeiul art. 8, art. 10, art. 6 (dreptul la un proces echitabil), art. 14 (interzicerea
discriminării) și art. 34 (dreptul de petiționare individual) din Convenție.
La 7 noiembrie 2017, Curtea a desfășurat o ședință în fața Camerei în cele trei cauze.
Benedik împotriva Sloveniei (nr. 62357/14)
Cerere comunicată Guvernului sloven la 8 aprilie 2015
Prezenta cauză privește dezvăluirea către poliție a datelor personale ale reclamantului de
către un furnizor de servicii de internet. Reclamantul se plânge că dreptul său la
confidențialitate a fost încălcat ca urmare a faptului că datele sale privind adresa IP și, în
consecință, identitatea sa au fost colectate fără un ordin judecătoresc.
Curtea a comunicat cererea guvernului sloven și a adresat întrebări părților, în temeiul
Association confraternelle de la presse judiciaire împotriva Franței și alte 11
cereri (nr. 49526/15, 49615/15, 49616/15, 49617/15, 49618/15, 49619/15,
49620/15, 49621/15, 55058/15, 55061/15, 59602/15 și 59621/15)
Cerere comunicată Guvernului francez la 26 aprilie 2017
Aceste cereri, care au fost introduse de avocați și jurnaliști, precum și de persoane
juridice care au legătură cu aceste profesii, privesc Legea informațiilor franceză din 24
iulie 2015.
Curtea a comunicat cererile guvernului francez și a adresat întrebări părților, în temeiul
art. 8 (dreptul la respectarea vieții private și a corespondenței), art. 10 (libertatea de
exprimare) și art. 13 (dreptul la un recurs efectiv) din Convenție.
Cereri similare pendinte: Follorou împotriva Franței (nr. 30635/17) și Johannes
împotriva Franței (nr. 30636/17), comunicate guvernului francez la 4 iulie 2017.
Monitorizarea utilizării calculatorului de către angajați

Bărbulescu împotriva României
5 septembrie 2017 (Marea Cameră)
Această cauză privește decizia unei societăți private de a concedia un angajat -
reclamantul - după monitorizarea comunicațiilor sale electronice și a conținutului
acestora. Reclamantul a reclamat faptul că decizia angajatorului său se întemeia pe o
încălcare a vieții private și că instanțele naționale nu a reușit să protejeze dreptul la
respectarea vieții sale private și a corespondenței.
7
Marea Cameră a hotărât, cu unsprezece voturi la unu, că a fost încălcat art. 8 din
Convenție, constatând că autoritățile române nu au protejat în mod corespunzător
dreptul reclamantului la respectarea vieții private și a corespondenței. În consecință,
acestea nu au păstrat un echilibru just între interesele în cauză. În special, instanțele
interne nu au reușit să stabilească dacă reclamantul primise o notificare prealabilă din
partea angajatorului privind posibilitatea ca respectivele comunicații ar putea să fie
monitorizate; acestea nu au avut în vedere nici faptul că reclamantul nu a fost informat
cu privire la natura sau amploarea monitorizării, ori cu privire la gradul de monitorizare
asupra vieții sale private și a corespondenței. În plus, instanțele naționale nu au reușit să
stabilească, în primul rând, motivele specifice care justifică introducerea unor măsuri de
monitorizare; în al doilea rând, dacă angajatorul ar fi putut utiliza mai puține măsuri care
presupun intruziune în viața privată a reclamantei și a corespondenței; în al treilea rând,
dacă respectivele comunicații ar fi putut fi accesate fără știința reclamantului.
Cereri pendinte
Libert împotriva Franței (nr. 588/13)
Cerere comunicată guvernului francez la 30 martie 2015
Reclamantul se plânge, în special, de o încălcare a dreptului său la respectarea vieții
private care rezultă din faptul că angajatorul său (compania națională de căi ferate
franceză, SNCF) a deschis fișiere aflate pe partiția de pe hard-diskul calculatorului său de
serviciu denumită „D:/date personale” fără ca el să fie prezent. Acesta a fost ulterior
concediat din cauza conținutului fișierelor în cauză.
Curtea a comunicat cererea guvernului francez și a adresat întrebări părților, în temeiul
Eșantioane de voce
P.G. și J.H. împotriva Regatului Unit (nr. 44787/98)
25 septembrie 2001
Această cauză privea, în special, înregistrarea vocilor reclamanților într-o secție de
poliție, în urma arestării lor sub suspiciunea că ar fi urmat să săvârșească o tâlhărie.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție în ceea ce privește
utilizarea dispozitivelor de ascultare secretă în secția de poliție. Notând, în special, că, la
momentul faptelor, nu exista niciun sistem oficial care să reglementeze utilizarea de
dispozitive de ascultare secretă de către poliție la sediu, Curtea a constatat că ingerința
în dreptul reclamanților la viață privată nu era prevăzută de lege. În această cauză,
Curtea a constatat, de asemenea, că a fost încălcat art. 8, ținând seama de utilizarea
unui dispozitiv de ascultare secretă într-un apartament și că nu a fost încălcat art. 8 în
ceea ce privește obținerea de informații despre utilizarea unui telefon.
Vetter împotriva Franței
31 mai 2005
În urma descoperirii corpului unei persoane care prezenta plăgi prin împușcare, poliția,
suspectând că reclamantul a săvârșit omorul, a instalat dispozitive de ascultare într-un
apartament pe care acesta îl vizita în mod regulat.
Curtea a hotărât că a fost încălcat art. 8 din Convenție, constatând că dreptul francez
nu indica cu suficientă claritate întinderea și modul de exercitare a puterii discreționare a
autorităților în privința dispozitivelor de ascultare.
Supraveghere video
Peck împotriva Regatului Unit
28 ianuarie 2003
A se vedea infra, „Dezvăluirea de date cu caracter personal”.
8
Köpke împotriva Germaniei

5 octombrie 2010 (decizie privind admisibilitatea)
Reclamanta, casieră la un supermarket, a fost concediată fără preaviz pentru furt, în
urma unei operațiuni de supraveghere video secretă efectuată de angajatorul său cu
sprijinul unei agenții particulare de detectivi. Aceasta a contestat fără succes concedierea
în fața instanțelor pentru soluționarea litigiilor de muncă. Plângerea sa pe motive de
constituționalitate a fost, de asemenea, respinsă.
Curtea a respins plângerea reclamantei în temeiul art. 8 din Convenție ca inadmisibilă
(vădit nefondată). A concluzionat că autoritățile interne au păstrat un echilibru just între
dreptul angajatei la respectarea vieții private și interesul angajatorului acesteia de a-și
proteja drepturile de proprietate și interesul public, în vederea unei bune administrări a
justiției. Curtea a observat, însă, că intereselor concurente implicate li s-ar putea acorda
o pondere diferită în viitor, având în vedere măsura în care intruziunile în viața privată
au devenit posibile datorită noilor tehnologii, din ce în ce mai sofisticate.
Stocarea și utilizarea datelor cu caracter personal

„Protecția datelor cu caracter personal are un rol fundamental în exercitarea de către o
persoană a dreptului său la respectarea vieții private și de familie, astfel cum este
garantat de art. 8 din Convenție. Dreptul intern trebuie să ofere garanții adecvate pentru
a preveni orice utilizare a datelor cu caracter personal care ar putea fi incompatibilă cu
garanțiile prevăzute de acest articol [...].
Necesitatea unor astfel de garanții este cu atât mai mare în cazul protecției datelor cu
caracter personal care constituie obiectul prelucrării automate, în special atunci când
aceste date sunt utilizate în scopuri polițienești. Dreptul intern ar trebui să se asigure că
aceste date sunt relevante și nu sunt excesive în raport cu scopurile pentru care sunt
înregistrate, și că ele sunt păstrate într-o formă care să permită identificarea persoanelor
vizate o perioadă nu mai lungă decât este necesar pentru scopurile pentru care acestea
sunt înregistrate [...]. [Acesta] trebuie să ofere, de asemenea, garanții adecvate, că
datele cu caracter personal care au fost înregistrate au fost protejate în mod eficient
împotriva utilizării necorespunzătoare și abuzului [...].” (S. și Marper împotriva Regatului
Unit, hotărâre (Marea Cameră) din 4 decembrie 2008, pct. 103)
În contextul sistemului de justiție penală

Perry împotriva Regatului Unit
17 iulie 2003
Reclamantul a fost arestat în legătură cu o serie de jafuri armate asupra unor șoferi de
taxi și eliberat în așteptarea identificării. Întrucât nu a participat la respectiva ședință și
la câteva sesiuni ulterioare, poliția a solicitat autorizația de a-l filma în secret cu o
cameră video. Reclamantul s-a plâns de faptul că poliția l-a filmat în secret pentru a-l
identifica și a utilizat caseta video în procesul penal declanșat împotriva sa.
Curtea a hotărât că a fost încălcat art. 8 din Convenție. A luat act de faptul că nu a
existat niciun indiciu potrivit căruia reclamantul ar fi crezut că înregistrarea făcută în
secția de poliție va fi folosită în procedura de identificare video și, eventual, ca element
de probă care să-i prejudicieze apărarea la proces. Această stratagemă adoptată de
poliție a depășit condițiile normale de utilizare a acestui tip de cameră și a constituit o
ingerință în dreptul reclamantului la respectarea vieții sale private. Ingerința în cauză nu
era prevăzută de lege, deoarece poliția nu a respectat procedurile stabilite în codul
aplicabil: polițiștii nu au obținut acordul reclamantului și nu l-au informat că se face o
înregistrare video; nici nu l-au informat cu privire la drepturile sale în acest sens.
S. și Marper împotriva Regatului Unit
4 decembrie 2008 (Marea Cameră)
Această cauză privea păstrarea pe o perioadă nelimitată a unei baze de date cu
9
amprentele digitale, mostre de celule și profilurile ADN ale reclamanților 4 după ce

acțiunea penală împotriva lor s-a finalizat prin achitare, într-o cauză, și prin clasare, în
cealaltă cauză.
păstrarea datelor în litigiu a constituit o ingerință disproporționată în dreptul
reclamanților la respectarea vieții private și nu putea fi privită ca fiind necesară într-o
societate democratică. Curtea a considerat, în special, că utilizarea tehnicilor științifice
moderne în sistemul de justiție penală nu poate fi permisă cu orice preț și fără a păstra
un echilibru adecvat între beneficiile potențiale ale utilizării extensive a unor astfel de
tehnici și interesele majore care țin de viața privată. Orice stat care își revendică rolul de
pionier în dezvoltarea de noi tehnologii are răspunderea specială de „a păstra un
echilibru just”. Curtea a concluzionat că natura generalizată și nediferențiată a
atribuțiilor de a păstra amprente digitale, mostre de celule și profilurile ADN ale
persoanelor suspectate, dar necondamnate pentru săvârșirea de infracțiuni, astfel cum
s-a întâmplat în speță, nu a păstrat un echilibru just între interesele publice și cele
private concurente.
B.B. împotriva Franței (nr. 5335/06), Gardel împotriva Franței și M.B. împotriva
Franței (nr. 22115/06)
17 decembrie 2009
Reclamanții din aceste cauze, care fuseseră condamnați la pedepse cu închisoarea
pentru violarea unor minori în vârstă de 15 ani de către o persoană aflată într-o poziție
de autoritate, s-au plâns, în special, de includerea lor în dosarul național automat al
autorilor de infracțiuni sexuale (Fichier judiciaire naționale automatisé des auteurs
d’infractions sexuelles).
În cele trei cauze, Curtea a hotărât că nu a fost încălcat art. 8 din Convenție,
constatând că sistemul de includere în dosarul național al autorilor de infracțiuni sexuale,
astfel cum a fost aplicat reclamanților, a păstrat un echilibru just între interesele publice
și private concurente aflate în joc. Curtea a reafirmat, în special, că protecția datelor cu
caracter personal are un rol fundamental în exercitarea de către o persoană a dreptului
său la respectarea vieții private și de familie, cu atât mai mult atunci când aceste date
au fost supuse prelucrării automate, nu în ultimul rând atunci când aceste date au fost
utilizate în scopuri polițienești. Cu toate acestea, Curtea nu putea repune în discuție
obiectivele legate de prevenție ale bazei de date. În plus, întrucât reclamanții aveau
posibilitatea efectivă de a depune o cerere de ștergere a datelor, Curtea a considerat că
durata maximă de păstrare a datelor
– maxim 30 de ani – nu era disproporționată în raport cu obiectivul urmărit de
păstrarea informațiilor. În sfârșit, consultarea acestor date de către instanțe, poliție și
autorități administrative se supunea obligației de confidențialitate și era limitată la
situații precis stabilite.
A se vedea, de asemenea: J.P.D. împotriva Franței (nr. 55432/10), decizie
(inadmisibilă) din 16 septembrie 2014.
Uzun împotriva Germaniei
2 septembrie 2010
A se vedea supra, la „Colectarea de date cu caracter personal”, „Date GPS”.
Dimitrov-Kazakov împotriva Bulgariei
10 februarie 2011
Numele reclamantului a fost înscris în registrele poliției, cu referire la un viol, ca
„infractor”, după ce a fost interogat despre un viol, chiar dacă nu a fost pus sub acuzare
pentru comiterea infracțiunii. Ulterior a fost supus de către poliție la o serie de
recunoașteri legate de plângeri de viol sau dispariții de tinere fete. Reclamantul s-a plâns
4
. Profilurile ADN sunt informații în format digital care sunt stocate în format electronic în baza de date
națională ADN împreună cu detalii despre persoana la care se referă.
10
de includerea sa în dosarele poliției și de lipsa unei căi de atac prin care să-i fie
examinată această plângere.
Curtea a hotărât că a fost încălcat art. 8 din Convenție, constatând că includerea
acestuia în dosarele poliției nu era „prevăzută de lege”, în sensul respectivului articol.
Curtea a hotărât, în continuare, că a fost încălcat art. 13 (dreptul la un recurs efectiv)
din Convenție, coroborat cu art. 8, întrucât nu a existat un recurs efectiv în această
privință.
Shimovolos împotriva Rusiei
21 iunie 2011
Această cauză privea înregistrarea unui activist pentru drepturile omului într-o așa-
numită „bază de date”, care cuprindea informații despre deplasările sale, cu trenul sau
pe calea aerului, în Rusia, precum și despre arestarea sa.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție. A notat, în special, că
crearea și mentenanța bazei de date și procedura pentru funcționarea sa erau
reglementate printr-un ordin ministerial care nu a fost niciodată publicat sau pus altfel la
dispoziția publicului. În consecință, Curtea a constatat că dreptul intern nu indica cu
suficientă claritate întinderea și modalitățile puterii discreționare conferite autorităților
interne pentru a colecta și stoca în baza de date informații cu privire la viața privată a
indivizilor. În special, nu stabilea într-o formă accesibilă publicului vreun indiciu despre
minimele garanții împotriva abuzurilor.
Khelili împotriva Elveției
18 octombrie 2011
Reclamanta din această cauză s-a plâns că, în cursul unui control efectuat de polițiști la
Geneva în 1993, aceștia au găsite asupra sa cărți de vizită pe care scria: „Tânără
frumoasă, amabilă, doresc să cunosc un bărbat pentru a merge la un pahar sau pentru a
ieși împreună, din când în când. Nr. tel. [...]”. Reclamanta a susținut că, în urma acestui
control, polițiștii i-au înscris numele său în evidențe ca fiind prostituată, activitate în care
a negat în mod sistematic că este implicată. Reclamanta a afirmat că stocarea de date
despre care pretindea că ar fi false în ceea ce privește viața sa privată i-a încălcat
dreptul la respectarea vieții private
păstrarea de către poliție de date posibil false privind viața privată i-a încălcat
reclamantei dreptul la respectarea vieții sale private și că menținerea termenului
„prostituată” în decursul anilor nu fusese nici justificată, nici necesară într-o societate
democratică. Curtea a observat, în special, că termenul în discuție putea dăuna
reputației reclamantei și să-i facă dificilă viața cotidiană, având în vedere că datele
conținute în dosarele poliției puteau fi transferate autorităților. Acest fapt era cu atât mai
important cu cât datele cu caracter personal făceau obiectul prelucrării automate,
facilitând astfel în mod considerabil accesul și distribuirea unor astfel de date. Prin
urmare, reclamanta avea un interes considerabil ca termenul „prostituată” să fie
eliminat din dosarele poliției.
M.M. împotriva Regatului Unit (nr. 24029/07)
13 noiembrie 2012
În anul 2000, reclamanta a fost arestată de poliție după dispariția nepotului său pentru o
zi, în încercarea de a preveni plecarea acestuia în Australia în urma eșecului mariajului
fiului său. Autoritățile au decis să nu înceapă urmărirea penală împotriva sa și i s-a dat în
schimb un avertisment pentru răpire de minori. Inițial avertismentul urma să rămână la
dosar pentru o perioadă de cinci ani, dar, din cauza unei schimbări a politicii în cazurile
în care persoana vătămată era minoră, perioada a fost extinsă ulterior pe viață.
Reclamanta s-a plâns de stocarea pe perioadă nelimitată și publicarea datelor legate de
avertismentul dat și impactul acestui fapt asupra perspectivelor sale de angajare.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție. Într-adevăr, ca
urmare a efectului cumulativ al deficiențelor identificate, Curtea a considerat că nu
11
existau garanții suficiente în sistem pentru reținerea și dezvăluirea de date privind

