Documente Academic
Documente Profesional
Documente Cultură
Terminologia în domeniul
protecției datelor
91
Manual de legislație europeană privind protecția datelor
92
Terminologia în domeniul protecției datelor
93
Manual de legislație europeană privind protecția datelor
Persoana vizată
136 Regulamentul general privind protecția datelor, articolul 4 punctul 1; Convenția 108 modernizată,
articolul 2 litera (a).
137 Regulamentul general privind protecția datelor, considerentul 26.
138 Ibidem, articolul 1.
139 Ibidem, considerentul 27. Vezi, de asemenea, Avizul 4/2007 al Grupului de lucru „Articolul 29” privind
conceptul de date cu caracter personal, WP 136, 20 iunie 2007, p. 22.
94
Terminologia în domeniul protecției datelor
140 Hotărârea CEDO din 14 martie 2013 în cauza Bernh Larsen Holding AS și alții/Norvegia, nr. 24117/08.
Vezi totuși și Hotărârea CEDO din 1 iulie 2008 în cauza Liberty și alții/Regatul Unit, nr. 58243/00.
95
Manual de legislație europeană privind protecția datelor
96
Terminologia în domeniul protecției datelor
Natura datelor
Orice tip de informații pot fi date cu caracter personal în măsura în care acestea se
referă la o persoană identificată sau identificabilă.
97
Manual de legislație europeană privind protecția datelor
148 Hotărârea CJUE [MC] din 9 noiembrie 2010 în cauzele conexate C‑92/09 și C‑93/09, Volker und Markus
Schecke GbR și Hartmut Eifert/Land Hessen, punctul 59.
149 Hotărârea CJUE din 17 iulie 2014 în cauzele conexate C‑141/12 și C‑372/12, YS/Minister voor
Immigratie, Integratie en Asiel și Minister voor Immigratie, Integratie en Asiel/M și S, punctul 39.
150 Vezi, de exemplu, Hotărârea CEDO [MC] din 4 mai 2000 în cauza Rotaru/România, nr. 28341/95,
punctul 43; Hotărârea CEDO din 16 decembrie 1992 în cauza Niemitz/Germania, nr. 13710/88,
punctul 29.
151 Hotărârea CEDO [MC] din 5 septembrie 2017 în cauza Bărbulescu/România, nr. 61496/08, punctul 121.
98
Terminologia în domeniul protecției datelor
În temeiul dreptului UE, precum și în temeiul legislației CoE, informațiile conțin date
cu privire la o persoană dacă:
• o persoană fizică este identificată sau identificabilă prin aceste informații; sau
99
Manual de legislație europeană privind protecția datelor
153 Vezi Hotărârea CEDO [MC] din 16 februarie 2000 în cauza Amann/Elveția, nr. 27798/95, punctul 65.
154 Regulamentul general privind protecția datelor, articolul 4 punctul 1.
155 Avizul 4/2007 al Grupului de lucru „Articolul 29” privind conceptul de date cu caracter personal, WP 136,
20 iunie 2007, p. 15.
156 Hotărârea CJUE [MC] din 29 ianuarie 2008 în cauza C‑275/06, Productores de Música de España
(Promusicae)/Telefónica de España SAU, punctul 45.
100
Terminologia în domeniul protecției datelor
Deoarece multe dintre nume nu sunt unice, stabilirea identității unei persoane poate
necesita atribute suplimentare pentru a garanta că o persoană nu este confundată
cu o alta. Uneori, atributele directe și indirecte pot fi combinate pentru a identifica
persoana la care se referă informațiile. Data și locul nașterii sunt deseori utilizate. În
plus, în unele țări au fost introduse numere personalizate pentru o mai bună dife‑
rențiere a cetățenilor. Datele fiscale transferate159, datele referitoare la un solicitant
de permis de ședere conținute într‑un document administrativ160 și documentele
referitoare la relații bancare și fiduciare161 pot fi date cu caracter personal. Datele
biometrice, cum ar fi amprentele, fotografiile digitale sau înregistrarea unei imagini
a irisului, datele de localizare și atributele online devin din ce în ce mai importante
pentru identificarea persoanelor în era tehnologică.
