Documente Academic
Documente Profesional
Documente Cultură
Drepturile persoanelor
vizate și asigurarea
respectării acestora
UE Aspecte vizate CoE
Dreptul de a fi informat
Regulamentul general privind Transparența Convenția 108
protecția datelor, articolul 12 informațiilor modernizată, articolul 8
Hotărârea CJUE în cauza C-473/12,
Institut professionnel des agents
immobiliers (IPI)/Englebert, 2013
Hotărârea CJUE în cauza C‑201/14,
Smaranda Bara și alții/Casa Națională
de Asigurări de Sănătate și alții, 2015
Regulamentul general privind Conținutul Convenția 108
protecția datelor, articolul 13 informațiilor modernizată, articolul 8
alineatele (1) și (2) și articolul 14 alineatul (1)
alineatele (1) și (2)
Regulamentul general privind Termenul Convenția 108
protecția datelor, articolul 13 de furnizare modernizată, articolul 9
alineatul (1) și articolul 14 alineatul (3) a informațiilor alineatul (1) litera (b)
Regulamentul general privind Modalitatea Convenția 108
protecția datelor, articolul 12 de furnizare modernizată, articolul 9
alineatele (1), (5) și (7) a informațiilor alineatul (1) litera (b)
Regulamentul general privind Dreptul de Convenția 108
protecția datelor, articolul 13 a depune modernizată, articolul 9
alineatul (2) litera (d) și articolul 14 o plângere alineatul (1) litera (f)
alineatul (2) litera (e), articolele 77,
78 și 79
223
Manual de legislație europeană privind protecția datelor
224
Drepturile persoanelor vizate și asigurarea respectării acestora
225
Manual de legislație europeană privind protecția datelor
226
Drepturile persoanelor vizate și asigurarea respectării acestora
• Orice persoană vizată are dreptul de a primi informații privind orice prelucrare a datelor
sale cu caracter personal de către un operator de date, sub rezerva unor excepții
limitate.
• să solicite, după caz, ștergerea datelor lor de către operator în cazul în care acesta
prelucrează datele respective în mod ilegal;
227
Manual de legislație europeană privind protecția datelor
• Persoanele vizate au dreptul de a nu face obiectul unor decizii bazate exclusiv pe
prelucrarea automatizată, inclusiv crearea de profiluri, care au efecte juridice sau care
afectează în mod semnificativ respectiva persoană. Persoanele vizate au, de aseme‑
nea, următoarele drepturi:
228
Drepturile persoanelor vizate și asigurarea respectării acestora
a comunica modul în care persoanele vizate își pot exercita drepturile528. Informațiile
trebuie să fie concise, transparente, inteligibile și ușor accesibile, formulate într-un
limbaj clar și simplu. Trebuie furnizate în scris, inclusiv în format electronic, atunci
când este oportun; la solicitarea persoanei vizate, informațiile pot fi furnizate verbal,
cu condiția ca identitatea persoanei vizate să fie dovedită fără echivoc prin alte mij‑
loace. Informațiile sunt furnizate fără întârzieri sau cheltuieli excesive529.
Articolele 13 și 14 din RGPD prevăd dreptul persoanelor vizate de a fi informate, fie
în situațiile în care datele cu caracter personal au fost colectate direct de la persoana
vizată, fie în situațiile în care datele nu au fost obținute de la persoana vizată.
229
Manual de legislație europeană privind protecția datelor
531 Hotărârea CJUE din 1 octombrie 2015 în cauza C‑201/14, Smaranda Bara și alții/Casa Națională de
Asigurări de Sănătate și alții.
230
Drepturile persoanelor vizate și asigurarea respectării acestora
Conținutul informațiilor
231
Manual de legislație europeană privind protecția datelor
• dacă datele vor fi transferate către o țară terță sau o organizație internațională și
dacă acest transfer se bazează pe o decizie privind caracterul adecvat al nivelului
de protecție a datelor sau pe garanții adecvate;
• perioada pentru care vor fi stocate datele cu caracter personal și, dacă stabilirea
acestei perioade nu este posibilă, criteriile utilizate pentru a stabili perioada de
stocare;
533 Regulamentul general privind protecția datelor, articolul 13 alineatul (2) și articolul 14 alineatul (2)
litera (f).
