GDPR. Datele cu caracter personal prelucrate de o societate

11 aprilie 2018 | Răzvan Nicolae POPESCU

Răzvan Nicolae Popescu

Abstract

La ora actuală, atât în România, cât și la nivelul întregii Uniuni Europene, precum și la nivelul altor state ce găzduiesc diverse companii care oferă produse și/sau servicii destinate, printre altele, resortisanților Uniunii Europene, există o preocupare, din ce în ce mai mare, cu privire la intrarea în vigoare a Regulamentului nr. 679/27.04.2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (act normativ cunoscut în mass – media sub denumirea GDPR – General Data Protection Regulation).

Această preocupare are la bază, printre altele, nivelul ridicat al sancțiunilor aplicabile în cazul nerespectării prevederilor legale privind prelucrarea datelor cu caracter personal, acestea putând ajunge, în anumite situații, la valoarea de 10.000.000 – 20.000.0000 Euro sau până la 4% din cifra de afaceri.

În vederea evitării, sau cel puțin a reducerii riscului producerii unei eventuale încălcări și aplicării unei sancțiuni corespunzătoare, este necesară familiarizarea tuturor persoanelor implicate în prelucrarea datelor cu caracter personal cu regulile prescrise de GDPR.

Deși noua reglementare aduce o serie de modificări actelor normative, naționale și/sau europene, în materia prelucrării datelor cu caracter personal, pentru o deplină înțelegere a acestora, considerăm că se impune, în primul rând, explicarea, pe larg, a conceptului de „date cu caracter personal”.

În acest sens, în prima parte a prezentului material, ne vom apleca asupra datelor cu caracter personal prelucrate, în mod obișnuit, de o societate, exemplificând:
1. persoanele ale căror date cu caracter personal sunt prelucrate;
2. datele cu caracter personal prelucrate;
3. actele care cuprind date cu caracter personal.

În doua parte a prezentului material, vom trata noțiunea de „date cu caracter personal”, astfel cum aceasta a fost conturată în ultimii 20 ani, exemplificând:
– regulile legale privind încadrarea sau nu a anumitor informații în noțiunea de date cu caracter personal;
– opiniile legale, obligatorii și/sau de recomandare, emise de organele competente la nivelul Uniunii Europene în materia prelucrării datelor cu caracter personal;
– modurile de aplicare atât a regulilor legale, cât și a opiniilor legale, în practica de zi cu zi;
– informațiile care reprezintă date cu caracter personal, în viziunea organelor competente la nivelul Uniunii Europene în materia prelucrării datelor cu caracter personal.

1. Datele cu caracter personal prelucrate, în mod obișnuit, de o societate

O societate, ca și entitate juridică dotată cu personalitate juridică, de la înființare și până la radierea sa de la Oficiul Registrului Comerțului, prelucrează o serie de date cu caracter personal cu privire la mai multe persoane.

Același lucru s-ar putea spune și despre orice alt profesionist dintr-un anumit domeniu, independent de formă de organizare și independent dacă acesta are sau nu personalitate juridică (ex: un cabinet de avocat, un birou notarial, un birou de executor judecătoresc, un cabinet medical etc).

În vederea exemplificării categoriilor de persoane ale căror date cu caracter personal sunt prelucrate de către o societate (un profesionist) vom folosi, cu titlu exemplificativ, următoarea structură:

Din analiza structurii prezentate anterior rezultă că există o serie de categorii de persoane ale căror date cu caracter personal sunt prelucrate, în mod obișnuit, de către o societate, categorii menționate după cum urmează:
1. organele de conducere ale societății (asociații/acționarii);
2. organele de administrare ale societății (administratorii/directorii);
3. salariații societății;
4. furnizorii de utilități/bunuri/servicii ai societății
5. subcontractorii societății;
6. clienții societății;
7. autoritățile/instituțiile publice cu competențe în ceea ce privește societatea.

1.1. Organele de conducere ale societății (asociații/acționarii)

Orice societate înființată pe teritoriul României are ca organe de conducere asociații, respectiv acționarii acesteia.

În ceea ce privește asociații/acționarii societății, societatea prelucrează, în mod obișnuit, următoarele date cu caracter personal:
1. toate datele menționate în CI-ul asociatului/acționarului (nume, prenume, domiciliu, loc de naștere, data nașterii, CNP-ul, seria și nr. CI-ului, data eliberării, emitentul CI-ului, poza etc), întrucât la înființarea unei societăți actul de identitate al asociatului/acționarului este solicitat în vederea completării actelor necesare înființării societății (ex: actul constitutiv);
2. semnătura asociatului/acționarului, întrucât la înființarea unei societăți asociatul/acționarul semnează actele necesare înființării acesteia (ex: actul constitutiv);
3. datele privind cazierul judiciar al asociatului/acționarului, întrucât la momentul înființării unei societăți acesta este obligat să dea o declarație pe proprie răspundere cu privire la faptul că nu a fost condamnat pentru săvârșirea anumitor infracțiuni;
4. toate datele referitoare la aportul asociatului/acționarului în cadrul societății (tipul aportului, cuantumul aportului, data subscrierii, data vărsării etc), întrucât în actul constitutiv al societății se menționează, în mod obligatoriu aceste mențiuni;
5. toate datele referitoare la cota de participare la beneficii și pierderi a asociatului/acționarului, întrucât în actul constitutiv al societății se menționează, în mod obligatoriu aceste mențiuni;
6. toate datele referitoare la drepturile și obligațiile asociatului/acționarului, întrucât în actul constitutiv al societății se menționează, în mod obligatoriu aceste mențiuni;
7. informațiile privind participarea și modul de exercitare al votului al asociatului/acționarului în cadrul adunărilor generale (data participării, locul participării, modul de exercitare al votului, comentariile realizate cu ocazia ședinței, etc) întrucât, pe parcursul desfășurării activității de către societate, asociatul/acționarul poate fi convocat în vederea participării la ședințele adunării generale a asociaților/acționarilor;
8. datele de contact ale asociatului/acționarului (ex: număr de telefon, nr. fax, adresa e-mail) întrucât, pe parcursul desfășurării activității societății, poate exista o corespondență intre societate și asociat/acționar;
9. datele privind contul/conturile bancare ale asociatului/acționarului (ex: numărul de cont, moneda contului, bancă la care este deschis contul etc) întrucât, pe parcursul desfășurării activității, societatea poate să-i plătească asociatului/acționarului dividende;
10. datele privind veniturile obținute de asociat/acționar de la societate (ex: sumele plătite, cuantumul acestora, data plății, natura acestora etc) întrucât, pe parcursul desfășurării activității, societatea poate să-i plătească asociatului/acționarului dividende.

Exemplele menționate mai sus se adaptează, în mod corespunzător, și în situația în care asociatul/acționarul nu este o persoană fizică ci o persoană juridică sau orice alt tip de entitate, cu sau fără personalitate juridică.

În aceste din urmă cazuri, persoanele ale căror date cu caracter personal vor fi prelucrate de societate sunt persoanele care vor reprezenta și/sau vor acționa și/sau vor semna acte în numele și pe seama asociatului/acționarului (ex: administratorul societății care deține calitatea de asociat/acționar, împuternicitul societății care deține calitatea de asociat/acționar etc).

1.2. Organele de administrare ale societății (administratorii/directorii)

Orice societate înființată pe teritoriul României are ca organe de administrare administratorii, respectiv directorii acesteia.

În ceea ce privește administratorii/directorii societății, societatea prelucrează, în mod obișnuit, următoarele date cu caracter personal:
1. toate datele menționate în CI-ul administratorului/directorului (nume, prenume, domiciliu, loc de naștere, data nașterii, CNP-ul, seria și nr. CI-ului, data eliberării, emitentul CI-ului, poza etc.) întrucât, la înființarea unei societăți, actul de identitate al administratorului/directorului este solicitat în vederea completării actelor necesare înființării societății (ex: actul constitutiv);
2. semnătura administratorului/directorului întrucât, la înființarea unei societăți, asociatul/acționarul semnează actele necesare înființării acesteia (ex: specimenul de semnătură);
3. date privind cazierul judiciar al administratorului/directorului întrucât, la momentul înființării unei societăți, acesta este obligat să dea o declarație pe proprie răspundere cu privire la faptul că nu a fost condamnat pentru săvârșirea anumitor infracțiuni;
4. date privind experiența profesională a administratorului/directorului (ex: locurile de muncă anterioare, funcțiile deținute anterior, perioada în care au fost deținute funcțiile, diplomele și atestările profesionale etc) întrucât, anterior numirii, societatea îi poate solicita un CV viitorului administrator/director;
5. toate datele referitoare la drepturile și obligațiile administratorului/directorului, întrucât în actul constitutiv al societății se menționează, în mod obligatoriu, aceste mențiuni;
6. informații privind participarea și modul de exercitare al votului al administratorului/directorului în cadrul ședințelor organelor societății (data participării, locul participării, modul de exercitare al votului, comentariile realizate cu ocazia ședinței etc) întrucât, pe parcursul desfășurării activității societății, administratorul/directorul poate fi convocat în vederea participării la ședințele consiliului de administrație sau la alte tipuri de ședințe și/sau adunări;
7. informații privind modul în care administratorul/directorul își exercita funcția (ex: ce măsuri adopta, ce acte semnează etc);
8. datele de contact ale administratorului/directorului (ex: număr de telefon, nr. fax, adresa e-mail) întrucât, pe parcursul desfășurării activității societății, poate exista o corespondența intre societate și administrator/director;
9. datele privind contul/conturile bancare ale administratorului/directorului (ex: numărul de cont, moneda contului, bancă la care este deschis contul etc) întrucât, pe parcursul desfășurării activității, societatea poate să-i plătească administratorului/directorului remunerația acestuia sau alte beneficii
10. datele privind veniturile obținute de administrator/director de la societate (ex: sumele plătite, cuantumul acestora, data plății, natura acestora etc) întrucât, pe parcursul desfășurării activității, societatea poate să-i plătească administratorului/directorului remunerația acestuia sau alte beneficii.

Exemplele menționate mai sus se adaptează, în mod corespunzător, și în situația în care administratorul/directorul nu este o persoană fizică ci o persoană juridică sau orice alt tip de entitate, cu sau fără personalitate juridică.

În aceste din urmă cazuri, persoanele ale căror date cu caracter personal vor fi prelucrate de societate sunt persoanele care vor reprezenta și/sau vor acționa și/sau vor semna acte în numele și pe seama administratorului/directorului (ex: administratorul societății care deține calitatea de administrator/director, împuternicitul societății care deține calitatea de administrator/director etc).

1.3. Salariații societății

În principiu, orice societate înființată pe teritoriul României are salariați.