cazierul judiciar pentru a se asigura că datele referitoare la viața privată nu vor fi
dezvăluite prin încălcarea dreptului acesteia la respectarea vieții private. Reținerea și
dezvăluirea datelor reclamantei privind avertismentul primit nu puteau fi considerate ca
fiind prevăzute de lege în sensul art. 8. Curtea a observat, în special, că, deși datele
conținute în cazierul judiciar constituiau, într-un sens, informații publice, stocarea lor
sistematică în evidențele centrale însemna că acestea erau disponibile pentru dezvăluirea
la mult timp după eveniment, într-un moment în care orice persoană alta decât persoana
în cauză probabil le va fi uitat, mai ales într-o situație în care, la fel ca în cazul
reclamantei, avertismentul a fost dat în privat. Astfel, în măsura în care condamnarea
sau avertismentul ținea de trecut, devenise o parte a vieții private a persoanei care
trebuia să fie respectată.
M.K. împotriva Franței (nr. 19522/09)
18 aprilie 2013
În 2004 și 2005, reclamantul a făcut obiectul a două anchete privind furtul unor cărți.
Acesta a fost achitat în urma primului proces, în timp ce în al doilea s-a dispus încetarea
procesului penal. În ambele rânduri i-au fost prelevate amprentele digitale și au fost
înregistrate în baza de date. În 2006, reclamantul a solicitat ca amprentele sale să fie
șterse din baza de date. Cererea sa a fost acordată numai pentru amprentele luate în
cursul primului proces. Căile de atac introduse de reclamant au fost respinse.
Reclamantul s-a plâns că păstrarea datelor sale în baza electronică de date cu amprente
digitale i-a încălcat dreptul la respectarea vieții private.
reținerea datelor a constituit o ingerință disproporționată în dreptul reclamantului la
respectarea vieții sale private și nu putea fi considerată necesară într-o societate
democratică. Curtea a observat, în special, că statul francez și-a depășit marja de
apreciere în materie, întrucât sistemul de păstrare a amprentelor digitale ale persoanelor
suspectate de comiterea unei infracțiuni, dar necondamnate, astfel cum a fost cel aplicat
reclamantului în speță, nu a păstrat un echilibru just între interesul public și cel privat
concurent, aflate în joc.
Peruzzo și Martens împotriva Germaniei
4 iunie 2013 (decizie privind admisibilitatea)
Reclamanții, care fuseseră condamnați pentru infracțiuni penale grave, s-au plâns despre
deciziile instanțele interne de a preleva material celular de la aceștia și de a-l stoca într-o
bază de date sub formă de profiluri ADN pentru a facilita anchetarea unor viitoare
posibile fapte penale.
Curtea a declarat cererea inadmisibilă ca vădit nefondată. A constatat că dispozițiile
interne privind prelevarea și păstrarea de material ADN de la persoane condamnate
pentru infracțiuni care ating un anumit nivel de gravitate, astfel cum s-au aplicat în cazul
reclamanților, păstrează un echilibru just între interesele publice și private concurente și
țin de marja de apreciere acceptabilă a statului pârât.
A se vedea, de asemenea: W. împotriva Țărilor de Jos (nr. 20689/08), decizie
(privind inadmisibilitatea) din 20 ianuarie 2009.
Brunet împotriva Franței
18 septembrie 2014
Reclamantul s-a plâns, în special, de o ingerință în viața sa privată ca urmare a faptului
că a fost adăugat în baza de date STIC a poliției (sistemul de prelucrare a infracțiunilor
constatate) – care conține informații despre rapoartele anchetelor, menționând
persoanele implicate și despre victime – după încetarea acțiunii penale împotriva sa.
Curtea a hotărât, în speță, că a fost încălcat art. 8 din Convenție, constatând că statul
francez și-a depășit puterea discreționară („marja de apreciere”) în astfel de chestiuni:
păstrarea datelor putea fi considerată o încălcare disproporționată a dreptului
reclamantului la respectarea vieții sale private și nu era necesară într-o societate
12
democratică. Curtea a considerat, în special, că reclamantul nu a avut posibilitatea reală

de a solicita eliminarea din baza de date a informațiilor care îl priveau și că durata
păstrării datelor respective, de 20 ani, putea fi asimilată dacă nu cu o stocare pe
perioadă nelimitată, cel puțin cu o normă, mai degrabă decât cu o limită maximă.
Karabeyoğlu împotriva Turciei
7 iunie 2016
Această cauză privea o operațiune de supraveghere telefonică a reclamantului, procuror,
în cursul unei anchete penale privind o organizație ilegală cunoscută sub denumirea
Ergenekon și utilizarea informațiilor astfel obținute în contextul unei anchete disciplinare
separate.
Curtea a hotărât că nu a fost încălcat art. 8 din Convenție în ceea ce privește
ascultarea convorbirilor telefonice în legătură cu ancheta penală și că a fost încălcat
art. 8 în ceea ce privește utilizarea în cadrul procedurilor disciplinare a informațiilor
obținute prin ascultarea convorbirilor telefonice. Curtea a constatat, în special, că, în
cursul anchetei penale, reclamantul a beneficiat de nivelul minim de protecție impus de
statul de drept într-o societate democratică, întrucât interceptarea convorbirilor
telefonice a fost dispusă pe baza unei suspiciuni obiectiv rezonabile și s-a realizat în
conformitate cu legislația aplicabilă. În opinia Curții, ingerința în dreptul reclamantului la
respectarea vieții sale private a fost necesară în interesul securității naționale și pentru
prevenirea dezordinii și faptelor penale. Cu toate acestea, utilizarea informațiilor astfel
obținute în contextul unei anchete disciplinare nu era prevăzută de lege, iar legislația
relevantă a fost încălcată în două privințe: informațiile au fost folosite în alte scopuri
decât cele pentru care au fost colectate și nu au fost distruse în termenul de 15 de zile
după ce ancheta penală s-a încheiat. În speță, Curtea a constatat, de asemenea, că a
fost încălcat art. 13 (dreptul la un recurs efectiv) din Convenție, constatând că, atât în
ceea ce privește anchetele penale, cât și în cele disciplinare, reclamantul nu dispus de o
cale de atac internă care să-i asigure o examinare a aspectului dacă ingerința era
compatibilă cu dreptul său la respectarea vieții sale private și a corespondenței.
Figueiredo Teixeira împotriva Andorei
8 noiembrie 2016
Această cauză privea stocarea și comunicarea către autoritatea judiciară a datelor despre
apelurile telefonice efectuate de reclamant, care era suspectat de infracțiunea gravă de
trafic de droguri. Reclamantul s-a plâns, în special, că stocarea datelor referitoare la
comunicațiile sale telefonice a constituit o ingerință nejustificată în dreptul său la
respectarea vieții private.
Curtea a hotărât că nu a fost încălcat art. 8 din Convenție. Aceasta a constatat, în
special, că, întrucât ingerința în litigiu era prevăzută de dreptul din Andorra, în temeiul
art. 87 din Codul de procedură penală și al Legii nr. 15/2003 privind protecția datelor cu
caracter personal, o persoană care deține o cartelă de telefonie mobilă preplătită se
poate aștepta în mod rezonabil ca aceste dispoziții să fie aplicate în cazul său. În plus,
Curtea a constatat că procedura penală din Andorra prevedea o gamă largă de măsuri de
protecție împotriva acțiunilor arbitrare, dat fiind că un judecător (un batlle) a examinat
necesitatea și proporționalitatea ordinului de transmitere de date, având în vedere
probele colectate și gravitatea infracțiunii în cauză. Prin urmare, Curtea a constatat că, în
speță, echilibrul dintre dreptul reclamantului la respectarea vieții sale private și
prevenirea săvârșirii de infracțiuni a fost respectat.
Dagregorio și Mosconi împotriva Franței
30 mai 2017 (decizie privind admisibilitatea)
Reclamanții sunt doi sindicaliști care au participat la ocuparea și blocarea feribotului
„Pascal Paoli” deținut de Société nationale Corse Méditerranée (SNCM), în cursul
preluării companiei de către un operator financiar. Cauza privea refuzul acestora de a se
supune testărilor biologice, ale căror rezultate urmau să fie incluse în sistemul național
computerizat de date genetice (FNAEG). Reclamanții, condamnați în primă instanță și în
apel, nu au introdus recurs.
13
Curtea a declarat cererea inadmisibilă pentru neepuizarea căilor de atac interne. A

subliniat, în special, că, în lipsa unui precedent judiciar aplicabil situației reclamanților,
existau îndoieli cu privire la eficacitatea unui recurs, având în vedere o hotărâre
pronunțată de Consiliul Constituțional. Curtea a considerat că era așadar un punct care
trebuia să fie transmis către Curtea de Casație. Simplul fapt de a avea îndoieli cu privire
la perspectivele de succes ale unui recurs nu constituia un motiv suficient pentru
omiterea utilizării acestei căi de atac.
Aycaguer împotriva Franței
22 iunie 2017
Reclamantul a susținut că i-a fost încălcat dreptul la respectarea vieții private din cauza
deciziei prin care s-a dispus să-i fie prelevat un eșantion biologic pentru a fi inclus în
sistemul național computerizat de date genetice (FNAEG) și că refuzul său de a se
conforma acestui ordin a avut drept rezultat condamnarea sa penală.
Curtea a hotărât că a fost încălcat art. 8 (dreptul la respectarea vieții private) din
Convenție. A observat, în special, că, la 16 septembrie 2010, Curtea Constituțională a
pronunțat o decizie potrivit căreia dispozițiile privind FNAEG erau conforme cu
Constituția, sub rezerva, între altele, „să se stabilească durata de păstrare a
respectivelor date cu caracter personal în funcție de scopul dosarului stocat, precum și
de natura și/sau gravitatea infracțiunilor în cauză”. Curtea a notat că, până la data
faptelor, nu s-au luat măsuri adecvate privind această rezervă și că nu exista până la
momentul respectiv nicio dispoziție care să diferențieze perioada de stocare a datelor în
funcție de natura și gravitatea infracțiunilor comise. Curtea a hotărât, de asemenea, că
reglementările privind stocarea profilurilor ADN în FNAEG nu ofereau persoanei vizate o
protecție suficientă, din cauza duratei și a faptului că datele nu puteau fi șterse. Prin
urmare, reglementările nu păstrau un echilibru just între interesele publice și private
concurente.
Cereri pendinte
Catt împotriva Regatului Unit (nr. 43514/15)
Cerere comunicată Guvernului Regatului Unit la 19 mai 2016
Această cauză privește păstrarea datelor cu caracter personal în baza de date privind
extremismul intern (Domestic Extremism Database).
Curtea a comunicat cererea Guvernului Regatului Unit și a adresat întrebări părților, în
temeiul art. 8 (dreptul la respectarea vieții private) din Convenție.
În contextul sănătății
Chave născută Jullien împotriva Franței
9 iulie 1991 (decizia Comisiei Europene a Drepturilor Omului 5)
Această cauză privea păstrarea într-un spital psihiatric a dosarului cuprinzând informații
privind internarea obligatorie a reclamantei, internare a cărei nelegalitate fusese
declarată de instanțele franceze. Reclamanta considera, în special, că prezența continuă
într-o evidență centrală a informațiilor privind ținerea sa într-o instituție psihiatrică
constituia o ingerință în viața sa privată și dorea ca astfel de informații să fie eliminate
din evidența centrală de acest tip.
Comisia a declarat cererea inadmisibilă ca vădit nefondată.
A observat, în special, că înregistrarea informațiilor despre pacienții cu tulburări psihice
nu deservea doar interesului legitim de a asigura desfășurarea eficientă a serviciilor din
spitalul publice, ci și celui de a proteja drepturile pacienților înșiși, în special în cazurile
5
. Alături de Curtea Europeană a Drepturilor Omului și Comitetul de Miniștri al Consiliului Europei, Comisia
Europeană a Drepturilor Omului, care a funcționat la Strasbourg în perioada iulie 1954 – octombrie 1999,
controla respectarea de către statele contractante a obligațiilor care le reveneau în temeiul Convenției
Europene a Drepturilor Omului. Comisia și-a încetat existența în momentul în care Curtea a devenit
permanentă, la 1 noiembrie 1998.
14
de internare obligatorie. În speță, Comisia nota, printre altele, că informațiile în cauză

erau protejate de reguli de confidențialitate corespunzătoare. În plus, aceste documente
nu erau asimilate unor evidențe centrale și nu erau în niciun caz accesibile publicului, ci
numai unei categorii de persoane, enumerate limitativ, din afara instituției. Prin urmare,
Comisia a constatat că ingerința la care a fost supusă reclamanta nu putea fi considerată
ca fiind disproporționată în raport cu scopul legitim urmărit, și anume protecția sănătății.
L.L. împotriva Franței (nr. 7508/02)
10 octombrie 2006
Reclamantul s-a plâns, în special, despre transmiterea către și utilizarea de către
instanțe a documentelor din dosarul său medical, în contextul procesului de divorț, fără
consimțământul său și fără ca un expert în domeniul medical să fi fost numit în această
privință.
Curtea a hotărât, în speță, că a fost încălcat art. 8 (dreptul la respectarea vieții private
și de familie) din Convenție, constatând că ingerința în dreptul reclamantului la
respectarea vieții private nu a fost justificată, având în vedere importanța protejării
datelor personale. A observat, în special, că instanțele franceze au făcut trimitere doar
cu titlu subsidiar la dosarul medical în litigiu în sprijinul deciziilor lor și, în consecință,
părea că ar fi putut ajunge la aceeași concluzie și în lipsa acestuia. În plus, Curtea a
observat că dreptul intern nu oferea suficiente garanții în ceea ce privește utilizarea în
cadrul acestui tip de procedură a datelor privind viața privată a părților, justificând astfel
a fortiori necesitatea unei examinări stricte în ceea ce privește necesitatea unor astfel de
măsuri.
În procedurile din domeniul asigurărilor sociale

Vukota-Bojic împotriva Elveției
18 octombrie 2016
Reclamanta a fost implicată într-un accident rutier și, ulterior, a solicitat o pensie de
invaliditate. În urma unei dispute cu asigurătorul său cu privire la valoarea pensiei de
invaliditate și după mulți ani de litigiu, asigurătorul a solicitat ca aceasta să fie supusă
unui nou examen medical, pentru a se obține probe suplimentare legate de starea sa de
sănătate. În momentul în care a refuzat, asigurătorul a angajat detectivi particulari
pentru a o supraveghea în secret. Probele pe care aceștia le-au obținut au fost utilizate
în procedurile ulterioare, ceea ce a condus la o reducere a prestațiilor oferite
reclamantei. Aceasta s-a plâns că supravegherea sa s-a făcut cu încălcarea dreptului său
la respectarea vieții private, precum și că nu ar fi trebuit admisă în cadrul procedurilor.
Curtea a hotărât că a fost încălcat art. 8 (dreptul la respectarea vieții private) din
Convenție. În special, a constatat că acțiunile asigurătorului angajau răspunderea
statului în temeiul Convenției, în măsura în care societatea de asigurări pârâtă era
considerată autoritate publică în temeiul dreptului elvețian. De asemenea, a constatat că
supravegherea în secret a constituit o ingerință în viața privată a reclamantei, chiar dacă
s-a desfășurat în locuri publice, întrucât detectivii au colectat și stocat date în mod
sistematic și le-au utilizat pentru un anumit scop. În plus, supravegherea nu era
prevăzută de lege, întrucât dispozițiile de drept elvețian pe care se bazase nu erau
suficient de precise. În special, dispozițiile nu reglementau cu claritate când și pentru cât
timp putea fi efectuată supravegherea, și nici modul în care datele obținute prin
supraveghere erau stocate și accesate. În continuare, Curtea a constatat că folosirea de
probe din supraveghere în cazul reclamantei împotriva asiguratorului nu a făcut
procedurile inechitabile și, prin urmare, a hotărât că nu a fost încălcat art. 6 (dreptul
la un proces echitabil) din Convenție. În această privință, a constatat, în special, că
reclamantei i s-a oferit posibilitatea firească de a contesta probele obținute prin
supraveghere, și că instanța elvețiană a dat o decizie motivată privind motivele pentru
care acestea trebuie admise.
15
Stocarea în registre secrete

Leander împotriva Suediei
23 martie 1987
Această cauză privea folosirea unui dosar secret al poliției pentru recrutarea unui
dulgher. Reclamantul, care lucrase ca înlocuitor la Muzeul Naval din Karlskrona, aproape
de o zonă militară securizată cu acces restricționat, s-a plâns de stocarea datelor
referitoare la activitățile sale sindicale din trecut și a susținut că acest lucru a dus la a nu
fi recrutat pe postul respectiv. A susținut că niciunul dintre antecedentele sale personale
sau politice nu putea fi considerat ca fiind de natură să facă necesară înscrierea sa în
registrul Departamentului de Securitate și să fie catalogat drept „risc de securitate”.
Curtea a hotărât că, în speță, nu a fost încălcat art. 8 din Convenție. Luând, în special,
notă că atât păstrarea într-un registru secret, cât și comunicarea de informații cu privire
la viața personală a unui individ intră în domeniul de aplicare al art. 8 din Convenție,
Curtea a reamintit, de asemenea, că, într-o societate democratică, existența unor servicii
de informații și păstrarea de date poate fi legală și prevalează față de interesul
cetățenilor, cu condiția să urmărească obiective legitime, și anume prevenirea dezordinii
sau faptelor penale sau protecția securității naționale. În speță, Curtea a constatat că
garanțiile conținute de sistemul suedez de control al personalului îndeplinea cerințele
art. 8 din Convenție și că guvernul suedez era îndreptățit să considere că interesele de
securitate națională prevalau față de interesele individuale ale reclamantului.
Rotaru împotriva României
4 mai 2000 (Marea Cameră)
A se vedea infra, „Ștergerea sau distrugerea datelor cu caracter personal”.
Turek împotriva Slovaciei
14 februarie 2006
A se vedea infra, „Accesul la date cu caracter personal”.
Date ale furnizorilor de servicii de telecomunicații

Cereri pendinte
Breyer împotriva Germaniei (nr. 50001/12)
Cerere comunicată guvernului german la 21 martie 2016
Cererea privește obligația legală a furnizorilor de telecomunicații de a stoca toate datele
cu caracter personal ale clienților lor.
Curtea a comunicat cererea guvernului german și a adresat întrebări părților, în temeiul
art. 8 (dreptul la respectarea vieții private și a corespondenței) și art. 10 (libertatea de
exprimare) din Convenție.
Ćalović împotriva Muntenegrului (nr. 18667/11)
Cerere comunicată guvernului muntenegrean la 31 martie 2016
Reclamanta se plânge de puterile poliției de a avea acces direct la toate datele
furnizorului de telecomunicații mobile la care este abonată, inclusiv la ale sale, în mod
necontrolat.
Curtea a comunicat cererea guvernului muntenegrean și a adresat întrebări părților, în
temeiul art. 8 (dreptul la respectarea vieții private), art. 34 (dreptul de petiționare
individual) și art. 35 (criterii de admisibilitate) din Convenție.
Divulgarea datelor cu caracter personal

Z. împotriva Finlandei (nr. 22009/93)
25 februarie 1997
Această cauză privea divulgarea stării de sănătate a reclamantei ca fiind seropozitivă în
16
cadrul procesului penal împotriva soțului său.