232
Drepturile persoanelor vizate și asigurarea respectării acestora
RGPD distinge între două scenarii și două termene la care operatorul de date trebuie
să furnizeze informații persoanei vizate:
534 Ibidem, articolul 13 alineatele (1) și (2), fraza introductivă, în care Regulamentul general privind protecția
datelor se referă la informațiile care fac obiectul obligației de transmitere „în momentul obținerii acestor
date cu caracter personal”.
535 Ibidem, articolul 13 alineatul (3) și articolul 14 alineatul (3); vezi, de asemenea, menționarea termenelor
rezonabile și a transmiterii fără întârziere excesivă din Convenția 108 modernizată, articolul 8
alineatul (1) litera (b).
536 Raportul explicativ privind Convenția 108 modernizată, punctul 70.
233
Manual de legislație europeană privind protecția datelor
537 Comisia va elabora în continuare, prin intermediul actelor delegate, informațiile care urmează să
fie prezentate de pictograme și procedurile pentru furnizarea de pictograme standardizate; vezi
Regulamentul general privind protecția datelor, articolul 12 alineatul (8).
538 Regulamentul general privind protecția datelor, articolul 12 alineatele (1), (5) și (7) și Convenția 108
modernizată, articolul 9 alineatul (1) litera (b).
539 Avizul 10/2004 din 25 noiembrie 2004 al Grupului de lucru „Articolul 29” privind dispoziții de informare
mai armonizate, WP 100, Bruxelles, 25 noiembre 2004.
234
Drepturile persoanelor vizate și asigurarea respectării acestora
Cine suntem?
235
Manual de legislație europeană privind protecția datelor
Ce drepturi aveți?
236
Drepturile persoanelor vizate și asigurarea respectării acestora
540 Regulamentul general privind protecția datelor, articolul 13 alineatul (2) litera (d); Convenția 108
modernizată, articolul 8 alineatul (1) litera (f).
541 Ibidem, articolul 13 alineatul (4) și articolul 14 alineatul (5) litera (a).
542 Ibidem, articolul 14 alineatul (5) literele (b)-(e).
237
Manual de legislație europeană privind protecția datelor
În cazul în care datele sunt colectate în scopuri de cercetare științifică sau istorică, în
scopuri statistice sau pentru arhivare în scopuri de interes public, dreptul Uniunii sau
dreptul intern poate să prevadă derogări de la obligația de informare, în măsura în
care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod
grav realizarea scopurilor specifice547.
Există limitări similare în cadrul legislației CoE, care prevede că drepturile acordate
persoanelor vizate în temeiul articolului 9 din Convenția 108 modernizată pot face
obiectul unor eventuale restricții în temeiul articolului 11 din Convenția 108 moder‑
nizată, în anumite condiții stricte. În plus, în conformitate cu articolul 8 alineatul (2)
din Convenția 108 modernizată, obligația de transparență a prelucrării impusă ope‑
ratorilor nu se aplică în cazul în care persoana vizată deține deja informațiile.
În cadrul legislației CoE, dreptul de acces al unei persoane la datele proprii este
recunoscut în mod explicit la articolul 9 din Convenția 108 modernizată. Acesta pre‑
vede că fiecare persoană are dreptul de a obține, la cerere, informații privind pre‑
lucrarea datelor sale cu caracter personal, care să îi fie comunicate într-o manieră
inteligibilă. Dreptul de acces a fost recunoscut nu doar de dispozițiile Convenției 108
238
Drepturile persoanelor vizate și asigurarea respectării acestora
În cadrul legislației UE, dreptul de acces la propriile date este recunoscut în mod
explicit la articolul 15 din RGPD și este, de asemenea, stabilit ca element al dreptului
fundamental la protecția datelor cu caracter personal la articolul 8 alineatul (2) din
Carta drepturilor fundamentale a UE550. Dreptul unei persoane de a obține acces la
propriile sale date cu caracter personal este un element esențial al legislației euro‑
pene în materie de protecție a datelor551.
