Limitări GDPR legate de stocarea datelor

cu caracter personal

Art. 5 alin. 1 lit. e din Regulament reglementează limitările legate de stocarea datelor cu
caracter personal astfel: datele sunt ”păstrate într-o formă care permite identificarea persoanelor
vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt
prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în
care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de
cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu art. 89 alin. 1, sub
rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în
prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate”
(Regulamentul nr. 679/2016, art. 5 alin. 1 lit. e.
Datele cu caracter personal, trebuie stocate așadar pentru o perioadă cât mai scurtă
posibil. Perioada ar trebui să țină seama de motivele pentru care – operatorul, n.n. - trebuie să
prelucreze datele, precum și de eventuale obligații juridice de a păstra datele o perioadă fixă de
timp - de exemplu, legile privind ocuparea forței de muncă, legile fiscale sau legile antifraudă
naționale care impun păstrarea datelor cu caracter personal despre angajații pentru o perioadă
determinată, durata garanției produselor etc.”
În situația în care operatorul nu are termene de stocare prevăzute într-o normă juridică,
acesta trebuie să definească termene pentru actualizarea sau chiar ștergerea datelor personale
stocate, cu precizarea clară a criteriilor pe baza cărora a stabilit aceste termene.
Cu caracter de excepție, datele personale pot fi stocate o perioadă mai lungă de timp
(exclusiv - conform definiției din Regulament) ”în scopuri de arhivare în interes public ori în
scopuri de cercetare științifică sau istorică, cu condiția să fie puse în aplicare măsuri de ordin
tehnic și organizatoric adecvate (precum anonimizare, criptare etc.)” (Regulamentul nr.
679/2016, art. 5 alin. 1 lit. e.
De asemenea, este necesar ca operatorul să se asigure că datele personale pe care le
stochează sunt corecte și actuale, deci, se face trimitere și la respectarea principiului “exactității”.

În Legea 16 / 1996 a Arhivelor Naționale, la Anexa 6 este furnizată o listă a termenelor

după care pot fi date în cercetare documentele privind interesele naționale, drepturile și libertățile
cetățenilor, care cuprinde:
 documentele medicale, după 100 de ani de la crearea lor;
 registrele de stare civilă, după 100 de ani de la crearea lor;
 dosarele personale, după 75 de ani de la crearea lor;
 documentele privind viața privată a unei persoane, după 40 de ani de la moartea acesteia;
 documentele referitoare la siguranța și integritatea națională, după 100 de ani de la crearea
lor;
 documentele privind afacerile criminale, după 90 de ani de la crearea lor;
 documentele privind politica externă, după 50 de ani de la crearea lor;
 documente ale societăților cu capital privat reglementate de Legea nr. 31/1990, republicată,
cu modificările și completările ulterioare, după 50 de ani de la crearea lor;
 documentele fiscale, după 50 de ani de la creare;
 documentele notariale și judiciare, după 90 de ani de la crearea lor.

În Ordinului Ministerului Finanțelor Publice (MFP) nr. 2.634/2015, anexa 4, este

furnizată o listă de documente contabile care se păstrează timp de 5 ani, cu începere de la data
încheierii exercițiului financiar în cursul căruia au fost întocmite, în arhiva persoanelor prevăzute
la art. 1 alin. 1 - (4) din Legea contabilității nr. 82/1991, republicată cu modificările și
completările ulterioare. Prezentăm câteva din documentele cuprinse în această listă care conțin,
în mod sigur, date cu caracter personal:
 Chitanțe;
 Chitanțe pentru operațiuni în valută;
 Dispoziții de plată/încasare către casierie;
 Borderou de achiziție (de la producători individuali);
 Ordin de deplasare (delegație);
 Ordin de deplasare (delegație) în străinătate (transporturi internaționale);
 Decont de cheltuieli (pentru deplasări externe);
 Decont de cheltuieli valutare (transporturi internaționale);
 Decizie de imputare;
 Angajament de plată.
Exemplu 1: Date păstrate prea mult timp fără actualizare
Operatorul ”administrează un birou de recrutări și, în acest scop, colectează CV-uri ale
unor persoane dornice de angajare, care, în schimbul serviciilor de intermediere plătesc o taxă.
Operatorul intenționează să păstreze datele timp de 20 de ani și nu a luat măsuri de actualizare
a CV-urilor. Perioada de stocare nu pare proporțională cu scopul de a găsi un loc de muncă
pentru o persoană pe termen scurt până la mediu. Mai mult, faptul că nu se cer actualizări ale
CV-urilor la intervale regulate face ca unele căutări să fie inutile pentru persoana care caută un
loc de muncă după o anumită perioadă de timp - de exemplu, pentru că persoana respectivă a
dobândit calificări noi” (Comisia Europeană, n.d.b).
Exemplu 2: Date păstrate în proiecte finanțate prin fonduri europene
Am obținut finanțare pentru derularea unui proiect prin POR - Program Operațional
Regional (MDRAP, 2019). Respectând cerințele Ghidului solicitantului (MDRAP, n.d.a), în
proiectul câștigător al finanțării am precizat că vom face implementarea în 5 ani, iar perioada
de sustenabilitate pe care ne-o asumăm este de 5 ani (perioadă post-implementare, în care
trebuie să demonstrăm că proiectul nostru este viabil și că produce efecte și după finalizarea
implementării, ba, mai mult, se constituie într-o bază pe care putem construi / solicita finanțare
pentru alte proiecte care să continue ce am făcut în primul proiect).
