În curs de publicare în Curierul judiciar, nr.

1/2020

Protecția datelor cu caracter personal în procesul de achiziție publică

Data protection in the public procurement process

Dr. Irina Alexe1

Prof. univ. dr. Daniel-Mihail Şandru2

Rezumat:
Transparența este unul dintre principiile fundamentale în achizițiile publice. În același
timp, Regulamentul general privind protecția datelor (GDPR) impune tuturor operatorilor, fie
publici, fie privați, respectarea vieții private și a protecției datelor. Studiul pornește de la
premisa evitării sancțiunilor și a respectării obligațiilor de către autoritatea contractantă prin
cunoașterea ierarhiei valorilor protejate de reglementările în vigoare. Un rol important în
asigurarea conformității cu legea este corelarea activității responsabilului cu protecția datelor
cu departamentul de achiziții. Etapele procedurii de achiziție publică vor fi analizate în
aspectele cele mai relevante, de la publicarea în Sistemul Electronic de Achiziții Publice și
gestionarea datelor cu caracter personal depuse de ofertanți în procedurile de achiziții până la
publicarea rezultatelor. Vom observa dacă protecția datelor poate deveni un criteriu de
atribuire și influența încălcărilor de date ale ofertanților în procedurile de achiziții. Un
doemeniu sensibil este al protecției datelor transferate în afara Uniunii Europene precum și,
din punctul de vedere al dreptului concurenței, consecințele asocierilor, urmând să discutăm
în final unele aspecte referitoare la măsurile corective pe care autoritatea de protecția datelor
le poate impune.
Cuvinte cheie:
achiziții publice, protecția datelor, trasparență, responsabilul cu protecția datelor,
Sistemul Electronic de Achiziții Publice, datele ofertanților, criteriu de atribuire, dreptul
concurenței, asocieri, măsuri corective, transfer de date.
Abstract:
Transparency is one of the fundamental principles in public procurement. At the same
time, the General Data Protection Regulation (GDPR) requires all operators, whether public
or private, to respect privacy and data protection. The study starts from the premise of
avoiding sanctions and of complying with the obligations of the contracting authority by
knowing the hierarchy of values protected by the regulations in force. An important role in

1
Cercetător științific asociat la Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române.
Autor al unor volume și articole în domeniu, ariile sale de interes vizează dreptul administrativ, dreptul
constituțional și dreptul european. Poate fi contactată la adresa irina_alexe@yahoo.com
2
Daniel-Mihail Şandru a fondat și coordonează Centrul de Studii de Drept European al Institutului de Cercetări
Juridice „Acad. Andrei Rădulescu” al Academiei Române. Profesor universitar la Universitatea Creștină
Dimitrie Cantemir și Universitatea din București. Membru AEXA – Asociaţia Experţilor în Achiziţii. Contact
mihai.sandru@csde.ro Pagina web: www.mihaisandru.ro Materialul a fost pregătit pentru conferința Conferința
internațională ”Ethical and Social Dimensions in Public Administration & Law”, 22-23 mai 2020, Suceava
organizată de Universitatea ”Ștefan cel Mare” din Suceava. La data de 6 ianuarie 2020 au fost verificate sau/și
accesate ultima dată trimiterile web.

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393

În curs de publicare în Curierul judiciar, nr. 1/2020

ensuring compliance with the law is to correlate the activity of the data protection officer
with the procurement department. The stages of the public procurement procedure will be
analyzed in the most relevant aspects, from the publication in the Electronic Public
Procurement System and the management of personal data submitted by bidders in the
procurement procedures until the publication of the results. We will observe whether data
protection can become an award criterion and the influence of bidding data breaches in
procurement procedures. A sensitive issue is the protection of data transferred outside the
European Union and, from the point of view of competition law, the consequences of the
associations, and we will finally discuss some aspects regarding the corrective measures that
the data protection authority may impose.
Keywords:
public procurement, data protection, transparency, data protection officer, Electronic
Public Procurement System, bidders data, award criterion, competition law, associations,
corrective measures, data transfer
Introducere
Prezentul articol pune în discuție un exemplu de ciocnire a unor valori pe care
legiuitorul le protejează deopotrivă. Transparența procedurii prin care se încheie un contract
de o autoritate contractantă poate să intre în conflict cu protecția datelor cu caracter personal
pentru care operatorul are obligații față de persoanele vizate, unele implicate în procedura de
achiziție, sau obligațiile autorității contractante pentru produsul pe care intenționează sa-l
achiziționeze. Atât protecția datelor cât și achizițiile publice3 au trecut prin procese de
reformă la nivelul Uniunii Europene, reforme axate pe o legislație anterioară și pe evoluțiile
jurisprudențiale ale Curții de Justiție a Uniunii Europene (CJUE).
1. Regulamentul general privind protecția datelor - obligații și sancțiuni
Regulamentul general privind protecția datelor4 (GDPR, în acest articol) subliniază că
dreptul la protecția datelor nu este absolut (consid. 4). Operatorul, persoana fizică sau juridică
ce stabilește scopurile și mijloacele prelucrării, răspunde pentru măsurile pe care le ia în
privința securității datelor (art. 24 GDPR). În principiu, dacă din context nu reiese altfel, în
conformitate cu acest articol, operatorul este aceeași persoană cu autoritatea contractantă.
Regulamentul a fost pus în aplicare începând cu 25 mai 2018 și prevede mai multe tipuri de
obligații pentru operator: a) măsuri tehnice și organizatorice, desemnarea responsabilului cu
protecția datelor5, notificarea persoanelor vizate în situația încălcării securității datelor etc.; b)
respectarea principiilor – legalitatea prelucrării, minimizarea, limitarea referitoare la scop,

