Pilonii prelucrării datelor cu caracter personal [613609]

1
Pilonii prelucrării datelor cu caracter personal
[The Pillars of Personal Data Processing ]

Silviu -Dorin ȘCHIOPU

Abstract : In principle, all processing of personal data must comply with the principles relating to data
quality set out in article 4 of the R omanian Law no. 677/2001, with one of the criteria for making
data processing legitimate listed in article 5 of the law and also the data controller is obliged to
provide information in accordance with the requirements laid down in article 12 of the law. In order
to illustrate these three pillars of personal data processing, we have chosen to present a judicial
decision which upheld the lower court's ruling and decided that the personal data collected for the
purpose of providing communication services cann ot be used for the conclusion of insurance policies
in the absence of the data subject’s consent . Also, we’ll argue that …

Keywords : personal data, data protection, data processing, consent , purpose, information .

Cei mai mulți dintre noi suntem invadați zilnic pe varii căi de o puzderie de oferte mai
mult sau mai puțin adecvate nevoilor noastre imediate. În parte, a cest noian de propuneri
ne parvine ca urmare a prelucrării datelor noastre cu caracter personal ( nume și prenume,
adresă email, număr de telef on, adr esă poștală, etc. ).
Potrivit art. 5 alin. (1) din Legea nr. 677/20011, una din condițiile de legitimitate
privind prelucrarea datelor cu caracter personal este aceea a consimțământul ui persoanei
vizate2 pentru respectiva prelucrare. De asemenea, una din caracteristicile datelor cu
caracter personal destinate a face obiectul prelucrării privește scopul în vederea căruia au
fost colectate datele, acesta fiind cunoscut de către persoana vizată la momentul exprimării
consimțământului , o ulterioară preluc rare, incompatibilă cu scopul colectării inițiale ,
necesitând o nouă manifestare a consimțământul ui persoanei vizate [art. 6 alin. (1)] . Nu în
ultimul rând persoan a vizat ă are dreptul de a fi informată cu privire la prelucr area datelor
sale cu caracter per sonal [art. 12]. Pentru a ilustra acești trei piloni ai prelucr ării datelor cu
caracter personal , am ales a prezent a pe larg conținutul unei decizi i relativ recent e a Curții
de Apel București3.
În speță4, un furnizor de servicii de telefonie a încheiat cu o societate de asigurări un
contract care avea ca obiect încheierea unor polițe de asigurare a locuinței împotriva
incendiilor și a dezastrelor naturale pentru o parte5 dintre clienții săi, obiectiv care a fost avut
în vedere ca un beneficiu acordat acesto ra. Polițele au fost semnate și parafate atât de către
furnizorul de servicii de telefonie, în calitate de contractat, cât și de societatea de asigurări,
în calitate de asigurator.

1 Legea nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu
caracter personal și libera circulație a acestor date, publicată în M. Of. nr. 790 din data de 12 decembrie 2001 ,
act normativ denumit în continuare, brevitatis causa , „legea ”.
2 Persoana vizată poate fi orice persoană fizică identificată sau identificabilă; Potrivit art. (3) lit. a) din lege, o
persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin
referire la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice,
psihice, economice, culturale sau sociale .
3 Curtea d e Apel Bucure ști, secția a VIII -a contencios administrativ și fiscal, decizia nr. 496 din 6 februarie 2012
[dosarul nr. 23792/3/2010 ], disponibilă pe http://www.rolii.ro și http://portal.just.ro .
4 Situația de fapt a fost reconstituită pe baza informațiilo r conținute în sentința civilă nr. 858 din 2 martie 2011
a Tribunalului București (fond) și în decizia nr. 496 din 6 februarie 2012 a Curții de Apel București (recurs).
5 A se vedea http://www.capital.ro/800000 -de-scrisori -explicative -pentru -politele -astra -romtelecom -135372.html
[consultat la data de 25.05. 2017].