Nu putem derula un proiect fără resurse umane, deci, deschidem linie de recrutare
pentru personalul de care avem nevoie. Anunțăm public acest lucru, precum și etapele de
recrutare, condițiile de recrutare și solicităm CV-uri. În acest fel, demonstrăm transparența
procesului de recrutare și trebuie să păstrăm toate documentele produse în timpul proiectului,
pe toată durata implementării și pentru monitorizările post-implementare ale Autorității de
Management – AMPOR (MDRAP, n.d.b), deci, nu putem decide că distrugem imediat CV-ul
candidatului respins, așa cum am putea face într-un proces de recrutare obișnuit, mai ales în
sectorul privat.
În informarea pe care o facem candidaților trebuie să precizăm și termenul de stocare al
CV-ului, spre exemplu. Acest termen de stocare se poate stabili folosind următoarea formulă: TI
(termenul de implementare declarat în proiect) + TS (termenul de sustenabilitate a proiectului,
post implementare) + PP (perioada de prescripție - 3 ani) = TSDCP (termenul de stocare a
datelor cu caracter personal). În exemplul nostru, termenul de stocare a datelor cu caracter
personal ar fi de 13 ani: 5 ani (TI) + 5 ani (TS) + 3 ani (PP) = 13 ani (TSDCP).
Exemplu 3: Date păstrate cu termene stabilite de operator
Dorim să angajăm un gestionar în societate și scoatem postul la concurs, notificând acest
lucru la AJOFM (comunicăm AJOFM locurile de muncă vacante). Stabilim, ca etape ale
procesului de recrutare, analiza dosarului, în care candidatul trebuie să includă CV, certificatul
de cazier judiciar și fișa medicală de aptitudini, eliberată de un medic de medicina muncii, din
care să rezulte că este apt de muncă, iar, etapa a doua a procesului de recrutare stabilim că va fi
un interviu pe care îl vor susține cei care au fost declarați admiși în prima etapă.
Dacă avem un candidat declarat admis la proba interviului, acesta urmează să fie angajat
în condițiile legii.
Valabilitatea unei fișe de aptitudine este de un an de zile, însă, în situația în care angajatul
își schimbă locul de muncă în aceasta perioadă, documentul își pierde valabilitatea, ea neputând
fi folosită la noul loc de muncă pentru care candidează.
Certificatul de cazier judiciar este valabil o perioadă de 6 luni de la data emiterii și,
pentru exemplul nostru, vom considera că data eliberării acestuia coincide cu data depunerii
documentelor pentru concurs și cu prima etapă a procesului de recrutare.
În informarea persoanei vizate trebuie să stabilim un termen de stocare care trebuie
corelat cu scopurile prelucrării și cu datele personale prelucrate pentru fiecare scop în parte.
Scopurile prelucrării ar putea fi definite astfel:
“Datele dvs. personale vor fi prelucrate legal, în scop de Management al resurselor
umane, pentru:
 analiza documentelor depuse la dosarul de candidat: CV, certificat de cazier judiciar și
fișa de aptitudine eliberată de medicul de medicina muncii;
 contactarea dvs. pentru a fi informat despre rezultatul primei etape de recrutare și, după
caz, programarea dvs. la proba interviului;
 participarea la proba interviului, pe baza programării;
 contactarea dvs. pentru a fi informat despre rezultatul probei interviului și, după caz,
programarea dvs. pentru îndeplinirea formalităților legale privind întocmirea / semnarea
Contractului individual de muncă;
 întocmirea dosarului de angajare conform Codului Muncii în vederea semnării
Contractului individual de muncă și a tuturor anexelor acestuia, precum și pentru întocmirea
documentației Financiar – Contabile / salarizare, în condițiile legii.”
Din scopurile prelucrării putem stabili perioada de stocare a datelor cu caracter
personal, fie indicând un articol de lege, fie, ne putem folosi de termenul de valabilitate al unor
documente depuse de candidat:
“Stocăm și distrugem datele dvs. astfel:
 În cazul în care, după analiza documentelor, nu ați fost selectat pentru a participa la
proba interviului, puteți să ridicați documentele depuse imediat ce v-a fost comunicat rezultatul
primei probe de recrutate. Dacă nu vă prezentați pentru ridicarea dosarului de candidat, datele
dvs. vor fi distruse fizic / șterse din orice documente / evidențe în format electronic întocmite
pentru procesul de recrutare, cel mai târziu la data expirării valabilității certificatului de cazier
judiciar;
 În cazul în care nu ați fost selectat pentru angajare în urma interviului, puteți să ridicați
documentele depuse imediat ce v-a fost comunicat rezultatul probei de recrutate. Dacă nu vă
prezentați pentru ridicarea dosarului de candidat, datele dvs. vor fi distruse fizic / șterse din
orice documente / evidențe în format electronic întocmite pentru procesul de recrutare, cel mai
târziu la data expirării valabilității certificatului de cazier judiciar, cu excepția cazului în care
vă exprimați consimțământul să vă stocăm datele pentru a vă putea informa despre oportunități
de angajare viitoare. În acest caz, stocăm CV-ul dvs. o perioadă suplimentară de 2 ani, sau până
la retragerea consimțământului dvs., dacă solicitați acest lucru înainte de expirarea termenului
de 2 ani, după care distrugem fizic datele dvs. personale. Vă puteți retrage consimțământul la
fel de ușor cum l-ați acordat, printr-o cerere depusă la sediul nostru, sau prin e-mail.