Curtea a hotărât că a fost încălcat art. 8 din Convenție, constatând că dezvăluirea
identității reclamantei și a infecției cu HIV în textul hotărârii curții de apel pus la
dispoziția presei nu era susținut de motive întemeiate și că publicarea informațiilor în
cauză au condus astfel la o încălcare a dreptului reclamantei la respectarea vieții sale
private și de familie. Curtea a notat, în special, că respectarea confidențialității datelor
privind sănătatea constituie un principiu vital în sistemele juridice ale tuturor părților
contractante la Convenție și că este esențial nu numai să fie respectată viața privată a
unui pacient, ci și să-i fie menținută încrederea în profesia medicală și în serviciile
medicale, în general. Dreptul intern trebuie așadar să acorde garanții corespunzătoare
pentru a preveni comunicarea sau divulgarea de date cu caracter personal despre
sănătate care ar putea intra în contradicție cu garanțiile prevăzute la art. 8 din
Convenție.
M.S. împotriva Suediei (nr. 20837/92)
27 august 1997
Această cauză privea comunicarea de către o clinică către un organism de asigurări
sociale a dosarelor medicale care conțineau informații privind întreruperea de sarcină la
care fusese supusă reclamanta.
Curtea a hotărât, în speță, că nu a fost încălcat art. 8 din Convenție, constatând că
existaseră motive relevante și suficiente pentru comunicarea dosarului medical al
reclamantei de către clinică către organismul de asigurări sociale și că măsura nu a fost
disproporționată în raport cu scopul legitim urmărit, și anume aceea de a permite
organismului de asigurări sociale să stabilească dacă condițiile privind acordarea de
despăgubiri reclamantei pentru accident de muncă erau îndeplinite, pentru a proteja
bunăstarea economică a țării. În plus, măsura contestată a fost supusă unor limitări
importante și a fost însoțită de garanții efective și adecvate împotriva abuzurilor.
Peck împotriva Re gatului Unit
28 ianuarie 2003
Această cauză privea divulgarea către mass-media a unei secvențe filmate pe stradă de
o
cameră de televiziune cu circuit închis (CCTV) instalată de consiliul local, care îl arăta pe
reclamant în momentul în care își tăia venele.
Curtea a constatat că divulgarea materialului filmat de către consiliul municipal nu a fost
însoțită de suficiente garanții și constituia o ingerință disproporționată și nejustificată în
viața privată a reclamantului, cu încălcarea art. 8 din Convenție. În special, a constatat
că, în circumstanțele cauzei, nu erau motive suficiente sau relevante care să justifice
divulgarea directă de către consiliu către public a fotografiilor din materialul filmat fără
acordul Consiliului din partea reclamantului sau fără să-i mascheze identitatea, sau care
să justifice dezvăluirea imaginilor către mass-media fără luarea unor măsuri care să
garanteze, în măsura posibilului, că mascarea identității va fi făcută de mass-media.
Obiectivul de prevenire a faptelor penale și contextul divulgării informațiilor impuneau, în
speță, un control și o atenție speciale în acest sens. Curtea a hotărât, de asemenea, că a
fost încălcat art. 13 (dreptul la un recurs efectiv) din Convenție, coroborat cu art. 8,
constatând că reclamantul nu a dispus de un recurs efectiv în ceea ce privește încălcarea
dreptului său la respectarea vieții private.
Panteleyenko împotriva Ucrainei
29 iunie 2006
Reclamantul s-a plâns, în special, despre divulgarea, în cursul unei ședințe de judecată,
de informații confidențiale despre starea sa psihică și tratamentul psihiatric pe care îl
urma.
Curtea a constatat că obținerea de la un spital psihiatric de informații confidențiale
despre starea psihică a reclamantului și tratamentul medical urmat și divulgarea
acestora în cursul unei ședințe publice a constituit o ingerință în dreptul reclamantului la
respectarea vieții sale private. A hotărât că, în speță, a fost încălcat art. 8 (dreptul la
17
respectarea vieții private și de familie) din Convenție, notând, în special, faptul că

detaliile în cauză nu puteau să influențeze rezultatul litigiului, că solicitarea informațiilor
respective de către instanța de fond nu era necesară, întrucât informațiile nu erau
„importante pentru anchetă, ancheta preliminară sau pentru proces” și era așadar
ilegală în sensul Legii din 2000 privind asistența medicală psihiatrică.
Armonas împotriva Lituaniei și Biriuk împotriva Lituaniei
25 noiembrie 2008
În 2001, cel mai mare cotidian al Lituaniei a publicat un articol pe prima pagină despre
amenințarea SIDA într-o zonă îndepărtată din Lituania. În special, angajații dintr-un
centru medical pentru combaterea SIDA și dintr-un spital erau citați drept confirmând că
reclamanții erau seropozitivi. Cea de a doua reclamantă, descrisă ca fiind „renumită
pentru promiscuitate”, ar avea doi copii ilegitimi cu primul reclamant.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție ca urmare a plafonului
scăzut stabilit pentru despăgubirile acordate reclamanților. Exprimându-și în special
preocuparea față de faptul că, potrivit ziarului, informațiile despre boala reclamanților
fusese confirmate de personalul medical, Curtea a observat că era crucial ca dreptul
intern să garanteze confidențialitatea pacienților și să descurajeze orice divulgare de
date cu caracter personal, în special având în vedere impactul negativ al unor astfel de
informații asupra disponibilității altor persoane de a face voluntar teste HIV și de a
solicita un tratament adecvat.
Avilkina și alții împotriva Rusiei
6 iunie 2013
Reclamanții erau o organizație religioasă, Centrul Administrativ al Martorilor lui Iehova
din Rusia, și trei membri ai Martorilor lui Iehova. Aceștia s-au plâns, în special, despre
divulgarea dosarelor lor medicale către autoritățile de urmărire penală ruse, în urma
refuzului lor de a face transfuzii de sânge pe durata internării în spitale publice. În
legătură cu o anchetă privind legalitatea activităților organizației reclamante, autoritățile
de urmărire penală au solicitat tuturor spitalelor din Sankt Petersburg să raporteze
refuzurile de transfuzii de sânge ale membrilor Martorilor lui Iehova.
Curtea a declarat cererea inadmisibilă (incompatibilă ratione personae) în ceea ce
privește organizația religioasă reclamantă și în ceea ce privește unul din ceilalți trei
reclamanți, având în vedere că în realitate nu fusese divulgat niciun dosar medical, iar
acest fapt nu a fost contestat de părți. Curtea a hotărât că, în speță, a fost încălcat
art. 8 din Convenție în ceea ce-i privește pe ceilalți doi reclamanți. În special, a observat
că nu existase nicio nevoie socială imperioasă de a fi divulgate informații medicale
confidențiale despre aceștia. În plus, mijloacele utilizate de procuror în desfășurarea
anchetei, care a implicat divulgarea de informații confidențiale fără nicio avertizare în
prealabil și fără a oferi posibilitatea de a formula obiecții, nu era necesar să fie atât de
opresive pentru reclamanți. Prin urmare, autoritățile nu au făcut niciun efort pentru a
păstra un echilibru just între dreptul reclamanților la respectarea vieții private, pe de o
parte, și obiectivul procurorului de a proteja sănătatea publică, pe de altă parte.
A se vedea, de asemenea: Y.Y. împotriva Rusiei (nr. 40378/06), hotărâre din 23
februarie 2016.
Radu împotriva Republicii Moldova
15 aprilie 2014
Reclamanta, lector la Academia de Poliție, s-a plâns despre divulgarea de către un spital
de stat de informații medicale despre ea către angajatorul său. Informațiile au circulat la
scară largă la locul de muncă al reclamantei și, la puțin timp după aceasta, a pierdut
sarcina din cauza stresului. Reclamanta a inițiat fără succes proceduri împotriva spitalului
și Academiei de Poliție.
ingerința în exercitarea dreptului la respectarea vieții private, invocată de reclamantă, nu
era „prevăzută de lege” în sensul art. 8.
18
Sõro împotriva Estoniei

3 septembrie 2015
Această cauză privea plângerea reclamantului despre faptul că informațiile privind locul
său de muncă în timpul epocii sovietice ca șofer în cadrul Comitetului pentru Securitatea
Statului din URSS (KGB) au fost publicate în Monitorul Oficial din Estonia în 2004.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție, constatând că, în
cauza reclamantului, măsura a fost disproporționată în raport cu obiectivele urmărite.
Curtea a notat, în special, că, în temeiul legislației naționale relevante, erau publicate
informații despre toți angajații din fostele servicii de securitate – inclusiv șoferii, la fel ca
în cazul reclamantului – indiferent de funcția specifică pe care o avuseră. În plus, deși
legea privind divulgarea de informații a intrat în vigoare la trei ani și jumătate după ce
Estonia și-a declarat independența, publicarea de informații despre foștii angajați ai
serviciilor de securitate a continuat pe parcursul mai multor ani. În cazul reclamantului,
informațiile în cauză au fost publicate abia în 2004, la aproape 13 ani după ce Estonia și-
a declarat independența, și nu a existat nicio evaluare privind posibila amenințare pe
care o reprezenta reclamantul, în momentul în care a fost publicat anunțul. În cele din
urmă, deși legea privind divulgarea de informații nu impunea în sine niciun fel de
restricții cu privire la activitatea profesională a reclamantului, potrivit afirmațiilor
acestuia, fusese luat în derâdere de colegii săi și a fost obligat să renunțe la locul său de
muncă. Curtea a considerat că, deși nu acesta era rezultatul urmărit de lege, a
demonstrat, cu toate acestea, cât de gravă a fost ingerința în dreptul reclamantului la
respectarea vieții sale private.
Satakunnan Markkinapörssi Oy și Satamedia Oy împotriva Finlandei
27 iunie 2017 (Marea Cameră)
În urma publicării de către două companii a informațiilor personale fiscale despre 1,2 de
milioane de persoane, autoritățile interne au hotărât că o publicare atât de masivă a
unor date cu caracter personal a fost ilegală în temeiul legislației în materie de protecție
a datelor, și a interzis astfel de publicări de informații în masă, în viitor. Companiile s-au
plâns că interdicția le-a încălcat dreptul la libertatea de exprimare.
Marea Cameră a hotărât, cu cincisprezece voturi la două, că în speță nu a fost încălcat
art. 10 (libertatea de exprimare) din Convenție. A notat, în special, că interdicția a
constituit o ingerință în libertatea de exprimare a companiilor. Cu toate acestea, nu a
fost încălcat art. 10, deoarece era prevăzută de lege, a urmărit scopul legitim de a
proteja viața privată a persoanelor și a păstrat un echilibru just între dreptul la viață
privată și dreptul la libertatea de exprimare. În această cauză, Marea Cameră a fost de
acord cu concluzia instanțelor interne, potrivit căreia colectarea și diseminarea în masă
de date fiscale nu a contribuit la o dezbatere de interes public, și nu a avut un scop strict
jurnalistic.
Accesul la date cu caracter personal

Gaskin împotriva Regatului Unit
7 iulie 1989
La atingerea vârstei majoratului reclamantul, care fusese luat în îngrijire când era minor,
dorea să afle informații despre trecutul său, pentru a-și depăși problemele personale. I-a
fost refuzat accesul la dosar pe motiv că acesta conținea informații confidențiale.
procedurile urmate nu au asigurat respectarea vieții private și de familie a reclamantului,
astfel cum prevede respectivul articol. A notat, în special, că persoanele aflate în situația
reclamantului aveau un interes vital, protejat de Convenție, de a primi informațiile
necesare pentru a-și cunoaște și înțelege copilăria și dezvoltarea timpurie. Pe de altă
parte, trebuie avut în vedere că păstrarea confidențialității registrelor publice este
importantă pentru a primi informații obiective și fiabile, și că această confidențialitate
poate fi, de asemenea, necesară pentru protecția persoanelor terțe. Cu privire la acest
19
ultim aspect, un sistem precum cel britanic, care permite accesul la dosare numai cu
consimțământul contributorului, poate în principiu să fie considerat compatibil cu
obligațiile care decurg în temeiul art. 8, ținând seama de marja de apreciere a statului.
Curtea a considerat, cu toate acestea, că într-un astfel de sistem, interesele persoanei
care solicită acces la toate dosarele referitoare la viața sa privată și de familie trebuie
garantate, în cazul în care un contributor la dosare fie nu este disponibil, fie refuză să își
dea consimțământul, în mod necorespunzător. Un astfel de sistem este în conformitate
cu principiul proporționalității numai în cazul în care prevede că o autoritate
independentă decide în final dacă accesul trebuie acordat atunci când un contributor nu
răspunde sau refuză să-și dea aprobarea. Reclamantul nu a avut la dispoziție o astfel de
procedură în speță.
Odièvre împotriva Franței
13 februarie 2003 (Marea Cameră)
Reclamanta a fost abandonată de mama sa naturală la naștere și lăsată în grija
serviciului pentru securitate și sănătate socială. Aceasta s-a plâns că nu a putut obține
detalii prin care să-și identifice familia naturală și a afirmat, în special, că imposibilitatea
de a face acest lucru i-a fost extrem de dăunătoare, deoarece a privat-o de șansa de a-și
reconstitui istoria personală.
În hotărârea Marii Camere, Curtea a observat că locul nașterii și, în special,
circumstanțele în care s-a născut un copil făceau parte din viața privată a copilului și,
ulterior, a adultului, garantată de art. 8 din Convenție. În speță, a hotărât că nu a fost
încălcat art. 8 (dreptul la respectarea vieții private), observând, în special, că
reclamanta a primit acces la informații fără date de identificare despre mama și familia
sa naturală, care au ajutat-o totuși să afle anumite date despre originea sa, asigurându-
se totodată protecția intereselor părților terțe. În plus, prin legislația recentă promulgată
în 2002 s-a permis ridicarea confidențialității și s-a înființat un organism special pentru
facilitarea căutărilor de informații despre originea biologică. Reclamanta putea recurge
acum la legea respectivă pentru a solicita dezvăluirea identității mamei sale, cu condiția
obținerii consimțământului acesteia din urmă pentru a garanta realizarea unui echilibru
just între nevoia de protecție a mamei și cererea legitimă a reclamantei. Legislația
franceză încerca astfel să realizeze un echilibru și să asigure o proporție suficientă între
interesele concurente.
Roche împotriva Regatului Unit
19 octombrie 2005 (Marea Cameră)
Reclamantul fost lăsat la vatră din armata britanică spre sfârșitul anilor ’60. În anii ’80,
acesta a început să sufere de hipertensiune arterială și ulterior a suferit de
hipertensiune, bronșită și astm bronșic. A fost declarat invalid și a susținut că problemele
sale de sănătate au fost rezultatul participării sale la testele cu gaz muștar și gaz
neurotoxic desfășurate sub auspiciile forțelor armate britanice la baza militară Down
Porton (Anglia), în anii ’60. Reclamantul s-a plâns, în special, că nu a avut acces la toate
informațiile relevante și adecvate care să-i permită să evalueze eventualele riscuri la
care a fost expus pe durata participării sale la testele respective.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție, constatând că, date
fiind circumstanțele generale, Regatul Unit nu și-a respectat obligația pozitivă de a oferi
o procedură efectivă și accesibilă care să-i permită reclamantului să aibă acces la toate
informațiile relevante și adecvate, care să-i permită acestuia să evalueze eventualele
riscuri la care a fost expus pe durata participării sale la teste. Curtea a observat, în
special, că unei persoane precum reclamantul, care a încercat să obțină divulgarea unor
astfel de informații fără a întreprinde vreo acțiune în justiție, nu i se putea solicita să
acționeze în instanță pentru a obține divulgarea informațiilor. În plus, au fost inițiate
servicii de informare și studii de sănătate abia după aproximativ 10 ani de la momentul
în care reclamantul a început să caute documente și a introdus cererea în fața Curții.
20
Turek împotriva Slovaciei

