ANSPDCP.REGISTRUL GENERAL.0014378.

12-08-2021
ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

Domnului Alexandru Gheorghe

Data protection&Privacy consultant
Inperspective.ro

Stimate domn,

Vă informăm că solicitarea dvs. privind aspectele referitoare la prelucrarea datelor în

contextul vaccinării împotriva Covid-19 a fost înregistrată la Autoritatea Națională de
Supraveghere sub nr. 12693 din 13.07.2021.

Față de cele prezentate în adresa dvs., precizăm că potrivit art. 2 alin. (1) din
Regulamentul (UE) 2016/679 (RGPD) ”Prezentul regulament se aplică prelucrării datelor
cu caracter personal, efectuată total sau parţial prin mijloace automatizate, precum şi
prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac
parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-
un sistem de evidenţă a datelor.
Astfel, numai în măsura în care informațiile referitoare la vaccinarea sau
testarea pentru SARS-CoV-2 ori pentru vindecarea unei persoane fizice
identificate sau identificabile se colectează, înregistrează, stochează, etc. într-un
sistem de evidență, potrivit diferitelor mijloace de prelucrare, dispozițiile
Regulamentului (UE) 2016/679 devin aplicabile.
Cu alte cuvinte, numai în măsura în care informațiile prevăzute de HG nr. 531/2021 cu
modificările și completările ulterioare se înregistrează într-un sistem de evidență de
către solicitanții acestora, devin aplicabile dispozițiile Regulamentului (UE)
2016/679.
În caz contrar, în ceea ce privește posibilele atingeri aduse drepturilor și libertăților
fundamentale garantate de Constituție, în contextul instituirii stării de alertă declarate potrivit
legii, apreciem că acestea pot fi aduse în atenția altor autorități competente (cum ar fi, de
ex., Avocatul Poporului, Consiliul Național pentru Combaterea Discriminării, etc.).

În măsura în care Regulamentului (UE) 2016/679 este aplicabil, referitor la

legitimitatea prelucrării datelor, aceasta este prevăzută de art. 6 alin (1) din RGPD în
ceea ce privește prelucrarea datelor personale care nu au caracter special (cum sunt numele,
prenumele, adresa, nr. de telefon, etc.) și de art. 9 din regulament în ceea ce privește
categoriile speciale de date cu caracter personal.
Referitor la "datele privind sănătatea", potrivit art. 4 pct. 15 din RGPD acestea
”înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei
persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie
informaţii despre starea de sănătate a acesteia”.
Ca atare, situațiile reglementate de art. 9 alin. (2) din RGPD devin aplicabile
angajatorilor în măsura în care sunt prelucrate categorii de date speciale, respectiv privind
sănătatea, astfel cum sunt definite de art. 4 pct. 15 din RGPD.

Cu alte cuvinte, raportat la informațiile referitoare la vaccinare, testare sau vindecare,

este necesară analizarea de către angajatori a temeiului legal al colectării și înregistrării
 ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

acestora și încadrarea în una dintre ipotezele prevăzute la art. 6 alin. (1) sau art. 9 alin. (2)
din RGPD, respectiv consimțământ sau alte situații legale, în funcție de natura datelor. În
acest sens, nu pot fi invocate temeiuri prevăzute de art. 6 alin. (1) pentru
prelucrarea datelor enumerate la art. 9 alin. (1) din RGPD.

În măsura în care prelucrarea are loc pe baza consimțământului persoanei vizate,

obținerea acestuia se efectuează cu respectarea condițiilor art. 7 coroborat cu art. 4 pct.
11 și considerentul (32) din RGPD.

Totodată, în ceea ce privește informarea persoanelor vizate, aceasta trebuie realizată

indiferent de legitimitatea prelucrării datelor, respectiv la consimțământ sau în alte
situații legale în care nu este necesară obținerea acestuia, potrivit art. 13 sau 14 din
RGPD, după caz, coroborat cu art. 12 din același regulament.
Astfel, sub aspectul informării, art. 12 din RGPD prevede că operatorul ia măsuri
adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14
şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă
concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi
simplu, în special pentru orice informaţii adresate în mod specific unui copil.
Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este
oportun, în format electronic.
În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt
colectate de la aceasta (în speță, angajatul), art. 13 din RGPD prevede că operatorul (în
speță, angajatorul), în momentul obţinerii datelor cu caracter personal, furnizează
persoanei vizate o serie de informaţii inclusiv cu privire la scopul și temeiul juridic al
prelucrării, la destinatarii datelor, precum și, în cazul în care prelucrarea se face în temeiul
articolului 6 alineatul (1) litera (f) din RGPD, la interesele legitime urmărite de operator sau
de o parte terţă.
Referitor la temeiul interesului legitim, prevăzut de art. 6 alin. (1) lit. f) din
RGPD, aceste dispoziții se coroborează cu prevederile din considerentul (47) al RGPD.
În acest context precizăm faptul că, pentru a demonstra existența interesului
legitim este necesară realizarea testului comparativ, potrivit documentului emis de Grupul
de Lucru Art. 29 (în prezent Comitetul european pentru protecția datelor) intitulat ”Avizul
06/2014 privind noțiunea de interese legitime ale operatorului de date în temeiul
articolului 7 din Directiva 95/46/CE”.
Ulterior realizării testului comparativ și stabilirii cu certitudine a faptului că temeiul
legal al prelucrării datelor este interesul legitim, se poate proceda la prelucrarea acestora pe
baza art. 6 alin. (1) lit. f) din RGPD.