Retragerea consimțământului nu afectează legalitatea prelucrării efectuate înainte de
retragerea acordului. Celelalte documente le puteți ridica imediat, sau vor fi distruse cel mai
târziu la data expirării valabilității certificatului de cazier judiciar;
 În cazul în care procesul de recrutare se finalizează cu semnarea de către dvs. a
Contractului individual de muncă, a anexelor acestuia și a evidențelor financiar-contabile /
salarizare, în temeiul legii, datele dvs. personale vor fi prelucrate și stocate conform legislației
în vigoare.“
După cum se poate observa, corelând scopurile prelucrării, care au fost granulate
suficient de mult, cu anumite informații extrase din documentele depuse la dosar de candidat, s-
au putut formula și termene de stocare.
În exemplul nostru nu ne-am putut folosi de termenul de valabilitate al fișei de aptitudini
medicale, chiar dacă era mai mare, pentru că, dacă respingem candidatul, acesta, chiar dacă
ridică imediat documentele de la noi, nu poate folosi acea fișă pentru un nou concurs de
recrutare, trebuie să obțină alta, pentru că nu se mai îndeplinesc condițiile de evaluare inițiale.
Un nou loc de muncă înseamnă condiții diferite de muncă, deci, alte riscuri, alte variabile pe care
trebuie să le ia în considerare medicul de medicina muncii când face evaluarea și stabilește
capacitatea de muncă a persoanei.
Certificatul de cazier judiciar, însă, poate fi refolosit pentru participarea la alt concurs
pentru ocuparea unui loc de muncă, în interiorul perioadei sale de valabilitate, deci, a putut fi
folosit ca reper în stabilirea criteriilor pe baza cărora s-a decis termenul de stocare.
Mai mult, s-a avut în vedere și o prelucrare ulterioară a datelor personale, într-un scop
care a fost definit clar și s-a stabilit și un termen de stocare și de distrugere a datelor personale
bine delimitat în timp.
Termenul stabilit poate fi comparat cu cel din primul exemplu oferit de noi, cel privind
termenul de stocare prea mare, fără actualizarea corespunzătoare a datelor, deoarece stocarea pe
termen de 2 ani a unui CV, în scop de informare despre oportunități de angajare viitoare este un
termen rezonabil și în ce privește eventuale competențe profesionale suplimentare dobândite de
persoană în acest interval.
Recomandări de bune practici și contraexemple
Așa cum credem că s-a observat, deja, fiecare nou principiu al prelucrării datelor pe care
îl tratăm are legătură cu cele analizate anterior.
Trebuie subliniată nu doar importanța acestora, ci și faptul că nu pot fi aplicate
individual, între limite rigide, ci trebuie corelate între ele. Astfel că pentru conformare la
prevederile Regulamentului privind respectarea principiul limitărilor legate de stocare, trebuie să
se aibă în vedere următoarele aspecte:
● Identificarea clară a cadrului legislativ care urmează să stea la baza prelucrării datelor cu
caracter personal;
● Stabilirea, cu un grad de specificitate cât mai mare, a scopurilor prelucrării, de la început;
● Aplicarea filtrului “Oare chiar îmi trebuie toate aceste date pentru atingerea scopurilor
prelucrării?”;
● Identificarea sau stabilirea duratei de stocare a datelor personale pentru perioade bine
delimitate în timp, “cu calendarul în mână”, dacă este cazul;
● Citirea și analizarea documentelor din perspectiva GDPR. Ceea ce, pentru unele
persoane, poate fi un simplu termen de valabilitate a unui document, pentru un avizat GDPR
poate deveni un termen de stocare bine definit în timp, de care se poate folosi, mai ales în
situațiile în care legea nu ajută. Schimbarea perspectivei, a unghiului din care privim lucrurile ne
poate oferi soluția unei probleme pe care o considerăm greu de depășit;
● Stabilirea clară a termenelor de stocare poate rezolva problema birourilor pline de
documente, unele de zeci de ani, cu care operatorii nu știu ce să facă, iar, din 25 mai 2018
(intrarea în vigoare a GDPR) sunt și mai temători, pentru că nu știu clar dacă și în ce condiții pot
distruge anumite date personale. Teama că ar putea avea nevoie de niște documente peste mulți
ani, deși au depășit termenul de stocare, îi face pe mulți operatori să se comporte aproape
compulsiv (Jefferys & Moore, 2008)1, adună tot și nu renunță la nimic.
● Nu trebuie să se manifeste teamă pentru a distruge date personale ajunse la scadență sau
devenite nefolositoare. Dacă documentați și justificați corespunzător distrugerea datelor
personale, nu încălcați prevederile GDPR privind disponibilitatea datelor, intrând în “conflict” cu
principiul următor pe care îl vom explica (“Integritate și confidențialitate”), pentru că, nici măcar
respectarea acelui principiu nu vă poate obliga să stocați datele personale mai mult decât este
cazul.
● Fiți atenți la modalitatea de distrugere a datelor pe care o folosiți, mai ales în ce privește
documentele pe suport de hârtie. Nu aruncați, neglijent, la gunoi, metri cubi de documente, pe
motiv că sunt vechi. Inclusiv distrugerea documentelor trebuie să respecte criteriul conform
căruia persoana nu trebuie să devină identificabilă sau să poată fi identificată. Un distrugător de
documente care le transformă în confeti sau în așchii (distrugătoarele bune distrug și CD-uri,
carduri, agrafe de birou sau capse), folosit în sediul operatorului, este mult mai ieftin decât o
amendă GDPR și mult mai sigur decât un contract cu o firmă care se ocupă de distrugerea
documentelor, dacă aceasta nu prezintă suficiente garanții și încredere.