157 Directiva 95/46/CE (abrogată), articolul 2 litera (b), acum Regulamentul general privind protecția datelor,
articolul 4 punctul 2.
158 Hotărârea CJUE din 24 noiembrie 2011 în cauza C‑70/10, Scarlet Extended SA/Société belge des
auteurs, compositeurs et éditeurs SCRL (SABAM), punctul 51.
159 Hotărârea CJUE din 1 octombrie 2015 în cauza C‑201/14, Smaranda Bara și alții/Casa Națională de
Asigurări de Sănătate și alții.
160 Hotărârea CJUE din 17 iulie 2014 în cauzele conexate C‑141/12 și C‑372/12, YS/Minister voor
Immigratie, Integratie en Asiel și Minister voor Immigratie, Integratie en Asiel/M și S.
161 Hotărârea CEDO din 7 iulie 2015 în cauza M.N. și alții/San Marino, nr. 28005/12.
101
Manual de legislație europeană privind protecția datelor
Pentru „a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace
pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiec‑
tivi, precum costurile și intervalul de timp necesare pentru identificare, ținându‑se
seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea
tehnologică”163.
102
Terminologia în domeniul protecției datelor
164 Hotărârea CJUE din 19 octombrie 2016 în cauza C‑582/14, Patrick Breyer/Bundesrepublik Deutschland,
punctul 47-48.
165 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor
date (abrogată), articolul 2 litera (a).
166 Hotărârea CJUE din 24 noiembrie 2011 în cauza C‑70/10, Scarlet Extended SA/Société belge des
auteurs, compositeurs et éditeurs SCRL (SABAM), punctele 47‑48.
103
Manual de legislație europeană privind protecția datelor
În ceea ce privește forma în care sunt stocate sau utilizate datele cu caracter
personal, este important să se precizeze că aceasta nu este relevantă pentru apli‑
cabilitatea legislației privind protecția datelor. Comunicările scrise sau verbale pot
conține date cu caracter personal, precum și imagini169, inclusiv înregistrări video prin
TVCI170 sau sunete171. Informațiile înregistrate electronic și pe suport de hârtie pot fi,
de asemenea, date cu caracter personal. Chiar și probele celulare de țesut uman, în
care este înregistrat ADN‑ul unei persoane, pot fi surse din care se pot extrage date
biometrice172, în măsura în care datele se referă la caracteristicile genetice moște‑
nite sau dobândite ale unei persoane fizice, oferă informații unice privind fiziologia
sau sănătatea persoanei respective și rezultă în urma unei analize a unei mostre de
material biologic recoltate de la persoana în cauză173.
104
Terminologia în domeniul protecției datelor
Anonimizarea
Dacă datele au fost anonimizate cu succes, acestea nu mai sunt date cu caracter
personal, iar legislația privind protecția datelor nu mai este aplicabilă în cazul lor.
174 Ibidem, articolul 5 alineatul (1) litera (e); Convenția 108 modernizată, articolul 5 alineatul (4) litera (e).
175 Regulamentul general privind protecția datelor, considerentul 26.
176 Avizul 5/2014 al Grupului de lucru „Articolul 29” privind tehnicile de anonimizare, WP216,
10 aprilie 2014.
177 Regulamentul general privind protecția datelor, considerentul 26.
178 Consiliul Europei, Comitetul Convenției 108, Guidelines on the protection of individuals with regard to the
processing of personal data in a world of Big Data (Orientări privind protecția persoanelor cu privire la
prelucrarea datelor cu caracter personal într‑o lume a datelor masive), 23 ianuarie 2017, punctul 6.2.
105
Manual de legislație europeană privind protecția datelor
Pseudonimizarea
RGPD recunoaște diferite utilizări ale pseudonimizării drept măsuri tehnice adecvate
pentru îmbunătățirea protecției datelor, pseudonimizarea fiind menționată în mod
specific în relație cu proiectarea și securitatea prelucrării datelor pe care le asigură181.