2
Pentru o mai bună conturare a situației de fapt, vom reproduce în parte con ținutul
uneia dintre acest e polițe privind asigurarea locuinței împotriva incendiului și a dezastrelor
naturale. Polița, emisă la data de 18.04.2010, începe cu un mesaj din partea furnizorului de
servicii de telefonie: „Știm cât de importantă este locuința pentru dumneavoastră. De
aceea, v -am pregătit , împreună cu (…) [asiguratorul – n.n.], o asigurare gratuită de locuință,
valabilă până la data de 17.07.2010 . Un cadou util, cu atât mai mult cu cât va intra în curând
în vigoare legea privind asigurarea obli gatorie a locuinței împotriva dezastrelor naturale6.
Prezenta poliță acoperă riscurile prevăzute de lege și, suplimentar și gratuit, patru riscuri
care pot amenința locuința dumneavoastră: incendiu, trăsnet, explozie și cădere de corpuri
pe clădiri. Mai mu lt, puteți opta pentru prelungirea asigurării pe o perioadă de 1 an, plătind
numai 50% din prețul asigurării! Sperăm că veți aprecia această șansă unică (s.n.) și vă veți
prelungi polița de asigurare, atunci când veți fi contactat de către reprezentanții ( …)
[asiguratorului – n.n.] ”7.
Pe poliță figurează numele, prenumele și adresa asiguratului, client al furnizorului de
servicii de telefonie, este menționat că obiectul asigurării îl reprezintă locuința asiguratului
care se află la aceeași adresă cu a asigu ratului, iar cuantumul sumei asigurate este de 20.000
euro. În continuare este indicată prima de asigurare în cuantum de 20 de euro, cu precizarea
că 10 euro sunt suportați de către societatea de asigurări iar 10 euro vor fi achitați de către
asigurat. Per ioada asigurată indicată de polița de asigurare acoper ea două paliere: de la
18.04.2010 – până la 17.07.2010 prin plata de către asigurător a ratei I în sumă de 10 euro și
de la 18.04.2010 – până la 17.07.2011 prin plata de către asigurat a ratei a II -a în cuantum
de 10 euro, apelând un număr de telefon până la data de 31.12.2010 sau exprimându -și
acordul la primirea apelului din partea unui reprezentant al societății de asigurări.
Partea cea mai interesantă din poliță sub aspectul protecției datelor cu car acter
personal este următoarea: „În cazul în care nu sunteți de acord să beneficiați de polița de
asigurare de locuință gratuită oferită de (…) [ asigurator – n.n.], până la data de 17.07.2010,
vă rugăm să vă prezentați la oricare dintre sediile magazinelor (…) [furnizorului de servicii de
telefonie – n.n.] în termen de maxim 10 zile de la data facturării, înscrisă pe prima pagină a
facturii, și să ne informați cu privire la dezacordul dumneavoastră de a beneficia de aceasta,
urmând ca (…) [asiguratorul – n.n.] să anuleze respectiva poliță de asigurare. În situația în
care nu vă veți exprima dezacordul conform celor de mai sus, vom considera că v -ați
exprimat acordul cu privire la prelucrarea datelor dumneavoastră personale (nume,
prenume, număr/numere de tel efon și adresa la care este instalat serviciul de voce furnizat
de… ) de către (…) [asigurator – n.n.] în scopul administrării poliței de asigurare de locuință,
precum și cu privire la acceptul dumneavoastră de a fi contactat de către (…) [asigurator –
n.n.]” pentru a fi inform at cu privire la condițiile în care polița de asigurare a locuinței poate
fi prelungită, prin orice mijloace de comunicare, inclusiv prin mesaje telefonice înregistrate” .
În încheiere se preciz a că polița a fost încheiată în baza condi țiilor de asigurare
anexate, în două exemplare, din care originalul a fost înmânat asiguratului , iar „ asiguratul
declară că îi sunt cunoscute cele înscrise în Poliță și este de acord cu încheierea ei în aceste
condiții”.
În prima jumătate a anului 2010 , polițele au fost comunicate beneficiarilor odată cu
factura curentă emisă pentru serviciile de telefonie furnizate. După ce au luat cunoștință de

6 A se vedea art. 3 alin. (1) din Legea nr. 260 din 4 noiembrie 2008 privind asigurarea obligatorie a locuințelor
împotriva cutremurelor, alunecărilor de teren sau inundațiilor , publicata în M. Of . nr. 57 din data de 10
noiembrie 2008 .
7 A se vedea http://media.hotnews.ro/media_server1/image -2010 -04-27-7174566 -0-asigurare -locuinta -romtelecom –
astra.jpg [consultat la data de 25.05. 2017].

3
existența polițelor încheiate în numele lor, unii clienți au adresat plânger i Autorit ății
Național e de Supravegh ere a Prelucrării Datelor cu Caracter Personal (ANSPDCP ).
Ca urmare ANSPDCP a sancționat furnizor ul de servicii de telefonie pentru săvârșirea
contravențiilor prevăzute de art. 328 raporta t la art. 5 alin. (1) din lege , întrucât a prelucr at
datele cu carac ter personal ale clienților săi în scopul încheierii unor polițe de asigurare, fără
ca aceștia să-și fi exprimat cons imțământul expres și neechivoc pentru această prelucrare ,
iar pentru această faptă i -a fost aplicat furnizorului de servicii de telefonie o amenda în
cuantum de 3.000 lei. În ceea ce privește consimțământul pentru prelucrare , potrivit art. 5
alin. (1) din lege, „orice prelucrare de date cu caracter personal, cu excepția prelucrărilor
care vizează date din categoriile menționate la art. 7 alin . (1), art. 8 și 10, poate fi efectuată
numai dacă persoana vizată și -a dat consimțământul în mod expres și neechivoc pentru acea
prelucrare (s.n.) ”.
Totodată, s -a reținut și săvârșirea cont ravenției prevăzută de art. 32 raportat la art. 4
alin. (1) lit. b ) din lege , întrucât datele cu caracter personal ale clienților au fost prelucrate
într-un scop incompatibil cu scopul inițial pentru care acestea au fost colectate . Datele
personale ale clienților au fost colectate inițial în scopul furnizării de servicii , însă ulterior au
fost prelucrate în scopul î ncheierii de polițe de asigurare , faptă pentru c are furnizorul de
servicii de telefonie a fost amendat cu 2.000 lei . În ceea ce privește scopul prelucrării ,
potrivit art. 4 alin. (1) lit. b) din lege : „datele c u caracter personal destinate a face obie ctul
prelucrării trebuie să fie colectate în scopuri determinate, explicite și legitime (s.n.) ;
prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice, de cercetare
istorică sau științifică nu v a fi considerată incompatibilă cu scopul colectării dacă se
efectuează cu respectarea dispozițiilor prezentei legi […]”.
Prin plângerea înregistrată pe rolul Tribunalului București , furnizorul de servicii de
telefonie a solicitat, în contradictoriu cu ANSP DCP, anularea procesul ui-verbal de constatare
și sancționare a contravenției încheiat de pârâtă și exonerarea de plata amenzii în valoare
de 5.000 lei. Pe baza probei cu înscrisuri administrată în cauză, Tribunalul București a dispus
respingerea plângerii ca neîntemeiată9. Pentru a hotărî astfel, instanța de fond a reținut, în
esență, următoarele :
a) Precum a reieșit din procesul -verbal și din înscrisurile depuse de către ANSPDCP
la dosar în susținerea acestuia , reclamantul a încheiat cu o societate de asig urări – pentru
perioada 14.04. 2010 – 13.07.2010 /13.07.201110 – polițe de asigurare a locuinței împotriva
incendiului și a dezastrelor naturale, pent ru o parte dintre clienții săi, polițe p e care le -a
comunicat acestora împreună cu factura curentă emisă pent ru serviciile de telefonie
furnizate ;
b) Atât din conținutul clauzelor contractului pentru furnizarea de servicii de
telefonie , cât și din cuprinsul polițelor de asigurare depuse în dosar, a rezultat că acești
clienți nu au avut cunoștință, anterior închei erii acestor polițe de asigurare, de aceasta
posibilitate și nici de faptul că datele cu caracter personal – colectate de către reclamant
odată cu încheierea contractului de furnizare de servicii de telefonie – vor fi prelucrate de