RGPD prevede că fiecare persoană vizată are dreptul de a obține din partea
operatorului acces la datele sale cu caracter personal și anumite informații despre
prelucrare552. În special, fiecare persoană vizată are dreptul de a obține (din partea
operatorului) confirmarea că se prelucrează sau nu date care o privesc și informații
referitoare cel puțin la următoarele:
• scopurile prelucrării;
• perioada pentru care se preconizează că vor fi stocate datele sau, dacă acest
lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
548 Hotărârea CEDO din 7 iulie 1989 în cauza Gaskin/Regatul Unit, nr. 10454/83; Hotărârea CEDO [MC] din
13 februarie 2003 în cauza Odièvre/Franța, nr. 42326/98; Hotărârea CEDO din 28 aprilie 2009 în cauza
K.H. și alții/Slovacia, nr. 32881/04; Hotărârea CEDO din 25 septembrie 2012 în cauza Godelli/Italia,
nr. 33783/09.
549 Hotărârea CEDO din 26 martie 1987 în cauza Leander/Suedia, nr. 9248/81.
550 Vezi, de asemenea, Hotărârea CJUE din 17 iulie 2014 în cauzele conexate C-141/12 și C-372/12, YS/
Minister voor Immigratie, Integratie en Asiel și Minister voor Immigratie, Integratie en Asiel/M și S;
Hotărârea CJUE din 16 iulie 2015 în cauza C-615/13 P, ClientEarth, Pesticide Action Network Europe (PAN
Europe)/Autoritatea Europeană pentru Siguranța Alimentară (EFSA), Comisia Europeană.
551 Hotărârea CJUE din 17 iulie 2014 în cauzele conexate C-141/12 și C-372/12, YS/Minister voor
Immigratie, Integratie en Asiel și Minister voor Immigratie, Integratie en Asiel/M și S.
552 Regulamentul general privind protecția datelor, articolul 15 alineatul (1).
239
Manual de legislație europeană privind protecția datelor
• orice informații disponibile privind sursa datelor care fac obiectul unei prelucrări,
în cazul în care datele nu sunt colectate de la persoana vizată;
Trebuie furnizate informații privind sursa datelor – în cazul în care acestea nu sunt
colectate de la persoana vizată – drept răspuns la o cerere de acces, în măsura în
care aceste informații sunt disponibile. Această dispoziție trebuie înțeleasă în
contextul principiilor echității, transparenței și responsabilității. Un operator nu poate
distruge informațiile despre sursa datelor pentru a fi scutit de divulgarea acestora –
cu excepția cazului în care eliminarea ar fi avut loc indiferent de faptul că s-a primit
240
Drepturile persoanelor vizate și asigurarea respectării acestora
554 Hotărârea CJUE din 7 mai 2009 în cauza C‑553/07, College van burgemeester en wethouders van
Rotterdam/M. E. E. Rijkeboer.
555 Regulamentul general privind protecția datelor, articolul 15 alineatul (1) literele (c) și (f), articolul 16,
articolul 17 alineatul (2) și articolul 21, precum și capitolul VIII.
241
Manual de legislație europeană privind protecția datelor
242
Drepturile persoanelor vizate și asigurarea respectării acestora
În cadrul unei acțiuni sau proceduri civile desfășurate în fața unei autorități publice
pentru a se stabili dacă datele sunt exacte sau nu, persoana vizată poate solicita
menționarea sau atașarea unei adnotări sau a unei note la dosar, în care să se speci‑
fice faptul că se contestă exactitatea datelor și că este în curs de adoptare o decizie
oficială561. În această perioadă, operatorul de date nu trebuie să prezinte datele, în
special părților terțe, ca fiind exacte sau definitive.