● Discutați cu IT-istul și solicitați să vă explice clar ce se întâmplă cu datele personale în
momentul în care creați copiile de siguranță. Creați copiile de siguranță prin suprascriere sau în
foldere separate? Dacă folosiți metoda suprascrierii, adică să copiați datele “noi”, peste cele de la
crearea back-up-ului precedent, nu există riscul să ștergeți niște date personale care încă s-ar
încadra la respectarea principiului integrității și ar trebui să fie disponibile pentru recuperare, în
caz de distrugere accidentală a datelor personale din calculatoare sau din arhivă, spre exemplu?
Dar, dacă alegeți să faceți copii de siguranță în foldere separate, încercând să respectați
integritatea datelor, nu riscați să prelucrați excesiv date personale?
● Limitarea duratei de păstrare a datelor personale se aplică numai datelor personale stocate
într-un format care să permită identificarea fără dubii a persoanelor vizate. Prin urmare, păstrarea
în condiții de legalitate a datelor care nu mai sunt necesare se poate realiza prin anonimizare sau
pseudonimizare (FRA, 2014:75).

Integritate și confidențialitate
Principiul integrității și confidențialității, art. 5 alin. 1 lit. f precizează că [Datele cu
caracter personal sunt] ”prelucrate într-un mod care asigură securitatea adecvată a datelor cu
caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva
pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau
organizatorice corespunzătoare - integritate și confidențialitate” (Regulamentul nr. 679/2016,
art. 5 alin. 1 lit. f).

1În engleză ”compulsive hoarding”, definit, în majoritatea cazurilor, ca fiind „incapacitatea de a rezista dorinței de a dobândi bunuri și de a renunța la
bunuri” (Jefferys & Moore, 2008).
 Înțelegem din definiție că acest principiu este focalizat pe asigurarea securității adecvate
a datelor cu caracter personal, în așa fel încât acestea să nu poată fi prelucrate neautorizat sau
ilegal și să fie protejate împotriva pierderii, distrugerii sau deteriorării accidentale.
Operatorul respectă acest principiu prin implementarea tuturor măsurilor tehnice și
organizatorice care se impun pentru a asigura integritatea și confidențialitatea datelor prelucrate,
pe toată perioada cât sunt prelucrate, dar, se poate extinde și după, așa cum am precizat anterior,
când atrăgeam atenția asupra distrugerii datelor personale ajunse la scadență sau devenite
nefolositoare.
Normele privind securitatea prelucrării obligă operatorul și persoana împuternicită de
către operator să implementeze măsuri tehnice și organizatorice adecvate pentru prevenirea unei
intervenții neautorizate asupra operațiunilor de prelucrare a datelor.
Nivelul necesar de securitate a datelor este stabilit de:
 elementele de securitate disponibile pe piață pentru orice tip specific de prelucrare;
 costuri;
 sensibilitatea datelor prelucrate.
Prelucrarea securizată a datelor este garantată în plus prin obligația generală a tuturor
operatorilor de date personale sau a persoanelor împuternicite de către aceștia pentru a asigura
confidențialitatea datelor (FRA, 2014: 93).
Securitatea datelor nu se realizează numai prin implementarea echipamentelor
corespunzătoare hardware și software, ci necesită și norme organizatorice interne adecvate, care
ar trebui să trateze următoarele aspecte:
 punerea la dispoziția tuturor angajaților, periodic, a informațiilor despre normele
privind securitatea datelor și obligațiile acestora în baza legislației privind protecția datelor, în
special obligațiile lor de confidențialitate (FRA, 2014: 94) - operatorul organizează sesiuni de
instruire a personalului, după un calendar precis, recomandarea noastră fiind ca aceste sesiuni să
se desfășoare cât mai des posibil, dar nu la intervale mai mari de 3 luni între sesiuni;
 distribuirea clară a responsabilităților și sublinierea clară a competențelor în materie de
prelucrare a datelor, în special cu privire la deciziile de procesare a datelor personale și, foarte
important, în ce privește transferul datelor către terți (FRA, 2014: 94) - operatorul pune la
dispoziție instrucțiuni clare de lucru, pentru fiecare persoană care prelucrează date personale în
numele său, sau sub autoritatea sa, iar, în cazul angajaților, actualizează fișele de post în așa fel
încât salariații să fie responsabilizați și să respecte prevederile GDPR;
 utilizarea datelor cu caracter personal numai în conformitate cu instrucțiunile persoanei
competente sau în conformitate cu normele generale puse în aplicare (FRA, 2014: 95) -
operatorul verifică în mod constant dacă aceste instrucțiuni sunt cunoscute, înțelese și respectate,
inclusiv prin sesiuni de testare a salariaților sau de monitorizare a persoanelor împuternicite de
operator;
 protejarea accesului în spațiile și la echipamentele hardware și software ale operatorului
de date personale sau ale persoanei împuternicite de acesta, inclusiv verificări ale autorizației
de acces (FRA, 2014: 95) - operatorul asigură securitatea datelor personale și a mediilor de
stocare a acestora prin reglementarea accesului fizic în spațiile în care sunt stocate acestea
(proceduri de acces în sediu, birouri etc.), dar și prin investiții financiare directe în achiziția de