8 Art. 32 – Prelucrarea nelegală a datelor cu caracter persona l: „Prelucrarea datelor cu caracter personal de
către un operator sau de o persoană împuternicită de acesta, cu încălcarea prevederilor art. 4 -10 sau cu
nesocotirea drepturilor prevăzute la art. 12 -15 sau la art. 17 (s.n.), constituie contravenție, dacă nu este săvârșită
în astfel de condiții încât să constituie infracțiune, și se sancționează cu amendă de la 1000 lei la 25000 lei”.
9 A se vedea Tribunalul București , secția a IX -a Contencios Administrativ și Fiscal , sentința civilă nr. 858 din 2
martie 2011 (nepublicată).
10 Aparent polițele de asigurare aveau date sensibil diferite, probabil în funcție de data emiterii facturii curente
pentru serviciile de telefonie furnizate.

4
reclamant și comunicate unui terț (societatea de asigur ări) în scopul încheierii unor polițe de
asigurare, astfel că, în mod evident, clienții reclamantului nu și -au exprimat consimțământul
în acest sens11;
c) Deși reclamantul a susțin ut că un astfel de consimțământ nu era necesar
întrucât , în cazul acestor polițe, furnizorul de servicii de telefonie nu a făcut altceva decât să
comun ice datele cu caracter personal ale clienților săi – accesibile oricum publicului – și
pentru care acești cli enți și-au dat consimțământul potrivit art . 7 din Contractul de furnizare
de servicii de telefonie , raportat la art. 11.1 din Condițiile Generale pentru Furnizarea
Serviciilor12, în speță, nu s-a făcut nici o dovada în acest sens, reclamantul depunând la dosar
doar formularul tipizat al contractulu i pe care -l închei a cu clienții săi13, astfel că nu a putut fi
reținută ca dovedită o astfel de susținere și, prin urmare, nu s -a putut reține nici incidența în
cauză a dispoziț iilor art. 5 alin. (2) lit. f)14 din lege;
d) De asemenea, n ici art. 5 alin. (2) lit. a)15 din același act normativ nu -și a găsit
aplicabilitatea în cauză, în condițiile în care, deși dispoziția legală vorbește de existenta unui
contract în care persoana vizată , în speță clientul furnizorului de servicii de telefonie, este
parte , nu s -a făcut dovada că încheierea polițelor de asigurare a fost prevăzută în contractul
încheiat de reclamant cu clienții săi, aceștia nefiind informați nici măcar la modul general că
ar putea beneficia, eventual, de anumite „cadouri” de tipul polițelor de asigu rare.
Împrejurarea c ă furnizorul de servicii de telefonie a încheiat un contract cu
societatea de asigurări în scopul emiterii unor astfel de polițe, nu prezintă relevanță sub
aspectul săvârșirii contravențiilor reținute în sarcina reclamantului cu privire la prelucrarea
nelegală a datelor cu caracter personal ale clienților săi, întrucât aceștia nu erau părți în
acest din urmă contract și nici nu au fost informați despre existența lui înainte de a li se fi
dezvăluit datele cu caracter personal către societ atea de asigurări, care este un terț în
raport cu clienții furnizorului de servicii de telefonie . Astfel , situația de fapt existentă în
cauză nu s-a încadr at în niciuna dintre ipotezele legale – art. 5 alin. (2) lit. a) și f) din lege –
invocate de furnizo rului de servicii de telefonie pentru ca re nu ar fi fost necesar ca ace sta să
obțină consimțământul expres și neechivoc al clienților săi pentru încheierea polițelor de
asigurare, care au presupus prelucrarea datelor personale ale acestora, date colectate de
reclamant în scopul furnizării serviciilor specifice care formează obiectul său de activitate ;
e) Scopul în care au fost prelucrate datele cu cara cter personal nu s -a circumscri s
situațiilor de excepție prevăzute de art. 12 alin. (3) și (4) din lege16, pentru a nu fi necesară