În ceea ce privește salariații, societatea prelucrează, în mod obișnuit, următoarele date cu caracter personal:
1. toate datele menționate în CI-ul salariatului (nume, prenume, domiciliu, loc de naștere, data nașterii, CNP-ul, seria și nr. CI-ului, data eliberării, emitentul CI-ului, poza etc) întrucât, la angajarea în cadrul unei societăți, actul de identitate al salariatului este solicitat în vederea completării actelor necesare încheierii contractului de muncă;
2. semnătura salariatului întrucât, la momentul angajării în cadrul unei societăți, salariatul semnează contractul de muncă și/sau alte acte (ex: un acord de confidențialitate);
3. date privind cazierul judiciar al salariatului întrucât, la momentul angajării în cadrul unei societăți, aceasta poate să solicite angajatului un astfel de document;
4. date privind experiența profesională a salariatului (ex: locurile de muncă anterioare, funcțiile deținute anterior, perioada în care au fost deținute funcțiile, diplomele și atestările profesionale etc) întrucât, anterior numirii, societatea îi poate solicita un CV viitorului salariat;
5. toate datele referitoare la drepturile și obligațiile salariatului întrucât, în contractul de muncă se menționează, în mod obligatoriu, aceste mențiuni;
6. informații privind modul în care salariatul își exercita funcția (ex: ce măsuri adopta, ce acte semnează, programul de muncă, prezenta sau lipsă de la muncă, numărul concediilor, perioada concediilor etc);
7. informații privind modul în care salariatul folosește logistica pusă la dispoziție de societate (ex: de câte ori deschide calculatorul oferit, numărul de conversații înregistrate pe telefonul mobil, numărul de e-mail-uri primite sau transmise, numărul de documente generat în cadrul societății, numărul de documente printat etc.);
8. datele de contact ale salariatului (ex: număr de telefon, nr. fax, adresa e-mail) întrucât, pe parcursul desfășurării activității societății, poate exista o corespondență între societate și salariat;
9. datele privind contul/conturile bancare ale salariatului (ex: numărul de cont, moneda contului, bancă la care este deschis contul etc) întrucât, pe parcursul desfășurării activității, societatea îi plătește salariatului salariul acestuia și/sau alte beneficii;
10. datele privind veniturile obținute de salariat de la societate (ex: sumele plătite, cuantumul acestora, data plății, natura acestora etc.) întrucât, pe parcursul desfășurării activității, societatea îi plătește salariatului salariul acestuia și/sau alte beneficii.

1.4. Furnizorii de utilități/bunuri/servicii ai societății

Orice societate înființată pe teritoriul României nu poate funcționa în lipsa unor furnizori de utilități/bunuri/servicii (ex: spațiu, apa, gaze, curent electric, telefonie fixă, internet, telefonie mobilă, servicii de contabilitate, servicii legale etc.).

În principiu, furnizorii de utilități/bunuri/servicii sunt constituiți la rândul lor sub forma unor societăți dotate cu personalitate juridică.

În aceste cazuri societatea prelucrează datele cu caracter personal ale persoanelor care reprezintă și/sau acționează și/sau semnează în numele și pe seama furnizorului de utilități/bunuri/servicii, cum ar putea fi:
1. numele, prenumele și domiciliul persoanei care semnează, în numele și pe seama furnizorului de utilități, contractul de furnizare al utilităților, întrucât la baza furnizării oricărei utilități sta un contract încheiat intre furnizor și societate;
2. semnătura persoanei care semnează, în numele și pe seama furnizorului de utilități, contractul de furnizare al utilităților, întrucât la baza furnizării oricărei utilități sta un contract încheiat intre furnizor și societate;
3. funcția persoanei care semnează, în numele și pe seama furnizorului de utilități, contractul de furnizare al utilităților, întrucât la baza furnizării oricărei utilități sta un contract încheiat intre furnizor și societate;
4. datele de contact ale persoanei care reprezintă furnizorul de utilități în raport cu societatea (ex: nume, prenume, telefon, fax, e-mail), întrucât pe parcursul furnizării utilităților, în principiu, furnizorul de utilități desemnează o persoană care să țină legătura cu societatea;
5. informațiile privind persoanele care transmit, în numele și pe seama furnizorului de utilități, diverse acte către societate (ex: nume, prenume, număr de telefon, nr. fax, e-mail, funcția deținută etc), întrucât pe parcursul derulării contractului de furnizare a utilităților furnizorul poate transmite anumite informații/acte către societate (e-mail-uri, notificări, convocări, oferte, informări etc.);
6. informațiile cuprinse în CI-ul persoanelor care acționează în numele și pe seama furnizorului de utilități atunci când aceștia se deplasează la sediul societății, iar aceasta are un sistem de securitate și pază care impune legitimarea tuturor vizitatorilor și stocarea datelor privind aceștia;
7. imaginea și/sau vocea persoanelor care acționează în numele și pe seama furnizorului de utilități atunci când aceștia se deplasează la sediul societății, iar aceasta are în funcțiune un sistem video de înregistrare și stocare a vizitatorilor sau atunci când aceștia efectuează conversații telefonice cu societatea, iar aceasta are în funcțiune un sistem de înregistrare și stocare a convorbirilor telefonice.

În măsura în care furnizorul de utilități/bunuri/servicii consta într-o persoană fizică (ex: un instalator, un electrician, un contabil, un avocat etc), exemplele menționate anterior se adaptează în mod corespunzător.

1.5. Subcontractanții societății

În anumite situații, o societate poate alege să furnizeze bunuri și/sau să presteze servicii prin intermediul unor subcontractanți.

În cele mai multe cazuri subcontractanții sunt constituiți, la rândul lor, sub forma unor societăți dotate cu personalitate juridică.

În aceste cazuri societatea prelucrează datele cu caracter personal ale persoanelor care reprezintă și/sau acționează și/sau semnează în numele și pe seama subcontractanților, cum ar putea fi cele menționate la par. precedent (1.4).

În măsura în care subcontractantul consta într-o persoană fizică (ex: un instalator, un electrician, un arhitect, un contabil, un avocat etc), exemplele menționate anterior se adaptează în mod corespunzător.

1.6. Clienții societății

Orice activitate desfășurată de către o societate targhetează clienții, persoane fizice și/sau persoane juridice.

În măsura în care clienții sunt persoane fizice, societatea prelucrează datele cu caracter personal ale acestora, cum ar putea fi:
1. numele, prenumele, domiciliul clientului, întrucât aceste informații ar putea fi necesare în vederea încheierii contractului intre societate și client;
2. semnătura clientului, întrucât între societate și client se poate încheia un contract în formă scrisă;
3. datele menționate în CI-ul clientului (CNP-ul, poza etc) întrucât, înainte de semnarea contractului, societatea poate solicita CI-ul clientului;
4. datele de contact ale clientului (telefon, fax, e-mail), întrucât acestea pot fi solicitate de societate în vederea executării contractului încheiat cu clientul;
5. identificatorii online ai clientului (username-ul folosit la logarea pe un magazin online), întrucât există posibilitatea ca societatea să folosească o platformă online de oferire a diverselor bunuri și/sau servicii;
6. datele privind contul bancar al clientului (numărul de cont, monedă, bancă la care este deschis contul), întrucât clientul poate opta pentru plată prin virament bancar;
7. datele privind sumele plătite de client pentru achiziționarea bunurilor/serviciilor (nivelul sumelor plătite, dată la care sunt plătite, natura plăților etc.);
8. datele privind preferințele clientului pentru anumite bunuri/servicii (ce tip de bunuri/servicii caută clientul, ce timp aloca clientul pe un site online pentru a vizualiza informațiile privind un anumit bun/serviciu, care sunt criteriile după care clientul caută un anumit bun/serviciu, care este frecvența cu care un client caută un anumit bun/serviciu), aceste informații fiind colectate cu o frecvență ridica în mediul online;
9. datele privind pregătirea profesională a clientului (studiile absolvite, calificările profesionale, locurile de muncă, funcțiile deținute etc), în măsura în care, spre exemplu, clientul este o persoană aflată în căutarea unui loc de muncă, iar societatea este o societate specializată în plasarea forței de muncă;
10. datele privind starea de sănătate a clientului (vârsta, greutatea, afecțiunile suferite, bolile anterioare, diverse alergii și/sau reacții adverse, tratamentele urmate, radiografii etc.), în măsura în care, spre exemplu, clientul este o persoană care caută îngrijiri medicale sau produse medicale, iar societatea este un furnizor de servicii și/sau produse medicale;
11. datele privind starea financiară a clientului (loc de muncă, venituri, persoane aflate în întreținere), în măsura în care, spre exemplu, clientul dorește contractarea unui împrumut sau a unei polițe de asigurare, iar societatea este o bancă sau o firmă de asigurări.

În măsura în care clienții societății sunt persoane juridice nu trebuie trasă concluzia că societatea nu prelucrează date cu caracter personal, întrucât orice client persoană juridică acționează prin intermediul unor persoane fizice.

În acest din urmă caz, societatea va prelucra datele cu caracter personal ale persoanelor care reprezintă și/sau acționează și/sau semnează, în numele și pe seama, persoanei juridice, caz în care exemplele menționate mai sus se adaptează în mod corespunzător, inclusiv prin raportare la exemplele oferite în par. precedent (1.4).

1.7. Autoritățile/instituțiile publice cu competențe în ceea ce privește societatea

Orice societate înființată în România intră sub aria de competență a unor autorități/instituții publice (ex: Oficiul Registrului Comerțului, ANAF, Autoritatea de Mediu, Consiliul Concurenței, Autoritatea pentru Protecția Datelor cu Caracter Personal, Ministerul Energiei etc.)

Autoritățile/instituțiile publice sunt constituite fie sub forma unor entități cu personalitate juridică, fie sub forma unor entități fără personalitate juridică.

În ambele situații, societatea prelucrează datele cu caracter personal ale persoanelor care reprezintă și/sau acționează și/sau semnează acte, în numele și pe seama autorității/instituției publice, cum ar putea fi:
1. referenții angajați în cadrul Oficiului Registrului Comerțului;
2. inspectorii ANAF;
3. inspectorii Autorității de Mediu;
4. inspectorii Consiliului Concurenței;
5. inspectorii Autorității pentru Protecția Datelor cu Caracter Personal etc.

Datele cu caracter personal ale persoanelor exemplificate mai sus se regăsesc într-o serie de acte întocmite de acestea, în numele și pe seama autorităților/instituțiilor publice, cum ar putea fi:
1. rezoluția referentului din cadrul Oficiului Registrului Comerțului, prin care se dispune înregistrarea unei mențiuni, acest act cuprinzând: numele, prenumele, funcția și semnătura referentului;
2. raportul de inspecție fiscală întocmit de inspectorii ANAF, acest act cuprinzând: numele, prenumele, funcția, semnătura și analiza inspectorului cu privire la situația financiară verificată;
3. o adresă emisă de autoritatea/instituția publică, fie din oficiu, fie în urma unei solicitări, acest act cuprinzând: numele, prenumele, funcția, semnătura emitentului;
4. o notificare emisă de autoritatea/instituția publică din oficiu, acest act cuprinzând: numele, prenumele, funcția, semnătura emitentului.