echipamente sau servicii de securitate și pază a sediilor (sisteme electronice de control și acces,
personal de pază calificat etc.);
 asigurarea faptului că autorizațiile de acces la date cu caracter personal au fost
acordate de către persoana competentă și necesită documentație adecvată (FRA, 2014: 95) -
operatorul stabilește clar nivelurile de acces la datele cu caracter personal ale tuturor persoanelor
care prelucrează date în numele său sau sub autoritatea sa și documentează acest lucru
(instrucțiunile de lucru pot fi însoțite și de definirea nivelului de acces la datele personale pentru
fiecare salariat, spre exemplu, funcție de activitatea curentă, de poziția funcției în organigramă,
de definirea nivelului postului - execuție sau control etc.);
 protocoale automatizate privind accesul la date cu caracter personal prin mijloace
electronice și verificări periodice ale acestor protocoale prin intermediul departamentului intern
de supraveghere (FRA, 2014: 95) - operatorul implementează un sistem automat de
restricționare a accesului la datele personale prin mijloace electronice, cum ar fi, dar fără a se
limita la acestea: blocarea accesului la sistemul informatic după introducerea greșită, de 3 ori
consecutiv, a codului de acces sau a parolei individuale a utilizatorului, restricționează accesul la
datele personale atât cantitativ (la interogarea bazei de date să se afișeze un număr cât mai limitat
de răspunsuri - să nu se permită afișarea tuturor clienților dacă introducem în caseta de căutare
doar 3 litere din nume sau, mai rău, când se introduce doar prima literă a numelui), cât și calitativ
(casierul are acces la datele clientului pentru facturare / plata serviciilor, care clarifică cazurile de
omonimie - răspunsurile afișate casierului să nu includă alte date care nu-i folosesc casierului
pentru efectuarea plății serviciilor în contul clientului corect);
 documentarea atentă pentru forme de dezvăluire, altele decât accesul automatizat la date
pentru a putea demonstra că nu a fost efectuat niciun transfer ilegal (FRA, 2014: 95) -
operatorul elaborează și implementează proceduri specifice pentru identificarea cazurilor de
transfer ilegal.
Procedurile de verificare trebuie, de asemenea, implementate pentru a garanta că măsurile
adecvate nu există numai pe hârtie, ci și în practică (cum ar fi audituri interne sau externe).
Măsurile de îmbunătățire a nivelului de securitate al unui operator sau persoane împuternicite de
către operator includ instrumente și măsuri organizatorice, cum ar fi numirea unui DPO,
formarea angajaților în domeniul securității, audituri periodice, teste de penetrate și mărci de
calitate.

Integritate
Integritatea datelor se referă la faptul că datele personale trebuie prelucrate în totalitatea
lor, să nu fie corupte, trunchiate, descompletate de diverse accidente.
Mai mult, operatorul trebuie să implementeze măsuri tehnice și organizatorice prin care
să refacă integritatea datelor, dacă acestea au fost prelucrate neautorizat sau ilegal și s-au pierdut,
au fost distruse sau deteriorate accidental.
 În stabilirea amenzii de către Autoritatea de supraveghere, în caz de încălcare a securității
datelor, se ține cont, printre altele și de capacitatea și de viteza cu care operatorul reface
integritatea datelor.
Spre exemplu, Autoritatea de supravegherea, când trebuie să analizeze încălcarea
securității datelor personale și să stabilească măsurile pe care trebuie să le ia, chiar dacă înțelege
că încălcarea securității datelor personale s-a produs din cauze de forță majoră, de calamități
naturale, împotriva cărora operatorul a luat măsuri de protecție atât cât a putut prevedea că ar fi
necesare într-o asemenea situație, va lua în calcul și capacitatea operatorului de a restabili
integritatea datelor personale, de a le recupera și reconstitui.
Operatorul s-a pregătit pentru eventuale distrugeri fizice ale datelor personale și, spre
exemplu, a securizat, fizic, sediul unde acestea sunt stocate, a instalat detectoare de fum, sistem
automat de stingere a incendiilor, a organizat arhiva într-o încăpere protejată împotriva
inundațiilor provocate de spargerea unei țevi de alimentare cu apă, sediul în care funcționează nu
este unul cu bulină roșie (expus la riscuri seismice) etc., dar, chiar dacă este adevărat că nici
măcar Autoritatea de supraveghere nu poate pretinde operatorilor să își protejeze datele
personale într-un Data Center construit și amenajat respectând Standardul TIA-942-A (TIA,
2012), operatorii, însă, trebuie să fie capabili să reconstituie datele pierdute, fie și din cauze
dincolo de posibilitatea omenească de prevedere.
Atragem atenția operatorilor ca respectarea acestui principiu să nu se facă încălcând
prevederile celorlalte principii analizate anterior. Încercând să asigure recuperarea datelor în caz
de distrugere accidentală, spre exemplu, pot, extrem de ușor să încalce principiul reducerii la
minimum a datelor.

Confidențialitate
În temeiul dreptului european, prelucrarea securizată a datelor este garantată în plus prin
obligația generală a tuturor persoanelor, operatorilor sau persoanelor împuternicite de către
operatori, de a garanta confidențialitatea datelor.