3
A se vedea: Irina Alexe, Daniel-Mihail Șandru, Consideraţii privind modificările aduse în anul 2017
legislaţiei achiziţiilor publice din România, p. 9-31, în volumul Irina Alexe, Daniel-Mihail Sandru (editori),
Legislaţia achiziţiilor publice în România, Editura Universitară; Daniel-Mihail Şandru, Reflectarea izvoarelor
dreptului european al achiziţiilor publice în practica administrativă şi jurisdicţionala din România, în volumul
Daniel-Mihail Şandru, Irina Alexe (editori), Legislaţia Uniunii Europene în materia achiziţilor publice, Ed.
Universitară, 2018, p. 7-24.
4
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor
date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO 2016, L 119, p.
1.
5
Irina Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, Pandectele
Române, nr.1/2018.

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393

În curs de publicare în Curierul judiciar, nr. 1/2020

integritatea datelor etc.6; c) respectarea drepturilor persoanelor vizate – dreptul la opoziție,

dreptul la ștergere, dreptul la portabilitatea datelor, dreptul de acces și dreptul de informare7
etc.; d) respectarea condițiilor privind transferul datelor în state terțe (non-UE). Sancțiunile
pentru nerespectarea acestor dispoziții sunt foarte dure,8 chiar dacă prin legea română de
punere în aplicare a GDPR limitele maxime ale amenzilor administrative au fost reduse
semnificativ și au fost introduse limite minime ale acestora pentru operatorii din sectorul
public.9
2. Dreptul la informare și protecția datelor
Persoanele fizice au dreptul la viață privată, indiferent de calitatea pe care o dețin, iar
protecția datelor este consacrat ca drept distinct de dreptul la viață privată în Carta drepturilor
fundamentale a Uniunii Europene10. În dreptul român, principalul mijloc de exercitare a
dreptului la informare, excluzând obligațiile de transparență prevăzute de legislația
achizițiilor,11 este Legea nr. 544/2001 privind liberul acces la informațiile de interes public.
De la care există o celebră excepție, în art. 12 alin. (1) lit. d), respectiv ”informaţiile cu
privire la datele personale, potrivit legii”. S-a decis într-o cauză că ”nu este incidentă ipoteza
de excepție prevăzută la art. 12 alin. 1 lit. d) din Legea nr. 544/2001, în condițiile în care
informațiile solicitate prin cererea înregistrată sub nr. 3572/24.03.2014 nu sunt date cu
caracter personal, numele evaluatorilor autorizați A.N.E.V.A.R. fiind publice, întrucât aceștia
se înscriu în Tabloul Asociației, care se publică anual în Monitorul Oficial, conform
dispozițiilor art. 9 și 11 din Regulamentul de organizare și funcționare a A.N.E.V.A.R.
Instanța de fond a constatat corect că intimata a solicitat comunicarea doar a numelor
evaluatorilor, care sunt deja publice, nu și a altor date cu caracter personal”. În plus,
”rapoartele de evaluare și, implicit, numele evaluatorilor care le-au întocmit, stau la baza
documentelor constatatoare ce conțin informații referitoare la îndeplinirea obligațiilor
contractuale” și că ”simpla invocare a unei clauze de confidențialitate, inserate în rapoartele