14 februarie 2006
Reclamantul a susținut, în special, că păstrarea dosarului său în serviciul de securitate
comunist al fostei Republici Cehoslovace în care era înregistrat ca fiind unul dintre
agenți, emiterea unui certificat de securitate în acest sens, respingerea acțiunii sale
împotriva respectivei înregistrări și, prin urmare, efectele rezultate constituiau o
încălcare a dreptului său la respectarea vieții private.
Curtea a recunoscut că, în special în cadrul procedurilor legate de operațiunile serviciilor
de securitatea statului, ar putea exista motive legitime pentru a limita accesul la anumite
documente și alte materiale. Cu toate acestea, în ceea ce privește procedura lustrației,
acest considerent și-a pierdut o mare parte din validitate, în special întrucât o astfel de
procedură era, prin natura sa, orientată spre stabilirea unor fapte care datau din epoca
comunistă și nu erau direct legate de funcțiile actuale ale serviciilor de securitate. În
plus, în discuție era legalitatea acțiunilor serviciului de securitate. În cazul reclamantului,
Curtea a notat că instanțele interne au considerat că era de o importanță crucială ca
acesta să probeze că ingerința statului în drepturile sale era contrară normelor aplicabile.
Normele respective erau, însă, secrete și reclamantul nu avea acces deplin la acestea. Pe
de altă parte, statul – serviciul de informații slovac – aveau acces deplin la ele. Curtea a
constatat că cerința respectivă impunea reclamantului o sarcină nerealistă și excesivă și
nu respecta principiul egalității. Drept urmare, în speță a fost încălcat art. 8, în lipsa
unei proceduri prin care reclamantul să poată solicita protejarea dreptului său la
respectarea vieții private. În sfârșit, Curtea a considerat că era inutil să examineze
separat efectele asupra vieții private a reclamantului înregistrarea sa în arhivele fostului
serviciu de securitate al statului și certificatul de securitate negativ care fusese emis.
Segerstedt-Wiberg și alții împotriva Suediei
6 iunie 2006
În această cauză, reclamanților li s-a refuzat accesul deplin la dosarele care îi priveau,
deținute de serviciul de securitate suedez, pe motiv că acordarea accesului ar putea
compromite prevenirea săvârșirii de fapte penale sau protecția securității naționale.
Curtea hotărât că, în speță, nu a fost încălcat art. 8 din Convenție în ceea ce privește
refuzul de a acorda reclamanților accesul deplin la informațiile deținute despre aceștia de
serviciul de securitate. Reamintind, în special, faptul că refuzul de a acorda acces deplin
la un registru național al serviciului secret era necesar în cazul în care statul putea în
mod legitim să aibă temerea că oferirea unor astfel de informații putea pune în pericol
eficacitatea unui sistem de supraveghere secretă care are drept scop protecția securității
naționale și combaterea terorismului, Curtea a constatat că Suedia, având în vedere
marja de apreciere largă de care dispunea, era îndreptățită să considere că interesele de
securitate națională și lupta împotriva terorismului prevalau față de interesul
reclamanților de a cunoaște în integralitate care erau informațiile pe care serviciul de
securitate le deținea despre aceștia la dosar.
K.H. și alții împotriva Slovaciei (nr. 32881/04)
28 aprilie 2009
Reclamantele, opt femei de etnie romă, nu au mai putut rămâne însărcinate după ce au
fost tratate la secțiile de ginecologie din două spitale diferite, acestea suspectând că
fuseseră sterilizate în perioada spitalizării lor. S-au plâns că nu au putut obține fotocopii
ale dosarelor lor medicale.
Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție întrucât reclamantelor
nu li s-a permis să-și fotocopieze dosarele medicale. A considerat, în special, că
persoanele care, precum reclamantele, doreau să obțină fotocopii ale documentelor ce
conțineau datele lor personale nu ar fi trebuit să fie obligate să justifice în mod specific
motivul pentru care aveau nevoie de copii. Ar fi trebuit ca autoritățile în posesia cărora
se aflau datele să demonstreze că existau motive întemeiate pentru a nu acorda
respectiva facilitate. Având în vedere faptul că reclamantele obținuseră ordine
judecătorești care le permiteau să-și consulte dosarele medicale în întregime, a le refuza
21
posibilitatea de a face fotocopii ale acestor dosare nu a fost justificată suficient de

autorități. Pentru a evita riscul de utilizare abuzivă a datelor medicale, ar fi fost suficient
să pună în aplicare garanții legislative care să vizeze limitarea strictă a situațiilor în care
astfel de date puteau fi divulgate, precum și persoanele autorizate să aibă acces la
dosare. Curtea a observat că noua lege a sănătății adoptată în 2004 era compatibilă cu
această cerință, dar, cu toate acestea, a intrat în vigoare prea târziu pentru a avea
impact asupra situației reclamantelor din speță.
Haralambie împotriva României
27 octombrie 2009
Reclamantul s-a plâns, în special, de obstacolele în calea exercitării dreptului său de
acces la dosarul personal creat despre acesta de fostele servicii secrete în timpul
perioadei comuniste.
Curtea hotărât că, în speță, a fost încălcat art. 8 din Convenție în ceea ce privește
obstacolele întâmpinate de reclamant în consultarea dosarului său personal creat despre
acesta de serviciile de securitate în timpul regimului comunist. Curtea a constatat că nici
cantitatea de dosare transferate, nici deficiențele din sistemul de arhivare nu justificau o
întârziere de șase ani pentru a-i admite cererea. În această cauză, Curtea a reamintit, în
special, interesul primordial al persoanelor care au făcut obiectul unor dosare personale
deținute de autoritățile publice să poată avea acces la acestea și a subliniat că
autoritățile aveau obligația de a oferi o procedură efectivă pentru a oferi accesul la astfel
de informații.
A se vedea, de asemenea: Jarnea împotriva României, hotărâre din 19 iulie 2011;
Antoneta Tudor împotriva României, hotărâre din 24 septembrie 2013.
Godelli împotriva Italiei
25 septembrie 2012
Această cauză privea confidențialitatea informațiilor privind nașterea unui copil și
imposibilitatea unei persoane abandonate de mama sa de a-și cunoaște originile.
Reclamanta a susținut că a suferit daune importante din cauza faptul că nu-și cunoștea
trecutul personal, aflându-se în imposibilitatea de a-și descoperi rădăcinile, cu
respectarea protecției intereselor părților terțe.
Curtea a constatat că, în speță, a fost încălcat art. 8 din convenție, considerând, în
special, că nu a fost păstrat un echilibru just între interesele aflate în joc, în măsura în
care legislația italiană nu permitea unui copil care nu a fost recunoscut oficial la naștere
și, ulterior, a fost adoptat, în cazurile în care mama opta să nu-și divulge identitatea, să
solicite fie informații anonimizate despre originea sa, fie divulgarea identității mamei
biologice, cu consimțământul acesteia din urmă.
Magyar Helsinki Bizottság împotriva Ungariei
8 noiembrie 2016 (Marea Cameră)
Această cauză privea refuzul autorităților de a furniza unui ONG informații despre
activitatea avocaților apărării ex officio, întrucât autoritățile au clasificat respectivele
informații ca date cu caracter personal care nu pot fi divulgate în temeiul dreptului
maghiar. ONG-ul reclamant s-a plâns că refuzul instanțelor maghiare de a dispune
comunicarea informațiilor în cauză a constituit o atingere adusă dreptului său de acces la
informații.
Curtea a hotărât că, în speță, a fost încălcat art. 10 (libertatea de exprimare) din
Convenție. A observat, în special, că informațiile solicitate de ONG-ul reclamant îi erau
necesare pentru a finaliza studiul privind funcționarea sistemului de avocați publici pe
care îl realiza în calitate de organizație neguvernamentală din domeniul drepturilor
omului, cu scopul de a contribui la discutarea unei chestiuni de interes public evident. În
opinia Curții, refuzând ONG-ului reclamant accesul la informațiile solicitate, autoritățile
interne au împiedicat ONG-ul să-și exercite libertatea de a primi și de a răspândi
informații, într-un mod care afecta însăși esența drepturilor prevăzute de art. 10. În
continuare, Curtea a constatat că drepturile la viață privată ale avocaților apărării nu ar
fi fost afectate negativ dacă ar fi fost furnizate informațiile solicitate de ONG-ul
22
reclamant, întrucât, deși este adevărat că cererea de informații viza în mod indiscutabil
date cu caracter personal, nu implica informații din afara domeniului public. Curtea a
constatat, de asemenea, că dreptul maghiar, astfel cum a fost interpretat de instanțele
naționale, a exclus orice evaluare semnificativă a drepturilor la libertatea de exprimare
ale ONG-ului reclamant și a considerat că, în speță, orice restricții în ceea ce privește
publicația propusă de ONG-ul reclamant, care intenționa să contribuie la dezbaterea unei
chestiuni de interes general – ar fi trebuit să fie supusă unui control considerabil. În
final, Curtea a considerat că argumentele Guvernului maghiar nu au fost suficiente
pentru a demonstra că ingerința reclamată fusese „necesară într-o societate
democratică” și a hotărât că, fără a ține seama de puterea de apreciere conferită statului
pârât („marja de apreciere”), nu a existat un raport rezonabil de proporționalitate între
măsura reclamată (refuzul de a furniza numele avocaților apărării ex officio și de câte ori
au fost numiți ca avocați în anumite jurisdicții) și obiectivul legitim urmărit (protecția
drepturilor altora).
Ștergerea sau distrugerea datelor cu caracter personal

Rotaru împotriva României
4 mai 2000 (Marea Cameră)
Reclamantul s-a plâns că s-a aflat în imposibilitatea de a dezminți ceea ce el susținea că
sunt informații false conținute într-un dosar arhivat de Serviciul Român de Informații
(SRI). Acesta fusese condamnat la un an de închisoare în 1948, după ce a criticat
regimul comunist.
Curtea a hotărât că a fost încălcat art. 8 din Convenție, constatând că deținerea și
utilizarea de către SRI de informații despre viața privată a reclamantului nu erau
prevăzute de lege. Curtea a observat, în special, că informațiile publice pot intra în sfera
vieții private în cazul în care sunt colectate și stocate în mod sistematic în dosare
păstrate de autorități. Acest lucru este valabil mai ales în cazul în care aceste informații
se referă la trecutul îndepărtat al unei persoane. În continuare a notat că nicio dispoziție
din dreptul intern nu definea tipul de informații care puteau fi arhivate, categoriile de
persoane împotriva căreia măsuri de supraveghere precum colectarea și păstrarea
informațiilor puteau fi luate, condițiile în care puteau fi luate astfel de măsuri sau
procedura care trebuia urmată. În mod similar, legislația nu prevedea limite cu privire la
vechimea informațiilor deținute sau durata de timp în care puteau fi păstrate. În sfârșit,
nu exista nicio dispoziție explicită, detaliată privind persoanele autorizate să consulte
dosarele, natura dosarelor, procedura care trebuia urmată sau modul în care puteau fi
utilizate informațiile astfel obținute. Aceasta fiind situația de fapt, Curtea a considerat că
dreptul român nu indica cu suficientă claritate întinderea și modalitățile de exercitare a
puterii discreționare relevante conferite autorităților publice. În speță, Curtea a hotărât,
de asemenea, că a fost încălcat art. 13 (dreptul la un recurs efectiv) din Convenție,
întrucât reclamantul nu a avut posibilitatea să conteste păstrarea datelor sau să infirme
veridicitatea informațiilor în cauză.
A se vedea, de asemenea: Asociația „21 Decembrie 1989” și alții împotriva
României, hotărâre din 24 mai 2011.
Pentru informații suplimentare
A se vedea în special:
- Convenția Consiliului Europei (nr. 108) pentru protejarea persoanelor față
de prelucrarea automatizată a datelor cu caracter personal, adoptată la
Strasbourg la 28 ianuarie 1981
- Consiliul Europei, pagina web privind protecția datelor
23
- Manual de legislație europeană privind protecția datelor, Agenția pentru

Drepturi Fundamentale a Uniunii Europene/Consiliul Europei, 2014
Contact media:
Tel.: + 90 21 42 08 33 3
24
Capitolul IV.
Evaluarea impactului asupra protecţiei

datelor cu caracter personal
Studii de caz
MODEL DPIA
ANALIZEAZĂ
ETAPA CE PRESUPUNE? CUM OBȚINEM
REZULTATUL?
Guvernanța Realizarea unei radiografii a organizației, Resurse interne

din punct de vedere al personalului,
organizației și/sau consultanță
pentru identificarea părților interesate
(stakeholders) și responsabile cu respectarea
politicilor și procedurilor care guvernează
prelucrarea datelor cu caracter personal. În
funcție de tipul organizației, va fi identificat și
Responsabilul pentru Protecția Datelor (DPO -
Data Protection Officer)
Infrastructura Cuantificarea resurselor materiale Resurse interne

existente și a celor utilizate pentru
existentă și/sau consultanță
gestionarea datelor va oferi o imagine de
ansamblu asupra nivelului de

concordanță tehnică cu obiective GDPR
Inventarul Documentarea cât mai riguroasă cu privire Resurse interne

datelor la activitățile de procesare a datelor și
realizarea unui inventar având la bază și/sau consultanță
si fluxul actual al întrebările: cine, ce, unde, când, de ce, cum?
acestora Trebuie identificate și detaliile legate de
transferurile internaționale de date atât pe
teritoriul EU, cât și în afara lui.
Prevederile Descrierea detaliată a modului actual în Resurse interne

care se asigură protecția datelor, cu
GDPR scopul de a evalua ce trebuie să fie și/sau consultanță
actualizat sau nou introdus pentru
cu impact
respectarea cerințelor GDPR
asupra
organizației
PLANIFICĂ
Proceduri de Actualizarea procedurilor de lucru Resurse interne
lucru existente, dar și definirea unor noi măsuri
și/sau consultanță
pentru a asigura conformitatea cu GDPR.
în conformitate
cu Este recomandată elaborarea unui cod de
conduit intern care să includă mecanisme cu
prevederile ajutorul cărora se poate demonstra
GDPR conformitatea cu GDPR sau aderarea la coduri
de conduită aprobate. Principalele avantaje pe
care îl oferă un cod de conduită:
• creșterea transparenței și a responsabilității
• oferirea de mijloace de soluționare a

situațiilor de criză
• stabilirea de bune practici cu privire la

GDPR
Măsuri tehnice Stabilirea mijloacelor ce urmează a fi Resurse interne
de asigurare a implementate pentru a: și/sau consultanță
prevederilor • Obține consimțământul explicit

GDPR • Asigură disponibilitatea și reziliența
sistemelor și a serviciilor de prelucrare
• Asigură siguranța accesului la date și

transferului acestora
• Asigură integritatea și confidențialitatea

datelor
• Asigură pseudonimizare și criptare
• Asigură urmărirea duratei de viată și a

ștergerii datelor
• Asigură portabilitatea
• Menține evidența prelucrării
• Ștergerea datelor
Transferul Stabilirea măsurilor necesare pentru a Resurse interne

datelor, putea desfășura în legalitate transferurile
internaționale de date atât pe teritoriul EU,
inclusiv cât și în afara lui.
transferul
internațional
ACȚIONEAZĂ
Implementarea Odată definit cadrul de conformitate și măsurile Resurse interne
necesare pentru a asigura conformitatea, vor fi
noilor făcuți pași concreți pentru aplicarea și/sau consultanță
proceduri prevederilor GDPR.
de lucru
Implementarea Implementarea/configurarea mijloacelor Resurse interne

tehnice ce permit gestionarea datelor cu
/configurarea Instrumente informatice
caracter personal în conformitate cu
prevederile GDPR, ținând cont de volumul de pentru protecția datelor
mijloacelor
date colectate, gradul de prelucrare a și/sau
tehnice
acestora, perioada de stocare și
pentru accesibilitatea acestora. Consultanță tehnică
protecția Aceste mijloace trebuie să asigure cel
puțin:
datelor
• Obținerea consimțământului explicit
• Disponibilitatea, integritatea și
confidențialitatea datelor
• Reziliența sistemelor și a serviciilor de

prelucrare
• Siguranța accesului la date și

transferului acestora
• Restricționarea prelucrării datelor
• Pseudonimizarea și criptarea datelor
• Urmărirea duratei de viată și ștergerea

datelor
• Portabilitatea datelor
• Menținerea evidenței prelucrării datelor
Modificarea Modificarea infrastructurii poate lua forme Resurse interne

foarte variate și, de cele mai multe ori,
infrastructurii și/sau consultanță
proporțional cu dimensiunea organizației.
Modificarea poate însemna: îmbunătățirea
componentelor existente, adăugarea de noi
componente sau chiar înlocuirea unor
componente. Integrarea de produse de
securitate în infrastructura existentă este cea
mai uzuală măsură ce se recomandă a fi
adoptată.
Informarea Un principiu cheie al GDPR este cel al Resurse interne

permanentă responsabilității, fapt ce poate fi sinonim cu o
conformitate demonstrabilă.
a
stakeholderilor Responsabilizarea se poate face prin
informarea permanentă a factorilor de
decizie din organizație, dar și a personalului cu
privire la măsurile ce trebuie respectate și pașii
ce trebuie urmați.
O detaliere eficient structurată a GDPR ar trebui

comunicată atât conducerii, cât și personalului
întregii organizații, prin intermediul campaniilor
interne de conștientizare care vor ajuta la
educarea persoanelor și la sensibilizarea cu
privire la schimbările iminente ale politicilor și
procedurilor organizației.
Informațiile relevante și documente de

conformitate ale organizației trebuie
structurate într-un pachet pentru a putea
asigura accesibilitatea, menținerea și controlul

cât mai facil al programul de conformitate.
Informarea se poate referi la:
• Politici, proceduri și instrumente
• Măsuri de securitate
• Inventarul de prelucrare a datelor
• Alte părți interesate și informații de

contact
Numirea unui Responsabilul de protecție a datelor Resurse interne

(DPO) are rolul de a supraveghea datele
Responsabil cu și/sau consultanță
gestionate de organizație, strategia de protecție
a acestora și punerea în
protecția aplicare a măsurilor necesare pentru a
datelor asigura conformitatea cu cerințele GDPR. În
trei cazuri este ogligatorie numirea unui DPO:
(DPO - data
protection • Dacă prelucrarea datelor este efectuată de o
autoritate publică (cu excepția instanțelor)
officer), dacă e
necesar • Dacă activitatea de bază a companiei private
este reprezentată de operațiuni de prelucrare
care implică monitorizare regulată și
sistematică a persoanelor vizate pe scară largă
• Dacă procesarea datelor sensibile implică și

prelucrarea pe scară largă a unor categorii
speciale de date sau informații referitoare la
condamnări penale și/ sau infracțiuni DPO poate
fi o persoană sau o organizație.
MENȚINERE
Audit Testarea și evaluarea periodică a Resurse interne
eficienței măsurilor de asigurare a securității
Instrumente informatice
datelor atât din punct de vedere
pentru protecția datelor
tehnic, cât și din punct de vedere al
procedurilor de lucru implementate în Consultanță tehnică
organizație.
Plan de În conformitate cu principiile GDPR, Resurse interne

acțiune în caz organizația ar trebui să dețină procedurile și
Instrumente informatice
procesele interne de notificare a unei
de incident situații de risc pentru drepturile și pentru protecția datelor
libertățile unei persoane, în maxim 72 de ore.
Consultanță tehnică
Planul de acțiune în caz de incident
include:
• Măsuri de atenuare a efectelor adverse

ale incidentelor
• Măsuri de prevenire a incidentelor
• Proceduri pentru restaurarea datelor și

a accesului la ele
• Proceduri pentru asigurarea rezilienței

sistemelor și a serviciilor de prelucrare
• Proceduri pentru raportare
De asemenea, pentru a avea un plan eficient, în

unele organizații se poate dovedi necesară
implementarea unor instrumente și mijloace cu
ajutorul cărora să se asigure: restaurarea
datelor și a accesului la ele, dar și reziliența
sistemelor și a serviciilor de prelucrare.
Contextul elaborarii formularului de evaluare a necesitatii DPIA
conform GL29
Regulamentul 2016/6791 (RGPD) va deveni aplicabil începând cu data de 25 mai 2018.