Aceasta constituie, de asemenea, o garanție adecvată care poate fi utilizată pen‑
tru prelucrarea datelor cu caracter personal în alte scopuri decât pentru care au fost
colectate inițial182.
106
Terminologia în domeniul protecției datelor
Autentificarea
Aceasta este o procedură prin care o persoană poate dovedi că are o anumită
identitate și/sau este autorizată să întreprindă anumite acțiuni, cum ar fi să pătrundă
într‑o zonă de securitate sau să retragă bani dintr‑un cont bancar. Autentifica‑
rea se poate realiza prin compararea datelor biometrice, cum ar fi o fotografie sau
amprenta digitală într‑un pașaport, cu datele cu care persoana se identifică, de
exemplu, la controlul imigrației185, prin solicitarea de informații care pot fi cunoscute
numai de către persoana având o anumită identitate sau autorizare, cum ar fi un
număr personal de identificare (PIN) sau o parolă sau prin solicitarea prezentării unui
anumit token, care ar trebui să aparțină exclusiv persoanei cu o anumită identitate
sau autorizare, cum ar fi un card inteligent sau cheia unui seif bancar. Pe lângă parole
sau carduri inteligente, semnăturile electronice, utilizate uneori împreună cu PIN‑ul,
sunt un instrument prin care o persoană se poate identifica și autentifica foarte efici‑
ent în cadrul comunicațiilor electronice.
107
Manual de legislație europeană privind protecția datelor
• date cu caracter personal care divulgă opinii politice, convingeri religioase sau de
altă natură, inclusiv convingeri filosofice;
186 Hotărârea CJUE din 6 noiembrie 2003 în cauza C‑101/01, Proces penal/Bodil Lindqvist, punctul 51.
187 Directiva 95/46/CE (abrogată), articolul 8 alineatul (1), acum Regulamentul general privind protecția
datelor, articolul 9 alineatul (1).
188 Convenția 108 modernizată, articolul 6 alineatul (1).
108
Terminologia în domeniul protecției datelor
sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern
care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate”. În
ceea ce privește registrele cuprinzătoare care conțin informații despre condamnările
penale, acestea se țin numai sub controlul autorităților de stat specifice189. În UE, pre‑
lucrarea datelor cu caracter personal în contextul aplicării legii este reglementată de
un instrument juridic specific, Directiva (UE) 2016/680190. Directiva prevede norme
specifice de protecție a datelor, care sunt obligatorii pentru autoritățile competente
atunci când prelucrează date cu caracter personal în scopul specific al prevenirii,
depistării, investigării și urmăririi penale a infracțiunilor (vezi secțiunea 8.2.1).
109
Manual de legislație europeană privind protecția datelor
191 Regulamentul general privind protecția datelor, articolul 4 punctul 2. Vezi, de asemenea, Convenția 108
modernizată, articolul 2 litera (b).
192 Convenția 108 modernizată, articolul 2 litera (b).
193 Hotărârea CJUE din 11 decembrie 2014 în cauza C‑212/13, František Ryneš/Úřad pro ochranu osobních
údajů, punctul 25.
194 Hotărârea CJUE din 9 martie 2017 în cauza C‑398/15, Camera di Commercio, Industria, Artigianato
e Agricoltura di Lecce/Salvatore Manni, punctul 35.
110
Terminologia în domeniul protecției datelor
195 Regulamentul general privind protecția datelor, articolul 2 alineatul (1) și articolul 4 punctul 2.
196 Convenția 108 modernizată, articolul 2 literele (b) și (c); Raportul explicativ privind Convenția 108
modernizată, punctul 21.
197 Hotărârea CJUE din 6 noiembrie 2003 în cauza C‑101/01, Proces penal/Bodil Lindqvist, punctul 27.
198 Regulamentul general privind protecția datelor, articolul 2 alineatul (1).
199 Hotărârea CJUE [MC] din 13 mai 2014 în cauza C‑131/12, Google Spain SL, Google Inc./Agencia Española
de Protección de Datos (AEPD), Mario Costeja González.