6
A se vedea, de exemplu, Daniel-Mihail Șandru, La vremuri noi, principii vechi. Observații critice privind
două expresii nou introduse în art. 5 al Regulamentului General privind Protecția Datelor, în R.R.D.A., nr.
1/2018, p. 79-84 ; Daniel-Mihail Șandru, Principiile protecţiei datelor – de la teorie la practică, Curierul
Judiciar, nr. 6/2018, p. 364-366; Daniel-Mihail Șandru, Principiul transparenţei în protecţia datelor cu
caracter personal, Pandectele române, nr. 4/2018, p. 59-69; lista articolelor prinvind principiile este disponibilă
la adresa mihaisandru.ro
7
Adriana-Maria Șandru, Inovări şi reevaluări în privinţa drepturilor persoanei vizate în Regulamentul
2016/679, Revista română de drept al afacerilor, nr. 4/2018, p. 42-48.
8
Cu privire la sancțiuni: Irina Alexe, Regimul sancționator prevăzut de Regulamentul (UE) 2016/679 privind
protecția datelor cu caracter personal, Revista Curierul Judiciar nr.1/2018, p.36-42; Irina Alexe, Experiențe
ale aplicării amenzilor administrative din România în domeniul GDPR, Pandectele române, nr. 5/2019, p. 79-
95.
9
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului
European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecția datelor), M. Of. nr. 651/2018. Potrivit art. 14 din lege, limita maximă a
amenzilor contravenționale este200.000 lei.
10
Despre semnificația acestei distincții, a se vedea, Adriana-Maria Şandru, Privire critică asupra
jurisprudenţei Curţii de Justiţie a UE referitoare la interpretarea art. 8 privind protecţia datelor cu caracter
personal din Carta drepturilor fundamentale a Uniunii Europene (CDFUE), în Pandectele Române, nr. 1/2018,
ISSN 1582-4756, p. 26-33.
11
Principiul transparenței astfel cum este menționat în art. 2 din Legea nr. 98/2018 privind achiziţiile publice și
detaliat în art. 142 și urm. se referă mai degrabă la o transparență procedurală. De altfel, și celelate mențiuni,
inclusiv aceea de a acționa în mod transparent (art. 49) nu se referă în primul rând la publicarea unor informații
ci doar la regimul juridic specific încheierii acestui tip de contracte.

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393

În curs de publicare în Curierul judiciar, nr. 1/2020

de evaluare, nu este suficientă pentru a înfrânge caracterul public al documentelor și accesul

liber al cetățenilor la informațiile de interes public”.12 Așadar, viața privată și protecția
datelor suferă anumite limitări pentru persoanele care au funcții, ocupații sau își desfășoară
activitatea într-o profesie liberală.13
Într-o altă cauză, instanța a sugerat că toate datele cu caracter personal din contracte și
facturi pot fi anonimizate: ”Reclamanta nu era interesată de obținerea unor date personale
referitoare la societatea furnizoare sau la persoanele fizice menționate în contracte ori facturi
ori alte date din categoria celor exceptate, care puteau fi șterse din copiile înscrisurilor
comunicate solicitantului. (...) Această informație privind prețul, ca și cea privind denumirea
furnizorului, nu poate fi confidențială, atribuirea, chiar și directă, de contracte din fonduri
publice necesitând respectarea scopurilor și principiilor achizițiilor publice (...), respectiv
promovarea concurenței între operatorii economici, garantarea tratamentului egal și
nediscriminarea operatorilor economici, asigurarea transparenței și integrității procesului de
achiziție publică, asigurarea utilizării eficiente a fondurilor publice, nediscriminarea,
tratamentul egal, recunoașterea reciprocă, transparența, proporționalitatea, eficiența utilizării
fondurilor, asumarea răspunderii .”14
Din punctul de vedere al protecției datelor publicarea datelor personale ale salariaților
în orice document de achiziție publică are un temei legal, respectiv contractul de muncă cu
angajatul, sau contractul prin care a fost externalizat serviciul. Uneori interesul legitim al
angajatorului este de asemenea un temei suficient pentru publicarea datelor de contact dacă
aceasta nu se poate realiza într-un mod impersonal.
Numele membrilor comisiei de evaluare vor avea caracter public,15 din momentul
constituirii dosarului achiziției, chiar dacă decizia autorității contractante de desemnare/
numire nu este publică. Numele acestora, precum și al membrilor cooptați, nu sunt protejate