243
Manual de legislație europeană privind protecția datelor
244
Drepturile persoanelor vizate și asigurarea respectării acestora
În cadrul legislației UE, articolul 17 din RGPD prevede posibilitatea persoanelor vizate
de a solicita ștergerea sau eliminarea datelor. Dreptul la ștergerea datelor cu caracter
personal fără întârzieri nejustificate se aplică în următoarele cazuri:
• persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și
nu există niciun alt temei juridic pentru prelucrare;
• datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale
care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub
incidența căruia se află operatorul;
245
Manual de legislație europeană privind protecția datelor
Exemplu: În cauza Google Spain570, CJUE a analizat dacă Google avea obligația
de a elimina din rezultatele căutării informații perimate despre dificultățile
financiare ale reclamantului. Printre altele, Google a contestat că ar fi respon‑
sabilă, argumentând că oferă doar un hyperlink la pagina web a editorului
care găzduiește informațiile, în acest caz un ziar care publicase informații cu
567 Ibidem.
568 Ibidem, articolul 5 alineatul (2).
569 Ibidem, articolul 17 alineatul (3).
570 Hotărârea CJUE [MC] din 13 mai 2014 în cauza C‑131/12, Google Spain SL, Google Inc./Agencia Española
de Protección de Datos (AEPD), Mario Costeja González, punctele 55‑58.
246
Drepturile persoanelor vizate și asigurarea respectării acestora
571 Google a contestat, de asemenea, aplicabilitatea normelor UE de protecție a datelor, întrucât Google
Inc. are sediul în SUA, iar prelucrarea datelor cu caracter personal în cauză se efectua, de asemenea, în
SUA. Un al doilea argument pentru inaplicabilitatea legislației UE privind protecția datelor a fost legat de
susținerea că motoarele de căutare nu pot fi considerate „operatori” în ceea ce privește datele afișate
în rezultatele lor, deoarece nu au cunoștință despre aceste date și nu exercită control asupra lor. CJUE
a respins ambele argumente, considerând că Directiva 95/46/CE era aplicabilă în acest caz, și a continuat
examinarea domeniului de aplicare al drepturilor garantate de aceasta, în special dreptul la ștergerea
datelor cu caracter personal.
572 Ibidem, punctele 36, 38, 80-81 și 97.
573 Ibidem, punctele 81‑83.
247
Manual de legislație europeană privind protecția datelor
574 Hotărârea CJUE [MC] din 13 mai 2014 în cauza C‑131/12, Google Spain SL, Google Inc./Agencia Española
de Protección de Datos (AEPD), Mario Costeja González, punctul 88. Vezi, de asemenea, Orientările
din 26 noiembrie 2014 ale Grupului de lucru „Articolul 29” privind punerea în aplicare a hotărârii
CJUE în cauza Google Spain și Google Inc/Agencia Española de Protección de Datos (AEPD) și Mario
Costeja González, C-131/12, WP 225, Bruxelles, și Recomandarea CM/Rec 2012 (3) din 4 aprilie 2012
a Comitetului de Miniștri al Consiliului Europei către statele membre privind protecția drepturilor omului în
ceea ce privește motoarele de căutare.
575 Orientările din 26 noiembrie 2014 ale Grupului de lucru „Articolul 29” privind punerea în aplicare
a hotărârii CJUE în cauza Google Spain și Google Inc/Agencia Española de Protección de Datos (AEPD) și
Mario Costeja González, C-131/12, WP 225, Bruxelles.
248
Drepturile persoanelor vizate și asigurarea respectării acestora
CJUE a mai arătat că, chiar și după trecerea timpului și chiar după dizolvarea
unei societăți, drepturile și obligațiile legale legate de societate continuă să
existe. Litigiile legate de dizolvare pot dura mult, iar întrebările referitoare
la societatea comercială, la administratorii și la lichidatorii acesteia pot apă‑
rea la mulți ani după ce o societate a încetat să existe. CJUE a constatat că,
576 Hotărârea CJUE din 9 martie 2017 în cauza C‑398/15, Camera di Commercio, Industria, Artigianato
e Agricoltura di Lecce/Salvatore Manni.
249
Manual de legislație europeană privind protecția datelor
În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat
să șteargă informațiile, are obligația de a lua măsuri „rezonabile” pentru a informa
alți operatori care prelucrează aceleași date cu privire la cererea persoanei vizate de
ștergere a datelor. Activitățile operatorului trebuie să țină seama de tehnologiile dis‑
ponibile și de costul implementării577.
• datele trebuie păstrate pentru exercitarea sau apărarea unor drepturi în instanță;
250
Drepturile persoanelor vizate și asigurarea respectării acestora
într-un alt sistem de prelucrare, datele nemaifiind astfel disponibile utilizatorilor, sau
înlăturarea temporară a datelor cu caracter personal579. Operatorul trebuie să infor‑
meze persoana vizată înainte de ridicarea restricției de prelucrare580.