Din cele expuse mai sus rezultă, în esență, ca orice societate (profesionist), din orice domeniu, indiferent de forma juridică, prelucrează o multitudine de date cu caracter personal, referitoare la o serie de persoane cu care intra în contact pe parcursul desfășurării activității.

2. Definiția legală a datelor cu caracter personal

2.1. Definiția legală a datelor cu caracter personal potrivit actualei legislații europene

La ora actuală, la nivelul Uniunii Europene, noțiunea de date cu caracter personal este definită de art. 2 lit. a din Directiva nr. 95/46/CE/24.10.1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Directivă), după cum urmează:

„În sensul prezenței directive: a) „date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;”.

Statele membre au avut obligația de a transpune în propria legislație națională prevederile directivei anterior menționate, prin intermediul unor acte normative proprii.[1]

2.2 Definiția legală a datelor cu caracter personal potrivit actualei legislații romanești

România a transpus în legislația națională prevederile Directivei nr. 95/46/CE/24.10.1995 prin intermediul Legii nr. 677/2001.

La ora actuală, la nivel României, noțiunea de date cu caracter personal este definită de art. 3 lit. a din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Legea), după cum urmează:

„În înțelesul prezenței legi, următorii termeni se definesc după cum urmează: a) date cu caracter personal – orice informații referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;”.

2.3. Definiția legală a datelor cu caracter personal potrivit viitoarei legislații

La momentul intrării în vigoare a GDPR-ului noțiunea de date cu caracter personal va fi definită de art. 4 pct. 1 din acest act, după cum urmează:

„În sensul prezentului regulament: 1. „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;”.

3. Aspecte general valabile în ceea ce privește datele cu caracter personal

În vederea familiarizării pe deplin cu noțiunea de „date cu caracter personal” vom prezenta în continuare o serie de reguli privitoare la acest concept.

Folosirea regulilor expuse în continuare prin raportare la o anumită informație determina încadrarea sau, după caz, neîncadrarea acestei informații în noțiunea de date cu caracter personal.

Cu alte cuvinte, prin folosirea regulilor expuse în continuare se poate răspunde la întrebarea dacă anumite informații reprezintă sau nu date cu caracter personal și dacă acestora le sunt aplicabile prevederile legale în materia prelucrării datelor cu caracter personal.

În situația în care în urma aplicării regulilor expuse în continuare se ajunge la concluzia că anumite informații reprezintă date cu caracter personal atunci, în ceea ce privește aceste informații, sunt pe deplin aplicabile prevederile legale din materia prelucrării datelor cu caracter personal.

3.1. Noțiunea de date cu caracter personal nu se limitează la informațiile care prin ele însele pot conduce la identificarea unei persoane

La o citire sumară a definițiilor legale privind conceptul de date cu caracter personal, unele persoane ar putea fi tentate să considere că anumite informații, deși se referă la o anumită persoană, nu reprezintă date cu caracter personal, întrucât acestea nu ar fi în măsură să conducă la identificarea persoanei respective.

Cu alte cuvinte, anumite persoane ar putea fi tentate să considere că numai informațiile care pot conduce, prin ele însele, la identificarea unei persoane ar putea să reprezinte date cu caracter personal (ex: numele și prenumele, adresa, CNP-ul etc.).

O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la încălcări ale legislației privind prelucrarea datelor cu caracter personal.

În primul rând, trebuie observat faptul că atât legiuitorul european, cât și cel național definesc datele cu caracter personal folosind sintagma „orice informație”.

În al doilea rând, trebuie observat faptul că atât legiuitorul european, cât și cel național definesc datele cu caracter personal folosind sintagma „care poate fi identificată, direct sau indirect”.

Din coroborarea acestor două sintagme se degaja concluzia că noțiunea de date cu caracter personal include:
1. atât informațiile care pot conduce direct la identificarea unei anumite persoane (ex: nume, prenume, domiciliu, CNP etc.);
2. cât și informațiile care pot conduce indirect la identificarea unei anumite persoane (ex: numărul de înmatriculare al unei mașini, adresa de e-mail, numărul de telefon, adresa IP a unui dispozitiv mobil etc.);

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).

Prin hotărârea din 19.10.2016 pronunțată în cauza C – 582/14 CEJ a stabilit (par. 40 și 41):

„În această privință, rezultă din modul de redactare a articolului 2 literă (a) din Directiva 95/46 că o persoană identificabilă este o persoană care poate fi identificată nu doar direct, ci și indirect.

Utilizarea de către legiuitorul Uniunii a termenului „indirect” urmărește să indice că, pentru a califica o informație drept dată cu caracter personal, nu este necesar ca această informație să permită, singură, identificarea persoanei vizate. (ns)”.

Prin hotărârea din 20.12.2017 pronunțată în cauza C – 434/16 CEJ a stabilit (par. 31 și 29):

Astfel, pentru că o dată să poată fi calificată drept „dată cu caracter personal”, în sensul articolului 2 literă (a) din Directiva 95/46, nu este necesar ca toate informațiile care permit identificarea persoanei vizate să se afle în posesia unei singure persoane …

Este cert că un candidat la un examen profesional este o persoană fizică ce poate fi identificată fie direct, în baza numelui său, fie indirect, în baza unui număr de identificare, care sunt consemnate pe foaia de examinare sau pe pagina de gardă a acestei foi.”.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directiva:

„Mai multe clarificări figurează în comentariul la articolele din propunerea modificată a Comisiei, în sensul că „o persoană poate fi identificată direct prin nume sau indirect printr-un număr de telefon, un număr de înmatriculare a mașinii, un număr de securitate socială, numărul pașaportului sau printr-o combinație de criterii semnificative care îi permit să fie recunoscută prin restrângerea grupului de care aparține (vârsta, ocupația, locul de reședință etc.)”.[2]

Includerea informațiilor că intrând în sfera celor care conduc la identificarea în mod direct a unei persoane sau, după caz, în sfera celor care conduc la identificarea în mod indirect a aceleiași persoane, depinde de circumstanțele concrete ale fiecărui caz în parte.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directiva:

„Termenii acestei declarații indică în mod clar faptul că măsura în care anumiți identificatori sunt suficienți pentru a realiza identificarea este ceva dependent de contextul situației particulare.

Un nume de familie foarte comun nu va fi suficient să identifice pe cineva – – din întreaga populație a unei țari, în timp ce este probabil să se obțină identificarea unui elev într-o sală de clasă.”.[3]

Din cele expuse mai sus, rezultă că noțiunea de date cu caracter personal acoperă:
1. atât informațiile care pot conduce, prin ele însele, la identificarea unei persoane,
2. cât și informațiile care, deși prin ele însele nu pot conduce la identificarea unei persoane, în combinație cu alte informații de aceeași natură, pot conduce la identificarea unei persoane.

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).

Prin hotărârea din 06.11.2003 pronunțată în cauza C – 101/01, CEJ a stabilit (par. 24):

„Termenul „date cu caracter personal” utilizat la articolul 3 alineatul (1) din Directiva 95/46 include, la definiția de la articolul 2 litera (a), „orice informație referitoare la o persoană identificată său persoană fizică identificabilă „. Termenul acoperă, fără îndoială, numele unei persoane coroborate cu numărul său de telefon sau informații despre persoana lui privitoare la condițiile de muncă sau hobby-urile sale.”.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directivă:

„Pentru a stabili această identitate, uneori trebuie că numele persoanei să fie combinat cu alte informații (data nașterii, numele părinților, adresa sau o fotografie a feței) pentru a preveni confuzia între persoana respectivă și alta.”[4];

„În cazuri în cazul în care, la prima vedere, amploarea identificatorilor disponibili nu permite nimănui să identifice o anumită persoană, această persoană ar putea fi „identificabilă” pentru că informațiile respective combinate cu alte informații (dacă acestea sunt reținute de către operatorul de date sau nu) ar permite identificarea persoanei.”.[5]

Tot în același sens este și opinia Autorității privind Protecția Datelor cu Caracter Personal din Cehia:

La nivelul anului 2003:

„A fost dezvăluit în timpul inspecțiilor că, de obicei, angajații autorităților municipale cred că datele cu caracter personal includ numai identificatori. Cu toate acestea, datele personale înseamnă date care se referă la un subiect de date specific și identificabil (adică o persoană fizică cu care datele sunt legate). Totuși, specificul se bazează mai degrabă pe aspecte subiective. De exemplu, într-un mic municipiu, o persoană poate fi identificată pe baza numelui, prenumelui și adresei, cu toate acestea, acest lucru este imposibil într-un oraș mai mare, unde sunt necesare mai multe informații.”.[6]

La nivelul anului 2010:

„Unele companii susțin că, în ceea ce privește adresele de e-mail pe care le obțin, fie de la surse deschise (internet) sau prin achiziționarea unei baze de date sau a unei alte liste, acestea nu menționează numele și prenumele și prin urmare, prelucrarea datelor cu caracter personal nu este implicată.

Acest argument în sine și faptul că societățile întreba dacă o adresă de e-mail reprezintă sau nu este date cu caracter personal, indică o lipsă de înțelegere și cunoaștere a definiției datelor cu caracter personal, deoarece, în esență, orice date pot fi date cu caracter personal. Totul depinde de context”.[7]

În continuare vom prezenta o serie de exemple practice referitoare la identificarea unei persoane fie în baza unei singure informații (identificator), fie în baza combinării mai multor informații (identificatori):
1. numele unei persoane ar putea conduce la identificarea acesteia într-un oraș mic, în care numele este unic (identificare în baza unui singur identificator – numele);
2. adresa unei persoane ar putea conduce la identificarea acesteia în cazul în care la respectiva adresa locuiește numai această (identificare în baza unui singur identificator – adresa);
3. numărul de telefon al unei persoane ar putea conduce la identificarea acesteia în situația în care are un abonament, abonamentul este pe numele acesteia și este singurul utilizator (identificare în baza unui singur identificator – numărul de telefon);
4. numele unei persoane, împreună cu adresa acesteia ar putea conduce la identificarea acesteia într-un anumit oraș, deși oricare dintre aceste informații, luate în mod singular, nu ar putea conduce la identificarea acesteia (identificare în baza a doi identificatori – numele și adresa),
5. numele unei persoane împreună cu prenumele și numărul de telefon ar putea conduce la identificarea acesteia, deși oricare dintre aceste informații, luate în mod singular, nu ar putea conduce la identificarea acesteia (identificare în baza a trei identificatori – numele, prenumele și numărul de telefon);
6. numele unei persoane împreună cu locul de muncă ar putea conduce la identificarea acesteia, deși oricare dintre aceste informații, luate în mod singular, nu ar putea conduce la identificarea acesteia (identificare în baza a doi identificatori – numele și locul de muncă);
7. numele unei persoane împreună cu locul de muncă și funcția deținută ar putea conduce la identificarea acesteia, deși oricare dintre aceste informații, luate în mod singular, nu ar putea conduce la identificarea acesteia (identificare în baza a trei identificatori – numele, locul de muncă și funcția deținută);
8. funcția unei persoane împreună cu locul de muncă și perioada în care a deținut funcția ar putea conduce la identificarea unei persoane, deși oricare dintre aceste informații, luate în mod singular, nu ar putea conduce la identificarea acesteia (identificare în baza a trei identificatori – funcția, locul de muncă și perioada deținerii funcției).