12
Curtea de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal, Decizia nr. 4538/2015
disponibilă la adresa http://rolii.ro/hotarari/58a021c7e4900948100013cf
13
Curtea de Justiție este în aceeași direcție cu jurisprudența sa, chiar dacă într-o altă materie, referitoare la
dreptul la ștergere. Într-o cauză, un administrator al unei societăți comerciale italiene a solicitat ștergerea sa din
Registrul comerțului întrucât îi afecta posibilitatea de a se angaja din nou, una dintre societățile administrate de
acesta intrând în faliment. ”În ceea ce privește în special motivul de legitimitate prevăzut la articolul 7 litera (e)
din Directiva 95/46 [art. 6 alin. 1 lit. e din GDPR], trebuie amintit că Curtea a avut deja ocazia să statueze că
activitatea unei autorități publice care constă în a stoca date pe care societățile sunt ținute să le comunice în
temeiul unor obligații legale, într-o bază de date, în a permite persoanelor interesate să consulte aceste date și în
a le furniza copii ale acestora ține de exercitarea unor prerogative de putere publică (a se vedea Hotărârea din 12
iulie 2012, Compass-Datenbank, C-138/11, EU:C:2012:449, punctele 40 și 41). Pe de altă parte, o astfel de
activitate constituie și o misiune de interes public în sensul aceleiași dispoziții.” (pct. 43) și, mai mult, „având în
vedere acest aspect, apare ca fiind justificată obligația persoanelor fizice care aleg să participe la circuitul
economic prin intermediul unei astfel de societăți de a face publice datele referitoare la identitatea lor și la
funcțiile lor în cadrul acesteia, cu atât mai mult cu cât sunt conștiente de această obligație în momentul în care
decid să se angajeze într-o astfel de activitate. (pct. 59) A se vedea, cauza Manni C-398/15, hotărârea din 9
martie 2017, ECLI:EU:C:2017:197. Acest din urmă argument este util și în ceea ce privește unele situații în care
persoane fizice încheie contracte sau sunt prepuși ai unor societăți care încheie contracte cu autoritățile
contractante.
14
Tribunalul București, Secția a II-a Contencios Administrativ și Fiscal, Sentința civilă nr. 3903/2015
disponibilă la adresa http://rolii.ro/hotarari/587d2d5ce490093c24001fee
15
Cu titlu de exemplu, a se vedea punctele 215 și 216 din cauza T-437/05, Brink's Security
Luxembourg/Comisia, hotărârea din 9.09.2009, ECR 2009 p. II-3233, ECLI:EU:T:2009:318.

