Juridice

GDPR-Datele cu caracter personal
prelucrate de o societate
La ora actuală, atât în România, cât și la nivelul întregii Uniuni Europene,
precum și la nivelul altor state ce găzduiesc diverse companii care oferă
produse și/sau servicii destinate, printre altele, resortisanților Uniunii
Europene, există o preocupare, din ce în ce mai mare, cu privire la intrarea în
vigoare a Regulamentului nr. 679/27.04.2016 privind protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind
libera circulație a acestor date (act normativ cunoscut în mass – media sub
denumirea GDPR – General Data Protection Regulation).
Această preocupare are la bază, printre altele, nivelul ridicat al sancțiunilor

aplicabile în cazul nerespectării prevederilor legale privind prelucrarea datelor
cu caracter personal, acestea putând ajunge, în anumite situații, la valoarea de
10.000.000 – 20.000.0000 Euro sau până la 4% din cifra de afaceri.
În vederea evitării, sau cel puțin a reducerii riscului producerii unei eventuale
încălcări și aplicării unei sancțiuni corespunzătoare, este necesară
familiarizarea tuturor persoanelor implicate în prelucrarea datelor cu caracter
personal cu regulile prescrise de GDPR.
Deși noua reglementare aduce o serie de modificări actelor normative,

naționale și/sau europene, în materia prelucrării datelor cu caracter personal,
pentru o deplină înțelegere a acestora, considerăm că se impune, în primul
rând, explicarea, pe larg, a conceptului de „date cu caracter personal”.
În acest sens, în prima parte a prezentului material, ne vom apleca asupra

datelor cu caracter personal prelucrate, în mod obișnuit, de o societate,
exemplificând:
1. persoanele ale căror date cu caracter personal sunt prelucrate;
2. datele cu caracter personal prelucrate;
3. actele care cuprind date cu caracter personal.
În doua parte a prezentului material, vom trata noțiunea de „date cu caracter

personal”, astfel cum aceasta a fost conturată în ultimii 20 ani, exemplificând:
– regulile legale privind încadrarea sau nu a anumitor informații în noțiunea
de date cu caracter personal;
– opiniile legale, obligatorii și/sau de recomandare, emise de organele
competente la nivelul Uniunii Europene în materia prelucrării datelor cu
caracter personal;
– modurile de aplicare atât a regulilor legale, cât și a opiniilor legale, în
practica de zi cu zi;
– informațiile care reprezintă date cu caracter personal, în viziunea organelor
competente la nivelul Uniunii Europene în materia prelucrării datelor cu
caracter personal.
1. Datele cu caracter personal prelucrate, în mod obișnuit, de o

societate
O societate, ca și entitate juridică dotată cu personalitate juridică, de la

înființare și până la radierea sa de la Oficiul Registrului Comerțului,
prelucrează o serie de date cu caracter personal cu privire la mai multe
persoane.
Același lucru s-ar putea spune și despre orice alt profesionist dintr-un anumit
domeniu, independent de formă de organizare și independent dacă acesta are
sau nu personalitate juridică (ex: un cabinet de avocat, un birou notarial, un
birou de executor judecătoresc, un cabinet medical etc).
În vederea exemplificării categoriilor de persoane ale căror date cu caracter

personal sunt prelucrate de către o societate (un profesionist) vom folosi, cu
titlu exemplificativ, următoarea structură:
Din analiza structurii prezentate anterior rezultă că există o serie de categorii
de persoane ale căror date cu caracter personal sunt prelucrate, în mod
obișnuit, de către o societate, categorii menționate după cum urmează:
1. organele de conducere ale societății (asociații/acționarii);
2. organele de administrare ale societății (administratorii/directorii);
3. salariații societății;
4. furnizorii de utilități/bunuri/servicii ai societății
5. subcontractorii societății;
6. clienții societății;
7. autoritățile/instituțiile publice cu competențe în ceea ce privește societatea.
1.1. Organele de conducere ale societății (asociații/acționarii)
Orice societate înființată pe teritoriul României are ca organe de conducere

asociații, respectiv acționarii acesteia.
În ceea ce privește asociații/acționarii societății, societatea prelucrează, în

mod obișnuit, următoarele date cu caracter personal:
1. toate datele menționate în CI-ul asociatului/acționarului (nume, prenume,
domiciliu, loc de naștere, data nașterii, CNP-ul, seria și nr. CI-ului, data
eliberării, emitentul CI-ului, poza etc), întrucât la înființarea unei societăți
actul de identitate al asociatului/acționarului este solicitat în vederea
completării actelor necesare înființării societății (ex: actul constitutiv);
2. semnătura asociatului/acționarului, întrucât la înființarea unei societăți
asociatul/acționarul semnează actele necesare înființării acesteia (ex: actul
constitutiv);
3. datele privind cazierul judiciar al asociatului/acționarului, întrucât la
momentul înființării unei societăți acesta este obligat să dea o declarație pe
proprie răspundere cu privire la faptul că nu a fost condamnat pentru
săvârșirea anumitor infracțiuni;
4. toate datele referitoare la aportul asociatului/acționarului în cadrul
societății (tipul aportului, cuantumul aportului, data subscrierii, data vărsării
etc), întrucât în actul constitutiv al societății se menționează, în mod
obligatoriu aceste mențiuni;
5. toate datele referitoare la cota de participare la beneficii și pierderi a
asociatului/acționarului, întrucât în actul constitutiv al societății se
menționează, în mod obligatoriu aceste mențiuni;
6. toate datele referitoare la drepturile și obligațiile asociatului/acționarului,
întrucât în actul constitutiv al societății se menționează, în mod obligatoriu
aceste mențiuni;
7. informațiile privind participarea și modul de exercitare al votului al
asociatului/acționarului în cadrul adunărilor generale (data participării, locul
participării, modul de exercitare al votului, comentariile realizate cu ocazia
ședinței, etc) întrucât, pe parcursul desfășurării activității de către societate,
asociatul/acționarul poate fi convocat în vederea participării la ședințele
adunării generale a asociaților/acționarilor;
8. datele de contact ale asociatului/acționarului (ex: număr de telefon, nr. fax,
adresa e-mail) întrucât, pe parcursul desfășurării activității societății, poate
exista o corespondență intre societate și asociat/acționar;
9. datele privind contul/conturile bancare ale asociatului/acționarului (ex:
numărul de cont, moneda contului, bancă la care este deschis contul etc)
întrucât, pe parcursul desfășurării activității, societatea poate să-i plătească
asociatului/acționarului dividende;
10. datele privind veniturile obținute de asociat/acționar de la societate (ex:
sumele plătite, cuantumul acestora, data plății, natura acestora etc) întrucât,
pe parcursul desfășurării activității, societatea poate să-i plătească
asociatului/acționarului dividende.
Exemplele menționate mai sus se adaptează, în mod corespunzător, și în

situația în care asociatul/acționarul nu este o persoană fizică ci o persoană
juridică sau orice alt tip de entitate, cu sau fără personalitate juridică.
În aceste din urmă cazuri, persoanele ale căror date cu caracter personal vor fi
prelucrate de societate sunt persoanele care vor reprezenta și/sau vor acționa
și/sau vor semna acte în numele și pe seama asociatului/acționarului (ex:
administratorul societății care deține calitatea de asociat/acționar,
împuternicitul societății care deține calitatea de asociat/acționar etc).
1.2. Organele de administrare ale societății

(administratorii/directorii)
Orice societate înființată pe teritoriul României are ca organe de administrare

administratorii, respectiv directorii acesteia.
În ceea ce privește administratorii/directorii societății, societatea prelucrează,

în mod obișnuit, următoarele date cu caracter personal:
1. toate datele menționate în CI-ul administratorului/directorului (nume,
prenume, domiciliu, loc de naștere, data nașterii, CNP-ul, seria și nr. CI-ului,
data eliberării, emitentul CI-ului, poza etc.) întrucât, la înființarea unei
societăți, actul de identitate al administratorului/directorului este solicitat în
vederea completării actelor necesare înființării societății (ex: actul
constitutiv);
2. semnătura administratorului/directorului întrucât, la înființarea unei
societăți, asociatul/acționarul semnează actele necesare înființării acesteia
(ex: specimenul de semnătură);
3. date privind cazierul judiciar al administratorului/directorului întrucât, la
momentul înființării unei societăți, acesta este obligat să dea o declarație pe
proprie răspundere cu privire la faptul că nu a fost condamnat pentru
săvârșirea anumitor infracțiuni;
4. date privind experiența profesională a administratorului/directorului (ex:
locurile de muncă anterioare, funcțiile deținute anterior, perioada în care au
fost deținute funcțiile, diplomele și atestările profesionale etc) întrucât,
anterior numirii, societatea îi poate solicita un CV viitorului
administrator/director;
5. toate datele referitoare la drepturile și obligațiile
administratorului/directorului, întrucât în actul constitutiv al societății se
menționează, în mod obligatoriu, aceste mențiuni;
6. informații privind participarea și modul de exercitare al votului al
administratorului/directorului în cadrul ședințelor organelor societății (data
participării, locul participării, modul de exercitare al votului, comentariile
realizate cu ocazia ședinței etc) întrucât, pe parcursul desfășurării activității
societății, administratorul/directorul poate fi convocat în vederea participării
la ședințele consiliului de administrație sau la alte tipuri de ședințe și/sau
adunări;
7. informații privind modul în care administratorul/directorul își exercita
funcția (ex: ce măsuri adopta, ce acte semnează etc);
8. datele de contact ale administratorului/directorului (ex: număr de telefon,
nr. fax, adresa e-mail) întrucât, pe parcursul desfășurării activității societății,
poate exista o corespondența intre societate și administrator/director;
9. datele privind contul/conturile bancare ale administratorului/directorului
(ex: numărul de cont, moneda contului, bancă la care este deschis contul etc)
administratorului/directorului remunerația acestuia sau alte beneficii
10. datele privind veniturile obținute de administrator/director de la societate
(ex: sumele plătite, cuantumul acestora, data plății, natura acestora etc)
administratorului/directorului remunerația acestuia sau alte beneficii.
Exemplele menționate mai sus se adaptează, în mod corespunzător, și în

situația în care administratorul/directorul nu este o persoană fizică ci o
persoană juridică sau orice alt tip de entitate, cu sau fără personalitate
juridică.
În aceste din urmă cazuri, persoanele ale căror date cu caracter personal vor fi
prelucrate de societate sunt persoanele care vor reprezenta și/sau vor acționa
și/sau vor semna acte în numele și pe seama administratorului/directorului
(ex: administratorul societății care deține calitatea de administrator/director,
împuternicitul societății care deține calitatea de administrator/director etc).
1.3. Salariații societății