111
Manual de legislație europeană privind protecția datelor
• dosarele de hârtie pot fi structurate într‑un mod care ajută la găsirea rapidă și
ușoară a informațiilor;
112
Terminologia în domeniul protecției datelor
• Oricine stabilește mijloacele și scopul prelucrării datelor cu caracter personal ale altor
persoane este un „operator” în sensul legislației privind protecția datelor; în cazul
în care mai multe persoane iau această decizie împreună, acestea pot fi „operatori
asociați”.
• Orice persoană căreia i se divulgă datele cu caracter personal este un „destinatar”.
• „Partea terță” este o persoană fizică sau juridică, alta decât persoana vizată,
operatorul, persoana împuternicită de operator și persoanele autorizate să prelucreze
datele cu caracter personal sub autoritatea directă a operatorului sau a persoanei
împuternicite de operator.
113
Manual de legislație europeană privind protecția datelor
114
Terminologia în domeniul protecției datelor
Persoanele fizice pot fi operatori atât în conformitate cu legislația UE, cât și cu cea
a CoE. Totuși, atunci când se prelucrează date despre alte persoane cu privire la
o activitate pur personală sau domestică, persoanele fizice nu intră sub incidența
normelor RGPD și ale Convenției 108 modernizate și nu sunt considerate operatori209.
O persoană fizică care își gestionează corespondența, care ține un jurnal personal
în care descrie întâmplări cu prieteni și colegi și dosarele medicale ale membrilor
familiei poate fi scutită de aplicarea normelor de protecție a datelor, deoarece aceste
activități ar putea fi pur personale sau domestice. RGPD specifică în continuare că
activitățile personale sau domestice ar putea include activitățile din cadrul rețelelor
sociale și activitățile online desfășurate în contextul respectivelor activități210. Dim‑
potrivă, normele de protecție a datelor se aplică pe deplin operatorilor și persoane‑
lor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu
caracter personal pentru astfel de activități personale sau domestice (de exemplu,
platformele de socializare în rețea)211.
209 Regulamentul general privind protecția datelor, considerentul 18 și articolul 2 alineatul (2) litera (c);
Convenția 108 modernizată, articolul 3 alineatul (2).
210 Regulamentul general privind protecția datelor, considerentul 18.
211 Ibidem, considerentul 18; Raportul explicativ privind Convenția 108 modernizată, punctul 29.
212 Vezi declarația Grupului de lucru „Articolul 29” privind discuțiile referitoare la pachetul de reforme
privind protecția datelor, Anexa 2: Propunerile și amendamentele legate de excepția privind activitățile
personale sau domestice, 27 februarie 2013.
213 Raportul explicativ privind Convenția 108 modernizată, punctul 28.
214 Vezi Regulamentul general privind protecția datelor, considerentul 18, și Raportul explicativ privind
Convenția 108 modernizată, punctul 27.
115
Manual de legislație europeană privind protecția datelor
Potrivit CJUE, înregistrările vizuale ale unei camere video de supraveghere instalate
în context privat pot intra, de asemenea, sub incidența legislației UE privind protecția
datelor în anumite circumstanțe.
215 Hotărârea CJUE din 6 noiembrie 2003 în cauza C‑101/01, Proces penal/Bodil Lindqvist.
216 Ibidem, punctul 27; Directiva 95/46/CE (abrogată), articolul 3 alineatul (1), acum Regulamentul general
privind protecția datelor, articolul 2 alineatul (1).
217 Hotărârea CJUE din 6 noiembrie 2003 în cauza C‑101/01, Proces penal/Bodil Lindqvist, punctul 47.
116
Terminologia în domeniul protecției datelor
Operator
În dreptul UE, operatorul este definit ca fiind persoana sau entitatea care, „[singură]
sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu
caracter personal”220. Decizia unui operator stabilește motivul și metoda prelucrării
datelor.