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393

În curs de publicare în Curierul judiciar, nr. 1/2020

de GDPR. Potrivit art. 217 alin. 4 ”ulterior finalizării procedurii de atribuire, dosarul
achiziţiei publice are caracter de document public”.16
Prevent este un program derulat de Autoritatea Națională de Integritate17 ”operează
cu date colectate prin formularele de integritate din SEAP şi cu informaţiile necesare
gestionate, potrivit legii, de Direcţia pentru Evidenţa Persoanelor şi Administrarea Bazelor de
Date din cadrul Ministerului Afacerilor Interne şi de Oficiul Naţional al Registrului
Comerţului” (art. 14). Potrivit art. 12 al legii, activitatea ANI se desfășoară în conformitate cu
legislația aplicabilă din domeniul protecției datelor cu caracter personal, aceasta desigur, în
ceea ce privește prelucrarea datelor și limitarea scopului pentru care acestea sunt prelucrate.18
Prelucrarea datelor în sistemul PREVENT se face în temeiul legii, având în vedere art. 6 alin.
1 lit. b din GDPR. Se subliniază că temeiul prelucrării ar putea fi (într-o măsură foarte mică)
art. 6 alin. 1 lit. c) – contractul – și cel mai adesea art. 6 alin. 1 lit. f – interesul legitim. În
oricare dintre situații, prelucrarea implică riscuri ridicate cu privire la viață privată. 19
Accesul persoanelor la dosarul achiziţiei publice potrivit alin. (4) se realizează cu
respectarea termenelor şi procedurilor prevăzute de reglementările legale privind liberul acces
la informaţiile de interes public şi nu poate fi restricţionat decât în măsura în care aceste
informaţii sunt confidenţiale, clasificate sau protejate de un drept de proprietate intelectuală,
potrivit legii.
Gestionarea datelor cu caracter personal depuse de ofertanți în procedurile de achiziții
trebuie realizată de asemenea de autoritatea contractată. Aceasta trebuie să asigure accesul la
dosarul achiziției, atât la datele cu caracter personal cât și datele comerciale, care pot fi
confidențiale, secrete etc.20 Datele cu caracter personal, de ex. CV-uri sau chiar date cu
caracter sensibil, date biometrice de exemplu, trebuie prelucrate și cu consimțământul sau
informarea persoanelor vizate. Consimțământul poate fi dat doar în situațiile în care persoana
vizată și-l poate retrage oricând. În consecință autoritatea contractantă trebuie să fie pregătită
16
Instituirea unor excepții, în alin. 4 și 5, se referă mai degrabă la date de natură comercială și nu date personale.
”Accesul persoanelor la dosarul achiziţiei publice se realizează cu respectarea termenelor şi procedurilor
prevăzute de reglementările legale privind liberul acces la informaţiile de interes public şi nu poate fi
restricţionat decât în măsura în care aceste informaţii sunt confidenţiale, clasificate sau protejate de un drept de
proprietate intelectuală, potrivit legii” (alin. 4). De altfel, s-a arătat că situațiile de excepție trebuie documentate
corespunzător și nu doar clamate.
17
Legea 184/2016 privind instituirea unui mecanism de prevenire a conflictului de interese în procedura de
atribuire a contractelor de achiziţie publică, M. Of. nr. 831/2016. Sistemul PREVENT – secțiune destinată
informării persoanelor cu atribuții în implementarea prevederilor Legii nr. 184/2016, detalii la adresa
https://www.integritate.eu/PREVENT.aspx Rezultatele sistemului prevent este disponibil pe trimestre la adresa
web menționată anterior. A se vedea, de exemplu, pentru trimestrul III al anului 2019
https://www.integritate.eu/Comunicate.aspx?Action=1&NewsId=2888&M=NewsV2&PID=20
18
A se vedea și: Mircea Valentin Cârlan, Riscuri ce pot apărea pe parcursul derulării procedurii de achiziție
publice și măsuri de prevenire a acestora, în vol. Daniel-Mihail Şandru, Irina Alexe, Raul-Felix Hodoş
(coord.), Achiziţiile publice în România. Aplicarea şi interpretarea noii legislaţii europene, Editura
Universitară, 2017, p. 250 și urm; Laura Farca, Conflict of interests under Romanian public procurement rules.
Pros and Cons of the PREVENT, în Cristina M. Hințea, Bogdan A. Moldovan, Bianca V. Radu, Raluca M.
Suciu, Transylvanian International Conference in Public Administration, Cluj-Napoca 2 nd November, 2017,
Ed. Accent, 2018, p. 150 și urm.
19
Mărioara Maxim, Adrian Bălănuță, Prelucrarea datelor cu caracter personal în scopul evitării și
gestionării situațiilor de conflict de interese, Dreptul nr. 7/2019, p. 36.
20
Ana Popa, Protecția confidențialității documentelor depuse de operatorii economici în cadrul procedurilor
de atribuire a unor contracte de achiziție publică, Hotnews.ro, 02.07.2018 https://www.hotnews.ro/stiri-
specialisti_tuca_zbarcea_asociatii-22542411-protec-confiden-ialit-documentelor-depuse-operatorii-economici-
cadrul-procedurilor-atribuire-unor-contracte-achizi-public.htm

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393

În curs de publicare în Curierul judiciar, nr. 1/2020

să realizeze informarea persoanelor vizate, în conformitate cu art. 13 sau 14, după caz, din
GDPR.
În unele situații autoritatea contractantă trebuie să încheie contracte distincte care să
se încadreze în art. 27 GDPR, relația operator împuternicit.21
Regulamentul general privind protecția datelor trebuia implementat începând cu 25
mai 2018 în toate contractele, inclusiv în cele în derulare.22 De altfel, de lege ferenda, în
normele de punere în aplicare și mai ales în modelele de contracte trebuie introdusă obligația
de respectare a regimului protecției datelor cu caracter personal.23
Cu privire la prelucrarea datelor de către instituții, trebuie să precizăm una dintre
acestea – Consiliul Național pentru Soluționarea Contestațiilor (CNSC) este, din punctul de
vedere al dreptului Uniunii Europene, asimilată unei instanțe jurisdicționale24 - și, în
consecință, prelucrarea datelor personale ale părților și a altor persoane implicate în
soluționarea contestațiilor vor urma aceleași reguli ca și la instanța judecătorească, nefiind
necesar consimțământul acestora pentru prelucrarea datelor. Agenția Națională pentru
Achiziții Publice (ANAP) a publicat pe site-ul său politicile privind protecția datelor cu
caracter personal.25
3. Responsabilul cu protecția datelor (DPO) și departamentul de achiziții
Operatorul trebuie să ia toate măsurile tehnice și organizatorice pentru a aplica
Regulamentul general privind protecția datelor. În cele mai mult situații au fost desemnate
persoane cu funcția responsabil cu protecția datelor care ”trebuie implicat în mod
corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter
personal” (art. 38 alin. 1).26 În consecință departamentul de achiziții sau persoana de la
departamentul care se ocupă de achiziții, dacă acestea au fost externalizate, trebuie să discute
cu DPO pentru a institui proceduri care să conducă la respectarea GDPR. Pentru
departamentul de achiziții este important să observe Ghidul DPO27, mai ales în cazul