În principiu, orice societate înființată pe teritoriul României are salariați.
În ceea ce privește salariații, societatea prelucrează, în mod obișnuit,

următoarele date cu caracter personal:
1. toate datele menționate în CI-ul salariatului (nume, prenume, domiciliu, loc
de naștere, data nașterii, CNP-ul, seria și nr. CI-ului, data eliberării, emitentul
CI-ului, poza etc) întrucât, la angajarea în cadrul unei societăți, actul de
identitate al salariatului este solicitat în vederea completării actelor necesare
încheierii contractului de muncă;
2. semnătura salariatului întrucât, la momentul angajării în cadrul unei
societăți, salariatul semnează contractul de muncă și/sau alte acte (ex: un
acord de confidențialitate);
3. date privind cazierul judiciar al salariatului întrucât, la momentul angajării
în cadrul unei societăți, aceasta poate să solicite angajatului un astfel de
document;
4. date privind experiența profesională a salariatului (ex: locurile de muncă
anterioare, funcțiile deținute anterior, perioada în care au fost deținute
funcțiile, diplomele și atestările profesionale etc) întrucât, anterior numirii,
societatea îi poate solicita un CV viitorului salariat;
5. toate datele referitoare la drepturile și obligațiile salariatului întrucât, în
contractul de muncă se menționează, în mod obligatoriu, aceste mențiuni;
6. informații privind modul în care salariatul își exercita funcția (ex: ce măsuri
adopta, ce acte semnează, programul de muncă, prezenta sau lipsă de la
muncă, numărul concediilor, perioada concediilor etc);
7. informații privind modul în care salariatul folosește logistica pusă la
dispoziție de societate (ex: de câte ori deschide calculatorul oferit, numărul de
conversații înregistrate pe telefonul mobil, numărul de e-mail-uri primite sau
transmise, numărul de documente generat în cadrul societății, numărul de
documente printat etc.);
8. datele de contact ale salariatului (ex: număr de telefon, nr. fax, adresa e-
mail) întrucât, pe parcursul desfășurării activității societății, poate exista o
corespondență între societate și salariat;
9. datele privind contul/conturile bancare ale salariatului (ex: numărul de
cont, moneda contului, bancă la care este deschis contul etc) întrucât, pe
parcursul desfășurării activității, societatea îi plătește salariatului salariul
acestuia și/sau alte beneficii;
10. datele privind veniturile obținute de salariat de la societate (ex: sumele
plătite, cuantumul acestora, data plății, natura acestora etc.) întrucât, pe
parcursul desfășurării activității, societatea îi plătește salariatului salariul
acestuia și/sau alte beneficii.
1.4. Furnizorii de utilități/bunuri/servicii ai societății

Orice societate înființată pe teritoriul României nu poate funcționa în lipsa
unor furnizori de utilități/bunuri/servicii (ex: spațiu, apa, gaze, curent electric,
telefonie fixă, internet, telefonie mobilă, servicii de contabilitate, servicii legale
etc.).
În principiu, furnizorii de utilități/bunuri/servicii sunt constituiți la rândul lor

sub forma unor societăți dotate cu personalitate juridică.
În aceste cazuri societatea prelucrează datele cu caracter personal ale

persoanelor care reprezintă și/sau acționează și/sau semnează în numele și pe
seama furnizorului de utilități/bunuri/servicii, cum ar putea fi:
1. numele, prenumele și domiciliul persoanei care semnează, în numele și pe
seama furnizorului de utilități, contractul de furnizare al utilităților, întrucât la
baza furnizării oricărei utilități sta un contract încheiat intre furnizor și
societate;
2. semnătura persoanei care semnează, în numele și pe seama furnizorului de
utilități, contractul de furnizare al utilităților, întrucât la baza furnizării
oricărei utilități sta un contract încheiat intre furnizor și societate;
3. funcția persoanei care semnează, în numele și pe seama furnizorului de
utilități, contractul de furnizare al utilităților, întrucât la baza furnizării
oricărei utilități sta un contract încheiat intre furnizor și societate;
4. datele de contact ale persoanei care reprezintă furnizorul de utilități în
raport cu societatea (ex: nume, prenume, telefon, fax, e-mail), întrucât pe
parcursul furnizării utilităților, în principiu, furnizorul de utilități desemnează
o persoană care să țină legătura cu societatea;
5. informațiile privind persoanele care transmit, în numele și pe seama
furnizorului de utilități, diverse acte către societate (ex: nume, prenume,
număr de telefon, nr. fax, e-mail, funcția deținută etc), întrucât pe parcursul
derulării contractului de furnizare a utilităților furnizorul poate transmite
anumite informații/acte către societate (e-mail-uri, notificări, convocări,
oferte, informări etc.);
6. informațiile cuprinse în CI-ul persoanelor care acționează în numele și pe
seama furnizorului de utilități atunci când aceștia se deplasează la sediul
societății, iar aceasta are un sistem de securitate și pază care impune
legitimarea tuturor vizitatorilor și stocarea datelor privind aceștia;
7. imaginea și/sau vocea persoanelor care acționează în numele și pe seama
furnizorului de utilități atunci când aceștia se deplasează la sediul societății,
iar aceasta are în funcțiune un sistem video de înregistrare și stocare a
vizitatorilor sau atunci când aceștia efectuează conversații telefonice cu
societatea, iar aceasta are în funcțiune un sistem de înregistrare și stocare a
convorbirilor telefonice.
În măsura în care furnizorul de utilități/bunuri/servicii consta într-o persoană
fizică (ex: un instalator, un electrician, un contabil, un avocat etc), exemplele
menționate anterior se adaptează în mod corespunzător.
1.5. Subcontractanții societății
În anumite situații, o societate poate alege să furnizeze bunuri și/sau să

presteze servicii prin intermediul unor subcontractanți.
În cele mai multe cazuri subcontractanții sunt constituiți, la rândul lor, sub
forma unor societăți dotate cu personalitate juridică.
În aceste cazuri societatea prelucrează datele cu caracter personal ale

persoanelor care reprezintă și/sau acționează și/sau semnează în numele și pe
seama subcontractanților, cum ar putea fi cele menționate la par. precedent
(1.4).
În măsura în care subcontractantul consta într-o persoană fizică (ex: un

instalator, un electrician, un arhitect, un contabil, un avocat etc), exemplele
menționate anterior se adaptează în mod corespunzător.
1.6. Clienții societății
Orice activitate desfășurată de către o societate targhetează clienții, persoane

fizice și/sau persoane juridice.
În măsura în care clienții sunt persoane fizice, societatea prelucrează datele cu

caracter personal ale acestora, cum ar putea fi:
1. numele, prenumele, domiciliul clientului, întrucât aceste informații ar putea
fi necesare în vederea încheierii contractului intre societate și client;
2. semnătura clientului, întrucât între societate și client se poate încheia un
contract în formă scrisă;
3. datele menționate în CI-ul clientului (CNP-ul, poza etc) întrucât, înainte de
semnarea contractului, societatea poate solicita CI-ul clientului;
4. datele de contact ale clientului (telefon, fax, e-mail), întrucât acestea pot fi
solicitate de societate în vederea executării contractului încheiat cu clientul;
5. identificatorii online ai clientului (username-ul folosit la logarea pe un
magazin online), întrucât există posibilitatea ca societatea să folosească o
platformă online de oferire a diverselor bunuri și/sau servicii;
6. datele privind contul bancar al clientului (numărul de cont, monedă, bancă
la care este deschis contul), întrucât clientul poate opta pentru plată prin
virament bancar;
7. datele privind sumele plătite de client pentru achiziționarea
bunurilor/serviciilor (nivelul sumelor plătite, dată la care sunt plătite, natura
plăților etc.);
8. datele privind preferințele clientului pentru anumite bunuri/servicii (ce tip
de bunuri/servicii caută clientul, ce timp aloca clientul pe un site online
pentru a vizualiza informațiile privind un anumit bun/serviciu, care sunt
criteriile după care clientul caută un anumit bun/serviciu, care este frecvența
cu care un client caută un anumit bun/serviciu), aceste informații fiind
colectate cu o frecvență ridica în mediul online;
9. datele privind pregătirea profesională a clientului (studiile absolvite,
calificările profesionale, locurile de muncă, funcțiile deținute etc), în măsura
în care, spre exemplu, clientul este o persoană aflată în căutarea unui loc de
muncă, iar societatea este o societate specializată în plasarea forței de muncă;
10. datele privind starea de sănătate a clientului (vârsta, greutatea, afecțiunile
suferite, bolile anterioare, diverse alergii și/sau reacții adverse, tratamentele
urmate, radiografii etc.), în măsura în care, spre exemplu, clientul este o
persoană care caută îngrijiri medicale sau produse medicale, iar societatea
este un furnizor de servicii și/sau produse medicale;
11. datele privind starea financiară a clientului (loc de muncă, venituri,
persoane aflate în întreținere), în măsura în care, spre exemplu, clientul
dorește contractarea unui împrumut sau a unei polițe de asigurare, iar
societatea este o bancă sau o firmă de asigurări.
În măsura în care clienții societății sunt persoane juridice nu trebuie trasă

concluzia că societatea nu prelucrează date cu caracter personal, întrucât orice
client persoană juridică acționează prin intermediul unor persoane fizice.
În acest din urmă caz, societatea va prelucra datele cu caracter personal ale
persoanelor care reprezintă și/sau acționează și/sau semnează, în numele și
pe seama, persoanei juridice, caz în care exemplele menționate mai sus se
adaptează în mod corespunzător, inclusiv prin raportare la exemplele oferite
în par. precedent (1.4).
1.7. Autoritățile/instituțiile publice cu competențe în ceea ce

privește societatea
Orice societate înființată în România intră sub aria de competență a unor

autorități/instituții publice (ex: Oficiul Registrului Comerțului, ANAF,
Autoritatea de Mediu, Consiliul Concurenței, Autoritatea pentru Protecția
Datelor cu Caracter Personal, Ministerul Energiei etc.)
Autoritățile/instituțiile publice sunt constituite fie sub forma unor entități cu
personalitate juridică, fie sub forma unor entități fără personalitate juridică.
În ambele situații, societatea prelucrează datele cu caracter personal ale

persoanelor care reprezintă și/sau acționează și/sau semnează acte, în numele
și pe seama autorității/instituției publice, cum ar putea fi:
1. referenții angajați în cadrul Oficiului Registrului Comerțului;
2. inspectorii ANAF;
3. inspectorii Autorității de Mediu;
4. inspectorii Consiliului Concurenței;
5. inspectorii Autorității pentru Protecția Datelor cu Caracter Personal etc.
Datele cu caracter personal ale persoanelor exemplificate mai sus se regăsesc