218 Hotărârea CJUE din 11 decembrie 2014 în cauza C‑212/13, František Ryneš/Úřad pro ochranu osobních
údajů, punctul 33.
219 Directiva 95/46/CE (abrogată), articolul 3 alineatul (2) a doua liniuță, acum Regulamentul general privind
protecția datelor, articolul 2 alineatul (2) litera (c).
220 Regulamentul general privind protecția datelor, articolul 4 punctul 7.
221 Convenția 108 modernizată, articolul 2 litera (d).
222 Raportul explicativ privind Convenția 108 modernizată, punctul 22.
223 Ibidem.
224 Hotărârea CJUE [MC] din 13 mai 2014 în cauza C‑131/12, Google Spain SL, Google Inc./Agencia Española
de Protección de Datos (AEPD), Mario Costeja González.
117
Manual de legislație europeană privind protecția datelor
Controlul comun
RGPD prevede că, în cazul în care doi sau mai mulți operatori stabilesc în comun
scopurile și mijloacele de prelucrare, aceștia sunt considerați operatori asoci‑
ați. Înseamnă că aceștia decid împreună să prelucreze date într‑un scop comun232.
Raportul explicativ privind Convenția 108 modernizată precizează că sunt posibile, în
cadrul CoE, asocierea operatorilor sau controlul comun233.
225 Regulamentul general privind protecția datelor, articolul 4 punctul 7; Hotărârea CJUE [MC] din
13 mai 2014 în cauza C‑131/12, Google Spain SL, Google Inc./Agencia Española de Protección de Datos
(AEPD), Mario Costeja González, punctul 21.
226 Hotărârea CJUE [MC] din 13 mai 2014 în cauza C‑131/12, Google Spain SL, Google Inc./Agencia Española
de Protección de Datos (AEPD), Mario Costeja González, punctul 34.
227 Ibidem, punctele 35‑40.
228 Ibidem, punctul 41.
229 Regulamentul general privind protecția datelor, articolul 27 alineatul (1).
230 Ibidem, articolul 27 alineatul (3).
231 Ibidem, articolul 27 alineatul (5).
232 Ibidem, articolul 4 punctul 7 și articolul 26.
233 Convenția 108 modernizată, articolul 2 litera (d); Raportul explicativ privind Convenția 108 modernizată,
punctul 22.
118
Terminologia în domeniul protecției datelor
Grupul de lucru „Articolul 29” subliniază că controlul comun poate lua forme diferite
și că participarea diferiților operatori la activitățile de control poate fi inegală234.
Această flexibilitate face posibilă adaptarea la realitățile din ce în ce mai complexe
ale prelucrării datelor235. În consecință, operatorii asociați trebuie să își stabilească
responsabilitățile în vederea respectării obligațiilor prevăzute de regulament prin‑
tr‑un acord specific236.
234 Avizul 1/2010 al Grupului de lucru „Articolul 29” privind conceptele „operator” și „persoană
împuternicită de operator”, WP 169, Bruxelles, 16 februarie 2010, p. 19.
235 Ibidem.
236 Regulamentul general privind protecția datelor, considerentul 79.
237 Ibidem, punctul 21.
238 Ibidem, articolul 82 alineatul (4).
239 Avizul 1/2010 al Grupului de lucru „Articolul 29” privind conceptele „operator” și „persoană
împuternicită de operator”, WP 169, Bruxelles, 16 februarie 2010, p. 19.
119
Manual de legislație europeană privind protecția datelor
240 Ibidem.
241 Avizul 10/2006 al Grupului de lucru „Articolul 29” privind prelucrarea datelor cu caracter personal de
către Societatea pentru Telecomunicații Financiare Interbancare Mondiale (SWIFT), WP 128, Bruxelles,
22 noiembrie 2006.