21
Pe larg: Irina Alexe, Relația dintre operator și persoana împuternicită, în domeniul protecției datelor
personale, Revista Pandectele Române, nr. 2/2018, p. 71-79.
22
În Marea Britanie s-a venit în ajutorul autorităților contractante cu explicații și modele de notificări pentru
punerea în practică a GDPR. A se vedea, pe larg:
23
Hotărârea Guvernului nr. 395/2016 pentru aprobarea Normelor metodologice de aplicare a prevederilor
referitoare la atribuirea contractului de achiziţie publică/acordului-cadru din Legea nr. 98/2016 privind
achiziţiile publice, M. Of. nr. 423/2016.
24
Acest lucru l-am subliniat încă din 2013. A se vedea, Mihai Şandru, Mihai Banu, Dragoş Călin, Procedura
trimiterii preliminare. Principii de drept al Uniunii Europene şi experiențe ale sistemului român de drept,
C.H.Beck, București, 2013, Între timp, CNSC a și formulat întrebări preliminare la Curtea de Justiție a Uniunii
Europene. Pe pagina web a Consiliului (http://www.cnsc.ro/) nu am identificat politica sau procedura privind
prelucrarea datelor cu caracter personal. De altfel, și pe SEAM a identificat doar termeni și condiții
(https://sicap-prod.e-licitatie.ro/pub/staticpages/TermsAndConditions).
25
http://anap.gov.ro/web/protectia-datelor-cu-caracter-personal/
26
Pe larg: Irina Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR,
Revista Pandectele Române nr.1/2018; Irina Alexe, Daniel-Mihail Șandru, Desemnarea unui responsabil cu
protecția datelor unic de către mai multe autorități sau organisme publice, Revista de drept public, nr.2/2019,
p. 47-56; Irina Alexe, Responsabilul cu protecția datelor (DPO) - funcționar public sau personal contractual?,
Revista Română de Dreptul Muncii, nr.2/2018, p. 53-65.
27
Ghid privind Responsabilul cu protecția datelor (‘DPOs’), 16/RO, WP 243 rev.01, adoptat în data de 13
decembrie 2016 revizuit și adoptat în data de 5 aprilie 2017.

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393

În curs de publicare în Curierul judiciar, nr. 1/2020

achizițiilor care conțin produse care ar putea implica viața privată a salariaților (de exemplu,
achiziționarea unui soft de monitorizare a eficienței muncii angajaților)28.
Art. 164 din Legea nr. 98/2016 este o adevărată provocare pentru responsabilul cu
protecția datelor desemnat de o autoritate contractantă întrucât poate exclude din ”procedura
de atribuire a contractului de achiziție publică/acordului-cadru orice operator economic cu
privire la care a stabilit, în urma analizei informațiilor şi documentelor prezentate de acesta,
sau a luat cunoștință în orice alt mod că a fost condamnat prin hotărâre definitivă a unei
instanțe judecătorești”, așadar inclusiv persoane fizice, și având în vedere date care se supun
regimului prevăzut de art. 10 GDPR.
4. Probleme speciale
Privacy by design - criteriu de atribuire. De data acesta dispozițiile din GDPR sunt
cele care influențează achizițiile în sensul că autoritatea contractantă poate solicita ca un
produs sau serviciu să fie realizat astfel încât să se asigure protecția datelor începând cu
momentul conceperii și în mod implicit (art. 25 GDPR).29 De altfel, proiectele europene sunt
vizate de aplicarea GDPR printr-o Instrucțiune referitoare la aspecte generale care trebuie
respectate de beneficiari și aspecte specifice care trebuie verificate.30
Influența încălcărilor de date ale ofertanților în procedurile de achiziții. Ofertanții
pot fi excluși din procedura achizițiilor pentru încălcări grave ale obligațiilor profesionale,
inclusiv pentru încălcarea regimului protecției datelor.31 Potrivit art. 164 din Legea nr.
96/2018 încălcarea regimului protecției datelor nu este cauză de excludere. 32 Cu toate acestea