într-o serie de acte întocmite de acestea, în numele și pe seama
autorităților/instituțiilor publice, cum ar putea fi:
1. rezoluția referentului din cadrul Oficiului Registrului Comerțului, prin care
se dispune înregistrarea unei mențiuni, acest act cuprinzând: numele,
prenumele, funcția și semnătura referentului;
2. raportul de inspecție fiscală întocmit de inspectorii ANAF, acest act
cuprinzând: numele, prenumele, funcția, semnătura și analiza inspectorului cu
privire la situația financiară verificată;
3. o adresă emisă de autoritatea/instituția publică, fie din oficiu, fie în urma
unei solicitări, acest act cuprinzând: numele, prenumele, funcția, semnătura
emitentului;
4. o notificare emisă de autoritatea/instituția publică din oficiu, acest act
cuprinzând: numele, prenumele, funcția, semnătura emitentului.
Din cele expuse mai sus rezultă, în esență, ca orice societate (profesionist), din
orice domeniu, indiferent de forma juridică, prelucrează o multitudine de date
cu caracter personal, referitoare la o serie de persoane cu care intra în contact
pe parcursul desfășurării activității.
2. Definiția legală a datelor cu caracter personal
2.1. Definiția legală a datelor cu caracter personal potrivit actualei

legislații europene
La ora actuală, la nivelul Uniunii Europene, noțiunea de date cu caracter

personal este definită de art. 2 lit. a din Directiva nr. 95/46/CE/24.10.1995
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și libera circulație a acestor date (Directivă), după cum
urmează:
„În sensul prezenței directive: a) „date cu caracter personal” înseamnă orice
informație referitoare la o persoană fizică identificată sau identificabilă
(persoana vizată); o persoană identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin referire la un număr de
identificare sau la unul sau mai multe elemente specifice, proprii identității
sale fizice, fiziologice, psihice, economice, culturale sau sociale;”.
Statele membre au avut obligația de a transpune în propria legislație națională

prevederile directivei anterior menționate, prin intermediul unor acte
normative proprii.[1]
2.2 Definiția legală a datelor cu caracter personal potrivit actualei

legislații romanești
România a transpus în legislația națională prevederile Directivei nr.

95/46/CE/24.10.1995 prin intermediul Legii nr. 677/2001.
La ora actuală, la nivel României, noțiunea de date cu caracter personal este

definită de art. 3 lit. a din Legea nr. 677/2001 pentru protecția persoanelor cu
privire la prelucrarea datelor cu caracter personal și libera circulație a acestor
date (Legea), după cum urmează:
„În înțelesul prezenței legi, următorii termeni se definesc după cum urmează:
a) date cu caracter personal – orice informații referitoare la o persoană fizică
identificată sau identificabilă; o persoană identificabilă este acea persoană
care poate fi identificată, direct sau indirect, în mod particular prin referire la
un număr de identificare ori la unul sau la mai mulți factori specifici identității
sale fizice, fiziologice, psihice, economice, culturale sau sociale;”.
2.3. Definiția legală a datelor cu caracter personal potrivit viitoarei

legislații
La momentul intrării în vigoare a GDPR-ului noțiunea de date cu caracter

personal va fi definită de art. 4 pct. 1 din acest act, după cum urmează:
„În sensul prezentului regulament: 1. „date cu caracter personal” înseamnă

orice informații privind o persoană fizică identificată sau identificabilă
(„persoana vizată”); o persoană fizică identificabilă este o persoană care poate
fi identificată, direct sau indirect, în special prin referire la un element de
identificare, cum ar fi un nume, un număr de identificare, date de localizare,
un identificator online, sau la unul sau mai multe elemente specifice, proprii
identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale;”.
3. Aspecte general valabile în ceea ce privește datele cu caracter

personal
În vederea familiarizării pe deplin cu noțiunea de „date cu caracter personal”

vom prezenta în continuare o serie de reguli privitoare la acest concept.
Folosirea regulilor expuse în continuare prin raportare la o anumită

informație determina încadrarea sau, după caz, neîncadrarea acestei
informații în noțiunea de date cu caracter personal.
Cu alte cuvinte, prin folosirea regulilor expuse în continuare se poate

răspunde la întrebarea dacă anumite informații reprezintă sau nu date cu
caracter personal și dacă acestora le sunt aplicabile prevederile legale în
materia prelucrării datelor cu caracter personal.
În situația în care în urma aplicării regulilor expuse în continuare se ajunge la

concluzia că anumite informații reprezintă date cu caracter personal atunci, în
ceea ce privește aceste informații, sunt pe deplin aplicabile prevederile legale
din materia prelucrării datelor cu caracter personal.
3.1. Noțiunea de date cu caracter personal nu se limitează la

informațiile care prin ele însele pot conduce la identificarea unei
persoane
La o citire sumară a definițiilor legale privind conceptul de date cu caracter

personal, unele persoane ar putea fi tentate să considere că anumite
informații, deși se referă la o anumită persoană, nu reprezintă date cu caracter
personal, întrucât acestea nu ar fi în măsură să conducă la identificarea
persoanei respective.
Cu alte cuvinte, anumite persoane ar putea fi tentate să considere că numai

informațiile care pot conduce, prin ele însele, la identificarea unei persoane ar
putea să reprezinte date cu caracter personal (ex: numele și prenumele,
adresa, CNP-ul etc.).
O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la

încălcări ale legislației privind prelucrarea datelor cu caracter personal.
În primul rând, trebuie observat faptul că atât legiuitorul european, cât și cel
național definesc datele cu caracter personal folosind sintagma „orice
informație”.
În al doilea rând, trebuie observat faptul că atât legiuitorul european, cât și cel
național definesc datele cu caracter personal folosind sintagma „care poate fi
identificată, direct sau indirect”.
Din coroborarea acestor două sintagme se degaja concluzia că noțiunea de

date cu caracter personal include:
1. atât informațiile care pot conduce direct la identificarea unei anumite
persoane (ex: nume, prenume, domiciliu, CNP etc.);
2. cât și informațiile care pot conduce indirect la identificarea unei anumite
persoane (ex: numărul de înmatriculare al unei mașini, adresa de e-mail,
numărul de telefon, adresa IP a unui dispozitiv mobil etc.);
În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).
Prin hotărârea din 19.10.2016 pronunțată în cauza C – 582/14 CEJ a stabilit

(par. 40 și 41):
„În această privință, rezultă din modul de redactare a articolului 2 literă (a)
din Directiva 95/46 că o persoană identificabilă este o persoană care poate fi
identificată nu doar direct, ci și indirect.
Utilizarea de către legiuitorul Uniunii a termenului „indirect” urmărește să

indice că, pentru a califica o informație drept dată cu caracter personal, nu
este necesar ca această informație să permită, singură, identificarea persoanei
vizate. (ns)”.

(par. 31 și 29):
Astfel, pentru că o dată să poată fi calificată drept „dată cu caracter personal”,

în sensul articolului 2 literă (a) din Directiva 95/46, nu este necesar ca toate
informațiile care permit identificarea persoanei vizate să se afle în posesia
unei singure persoane …
Este cert că un candidat la un examen profesional este o persoană fizică ce

poate fi identificată fie direct, în baza numelui său, fie indirect, în baza unui
număr de identificare, care sunt consemnate pe foaia de examinare sau pe
pagina de gardă a acestei foi.”.
În același sens este și opinia Grupului de Lucru format în baza art. 29 din
Directiva:
„Mai multe clarificări figurează în comentariul la articolele din propunerea

modificată a Comisiei, în sensul că „o persoană poate fi identificată direct prin
nume sau indirect printr-un număr de telefon, un număr de înmatriculare a
mașinii, un număr de securitate socială, numărul pașaportului sau printr-o
combinație de criterii semnificative care îi permit să fie recunoscută prin
restrângerea grupului de care aparține (vârsta, ocupația, locul de reședință
etc.)”.[2]
Includerea informațiilor că intrând în sfera celor care conduc la identificarea

în mod direct a unei persoane sau, după caz, în sfera celor care conduc la
identificarea în mod indirect a aceleiași persoane, depinde de circumstanțele
concrete ale fiecărui caz în parte.
Directiva:
„Termenii acestei declarații indică în mod clar faptul că măsura în care

anumiți identificatori sunt suficienți pentru a realiza identificarea este ceva
dependent de contextul situației particulare.
Un nume de familie foarte comun nu va fi suficient să identifice pe cineva – –

din întreaga populație a unei țari, în timp ce este probabil să se obțină
identificarea unui elev într-o sală de clasă.”.[3]
Din cele expuse mai sus, rezultă că noțiunea de date cu caracter personal
acoperă:
1. atât informațiile care pot conduce, prin ele însele, la identificarea unei
persoane,
2. cât și informațiile care, deși prin ele însele nu pot conduce la identificarea
unei persoane, în combinație cu alte informații de aceeași natură, pot conduce
la identificarea unei persoane.
Prin hotărârea din 06.11.2003 pronunțată în cauza C – 101/01, CEJ a stabilit

(par. 24):
„Termenul „date cu caracter personal” utilizat la articolul 3 alineatul (1) din

Directiva 95/46 include, la definiția de la articolul 2 litera (a), „orice
informație referitoare la o persoană identificată său persoană fizică
identificabilă „. Termenul acoperă, fără îndoială, numele unei persoane
coroborate cu numărul său de telefon sau informații despre persoana lui
privitoare la condițiile de muncă sau hobby-urile sale.”.
Directivă:
„Pentru a stabili această identitate, uneori trebuie că numele persoanei să fie

combinat cu alte informații (data nașterii, numele părinților, adresa sau o
fotografie a feței) pentru a preveni confuzia între persoana respectivă și
alta.”[4];
„În cazuri în cazul în care, la prima vedere, amploarea identificatorilor

disponibili nu permite nimănui să identifice o anumită persoană, această
persoană ar putea fi „identificabilă” pentru că informațiile respective
combinate cu alte informații (dacă acestea sunt reținute de către operatorul de
date sau nu) ar permite identificarea persoanei.”.[5]
Tot în același sens este și opinia Autorității privind Protecția Datelor cu