Operatorul trebuie să comunice fiecărui destinatar căruia i-au fost divulgate datele
cu caracter personal orice rectificare sau ștergere a datelor cu caracter personal sau
restricționare a prelucrării, cu excepția cazului în care acest lucru este imposibil sau
disproporționat581. Dacă persoana vizată solicită informații despre respectivii desti‑
natari, operatorul trebuie să îi furnizeze aceste informații582.
251
Manual de legislație europeană privind protecția datelor
252
Drepturile persoanelor vizate și asigurarea respectării acestora
Persoanele vizate nu dețin un drept general de a se opune prelucrării datelor lor590.
Articolul 21 alineatul (1) din RGPD împuternicește persoana vizată să formuleze
obiecții pentru motive legate de situația sa particulară atunci când temeiul juridic
al prelucrării este îndeplinirea de către operator a unei sarcini care servește unui
interes public sau dacă prelucrarea se bazează pe interesele legitime ale operatoru‑
lui591; Dreptul la opoziție se aplică activităților de creare de profiluri. În Convenția 108
modernizată se recunoaște un drept similar592.
590 Vezi, de asemenea, Hotărârea CEDO din 27 august 1997 în cauza M.S./Suedia, nr. 20837/92 (în care
datele medicale au fost comunicate fără consimțământ sau posibilitatea de opoziție); Hotărârea CEDO
din 26 martie 1987 în cauza Leander/Suedia, nr. 9248/81; Hotărârea CEDO din 10 mai 2011 în cauza
Mosley/Regatul Unit, nr. 48009/08.
591 Regulamentul general privind protecția datelor, considerentul 69 și articolul 6 alineatul (1) literele (e)
și (f).
592 Convenția 108 modernizată, articolul 9 alineatul (1) litera (d); Recomandare privind crearea de profiluri,
articolul 5 punctul 3.
593 Hotărârea CJUE [MC] din 13 mai 2014 în cauza C‑131/12, Google Spain SL, Google Inc./Agencia Española
de Protección de Datos (AEPD), Mario Costeja González, punctul 81.
594 Vezi, de asemenea, Convenția 108 modernizată, articolul 98 alineatul (1) litera (d), care precizează
că persoana vizată se poate opune prelucrării datelor sale „cu excepția cazului în care operatorul
demonstrează existența unor motive legitime pentru prelucrare care prevalează asupra intereselor sau
drepturilor și libertăților fundamentale ale persoanei vizate”.
253
Manual de legislație europeană privind protecția datelor
că motivele legitime pentru prelucrarea datelor (care pot prevala asupra dreptului la
opoziție al persoanelor vizate) trebuie să fie demonstrate de la caz la caz595.
Exemplu: În cauza Manni596, CJUE a declarat că, dat fiind scopul legitim al
publicării datelor cu caracter personal în registrul societăților comerciale, în
special necesitatea de a proteja interesele terților și de a asigura securita‑
tea juridică, în principiu, domnul Manni nu avea dreptul să obțină ștergerea
datelor sale cu caracter personal din registrul societăților comerciale. CJUE
a recunoscut totuși existența unui drept de a obiecta față de prelucrarea
datelor, arătând următoarele: „nu este exclusă [...] posibilitatea existenței
unor situații speciale în care motive preponderente și legitime care țin de
situația concretă a persoanei interesate să justifice în mod excepțional ca
accesul la datele cu caracter personal care o privesc înscrise în registru să fie
limitat, la expirarea unui termen suficient de lung [...], la terții care justifică
un interes specific pentru consultare”.
Rezultatul unei opoziții reușite este că operatorul nu mai poate prelucra datele în
cauză. Cu toate acestea, operațiunile de prelucrare a datelor persoanei vizate efectu‑
ate înainte de exprimarea opoziției își păstrează caracterul legitim.
254
Drepturile persoanelor vizate și asigurarea respectării acestora
Persoana vizată are dreptul, în orice moment și gratuit, să se opună utilizării datelor
sale cu caracter personal în scopuri de marketing direct. Persoanele vizate trebuie
să fie informate cu privire la acest drept într-o manieră clară, separat de orice alte
informații.