Art. 35 din RGPD introduce conceptual de Evaluarea impactului asupra protecției datelor
(DPIA2), așa cum prevede și Directiva 2016/6803.
DPIA este un process destinat să descrie prelucrarea, să evalueze necesitatea și

proporționalitatea acesteia și să contribuie la gestionarea riscurilor la adresa drepturilor
și libertăților persoanelor vizate rezultate din prelucrarea datelor cu caracter personal4,
prin evaluarea acestora și stabilirea de măsuri pentru atenuarea lor. DPIA reprezintă un
instrument important pentru responsabilizare deoarece ajută operatorii de date nu
numai să respecte cerințele RGPD, ci și să demonstreze că au fost luate măsuri adecvate
pentru a asigura conformitatea cu Regulamentul (a se vedea de asemenea și Art. 24)5. Cu
alte cuvinte, DPIA reprezintă un proces pentru construirea și demonstrarea
conformității.
Potrivit RGPD, nerespectarea cerințelor DPIA poate conduce la aplicarea de amenzi de către
autoritatea de supraveghere. Nerealizarea unei DPIA atunci când prelucrarea face obiectul unei
DPIA (art. 35 (1) și (3) - (4)), realizarea unei DPIA într-un mod incorect (art. 35 (2) și (7) – (9)) sau
dacă nu se consultă cu autoritatea de supraveghere competentă, dacă este cazul (art. 36 (3)
litera (e)), poate conduce la o amendă administrativă de până la 10 milioane EUR sau, în cazul
unei întreprinderi, până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai
mare.
Se ia în considerare:
− Declarația Grupului de Lucru Articolul 29 14/EN WP 218 ;
− Ghidul Grupului de Lucru Articolul 29 privind responsabilul cu protecția datelor 16/EN WP 243 ;
− Opinia Grupului de Lucru Articolul 29 privind limitarea scopului 13/EN WP 2038; − standardele
internaționale .
Declarația Grupului de Lucru Articolul 29 14/EN WP 218 cu privire la rolul unei abordări bazate pe riscuri
pentru cadrul legal în domeniul protecției datelor, adoptată în data de 30 mai 2014.
http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinionrecommendation/files/2014/wp218_en.pdf?wb48617274=72C54532
Ghidul Grupului de Lucru Articolul 29 privind responsabilul cu protecția datelor WP 243, adoptat în data
de 13 decembrie 2016.
SC Data Mar SRL - 0742 888 881

Document realizat Marius Gustea
http://ec.europa.eu/information_society/newsroom/image/document/20
16-
51/wp243_en_40855.pdf?wb48617274=CD63BD9A 8 Opinia Grupului de Lucru Articolul 29 03/2013
privind limitarea scopului 13/EN WP 203, adoptată în data de 2 aprilie 2013.
http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinionrecommendation/files/2013/wp203_en.pdf?wb48617274=39E0E409
Spre exemplu ISO 31000:2009, Managementul riscului – Principii și linii directoare, Organizația
Internațională de Standardizare (ISO); ISO/IEC 29134 (proiect), Tehnologia informației – Tehnici de
securitate – Evaluare de impact asupra protecției datelor – Ghid, Organizația Internațională de
Stardardizare (ISO).
Pagină 1 din 22
Formular DPIA 2021 - v 02
Elaborare DPIA
Activitate noua ☐ Activitate existenta ☐
Elaborare DPIA
Nume Prenume si functia
Date de contact responsabil DPIA Date de contact responsabil DPIA

Numar de telefon adresa de email
Responsabil cu protectia datelor cu caracter personal DPO
Nume Prenume/ Firma
Telefon Email
Departament/Compartiment
Manager Departament
Telefon: Email:
SC Data Mar SRL - 0742 888 8 1

tea 8
Document realizat Marius Gus
Pagină 2 din 22
Cuprins:
1 Identificarea necesitatii efectuarii unui DPIA

2 Descrierea activitatii/procesului
3 Procesul de consultare si auditare a personalului
4 Evaluarea necesitatii si proportionalitatii
5 Design by Default
6 Identificarea si evaluarea riscurilor
7 Planul de masuri pentru reducerea riscurilor
8 Solicitarea sprijinului Autoritatii de supraveghere
9 Opinia DPO
11 Aprobari finale si concluzii

Pagină 3 din 22
1. Identificarea necesitatii efectuarii unui DPIA
Identificati necesitatea unui Studiu de impact raportand la

operatiunile si scopurile de prelucrare identificate
Descrieti ce implica proiectul prin care se vor prelucra(sau se prelucreaza deja) date cu
caracter personal, precum si ce tipuri de prelucrari vor fi facute.
Veti detalia daca este o noua activitate ce presupune o abordare default by design, sau ati
identificat o activitate mai veche care implica riscuri mari si necesita un studiu DPIA.
Justificati necesitatea unui DPIA
.................................

Nota: pentru oricare dintre situatiile de mai sus bifate este necesar efectuarea unu studiu de
impact
Pagină 4 din 22
Evaluarea prelucrari de DCCP pe scara larga
Descrieti volumul acestor prelucrari
Categorii de Categorii de
Categorii prelucrare la scara prelucrare pe scara
redusa larga
Sub 250 de persoane pe Peste 250 de persoane
Numarul persoanelor vizate la care se adauga luna pe
si numarul anagajatilor luna
☐ ☐
Sub 2 categorii de Peste 3 categorii de
Volumul elementelor diferite de date prelucrare date date
prelucrate prelucrate
☐ ☐
este sub 3 ani Peste 3 ani
Durata activitatii de prelucrare a datelor
☐ ☐
La nivel regional sau
La nivel local
Suprafata geografica a activitatiilor de prelucrare national
☐ ☐
Categoria de date prelucrate ☐ ☐
☐ Se impune DPIA si concluzii

te
a
us
G
s
Recomandari DPO iur
a
M
iza l
ea r
t
tn
u
Docme
Pagină 5 din 22
Prelucrari de date speciale pe scara larga
O scurta descriere acestor prelucrari de date speciale
☐ Prelucrarea permanenta a datelor minorilor
☐ Prelucrari de date medicale, recunoastere faciala, amprenta, date genetice, etc
☐ Prelucrari de date ce cuprinde orientarea regilioasa, politica, sindicala si alte

drepturi de exprimare
☐ Prelucrari de date ce contin informatii despre cercetari sau condamnari judiciare
☐ Alte categorii speciale

Recomandari DPO te
a
us
G
s
iur
a
M
iza
ae l
t
Document r
Pagină 6 din 22
Alte categorii speciale de prelucrari pe scara larga
care necesita DPIA
O scurta descriere acestor prelucrari de date speciale
☐ Prelucrarea automata inclusiv crearea unor profiluri care genereaza efecte juridice
sau o afecteaza in mod similar
☐ Monitorizarea sistematica pe scara larga a publicului (video, acces control)
☐ Prelucrarea datelor personale cu ajutorul unor tehnologii noi, atunci cand este
limitat acordul persoanelor vizate (exemplu recunoastere faciala)
☐ Prelucrarea datelor sensibile cu ajutorul unor dispozitive cu senzori
☐ Prelucrarea sistematica a datelor de trafic si localizare, atunci cand acest lucru

nu este solicitat de persoana vizata.
☐

te
us
a
G
Recomandari DPO s
iu
ra
M
iza l
ea r
tn
t
Docume
Pagină 7 din 22
2. Descrierea activitatii
☐ Acord de prelucrare
☐ Executarea unui contract
☐ Obligatie legala a operatorului
☐ Pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice
prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui
☐
interes public pentru care a fost investit operatorul
Prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau
☐ de o parte terța, cu excepția cazului in care prevaleaza interesele sau drepturile
si libertațile fundamentale ale persoanei vizate.
☐
Alte observatii
Recomandari DPO
te
a
us
G
s
iu
ra
M
iza
t
Document real
Pagină 8 din 22
Cum vor fi prelucrate DCCP, suportul, si localizarea
datelor
O scurta descriere a modului de inregistrare, localizare si acces date
☐ Datele sunt trecute pe suport fizic
☐ Datele sunt trecute pe suport informatic
☐ Datele sunt inregistrate video sau control acces
☐ Date sunt inregistrate pe platforme online sau aplicatii online
☐ Se asigura conditii de securizare acces date fizic si informatic
Alte observatii
Recomandari DPO

Pagină 9 din 22
1
tea 8
8
us 8
G 8s
8
2 riu 4
a 0
M
7
-
iza
tl S
SC Data Mar RL
Document rea
Pagină 10 din 22
Diagrama procesului de prelucrare de DCCP
Colectare DCCP de la persona vizata
Temei legal
Format Introducere in
fizic sistem
formular informati
c
Verificare
prelucrare Modul de
date stocare
introduse Corectare
erori
Metode de Metode de salvare si backup

prelucrare

Raportare si analiza date
Metode de /
pseudominizare
/ stergere
Verificare auditare
si corectare
erori Metode de arhivare stergere
sau pseudominizare
Pagină 11 din 22
Scopul prelucrarii
Descrieti scopul prelucrarii datelor.
☐ O noua activitate de baza a organizatiei(sau existenta)
☐ Implementarea unui sistem de monitorizare nou, video, control acces, etc
☐ Implementarea unui sistem informatic nou
☐ Scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare,

Scop cercetare si statistica
☐
☐
Necesitatea prelucrarii DCCP propuse
Recomandari DPO

te
a
us
G
s
iu
ra
M
Document realizat
Pagină 12 din 22
Contextul prelucrarii DCCP
Descrieti contextul in care sunt prelucrate DCCP
☐ Angajator - Angajat
☐ Autoritate publica - Cetateni
☐ Vanzari / Comercial, marketing - Clienti
☐ Prestari servicii - Clienti
☐ Organizatii media, si platforme online - Audienta
☐ Alte activitati desfasurate si descrieti aceste categorii de relatii dintre

operator si persoanele vizate
Cat de mult isi pot exercita drepturile persoanele vizate
☐ Persoanele vizate isi pot da consimtamantul fara alte constrangeri.
☐ Operatorul ofera informatiile furnizate persoanei vizate (art. 12, 13 si 14);
☐ Persoana vizata are drept de acces si dreptul la portabilitatea datelor (art. 15 si 20);
☐ Persoana vizata are dreptul la rectificare si dreptul la stergere (art. 16, 17 si 19);
☐ Persoana vizata are dreptul la opozitie, dreptul la restrictionarea prelucrarii

(art.18,19,21);
☐ Operatorul faciliteaza exercitarea drepturilor persoanei vizate in temeiul art. 15-22
te
a
Recomandare DPO us
G
s
iu
ra
M
iza l
ea r
t
t
Documen
Pagină 13 din 22
3. Procesul de consultare
O scurta descriere cum se va efectua consultarea
☐ Managerul de Departament/Compartiment
☐ Responsabili proces
☐ DPO
☐ Persoane implicate in proces
☐ Experti in securitatea informatiilor
☐ Alti specialisti cu expertiza in domeniu
☐ Audit extern
Concluzii Consultare
Recomandari DPO

te
a
us
G
s
iu
ra
M
Document realizat
Pagină 14 din 22
1
tea 8
8 8
us
G 8 s
7 4 8
2
iur
a 0
M -
RL
iza
tal S
e r r
ant
SC Daa M
t
Docume
Pagină 15 din 22
5. Asigurarea protecției datelor incepând cu
momentul conceperii si in mod implicit
Metode adoptate din momentul implementarii activitatii
☐ Consultare specialisti IT
☐ Analiza software folosit (experienta, securitate)
☐ Solutii de criptare si backup
☐
☐
Recomandari DPO

te
Document realizat Marius Gusa
Pagină 16 din 22
1
tea 8
88
us
G 8
28
s
iu 4
ra 0
7
M -
RL
iza
tal S
e r r
ant
SC Data M
Docume
Pagină 17 din 22
Ridicat 3
Se impune Monitorizare
monitorizare Masuri de
si Tratare tratare urgente
atenta -6-
-3- -9-
Impactul
Risc acceptabil
Mediu 2
dar se impune Masuri de tratare Masuri de tratare

monitorizare -4- -6-
-2-
Riscul
Scazut 1
acceptabil,
Risc necesită Management
acceptabil reglementare -3-
-1- -2-
Scazuta 1 Medie 2 Ridicata 3

Probabilitate de Aparitie
Pagină 18 din 22
7. Planul pentru reducerea riscurilor
O scurta descriere a masurilor adoptate pentru reducerea riscurilor
Propuneri reducere Metoda de reducere Risc Risc

Riscul identificat
risc risc initial rezidual
☐ Acceptare
Drepturile la Masuri ce vizeaza
protectia securitatea informatica ☐ Tratare
datelor si a si formare profesionala
☐ Externalizare
vietii private personal (evaluari)
☐ Monitorizare
☐ Acceptare
Prelucrari care formare profesionala
conduc la diferite personal (evaluari) si ☐ Tratare
forme de auditare externa
☐ Externalizare
discriminare (externalizare)
☐ Monitorizare
☐ Acceptare
Libertatea de formare profesionala ☐ Tratare

exprimare personal (evaluari)
☐ Externalizare
☐ Monitorizare
☐ Acceptare
Libertatea de formare profesionala ☐ Tratare

gândire personal (evaluari) 1
☐ Externalizare tea 88
us 8
☐ Monitorizare G 88
s 2
iu
4
Concluzii Consultare a r 07
M -
Se reface tabelul de Evaluarea a riscurilor drepturilor persoanelor vizate. L
izat R
al S
e rr
t a
n M
ta
SC Da
ume
Doc
Pagină 19 din 22
8. Solicitarea sprijinului Autoritatii de
supraveghere
Explicarea cauzelor posibile a riscului rezidual marit
☐ Pagubele materiale fizice sau morale ale persoanelor vizate in caz de incident sunt mari
☐ Nu se gasesc solutii pentru reducerea riscului operational
☐ Lipsa resursei umane de specialitate
☐
☐
Recomandari DPO
1
tea 88
SC Data Mar SRL - 0742 888
Document realizat Marius Gus
Pagină 20 din 22
9. Opinia Responsabilului cu protectia datelor
DPO
Alte recomandari
Se recomanda mereu analiza stabilirii scalabilitatii activitatii
☐ Activitati studiu DPIA aprobate de DPO(bifat = aprobat)
☐ Identificarea necesitatii efectuarii unui DPIA

☐ Descrierea activitatii/procesului
☐ Procesul de consultare si auditare a personalului
☐ Evaluarea necesitatii si proportionalitatii
☐ Design by Default
☐ Identificarea si evaluarea riscurilor
☐ Planul de masuri pentru reducerea riscurilor
☐ Solicitarea sprijinului Autoritatii de supraveghere
Concluzii finale DPO
1
tea 88
us 8
G 88
s 2 iu
4
a r 07
M -
Document realizat
SC Data Mar SRL
Pagină 21 din 22
10. Aprobari finale si concluzii
Alte recomandari
Analiza stabilirii scalabilitatii activitatii
Nume prenume Functie Data Semnatura
DPIA
elaborat de
Avizat DPO
Concluzii finale DPO
1
tea 88
us 8
G 88
s 2 iu
4
a r 07
M
SC Data Mar SRL -
Document realizat
Pagină 22 din 22
1 Spete, amenzi din Romania si proba practica
PRIMA AMENDĂ ÎN APLICAREA RGPD
Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație

la operatorul ....XYX... BANK S.A. și a constatat că acesta a încălcat prevederile art. 25
alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din
27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea
datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a
Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
Operatorul a fost sancționat contravențional cu amendă în cuantum de 613.912 lei,
echivalentul în euro al sumei de 130.000 euro.
Sancțiunea a fost aplicată ....XYX... S.A. ca urmare a neaplicării măsurilor tehnice şi
organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în
cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de
protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile
necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile
persoanelor vizate.
Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care
sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și
adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont
deschis la o alta instituţie de credit - tranzacţii externe şi depuneri la casierie),
respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua
tranzacţia dintr-un cont deschis la ...XYX... BANK SA - tranzacţii interne), pentru un
număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018.
Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de
Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-
ul și adresa persoanelor care efectuau plăți la ...XYX... BANK S.A., prin intermediul
tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de
extras de cont/detalii.
Potrivit art. 5 alin. 1 lit. c) din RGPD (”Principii legate de prelucrarea datelor cu
caracter personal”), operatorul avea obligația de a prelucra date limitate la ceea ce
este necesar în raport cu scopurile în care sunt prelucrate datele.
În același timp, considerentul (78) din Regulament precizează: ”Protecţia drepturilor
şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter
personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare
pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în
măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar
trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în
special principiul protecţiei datelor începând cu momentul conceperii şi cel al
protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în
reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea
acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi
Pagină 1 din 3
prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze

prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le
îmbunătăţească.
Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse
care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date
cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii
acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la
protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi
aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi
persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile
referitoare la protecţia datelor.
Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei
implicite a datelor ar trebui să fie luate în considerare şi în contextul licitaţiilor
publice.”
Pagină 2 din 3
Ce articole au fost incalcate in aceasta speta:

O scurta descriere acestor prelucrari de date neconforme cu Regulamentul
si bifati categoriile care sunt adevarate de mai jos raportat la textul
publicat de Autoritate in comunicatul de presa.
art. 5 alin. 1 lit. c) operatorul avea obligația de a prelucra date limitate la ceea ce este
☐
necesar în raport cu scopurile în care sunt prelucrate datele
Au existat prelucrari de date cu caracter personal a 337.042 persoane vizate, în perioada
☐
25 mai 2018 – 10.12.2018. Prelucrarile se incadrau ca fiind pprelucrari pe scara larga?
☐ CNP reprezinta informatie cu caracter sensibil?
Operatorul se face vinovat de incalcarea Art. 25 alin 1, care în momentul stabilirii
☐ mijloacelor de prelucrare, cât și în cel al prelucrării în sine, NU A PUS în aplicare măsuri
tehnice și organizatorice adecvate.
☐ Nu a raspuns solicitarilor Autoritatii de supraveghere.
☐
Ce metode veti propune pentru aliniarea la cerintele Regulamentului.
Adoptarea unor măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii
☐
mijloacelor de prelucrare, cât şi în cel al prelucrării în sine.
☐ Reducerea la minimum a datelor prelucrate raportate la scopul propus al organizatiei.
☐ Efectuarea unui DPIA
☐ Monitorizarea DPO si recomandari
Pagină 3 din 3
Amendă pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a finalizat în data de 04.11.2019 o investigație la