11 Acest aspect a rezultat și din plângerile formulate de clienții reclamantului și adresate ANSPDCP, după ce au
luat cunoștință de existenta polițelor încheiate în numele lor .
12 La art. 11 pct. 1 era inserată următoarea clauză: „datele obținute de […] de la client, cum sunt datele cu
caracter personal (inclusiv CNP) […] vor fi prelucrat e […] în următoarele scopuri: a) marketingul (inclusiv
marketingul direct), efectuarea de comunicări comerciale și comercializarea serviciilor […] și ale partenerilor
[…] prin orice mijloc de comunicare, inclusiv prin mijloace de apelare automată care nu n ecesită intervenția
unui operator uman” – a se vedea Tribunalul București, secția a IX -a Contencios Administrativ și Fiscal, sentința
civilă nr. 858 din 2 martie 2011 .
13 În cadrul acestuia clienții puteau, într -adevăr, să opteze pentru prelucrarea datelor de către societate, în
scopurile menționate la art. 11.1 din Condițiile Generale pentru Furnizarea Serviciilor și pentru ca acestea să fie
dezvăluite categoriilor de destinatari menționați în același art. 11.1 .
14 Art. 5 alin. (2) lit. f) : „Consimțământul p ersoanei vizate nu este cerut când prelucrarea privește date obținute
din documente accesibile publicului (s.n.) , conform legii ”.
15 Art. 5 alin. (2) lit. a): „Consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în
vederea executări i unui contract sau antecontract (s.n.) la care persoana vizată este parte ori în vederea luării
unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract ”.
16 Art. 12 alin. ( 2): „În cazul în care datele nu sunt obținute direct de la persoana vizată (s.n.) , operatorul este
obligat ca, în momentul colectării datelor sau, dacă se intenționează dezvăluirea acestora către terți, cel mai

5
informarea clienților furnizorului de servicii de telefonie cu privire la încheierea polițelor de
asigurare, fie la momentul colectării datelor , fie, dacă se intenționa dezvăluirea acestora
către t erți, cum a fost cazul în speță, cel mai târziu p ână în momentul primei dezvăluiri,
obligație care evident nu a fost respectata de reclamant , din moment ce ace sta a încheiat
mai întâi polițele de asigurare, comunicând către societate de asigurări , numele, prenumele,
adresa de domiciliu a cli enților săi și apoi a comunicat acestora polița și condițiile în care o
pot utiliza pe viitor.
Împotriva sentinței civile pronunțată de Tribunalul București , furnizorul de servicii de
telefonie a declarat recurs , susținând că este lipsită de temei legal și ar fi fost dată cu
aplicarea greșită a legii . Recurent ul-reclamant a solicit at admiterea recursului astfel cum a
fost formulat, modificarea sentinței civile nr. 858 din 2 martie 2011, în sensul admiterii
plângerii formulate de către societatea în cauză și , pe cale de consecință, anularea
procesului -verbal de constatare și sancționar e a contravenției, precum și exonerarea de la
plata amenzii în cuantum de 5000 lei.
Pe de altă parte, intimata -pârâtă a solicit at resping erea recursului ca nefondat și
menținere a ca legală și temeinică a sentinței civile pronunțată de instanța de fond ,
precizând că , anterior încheierii polițelor de asigurare, clienții reclamantei nu și -au dat
consimțământul pentru prelucrarea datelor cu caracter personal, nici prin contractele
încheiate cu furnizorul de servicii de telefonie și nici prin alte documente ulterioare, datele
fiind colectate pentru furnizarea de servicii telefonice.
În continuare vom prezenta motivele invocate de reclamantă în susținerea lipsei de
temei legal a sentinț ei Tribunalului București și a greșitei aplicări a legii de către instanța de
fond, precum și argumentele în considerarea cărora Curtea de Apel București a constat at că
recursul este nefondat :
a) Potrivit recurentului , instanța de fond a r fi reținut în mod eronat faptul că
furnizorul de servicii de telefonie a încheiat pentru perioada 14.04. 2010 –
13.07.2010 /13.07.2011 polițe de asigurare a locuinței împotriva incendiului și a dezastrelor
naturale, pentru o parte dintre clienții săi, cu o societate de asigu rări. Din înscrisurile depuse
la dosarul cauzei și pe care instanța în mod greșit nu le -ar fi avut în vedere la pronunțarea
sentinței, ar fi r ezult at în mod indubitabil faptul că furnizorul de servicii de telefonie a oferit
un cadou constând într -o poliță de asigurare a locuinței doar pentru perioada 14.04. 2010 –
13.07.2010 , perioadă pentru care a și plătit contravaloarea primei rate de asigurare, în
calitatea sa de contractant, clienții reclamantului fiind cei care puteau opta, dacă doreau,
pentru prelungi rea poliției de asigurare pentru perioada 13.07.2010 – 13.07.2011, situație în
care urmau să achit e prima de asigurare aferentă acestei perioade, beneficiind în plus de o
reducere de 50% din prețul asigurării pe an.
Curtea a considerat însă că instanța de fond în mod corect a reținut faptul că polițele
de asigurare au fost încheiate de furnizorul de servicii de telefonie cu societatea de asigurări
pentru perioada 14.04.2010 – 13.07.2010/13.07.2011 , întrucât în cuprinsul polițelor de

târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puțin următoarele infor mații, cu
excepția cazului în care persoana vizată posedă deja informațiile respective: a) identitatea operatorului și a
reprezentantului acestuia, dacă este cazul; b) scopul în care se face prelucrarea datelor […]”. Potrivit art. 12 alin.
(3) și (4) din lege: „(3) Prevederile alin. (2) nu se aplică (s.n.) atunci când prelucrarea datelor se efectuează exclusiv
în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin. (2) nu se aplică (s.n.) în cazul în care prelucrarea datelor se face în scopuri statistice, de
cercetare istorică sau științifică, ori în orice alte situații în care furnizarea unor asemenea informații se
dovedește imposibilă sau ar implica un efort disproporționat față de interesul legitim care ar putea fi lezat,
precum și în situațiile în care înregistrarea sau dezvăluirea datelor este expres prevăzută de lege.”

6
asigurare e ra înscrisă p erioada asigurată : 14.04.2010 – 13.07.2010 și 13.07.2010 –
13.07.2011, cu precizări referitoare la modalitatea de plată a primei de asigurare. Faptul că
furnizorul de servicii de telefonie a înțeles să suporte contravaloarea primei rate a primei de
asigura re, urmând ca societatea de asigurări să anuleze respectivele polițe de asigurare, în
ipoteza în care clienții își vor exprima dezacordul de a beneficia de acestea , neavând
relevanță sub aspectul existenței contravențiilor reținute prin procesul -verbal con testat ,
faptele săvârșite de furnizorul de servicii de telefonie vizând prelucrarea nelegală a datelor
cu caracter personal în scopul încheierii unor polițe de asigurare, în lipsa consimțământului
expres și neechivoc pentru această prelucrare și într -un scop incompatibil cu scopul inițial în
care au fost colectate.
b) Potrivit recurentului, î n mod greșit instanța de fond a r fi constatat faptul că
dispozițiile art. 5 alin. (2) lit. a) din lege nu-și găsesc aplicabilitatea în cauză. Instanța de fond
ar fi interpretat în mod eronat sintagma „ în vederea executării unui contract ” din textul art.
5 alin. (2) lit. a) din lege fără să țină cont de apărările formulate de furnizorul de servicii de
telefonie , apărări prin care a arătat că a acționat numai în executarea contractelor încheiate
cu clienții săi, oferindu -le un beneficiu ce constă în contractarea unor poliție de asigurare a
locuinței împotriva incendiilor și dezastrelor naturale și suportarea de către societatea
reclamantă a primei de asigurare pentru o peri oadă de 3 luni de zile.
Curtea a considerat însă că dispozițiile art. 5 alin. (2) lit. a) din lege potrivit cărora,
consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea
executării unui contract sau antecontract la care pe rsoana vizată este parte ori în vederea
luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract, nu
sunt incidente în cauză, împrejurare reținută corect de instanța de fond , întrucât nu se
poate susține că furnizorul de servicii de telefonie a acționat numai în executarea
contractelor încheiate cu clienții săi, de vreme ce în contractele încheiate nu a fost prevăzută
încheierea polițelor de asigurare și nici posibilitatea acordării anumitor „cadouri” constând
în polițe de asigurare17.
c) Potrivit recurentului, instanța de fond în mod greșit a r fi reținut faptul că
furnizorul de servicii de telefonie ar fi prelucrat și comunicat către societatea de asigurări
datele cu caracter personal ale clienților săi în vederea încheieri i polițelor de asigurare a
locuinței împotriva incendiilor și a dezastrelor naturale , de vreme ce, a stfel cum s -a arătat
instanței de fond, societatea de asigurări ar fi emis polițele de asigurare a locuinței pentru
clienții furnizorului de servicii de tel efonie , însă societatea reclamantă a r fi fost cea care a
completat aceste poliție cu datele clienților săi și le -a transmis către aceștia împreună cu
factura pentru serviciile furnizate .
În situația în care clienții recurentului doreau să beneficieze de ac eastă poliță de
asigurare și pentru perioada 13.07.2010 – 13.07.2011, beneficiind totodată și de reducerea
de 50% din cuantumul primei de asigurare, datele cu caracter personal ale acestora urmau a
fi comunicate către societatea de asigurări , însă numai du pă expirarea termenului de 10 zile
de la data facturării și doar în scopul administrării poliției de asigurare de locuință, respectiv
pentru a fi contactați de un reprezentant al societății de asigurări în vederea informării cu
privire la condițiile în car e poliția de asigurare a locuinței poate fi prelungită.
Curtea a considerat însă că recurent ul nu a solicitat și nu a obținut consimțământul
expres și neechivoc al clienților pentru prelucrarea datelor cu caracter personal în scopul

17 Mai mult, o parte dintre clienții recurentului pentru care fuseseră încheiate polițe de asigurare erau clienți
vechi care nu încheia seră cu furnizorul de servicii de telefonie contracte în forma utilizată de acesta la
momentul încheierii polițelor de asigurare .