Caracter Personal din Cehia:
La nivelul anului 2003:
„A fost dezvăluit în timpul inspecțiilor că, de obicei, angajații autorităților

municipale cred că datele cu caracter personal includ numai identificatori. Cu
toate acestea, datele personale înseamnă date care se referă la un subiect de
date specific și identificabil (adică o persoană fizică cu care datele sunt legate).
Totuși, specificul se bazează mai degrabă pe aspecte subiective. De exemplu,
într-un mic municipiu, o persoană poate fi identificată pe baza numelui,
prenumelui și adresei, cu toate acestea, acest lucru este imposibil într-un oraș
mai mare, unde sunt necesare mai multe informații.”.[6]
„Unele companii susțin că, în ceea ce privește adresele de e-mail pe care le

obțin, fie de la surse deschise (internet) sau prin achiziționarea unei baze de
date sau a unei alte liste, acestea nu menționează numele și prenumele și prin
urmare, prelucrarea datelor cu caracter personal nu este implicată.
Acest argument în sine și faptul că societățile întreba dacă o adresă de e-mail

reprezintă sau nu este date cu caracter personal, indică o lipsă de înțelegere și
cunoaștere a definiției datelor cu caracter personal, deoarece, în esență, orice
date pot fi date cu caracter personal. Totul depinde de context”.[7]
În continuare vom prezenta o serie de exemple practice referitoare la
identificarea unei persoane fie în baza unei singure informații (identificator),
fie în baza combinării mai multor informații (identificatori):
1. numele unei persoane ar putea conduce la identificarea acesteia într-un oraș
mic, în care numele este unic (identificare în baza unui singur identificator –
numele);
2. adresa unei persoane ar putea conduce la identificarea acesteia în cazul în
care la respectiva adresa locuiește numai această (identificare în baza unui
singur identificator – adresa);
3. numărul de telefon al unei persoane ar putea conduce la identificarea
acesteia în situația în care are un abonament, abonamentul este pe numele
acesteia și este singurul utilizator (identificare în baza unui singur
identificator – numărul de telefon);
4. numele unei persoane, împreună cu adresa acesteia ar putea conduce la
identificarea acesteia într-un anumit oraș, deși oricare dintre aceste
informații, luate în mod singular, nu ar putea conduce la identificarea acesteia
(identificare în baza a doi identificatori – numele și adresa),
5. numele unei persoane împreună cu prenumele și numărul de telefon ar
putea conduce la identificarea acesteia, deși oricare dintre aceste informații,
luate în mod singular, nu ar putea conduce la identificarea acesteia
(identificare în baza a trei identificatori – numele, prenumele și numărul de
telefon);
6. numele unei persoane împreună cu locul de muncă ar putea conduce la
identificarea acesteia, deși oricare dintre aceste informații, luate în mod
singular, nu ar putea conduce la identificarea acesteia (identificare în baza a
doi identificatori – numele și locul de muncă);
7. numele unei persoane împreună cu locul de muncă și funcția deținută ar
putea conduce la identificarea acesteia, deși oricare dintre aceste informații,
luate în mod singular, nu ar putea conduce la identificarea acesteia
(identificare în baza a trei identificatori – numele, locul de muncă și funcția
deținută);
8. funcția unei persoane împreună cu locul de muncă și perioada în care a
deținut funcția ar putea conduce la identificarea unei persoane, deși oricare
dintre aceste informații, luate în mod singular, nu ar putea conduce la
identificarea acesteia (identificare în baza a trei identificatori – funcția, locul
de muncă și perioada deținerii funcției).
3.2. Noțiunea de date cu caracter personal nu se raportează la

posibilitatea deținătorului acestora de a identifica o anumită
persoană
La o citire sumară a definițiilor legale privind conceputul de date cu caracter
personal, întrucât acestea nu le permit deținătorilor acestor informații să
identifice o anumită persoană.
Cu alte cuvinte, anumite persoane ar putea considera, că informațiile pe care

le dețin nu reprezintă date cu caracter personal întrucât acestea nu le permit
să identifice o anumită persoană.

Din analiza definițiilor legale ale conceputului de date cu caracter personal se

poate observa că legiuitorul nu a raportat definițiile la capacitatea unei
anumite persoane (deținătorul datelor) de a identifica el însuși o anumită
persoană (persoana vizată).
Mai mult, tot din analiza definițiilor legale ale conceputului de date cu caracter
personal se poate observa că legiuitorul nu a raportat definițiile la capacitatea
unei anumite persoane (deținătorul datelor) de a identifica o anumită
persoană numai pe baza informațiilor deținute.
Noțiunea de date cu caracter personal se apreciază nu prin raportare la

posibilitatea deținătorului acestora de a identifica o anumită persoană, ci prin
raportare la posibilitatea oricărei persoane de a identifica o anumită persoană.
De asemenea, noțiunea de date cu caracter personal se apreciază nu prin

raportare la posibilitatea deținătorului acestora de a identifica o anumită
persoană pe baza acestora, ci prin raportare la posibilitatea oricărei persoane
de a identifica o anumită persoană, atât pe baza acestora, cât și pe baza unor
informații suplimentare deținute de aceasta din urmă.

(par. 42, 43, 44):
„În plus, considerentul (26) al Directivei 95/46 precizează că, pentru a

determina dacă o persoană este identificabilă, este oportun să se ia în
considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de
operator, fie de orice altă persoană pentru a identifica persoana vizată.
În măsura în care acest considerent face referire la mijloace care pot fi utilizate
în mod rezonabil atât de operator, cât și de o „altă persoană”, modul de
redactare a acestuia sugerează că, pentru că o dată să poată fi calificată drept
„dată cu caracter personal” în sensul articolului 2 literă (a) din directiva
menționată, nu este necesar ca toate informațiile care permit identificarea
persoanei vizate să se afle în posesia unei singure persoane.
Faptul că informațiile suplimentare necesare pentru a identifica utilizatorul

unui site internet sunt deținute nu de furnizorul de servicii de comunicații
electronice, ci de furnizorul de acces la internet al acestui utilizator, nu pare
astfel de natură să excludă că adresele IP dinamice înregistrate de furnizorul
de servicii de comunicații electronice constituie, pentru acesta, date cu
caracter personal în sensul articolului 2 literă (a) din Directiva 95/46.”.

(par. 30, 31):
„Contrar a ceea ce pare să susțină comisarul pentru protecția datelor, este

lipsit de relevanță, în acest context, aspectul dacă examinatorul poate sau nu
poate să identifice candidatul la momentul corectării și al notării foii de
examinare.
Astfel, pentru că o dată să poată fi calificată drept „dată cu caracter personal”,

în sensul articolului 2 literă (a) din Directiva 95/46, nu este necesar ca toate
informațiile care permit identificarea persoanei vizate să se afle în posesia
unei singure persoane (Hotărârea din 19 octombrie 2016, Breyer, C 582/14,
EU:C:2016:779, punctul 43).
Pe de altă parte, este cert că, în ipoteza în care examinatorul nu cunoaște

identitatea candidatului cu ocazia notării răspunsurilor furnizate de acesta în
cadrul unui examen, entitatea care organizează examenul, în speță ordinul
experților contabili, dispune, în schimb, de informațiile necesare care îi permit
să identifice acest candidat fără dificultăți sau îndoieli pe baza numărului său
de identificare, consemnat pe foaia de examinare sau pe pagina de gardă a
acestei foi, și astfel să îi atribuie răspunsurile furnizate.”.
Directiva:
„Exemplul nr. 10: informații fragmentare în presă

Sunt publicate informații despre un caz penal care a câștigat multă publicitate
și atenție în trecut. În publicația de față nu există niciunul dintre cele
identificatorii tradiționali, în special niciun nume nici data nașterii unei
persoane implicate.
Nu pare însă dificil să se obțină informații suplimentare care să permită unei

persoane să afle care sunt persoanele implicate, de ex. prin căutarea ziarelor
din perioada de timp relevantă.
Într-adevăr, se poate presupune că nu este absolut improbabil ca cineva să ia

astfel de măsuri (căutarea ziarelor vechi) care ar putea, cel mai probabil, să
furnizeze nume și alte elemente de identificare pentru persoanele menționate
în exemplu.
Prin urmare, pare a fi justificată examinarea informațiilor din exemplul dat ca

fiind „informații despre persoanele identificabile” și, ca atare, „date cu
caracter personal”.”;[8]
„Exemplul nr. 12: Publicarea plăcilor cu raze X împreună cu numele

pacientului
Placa de radiografie a doamnei a fost publicată într-un jurnal științific,

împreună cu numele acesteia, care a fost unul foarte neobișnuit.
Numele doamnei, combinat cu, cunoașterea de către rudele sau cunoștințele

acesteia că a suferit o anumită boală a făcut ca persoană să fie identificabilă
pentru anumit număr de persoane, iar plăcile cu raze X ar putea fi atunci să fie
considerate date cu caracter personal.”;[9]
„Deși adresele IP în majoritatea cazurilor nu reprezintă identificatori direcți

pentru motoarele de căutare, identificarea poate fi realizată de o terță parte.
Furnizorii de acces la internet dețin informații referitoare la adresele IP.
Autoritățile cu competențe în aplicarea legii și securitatea națională pot avea

acces la aceste informații, iar în unele state membre, persoanele private au
obținut acces și prin intermediul unor litigii civile.
Astfel, în majoritatea cazurilor – inclusiv cazuri cu alocarea adresei IP

dinamice – datele necesare vor fi disponibile pentru a identifica utilizatorul
adresei IP.”.[10]
În același sens este și opinia Autorității privind Protecția Datelor cu Caracter
Personal din Cehia:
„Având în vedere conținutul descris mai sus și formă de tipărire și având în

vedere capacitatea entităților serviciului de igienă de a identifica majoritatea
clienților prin comparație cu alte baze de date, inclusiv baze de date non-
publice (organismele serviciului de igienă au, de exemplu, dreptul legal de
acces la sistemul de informații al registrului populației), această procedură
implică prelucrarea datelor cu caracter personal în sensul Legii privind
protecția datelor cu caracter personal.”.[11]
„O adresă de e-mail, ca parte a setului informațiilor legate de o anumită

persoană care face obiectul unui interes comercial, reprezintă fără îndoială
date cu caracter personal.
Poate fi pusă la îndoială numai dacă o adresă de e-mail ca atare reprezintă

date cu caracter personal.
Aici, este necesar să se facă distincția între adresele care se referă la o

identitate direct determinabilă, cum ar fi
nume.prenume@denumireacompaniei.xxx, sau o entitate indirect
determinabilă.
În primul caz, adresa reprezintă fără îndoială date cu caracter personal, în

timp ce în al doilea caz pot exista îndoieli.
Se poate întâmpla în practică că, dacă un individ creează de ex. adresa

xxx@gmail.com, el poate fi identificat, chiar și indirect, numai cu mari
dificultăți.
Cu toate acestea, Legea privind protecția datelor cu caracter personal nu

prevede pentru cine o persoană este identificabilă și, prin urmare, este clar că,
pentru un anumit domeniu de persoane, adresa menționată mai sus reprezintă
date personale ale unei persoane cunoscute și, prin urmare, este, în principiu,
întotdeauna catalogată ca fiind date cu caracter personal”.[12]