...XYX... Bank N.V. Amsterdam – Sucursala București, ca urmare a unei sesizări,
constatând faptul că operatorul a încălcat prevederile art. 25 alin. (1) coroborat cu art. 5
alin. 1 lit. f) din RGPD, ceea ce a condus la aplicarea unei amenzi contravenționale în
cuantum de 80.000 euro.
În acest sens, operatorul nu a asigurat respectarea principiului protecției datelor începând
cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy
by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice
corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de
prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind
afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în
perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.
În acest context, precizăm că art 25 alin. (1) din RGPD prevede următoarele:
”Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura,
domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade
diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe
care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de
prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și
organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în
aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum
a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini
cerințele prezentului regulament și a proteja drepturile persoanelor vizate.”
De asemenea, art. 5 alin. (1) lit. f) din RGPD stabilește unul dintre principiile de prelucrare
a datelor și anume faptul că datele trebuie ”prelucrate într-un mod care asigură
securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva
prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării
accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare
("integritate şi confidenţialitate").”
Totodată, potrivit art. 32 alin. (1) lit. d) din RGPD, printre măsurile tehnice şi
organizatorice adecvate pe care operatorul trebuie să le ia în vederea asigurării unui nivel
de securitate corespunzător riscului, se numără și cea privind existența unui proces pentru
testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi
organizatorice pentru a garanta securitatea prelucrării.
Pagină 1 din 2
Ce articole au fost incalcate in aceasta speta:

O scurta descriere acestor prelucrari de date neconforme cu Regulamentul
si bifati categoriile care sunt adevarate de mai jos raportat la textul
publicat de Autoritate in comunicatul de presa.
☐ operatorul NU A PRELUCRAT datele personale într-un mod care asigură securitatea

adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării
neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale,
prin luarea de măsuri tehnice sau organizatorice corespunzătoare ("integritate şi
confidenţialitate").” si a incalcat art. 5 alin. 1 lit. f)
☐ operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării
în sine, NU A PUS în aplicare măsuri tehnice și organizatorice adecvate si a incalcat art 25
alin. (1)
☐ Operatorul NU A PRELUCRAT DATELE CU CARACTER PERSONAL într-un mod care
asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva
prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării
accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare
("integritate şi confidenţialitate").” si a incalcat art. 5 alin. (1) lit. f) din RGPD
☐ operatorul NU A LUAT IN VEDERE ASIGURAREA unui nivel de securitate corespunzător
riscului, se numără și cea privind existența unui proces pentru testarea, evaluarea şi
aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta
securitatea prelucrării si a incalcat art. 32 alin. (1) lit. d)
☐ Nu a raspuns solicitarilor Autoritatii de supraveghere.
☐ Au existat prelucrari de date cu caracter personal pe scara larga
Ce metode veti propune pentru aliniarea la cerintele Regulamentului.
☐ Adoptarea unor măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii

mijloacelor de prelucrare, cât şi în cel al prelucrării în sine.
☐ Reducerea la minimum a datelor prelucrate raportate la scopul propus al organizatiei.
☐ Monitorizarea DPO si recomandari
☐ Se impune DPIA la activitatea respectiva de prelucrare?
☐
Pagină 2 din 2
Capitolul V.
Măsuri/instrumente/proceduri
aplicabile la nivel naţional şi European
şi interdependenţa lor în domeniul
specific FESI
Studii de caz
1. Prelucrarea codului numeric personal de către unitățile de cazare
(Autoritatea de supraveghere, Raport 2019)
Referitor la modalitatea de prelucrare a datelor cu caracter personal, inclusiv
sub aspectul colectării, stocării, divulgării prin transmitere, diseminării sau punerii
la dispoziţie în orice alt mod, potrivit Regulamentului (UE) 2016/679, aceasta se
realizează cu consimțământul persoanei vizate sau în condițiile de excepție de la
consimțământ, prevăzute de art. 6, art. 9 și art. 10 în funcție de natura datelor și
categoriilor de date colectate și prelucrate.
În ceea ce privește prelucrarea unui număr de identificare naţional (printre care
codul numeric personal, seria şi numărul actului de identitate), inclusiv prin
colectarea sau dezvăluirea documentelor ce îl conţin, art. 4 din Legea nr. 190/2018
privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al
Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia
persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi
privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor) prevede următoarele:
”(1) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea
sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute
de art. 6 alin. (1) din Regulamentul general privind protecţia datelor.
(2) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau
dezvăluirea documentelor ce îl conţin, în scopul prevăzut la art. 6 alin. (1) lit. f)
din Regulamentul general privind protecţia datelor, respectiv al realizării
intereselor legitime urmărite de operator sau de o parte terţă, se efectuează cu
instituirea de către operator a următoarelor garanţii:
a) punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru
respectarea, în special, a principiului reducerii la minimum a datelor, precum şi
pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter
personal, conform dispoziţiilor art. 32 din
Regulamentul general privind protecţia datelor;
b) numirea unui responsabil pentru protecţia datelor, în conformitate cu
prevederile art. 10 din prezenta lege;
c) stabilirea de termene de stocare în funcţie de natura datelor şi scopul
prelucrării, precum şi de termene specifice în care datele cu caracter personal
trebuie şterse sau revizuite în vederea ştergerii;
d) instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care,
sub directa autoritate a operatorului sau a persoanei împuternicite de operator,
prelucrează date cu caracter personal.”
Astfel, în contextul prelucrării datelor personale, este necesară analizarea
temeiului legal al efectuării acesteia, în conformitate cu dispozițiile
Regulamentului (UE) 2016/679 și ale Legii nr. 190/2018, mai sus enumerate. În
acest sens, în măsura în care prelucrarea este necesară pentru executarea unui
contract la care persoana vizată este parte sau există o obligație legală pentru
prelucrarea datelor ori în scopul intereselor legitime urmărite de operator sau de o
parte terță, cu excepția cazului în care prevalează interesele sau drepturile și
libertățile fundamentale ale persoanei vizate, datele pot fi prelucrate fără
consimțământul persoanei vizate.
În ceea ce privește existența unei obligații legale, Autoritatea națională de
supraveghere a precizat faptul că, potrivit Normelor din 8 februarie 2001 cu privire
la accesul, evidenţa şi protecţia turiştilor în structuri de primire turistice,
aprobate prin Hotărârea Guvernului nr. 237/2001, republicată, completarea fişelor
se face de către fiecare turist în momentul sosirii, pe baza actelor de identitate
(buletinul/cartea de identitate, paşaportul etc.).
Totodată, potrivit art. 2 alin. (6) din normele sus-menţionate „fişele de
anunţare a sosirii şi plecării, completate şi semnate de turiştii cazaţi, se preiau,
împreună cu actele de identitate, de către recepţioneri, care sunt obligaţi să
confrunte datele din fişe cu cele din actul de identitate, să semneze fişele pentru
confirmarea completării corecte a acestora şi să restituie imediat actele de
identitate turiştilor.”
Sub aspectul informării persoanelor vizate (indiferent de temeiul prelucrării, la
consimțământ sau pe bază de excepții), art. 12 din Regulamentul (UE) 2016/679
prevede că operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice
informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul
articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă,
inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru
orice informaţii adresate în mod specific unui copil. Informaţiile se furnizează în
scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format
electronic. Art. 13 din Regulamentul (UE) 2016/679 prevede că, în cazul în care
datele cu caracter personal referitoare la o persoană vizată sunt colectate de la
aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal,
furnizează persoanei vizate informaţiile prevăzute de aceste dispoziții legale. Prin
urmare, Autoritatea națională de supraveghere a subliniat faptul că, pentru
asigurarea principiului transparenței, este necesară realizarea informării
persoanelor vizate, în speță, a turiștilor.
De asemenea, Autoritatea națională de supraveghere a precizat faptul că art. 5
din Regulamentul (UE) 2016/679 stabilește o serie de principii care se impun a fi
respectate în cadrul prelucrării datelor. Printre acestea, se numără cel privind
prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în
raport cu scopurile în care sunt prelucrate (principiul proporționalității), păstrarea
datelor într-o formă care permite identificarea persoanelor vizate pe o perioadă
care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate
datele (principiul limitării legate de stocare) și prelucrarea datelor într-un mod
care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia
împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii
sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice
corespunzătoare.
Aceleași dispoziții legale sus-menționate prevăd faptul că operatorul este
responsabil de respectarea acestor principii şi poate demonstra această respectare
(principiul responsabilității). În ceea ce privește responsabilitatea operatorului,
art. 24 din Regulamentul (UE) 2016/679 prevede că ”Ținând seama de natura,
domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu
grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile
persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice
adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se
efectuează în conformitate cu prezentul regulament. Respectivele măsuri se
revizuiesc şi se actualizează dacă este necesar.” Totodată, s-a precizat că, potrivit
prevederilor Regulamentului (UE) 2016/679, persoana vizată beneficiază de o serie
de drepturi menționate în cadrul art. 12-23 din Regulament.
Prelucrarea codului numeric personal cu nerespectarea cerințelor de mai sus
reprezintă o încălcare a prevederilor legale și se sancționează de ANSPDCP.
2. Măsuri privind accesul registratorilor medicali la datele medicale prelucrate
de către un furnizor de servicii de sănătate (Autoritatea de supraveghere,
Raport 2019)
Potrivit Regulamentului (UE) 2016/679, prelucrarea datelor cu caracter personal
se realizează la consimțământul persoanei vizate sau în condițiile de excepție de
la consimțământ, prevăzute de art. 6, art. 9 și art. 10 în funcție de natura datelor
și categoriilor de date colectate și prelucrate. Spre exemplu, pentru datele care nu
au un caracter special, acestea pot fi prelucrate în temeiul art. 6 din Regulamentul
(UE) 2016/679.
Referitor însă la temeiul legal al prelucrării datelor cu caracter special, printre
care se numără și datele privind sănătatea, art. 9 din Regulamentul (UE) 2016/679
stabilește condițiile de prelucrare, unele dintre acestea fiind acelea în care:
- persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor
date cu caracter personal pentru unul sau mai multe scopuri specifice;
- prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării
unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul
ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în măsura în
care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un
acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanţii
adecvate pentru drepturile fundamentale şi interesele persoanei vizate;
- prelucrarea este necesară în scopuri legate de medicina preventivă sau a
muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui
diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui
tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de
asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul
unui contract încheiat cu un cadru medical şi sub rezerva respectării unor condiţii
şi garanţii. În acest sens, datele respective sunt prelucrate de către un profesionist
supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea
acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul
normelor stabilite de organisme naţionale competente sau de o altă persoană
supusă, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului
Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale
competente.
În plus, precizăm că potrivit art. 29 din Regulamentul (UE) 2016/679, orice
persoană care acţionează sub autoritatea operatorului (de ex. angajatul), care are
acces la date cu caracter personal, nu le prelucrează decât la cererea
operatorului.
De asemenea, în documentul Grupului de Lucru Art. 29 (în prezent, Comitetul
european pentru protecția datelor) intitulat ”Document de lucru privind
prelucrarea datelor medicale cu caracter personal din dosarul electronic de
sănătate (DES)” se precizează faptul că ”Datele din sistemele DES sunt constituite
din dosare medicale confidenţiale. Astfel, principiul fundamental care guvernează
accesul la un DES trebuie să fie acela că – în afară de pacient – doar acele cadre
medicale/persoane autorizate de instituţii medicale, care participă activ la
tratamentul pacientului pot primi dreptul de acces (...). Protecţia datelor mai
poate fi ameliorată cu ajutorul drepturilor de acces modulare, prin formarea de
categorii de date medicale într-un sistem DES, cu consecinţa limitării accesului
Prin urmare, având în vedere natura datelor (datele privind sănătatea), acestea
pot fi prelucrate cu respectarea principiului proporționalității, respectiv
prelucrarea de date adecvate, relevante şi limitate la ceea ce este necesar în
raport cu scopurile în care sunt prelucrate (în speță, datele necesare îndeplinirii
atribuțiilor registratorilor medicali), de către un profesionist supus obligaţiei de
păstrare a secretului profesional sau sub responsabilitatea acestuia, sau de o altă
persoană supusă, de asemenea, unei obligaţii de confidenţialitate, precum și cu
respectarea principiului securității. În sensul celor de mai sus, operatorul pune în
aplicare măsuri tehnice şi organizatorice adecvate care, dacă este necesar, se
revizuiesc şi se actualizează, pentru a garanta şi a fi în măsură să demonstreze că
prelucrarea se efectuează în conformitate cu Regulamentul (UE) 2016/679”.
Nerespectarea măsurilor stabilite de operator cu privire la accesul registratorilor
medicali la datele medicale ale pacienților constituie o încălcare a măsurilor
tehnice și organizatorice și se sancționează de Autoritatea de supraveghere.
3. FIȘĂ DE CAZ - neimplementarea unui proces pentru testarea, evaluarea şi

aprecierea periodice ale eficacității măsurilor tehnice şi organizatorice
pentru a garanta securitatea prelucrării (Autoritatea de supraveghere, Raport
2019)
Autoritatea națională de supraveghere a fost sesizată cu privire la prelucrarea
datelor cu caracter personal, de către o instituție bancară, în contextul
tranzacțiilor efectuate de clienții băncii într-o anumită perioadă din luna
octombrie 2018.
Având în vedere cele sesizate, Autoritatea națională de supraveghere a solicitat
Autorității Naționale pentru Protecția Consumatorilor (ANPC) informații cu privire
la constatările efectuate ca urmare a controlului demarat de către aceasta, în
contextul incidentului operațional referitor la dublarea tranzacțiilor de către
instituţia bancară în cauză.
ANPC ne-a informat că situaţia semnalată s-a datorat unui incident operațional la
nivelul instituției bancare, care a constat în dublarea unor tranzacții efectuate de
către consumatori. Totodată, s-a precizat că, urmare a acestui incident au fost
afectate interesele economice ale unui număr de 225.525 consumatori, dintre care,
aproximativ 7.000 de clienți au fost direct afectaţi, în sensul în care tranzacțiile
acestora au fost respinse pe motiv de fonduri insuficiente, în mod eronat.
În cadrul investigației efectuate, Autoritatea națională de supraveghere a
constatat că incidentul operațional care a cauzat dublarea tranzacțiilor cu cardul,
efectuate de către clienții băncii, s-a datorat unei erori umane/tehnice, prin
procesarea de două ori a fișierului de plăți, care conţine şi date cu caracter
personal. Acest incident a fost posibil deoarece restricțiile tehnice nu au fost
suficiente pentru a preîntâmpina incidentul, respectiv nu au fost de natură să
asigure o protecție adecvată împotriva prelucrării neautorizate asupra datelor cu
caracter personal, ceea ce a condus la deteriorarea accidentală a datelor.
Totodată, deficiențele care au permis materializarea incidentului operațional
au fost legate de procesul IT Monitoring, care nu includea toate restricțiile de
sistem necesare, funcții multiple ce trebuie rulate în cadrul pasului intermediar
manual care au generat erori operaționale, respectiv prelucrări neautorizate care
au dus la deteriorarea accidentală a datelor.
4. FIȘĂ DE CAZ (Autoritatea de supraveghere, Raport 2018)

Un petent a sesizat un incident de securitate la o societate comercială al cărei
angajat a fost, în sensul că puteau fi accesate de către orice angajat al acestei societăți
datele cu caracter personal colectate și stocate pe serverul acestui operator, aparținând
unui număr de peste 5000 de persoane fizice (solicitanți, foști angajați, parteneri etc.).
În cadrul investigației efectuate, s-a constatat faptul că, la data incidentului, unele
foldere, care conțineau și date cu caracter personal ale angajaților, erau accesibile
tuturor angajaților din societate. Acest fapt s-ar fi datorat unei erori în stocarea
informațiilor financiare și personale ale angajaților, iar din dovezile disponibile, nu au
existat indicii cu privire la transferarea datelor în afara companiei sau la utilizarea
necorespunzătoare a acestora.
Întrucât operatorul nu a luat măsuri suficiente împotriva dezvăluirii și/sau accesului
neautorizat la datele personale ale angajaților, fapt care a făcut posibil ca datele cu
caracter personal ale acestora, colectate și stocate pe serverul societății, să poată fi
accesate fără drept, a fost sancționat contravențional pentru „neîndeplinirea obligaţiilor
privind confidenţialitatea şi aplicarea măsurilor de securitate”.