28
Pe larg, Daniel-Mihail Şandru, Curtea de Justiţie a Uniunii Europene şi protecţia datelor personale ale
angajaţilor în relaţiile de muncă, Revista română de drept european, nr. 4/2017, p. 92-101
29
Raluca Nechimiş, Impactul reglementărilor privind prelucrarea datelor cu caracter personal – inclusiv al
noului Regulament nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte
prelucrarea datelor cu caracter personal (“Regulamentul”) - asupra procedurilor de achiziţii publice, în vol.
Daniel-Mihail Şandru, Irina Alexe, Raul-Felix Hodoş (coord.), Achiziţiile publice în România. Aplicarea şi
interpretarea noii legislaţii europene, Editura Universitară, 2017, p. 183-184 și urm citează cauza C-532/06,
Lianakis și alții, hotărârea din 24 ianuarie 2008, ECR 2008 p. I-251, ECLI:EU:C:2008:40 și modificarea
legislației europene potrivit căreia poate exista suprapunere între cerințele de selecție și calificare și criteriul de
atribuire.
30
Instrucțiunea nr. 28 din 27 august 2019, a șefului Autorității de management pentru Programul Operațional
Competitivitate, privind aplicarea Regulamentului pentru Protecția Datelor cu Caracter Personal,
http://mfe.gov.ro/wp-content/uploads/2019/08/b153da563961c2a18631ec663286e6c6.pdf
31
Raluca Nechimiş, Impactul reglementărilor privind prelucrarea datelor cu caracter personal – inclusiv al
noului Regulament nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte
prelucrarea datelor cu caracter personal (“Regulamentul”) - asupra procedurilor de achiziţii publice, în vol.
Daniel-Mihail Şandru, Irina Alexe, Raul-Felix Hodoş (coord.), Achiziţiile publice în România. Aplicarea şi
interpretarea noii legislaţii europene, Editura Universitară, 2017, p. 180-181 și urm. Autoarea discută cauzele
de excludere, precum și jurisprudență relevantă precum cauza C-465/11, Forposta și ABC Direct Contact,
hotărârea din 13 decembrie 2012, ECLI:EU:C:2012:801, cauza C-368/10, Comisia / Olanda, hotărârea din 10
mai 2012, ECLI:EU:C:2012:284.
32
Roger Bickerstaff, Effects of the new Data Protection Regulation on public procurement procedures.
Practical examples, aprilie 2018, EMEA Conferences. Comunicare susținută în cadrul conferinței Bid exclusion
risks in Public Procurement Procedures. With focus on Competition and new Data Protection rules related
breaches. Ppt disponibil https://emeaconferences.com/wp-content/uploads/2017/05/Roger-Bickerstaff-
presentation-EMEA-Conferences-11April2017.pptx A se vedea și Angelica Roşu, Excluderea din procedura de
atribuire a contractelor de achiziţie publică a candidatului /ofertantului condamnat / investigat pentru
săvârşirea unei infracţiuni, în vol. Daniel-Mihail Şandru, Irina Alexe, Raul-Felix Hodoş (coord.), Achiziţiile
publice în România. Aplicarea şi interpretarea noii legislaţii europene, Editura Universitară, 2017, p. 149 și
urm.

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393

În curs de publicare în Curierul judiciar, nr. 1/2020

potrivit art. 167 alin. 1 lit. c ”autoritatea contractantă exclude din procedura de atribuire a
contractului de achiziţie publică/acordului-cadru orice operator economic care se află în
oricare dintre următoarele situaţii: (...) a comis o abatere profesională gravă care îi pune în
discuţie integritatea, iar autoritatea contractantă poate demonstra acest lucru prin orice mijloc
de probă adecvat, cum ar fi o decizie a unei instanţe judecătoreşti sau a unei autorităţi
administrative.” Încălcarea regimului juridic și siguranței datelor cu caracter personal este o
situație de abatere gravă care îi pune în discuție integritatea? Legea oferă și o posibilă listă a
situațiilor sancționabile: ”prin abatere profesională gravă se înţelege orice abatere comisă de
operatorul economic care afectează reputaţia profesională a acestuia, cum ar fi încălcări ale
regulilor de concurenţă de tip cartel care vizează trucarea licitaţiilor sau încălcări ale
drepturilor de proprietate intelectuală, săvârşită cu intenţie sau din culpă gravă” (art. 167 alin.
3). Însă utilizează expresia ”cum ar fi” ceea ce denotă o oarecare libertate de apreciere a
autorității contractante în sensul interpretării ca și încălcarea securității datelor să fie
sancționabilă. În plus art. 178 prevede că ”operatorii economici dețin resursele umane şi
tehnice şi experiența necesare pentru a executa contractul de achiziție publică/acordul-cadru
la un standard de calitate corespunzător”. Așadar un motiv în plus de a fi atenți la sancțiunile
Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și la
existența unui registru oficial al măsurilor dispuse de autoritate. Totodată, decizia de
excludere a unui operator economic pe motivul mai sus evocat trebuie să întrunească, în
opinia noastră, elementele aferente categoriei răspunderii juridice în care aceasta ar putea fi
asimilată. Din perspectiva raporturilor juridice ce se nasc în speță, putem considera că acestea
se află în zona dreptului administrativ, aspect ce presupune stabilirea cu exactitate a unei
fapte ilicite (încălcarea prevederilor din materia protecției datelor), o conturare a unei intenții
vădite a celui în culpă și rezultatul socialmente periculos care poate fi regăsit la nivelul
efectelor pe care le pot produce rezultatul dezvăluirii fără drept a acestor date protejate de
lege.
Asocierile și protecția datelor. Asocierile de operatori sau asocierile de autorități
contractante trebuie să stabilească între ele, din punctul de vedere al protecției datelor,
calitatea în care acționează (operatori asociați, art. 26 GDPR; operator – împuternicit art. 28
GDPR). Este o etapă obligatorie pentru a nu fi prelucrate date în mod aleatoriu (caz, în care
oricum fiecare dintre participanți ar dobândi calitatea de operator, dar desigur sunt și alte
probleme referitoare la transferul datelor etc.).
Big data și analiza achizițiilor publice. Big data este din ce în ce mai prezent, având
în vedere volumul imens de date prelucrat de autorități publice și unele societăți (comerciale)
private. Big data este prezent în mai multe domenii ale achizițiilor, respectiv în domeniul
verificării integrității, analizat mai sus, dar și în ghidul unei autorități de control. În Ghidul
privind modul de verificare a achizițiilor publice și achizițiilor sectoriale (2016) Curtea de
Conturi face referi la utilizarea big data.33 Regulile referitoare la big data devin actuale ]n