3.2. Noțiunea de date cu caracter personal nu se raportează la posibilitatea deținătorului acestora de a identifica o anumită persoană

La o citire sumară a definițiilor legale privind conceputul de date cu caracter personal, unele persoane ar putea fi tentate să considere că anumite informații, deși se referă la o anumită persoană, nu reprezintă date cu caracter personal, întrucât acestea nu le permit deținătorilor acestor informații să identifice o anumită persoană.

Cu alte cuvinte, anumite persoane ar putea considera, că informațiile pe care le dețin nu reprezintă date cu caracter personal întrucât acestea nu le permit să identifice o anumită persoană.

O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la încălcări ale legislației privind prelucrarea datelor cu caracter personal.

Din analiza definițiilor legale ale conceputului de date cu caracter personal se poate observa că legiuitorul nu a raportat definițiile la capacitatea unei anumite persoane (deținătorul datelor) de a identifica el însuși o anumită persoană (persoana vizată).

Mai mult, tot din analiza definițiilor legale ale conceputului de date cu caracter personal se poate observa că legiuitorul nu a raportat definițiile la capacitatea unei anumite persoane (deținătorul datelor) de a identifica o anumită persoană numai pe baza informațiilor deținute.

Noțiunea de date cu caracter personal se apreciază nu prin raportare la posibilitatea deținătorului acestora de a identifica o anumită persoană, ci prin raportare la posibilitatea oricărei persoane de a identifica o anumită persoană.

De asemenea, noțiunea de date cu caracter personal se apreciază nu prin raportare la posibilitatea deținătorului acestora de a identifica o anumită persoană pe baza acestora, ci prin raportare la posibilitatea oricărei persoane de a identifica o anumită persoană, atât pe baza acestora, cât și pe baza unor informații suplimentare deținute de aceasta din urmă.

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).

Prin hotărârea din 19.10.2016 pronunțată în cauza C – 582/14, CEJ a stabilit (par. 42, 43, 44):

„În plus, considerentul (26) al Directivei 95/46 precizează că, pentru a determina dacă o persoană este identificabilă, este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană pentru a identifica persoana vizată.

În măsura în care acest considerent face referire la mijloace care pot fi utilizate în mod rezonabil atât de operator, cât și de o „altă persoană”, modul de redactare a acestuia sugerează că, pentru că o dată să poată fi calificată drept „dată cu caracter personal” în sensul articolului 2 literă (a) din directiva menționată, nu este necesar ca toate informațiile care permit identificarea persoanei vizate să se afle în posesia unei singure persoane.

Faptul că informațiile suplimentare necesare pentru a identifica utilizatorul unui site internet sunt deținute nu de furnizorul de servicii de comunicații electronice, ci de furnizorul de acces la internet al acestui utilizator, nu pare astfel de natură să excludă că adresele IP dinamice înregistrate de furnizorul de servicii de comunicații electronice constituie, pentru acesta, date cu caracter personal în sensul articolului 2 literă (a) din Directiva 95/46.”.

Prin hotărârea din 20.12.2017 pronunțată în cauza C – 434/16, CEJ a stabilit (par. 30, 31):

„Contrar a ceea ce pare să susțină comisarul pentru protecția datelor, este lipsit de relevanță, în acest context, aspectul dacă examinatorul poate sau nu poate să identifice candidatul la momentul corectării și al notării foii de examinare.

Pe de altă parte, este cert că, în ipoteza în care examinatorul nu cunoaște identitatea candidatului cu ocazia notării răspunsurilor furnizate de acesta în cadrul unui examen, entitatea care organizează examenul, în speță ordinul experților contabili, dispune, în schimb, de informațiile necesare care îi permit să identifice acest candidat fără dificultăți sau îndoieli pe baza numărului său de identificare, consemnat pe foaia de examinare sau pe pagina de gardă a acestei foi, și astfel să îi atribuie răspunsurile furnizate.”.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directiva:

„Exemplul nr. 10: informații fragmentare în presă

Sunt publicate informații despre un caz penal care a câștigat multă publicitate și atenție în trecut. În publicația de față nu există niciunul dintre cele identificatorii tradiționali, în special niciun nume nici data nașterii unei persoane implicate.

Nu pare însă dificil să se obțină informații suplimentare care să permită unei persoane să afle care sunt persoanele implicate, de ex. prin căutarea ziarelor din perioada de timp relevantă.

Într-adevăr, se poate presupune că nu este absolut improbabil ca cineva să ia astfel de măsuri (căutarea ziarelor vechi) care ar putea, cel mai probabil, să furnizeze nume și alte elemente de identificare pentru persoanele menționate în exemplu.

Prin urmare, pare a fi justificată examinarea informațiilor din exemplul dat ca fiind „informații despre persoanele identificabile” și, ca atare, „date cu caracter personal”.”;[8]

„Exemplul nr. 12: Publicarea plăcilor cu raze X împreună cu numele pacientului

Placa de radiografie a doamnei a fost publicată într-un jurnal științific, împreună cu numele acesteia, care a fost unul foarte neobișnuit.

Numele doamnei, combinat cu, cunoașterea de către rudele sau cunoștințele acesteia că a suferit o anumită boală a făcut ca persoană să fie identificabilă pentru anumit număr de persoane, iar plăcile cu raze X ar putea fi atunci să fie considerate date cu caracter personal.”;[9]

„Deși adresele IP în majoritatea cazurilor nu reprezintă identificatori direcți pentru motoarele de căutare, identificarea poate fi realizată de o terță parte.

Furnizorii de acces la internet dețin informații referitoare la adresele IP.

Autoritățile cu competențe în aplicarea legii și securitatea națională pot avea acces la aceste informații, iar în unele state membre, persoanele private au obținut acces și prin intermediul unor litigii civile.

Astfel, în majoritatea cazurilor – inclusiv cazuri cu alocarea adresei IP dinamice – datele necesare vor fi disponibile pentru a identifica utilizatorul adresei IP.”.[10]

În același sens este și opinia Autorității privind Protecția Datelor cu Caracter Personal din Cehia:

La nivelul anului 2004:

„Având în vedere conținutul descris mai sus și formă de tipărire și având în vedere capacitatea entităților serviciului de igienă de a identifica majoritatea clienților prin comparație cu alte baze de date, inclusiv baze de date non-publice (organismele serviciului de igienă au, de exemplu, dreptul legal de acces la sistemul de informații al registrului populației), această procedură implică prelucrarea datelor cu caracter personal în sensul Legii privind protecția datelor cu caracter personal.”.[11]

La nivelul anului 2010:

„O adresă de e-mail, ca parte a setului informațiilor legate de o anumită persoană care face obiectul unui interes comercial, reprezintă fără îndoială date cu caracter personal.

Poate fi pusă la îndoială numai dacă o adresă de e-mail ca atare reprezintă date cu caracter personal.

Aici, este necesar să se facă distincția între adresele care se referă la o identitate direct determinabilă, cum ar fi nume.prenume@denumireacompaniei.xxx, sau o entitate indirect determinabilă.

În primul caz, adresa reprezintă fără îndoială date cu caracter personal, în timp ce în al doilea caz pot exista îndoieli.

Se poate întâmpla în practică că, dacă un individ creează de ex. adresa xxx@gmail.com, el poate fi identificat, chiar și indirect, numai cu mari dificultăți.

Cu toate acestea, Legea privind protecția datelor cu caracter personal nu prevede pentru cine o persoană este identificabilă și, prin urmare, este clar că, pentru un anumit domeniu de persoane, adresa menționată mai sus reprezintă date personale ale unei persoane cunoscute și, prin urmare, este, în principiu, întotdeauna catalogată ca fiind date cu caracter personal”.[12]

În continuare vom prezenta o serie de exemple practice referitoare la informații care deși prin ele însele nu pot conduce la identificarea unei persoane de către deținătorul acestora, împreună cu alte informații deținute de o altă persoană, permit acesteia din urmă să identifice o anumită persoană:
1. numărul de telefon – o persoană obișnuită nu poate identifica, în principiu, o altă persoană doar pe baza unui număr de telefon, cu toate acestea, furnizorul serviciilor de telefonie poate pe baza acestuia și a altor informații deținute în propria baza de date să identifice persoana căreia îi este atribuit numărul respectiv,
2. CNP-ul – o persoană obișnuită nu poate identifica, în principiu, o altă persoană dosar pe baza CNP-ului, cu toate acestea, autoritățile statului pot pe baza acestuia și a altor informații deținute în propriile baze de date să identifice persoana căreia îi este atribuit CNP-ul respectiv,
3. semnătura unei persoane – o persoană obișnuită nu poate identifica, în principiu, o altă persoană doar pe baza unei semnături, cu toate acestea, o entitate care deține o bază de date ce include și semnături (ex: o bancă) poate pe baza acesteia și a altor informații deținute în propria baza de date să identifice persoana căreia îi este atribuita semnătura,
4. IP-ul unui calculator – o persoană obișnuită nu poate identifica, în principiu, o altă persoană doar pe baza unui IP, cu toate acestea, furnizorul de servicii de telecomunicație poate pe baza acestuia și a altor informații deținute în propria baza de date să identifice persoana căreia îi este atribuit IP-ul,
5. numărul de înmatriculare al unui autoturism – o persoană obișnuită nu poate identifica, în principiu, o altă persoană doar pe baza unui număr de înmatriculare al unui autoturism, cu toate acestea, autoritățile statului (ex: poliția) poate pe baza acestuia și a altor informații deținute în propria baza de date să identifice persoana căreia îi este numărul de înmatriculare,
6. poza unei persoane – o persoană obișnuită nu poate identifica, în principiu, o altă persoană doar pe baza unei poze, cu toate acestea, autoritățile statului (ex: poliția) poate pe baza acesteia și a altor informații deținute în propria baza de date să identifice persoana căreia îi este atribuita poza.

3.3. Noțiunea de date cu caracter personal nu vizează numai informațiile confidențiale, ci chiar și cele care sunt deja publice

De asemenea, unele persoane ar fi tentate să considere că anumite informații deși se referă la o anumită persoană nu reprezintă date cu caracter personal, întrucât acestea au fost deja făcute publice, fie de către persoana în cauză, fie de către o alta.

O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la încălcări ale legislației privind prelucrarea datelor cu caracter personal.