Prin petițiile înregistrate, Autoritatea Națională de Supraveghere a fost sesizată că o
Direcţie Generală de Asistenţă Socială şi Protecţia Copilului prelucrează imaginea prin
intermediul sistemului de supraveghere video instalat fără respectarea tuturor
dispozițiilor legale.
În urma investigației efectuate, s-a constatat că Direcția prelucra imaginea
angajaților și a minorilor instituționalizați, fără respectarea dispozițiilor legale în
vigoare la acea dată și, ca urmare, operatorul a fost sancționat
La finalizarea demersurilor întreprinse, Autoritatea națională de supraveghere a
sancționat contravențional operatorul pentru fapta prevăzută de art. 32 din Legea
nr. 677/2001, întrucât a dezvăluit către terți, fără temei legal, datele cu caracter
personal ale petentului, precum și pentru fapta prevăzută de art. 33 din Legea nr.
677/2001, întrucât operatorul nu a asigurat confidențialitatea datelor cu caracter
personal ale petentului, prelucrate inclusiv prin persoane împuternicite, și nu a
luat măsuri tehnice și organizatorice adecvate împotriva dezvăluirii datelor cu
caracter personal.
O instituție bancară a notificat Autoritatea națională de supraveghere cu privire

la producerea unui incident de încălcare a securității datelor cu caracter personal,
prin completarea formularului privind încălcarea securității datelor cu caracter
personal prevăzut de Regulamentul (UE) 2016/679. Incidentul de securitate
notificat a constat în faptul că, urmare a unei erori tehnice a aplicației utilizate de
instituţia bancară pentru comunicarea automată către clienţii proprii a
formularului de definire și actualizare date personale – persoane fizice, în procesul
de înrolare/actualizare au fost transmise către un număr de 56 de adrese de e-mail
eronate formulare de definire și actualizare date personale – persoane fizice, care
conțineau următoarele date cu caracter personal: nume, prenume, data nașterii,
codul numeric personal, numărul și seria actului de identitate, data nașterii, locul
nașterii, profesie, loc de muncă, număr de telefon, adresa de e-mail, adresa de
domiciliu, situație familială, date privind bunurile deținute, salariu.
Ca urmare a producerii incidentului de securitate, instituţia bancară a contactat
telefonic persoanele care au recepționat în mod eronat corespondența transmisă
din partea băncii, 30 de persoane confirmând distrugerea/ștergerea
corespondenței recepționate în mod eronat. Pentru alte 27 de persoane,
comunicarea solicitării de ștergere/distrugere de îndată a informațiilor transmise
eronat a fost comunicată pe adresa de e-mail pe care a fost transmis inițial, în mod
eronat, documentul menționat, persoanele afectate de incidentul de securitate,
care nu au confirmat ștergerea/distrugerea corespondenței recepționate eronat,
urmând să fie notificate cu privire la incidentul produs.
În urma investigaţiei efectuate la instituția bancară, Autoritatea națională de
supraveghere a constatat că instituţia bancară nu a implementat măsuri tehnice și
organizatorice adecvate, în vederea asigurării unui nivel de securitate
corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal,
de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul
neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un
alt mod, prin transmiterea formularelor pentru definire și actualizare date
personale – persoane fizice (clienți) către adrese de e-mail eronate, din cauza unei
erori tehnice a aplicației, fiind afectate de incident un număr de 56 de persoane
fizice vizate. Aceasta a condus la încălcarea confidențialității datelor cu caracter
personal (nume, prenume, data nașterii, codul numeric personal, numărul și seria
actului de identitate, data nașterii, locul nașterii, profesie, loc de muncă, număr
de telefon, adresa de e-mail, adresa de domiciliu, situație familială, date privind
bunurile deținute, salariu), deși instituţia bancară avea aceste obligații, inclusiv
potrivit prevederilor art. 5 lit. f), „integritate și confidențialitate” din
Regulamentul (UE) 2016/679.
În acest caz, Autoritatea națională de supraveghere a constatat că operatorul a
încălcat prevederile art. 32 alin. (1) lit. b) și d) din Regulamentul (UE) 2016/679și a
dispus operatorului o măsură corectivă, în temeiul art. 58 alin. (2) lit. d) din
Regulamentul (UE) 2016/679, raportat la art. 14 alin. (11) și art. 16 alin. (5) din
Legea nr. 102/2005, respectiv instruirea angajaților asupra riscurilor și
consecințelor pe care le implică divulgarea datelor personale.
7. FIȘĂ DE CAZ: Încălcarea securității datelor cu caracter personal de către o

societate de telefonie mobilă – accesare neautorizată a bazei de date
(Autoritatea de supraveghere, Raport 2019)
O societate de telefonie mobilă a notificat Autoritatea națională de
supraveghere cu privire la o încălcare a securității datelor cu caracter personal,
care a constat în faptul că 8 dintre angajații săi au accesat neautorizat, în mod
individual, aplicația care stochează datele de trafic existente pe factura detaliată
a abonaților, în scop personal, cu depășirea atribuțiilor din fișa postului. Datele cu
caracter personal accesate neautorizat au fost doar vizualizate de către respectivii
angajați, acestea neputând fi tipărite, copiate, exportate sau descărcate din
aplicație.
În urma investigaţiei efectuate de Autoritatea națională de supraveghere,
societatea de telefonie mobilă a fost sancționată cu avertisment pentru săvârșirea
contravenției prevăzute de art. 13 alin. (1) lit. a) din Legea nr. 506/2004, deoarece
nu a luat suficiente măsuri tehnice şi organizatorice adecvate în vederea garantării
că datele cu caracter personal pot fi accesate numai de persoane autorizate, în
scopurile autorizate de lege, ceea ce a condus la faptul că datele cu caracter
personal cuprinse în facturile detaliate ale unui număr de 12 abonați ai societății,
persoane fizice, au fost vizualizate de 8 angajați cu drept de accesare în aplicația
respectivă, în scop neautorizat, în mod individual și în scop personal, cu depășirea
atribuțiilor din fișa postului.
Capitolul VI.
Respectarea cerinţelor privind datele

informatice şi securitatea sistemelor
informatice, inclusiv incidenţa asupra
funcţionalităţii MYSMIS
Studii de caz
Studii de caz
Curs Responsabil cu Protecția Datelor cu Caracter Personal,
Studii de caz TIC - GDPR
Caz 1
Politica de utilizare a e-mail-ului si internetului
Intrebare:
Referitor la Politica de utilizare a email-ului si internetului, urmatoarele clause

sunt cf GDPR?
Societatea, la discreia sa ca proprietar al sistemului de e-mail, isi rezerva si isi
poate exercita dreptul de a monitoriza, accesa, prelua si sterge orice continut
stocat in, creat, primit sau trimis prin sistemul de e-mail, din orice motiv si fara
permisiunea unui angajat.
Raspuns:
Chiar daca angajatii folosesc o parola pentru a accesa sistemul de e-mail,

confidentialitatea oricarui mesaj stocat in, creat, primit sau trimis de la sistemul de e-
mail nu poate fi asigurat. Utilizarea parolelor sau a altor masuri de securitate nu
diminueaza in niciun fel drepturile Societtii de a accesa materialele din sistemul sau,
sau de a crea drepturi de confidentialitate ale angajailor in mesajele si fisierele din
sistem. Orice parola folosita de angajati trebuie sa fie dezvaluita catre o persoana din
conducerea Societatii sau unui departament organizational, deoarece este posibil ca
fisierele de e-mail sa fie accesate de Societate in lipsa unui angajat.
Angajatii trebuie sa fie constienti de faptul ca stergerea tuturor mesajelor sau fisierelor
de e-mail nu va elimina cu adevarat mesajele din sistem. Toate mesajele de e-mail sunt
stocate intr-un sistem central de back-up in cursul normal al gestionarii datelor.
Consecinte - Nerespectarea prezentei Politici de catre angajatii companiei sau alti

colaboratori externi poate conduce catre sanctiuni disciplinare (inclusiv incetarea
contractului de munca), rezilierea contractelor si, in functie de circumstante,
actionarea in instanta pentru recuperarea integrala a prejudiciilor aduse Societatii ca
urmare a nerespectarii prezentei Politici. Cand exista suspiciunea unor activitti ilegale
(cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea,
transferul bazelor de date), Societatea va denunata activitatea infractionala organelor
legii pentru tragerea la raspundere penala a faptuitorului.
Caz 2
Telemunca si GDPR
Intrebare:
In contextul actual, multe organizatii dispun modificarea temporara a locului de
munca la domiciliul salariatului sau desfurarea activitii prin telemunca. Ce
proceduri/politici trebuie implementate in acest sens?
Raspuns:
Modificarea locului de munca precum si a conditiilor de munca prin munca la domiciliu

sau telemunca a creat premisele stabilirii unor masuri urgente ce trebuie implementate
in materia protectiei datelor cu caracter personal de catre Angajatori. Foarte multi
salariati au acces la date cu caracter personal ale colegilor, clientilor si partenerilor
angajatorului, iar aceste date cu caracter personal trebuie sa beneficiaze de o protectie
ridicata potrivit GDPR si legislatiei nationale.
Pentru ca prelucrarea datelor sa se faca intr-o maniera responsabila si eficienta care

sa asigure securitatea si confidentialitatea datelor, ar trebui implementate mai multe
masuri, printre care se pot exemplifica:
- reguli privind transferul de date cu caracter personal

- reguli privind utilizarea dispozitivelor proprii
- reguli privind monitorizarea salariatilor in contextul raporturilor de munca
- reguli privind utilizarea resurselor informatice
- reguli privind utilizarea parolelor
- reguli generale anti-spam
Caz 3
Studiu de caz privind afisarea online a datelor personale
Operatorul a afisat online datele personale ale unor clienti
Operatorul a fost sanctionat pentru afisarea unor fisiere online cu datele clientilor
Autoritatea Nationala de Supraveghere a considerat ca sunt incidente dispozitiile art.

(5) alin. 1 lit. f) din GDPR, prin care se stabileste obligatia operatorului de a prelucra
date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal,
inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii,
a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau
organizatorice corespunzatoare ( integritate si confidentialitate ).
Mai mult, potrivit art. 32 din GDPR, Operatorul si persoana imputernicita de acesta
trebuie sa implementeze masuri tehnice si organizatorice adecvate in vederea
asigurarii unui nivel de securitate corespunzator, incluzand printre altele, dupa caz:
a) pseudonimizarea si criptarea datelor cu caracter personal;

b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si
rezistenta continua a sistemelor si serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si
accesul la acestea in timp util in cazul in care are loc un incident de natura fizica
sau tehnica;
d) un proces pentru testarea, evaluarea si aprecierea periodica a eficacitatii
masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
Masuri concrete pentru Operator pentru evitarea amenzilor
Se recomanda includerea unor clauze specifice privind protectia datelor cu caracter

personal la care tertul, care este furnizorul de servicii/aplicatii, ar avea acces ca
imputernicit de date, care sa reflecte angajamentele tertilor:
- prelucrarea datelor cu caracter personal numai in limitele scopului si scopurilor
prelucrarii stabilite de operator;
- asigurarea securitatii procesarii datelor prin implementarea masurilor tehnice si
organizatorice;
- sa angajeze un subprocesator numai cu acordul scris al operatorului;
- sa asiste operatorul in asigurarea conformitatii cu GDPR, tinand seama de natura
procesarii si a informatiilor disponibile persoanei imputernicite;
- la alegerea operatorului, stergerea sau returnarea tuturor datelor cu caracter
personal operatorului la incetarea furnizarii de servicii legate de prelucrare, cu
exceptia cazului in care legea cere depozitarea;
- sa puna la dispozitia operatorului toate informatiile necesare pentru a demonstra
conformitatea si contribuie la audit, Inspectiile efectuate de operator sau de un alt
auditor mandatat de catre operator.
Caz 4
Studiu de caz privind masurile de securitate
Operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit

art. 25 si 32 din GDPR, astfel incat sa evite dezvaluirea neautorizata si accesibila
a datelor personale catre terti.
Masuri concrete pentru Operator pentru evitarea amenzilor
GDPR nu defineste masurile de securitate pe care ar trebui sa le implementati, ci

solicita sa aveti un nivel al securitatii care sa fie adecvat riscurilor pe care le prezinta
prelucrarile. Trebuie sa aveti in vedere in acest sens, modalitatea concreta si costurile
implementarii, precum si natura, scopul, contextul prelucrarilor.
Acest aspect reflecta conceptul GDPR al abordarii bazate pe risc, in sensul ca nu exista
nicio solutie unica care sa se potriveasca tuturor prelucrarilor pentru securitatea
datelor cu caracter personal. Inseamna ca ceea ce poate fi corespunzator pentru
compania dumneavoastra va depinde de specificul activitatii, de prelucrarile pe care
le efectuati si riscurile pe care le prezinta acestea companiei dumneavoastra.
Asadar, inainte de a decide care masuri sunt corespunzatoare spre a fi implemetate,

trebuie sa evaluati mai intai riscurile. Ar trebui sa revizuiti datele cu caracter personal
pe care le detineti si modul in care le utilizati pentru a evalua cat de valoroase sunt
acestea, daca sunt date sensibile sau confidentiale - la fel ca si daunele sau dezvaluirile
care pot fi produse daca acestea ar fi compromise. De asemenea, ar trebui sa tineti
cont de urmatorii factori:
 natura si extinderea sediilor organizatiei dumneavoastra si a sistemelor

informatice;
 numarul personalului pe care il aveti si amploarea accesului pe care il au la
datele personale; si
 orice date cu caracter personal detinute sau folosite de catre persoana
imputernicita care actioneaza in numele dumneavoastra.
Caz 5
Stergerea datelor din sistemele de backup

Intrebare:
La solicitarea intemeiata(valida) a unei persoane vizate trebuie sa fie sterse datele
personale din sistemele de backup?
Raspuns:
Daca se primeste o cerere de stergere valida si nu se aplica nicio exceptie prevazuta de GDPR,
va trebui sa fie luate masuri pentru a asigura stergerea datelor personale din sistemele de
backup (de rezerva), precum si din sistemele active (live). Acesti pasi vor depinde de
circumstantele particulare ale organizatiei, de programul de pastrare (in special in contextul
copiilor de rezerva) si de mecanismele tehnice care sunt disponibile.
Operatorul trebuie sa fie absolut clar cu persoanele vizate in legatura cu ce se va intampla cu
datele lor atunci cand cererea de stergere este solutionata, inclusiv in ceea ce priveste
sistemele de backup.
Este posibil ca solicitarea de stergere sa poata fi indeplinita instantaneu cu privire la sistemele
live, dar datele vor ramane in mediul de rezerva o anumita perioada de timp pana cand sunt
suprascrise.
Problema cheie este de a pune datele de backup dincolo de utilizare , chiar daca nu pot fi
suprascrise imediat.
Organizatia trebuie sa garanteze ca nu va utiliza datele din copiile de rezerva pentru niciun alt
scop, aceasta inseamna ca datele vor fi pastrate doar pe sistem pana cand nu vor fi inlocuite
in conformitate cu un program stabilit si se angajeaza sa procedeze permanent la stergerea
informatiilor daca, sau cand, acest lucru devine posibil. Cand datele sunt scoase din uz, este
putin probabil ca pastrarea datelor personale in cadrul copiilor de rezerva sa prezinte un risc
semnificativ, desi acest lucru va fi specific contextului.
Bibliografie
1. Regulamentul (UE) 2016/679

2. https://www.dataprotection.ro/
3. https://www.portalprotectiadatelor.ro/
Lectori:
Mureșan Mihaela _________________ Mureșan V. Liviu ___________________
Curs Responsabil cu Protecția Datelor cu Caracter Personal, Spețe TIC - GDPR
Exerciții practice
 Evaluați spețele prezentate și marcați cu X dacă:
 reprezintă un incident de securitate informațională
 are impact asupra datelor cu caracter personal
 necesită informarea persoanei vizate
 necesită notificarea ANPDPC
Incident Impact asupra

Informare
securitate datelor cu Notificare
persoane
Nr Speță caracter ANPDCP ?
IT ? vizate ?
personal ?
DA NU DA NU DA NU DA NU
Serverul pe care este instalat Sistemul informatic My SMIS+ a

fost accesat neautorizat în scopul exploatării capacității de
1
prelucrare în mod ilegal, fără însă a fi accesate sau afectate
date cu caracter personal
Sistemul informatic care asigură gestionarea informațiilor de

sănătate ale pacienților cf. cardului de sănătate nu
2
funcționează atunci când persoana se prezintă la medic și
deci datele sale personale nu pot fi accesate
Sistemul informatic My SMIS+ nu funcționează, iar utilizatorii

3 nu-și pot accesa datele încărcate în sistem în vederea
actualizării acestora
Informare
persoane
IT ? vizate ?
personal ?
Documentele aferente unei cereri de rambursare transmise

4 de solicitant către AM/OI au fost pierdute și nu se mai
regăsesc nici în format digital și nici în format tipărit
CV-urile aferente unei cereri de finanțare au fost descărcate

pentru a fi analizate. Având în vedere regimul de telemuncă,
CV-urile și alte documente cu date personale sunt accesate
5
la distanță printr-un VPN, dar pe parcursul transferului,
fișierele necriptate au fost interceptate de un terț în mod
fraudulos
Web site-ul AM/OI a fost atacat și au fost șterse informații

6
de interes public
Un angajat AM/OI transmite de pe e-mailul său personal un

7 e-mail către un solicitant având anexate fișiere care conțin
date cu caracter personal
Informare
persoane
IT ? vizate ?
personal ?
Un angajat AM/OI transmite de pe e-mailul de serviciu un e-

mail către un solicitant având anexate fișiere care conțin date
8 cu caracter personal, dar greșește adresa de e-mail și e-
mailul ajunge la un terț fără legătură cu organizația
solicitanului
S-a constatat un atac ransomware la nivelul rețelei AM/OI.