33
Prin excepţie operatorii economici nu sunt obligaţi să prezinte documente justificative sau alte probe în
sprijinul informaţiilor declarate în DUAE în cazul şi în măsura în care autoritatea contractantă are posibilitatea
de a obţine certificatele sau informaţiile relevante în mod direct, prin accesarea unei baze de date naţionale din
orice stat membru, disponibile în mod gratuit, cum ar fi un registru naţional al achiziţiilor publice, un dosar
virtual al societăţilor, un sistem electronic de stocare a documentelor sau un sistem de preselecţie.
ANAP pune la dispoziţia Comisiei Europene şi actualizează în e-Certis, lista completă a bazelor de date care
conţin informaţii relevante privind operatorii economici stabiliţi în România, ce se aplică pe întreaga perioadă
de valabilitate a sistemului dinamic de achiziţii.

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393

În curs de publicare în Curierul judiciar, nr. 1/2020

contextul Codului administrativ34 care în art. 77, cu denumire marginală ”regulile procesului
de descentralizare” și care consacră posibilitatea transferului de competențe de la Guvern,
ministere și celelale organe de specialitate ale administrației publice centrale către
autorităţilor administraţiei publice locale de la nivelul comunelor, oraşelor, municipiilor sau
judeţelor. În privința bazelor de date, reglementarea actuală stabilește proprietatea acestor
baze la nivel central: dacă în cadrul serviciului public respectiv există baze de date la nivel
naţional, acestea rămân în proprietatea publică sau privată a statului şi în administrarea
Guvernului, ministerelor sau a celorlalte organe de specialitate ale administraţiei publice
centrale, după caz, care au transferat competenţele, pentru competenţele exercitate de
autorităţile administraţiei publice centrale (art. 77 alin. 2). Având în vedere că se dispune că
doar prin lege se va realiza transferul competenței și aceasta doar dacă este fundamentat pe
analize de impact şi ale unor sisteme de indicatori de monitorizare, vom vedea care va fi
impactul asupra autorităților contractante în materia achizițiilor publice.
Concluzii
Aplicarea Regulamentului General privind Protecția Datelor în România este la
început, însă considerăm că impactul acestuia în domeniul achiziții publice va crește și va fi
semnificativ. Atât în ceea ce privește latura directă, de protecție a datelor persoanelor fizice
implicate în proceduri, persoanele juridice nefiind subiect de drept în acest caz, cât și indirect
prin impactul asupra excluderii din procedură de exemplu. Instanțele judecătorești au un rol
important în interpretarea și aplicarea dispozițiilor, însă până la acele litigii trebuie ca
profesioniștii din domeniul achizițiilor să își stabilească propriile direcții de interpretare a
dispozițiilor GDPR care interferează cu procedura. Astfel de bune practici, coduri de conduită
sunt recomandate de Regulament pentru o aplicare unitară și pentru evitarea confuziilor și
distorsionării în aplicarea legislației achizițiilor publice.

34
Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, M. Of. 555 din data de 5 iulie
2019.

În curs de publicare în Curierul judiciar, nr. 1/2020

Electronic copy available at: https://ssrn.com/abstract=3539393