7
încheierii de polițe de asigurare. Recurentul a solicitat doar informarea expresă cu privire la
dezacordul de a beneficia de aceste polițe de asigurare, situație în care polițele de asigurare
urmau să fie anulate de către societatea de asigurări . Prin urmare, nu se poate susține de
către recurentă că nu ar fi prelucrat și comunicat către societatea de asigurări datele
personale ale clienților săi în vederea încheierii polițelor de asigurare atâta timp cât polițele
de asigurare au fost semnate și parafate de furnizorul de servicii de telefonie, în calitate de
contractant, și societatea de asigurări, în calitate de asigurator .
d) Potrivit recurentului, i nstanța de fond, în mod greșit nu a r fi reținut
aplicabilitatea dispozițiilor art. 5 alin. (2) lit. f) din lege potrivit cărora „ consimțământul
persoanei vizate nu este cerut /…/ f) când prelucrarea privește date obținute din documente
accesibile publicului, conform legii ”. Astfel, chiar în procesul -verbal contestat este menționat
faptul că datele cu caracter personal prelucrate de că tre recurent în executarea contractelor
încheiate cu clienții săi au fost numele, prenumele, numărul de telefon și adresa, acestea
fiind accesibile publicului prin intermediul „Pagini Albe”, document ce conține acei clienți ai
furnizorului de servicii de t elefonie care și -au dat acordul și au optat pentru așa -numitul
„număr informabil” (număr care poate fi vizualizat de către orice persoane interesate).
Curtea a considerat însă că p revederile art. 5 alin. (2) lit. f) din lege conform cărora,
consimțământul persoanei vizate nu este cerut când prelucrarea privește date obținute din
documente accesibile publicului, potrivit legii, nu sunt incidente în cauză, întrucât furnizorul
de servicii de telefonie a fost autorizat de ANSPDCP să utilizeze datele clienților săi numai
pentru acordarea serviciilor de telefonie18. Prin urmare, dezvăluirea datelor către terți în
vederea prelucrării în alte scopuri decât cele colectate putea fi realizată numai pe baza
consimțământului expres și neechivoc al persoanei vizate .
e) Potrivit recurentului, i nstanța de fond a apreciat faptul că „ scopul în care au fost
prelucrate datele cu carac ter personal nu se circumscrie situațiilor de excepție prevăzute de
art. 12 alin. (3) și (4) din Legea nr. 677/2001 ”. Din analiza dispozițiilor art. 12 alin. (2) ar
rezult a în mod indubitabil faptul că obligația reglementată de art. 12 și pe care instanța de
fond în mod greșit a reținut -o a nu fi fost îndeplinită de societatea reclamantă există doar în
situația în care datele nu sunt obținute direct d e la persoana vizată. Or, în cauză datele cu
caracter personal ale clienților furnizorului de servicii de telefonie au fost obținute direct de
la aceștia, în executarea contractelor de furnizare a serviciilor de comunicații electronice,
astfel că situația dedusă judecății nu s -ar circumscrie art. 12 alin. (2), iar instanța de fond în
mod greșit a r fi reținut în sarcina reclamantului încălcarea obligației prevăzute de art. 12 din
Legea nr. 667/2001. În concluzie, față de aceste considerente, în mod neîntemei at, instanța
de fond a r fi reținut în sarcina furnizorului de servicii de telefonie o prelucrare nelegală a
datelor cu caracter personal ale clienților săi, raportat la faptul că aceștia nu și -au exprimat
consimțământul în vederea prelucrării în scopul înc heierii de polițe de asigurare, întrucât
acțiunile furnizorului de servicii de telefonie se circumscriu situațiilor pentru care nu e
necesar consimțământul persoanei vizate [art. 5 alin. 2 lit. a ) și f) din lege ].
Curtea a considerat însă că aplicarea sanc țiunii contravenționale prin procesul -verbal
contestat a fost determinată de încălcarea de către furnizorul de servicii de telefonie a
dispo zițiilor art. 4 și 5 din lege și nu pentru nerespectarea art. 12 din acest act normativ,
respectiv pentru lipsa info rmării clienților în vederea dezvăluirii datelor personale. În aceste
condiții, critica recurentei privitoare la respectarea de către aceasta a obligației prevăzute

18 În realitate nu este vorba de o veritabilă „autorizare”, ci de corelarea obiectului de activit ate al operatorului
de date cu caracter personal (furnizarea de servicii de telefonie) cu scopul pentru care au fost colectate aceste
date.