Serviciile societății informaționale sunt definite ca fiind orice serviciu prestat în mod
normal în scopul obținerii unei remunerații, la distanță, prin mijloace electronice și la
solicitarea individuală a beneficiarului serviciului599.
597 Recomandarea Rec(85)20 din 25 octombrie 1985 a Comitetului de Miniștri al Consiliului Europei către
statele membre privind protecția datelor cu caracter personal utilizate în scopuri de marketing direct,
articolul 4 alineatul (1).
598 Raportul explicativ privind Convenția 108 modernizată, punctul 79.
599 Directiva 98/48/CE de modificare a Directivei 98/34/CE de stabilire a unei proceduri pentru furnizarea de
informații în domeniul standardelor și reglementărilor tehnice, articolul 1 punctul 2.
600 Regulamentul general privind protecția datelor, articolul 21 alineatul (5).
255
Manual de legislație europeană privind protecția datelor
256
Drepturile persoanelor vizate și asigurarea respectării acestora
257
Manual de legislație europeană privind protecția datelor
Potrivit Grupului de lucru „Articolul 29”, dreptul de a nu face obiectul unor decizii
bazate exclusiv pe prelucrarea automatizată care poate avea efecte juridice asupra
persoanei vizate sau care o afectează în mod semnificativ este echivalent cu o inter‑
dicție generală, prin urmare nu presupune că persoanele vizate ar trebui să se opună
în mod proactiv unei astfel de decizii607.
607 Orientările din 3 octombrie 2017 ale Grupului de lucru „Articolul 29” privind procesul decizional
automatizat și crearea de profiluri în sensul Regulamentului 2016/679, WP 251, Bruxelles, p. 15.
608 Regulamentul general privind protecția datelor, articolul 22 alineatul (2).
609 Ibidem, articolul 12.
610 Ibidem, articolul 15.
611 Ibidem, articolul 13 alineatul (2) litera (f).
612 Ibidem, articolul 15 alineatul (1) litera (h).
258
Drepturile persoanelor vizate și asigurarea respectării acestora
În cadrul legislației CoE, persoanele fizice au dreptul de a nu face obiectul unei decizii
care le va afecta în mod semnificativ și care se bazează exclusiv pe prelucrarea auto‑
mată fără a le fi luate în considerare opiniile615. Cerința de a lua în considerare opiniile
persoanei vizate atunci când deciziile se bazează exclusiv pe prelucrarea automată
înseamnă că aceste persoane au dreptul de a contesta astfel de decizii și ar trebui
să aibă posibilitatea de a contesta orice inexactitate a datelor cu caracter personal
pe care le utilizează operatorul, precum și relevanța oricărui profil care le-a fost apli‑
cat616. Cu toate acestea, o persoană nu își poate exercita acest drept dacă decizia
automatizată este autorizată printr-o lege sub a cărei incidență intră operatorul și
care prevede, de asemenea, măsuri adecvate pentru a proteja drepturile, libertățile
și interesele legitime ale persoanei vizate. În plus, persoanele vizate au dreptul să
obțină, la cerere, informații privind raționamentul care stă la baza prelucrării date‑
lor617. Raportul explicativ privind Convenția 108 modernizată oferă exemplul de eva‑
luare a solvabilității. Persoanele fizice ar trebui să aibă dreptul de a fi informate nu
doar cu privire la rezultatul pozitiv sau negativ al evaluării, ci și cu privire la logica
pe care se bazează prelucrarea datelor lor cu caracter personal și care a condus la
rezultatul respectiv. „Înțelegerea acestor elemente contribuie la exercitarea eficace
a altor garanții esențiale, cum ar fi dreptul la opoziție și dreptul de a depune o plân‑
gere în fața unei autorități competente”618.
Recomandarea privind crearea de profiluri, deși nu are caracter obligatoriu din punct
de vedere juridic, precizează condițiile pentru colectarea și prelucrarea datelor cu
259
Manual de legislație europeană privind protecția datelor
• În UE, RGPD prevede căi de atac pentru persoanele vizate în cazul în care le sunt
încălcate drepturile, precum și sancțiuni împotriva operatorilor și persoanelor împu‑
ternicite de operatori care nu respectă dispozițiile regulamentului. Acesta prevede, de
asemenea, dreptul la despăgubiri și răspunderea.