De asemenea, art. 5 din RGPD stabilește o serie de principii care se impun a fi

respectate în cadrul prelucrării datelor. Printre acestea, se numără cel privind prelucrarea
datelor în mod legal, echitabil și transparent față de persoana vizată, colectarea de
date în scopuri determinate, explicite și legitime și prelucrarea ulterioară în scopuri
compatibile cu scopul inițial, prelucrarea de date adecvate, relevante şi limitate la ceea
ce este necesar în raport cu scopurile în care sunt prelucrate (principiul reducerii la minimum
a datelor), păstrate într-o formă care permite identificarea persoanelor vizate pe o
perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt
prelucrate datele (principiul limitării legate de stocare) și prelucrarea datelor într-un mod
 ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia

împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a
deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
Aceleași dispoziții legale sus-menționate prevăd faptul că operatorul este
responsabil de respectarea acestor principii şi poate demonstra această
respectare (principiul responsabilității).

În ceea ce privește categoriile de date ce pot fi colectate și prelucrate de către

angajatori, este necesară respectarea principiului caracterului adecvat, relevant şi limitat
la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, statuat de art. 5 alin.
(1) lit. c) din RGPD. În acest sens, revine operatorului obligația de a analiza și
justifica, în funcție de situația concretă, necesitatea prelucrării anumitor date,
pentru a respecta principiul mai sus enunțat.
În ceea ce privește perioada de stocarea datelor, Regulamentul general privind
protecția datelor prevede, prin prisma dispozițiilor art. 5 alin. (1) lit. e), păstrarea datelor într-
o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește
perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele, precum și
faptul că datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în
care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în
scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu instituirea
unor garanții.
Astfel, operatorului i se conferă posibilitatea de a avea diferite termene de stocare a
datelor, în funcție de scopul/scopurile prelucrării și pe durata necesară realizării
scopului/scopurilor, prin stabilirea unei durate maxime de păstrare raportat la
necesitatea argumentată a stocării datelor, cu respectarea principiului
proporționalității scopului și a reducerii la minimum a datelor și cu punerea în
aplicare a măsurilor de ordin tehnic și organizatoric adecvate, astfel încât să se asigure
conformitatea cu Regulamentul general privind protecția datelor.

Sub aspectul măsurilor pe care operatorul trebuie să le ia pentru protejarea datelor

personale înregistrate în sistemele sale de evidență, Regulamentul (UE) 679/2016 - RGPD
prevede în considerentul (83) că: ”În vederea menținerii securității și a prevenirii prelucrărilor
care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar
trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru
atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un
nivel corespunzător de securitate, inclusiv confidențialitatea, luând în considerare stadiul
actual al dezvoltării și costurile implementării în raport cu riscurile și cu natura datelor cu
caracter personal a căror protecție trebuie asigurată. La evaluarea riscului pentru securitatea
datelor cu caracter personal, ar trebui să se acorde atenție riscurilor pe care le prezintă
prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea
neautorizată sau accesul neautorizat la datele cu caracter personal transmise,
stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în
special la prejudicii fizice, materiale sau morale.”
În același timp, în considerentul (84) se menționează că: ”Pentru a favoriza
respectarea dispozițiilor prezentului regulament în cazurile în care operațiunile de
prelucrare sunt susceptibile să genereze un risc ridicat pentru drepturile și
libertățile persoanelor fizice, operatorul ar trebui să fie responsabil de efectuarea unei
 ROMÂNIA
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Bld. Gen. Gheorghe Magheru Nr. 28-30, Sector 1, Cod poştal 010336, Bucureşti ; Tel: +40.31.805.9211; Fax:+40.31.805.9602 www.dataprotection.ro; e-mail:
anspdcp@dataprotection.ro

evaluări a impactului asupra protecției datelor, care să estimeze, în special, originea,

natura, specificitatea și gravitatea acestui risc. Rezultatul evaluării ar trebui luat în
considerare la stabilirea măsurilor adecvate care trebuie luate pentru a
demonstra că prelucrarea datelor cu caracter personal respectă prezentul
regulament (...).”

De asemenea, art. 32 din RGPD prevede următoarele:

”(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și
natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu
diferite grade de probabilitate și gravitate pentru drepturile și libertățile
persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri
tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător acestui risc, incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și
rezistența continue ale sistemelor și serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la
acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității
măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile
prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea,
pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter
personal transmise, stocate sau prelucrate într-un alt mod.”

Totodată, raportat la aplicarea în practică a dispozițiilor actelor normative subsecvente

Legii nr. 55/2020 privind unele măsuri pentru prevenirea şi combaterea efectelor pandemiei
de COVID-19, cu modificările şi completările ulterioare, pot fi solicitate informații și din partea
autorităților și instituțiilor abilitate cu punerea în aplicare a acestora (Ministerul Sănătății,
Ministerul Muncii și Protecției Sociale, Ministerul Afacerilor Interne, etc.).

Cu stimă,

Alina SĂVOIU,

Director, Direcția juridică şi comunicare

Digitally signed by
ANSPDCP ANSPDCP
Date: 2021.08.12 09:29:38