informații care deși prin ele însele nu pot conduce la identificarea unei
persoane de către deținătorul acestora, împreună cu alte informații deținute
de o altă persoană, permit acesteia din urmă să identifice o anumită persoană:
1. numărul de telefon – o persoană obișnuită nu poate identifica, în principiu,
o altă persoană doar pe baza unui număr de telefon, cu toate acestea,
furnizorul serviciilor de telefonie poate pe baza acestuia și a altor informații
deținute în propria baza de date să identifice persoana căreia îi este atribuit
numărul respectiv,
2. CNP-ul – o persoană obișnuită nu poate identifica, în principiu, o altă
persoană dosar pe baza CNP-ului, cu toate acestea, autoritățile statului pot pe
baza acestuia și a altor informații deținute în propriile baze de date să
identifice persoana căreia îi este atribuit CNP-ul respectiv,
3. semnătura unei persoane – o persoană obișnuită nu poate identifica, în
principiu, o altă persoană doar pe baza unei semnături, cu toate acestea, o
entitate care deține o bază de date ce include și semnături (ex: o bancă) poate
pe baza acesteia și a altor informații deținute în propria baza de date să
identifice persoana căreia îi este atribuita semnătura,
4. IP-ul unui calculator – o persoană obișnuită nu poate identifica, în
principiu, o altă persoană doar pe baza unui IP, cu toate acestea, furnizorul de
servicii de telecomunicație poate pe baza acestuia și a altor informații deținute
în propria baza de date să identifice persoana căreia îi este atribuit IP-ul,
5. numărul de înmatriculare al unui autoturism – o persoană obișnuită nu
poate identifica, în principiu, o altă persoană doar pe baza unui număr de
înmatriculare al unui autoturism, cu toate acestea, autoritățile statului (ex:
poliția) poate pe baza acestuia și a altor informații deținute în propria baza de
date să identifice persoana căreia îi este numărul de înmatriculare,
6. poza unei persoane – o persoană obișnuită nu poate identifica, în principiu,
o altă persoană doar pe baza unei poze, cu toate acestea, autoritățile statului
(ex: poliția) poate pe baza acesteia și a altor informații deținute în propria
baza de date să identifice persoana căreia îi este atribuita poza.
3.3. Noțiunea de date cu caracter personal nu vizează numai

informațiile confidențiale, ci chiar și cele care sunt deja publice

personal, întrucât acestea nu reprezintă informații confidențiale.
De asemenea, unele persoane ar fi tentate să considere că anumite informații

deși se referă la o anumită persoană nu reprezintă date cu caracter personal,
întrucât acestea au fost deja făcute publice, fie de către persoana în cauză, fie
de către o alta.
În primul rând, trebuie observat că prin definițiile date conceptului de date cu

caracter personal, atât legiuitorul național, cât și cel european au folosit
sintagma „orice informație”, tocmai pentru a imprima un caracter cât mai larg
de acoperire al acestei noțiuni, acoperind astfel atât informațiile confidențiale,
cât și alte informații.
În al doilea rând, trebuie observat că sintagma „cu caracter personal” nu se

interpretează în sensul că privește numai informațiile confidențiale, ci se
interpretează în sensul că informațiile respective se referă la o anumită
persoană în parte, că-i sunt atribuite acesteia, că au legătură cu aceasta.
În al treilea rând, trebuie observat că definițiile nu exclud din sfera lor de

aplicare informațiile care sunt deja publice.
Față de toate aceste împrejurări, trebuie concluzionat în sensul că datele cu

caracter personal privesc atât:
1. informațiile confidențiale privind o anumită persoană;
2. informațiile privind o anumită persoană care deși nu sunt confidențiale nici
nu au fost făcute publice;
3. informațiile publice privind o anumită persoană.

(par. 25, 35, 48 și 49):
“De mai mulți ani, Markkinapörssi colectează date publice de la autoritățile

fiscale finlandeze pentru a edita în fiecare an extrase din aceste date în edițiile
regionale ale ziarului Veropörssi.
Trebuie să se constate că datele vizate prin această întrebare care privesc

numele și prenumele anumitor persoane fizice ale căror venituri depășesc
anumite limite și, în special, cu o aproximare de 100 de euro, cuantumul
veniturilor acestora din muncă și din capital constituie date cu caracter
personal în sensul articolului 2 literă (a) din directivă, întrucât sunt
„informații referitoare la o persoană fizică identificată sau identificabilă”
În sfârșit, este necesar să se arate că o derogare generală de la aplicarea

directivei în ceea ce privește informațiile publicate ar lipsi directiva în mare
parte de sens. Astfel, ar fi suficient că statele membre să publice datele pentru
a le sustrage de la protecția prevăzută de directivă.
În consecință, trebuie să se răspundă la a patra întrebare în sensul că

activitățile de prelucrare a datelor cu caracter personal precum cele vizate la
prima întrebare literele c) și d), care privesc sisteme de evidență ale
autorităților publice care conțin date cu caracter personal care nu cuprind
decât informații deja publicate ca atare în mass-media, fac parte din domeniul
de aplicare al directivei.”.
Prin hotărârea din 16.07.2015 pronunțată în cauza C – 615/13 P, CEJ a stabilit

(par. 31):
„De asemenea, faptul că atât identitatea experților vizați, cât și observațiile

prezentate privind proiectul de orientare au fost făcute publice pe site-ul
internet al EFSA nu înseamnă că informația în litigiu ar fi pierdut această
calificare”.

Personal din Irlanda:
„Cu toate acestea, chiar dacă ar fi fost cazul, în care detaliile avocatului se află
în domeniul public în virtutea unei cerințe impuse Consiliul Baroului de a face
publice datele, acest lucru nu ar fi absolvit alți operatori de date sau
împuterniciții acestora care achiziționează aceste date, de obligațiile care le
revin în temeiul actelor.”.[13]

informații care deși sunt publice constituie în continuare date cu caracter
personal:
1. informațiile stocate de Oficiul Registrului Comerțului privind persoanele
care dețin sau au deținut calitatea de
asociat/acționar/administrator/director/cenzor/auditor în cadrul unei
societăți;
2. informațiile stocate de Oficiul de Cadastru și Publicitate Imobiliară privind
persoanele care dețin sau au deținut în proprietate un imobil;
3. informațiile stocate pe site-ul instanțelor judecătorești privind persoanele
care sunt sau au fost parte în cadrul unui proces;
4. informațiile stocate pe site-urile diverselor entități cu scop jurnalistic
(televiziuni, radio, presa scrisă etc);
5. informațiile stocate pe site-urile diverșilor bloggeri, cu sau fără scop
patrimonial;
6. informațiile stocate pe site-urile diverselor autorități și instituții publice
referitoare la declarațiile de avere ale unor funcționari publici sau ale
personalului contractual;
7. informațiile stocate pe site-urile diverselor companii/societăți private și/sau
naționale privind persoanele care dețin calitatea de
asociați/acționari/administratori/directori/cenzori/auditori;
8. informațiile stocate pe site-urile barourilor avocaților privind persoanele
care dețin calitatea de avocați;
9. informațiile stocate pe site-urile diverselor organizații profesionale privind
persoanele care dețin calitatea de membrii ai acestor organizații (ex: medici,
arhitecți, experți, notari publici, executori judecătorești etc);
10. informațiile stocate în mediul social media (ex: Facebook, Twitter,
Linkedin, YouTube etc).
3.4. Noțiunea de date cu caracter personal vizează nu numai

informații privind viața privată a unei persoane, ci orice fel de
informații, inclusiv cele privind viața profesională

personal, întrucât acestea nu privesc viața privată a acelei persoane, ci, spre
exemplu, viața profesională.

În primul rând, trebuie observat că prin definițiile date conceptului de date cu

caracter personal, atât legiuitorul național, cât și cel european au folosit
sintagma „orice informație”, tocmai pentru a imprima un caracter cât mai larg
de acoperire al acestei noțiuni, acoperind astfel atât informațiile din sfera
vieții private și de familie, cât și orice alte informații.
În al doilea rând, trebuie observat că nici legiuitorul național și nici cel

european nu au limitat sfera datelor cu caracter personal la anumite sfere din
viața unei persoane, spre exemplu la sferă vieții de familie.
Nu în ultimul rând, trebuie subliniat că noțiunea de „date cu caracter

personal” nu este echivalentă noțiunii de „informații privind viața privată”,
astfel cum aceasta este înțeleasă în sensul comun al termenului, ci include și
aceste din urmă informații alături de orice alte informații, inclusiv cele din
sfera activității profesionale a unei persoane.

(par. 74):
„În primul rând, colectarea de date în funcție de nume referitoare la veniturile

profesionale ale unei persoane, în scopul comunicării către terți, intră în sfera
de aplicare a directivei Articolul 8 din Convenție. Curtea Europeană a
Drepturilor Omului s-a pronunțat în sensul că expresia „viața privată” nu
trebuie interpretată restrictiv și că „nu există niciun motiv de principiu care să
justifice excluderea activităților profesionale … din noțiunea de „viață
privată””.
Prin hotărârea din 16.07.2015 pronunțată în cauza C – 615/13 P CEJ a stabilit

(par. 30):
“După cum a statuat în mod întemeiat Tribunalul la punctele 44-46 din

hotărârea atacată, împrejurarea că informația menționată se înscrie în
contextul unei activități profesionale nu este de natură să îi înlăture calificarea
de set de date cu caracter personal”.
Prin hotărârea din 09.03.2017 pronunțat în cauza C – 398/15 CEJ a stabilit

(par. 34):
„Or, trebuie să se constate că informațiile referitoare la identitatea persoanelor

vizate la articolul 2 alineatul (1) literele (d) și (j) din Directiva 68/151
constituie, ca informații referitoare la persoane fizice identificate sau
identificabile, „date cu caracter personal” în sensul articolului 2 literă (a) din
Directiva 95/46. Astfel, rezultă din jurisprudența Curții că împrejurarea că
aceste informații se înscriu în contextul unei activități profesionale nu este de
natură să le înlăture calificarea de date cu caracter personal.”.