619 Recomandarea CM/Rec(2010)13 a Comitetului de Miniștri al Consiliului Europei către statele membre
privind protecția persoanelor față de prelucrarea automatizată a datelor cu caracter personal în contextul
creării de profiluri, articolul 5 alineatul (5).
260
Drepturile persoanelor vizate și asigurarea respectării acestora
• În ultimă instanță și în anumite condiții, persoanele vizate pot să aducă în atenția CEDO
cazurile de încălcare a legislației privind protecția datelor.
• Orice persoană fizică sau juridică are dreptul de a depune o plângere împotriva oricărei
decizii a Comitetului European pentru Protecția Datelor în fața CJUE, în condițiile prevă‑
zute de tratate.
620 FRA (2015), Manual de legislație europeană privind drepturile copilului, Luxemburg, Oficiul pentru
Publicații; FRA (2013), Legal capacity of persons with intellectual disabilities and persons with mental
health problems (Capacitatea juridică a persoanelor cu dizabilități intelectuale și a persoanelor cu
probleme de sănătate mintală), Luxemburg, Oficiul pentru Publicații.
621 Regulamentul general privind protecția datelor, articolul 80.
261
Manual de legislație europeană privind protecția datelor
Eventualele încălcări ale protecției datelor de către instituțiile sau organismele UE pot
fi aduse la cunoștința Autorității Europene pentru Protecția Datelor627. Dacă AEPD nu
furnizează un răspuns în termen de șase luni, plângerea se consideră a fi respinsă.
Deciziile AEPD pot fi contestate prin introducerea unei acțiuni în fața CJUE în temeiul
Regulamentului (CE) nr. 45/2001, care prevede obligația instituțiilor și a organisme‑
lor UE de a respecta normele de protecție a datelor.
262
Drepturile persoanelor vizate și asigurarea respectării acestora
În cadrul legislației UE, importanța punerii la dispoziția persoanelor vizate a unor căi
de atac eficiente în caz de încălcare a drepturilor lor reiese cu claritate atât din dispo‑
zițiile RGPD – care instituie un drept la o cale de atac eficientă împotriva autorităților
de supraveghere, a operatorilor și a persoanelor împuternicite de operatori –, cât și
din jurisprudența CJUE.
628 Vezi, de exemplu, Hotărârea CEDO din 7 iunie 2016 în cauza Karabeyoğlu/Turcia, nr. 30083/10;
Hotărârea CEDO din 18 iulie 2017 în cauza Mustafa Sezgin Tanrıkulu/Turcia, nr. 27473/06.
629 Hotărârea CJUE [MC] din 6 octombrie 2015 în cauza C‑362/14, Maximillian Schrems/Data Protection
Commissioner.
263
Manual de legislație europeană privind protecția datelor
264
Drepturile persoanelor vizate și asigurarea respectării acestora
635 Ibidem.
636 Regulamentul (CE) nr. 45/2001, articolul 32 alineatul (3).
637 Hotărârea CJUE [MC] din 29 iunie 2010 în cauza C‑28/08 P, Comisia Europeană/The Bavarian Lager Co.
Ltd..
265
Manual de legislație europeană privind protecția datelor
638 Pentru analiza argumentului, vezi AEPD (2011), Public access to documents containing personal data
after the Bavarian Lager ruling (Accesul public la documente care conțin date cu caracter personal în
urma hotărârii din cauza Bavarian Lager), Bruxelles.
639 Hotărârea CJUE [MC] din 8 aprilie 2014 în cauzele conexate C‑293/12 și C‑594/12, Digital Rights Ireland
Ltd/Minister for Communications, Marine and Natural Resources și alții și Kärntner Landesregierung și
alții.
640 Hotărârea CJUE [MC] din 6 octombrie 2015 în cauza C‑362/14, Maximillian Schrems/Data Protection
Commissioner.