În primul rând, trebuie observat că prin definițiile date conceptului de date cu caracter personal, atât legiuitorul național, cât și cel european au folosit sintagma „orice informație”, tocmai pentru a imprima un caracter cât mai larg de acoperire al acestei noțiuni, acoperind astfel atât informațiile confidențiale, cât și alte informații.

În al doilea rând, trebuie observat că sintagma „cu caracter personal” nu se interpretează în sensul că privește numai informațiile confidențiale, ci se interpretează în sensul că informațiile respective se referă la o anumită persoană în parte, că-i sunt atribuite acesteia, că au legătură cu aceasta.

În al treilea rând, trebuie observat că definițiile nu exclud din sfera lor de aplicare informațiile care sunt deja publice.

Față de toate aceste împrejurări, trebuie concluzionat în sensul că datele cu caracter personal privesc atât:
1. informațiile confidențiale privind o anumită persoană;
2. informațiile privind o anumită persoană care deși nu sunt confidențiale nici nu au fost făcute publice;
3. informațiile publice privind o anumită persoană.

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).

Prin hotărârea din 16.12.2008 pronunțată în cauza C – 73/07, CEJ a stabilit (par. 25, 35, 48 și 49):

“De mai mulți ani, Markkinapörssi colectează date publice de la autoritățile fiscale finlandeze pentru a edita în fiecare an extrase din aceste date în edițiile regionale ale ziarului Veropörssi.

Trebuie să se constate că datele vizate prin această întrebare care privesc numele și prenumele anumitor persoane fizice ale căror venituri depășesc anumite limite și, în special, cu o aproximare de 100 de euro, cuantumul veniturilor acestora din muncă și din capital constituie date cu caracter personal în sensul articolului 2 literă (a) din directivă, întrucât sunt „informații referitoare la o persoană fizică identificată sau identificabilă”

În sfârșit, este necesar să se arate că o derogare generală de la aplicarea directivei în ceea ce privește informațiile publicate ar lipsi directiva în mare parte de sens. Astfel, ar fi suficient că statele membre să publice datele pentru a le sustrage de la protecția prevăzută de directivă.

În consecință, trebuie să se răspundă la a patra întrebare în sensul că activitățile de prelucrare a datelor cu caracter personal precum cele vizate la prima întrebare literele c) și d), care privesc sisteme de evidență ale autorităților publice care conțin date cu caracter personal care nu cuprind decât informații deja publicate ca atare în mass‑media, fac parte din domeniul de aplicare al directivei.”.

Prin hotărârea din 16.07.2015 pronunțată în cauza C – 615/13 P, CEJ a stabilit (par. 31):

„De asemenea, faptul că atât identitatea experților vizați, cât și observațiile prezentate privind proiectul de orientare au fost făcute publice pe site‑ul internet al EFSA nu înseamnă că informația în litigiu ar fi pierdut această calificare”.

În același sens este și opinia Autorității privind Protecția Datelor cu Caracter Personal din Irlanda:

„Cu toate acestea, chiar dacă ar fi fost cazul, în care detaliile avocatului se află în domeniul public în virtutea unei cerințe impuse Consiliul Baroului de a face publice datele, acest lucru nu ar fi absolvit alți operatori de date sau împuterniciții acestora care achiziționează aceste date, de obligațiile care le revin în temeiul actelor.”.[13]

În continuare vom prezenta o serie de exemple practice referitoare la informații care deși sunt publice constituie în continuare date cu caracter personal:
1. informațiile stocate de Oficiul Registrului Comerțului privind persoanele care dețin sau au deținut calitatea de asociat/acționar/administrator/director/cenzor/auditor în cadrul unei societăți;
2. informațiile stocate de Oficiul de Cadastru și Publicitate Imobiliară privind persoanele care dețin sau au deținut în proprietate un imobil;
3. informațiile stocate pe site-ul instanțelor judecătorești privind persoanele care sunt sau au fost parte în cadrul unui proces;
4. informațiile stocate pe site-urile diverselor entități cu scop jurnalistic (televiziuni, radio, presa scrisă etc);
5. informațiile stocate pe site-urile diverșilor bloggeri, cu sau fără scop patrimonial;
6. informațiile stocate pe site-urile diverselor autorități și instituții publice referitoare la declarațiile de avere ale unor funcționari publici sau ale personalului contractual;
7. informațiile stocate pe site-urile diverselor companii/societăți private și/sau naționale privind persoanele care dețin calitatea de asociați/acționari/administratori/directori/cenzori/auditori;
8. informațiile stocate pe site-urile barourilor avocaților privind persoanele care dețin calitatea de avocați;
9. informațiile stocate pe site-urile diverselor organizații profesionale privind persoanele care dețin calitatea de membrii ai acestor organizații (ex: medici, arhitecți, experți, notari publici, executori judecătorești etc);
10. informațiile stocate în mediul social media (ex: Facebook, Twitter, Linkedin, YouTube etc).

3.4. Noțiunea de date cu caracter personal vizează nu numai informații privind viața privată a unei persoane, ci orice fel de informații, inclusiv cele privind viața profesională

La o citire sumară a definițiilor legale privind conceputul de date cu caracter personal, unele persoane ar putea fi tentate să considere că anumite informații, deși se referă la o anumită persoană, nu reprezintă date cu caracter personal, întrucât acestea nu privesc viața privată a acelei persoane, ci, spre exemplu, viața profesională.

O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la încălcări ale legislației privind prelucrarea datelor cu caracter personal.

În al doilea rând, trebuie observat că nici legiuitorul național și nici cel european nu au limitat sfera datelor cu caracter personal la anumite sfere din viața unei persoane, spre exemplu la sferă vieții de familie.

Nu în ultimul rând, trebuie subliniat că noțiunea de „date cu caracter personal” nu este echivalentă noțiunii de „informații privind viața privată”, astfel cum aceasta este înțeleasă în sensul comun al termenului, ci include și aceste din urmă informații alături de orice alte informații, inclusiv cele din sfera activității profesionale a unei persoane.

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).

Prin hotărârea din 20.05.2003 pronunțată în cauza C – 465/00 CEJ a stabilit (par. 74):

„În primul rând, colectarea de date în funcție de nume referitoare la veniturile profesionale ale unei persoane, în scopul comunicării către terți, intră în sfera de aplicare a directivei Articolul 8 din Convenție. Curtea Europeană a Drepturilor Omului s-a pronunțat în sensul că expresia „viața privată” nu trebuie interpretată restrictiv și că „nu există niciun motiv de principiu care să justifice excluderea activităților profesionale … din noțiunea de „viață privată””.

Prin hotărârea din 16.07.2015 pronunțată în cauza C – 615/13 P CEJ a stabilit (par. 30):

“După cum a statuat în mod întemeiat Tribunalul la punctele 44-46 din hotărârea atacată, împrejurarea că informația menționată se înscrie în contextul unei activități profesionale nu este de natură să îi înlăture calificarea de set de date cu caracter personal”.

Prin hotărârea din 09.03.2017 pronunțat în cauza C – 398/15 CEJ a stabilit (par. 34):

„Or, trebuie să se constate că informațiile referitoare la identitatea persoanelor vizate la articolul 2 alineatul (1) literele (d) și (j) din Directiva 68/151 constituie, ca informații referitoare la persoane fizice identificate sau identificabile, „date cu caracter personal” în sensul articolului 2 literă (a) din Directiva 95/46. Astfel, rezultă din jurisprudența Curții că împrejurarea că aceste informații se înscriu în contextul unei activități profesionale nu este de natură să le înlăture calificarea de date cu caracter personal.”.

Prin hotărârea din 20.12.2017 pronunțată în cauza C – 434/16 CEJ a stabilit (par. 44):

„Constatarea că observațiile examinatorului referitoare la răspunsurile furnizate de candidat în cadrul examenului constituie informații care, ca urmare a conținutului, a finalității și a efectului lor, sunt legate de acest candidat nu este infirmată de faptul că aceste observații constituie de asemenea informații referitoare la examinator.”.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directiva:

„Termenul „date personale” include informații care privesc viața privată și de familie a individului „stricto sensu”, dar și informații referitoare la orice tip de activitate desfășurată de către individ, precum cea referitoare la relațiile de muncă sau la cele economice, sociale sau comportamentale proprii individului.

Acesta include, prin urmare, informații despre indivizi, indiferent de poziția sau capacitatea acestor persoane (cum ar fi consumatorul, pacientul, angajatul, clientul etc).”.[14]

În același sens este și opinia Autorității privind Protecția Datelor cu Caracter Personal din Irlanda:

„Comentariile privind un manager de școală sau membru al personalului, cuprinse într-un raport de inspecție școlară sunt date personale referitoare la persoana respectivă în sensul actelor privind protecția datelor.”.[15]

În continuare vom prezenta o serie de exemple practice referitoare la informații care deși nu reprezintă informații privitoare la viața de familie a unei persoane constituie date cu caracter personal:
1. informații referitoare la starea de sănătate a unei persoane (boli, medicamente, tratamente, intervenții chirurgicale etc);
2. informații referitoare la locul de muncă (locație, program, prezenta, concedii, salariu, bonificații etc);
3. informații referitoare la modul în care o persoană înțelege să-și cheltuiască/economisească/investească banii;
4. informații referitoare la modul în care o persoană înțelege să dobândească anumite diplome/atestate profesionale sau de orice altă natură;
5. informații referitoare la modul în care o persoană înțelege să participe la evenimente culturale (teatru, opera, filarmonica, serate etc.);
6. informații referitoare la tipurile de produse/servicii preferate de o anumită persoană (bunuri, vacante etc.).

3.5. Noțiunea de date cu caracter personal acoperă și evaluările, respectiv opiniile cu privire la o anumită persoană

La o citire sumară a definițiilor legale privind conceputul de date cu caracter personal, unele persoane ar putea fi tentate să considere că anumite informații, deși se referă la o anumită persoană, nu reprezintă date cu caracter personal, întrucât acestea ar reprezenta o evaluare sau o opinie cu privire la o anumită persoană.

O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la încălcări ale legislației privind prelucrarea datelor cu caracter personal.

Prin definițiile date conceptului de date cu caracter personal, atât legiuitorul național, cât și cel european au folosit sintagma „orice informație”, tocmai pentru a imprima un caracter cât mai larg de acoperire al acestei noțiuni, acoperind astfel atât informațiile obiective (ex: numele unei persoane), cât și informațiile subiective (ex: opinia unei persoane față de o alta).

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).

Prin hotărârea din 20.12.2017 pronunțată în cauza C – 434/16 CEJ a stabilit (par. 34):

„Astfel, utilizarea expresiei „orice informație” în cadrul definiției noțiunii „date cu caracter personal”, care figurează la articolul 2 literă (a) din Directiva 95/46, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care nu este restrânsă la informațiile sensibile sau de ordin privat, ci înglobează potențial orice tip de informații, atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea să fie „referitoare” la persoana în cauză.”.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directiva:

„Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter personal include orice fel de afirmații despre o persoană. Acesta acoperă informații „obiective”, cum ar fi prezența unei anumite substanțe în sângele unei persoane.