(par. 44):
„Constatarea că observațiile examinatorului referitoare la răspunsurile

furnizate de candidat în cadrul examenului constituie informații care, ca
urmare a conținutului, a finalității și a efectului lor, sunt legate de acest
candidat nu este infirmată de faptul că aceste observații constituie de
asemenea informații referitoare la examinator.”.
Directiva:
„Termenul „date personale” include informații care privesc viața privată și de
familie a individului „stricto sensu”, dar și informații referitoare la orice tip de
activitate desfășurată de către individ, precum cea referitoare la relațiile de
muncă sau la cele economice, sociale sau comportamentale proprii
individului.
Acesta include, prin urmare, informații despre indivizi, indiferent de poziția

sau capacitatea acestor persoane (cum ar fi consumatorul, pacientul,
angajatul, clientul etc).”.[14]

Personal din Irlanda:
„Comentariile privind un manager de școală sau membru al personalului,

cuprinse într-un raport de inspecție școlară sunt date personale referitoare la
persoana respectivă în sensul actelor privind protecția datelor.”.[15]

informații care deși nu reprezintă informații privitoare la viața de familie a
unei persoane constituie date cu caracter personal:
1. informații referitoare la starea de sănătate a unei persoane (boli,
medicamente, tratamente, intervenții chirurgicale etc);
2. informații referitoare la locul de muncă (locație, program, prezenta,
concedii, salariu, bonificații etc);
3. informații referitoare la modul în care o persoană înțelege să-și
cheltuiască/economisească/investească banii;
4. informații referitoare la modul în care o persoană înțelege să dobândească
anumite diplome/atestate profesionale sau de orice altă natură;
5. informații referitoare la modul în care o persoană înțelege să participe la
evenimente culturale (teatru, opera, filarmonica, serate etc.);
6. informații referitoare la tipurile de produse/servicii preferate de o anumită
persoană (bunuri, vacante etc.).
3.5. Noțiunea de date cu caracter personal acoperă și evaluările,

respectiv opiniile cu privire la o anumită persoană

personal, întrucât acestea ar reprezenta o evaluare sau o opinie cu privire la o
anumită persoană.
Prin definițiile date conceptului de date cu caracter personal, atât legiuitorul

național, cât și cel european au folosit sintagma „orice informație”, tocmai
pentru a imprima un caracter cât mai larg de acoperire al acestei noțiuni,
acoperind astfel atât informațiile obiective (ex: numele unei persoane), cât și
informațiile subiective (ex: opinia unei persoane față de o alta).

(par. 34):
„Astfel, utilizarea expresiei „orice informație” în cadrul definiției noțiunii „date

cu caracter personal”, care figurează la articolul 2 literă (a) din Directiva
95/46, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei
noțiuni, care nu este restrânsă la informațiile sensibile sau de ordin privat, ci
înglobează potențial orice tip de informații, atât obiective, cât și subiective,
sub formă de opinii sau de aprecieri, cu condiția ca acestea să fie „referitoare”
la persoana în cauză.”.
Directiva:
„Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter

personal include orice fel de afirmații despre o persoană. Acesta acoperă
informații „obiective”, cum ar fi prezența unei anumite substanțe în sângele
unei persoane.
Acesta include, de asemenea, informații „subiective”, opinii sau evaluări. Acest

ultim fel de informații constituie o parte considerabilă a procesării datelor cu
caracter personal în sectoare precum cel bancar, evaluarea fiabilității
debitorilor („Titius este un împrumutat fiabil”), în asigurări („Titius nu este de
așteptat să moară în curând”) sau în ocuparea forței de muncă („Titius este un
lucrător bun și merită promovarea”)”.[16]
În ceea ce privește evaluările, respectiv opiniile, pentru care acestea să poată fi

catalogate ca fiind date cu caracter personal, trebuie ca acestea, să
îndeplinească oricare din următoarele condiții:
1. conținutul lor să privească o anumită persoană;
2. scopul lor să privească o anumită persoană;
3. efectele lor să privească o anumită persoană.
În măsura în care o anumită evaluare/opinie, prin conținutul și/sau scopul

și/sau efectele acesteia privesc o anumită persoană aceasta reprezintă date cu
caracter personal.

(par. 34 – 39):
„Astfel, utilizarea expresiei „orice informație” în cadrul definiției noțiunii „date

cu caracter personal”, care figurează la articolul 2 literă (a) din Directiva
95/46, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei
noțiuni, care nu este restrânsă la informațiile sensibile sau de ordin privat, ci
înglobează potențial orice tip de informații, atât obiective, cât și subiective,
sub formă de opinii sau de aprecieri, cu condiția ca acestea să fie „referitoare”
la persoana în cauză.
În ceea ce privește această din urmă condiție, ea este îndeplinită atunci când,
ca urmare a conținutului, a scopului său a efectului său, informația este legată
de o persoană determinată.
Or, după cum a arătat în esență domnul Nowak, guvernele ceh, elen, maghiar,
austriac și portughez, precum și Comisia Europeană, răspunsurile scrise
furnizate de un candidat la un examen profesional constituie asemenea
informații legate de persoană să.
Astfel, mai întâi, conținutul acestor răspunsuri reflectă nivelul cunoștințelor și

al competențelor candidatului într-un anumit domeniu, precum și, după caz,
procesul de gândire, raționamentul și spiritul său critic. În cazul examenului
scris de mână, răspunsurile conțin în plus informații privind grafia acestuia.
Apoi, colectarea răspunsurilor menționate are ca scop evaluarea capacităților

profesionale ale candidatului și a aptitudinii sale de a exercita meseria în
cauză.
În sfârșit, utilizarea acestor informații, care se traduce în special prin succesul

sau prin eșecul candidatului la examenul vizat, este susceptibilă să aibă un
efect asupra drepturilor și a intereselor acestuia, în măsura în care poate să
determine sau să influențeze, de exemplu, șansele sale de a avea acces la
profesia sau la locul de muncă dorit.”.
Directiva:
„Grupul de lucru a acordat deja atenție problemei momentului în care

informațiile pot fi considerate ca fiind „referitoare” la o persoană. În
contextul discuțiilor privind datele problemei de protecție ridicate de
etichetele RFID, grupul de lucru a observat că „datele se referă la un individ
dacă se referă la identitatea, caracteristicile sau comportamentul unei
persoane sau dacă astfel de informații sunt folosite pentru a determina sau a
influența modul în care persoana respectivă este tratată sau evaluată.
Având în vedere cazurile menționate mai sus și în același sens, ar putea fi

subliniat că, pentru a considera că datele „se referă” la un individ, un element
„conținut” SAU un element „scop” SAU un element „rezultat” ar trebui să fie
prezent.”.[17]

informații cuprinse în opinii/evaluări care datorită
conținutului/scopului/efectelor acestora reprezintă date cu caracter personal:
1. răspunsurile date de o persoană în cadrul unui examen, întrucât prin
conținutul acestora prezintă informații cu privire la nivelul de cunoștințe al
persoanei respective;
2. observațiile unui examinator în ceea ce privește răspunsurile unei persoane
care a susținut un examen, întrucât scopul acestora consta în evaluarea nivelul
de cunoștințe al unei persoane, iar efectele acestora pot conduce ca o persoană
poate fi declarată admisă sau respinsă la un examen;
3. informațiile furnizate de o persoană în cadrul completării unei declarații
fiscale, întrucât prin conținutul acestora prezintă informații cu privire la
situația financiară a persoanei respective,
4. observațiile unui inspector fiscal în ceea ce privește informațiile furnizate de
o persoană cu ocazia completării unei declarații fiscale, întrucât scopul
acestora consta în evaluarea nivelul de impozitare al unei persoane, iar
efectele acestora pot încadra o persoană unui anumit regim de impozitare;
5. informațiile furnizate de o persoană unei instituții de credit, în încercarea
de a obține un împrumut, întrucât prin conținutul acestora prezintă informații
cu privire la situația financiară și nu numai a persoanei respective;
6. analiza unui angajat al unei instituții de credit în ceea ce privește
informațiile furnizate de persoană care dorește contractarea unui împrumut,
întrucât scopul acestora consta în evaluarea posibilitatea acordării
împrumutului, iar efectele constau în acordarea sau nu a împrumutului
solicitat;
7. informațiile furnizate de un pacient medicului său unei entități de servicii
medicale, întrucât prin conținutul acestora prezintă informații cu privire la
starea de sănătate a persoanei respective;
8. analiza medicului său a unei entități de servicii medicale, întrucât scopul
acesteia consta în evaluarea stării de sănătate a unei persoane, iar efectele
acesteia constau în prescrierea sau nu a unui anumit tratament sau intervenții,
9. informațiile furnizate de o persoană în vederea achiziționării de bunuri sau
servicii, întrucât prin conținutul acestora privesc informații privind persoana
respectivă;
10. analiza furnizorului de bunuri sau servicii a informațiilor furnizate de o
persoană în vederea achiziționării acestora, întrucât scopul acesteia consta în
stabilirea furnizării sau nu a produselor sau serviciilor, iar efectele constau în
furnizarea sau nu a produselor sau serviciilor solicitate.
3.6. Noțiunea de date cu caracter personal include și informațiile

neadevărate, respectiv informațiile nedovedite cu privire la o
anumită persoană

personal, întrucât acestea fie sunt neadevărate, fie nu sunt dovedite.


acoperind astfel atât informațiile adevărate, respectiv cele dovedite, cât și cele
neadevărate sau nedovedite.
Faptul că noțiunea de „date cu caracter personal” acoperă și informațiile

neadevărate rezulta și din faptul că persoana vizată are dreptul de a solicita
operatorului de date cu caracter personal modificarea datelor deținute de
acesta pentru a corespunde realității.
Directiva:
Pentru că informațiile să fie „date personale”, nu este necesar ca acestea să fie

adevărate sau dovedite. Normele privind protecția datelor prevăd deja
posibilitatea că informațiile să fie incorecte și prevăd dreptul persoanei vizate
de a accesa aceste informații și de a le contesta prin remedii adecvate.”.[18]
3.7. Noțiunea de date cu caracter personal nu se limitează la

informațiile care pot identifica o persoană după nume

personal, întrucât acestea nu ar putea fi în măsură, în niciun caz, să conducă la
identificarea unei persoane după numele/prenumele acesteia.


acoperind astfel atât informațiile care pot conduce la identificarea unei
persoane după nume și/sau prenume, cât și informații care nu pot conduce la
o astfel de identificare exactă.
Tot din analiza definițiilor conceptului de date cu caracter personal rezultă că

acestea nu implică, ca și condiție de tratare a anumitor informații ca fiind date
cu caracter personal, necesitate identificării unei persoane după
nume/prenume.
Directiva:
„Un caz special ar fi acela al unor adrese IP care, sub anumite aspecte și
circumstanțe, într-adevăr, nu permit identificarea utilizatorului, pentru
diverse motive tehnice și organizatorice. Un exemplu ar putea fi adresele IP
atribuite unui computer într-o cafenea de internet unde nu se solicită
identificarea clienților. Ar putea fi a susținut că datele colectate cu privire la
utilizarea computerului X într-un anumit interval de timp nu permit
identificarea utilizatorului cu mijloace rezonabile și, prin urmare, nu
reprezintă date personale.
Cu toate acestea, trebuie remarcat faptul că cei mai mulți furnizori de servicii
de internet probabil nu știu dacă adresa IP în cauză este una care permite
identificarea sau nu și că vor procesa datele asociate cu acel IP în același mod
în care tratează informațiile asociate cu adresele IP ale utilizatorilor care sunt
în mod corespunzător înregistrate și identificabile. Deci, cu excepția cazului în
care furnizorul de servicii de internet este în poziția pentru a distinge cu
certitudine absolută că datele corespund utilizatorilor care nu pot fi
identificați, va trebui să trateze toate informațiile IP ca date personale, pentru
a fi în siguranță.”.[19]
„Grupul de lucru întemeiat pe „Articolul 29” constată că metodele de

publicitate comportamentală descrise în prezența Opinie implică deseori
prelucrarea datelor cu caracter personal, astfel cum este definită la articolul 2
din Directiva 2004/18/CE 95/46/CE și interpretată de grupul de lucru în
temeiul articolului 29.
Acest lucru se datorează diferitelor motive: i) publicitatea comportamentală

implică în mod normal colectarea de adrese IP și prelucrarea de identificatori
unici (prin cookie). Utilizarea unor astfel de dispozitive cu un identificator
unic permite urmărirea utilizatorilor unui anumit computer chiar și atunci
când se utilizează adrese IP dinamice.
Cu alte cuvinte, astfel de dispozitive permit persoanelor vizate să fie