8
de art. 12 din lege neavând relevanță sub aspectul legalității și temeiniciei sancțiunii
aplicate19.
Am preferat prezentarea pe larg a conținutului decizi ei Curții de Apel București
tocmai pentru ca cititorii să aibă o imagine completă atât a susținerilor părților , cât și a
aspectelor reținute de instanța de fond și cea de recurs . În ceea ce ne p rivește, considerăm
că procesul -verbal de sancționare a operatorului de telefonie mobilă ar fi trebuit să aibă un
conținut în parte diferit sub aspectul faptelor contravenționale reținute în sarcina
furnizorului de servicii de telefonie.
În principiu , oric e prelucrare a datelor cu caracter personal trebuie, pe de o parte, să
fie conformă cu principiile referitoare la calitatea datelor , enunțate la articolul 6 din
Directiva 95/46/CE20, și, pe de altă parte, să respecte unul dintre criteriile privind
legitimit atea prelucrării datelor , enumerate la articolul 7 din aceeași directivă . În plus,
operatorul sau reprezentantul său are o obligație de informare , ale cărei condiții, prevăzute
la articolele 10 și 11 din directiv ă, variază în funcție de aspectul dacă acest e date sunt sau nu
sunt colectate de la persoana vizată, sub rezerva derogărilor admise în temeiul articolului 13
din această directivă.21
Astfel, cei trei piloni ai prelucrării datelor cu caracter personal sunt reprezentați de
principiile referitoare la calitatea datelor , criteriile (temeiurile juridice) privind legitimitatea
prelucrării datelor și obligați a de informare . Principiile referitoare la calitatea datelor au fost
transpus e în cadrul art. 4 din lege (caracteristicile22 datelor cu caracter personal în cadrul
prelucrării ), criteriile privind legitimitatea prelucrării datelor în cadrul art. 5 (condiții de
legitimitate privind prelucrarea datelor ) iar obligați a de informare în art. 12 (informarea
persoanei vizate ).
A. În ceea ce privește calitatea datelor cu caracter personal destinate a face obiectul
prelucrării , potrivit art. 6 din Directiva 95/46/CE , acestea trebuie să fie prelucrate în mod corect
și legal (principiul prelucrării legale ); colectate în scopuri determinate, explicite și legi time și
să nu mai fie prelucrate ulterior într -un mod incompatibil cu aceste scopuri (principiul
limitării și specificității scopului ); adecvate, pertinente și neexcesive în ceea ce privește
scopurile pentru care sunt colectate și prelucrate ulterior (principul pertinenței datelor );
exacte și, dacă este necesar, actualizate (principiul exactității datelor ); precum și păstrate

19 Trebuie să menționăm că apărătorul ANSPDCP a fost cel care, deși procesul -verbal contestat privea numai
încălcarea prevederilor art. 5 alin. (1) [ lipsa consimțământului expres și neechivoc pentru prelucrare ] și a art. 4
alin. (1) lit. b) din lege [ prelucrarea într -un scop incompatibil cu scopul inițial ] a învederat în fața instanței de
fond faptul că la art. 12 pct. 2 din lege se menționează faptul că atunci când datele sunt colectate nu direct de
la persoana vizată, aceste date trebuie să fie comunicate la momentul la care sunt colectate sau înainte de a fi
dezvăluite unui partener sau altei persoane juridice sau publ ice – a se vedea Tribunalul București, secția a IX -a
Contencios Administrativ și Fiscal, sentința civilă nr. 858 din 2 martie 2011 . Deși s -a invocat încălcarea
obligației de informare a persoanei vizate , ANSPDCP, precum în mod just a statuat Curtea, nu a s ancționat
reclamantul pentru încălcarea prevederilor art. 12.
20 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera c irculație a acestor date ,
publicată în Jurnalul Oficial al Uniunii Europene L 281/31, Ediție specială, cap. 13/vol. 17.
21 A se vedea CJUE, hotărârea din 1 octombrie 2015 , cauza C‑201/14 – Bara și alții , ECLI:EU:C:2015:638 ,
publicată în Repertoriul electron ic (Repertoriul general) , și jurisprudența citată la punctul 30.
22 La titlul articolului 4, pentru un plus de rigoare în înțelegerea corectă a sensului acestuia, s -a propus
înlocuirea expresiei „calitatea datelor” prin expresia „caracteristicile datelor”, a se vedea Consiliul Legislativ,
Aviz referitor la proiectul de Lege pentru protecția persoanelor în privința prelucrării datelor cu caracter
personal și libera circulație a acestor date , din 1 martie 2001, p. 4, disponibil la
https://www.senat.ro/legis/PD F/2001/01L118LG.pdf [consultat la data de 28.05.2017].