9
Întreaga activitate a instituției este blocată
Un echipament de rețea s-a defectat și o parte din instituție

10
nu are acces la serverul de date
Platforma My SMIS+ a fost clonată și datele care au fost

11 încărcate nu au ajuns pe serverele AM/OI, fiind în posesia
terților care au lansat atacul de tip phishing
În rețeaua AM/ OI a fost conectat un echipament mobil din

exterior, care nu aparține insituției, pe care au fost
12 transferate date legate de anumite proiecte cu suspiciuni de
fraudă, inclusiv date cu caracter personal. O parte din
datele respective au ajuns la presă fiind făcute publice.
Lectori:
Mureșan Mihaela ______________________ Mureșan V. Liviu ______________________
Capitolul VII.
Consecinţele nerespectării prevederilor

Regulamentului General privind
Protecţia Datelor (GDPR)
Studii de caz
STUDIU CAZUL 1
Prelucrarea nelegală a datelor cu caracter personal sub aspectul nesocotirii art. 12

din legea nr. 677/2001 privind dreptul la informare.
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a
aplicat o amendă contravenţională în cuantum de 10.000 lei operatorului de date cu
caracter personal Hilmi Medical Center SRL.
Faptele constatate în urma investigației, conform procesului verbal, sunt:
· Omisiunea de a notifica şi notificarea cu rea-credinţă, sub forma omisiunii de
a notifica în condiţiile art. 22 alin. (1) și alin. (3), art. 29 alin. (3) din Legea nr.
677/2001;
· Prelucrarea nelegală a datelor cu caracter personal, sub aspectul nesocotirii
art. 12 din Legea nr. 677/2001 privind dreptul la informare;
Nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate,
contravenție prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, întrucât că
Hilmi Medical Center SRL a efectuat comunicări comerciale prin poșta electronică
pentru oferirea de pachete medicale promoționale pacienților fără consimțământul
prealabil și expres al pacienților și fără a oferi posibilitatea pacientilor de a se opune
în vederea primirii de pachete medicale promoționale.
Astfel, pentru faptele constatate s-au aplicat următoarele sancțiuni:
1. Amendă în cuantum de 3000 lei, conform art. 31 din Legea nr. 677/2001,
coroborat cu art. 5, art. 6 și art. 8 din O.G. nr. 2/2001;
2. Amendă în cuantum de 2000 lei, conform art. 31 din Legea nr. 677/2001,
coroborat cu art. 5, art. 6 şi 8 din O.G. nr. 2/2001;
3. Amendă în cuantum de 5000 lei, potrivit art. 13 alin. (2) din Legea nr.
506/2004, conform art. 5 art. 6 şi art. 8 din O.G. nr. 2/2001.
Totodată, Autoritatea de Supraveghere a făcut o serie de recomandări
operatorului de date cu caracter personal, printre care reamintim: Notificarea
prelucrării datelor cu caracter personal în scopul de „reclamă, marketing și
publicitate”, respectiv în scopul de „monitorizarea/securitatea persoanelor, spaţiilor
şi/sau bunurilor publice/private” în termen de 5 zile de la procesului verbal; informarea
persoanelor vizate, în scopurile de mai sus; întocmirea unei proceduri de securitate a
datelor cu caracter personale prelucrate potrivit Ordinului nr. 52/2002; stabilirea unei
perioade de stocare a datelor colectate strict pe durata necesară realizării scopului.
Pentru completa informare a publicului larg, precizăm că, în vederea exercitării
drepturilor de acces, intervenţie sau opoziţie garantate de Legea nr. 677/2001,
persoana fizică respectivă are posibilitatea de a înainta operatorului în cauză (din
sectorul public sau privat) o cerere scrisă, datată şi semnată, la care acesta este obligat
să răspundă în termen de 15 zile.
În cazul în care, după împlinirea termenului de 15 zile, nu s-a primit un răspuns
sau cererea nu a fost soluţionată, persoana vizată poate înainta o plângere Autorităţii
de Supraveghere. Plângerea trebuie să fie însoţită de dovada faptului că persoana în
cauză s-a adresat operatorului. În acest sens, pe site-ul instituţiei
noastre, www.dataprotection.ro, la
secţiunea http://www.dataprotection.ro/?page=Modele_de_plangere, este disponibil
formularul de plângere.
SURSA : siteul ANSPDCP

STUDIUL CAZUL 2
Incălcarea dispozițiilor art. 5 alin. (1) lit. b) și c) și alin. (2) și art. 6 și art. 7 din
Regulamentul General privind Protecția Datelor
Autoritatea Națională de Supraveghere a finalizat o investigație la
operatorul S.C. Tip Top Food Industry S.R.L și a constatat încălcarea dispozițiilor art. 5
alin. (1) lit. b) și c) și alin. (2) și art. 6 și art. 7 din Regulamentul General privind
Protecția Datelor.
Ca atare, operatorul S.C. TIP TOP FOOD INDUSTRY S.R.L. a fost sancționat
contravențional cu amendă în cuantum de 24.362,50 lei (echivalentul în lei al sumei de
5.000 Euro).
În urma investigației, Autoritatea Națională de Supraveghere a constatat
că operatorul a prelucrat imaginea angajaților săi, în mod excesiv, prin intermediul
camerelor video instalate în spații cu destinația de vestiare și în zona destinată servirii
mesei, invocând scopul protejării bunurilor și a produselor societățiii, precum și al
descurajării furtului.
În acest context, Autoritatea Națională de Supraveghere a apreciat că
prelucrările datelor personale nu au fost adecvate, relevante și limitate la ceea ce este
necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a
datelor”), încălcându-se astfel principiile art. 5 alin. (1) lit. b) și c) din Regulamentul
General privind Protecția Datelor. Autoritatea Națională de Supraveghere a apreciat că
scopul declarat de operator (protejarea bunurilor, a produselor societății și
descurajarea furtului) se putea realiza prin mijloace mai puțin intruzive pentru viața
privată a angajaților.
Pe de altă parte, în investigația efectuată, având în vedere relația angajator-
angajat, s-a reținut faptul că nu a putut fi considerat liber exprimat consimțământul
persoanei vizate și nici nu a putut fi identificat alt temei legal de prelucrare, operatorul
neputând face dovada respectării principiilor de prelucrare, prin raportare și la art. 5
alin. (2) din Regulamentul General privind Protecția Datelor.
De asemenea, operatorului respectiv i-au fost aplicate și următoarele măsuri
corective:
 măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a
datelor personale în activitatea de monitorizare video, cu respectarea
principiului „reducerii la minimum a datelor”, raportat la art. 5 alin. (1) lit. c);
 să reanalizeze orientarea unghiului de captare a imaginilor video astfel încât
aceastea să nu monitorizeze activitatea angajaților săi în spații cu destinația de
vestiare și în sala de mese, raportat la scopul prelucrării.
Investigația a fost demarată ca urmare a unei sesizări a unei persoane fizice care a
semnalat faptul că societatea S.C. TIP TOP FOOD INDUSTRY SRL prelucrează date cu
caracter personal (respectiv imaginea), prin intermediul camerelor video instalate în
birourile angajaților, în vestiare și în sala de mese.
SURSA :Direcția juridică și comunicare ANSPDCP

STUDIUL CAZUL 3
Incălcarea prevederilor art. 32 alin. (1) și alin. (2) din Regulamentul General privind
Protecția Datelor și încălcarea prevederilor art. 3 alin. (1) și alin. (3) lit. a) și lit. b)
din Legea nr. 506/2004, modificată şi completată.
Autoritatea Națională de Supraveghere a finalizat în luna februarie 2021 o investigație

la operatorul TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A. și a constatat
încălcarea prevederilor art. 32 alin. (1) și alin. (2) din Regulamentul General privind
Protecția Datelor și încălcarea prevederilor art. 3 alin. (1) și alin. (3) lit. a) și lit. b) din
Legea nr. 506/2004, modificată şi completată.
Ca atare, operatorul TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A. a fost

sancționat contravențional:
 cu amendă în cuantum de 48.748,00 lei (echivalentul a 10.000 EURO), pentru
încălcarea art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția
Datelor;
 cu amendă în cuantum de 15.000 lei, pentru săvârşirea contravenţiei prevăzută
de art. 13 alin. (1) lit. a) din Legea nr. 506/2004
În investigația efectuată s-a constatat că operatorul nu a implementat măsuri
tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată și/sau
accesul neautorizat la datele cu caracter personal, precum: client ID, cod client, nume
și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă),
valoarea debitelor asociate codului de client ale unui număr de 99.210 persoane
vizate/clienți. Astfel, adresele de facturare ale acestora au fost introduse eronat în
baza de date cu clienți persoane fizice, transmisă unui partener contractual în baza
unui contract de cesiune creanțe, ceea ce a determinat expedierea către adrese greșite
a notificărilor transmise clienților.
De asemenea, s-a constatat că operatorul nu a luat măsuri tehnice și
organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter
personal, de natură să protejeze datele cu caracter personal stocate sau transmise
împotriva stocării, prelucrării, accesării ori divulgării ilicite, ceea ce a condus la accesul
neautorizat la datele personale din conturile MyAccount (numele titularului de cont;
data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de
abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple)
ale unui număr de 413 persoane vizate/clienți Telekom România. Subliniem că,
operatorul avea obligația de a garanta că datele cu caracter personal pot fi accesate
numai de persoane autorizate, în scopurile menționate de lege, încălcându-se astfel
prevederile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004 privind
prelucrarea datelor cu caracter personal și protecția vieții private în sectorul
comunicațiilor electronice, modificată și completată.
Dispozițiile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004,
modificată și completată, prevăd următoarele:
”(1) Furnizorul unui serviciu de comunicații electronice destinat publicului are
obligația de a lua măsuri tehnice și organizatorice adecvate în vederea asigurării
securității prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul
serviciului de comunicații electronice destinate publicului va lua aceste măsuri
împreună cu furnizorul rețelei publice de comunicații electronice.”
”(3) Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările și

completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel
puțin următoarele condiții:


distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale
și împotriva stocării, prelucrării, accesării ori divulgării ilicite.”
De asemenea, operatorului i-au fost aplicate și măsuri corective, constând în:

 revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca
urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor,
inclusiv a procedurilor referitoare la comunicațiile electronice;
 implementarea unui proces pentru testarea, evaluarea și aprecierea periodică
ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea
prelucrării,conform prevederilor RGPD.
În acest context, reamintim că art. V alin. (2) din Legea nr. 129/2018 prevede
că ”Toate trimiterile la Legea nr. 677/2001, cu modificările şi completările ulterioare,
din actele normative se interpretează ca trimiteri la Regulamentul general privind
protecţia datelor şi la legislaţia de punere în aplicare a acestuia.”
SURSA: Direcția juridică și comunicare A.N.S.P.D.C.P.

STUDIUL CAZUL 4
Incălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul
General privind Protecția Datelor.
Autoritatea Națională de Supraveghere a finalizat în februarie o investigație la
operatorul S.C. Medicover S.R.L. și a constatat. Incălcarea dispozițiilor art. 32 alin. (1)
lit. b) și alin. (2) și (4) din Regulamentul General privind Protecția Datelor.
Ca atare, operatorul S.C. Medicover S.R.L. a fost sancționat contravențional cu
amendă în cuantum de 9.749,6 lei (echivalentul a 2000 EURO).
Investigația a fost demarată ca urmare a transmiterii de către operator a unor
notificări succesive de încălcare a securității datelor cu caracter personal, prin care s-
a semnalat divulgarea neautorizată și accesul neautorizat la datele cu caracter personal
precum: nume și prenume, CNP, serie și nr. CI, adresă CI, adresa de corespondență,
telefonul de contact și e-mail, respectiv nume și date privind starea de sănătate,
transmise altor persoane fizice decât destinatarii, la adresa de e-mal sau adresa poștală
.În urma investigației, autoritatea de supraveghere a constatat că operatorul nu
a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că
orice persoană fizică care acționează sub autoritatea operatorului și care are acces la
date cu caracter personal nu le prelucrează decât la cererea operatorului, fapt ce a
condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal
transmise altor persoane fizice decât destinatarii, la adresa de e-mail sau adresa
poștală.
De asemenea, operatorului i-au fost aplicate și următoarele măsuri corective:
 revizuire și actualizarea măsurilor tehnice și organizatorice implementate ca
urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor,
inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter
personal, precum și implementarea unor măsuri privind instruirea periodică a
persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin
conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă
prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii,
inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter
personal și instruirea personalului propriu;
 identificarea și implementarea unor măsuri pentru a se asigura că datele cu
caracter personal prelucrate sunt exacte și actualizate, având în vedere
scopurile pentru care sunt prelucrate, iar cele inexacte să fie şterse sau
rectificate fără întârziere (spre exemplu, un mecanism de verificare a validității
adresei de e-mail la momentul colectării).
Direcția juridică și comunicare

A.N.S.P.D.C.P.
STUDIUL CAZUL 5
Incălcarea dispozițiilor art. 32 alin. (1) și (2) și a prevederilor art. 58 alin. (1) lit. a)
și e) din Regulamentul General privind Protecția Datelor..
Autoritatea Națională de Supraveghere a finalizat în data de 16.02.2021 o investigație

la o persoană fizică, ce deținea, în același timp, funcția de Secretar General în cadrul
unei filiale de sector din Municipiul București a unui partid politic și a
constatat încălcarea dispozițiilor art. 32 alin. (1) și (2) și a prevederilor art. 58 alin. (1)
lit. a) și e) din Regulamentul General privind Protecția Datelor.
Persoana fizică, în calitate de operator, a fost sancționată contravențional cu

amendă în cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO).
Investigația a fost demarată ca urmare a primirii unei sesizări prin care s-
a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane
fizice ce deținea funcția de Secretar General în cadrul unei filiale de sector a unui
partid politic, a fost publicată o listă cuprinzând 10 poziții cu persoane
semnatare/susținători pentru alegerea Consiliului General și a Primarului Municipiului
București, în cadrul căreia datele cu caracter personal ale acestora sunt accesibile,
fiind dezvăluite numele și prenumele, semnătura, cetățenia, data nașterii, adresa,
seria și numărul actului de identitate, opțiunea politică a persoanelor
semnatare/susținătorilor.
În cursul desfășurării investigației Autoritatea Națională de Supraveghere a
constatat că operatorul, contrar obligațiilor stabilite de art. 32 din RGPD, nu a
implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel
de securitate corespunzător riscului prelucrării pentru drepturile și libertățile
persoanelor fizice, ceea ce a condus la divulgarea către publicul larg și la accesul
neautorizat la datele cu caracter personal ale unui număr de 10 persoane fizice vizate,
susținători ai unui candidat la alegerile locale din septembrie 2020, deși potrivit art. 5
lit. f) din RGPD, avea obligația de a respecta principiul ,,integritate și
confidențialitate”.
Așadar, operatorul a fost sancționat contravențional pentru încălcarea

dispozițiilor art. 32 RGPD referitoare la securitatea prelucrărilor.
Totodată, operatorul a fost sancționat contravențional și pentru fapta prevăzută

de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a)
și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001 întrucât nu a răspuns solicitărilor
Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Autoritatea a aplicat operatorului și măsura corectivă de ștergere a datelor

dezvăluite prin postarea pe pagina personală de pe o rețea de socializare a listei cu
persoane semnatare/susținătoare pentru alegerea Consiliului General și a Primarului
Municipiului București.
În acord cu cele de mai sus, considerentul (39) statuează că o ”(...) Datele cu

caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat
securitatea şi confidenţialitatea acestora, inclusiv în scopul prevenirii accesului
neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a
echipamentului utilizat pentru prelucrare.”
În același timp, considerentul (83) prevede: ”În vederea menţinerii securităţii şi

a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana
împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării şi să
implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile
respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv
confidenţialitatea, luând în considerare stadiul actual al dezvoltării şi costurile
implementării în raport cu riscurile şi cu natura datelor cu caracter personal a căror
protecţie trebuie asigurată. La evaluarea riscului pentru securitatea datelor cu caracter
personal, ar trebui să se acorde atenţie riscurilor pe care le prezintă prelucrarea
datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau
accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în
alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice,
materiale sau morale.”
Sursa: siteul A.N.S.P.D.C.P
Lector : Dr. Stefan POP

Studii de Caz

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Studii de Caz

Încărcat de

Drepturi de autor:

Formate disponibile

Capitolul I.

Legislaţie. Definiţii. Categorii de date

Studiul de caz nr. 11

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul X și a constatat

Măsuri corective aplicate:

Studiul de caz nr. 22

Autoritatea Națională de Supraveghere a finalizat în luna februarie 2021 o

”(3) Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările și

Studiul de caz nr. 33

Divulgare neautorizată de date cu caracter personal prin intermediul e-mail-ului

O instituție bancară a notificat Autoritatea națională de supraveghere cu privire la

Studiul de caz nr. 44

Prin petiţia adresată Autorității naționale de supraveghere, un petent a reclamat

Studiul de caz nr. 55

În data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o

De asemenea, s-a recomandat operatorului X ca, pe viitor, să notifice breșele de

Principii privind prelucrarea datelor cu

Autoritatea Națională de Supraveghere a finalizat în data de 18.11.2019 o investigație la

Care dintre principii RGDP a fost incalcat?

În luna iulie, Autoritatea Națională de Supraveghere a finalizat o investigație la

Autoritatea Națională de Supraveghere a finalizat, în data de 16.12.2019, o investigație

Autoritatea Națională de Supraveghere a finalizat în data de 26.09.2019 o investigație

Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație

 încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind

Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:

 avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât

 operatorul nu a făcut dovada unui interes legitim justificat în ceea ce privește

Totodată, operatorului i s-au aplicat și următoarele măsuri corective:

 măsura corectivă de a asigura informarea corectă a persoanelor vizate prin

Modalităţi de prelucrare a datelor cu

HOTĂRÂREA CURȚII (Marea Cameră)

În cauzele conexate C-92/09 și C-93/09,

având ca obiect cereri de pronunțare a unor hotărâri preliminare formulate în temeiul

Volker und Markus Schecke GbR (C-92/09),

Hartmut Eifert (C-93/09)

Bundesanstalt für Landwirtschaft und Ernährung,

* Limba de procedură: germana.

CURTEA (Marea Cameră),

compusă din domnul V. Skouris, președinte, domnii A. Tizzano, J. N. Cunha Rodrigu

avocat general: doamna E. Sharpston,

având în vedere procedura scrisă și în urma ședinței din 2 februarie 2010,

luând în considerare observațiile prezentate:

— pentru Volker und Markus Schecke GbR, de R. Seimetz și P. Breyer, Rechtsanwäl

— pentru domnul Eifert, de R. Seimetz și P. Breyer, Rechtsanwälte;

— pentru Land Hessen, de H.-G. Kamann, Rechtsanwalt;

— pentru guvernul olandez, de doamna C. Wissels și de domnul Y. de Vries, în cali

— pentru Consiliul Uniunii Europene, de domnul E. Sitbon și de doamna Z. Kupčová,

— pentru Comisia Europeană, de domnii B. Smulders și F. Erlbacher, precum și de

după ascultarea concluziilor avocatului general în ședința din 17 iunie 2010,

1 Cererile de pronunțare a unei hotărâri preliminare privesc validitatea, pe de o parte,

A — Convenția europeană pentru apărarea drepturilor omului și a libertăților

3 Intitulat „Respectarea vieții private și de familie”, articolul 8 din Convenția europeană

5 În temeiul articolului 7 din directiva menționată, „[s]tatele membre prevăd ca datele

(a) persoana vizată și-a dat consimțământul neechivoc

„atunci când operatorul, în conformitate cu dreptul intern căruia i se supune, numește

— de asigurarea în mod independent a aplicării interne a dispozițiilor de drept in

— de păstrarea registrului cu prelucrările efectuate de operator, conținând

și garantând astfel că prelucrările nu pot să aducă atingere drepturilor și libertăților

8 Articolul 19 alineatul (1) din Directiva 95/46 prevede:

„Statele membre precizează informațiile care urmează să fie prezentate în notificare.

(a) numele și adresa operatorului și a persoanei împuternicite, dacă este cazul;

(b) scopul sau scopurile prelucrării;

(d) destinatarii sau categoriile de destinatari cărora li se pot comunica datele;

(e) propunerile de transferuri de date către țări terțe;