„separate”, chiar dacă numele lor reale nu sunt cunoscute.”.[20]
„Când se iau în considerare mijloacele disponibile pentru identificare, acestea

trebuie stabilite luând în considerare faptul că oamenii tind să dezvăluie tot
mai multe date despre locația personală pe internet, de exemplu prin
publicarea locației casei sau a locului de muncă combinate cu alte date de
identificare.
O astfel de dezvăluire se poate întâmpla, de asemenea, fără cunoștințele lor,

atunci când sunt geolocalizați de alți oameni. Această dezvoltare facilitează
legarea unei locații sau a unui model de comportament față de anumit individ.
În plus, în urma avizului nr. 4/2007 privind conceptul de date cu caracter

personal, ar trebui, de asemenea, să fie remarcat faptul că un identificator
unic, în contextul descris mai sus, permite urmărirea unui utilizator al unui
dispozitiv specific și, astfel, permite utilizatorului să fie „separat” chiar dacă
numele său real nu este cunoscut.”.[21]
4. Elementele ce compun conceptul de date cu caracter personal –
i) orice informații; ii) referitoare la; iii) persoana fizică; iv)
identificată sau identificabilă
Prin intermediul Opiniei nr. 4/2007 Grupul de Lucru format în baza art. 29
din Directiva a prezentat, într-un mod extensiv, elementele care compun
conceptul de date cu caracter personal și modul în care acestea trebuie
înțelese.
În continuare, vom prezenta, succint, recomandările realizate prin Opinia nr.

4/2007.
Conceput de date cu caracter personal are la baza patru elemente distincte:

1. orice informație;
2. referitoare la;
3. persoana fizică;
4. identificată/identificabilă.
4.1. Orice informație
Sintagma folosită de legiuitor „orice informație” semnifică necesitatea

adoptării unei interpretări largi.
Din punct de vedere al naturii informațiilor, acestea pot fi obiective (ex.

înălțimea unei persoane) sau subiective (evaluarea unei persoane de către o
alta).
Din punct de vedere al conținutului informațiilor, acesta se poate referi la

orice aspect din viața unei persoane, viața de familie, viața culturală, relațiile
de muncă, relațiile sociale, relațiile economice etc.
Din punct de vedere al formatului informațiilor, acesta poate consta în orice

fel de suport, scris, video, audio, electronic etc.
4.2. Referitoare la
În general sintagma „referitoare la” este echivalentă cu „despre persoana …”.
În anumite cazuri legătură poate fi stabilit ușor, ex: datele dintr-un dosar
referitoare la o anumită persoană (ex: un dosar de angajat, un dosar medical).
În alte cazuri legătură poate fi stabilită mai greu, față de faptul că informațiile
privesc în mod direct bunuri/evenimente și numai indirect persoane (ex:
valoarea unei case, locația unei case, registrul de evidenta al unui service auto
etc).
Datele se „referă la o persoană” atunci când:

1. fie acestea privesc identitatea/caracteristicile/comportamentul unei
persoane (ex: o poză, un nume etc.);
2. fie când prin conținutul/scopul/efectele acestora privesc o persoană (ex: o
declarație fiscală, răspunsurile furnizate în cadrul unui examen etc.).
4.3. O persoană fizică
Legislația privind datele cu caracter personal vizează numai informațiile

referitoare la persoane fizice.
4.4. Identificată/identificabilă
O persoană este identificată când aceasta este distinsă

(individualizată/separată) în cadrul unui grup.
O persoană este identificabilă atunci când aceasta nu a fost încă distinsă

(individualizată/separată) în cadrul unui grup, însă aceasta se poate realiza în
viitor.
Identificarea se poate realiza direct (de ex: prin nume) sau indirect (de ex:
prin nume și adresa).
Identificarea directă și/sau indirectă depinde de context (ex: prin nume poate
fi individualizat un elev dintr-o clasă, în timp de același elev, doar după nume
nu poate fi individualizat la nivelul școlii).
5. Exemple de informații care constituie date cu caracter personal
În cadrul prezentului capitol vă vom prezenta o serie de informații care, în

opinia autorităților/instituțiilor cu competențe în domeniul prelucrării datelor
cu caracter personal, reprezintă date cu caracter personal:
1. numele unei persoane;[22]
2. prenumele unei persoane;[23]
3. data nașterii;[24]
4. proveniență;[25]
5. cetățenia;[26]
6. numele părinților;[27]
7. domiciliul unei persoane;[28]
8. vârsta unei persoane;[29]
9. categoria de vârstă;[30]
10. înălțimea unei persoane;[31]
11. culoarea părului unei persoane;[32]
12. sexul unei persoane;[33]
13. etnia;[34],
14. limba;[35]
15. starea civilă;[36]
16. numărul de telefon;[37]
17. adresa de e-mail;[38]
18. numărul de înregistrare a mașinii;[39]
19. numărul de securitate socială;[40]
20. numărul de pașaport;[41]
21. ocupația unei persoane;[42]
22. funcția unei persoane;[43]
23. îmbrăcămintea unei persoane;[44]
24. numărul de membrii ai unei familii;[45]
25. numărul de identificare al unei persoane care participă la un examen;[46]
26. numărul unic atribuit unei persoane în mod electronic;[47]
27. numărul unic atribuit unui solicitant de azil;[48]
28. lista intrărilor și ieșirilor unei persoane pe teritoriul unui stat;[49]
29. statutul de rezident;[50]
30. informații referitoare la pașapoartele deținute;[51]
31. informațiile cuprinse într-un cod de bare încorporat unui document de
identitate al unei persoane;[52]
32. codul personal;[53]
33. informațiile privind o persoană cuprinse într-o analiză juridică;[54]
34. răspunsurile date la un chestionar anonim;[55]
35. răspunsurile date de o persoană când susține un examen;[56]
36. opinia unui examinator în ceea ce privește răspunsurile furnizate de o
persoană care a susținut un examen;[57]
37. informațiile referitoare la managerul unei școli cuprinse într-un raport de
control;[58]
38. registrele școlare;[59]
39. informațiile privind participarea la o ședință, la o anumită oră, într-un
anumit loc, precum și afirmațiile realizate în cadrul ședinței;[60]
40. prezenta în sângele unei persoane a unei substanțe;[61]
41. modul în care un doctor înțelege să prescrie un anumit tratament;[62]
42. bonitatea unui împrumutat;[63]
43. expectativa de viață a unui asigurat;[64]
44. formularul completat de o persoană care dorește să se angajeze;[65]
45. capacitatea de muncă a unui salariat;[66]
46. evidenta timpului de lucru, perioadele de lucru zilnice, pauzele de muncă;
[67]
47. cursurile de pregătire profesională ale unui angajat;[68]
48. accidentele de muncă;[69]
49. problemele disciplinare ale unui angajat;[70]
50. titlul unui document creat de un angajat;[71]
51. salariul unei persoane;[72]
52. informațiile dintr-un e-mail;[73]
53. informațiile dintr-un document electronic;[74]
54. vocea unui client care dă instrucțiuni băncii;[75]
55. vocea unei persoane atunci când inițiază o convorbire telefonică;[76]
56. felul de a vorbi;[77]
57. registrul telefonic;[78]
58. imaginea unei persoane;[79]
59. desenul realizat de un copil în ceea ce privește familia sa;[80]
60. amprentele digitale;[81]
61. geometria mâinii;[82]
62. modelele retinei;[83]
63. structura fetei;[84]
64. modele sangvine;[85]
65. rezultatele unui examen medical;[86]
66. fișele medicale;[87]
67. placă cu rezultatul unor raze X;[88]
68. informații referitoare la faptul că o persoană s-a rănit la picior;[89]
69. informații referitoare la faptul că o persoană lucrează part – time datorită
unor motive medicale;[90]
70. fișa medicală;[91]
71. datele dintr-un dosar medical;[92]
72. semnătura;[93]
73. felul de a se mișca;[94]
74. felul de a merge;[95]
75. valoarea unei case;[96]
76. registrul de evidenta al reparațiilor unui service auto;[97]
77. informațiile deținute de o societate cu numele unui client;[98]
78. informațiile furnizate de GPS-ul instalat pe o mașină;[99]
79. hobbyurile unei persoane;[100]
80. informațiile fragmentare din presa referitoare la un dosar penal;[101]
81. informațiile colectate de contoarele aferente furnizării diverselor utilități;
[102]
82. informațiile privind consumul de utilități înregistrat de locuințele smart;
[103]
83. factura la utilități;[104]
84. identificatorul unui contor smart dacă prin acesta poate fi identificat
consumatorul;[105]
85. conturile bancare;[106]
86. numărul unei cărți de credit;[107]
87. informații referitoare la banii plătiți unei anumite persoane de către
anumite autorități,[108]
88. informațiile referitoare la veniturile din munca și capital;[109]
89. datele fiscale;[110]
90. permisul de conducere;[111]
91. informațiile referitoare la serviciile electronice furnizate unei persoane și
perioada acestora;[112]
92. adresa IP;[113]
93. adresa IP dinamică;[114]
94. fișierele jurnal (Log files);[115]
95. web – cookies-urile;[116]
96. informații privind modul de folosire al unui calculator;[117]
97. istoria căutărilor pe internet a unei persoane;[118]
98. comportamentul unei persoane pe internet (ce pagini vizitează, pentru cât
timp, cu ce frecvență);[119]
99. locația unei persoane care folosește GPS sau WiFi;[120]
100. informațiile stocate pe un telefon mobil;[121]
101. informațiile colectate de detectivii particulari cu privire la anumiți agenți
imobiliari;[122]
102. numărul de identificare și adresa pasagerului unui taxi;[123]
103. informațiile deținute de Oficiul Registrului Comerțului privitoare la
numirea, încetarea funcției și identitatea persoanelor care au avut calitatea de
organe de administrare/supraveghere/control în cadrul unei societăți;[124]
104. numărul de înmatriculare al unei mașini;[125]
105. o hotărâre judecătorească.[126]
6. Concluzii
Datele cu caracter personal au stat dintotdeauna la baza funcționarii oricărei