Acesta include, de asemenea, informații „subiective”, opinii sau evaluări. Acest ultim fel de informații constituie o parte considerabilă a procesării datelor cu caracter personal în sectoare precum cel bancar, evaluarea fiabilității debitorilor („Titius este un împrumutat fiabil”), în asigurări („Titius nu este de așteptat să moară în curând”) sau în ocuparea forței de muncă („Titius este un lucrător bun și merită promovarea”)”.[16]

În ceea ce privește evaluările, respectiv opiniile, pentru care acestea să poată fi catalogate ca fiind date cu caracter personal, trebuie ca acestea, să îndeplinească oricare din următoarele condiții:
1. conținutul lor să privească o anumită persoană;
2. scopul lor să privească o anumită persoană;
3. efectele lor să privească o anumită persoană.

În măsura în care o anumită evaluare/opinie, prin conținutul și/sau scopul și/sau efectele acesteia privesc o anumită persoană aceasta reprezintă date cu caracter personal.

În același sens s-a pronunțat și Curtea Europeană de Justiție (CEJ).

Prin hotărârea din 20.12.2017 pronunțată în cauza C – 434/16 CEJ a stabilit (par. 34 – 39):

În ceea ce privește această din urmă condiție, ea este îndeplinită atunci când, ca urmare a conținutului, a scopului său a efectului său, informația este legată de o persoană determinată.

Or, după cum a arătat în esență domnul Nowak, guvernele ceh, elen, maghiar, austriac și portughez, precum și Comisia Europeană, răspunsurile scrise furnizate de un candidat la un examen profesional constituie asemenea informații legate de persoană să.

Astfel, mai întâi, conținutul acestor răspunsuri reflectă nivelul cunoștințelor și al competențelor candidatului într-un anumit domeniu, precum și, după caz, procesul de gândire, raționamentul și spiritul său critic. În cazul examenului scris de mână, răspunsurile conțin în plus informații privind grafia acestuia.

Apoi, colectarea răspunsurilor menționate are ca scop evaluarea capacităților profesionale ale candidatului și a aptitudinii sale de a exercita meseria în cauză.

În sfârșit, utilizarea acestor informații, care se traduce în special prin succesul sau prin eșecul candidatului la examenul vizat, este susceptibilă să aibă un efect asupra drepturilor și a intereselor acestuia, în măsura în care poate să determine sau să influențeze, de exemplu, șansele sale de a avea acces la profesia sau la locul de muncă dorit.”.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directiva:

„Grupul de lucru a acordat deja atenție problemei momentului în care informațiile pot fi considerate ca fiind „referitoare” la o persoană. În contextul discuțiilor privind datele problemei de protecție ridicate de etichetele RFID, grupul de lucru a observat că „datele se referă la un individ dacă se referă la identitatea, caracteristicile sau comportamentul unei persoane sau dacă astfel de informații sunt folosite pentru a determina sau a influența modul în care persoana respectivă este tratată sau evaluată.

Având în vedere cazurile menționate mai sus și în același sens, ar putea fi subliniat că, pentru a considera că datele „se referă” la un individ, un element „conținut” SAU un element „scop” SAU un element „rezultat” ar trebui să fie prezent.”.[17]

În continuare vom prezenta o serie de exemple practice referitoare la informații cuprinse în opinii/evaluări care datorită conținutului/scopului/efectelor acestora reprezintă date cu caracter personal:
1. răspunsurile date de o persoană în cadrul unui examen, întrucât prin conținutul acestora prezintă informații cu privire la nivelul de cunoștințe al persoanei respective;
2. observațiile unui examinator în ceea ce privește răspunsurile unei persoane care a susținut un examen, întrucât scopul acestora consta în evaluarea nivelul de cunoștințe al unei persoane, iar efectele acestora pot conduce ca o persoană poate fi declarată admisă sau respinsă la un examen;
3. informațiile furnizate de o persoană în cadrul completării unei declarații fiscale, întrucât prin conținutul acestora prezintă informații cu privire la situația financiară a persoanei respective,
4. observațiile unui inspector fiscal în ceea ce privește informațiile furnizate de o persoană cu ocazia completării unei declarații fiscale, întrucât scopul acestora consta în evaluarea nivelul de impozitare al unei persoane, iar efectele acestora pot încadra o persoană unui anumit regim de impozitare;
5. informațiile furnizate de o persoană unei instituții de credit, în încercarea de a obține un împrumut, întrucât prin conținutul acestora prezintă informații cu privire la situația financiară și nu numai a persoanei respective;
6. analiza unui angajat al unei instituții de credit în ceea ce privește informațiile furnizate de persoană care dorește contractarea unui împrumut, întrucât scopul acestora consta în evaluarea posibilitatea acordării împrumutului, iar efectele constau în acordarea sau nu a împrumutului solicitat;
7. informațiile furnizate de un pacient medicului său unei entități de servicii medicale, întrucât prin conținutul acestora prezintă informații cu privire la starea de sănătate a persoanei respective;
8. analiza medicului său a unei entități de servicii medicale, întrucât scopul acesteia consta în evaluarea stării de sănătate a unei persoane, iar efectele acesteia constau în prescrierea sau nu a unui anumit tratament sau intervenții,
9. informațiile furnizate de o persoană în vederea achiziționării de bunuri sau servicii, întrucât prin conținutul acestora privesc informații privind persoana respectivă;
10. analiza furnizorului de bunuri sau servicii a informațiilor furnizate de o persoană în vederea achiziționării acestora, întrucât scopul acesteia consta în stabilirea furnizării sau nu a produselor sau serviciilor, iar efectele constau în furnizarea sau nu a produselor sau serviciilor solicitate.

3.6. Noțiunea de date cu caracter personal include și informațiile neadevărate, respectiv informațiile nedovedite cu privire la o anumită persoană

O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la încălcări ale legislației privind prelucrarea datelor cu caracter personal.

Prin definițiile date conceptului de date cu caracter personal, atât legiuitorul național, cât și cel european au folosit sintagma „orice informație”, tocmai pentru a imprima un caracter cât mai larg de acoperire al acestei noțiuni, acoperind astfel atât informațiile adevărate, respectiv cele dovedite, cât și cele neadevărate sau nedovedite.

Faptul că noțiunea de „date cu caracter personal” acoperă și informațiile neadevărate rezulta și din faptul că persoana vizată are dreptul de a solicita operatorului de date cu caracter personal modificarea datelor deținute de acesta pentru a corespunde realității.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directiva:

Pentru că informațiile să fie „date personale”, nu este necesar ca acestea să fie adevărate sau dovedite. Normele privind protecția datelor prevăd deja posibilitatea că informațiile să fie incorecte și prevăd dreptul persoanei vizate de a accesa aceste informații și de a le contesta prin remedii adecvate.”.[18]

3.7. Noțiunea de date cu caracter personal nu se limitează la informațiile care pot identifica o persoană după nume

La o citire sumară a definițiilor legale privind conceptul de date cu caracter personal, unele persoane ar putea fi tentate să considere că anumite informații, deși se referă la o anumită persoană, nu reprezintă date cu caracter personal, întrucât acestea nu ar putea fi în măsură, în niciun caz, să conducă la identificarea unei persoane după numele/prenumele acesteia.

O astfel de abordare ar fi eronată și ar putea conduce, în anumite situații, la încălcări ale legislației privind prelucrarea datelor cu caracter personal.

Prin definițiile date conceptului de date cu caracter personal, atât legiuitorul național, cât și cel european au folosit sintagma „orice informație”, tocmai pentru a imprima un caracter cât mai larg de acoperire al acestei noțiuni, acoperind astfel atât informațiile care pot conduce la identificarea unei persoane după nume și/sau prenume, cât și informații care nu pot conduce la o astfel de identificare exactă.

Tot din analiza definițiilor conceptului de date cu caracter personal rezultă că acestea nu implică, ca și condiție de tratare a anumitor informații ca fiind date cu caracter personal, necesitate identificării unei persoane după nume/prenume.

În același sens este și opinia Grupului de Lucru format în baza art. 29 din Directiva:

La nivelul anului 2007:

„Un caz special ar fi acela al unor adrese IP care, sub anumite aspecte și circumstanțe, într-adevăr, nu permit identificarea utilizatorului, pentru diverse motive tehnice și organizatorice. Un exemplu ar putea fi adresele IP atribuite unui computer într-o cafenea de internet unde nu se solicită identificarea clienților. Ar putea fi a susținut că datele colectate cu privire la utilizarea computerului X într-un anumit interval de timp nu permit identificarea utilizatorului cu mijloace rezonabile și, prin urmare, nu reprezintă date personale.

Cu toate acestea, trebuie remarcat faptul că cei mai mulți furnizori de servicii de internet probabil nu știu dacă adresa IP în cauză este una care permite identificarea sau nu și că vor procesa datele asociate cu acel IP în același mod în care tratează informațiile asociate cu adresele IP ale utilizatorilor care sunt în mod corespunzător înregistrate și identificabile. Deci, cu excepția cazului în care furnizorul de servicii de internet este în poziția pentru a distinge cu certitudine absolută că datele corespund utilizatorilor care nu pot fi identificați, va trebui să trateze toate informațiile IP ca date personale, pentru a fi în siguranță.”.[19]

La nivelul anului 2010:

„Grupul de lucru întemeiat pe „Articolul 29” constată că metodele de publicitate comportamentală descrise în prezența Opinie implică deseori prelucrarea datelor cu caracter personal, astfel cum este definită la articolul 2 din Directiva 2004/18/CE 95/46/CE și interpretată de grupul de lucru în temeiul articolului 29.

Acest lucru se datorează diferitelor motive: i) publicitatea comportamentală implică în mod normal colectarea de adrese IP și prelucrarea de identificatori unici (prin cookie). Utilizarea unor astfel de dispozitive cu un identificator unic permite urmărirea utilizatorilor unui anumit computer chiar și atunci când se utilizează adrese IP dinamice.

Cu alte cuvinte, astfel de dispozitive permit persoanelor vizate să fie „separate”, chiar dacă numele lor reale nu sunt cunoscute.”.[20]

La nivelul anului 2011:

„Când se iau în considerare mijloacele disponibile pentru identificare, acestea trebuie stabilite luând în considerare faptul că oamenii tind să dezvăluie tot mai multe date despre locația personală pe internet, de exemplu prin publicarea locației casei sau a locului de muncă combinate cu alte date de identificare.

O astfel de dezvăluire se poate întâmpla, de asemenea, fără cunoștințele lor, atunci când sunt geolocalizați de alți oameni. Această dezvoltare facilitează legarea unei locații sau a unui model de comportament față de anumit individ.