Obligația de confidențialitate nu se extinde asupra situațiilor în care datele sunt aduse la
cunoștința unei persoane în calitatea acesteia de persoană fizică și nu de angajat al unui operator
sau al persoanei împuternicite de către operator. Utilizarea datelor cu caracter personal de către
persoane fizice este, de fapt, o utilizare care se încadrează în limitele așa-numitei derogări
privind activitățile domestice. Utilizarea datelor cu caracter personal în activitățile domestice
reprezintă prelucrarea datelor personale „de către o persoană fizică în cursul unei activități
exclusiv personale sau domestice” (Regulamentul 679/2016, art. 2 alin. 1 lit. c. Având în vedere
hotărârea Curții Europene de Justiție în cauza Bodil Lindqvist (CEJ, 2003), această derogare
trebuie interpretată, totuși, în sens restrâns, în special în ceea ce privește dezvăluirea datelor. Mai
precis, derogarea privind activitățile domestice nu se va extinde la dezvăluirea datelor cu caracter
personal către un număr nelimitat de destinatari prin internet.
 Pentru persoanele împuternicite de către operator, confidențialitate înseamnă că pot
utiliza datele cu caracter personal încredințate de către operator exclusiv în conformitate cu
instrucțiunile acestuia din urmă. Pentru angajații unui operator de date personale sau ai unui
împuternicit al operatorului, confidențialitatea impune utilizarea datelor cu caracter personal
exclusiv în conformitate cu instrucțiunile superiorilor competenți.
Obligația de confidențialitate trebuie inclusă în orice contract încheiat între operatori și
persoanele împuternicite de către aceștia. În plus, operatorii și persoanele împuternicite de către
operatori vor trebui să adopte măsuri specifice pentru a stabili o obligație juridică de
confidențialitate pentru angajații lor, care se obține în mod normal prin includerea unei clauze de
confidențialitate în contractul de muncă al angajatului. Încălcarea atribuțiilor profesionale de
confidențialitate se pedepsește conform dispozițiilor dreptului penal în multe state membre ale
UE și părți la Convenția 108.
Articolul 26 din Codul Muncii prevede:
“(1) Prin clauza de confidențialitate părțile convin ca, pe toată durata contractului
individual de muncă și după încetarea acestuia, să nu transmită date sau informații de care au
luat cunoștință în timpul executării contractului, în condițiile stabilite în regulamentele interne,
în contractele colective de muncă sau în contractele individuale de muncă.
(2) Nerespectarea acestei clauze de către oricare dintre părți atrage obligarea celui în
culpă la plata de daune-interese” (Codul muncii, art. 26).
Atragem atenția operatorilor să nu confunde clauza de confidențialitate cu obligația
privind respectarea secretului de serviciu, prevăzută de art. 39 alin. 2 lit. f din Codul Muncii și
cum este reglementat secretul de serviciu în Hotărârea de Guvern nr. 781 din 2002 privind
protecția informațiilor secrete de serviciu.
După cum se observă, nerespectarea clauzei de confidențialitate are impact asupra
ambelor părți, fiecare dintre ele fiind obligată să o respecte.
Secretul de serviciu, însă, are repercusiuni numai asupra angajatului care îl încalcă:
“Nerespectarea prevederilor prezentei hotărâri atrage răspunderea penală, civilă,
contravențională sau disciplinară, după caz, în condițiile legii” (HG nr. 781/2002, art. 12).

Responsabilitate
Acest principiu este prevăzut de art. 5 alin. 2, din Regulament și precizează că “(2)
Operatorul este responsabil de respectarea alin. 1 și poate demonstra această respectare
(“responsabilitate”)” (Regulamentul nr. 679/2016, art. 5 alin. 2).
În anul 2010, Grupul de lucru pentru protecția datelor instituit în temeiul art. 29 adopta
documentul Avizul 3/2010 privind principiul responsabilității, WP 173 (Grupul de Lucru
„Articolul 29” pentru Protecția Datelor, 2010a), care avea ca obiectiv consilierea Comisiei
asupra modului de modificare a Directivei [95/46/CE a Parlamentului European și a Consiliului
din 24 octombrie 1995] privind protecția datelor în acest sens.
În special, avizul înainta o propunere concretă în vederea instituirii unui principiu al
responsabilității, care să impună operatorilor de date obligația de a adopta măsuri adecvate și
eficace pentru a garanta că principiile și obligațiile prevăzute de directivă sunt respectate și
pentru a demonstra acest lucru, la cerere, autorităților de supraveghere (Grupul de Lucru
„Articolul 29” pentru Protecția Datelor, 2010a).
Acest lucru ar fi contribuit la trecerea protecției datelor „din teorie în practică”, precum și
la sprijinirea autorităților de protecție a datelor în îndeplinirea atribuțiilor lor de supraveghere și
de punere în aplicare.
Avizul conține sugestii pentru a garanta faptul că principiul responsabilității oferă
securitate juridică, permițând, în același timp, stabilirea măsurilor concrete care să fie aplicate în
funcție de riscul prelucrării și de tipurile de date prelucrate.
Avizul analizează apoi impactul pe care acest principiu l-ar putea avea asupra altor
domenii, inclusiv asupra transferurilor internaționale de date, asupra cerințelor de notificare, a
sancțiunilor și eventual, și asupra elaborării programelor sau sigiliilor de certificare.
Principiul responsabilității la care se face referire în document ar fi obligat operatorii de
date să dispună de mecanismele interne necesare pentru a-și demonstra (părților externe
interesate, inclusiv autorităților naționale însărcinate cu protecția datelor) conformitatea.