societăți (profesionist), întrucât la baza oricărei activități stau persoanele
fizice.
Datele cu caracter personal vor continua să fie prelucrate în continuare de

către societăți (profesioniști) întrucât în lipsa acestora activitățile acestora nu
s-ar mai putea realiza.
Speram că în urma materialului prezentat mai sus, societățile (profesioniștii)

să conștientizeze natura informațiilor pe care le prelucrează, din perspectiva
legislației aferenta datelor cu caracter personal.
PS: În măsura în care în urma lecturării acestui material simțiți că nu ați
înțeles mai nimic și mai sunteți și obosiți, vă informăm că este normal și vă
recomandăm lecturarea din nou a materialului peste câteva zile.
[1] Art. 32 par. 1 Directiva nr. 95/46/CE/24.10.1995: Statele membre pun în aplicare actele
cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive
cel târziu la expirarea unei perioade de trei ani de la data adoptării sale.
[2] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 12.
[6] Raport de activitate 2003 Autoritatea pentru Protecția Datelor cu Caracter Personal
Cehia.
Cehia, pag. 23.
Cehia, pag. 18.
Cehia, pag. 23.
[13] Raport de activitate 2004 Autoritatea privind Protecția Datelor cu Caracter Personal
Irlanda, pag. 23.
[15] Raport de activitate 2005 Autoritatea privind Protecția Datelor cu Caracter Personal
Irlanda, pag. 31.
[22] Opinia nr. 4/2007 Grupul de Lucru format în baza art 29 din Directiva, pag. 15,
Hotărârea CEJ din 06.11.2003 pronunțată în cauza C 101/01, par. 24, Hotărârea CEJ din
16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43, Hotărârea CEJ din 16.12.2008
pronunțată în cauza C – 73/07, par. 35, Hotărârea CEJ din 07.05.2009 pronunțată în cauza
Rijkeboer, par. 42, Hotărârea CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12,
C – 372/12, par. 38.
[23] Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43.
[24] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15,
Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43, Hotărârea CEJ
din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43.
[26] Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43, Hotărârea
CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
Hotărârea CEJ din 07.05.2009 pronunțată în cauza Rijkeboer, par. 42.
[29] Opinia nr. 4/2007 Grupul de Lucru format în baza art 29 din Directivă, pag. 15.
[33] Hotararea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43, Hotărârea
CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
[34] Hotărârea CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12,
par. 38.
par. 38.
Hotărârea CEJ din 06.11.2003 pronunțată în cauza C 101/01, par. 24, Opinia nr. 1/2008
Grupul de Lucru format în baza art. 29 din Directivă, pag. 14, Raport de activitate 2010
Autoritatea pentru Protecția Datelor cu Caracter Personal Irlanda, pag. 39.
Cehia, pag. 23, Opinia nr. 1/2008 Grupul de Lucru format în baza art. 29 din Directivă, pag.
14.
Hotărârea CEJ din 06.11.2003 pronunțată în cauza C 101/01, par. 24.
[46] Hotărârea CEJ din 20.12.2017 pronunțată în cauza C – 434/16, par. 29 – 31.
[47] Opinia nr. 4/2007 Grupul de Lucru format în baza art 29 din Directivă, pag. 17.
[48] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 17, ex. 11.
[50] Hotărârea CEJ din 16.12.2008 pronunțataă în cauza C – 524/06, par. 31, 43.
Latvia, pag. 42, 43.
Cehia, pag. 20.
[56] Hotărârea CEJ din 20.12.2017 pronunțată în cauza C – 434/16, par. 36 – 39.
Irlanda, pag. 33.
[67] Hotărârea CEJ din 30.05.2013 pronunțată în cauza C – 342/12, par. 19, Opinia nr.
8/2001 Grupul de Lucru format în baza art. 29 din Directivă, pag. 2.
Slovenia, pag. 27.
Cehia, pag. 20.
[73] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directiva, pag. 9.
[75] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, ex. 2.
Slovenia, pag. 57.
[79] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9, ex. 3,
Hotărârea CEJ din 11.12.2014 pronunțată în cauza C – 212/13, par. 22, Opinia nr. 2/2012
Grupul de Lucru format în baza art. 29 din Directivă, pag. 5.
Hotărârea CEJ din 17.10.2013 pronunțată în cauza C – 291/12, par. 27.
[89] Hotărârea CEJ din 06.11.2003 pronunțată în cauza C – 101/01, par. 51.
Cipru, pag. 7.
Cehia, pag. 36, 37.
[100] Hotărârea CEJ din 06.11.2003 pronunțată în cauza C 101/01, par. 24.
[101] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 14, ex.
10.
[103] Opinia nr. 8/2014 Grupul de Lucru format în baza art. 29 din Directivă, pag. 10, 11.
Irlanda, pag. 67.
C – 139/01, par. 64.
[110] Hotărârea CEJ din 01.10.2015 pronunțată în cauza C – 201/14, par. 29, Hotărârea CEJ
din 27.09.2017 pronunțată în cauza C – 73/16, par. 41.
Irlanda, pag. 67.
Latvia, pag. 31.
[113] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directiva, pag. 20, ex.
15, Hotărârea CEJ din 24.11.2011 pronunțată în cauza C – 70/19, par. 51, Opinia nr. 1/2008
Grupul de Lucru format în baza art. 29 din Directivă, pag. 6, 8, Opinia nr. 2/2010 Grupul de
Lucru format în baza art. 29 din Directivă, pag. 9, Hotărârea CEJ din 19.10.2016 pronunțată
în cauza C – 582/14, par. 33.
[114] Hotărârea CEJ 19.10.2016 pronunțată în cauza C 582/14, par. 49, Raport 2012
Autoritatea pentru Protecția Datelor cu Caracter Personal Slovenia, pag. 28.
par. 26 – 29.
[118] Opinia nr. 1/2008 Grupul de Lucru format în baza art 29 din Directiva, pag. 8.
[122] Hotărârea CEJ din 07.11.2013 pronunțată în cauza C – 473/12, par. 26
Slovenia, pag. 63.
Slovenia, pag. 40.
Răzvan Nicolae Popescu

Avocat Partener în cadrul DUMITRU, POPESCU și ASOCIAȚII S.P.A.R.L.
Membru al DPA Legal Team

Juridice

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Juridice

Uploaded by

Copyright:

Available Formats

GDPR-Datele cu caracter personal

Această preocupare are la bază, printre altele, nivelul ridicat al sancțiunilor

Deși noua reglementare aduce o serie de modificări actelor normative,

În acest sens, în prima parte a prezentului material, ne vom apleca asupra

În doua parte a prezentului material, vom trata noțiunea de „date cu caracter

1. Datele cu caracter personal prelucrate, în mod obișnuit, de o

O societate, ca și entitate juridică dotată cu personalitate juridică, de la

În vederea exemplificării categoriilor de persoane ale căror date cu caracter

1.1. Organele de conducere ale societății (asociații/acționarii)

Orice societate înființată pe teritoriul României are ca organe de conducere

În ceea ce privește asociații/acționarii societății, societatea prelucrează, în

Exemplele menționate mai sus se adaptează, în mod corespunzător, și în

1.2. Organele de administrare ale societății

Orice societate înființată pe teritoriul României are ca organe de administrare

În ceea ce privește administratorii/directorii societății, societatea prelucrează,

Exemplele menționate mai sus se adaptează, în mod corespunzător, și în

1.3. Salariații societății

În ceea ce privește salariații, societatea prelucrează, în mod obișnuit,

1.4. Furnizorii de utilități/bunuri/servicii ai societății

În principiu, furnizorii de utilități/bunuri/servicii sunt constituiți la rândul lor

În aceste cazuri societatea prelucrează datele cu caracter personal ale

1.5. Subcontractanții societății

În anumite situații, o societate poate alege să furnizeze bunuri și/sau să

În aceste cazuri societatea prelucrează datele cu caracter personal ale

În măsura în care subcontractantul consta într-o persoană fizică (ex: un

1.6. Clienții societății

Orice activitate desfășurată de către o societate targhetează clienții, persoane

În măsura în care clienții sunt persoane fizice, societatea prelucrează datele cu

În măsura în care clienții societății sunt persoane juridice nu trebuie trasă

1.7. Autoritățile/instituțiile publice cu competențe în ceea ce

Orice societate înființată în România intră sub aria de competență a unor

În ambele situații, societatea prelucrează datele cu caracter personal ale

Datele cu caracter personal ale persoanelor exemplificate mai sus se regăsesc

2. Definiția legală a datelor cu caracter personal

2.1. Definiția legală a datelor cu caracter personal potrivit actualei

La ora actuală, la nivelul Uniunii Europene, noțiunea de date cu caracter

Statele membre au avut obligația de a transpune în propria legislație națională

2.2 Definiția legală a datelor cu caracter personal potrivit actualei

România a transpus în legislația națională prevederile Directivei nr.

La ora actuală, la nivel României, noțiunea de date cu caracter personal este

2.3. Definiția legală a datelor cu caracter personal potrivit viitoarei

La momentul intrării în vigoare a GDPR-ului noțiunea de date cu caracter

„În sensul prezentului regulament: 1. „date cu caracter personal” înseamnă

3. Aspecte general valabile în ceea ce privește datele cu caracter

În vederea familiarizării pe deplin cu noțiunea de „date cu caracter personal”

Folosirea regulilor expuse în continuare prin raportare la o anumită

Cu alte cuvinte, prin folosirea regulilor expuse în continuare se poate

În situația în care în urma aplicării regulilor expuse în continuare se ajunge la

3.1. Noțiunea de date cu caracter personal nu se limitează la

La o citire sumară a definițiilor legale privind conceptul de date cu caracter

Cu alte cuvinte, anumite persoane ar putea fi tentate să considere că numai

O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la

Din coroborarea acestor două sintagme se degaja concluzia că noțiunea de

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).

Prin hotărârea din 19.10.2016 pronunțată în cauza C – 582/14 CEJ a stabilit

Utilizarea de către legiuitorul Uniunii a termenului „indirect” urmărește să

Prin hotărârea din 20.12.2017 pronunțată în cauza C – 434/16 CEJ a stabilit

Astfel, pentru că o dată să poată fi calificată drept „dată cu caracter personal”,

Este cert că un candidat la un examen profesional este o persoană fizică ce

„Mai multe clarificări figurează în comentariul la articolele din propunerea

Includerea informațiilor că intrând în sfera celor care conduc la identificarea

„Termenii acestei declarații indică în mod clar faptul că măsura în care

Un nume de familie foarte comun nu va fi suficient să identifice pe cineva – –

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).