În plus, în urma avizului nr. 4/2007 privind conceptul de date cu caracter personal, ar trebui, de asemenea, să fie remarcat faptul că un identificator unic, în contextul descris mai sus, permite urmărirea unui utilizator al unui dispozitiv specific și, astfel, permite utilizatorului să fie „separat” chiar dacă numele său real nu este cunoscut.”.[21]

4. Elementele ce compun conceptul de date cu caracter personal – i) orice informații; ii) referitoare la; iii) persoana fizică; iv) identificată sau identificabilă

Prin intermediul Opiniei nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directiva a prezentat, într-un mod extensiv, elementele care compun conceptul de date cu caracter personal și modul în care acestea trebuie înțelese.

În continuare, vom prezenta, succint, recomandările realizate prin Opinia nr. 4/2007.

Conceput de date cu caracter personal are la baza patru elemente distincte:
1. orice informație;
2. referitoare la;
3. persoana fizică;
4. identificată/identificabilă.

4.1. Orice informație

Sintagma folosită de legiuitor „orice informație” semnifică necesitatea adoptării unei interpretări largi.

Din punct de vedere al naturii informațiilor, acestea pot fi obiective (ex. înălțimea unei persoane) sau subiective (evaluarea unei persoane de către o alta).

Din punct de vedere al conținutului informațiilor, acesta se poate referi la orice aspect din viața unei persoane, viața de familie, viața culturală, relațiile de muncă, relațiile sociale, relațiile economice etc.

Din punct de vedere al formatului informațiilor, acesta poate consta în orice fel de suport, scris, video, audio, electronic etc.

4.2. Referitoare la

În general sintagma „referitoare la” este echivalentă cu „despre persoana …”.

În anumite cazuri legătură poate fi stabilit ușor, ex: datele dintr-un dosar referitoare la o anumită persoană (ex: un dosar de angajat, un dosar medical).

În alte cazuri legătură poate fi stabilită mai greu, față de faptul că informațiile privesc în mod direct bunuri/evenimente și numai indirect persoane (ex: valoarea unei case, locația unei case, registrul de evidenta al unui service auto etc).

Datele se „referă la o persoană” atunci când:
1. fie acestea privesc identitatea/caracteristicile/comportamentul unei persoane (ex: o poză, un nume etc.);
2. fie când prin conținutul/scopul/efectele acestora privesc o persoană (ex: o declarație fiscală, răspunsurile furnizate în cadrul unui examen etc.).

4.3. O persoană fizică

Legislația privind datele cu caracter personal vizează numai informațiile referitoare la persoane fizice.

4.4. Identificată/identificabilă

O persoană este identificată când aceasta este distinsă (individualizată/separată) în cadrul unui grup.

O persoană este identificabilă atunci când aceasta nu a fost încă distinsă (individualizată/separată) în cadrul unui grup, însă aceasta se poate realiza în viitor.

Identificarea se poate realiza direct (de ex: prin nume) sau indirect (de ex: prin nume și adresa).

Identificarea directă și/sau indirectă depinde de context (ex: prin nume poate fi individualizat un elev dintr-o clasă, în timp de același elev, doar după nume nu poate fi individualizat la nivelul școlii).

5. Exemple de informații care constituie date cu caracter personal

În cadrul prezentului capitol vă vom prezenta o serie de informații care, în opinia autorităților/instituțiilor cu competențe în domeniul prelucrării datelor cu caracter personal, reprezintă date cu caracter personal:
1. numele unei persoane;[22]
2. prenumele unei persoane;[23]
3. data nașterii;[24]
4. proveniență;[25]
5. cetățenia;[26]
6. numele părinților;[27]
7. domiciliul unei persoane;[28]
8. vârsta unei persoane;[29]
9. categoria de vârstă;[30]
10. înălțimea unei persoane;[31]
11. culoarea părului unei persoane;[32]
12. sexul unei persoane;[33]
13. etnia;[34],
14. limba;[35]
15. starea civilă;[36]
16. numărul de telefon;[37]
17. adresa de e-mail;[38]
18. numărul de înregistrare a mașinii;[39]
19. numărul de securitate socială;[40]
20. numărul de pașaport;[41]
21. ocupația unei persoane;^[42]
22. funcția unei persoane;[43]
23. îmbrăcămintea unei persoane;[44]
24. numărul de membrii ai unei familii;[45]
25. numărul de identificare al unei persoane care participă la un examen;[46]
26. numărul unic atribuit unei persoane în mod electronic;[47]
27. numărul unic atribuit unui solicitant de azil;[48]
28. lista intrărilor și ieșirilor unei persoane pe teritoriul unui stat;[49]
29. statutul de rezident;[50]
30. informații referitoare la pașapoartele deținute;[51]
31. informațiile cuprinse într-un cod de bare încorporat unui document de identitate al unei persoane;[52]
32. codul personal;[53]
33. informațiile privind o persoană cuprinse într-o analiză juridică;[54]
34. răspunsurile date la un chestionar anonim;[55]
35. răspunsurile date de o persoană când susține un examen;[56]
36. opinia unui examinator în ceea ce privește răspunsurile furnizate de o persoană care a susținut un examen;[57]
37. informațiile referitoare la managerul unei școli cuprinse într-un raport de control;[58]
38. registrele școlare;[59]
39. informațiile privind participarea la o ședință, la o anumită oră, într-un anumit loc, precum și afirmațiile realizate în cadrul ședinței;[60]
40. prezenta în sângele unei persoane a unei substanțe;[61]
41. modul în care un doctor înțelege să prescrie un anumit tratament;[62]
42. bonitatea unui împrumutat;[63]
43. expectativa de viață a unui asigurat;[64]
44. formularul completat de o persoană care dorește să se angajeze;[65]
45. capacitatea de muncă a unui salariat;[66]
46. evidenta timpului de lucru, perioadele de lucru zilnice, pauzele de muncă;[67]
47. cursurile de pregătire profesională ale unui angajat;[68]
48. accidentele de muncă;[69]
49. problemele disciplinare ale unui angajat;[70]
50. titlul unui document creat de un angajat;[71]
51. salariul unei persoane;[72]
52. informațiile dintr-un e-mail;[73]
53. informațiile dintr-un document electronic;[74]
54. vocea unui client care dă instrucțiuni băncii;[75]
55. vocea unei persoane atunci când inițiază o convorbire telefonică;[76]
56. felul de a vorbi;[77]
57. registrul telefonic;[78]
58. imaginea unei persoane;[79]
59. desenul realizat de un copil în ceea ce privește familia sa;[80]
60. amprentele digitale;[81]
61. geometria mâinii;[82]
62. modelele retinei;[83]
63. structura fetei;[84]
64. modele sangvine;[85]
65. rezultatele unui examen medical;[86]
66. fișele medicale;[87]
67. placă cu rezultatul unor raze X;[88]
68. informații referitoare la faptul că o persoană s-a rănit la picior;[89]
69. informații referitoare la faptul că o persoană lucrează part – time datorită unor motive medicale;[90]
70. fișa medicală;[91]
71. datele dintr-un dosar medical;[92]
72. semnătura;[93]
73. felul de a se mișca;[94]
74. felul de a merge;[95]
75. valoarea unei case;[96]
76. registrul de evidenta al reparațiilor unui service auto;[97]
77. informațiile deținute de o societate cu numele unui client;[98]
78. informațiile furnizate de GPS-ul instalat pe o mașină;[99]
79. hobbyurile unei persoane;[100]
80. informațiile fragmentare din presa referitoare la un dosar penal;[101]
81. informațiile colectate de contoarele aferente furnizării diverselor utilități;[102]
82. informațiile privind consumul de utilități înregistrat de locuințele smart;[103]
83. factura la utilități;[104]
84. identificatorul unui contor smart dacă prin acesta poate fi identificat consumatorul;[105]
85. conturile bancare;[106]
86. numărul unei cărți de credit;[107]
87. informații referitoare la banii plătiți unei anumite persoane de către anumite autorități,^[108]
88. informațiile referitoare la veniturile din munca și capital;[109]
89. datele fiscale;[110]
90. permisul de conducere;[111]
91. informațiile referitoare la serviciile electronice furnizate unei persoane și perioada acestora;[112]
92. adresa IP;[113]
93. adresa IP dinamică;[114]
94. fișierele jurnal (Log files);[115]
95. web – cookies-urile;[116]
96. informații privind modul de folosire al unui calculator;[117]
97. istoria căutărilor pe internet a unei persoane;[118]
98. comportamentul unei persoane pe internet (ce pagini vizitează, pentru cât timp, cu ce frecvență);[119]
99. locația unei persoane care folosește GPS sau WiFi;[120]
100. informațiile stocate pe un telefon mobil;[121]
101. informațiile colectate de detectivii particulari cu privire la anumiți agenți imobiliari;^[122]
102. numărul de identificare și adresa pasagerului unui taxi;[123]
103. informațiile deținute de Oficiul Registrului Comerțului privitoare la numirea, încetarea funcției și identitatea persoanelor care au avut calitatea de organe de administrare/supraveghere/control în cadrul unei societăți;[124]
104. numărul de înmatriculare al unei mașini;[125]
105. o hotărâre judecătorească.[126]

6. Concluzii

Datele cu caracter personal au stat dintotdeauna la baza funcționarii oricărei societăți (profesionist), întrucât la baza oricărei activități stau persoanele fizice.

Datele cu caracter personal vor continua să fie prelucrate în continuare de către societăți (profesioniști) întrucât în lipsa acestora activitățile acestora nu s-ar mai putea realiza.

Speram că în urma materialului prezentat mai sus, societățile (profesioniștii) să conștientizeze natura informațiilor pe care le prelucrează, din perspectiva legislației aferenta datelor cu caracter personal.

PS: În măsura în care în urma lecturării acestui material simțiți că nu ați înțeles mai nimic și mai sunteți și obosiți, vă informăm că este normal și vă recomandăm lecturarea din nou a materialului peste câteva zile.