Necesitatea de a furniza dovezi privind măsurile adecvate luate în vederea asigurării
conformității ar fi facilitat în mare măsură punerea în practică a normelor aplicabile.
Motivele pentru care Grupul de lucru pe art. 29 consideră că există o necesitate și un
interes crescând al operatorilor de date de a garanta adoptarea unor măsuri eficace care să asigure
o protecție reală a datelor, au fost explicate astfel (Grupul de Lucru „Articolul 29” pentru
Protecția Datelor, 2010a: 4-5):
1. “În primul rând, asistăm la un așa-numit efect de „afluență a datelor”, caracterizat de o
creștere continuă a numărului de date cu caracter personal care există, sunt generate, prelucrate și
transferate mai departe. Acest fenomen este favorizat atât de progresele tehnologice și anume, de
dezvoltarea sistemelor de informații și de comunicații, cât și de creșterea capacității persoanelor
de a utiliza și de a interacționa cu tehnologia. Cu cât crește volumul de date disponibile care
circulă în lume, cu atât cresc și riscurile de încălcări ale securității datelor. Acest lucru subliniază
încă o dată necesitatea ca operatorii de date să pună în aplicare, atât în sectorul privat, cât și în
cel public, mecanisme interne reale și eficace pentru a garanta protecția datelor cu caracter
personal (Grupul de Lucru „Articolul 29” pentru Protecția Datelor, 2010a: 4).
2. În al doilea rând, volumul în continuă creștere de date cu caracter personal este însoțit de
o creștere a valorii acestora, pe plan social, politic și economic. În anumite sectoare, în special în
mediul online, datele cu caracter personal au devenit de facto moneda de schimb pentru
conținutul online. În același timp, din punctul de vedere al societății, există o recunoaștere din ce
în ce mai mare a valorii sociale a protecției datelor. În concluzie, cu cât datele cu caracter
personal devin mai valoroase pentru operatorii de date din diverse sectoare, cu atât cetățenii,
consumatorii și societatea în ansamblul său devin din ce în ce mai conștienți de valoarea
acestora, ceea ce la rândul său, susține necesitatea de a aplica măsuri stricte pentru protecția
acestora (Grupul de Lucru „Articolul 29” pentru Protecția Datelor, 2010a: 5).
3. În fine, din cele de mai sus rezultă că situațiile de încălcare, din orice cauză, a securității
datelor personale pot avea efecte negative semnificative pentru operatorii de date din sectorul
public și din sectorul privat. Potențiale probleme în funcționarea aplicațiilor eGuvernare, e-
Sănătate ar avea consecințe dezastruoase în plan economic și, mai ales, ar genera prejudicii de
imagine. Astfel, minimizarea riscurilor, construirea și menținerea unei bune reputații și atragerea
încrederii cetățenilor și consumatorilor devin esențiale pentru operatorii de date din toate
sectoarele.
Încercând să facă o clarificare a termenilor, Grupul de lucru pe art. 29, pe care îl vom
denumi, în continuare WP 29, precizează că “Prin urmare, în prezentul document, ne concentrăm
asupra măsurilor care ar trebui luate sau care ar trebui preconizate pentru a garanta conformitatea
în materia protecției datelor. În acest sens trebuie înțeles termenul de „responsabilitate”, utilizat
în prezentul aviz pentru a face trimitere la „accountability”, fără a aduce atingere oricărei alte
formule care ar reflecta cu mai multă precizie conceptul vizat aici. Iată de ce prezentul document
nu se concentrează asupra termenilor ci, în mod pragmatic, asupra măsurilor care trebuie luate,
mai degrabă decât asupra conceptului în sine” (Grupul de Lucru „Articolul 29” pentru Protecția
Datelor, 2010a: 8).
Din cele prezentate anterior se desprinde concluzia că operatorul este responsabil pentru
încălcarea tuturor și a oricăruia dintre principiile prevăzute de art. 5 alin. 1 din Regulament și că
singurul mod în care poate dovedi conformitatea cu prevederile GDPR este să facă dovada că a
respectat cerințele Regulamentului.
De aici derivă, de fapt, transpunerea în practică a Regulamentului, pentru că operatorul
trebuie să poată justifica, în orice moment, prin orice mijloace, că respectă prevederile
Regulamentului.
Dovezile pe care operatorul trebuie să le prezinte constau în formularistică, proceduri de
lucru, contracte cu clauze clare, în sensul GDPR, achiziții de servicii și obiecte pentru
prelucrarea datelor în condiții de siguranță, audituri, monitorizări (finalizate cu întocmirea
documentelor doveditoare - procese verbale, rapoarte etc.), atribuire de responsabilități (numirea
unui DPO) etc.
Ce ar trebui să înțeleagă operatorii, însă, este faptul că ei sunt singurii care dețin un
instrument care, în orice situație sancționabilă conform Regulamentului, se va considera că nu l-
au aplicat corespunzător: controlul.
Vor fi, întotdeauna, situații în care operatorul, oricâte măsuri ar lua, nu va fi omenește
posibil să aplice, permanent și complet, instrumentul controlului, dar, dovezile prezentate de
acesta prin care justifică faptul că a “încercat”, că a făcut tot ce este legal și omenește posibil să
protejeze datele personale prelucrate în entitatea sa, vor fi, în cel mai bun caz, circumstanțe
atenuante, dar nu-l vor absolvi, niciodată, complet, de responsabilitate.