266
Drepturile persoanelor vizate și asigurarea respectării acestora
641 Hotărârea CJUE [MC] din 8 aprilie 2014 în cauzele conexate C‑293/12 și C‑594/12, Digital Rights Ireland
Ltd/Minister for Communications, Marine and Natural Resources și alții și Kärntner Landesregierung și
alții.
267
Manual de legislație europeană privind protecția datelor
642 Hotărârea CJUE [MC] din 8 aprilie 2014 în cauzele conexate C‑293/12 și C‑594/12, Digital Rights Ireland
Ltd/Minister for Communications, Marine and Natural Resources și alții și Kärntner Landesregierung și
alții, punctul 69.
643 Hotărârea CJUE din 16 decembrie 1981 în cauza C-244/80, Pasquale Foglia/Mariella Novello (nr. 2);
Hotărârea CJUE din 28 septembrie 2006 în cauza C-467/04, Proces penal/Gasparini și alții.
268
Drepturile persoanelor vizate și asigurarea respectării acestora
cererii de pronunțare a unei decizii preliminare, iar instanța națională își păstrează
competența de a se pronunța în cauza inițială644.
Deși cererile adresate CEDO pot fi formulate exclusiv împotriva părților contractante,
acestea pot viza, de asemenea, în mod indirect, acțiuni sau omisiuni ale unor părți
private, în măsura în care o parte contractantă nu și-a îndeplinit obligațiile pozitive
care îi revin în conformitate cu Convenția europeană a drepturilor omului și nu a pre‑
văzut în legislația națională un nivel corespunzător de protecție împotriva încălcării
drepturilor la protecția datelor.
644 Hotărârea CJUE [MC] din 11 decembrie 2007 în cauza C-438/05, International Transport Workers’
Federation, Finnish Seamen’s Union/Viking Line ABP, OÜ Viking Line Eesti, punctul 85.
645 Convenția 108 modernizată, articolul 12.
646 Convenția europeană a drepturilor omului, articolele 34-37.
647 Hotărârea CEDO din 2 decembrie 2008 în cauza K.U./Finlanda, nr. 2872/02.
269
Manual de legislație europeană privind protecția datelor
270
Drepturile persoanelor vizate și asigurarea respectării acestora
271
Manual de legislație europeană privind protecția datelor
272
Drepturile persoanelor vizate și asigurarea respectării acestora
6.2.4. Sancțiuni
În cadrul legislației CoE, articolul 12 din Convenția 108 modernizată prevede că
fiecare parte contractantă trebuie să stabilească sancțiuni și căi de atac adecvate
pentru încălcarea dispozițiilor dreptului intern care pun în aplicare principiile de bază
ale protecției datelor prevăzute de Convenția 108. Convenția nu stabilește și nu
impune un set specific de sancțiuni. Dimpotrivă, aceasta arată în mod clar că fiecare
parte contractantă are libertatea de a stabili natura sancțiunilor judiciare sau extraju‑
diciare, care pot fi penale, administrative sau civile. Raportul explicativ privind Con‑
venția 108 modernizată prevede că sancțiunile trebuie să fie eficiente, proporționale
și disuasive655. Părțile contractante trebuie să respecte acest principiu atunci când
determină natura și severitatea sancțiunilor disponibile în ordinea lor juridică internă.
655 Ibidem.
656 Regulamentul general privind protecția datelor, articolul 83 alineatul (2).
273
Manual de legislație europeană privind protecția datelor
a luat măsuri pentru a diminua prejudiciul suferit de persoanele vizate, acest lucru ar
trebui, de asemenea, să fie luat în considerare. În mod similar, gradul de cooperare
cu autoritatea de supraveghere după producerea încălcării și modul în care autorita‑
tea de supraveghere a aflat despre încălcare (de exemplu, dacă aceasta a fost rapor‑
tată de entitatea responsabilă pentru prelucrare sau de o persoană vizată ale cărei
drepturi fuseseră încălcate) reprezintă alți factori importanți după care se ghidează
autoritățile de supraveghere în adoptarea deciziei lor657.
657 Orientările din 3 octombrie 2017 ale Grupului de lucru „Articolul 29” privind aplicarea amenzilor
administrative și stabilirea valorii acestora în sensul Regulamentului 2016/679, WP 253, Bruxelles,
3 octombrie 2017.
274