242 Regulamentul general privind protecția datelor, articolul 4 punctul 8.
243 Convenția 108 modernizată, articolul 2 litera (f).
120
Terminologia în domeniul protecției datelor
După cum s‑a precizat anterior, operatorul este definit ca fiind cel care stabilește
scopurile și mijloacele de prelucrare. RGPD afirmă în mod clar că persoana împuter‑
nicită de operator nu prelucrează datele decât la cererea operatorului, cu excepția
cazului în care dreptul Uniunii sau dreptul intern îl obligă să facă acest lucru244. Con‑
tractul dintre operator și persoana împuternicită de operator constituie un element
esențial al relației dintre aceștia și are caracter juridic obligatoriu245.
121
Manual de legislație europeană privind protecția datelor
122
Terminologia în domeniul protecției datelor
123
Manual de legislație europeană privind protecția datelor
„Destinatar” este un termen cu semnificație mai largă decât „parte terță”. În sensul
articolului 4 punctul 9 din RGPD, destinatar înseamnă „persoana fizică sau juridică,
autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele
cu caracter personal, indiferent dacă este sau nu o parte terță”. Acest destinatar
poate fi o persoană din afara operatorului sau a persoanei împuternicite de opera‑
tor – în acest caz, o parte terță – sau cineva din cadrul operatorului sau al persoanei
împuternicite de operator, cum ar fi un angajat sau un alt departament din cadrul
aceleiași societăți sau autorități.
Diferența între destinatari și părți terțe este importantă numai din perspectiva
condițiilor aplicabile divulgării legale a datelor. Angajații unui operator sau ai unei
persoane împuternicite de operator pot fi, fără să se aplice nicio altă cerință legală,
destinatari ai datelor cu caracter personal în cazul în care sunt implicați în opera‑
țiunile de prelucrare ale operatorului sau ale persoanei împuternicite de operator.
În schimb, o parte terță, fiind separată de operator și de persoana împuternicită de
operator, nu este autorizată să utilizeze datele cu caracter personal prelucrate de
operator, cu excepția cazului în care există temeiuri juridice pentru aceasta într‑o
anumită situație.
Însă, dacă organizația furnizează date despre angajații săi unei societăți de
formare profesională care va folosi aceste date pentru a adapta un program
de pregătire a angajaților, societatea de formare profesională este o parte
terță. Motivul este că societatea de formare profesională nu deține legitimare
sau autorizare specifică pentru prelucrarea datelor cu caracter personal în
cauză, legitimare sau autorizare care rezultă, în cazul „departamentului de
resurse umane”, din relația de muncă cu operatorul. Cu alte cuvinte, socie‑
tatea de formare profesională nu a primit informațiile în cadrul unei relații
de încadrare în muncă cu operatorul de date.
124
Terminologia în domeniul protecției datelor
2.4. Consimțământ
Principalele elemente
• În contextul unei declarații scrise care include și alte aspecte, cum ar fi „condițiile
de utilizare”, cererile de acordare a consimțământului trebuie să fie formulate
într‑un limbaj clar și simplu și într‑o formă inteligibilă și ușor accesibilă, care să
distingă în mod clar consimțământul de alte aspecte; dacă o parte din această
declarație încalcă RGPD, aceasta nu are caracter obligatoriu.
257 Regulamentul general privind protecția datelor, articolul 4 punctul 11. Vezi, de asemenea, Convenția 108
modernizată, articolul 5 alineatul (2).
258 Regulamentul general privind protecția datelor, articolul 7.
125
Manual de legislație europeană privind protecția datelor
Consimțământul trebuie să fie dat în mod clar, astfel încât să nu existe nicio îndoială
cu privire la intenția persoanei vizate262. Consimțământul trebuie să fie explicit atunci
când se referă la prelucrarea datelor sensibile și poate fi acordat verbal sau în scris263.
Acesta din urmă poate fi acordat prin mijloace electronice264. În cadrul legislației UE
și a CoE deopotrivă, acordul pentru prelucrarea datelor cu caracter personal ale unei
persoane trebuie să fie exprimat printr‑o declarație sau printr‑o acțiune neechi‑
vocă265. Astfel, consimțământul nu poate fi dedus din absența unui răspuns, din
căsuțe bifate în prealabil, din formulare completate în prealabil sau din absența unei
acțiuni266.
126