Acest lucru face ca domeniul prestărilor de servicii GDPR să fie diferit de altele și
considerăm că se impun câteva clarificări:
 Consultantul GDPR, chiar dacă include în pachetul de servicii și asumarea rolului de
DPO, nu devine un alt angajat al operatorului, deci, nu i se pot trasa sarcini dincolo de cele
specificate de Regulament;
 Un DPO, fie intern, fie extern, ajută operatorul să întocmească documente specifice, îl
consiliază în multe aspecte privind protecția datelor personale, poate aloca responsabilități și
poate lua inițiativa pentru organizarea de sesiuni de instruire și de formare a salariaților implicați
în activitățile de prelucrare, poate efectua monitorizările și auditurile necesare, conform
prevederilor art. 39 alin. 1 lit. b, dar nu poate decide în locul operatorului. Decizia este
purtătoare de responsabilitate, iar asta cade în sarcina operatorului;
 Operatorul este cel care stabilește scopurile și mijloacele prelucrării și este
responsabilitatea și răspunderea lui să își asume consecințele, dacă decide să ignore un aviz
nefavorabil din partea DPO pentru prelucrările de date pe care preconizează să le facă;
 Este responsabilitatea și răspunderea operatorului să își asume consecințele pentru decizia
privind un anume prestator de servicii GDPR cu care decide să încheie un contract și nu verifică,
în mod corespunzător, sistemul de reputație și de competențe al acestuia;
 Operatorul este cel care ”pune în aplicare măsuri tehnice și organizatorice adecvate
pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu
Regulamentul” (Regulamentul nr. 679/2016, art. 24 alin. 1) și să revizuiască / actualizeze
aceste măsuri, dacă este necesar. Nu înseamnă ca operatorul trebuie să se declare mulțumit că
cineva, oricine, i-a creat un set de documente, operatorul trebuie să știe ce conțin, de ce sunt
făcute, să se asigure că sunt implementate / aplicate corect și, mai ales, să le revizuiască
permanent, ori de câte ori este cazul (art. 24 alin 1). Asta presupune că operatorul trebuie să fie
permanent la curent cu modificările legislative în domeniu;
 Dacă în alte domenii operatorul nu este obligat să știe “tot”, această justificare nu este
valabilă în GDPR, deci, operatorul chiar trebuie să știe cât mai multe despre protecția datelor cu
caracter personal. Un operator nu trebuie să “știe” contabilitate, resurse umane, medicina muncii
sau IT, dacă nu e specialitatea lui, dar, despre protecția datelor trebuie să ia măsuri să știe cât mai
multe, măcar pentru faptul că legea nu acceptă inocenții. Poate fi mai blândă cu ei, dar nu-i
absolvă complet de responsabilitate;
 Art. 83 alin. 2 lit. d vorbește despre “gradul de responsabilitate al operatorului sau al
persoanei împuternicite de operator ținându-se seama de măsurile tehnice și organizatorice
implementate de aceștia în temeiul art. 25 și 32”, ceea ce înseamnă că operatorul este,
permanent, responsabil, într-un anumit grad, de nerespectarea obligațiilor care îi revin în temeiul
Regulamentului;
 Atragem atenția operatorilor asupra unui lucru: nu pot concedia un angajat căruia i s-au
trasat atribuții de DPO pentru îndeplinirea obligațiilor specifice GDPR;
 În acest sens, art. 38 alin. 3 precizează: “(3)Operatorul și persoana împuternicită de
operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în
ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către
operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale.
Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii
operatorului sau persoanei împuternicite de operator” (Regulamentul nr. 679/2016, art. 38 alin
3);
 WP 29, în Ghidul privind Responsabilul cu protecția datelor (‘DPOs’), revizuit și
adoptat în data de 5 aprilie 2017 precizează că “Sancțiunile sunt interzise potrivit GDPR numai
în cazul în care acestea sunt impuse ca urmare a îndeplinirii sarcinilor DPO în calitate de DPO”
(Grupul de Lucru „Articolul 29” pentru Protecția Datelor, 2016: 15). De exemplu, un DPO poate
considera că o anumită prelucrare este de natură să conducă la un risc ridicat și se impune să
consilieze operatorul de date personale sau persoana împuternicită de acesta să efectueze o
evaluare a impactului asupra protecției datelor personale, dar operatorul sau persoana
împuternicită de operator nu este de acord cu evaluarea DPO. Într-o astfel de situație, DPO nu
poate fi demis pentru oferirea acestui sfat;
 Aceeași protecție trebuie garantată și prestatorului extern de servicii GDPR, adică să nu
existe o reziliere abuzivă a contractului de prestări servicii pentru activitățile DPO desfășurate
conform prevederilor Regulamentului (Grupul de Lucru „Articolul 29” pentru Protecția Datelor,
2016: 12).
 Una dintre puținele excepții în ce privește asumarea răspunderii operatorului este dată de
art. 47 alin. 2 lit. f: “acceptarea de către operator sau de persoana împuternicită de operator, care
își are sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor
corporatiste obligatorii de către orice membru în cauză care nu își are sediul în Uniune;
operatorul sau persoana împuternicită de operator este exonerată de această răspundere,
integral sau parțial, numai dacă dovedește că membrul respectiv nu a fost răspunzător de
evenimentul care a cauzat prejudiciul” (Regulamentul nr. 679/2016, art. 47 alin. 2 lit. f.
Observăm că, iarăși, se pune accent pe dovezi pe care trebuie să le furnizeze operatorul.