[1] Art. 32 par. 1 Directiva nr. 95/46/CE/24.10.1995: Statele membre pun în aplicare actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive cel târziu la expirarea unei perioade de trei ani de la data adoptării sale.
[2] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 12.
[3] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 13.
[4] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 13.
[5] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 13.
[6] Raport de activitate 2003 Autoritatea pentru Protecția Datelor cu Caracter Personal Cehia.
[7] Raport de activitate 2010 Autoritatea pentru Protecția Datelor cu Caracter Personal Cehia, pag. 23.
[8] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 14.
[9] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[10] Opinia nr. 1/2008 Grupul de Lucru format în baza art. 29 din Directivă, pag. 8.
[11] Raport de activitate 2004 Autoritatea pentru Protecția Datelor cu Caracter Personal Cehia, pag. 18.
[12] Raport de activitate 2010 Autoritatea pentru Protecția Datelor cu Caracter Personal Cehia, pag. 23.
[13] Raport de activitate 2004 Autoritatea privind Protecția Datelor cu Caracter Personal Irlanda, pag. 23.
[14] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 6.
[15] Raport de activitate 2005 Autoritatea privind Protecția Datelor cu Caracter Personal Irlanda, pag. 31.
[16] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 6.
[17] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 11.
[18] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 6.
[19] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 17.
[20] Opinia nr. 2/2010 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[21] Opinia nr. 13/2011 Grupul de Lucru format în baza art. 29 din Directivă, pag. 10.
[22] Opinia nr. 4/2007 Grupul de Lucru format în baza art 29 din Directiva, pag. 15, Hotărârea CEJ din 06.11.2003 pronunțată în cauza C 101/01, par. 24, Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43, Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 73/07, par. 35, Hotărârea CEJ din 07.05.2009 pronunțată în cauza Rijkeboer, par. 42, Hotărârea CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
[23] Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43.
[24] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15, Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43, Hotărârea CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
[25] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 16, Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43.
[26] Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43, Hotărârea CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
[27] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[28] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15, Hotărârea CEJ din 07.05.2009 pronunțată în cauza Rijkeboer, par. 42.
[29] Opinia nr. 4/2007 Grupul de Lucru format în baza art 29 din Directivă, pag. 15.
[30] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 16.
[31] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[32] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[33] Hotararea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43, Hotărârea CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
[34] Hotărârea CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
[35] Hotărârea CEJ din 17.07.2014 pronunțată în cauzele reunite C – 141/12, C – 372/12, par. 38.
[36] Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43.
[37] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15, Hotărârea CEJ din 06.11.2003 pronunțată în cauza C 101/01, par. 24, Opinia nr. 1/2008 Grupul de Lucru format în baza art. 29 din Directivă, pag. 14, Raport de activitate 2010 Autoritatea pentru Protecția Datelor cu Caracter Personal Irlanda, pag. 39.
[38] Raport de activitate 2003 Autoritatea pentru Protecția Datelor cu Caracter Personal Cehia, pag. 23, Opinia nr. 1/2008 Grupul de Lucru format în baza art. 29 din Directivă, pag. 14.
[39] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[40] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[41] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[42] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15, Hotărârea CEJ din 06.11.2003 pronunțată în cauza C 101/01, par. 24.
[43] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[44] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[45] Opinia nr. 8/2001 Grupul de Lucru format în baza art. 29 din Directivă, pag. 7.
[46] Hotărârea CEJ din 20.12.2017 pronunțată în cauza C – 434/16, par. 29 – 31.
[47] Opinia nr. 4/2007 Grupul de Lucru format în baza art 29 din Directivă, pag. 17.
[48] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 17, ex. 11.
[49] Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43.
[50] Hotărârea CEJ din 16.12.2008 pronunțataă în cauza C – 524/06, par. 31, 43.
[51] Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 524/06, par. 31, 43.
[52] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 11.
[53] Raport de activitate 2008 Autoritatea pentru Protecția Datelor cu Caracter Personal Latvia, pag. 42, 43.
[54] Hotărârea CEJ din 17.07.2014 pronunțată în cauza C – 372/12, par. 48, 59.
[55] Raport de activitate 2007 Autoritatea pentru Protecția Datelor cu Caracter Personal Cehia, pag. 20.
[56] Hotărârea CEJ din 20.12.2017 pronunțată în cauza C – 434/16, par. 36 – 39.
[57] Hotărârea CEJ din 20.12.2017 pronunțată în cauza C – 434/16, par. 44, 45.
[58] Raport de activitate 2005 Autoritatea pentru Protecția Datelor cu Caracter Personal Irlanda, pag. 33.
[59] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[60] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 14, ex. 9.
[61] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 7.
[62] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 7.
[63] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 7.
[64] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 7.
[65] Opinia nr. 8/2001 Grupul de Lucru format în baza art. 29 din Directivă, pag. 2.
[66] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 7.
[67] Hotărârea CEJ din 30.05.2013 pronunțată în cauza C – 342/12, par. 19, Opinia nr. 8/2001 Grupul de Lucru format în baza art. 29 din Directivă, pag. 2.
[68] Opinia nr. 8/2001 Grupul de Lucru format în baza art. 29 din Directivă, pag. 7.
[69] Opinia nr. 8/2001 Grupul de Lucru format în baza art. 29 din Directivă, pag. 7.
[70] Opinia nr. 8/2001 Grupul de Lucru format în baza art. 29 din Directivă, pag. 2.
[71] Raport de activitate 2012 Autoritatea pentru Protecția Datelor cu Caracter Personal Slovenia, pag. 27.
[72] Raport de activitate 2007 Autoritatea pentru Protecția Datelor cu Caracter Personal Cehia, pag. 20.
[73] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directiva, pag. 9.
[74] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directiva, pag. 9.
[75] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, ex. 2.
[76] Raport de activitate 2013 Autoritatea pentru Protecția Datelor cu Caracter Personal Slovenia, pag. 57.
[77] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[78] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 13, ex. 7.
[79] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9, ex. 3, Hotărârea CEJ din 11.12.2014 pronunțată în cauza C – 212/13, par. 22, Opinia nr. 2/2012 Grupul de Lucru format în baza art. 29 din Directivă, pag. 5.
[80] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9, ex. 4.
[81] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9, Hotărârea CEJ din 17.10.2013 pronunțată în cauza C – 291/12, par. 27.
[82] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[83] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[84] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[85] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[86] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 10.
[87] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 15.
[88] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 19, ex. 12.
[89] Hotărârea CEJ din 06.11.2003 pronunțată în cauza C – 101/01, par. 51.
[90] Hotărârea CEJ din 06.11.2003 pronunțată în cauza C – 101/01, par. 51.
[91] Raport de activitate 2008 Autoritatea pentru Protecția Datelor cu Caracter Personal Cipru, pag. 7.
[92] Raport de activitate 2015 Autoritatea pentru Protecția Datelor cu Caracter Personal Cehia, pag. 36, 37.
[93] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[94] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[95] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9.
[96] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 10, ex. 5.
[97] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 11, ex. 6.
[98] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 11.
[99] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 13, ex. 8.
[100] Hotărârea CEJ din 06.11.2003 pronunțată în cauza C 101/01, par. 24.
[101] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directivă, pag. 14, ex. 10.
[102] Opinia nr. 8/2011 Grupul de Lucru format în baza art. 29 din Directivă, pag. 8.
[103] Opinia nr. 8/2014 Grupul de Lucru format în baza art. 29 din Directivă, pag. 10, 11.
[104] Raport de activitate 2012 Autoritatea pentru Protecția Datelor cu Caracter Personal Irlanda, pag. 67.
[105] Opinia nr. 12/2011 Grupul de Lucru format în baza art. 29 din Directiva, pag. 9.
[106] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directiva, pag. 15.
[107] Opinia nr. 1/2008 Grupul de Lucru format în baza art. 29 din Directiva, pag. 14.
[108] Hotărârea CEJ din 20.05.2013 pronunțată în cauzele reunite C – 465/00, C – 138/01, C – 139/01, par. 64.
[109] Hotărârea CEJ din 16.12.2008 pronunțată în cauza C – 73/07, par. 35.
[110] Hotărârea CEJ din 01.10.2015 pronunțată în cauza C – 201/14, par. 29, Hotărârea CEJ din 27.09.2017 pronunțată în cauza C – 73/16, par. 41.
[111] Raport de activitate 2012 Autoritatea pentru Protecția Datelor cu Caracter Personal Irlanda, pag. 67.
[112] Raport de activitate 2008 Autoritatea pentru Protecția Datelor cu Caracter Personal Latvia, pag. 31.
[113] Opinia nr. 4/2007 Grupul de Lucru format în baza art. 29 din Directiva, pag. 20, ex. 15, Hotărârea CEJ din 24.11.2011 pronunțată în cauza C – 70/19, par. 51, Opinia nr. 1/2008 Grupul de Lucru format în baza art. 29 din Directivă, pag. 6, 8, Opinia nr. 2/2010 Grupul de Lucru format în baza art. 29 din Directivă, pag. 9, Hotărârea CEJ din 19.10.2016 pronunțată în cauza C – 582/14, par. 33.
[114] Hotărârea CEJ 19.10.2016 pronunțată în cauza C 582/14, par. 49, Raport 2012 Autoritatea pentru Protecția Datelor cu Caracter Personal Slovenia, pag. 28.
[115] Opinia nr. 1/2008 Grupul de Lucru format în baza art. 29 din Directivă, pag. 6.
[116] Opinia nr. 1/2008 Grupul de Lucru format în baza art. 29 din Directivă, pag. 8.
[117] Hotărârea CEJ din 08.04.2014 pronunțată în cauzele reunite C – 293/12, C – 594/12, par. 26 – 29.
[118] Opinia nr. 1/2008 Grupul de Lucru format în baza art 29 din Directiva, pag. 8.
[119] Opinia nr. 2/2010 Grupul de Lucru format în baza art. 29 din Directiva, pag. 9.
[120] Opinia nr. 13/2011 Grupul de Lucru format în baza art. 29 din Directiva, pag. 8.
[121] Opinia nr. 2/2013 Grupul de Lucru format în baza art. 29 din Directivă, pag. 8.
[122] Hotărârea CEJ din 07.11.2013 pronunțată în cauza C – 473/12, par. 26
[123] Hotărârea CEJ din 04.05.2017 pronunțată în cauza C – 13/16, par. 24.
[124] Hotărârea CEJ din 09.03.2017 pronunțată în cauza C – 398/15, par. 32, 34.
[125] Raport de activitate 2013 Autoritatea pentru Protecția Datelor cu Caracter Personal Slovenia, pag. 63.
[126] Raport de activitate 2009 Autoritatea pentru Protecția Datelor cu Caracter Personal Slovenia, pag. 40.

Răzvan Nicolae Popescu
Avocat Partener în cadrul DUMITRU, POPESCU și ASOCIAȚII S.P.A.R.L.
Membru al DPA Legal Team

Secţiuni: Articole, Flux informații, RNSJ, SELECTED, Studii

Cuvinte cheie: date personale, efectele GDPR, Razvan Nicolae Popescu, Regulamentul privind protecţia datelor cu caracter personal, societate

Vă invităm să publicaţi şi dumneavoastră pe JURIDICE.ro. Ne bucurăm să aducem gândurile dumneavoastră la cunoştinţa comunităţii juridice şi publicului larg. Apreciem generozitatea dumneavoastră de a împărtăşi idei valoroase. JURIDICE.ro este o platformă de exprimare. Publicăm chiar şi opinii cu care nu suntem de acord, publicarea pe JURIDICE.ro nu semnifică asumarea de către noi a mesajului transmis de autor. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteţi citi aici. Pentru a publica pe JURIDICE.ro vă rugăm să luaţi în considerare Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice.

Puteţi prelua gratuit în website-ul dumneavoastră fluxul de noutăţi JURIDICE.ro:
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro

Newsletter JURIDICE.ro

Login | Nu aveti cont? Click aici pentru abonare!

0 Comments

Inline Feedbacks

View all comments

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.