9
într-o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât
este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor
fi prelucrate ulterior (principiul limitării duratei de păstrare a datelor )23.
Aceste c aracteristici ale datelor cu caracter personal în cadrul prelucrării , respectiv
prelucr area legal ă, limit area și specif icitatea scopului, pertinenț a și exactitatea datelor,
precum și limit area duratei de păstrare a datelor , trebuie însumate cumulativ de orice
prelucrare a datelor cu caracter personal .
Precum deja am menționat, în speța noastră ANSPDCP a sancționat furnizor ul de
servicii de telefonie întrucât datele cu caracter personal ale clienților au fost prelucrate într –
un scop incompatibil cu scopul inițial pentru care acestea au fost colectate , datele personale
ale clienților fiind colectate inițial în scopul furnizăr ii de servicii de telefonie, însă ulterior
fiind prelucrate în scopul î ncheierii de polițe de asigurare. Potrivit art. 4 alin. (1) lit. b) din
lege: „ datele cu caracter personal destinate a face obie ctul prelucrării trebuie să fie
colectate în scopuri dete rminate, explicite și legitime (s.n.)
În temeiul principiului limitării și specificității scopului , scopul prelucrării datelor
trebuie să fie definit înainte de începerea prelucrării, u tilizarea ulterioară a datelor pentru
un alt scop necesită un temei jur idic suplimentar în cazul în care scopul prelucrării este
incompatibil cu cel iniția l iar t ransferul de date către terți constituie un scop nou care
necesită un temei juridic suplimentar24.
Astfel, legitimitatea prelucrării datelor cu caracter personal depi nde de scopul
prelucrării , scop ce trebuie menționat și evidențiat de operator înainte de începerea
prelucrării datelor . De asemenea un scop care este vag sau general, de exemplu
„îmbunătățirea experienței utilizatorului”, „în scop de marketing” – fără a s e preciza mai
multe detalii – de obicei nu va îndeplini criteriul de a fi „ determinat ”25. În plus, scopul
prelucrării trebuie să fie unul explicit în sensul că acesta trebuie înțeles în același fel atât de
către operator, cât și de către persoana vizată, iar această explicitare trebuie să aibă loc nu
mai târziu de momentul colectării datelor cu caracter personal. Tocmai de aceea atât
instanța de fond, cât și cea de recurs au considerat că furnizorul de servicii de telefonie nu a
acționat în executarea contr actelor încheiate cu clienții săi, de vreme ce în contractele
încheiate nu a fost prevăzută încheierea polițelor de asigurare și nici posibilitatea acordării
anumitor „cadouri” constând în polițe de asigurare .
Cum u tilizarea ulterioară a datelor pentru un alt scop necesită un temei juridic
suplimentar în cazul în care scopul prelucrării este incompatibil cu cel iniția l iar t ransferul de
date către terți constituie un scop nou care necesită un temei juridic suplimentar , noul scop
în vederea căruia au fost pr elucrate datele de către furnizorul de servicii telefonice,
respectiv încheierea de polițe de asigurare, ar fi trebuit să aibă propriul temei juridic special,
operatorul neputându -se baza pe faptul că datele au fost dobândite sau prelucrate inițial în
alt scop legitim , precum furnizarea de servicii de telefonie.
B. În ceea ce privește criteriile (temeiurile juridice) privind legitimitatea prelucrării (art.
7 din D irectiva 95/46/CE ), datele cu caracter personal să fie prelucrate numai dacă persoa na
vizată și -a dat consimțământul neechivoc (consimțământul ) sau prelucrarea este necesară

23 A se vedea și European Union Agency for Fundamental Rights, Handbook on European data protection law ,
Luxembourg: Publications Office of the European Union, 2014 , p. 61 -73.
24 Idem , p. 68.
25 Article 2 9 Data Protection Working Party, Opinion 03/2013 on purpose limitation , WP 203, Brussels, adopted on
2 April 2013, p. 16, disponibil la http://ec.europa.eu/justice/data -protection/article -29/documentation/opinion –
recommendation/files/2013/wp203_en.pdf .

10
fie pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării
unor măsuri, la cererea acesteia, înainte de încheierea contractului (relația contractuală ), fie
în vederea îndeplinirii unei obligații legale care îi revine operatorului (obligațiile legale ale
operatorului ), fie în scopul protejării interesului vital al persoanei vizate (interesele vitale ale
persoanei vizate ), fie pentru aducerea la îndeplinire a unei sarcini de interes public sau care
rezultă din exercitarea autorității publice cu care este învestit operatorul sau terțul căruia îi
sunt comunicate datele (interesul public și exercitarea autorității oficiale ), fie pentru
realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți
(interesele legitime urmărite de operator sau de un terț ), cu condiția ca acest interes să nu
prejudicieze interesul sau drepturile și libertățile fundamentale ale perso anei vizate, care
necesită protecție în temeiul articolului 1 alineatul (1)26 din D irectiva 95/46/CE .27 Din
conținutul art. 7 reiese că în oricare din cele cinci situații enumerate prelucrarea datelor va fi
considerată a fi legitimă.
ANSPDCP a sancționat furnizorul de servicii de telefonie întrucât a prelucrat datele
cu caracter personal ale clienților săi în scopul încheie rii unor polițe de asigurare, fără ca
aceștia să -și fi exprimat consimțământul expres și neechivoc pentru această prelucrare .
Potrivit art. 5 alin. (1) din lege, „orice prelucrare de date cu caracter personal, cu excepția
prelucrărilor care vizează date din categoriile menționate la art. 7 alin. (1), art. 8 și 10, poate
fi efectuată numai dac ă persoana vizată și -a dat consimțământul în mod expres și neechivoc
pentru acea prelucrare (s.n.)”.
Furnizorul de servicii d e telefonie și -a concentrat apărarea pe invocarea relației
contractuale și pe faptul că, potrivit art. 5 alin. (2) lit. f) din lege, p relucrarea ar privi date
obținute din documente accesibile publicului . Precum deja am văzut, furnizorul de servicii
de tel efonie nu a acționat în executarea contractelor încheiate cu clienții săi . Nici invocarea
prelucrării de da te obținute din documente accesibile publicului nu a avut succesul scontat
întrucât instanța de recurs a considerat că furnizorul de servicii de tele fonie a fost autorizat
de ANSPDCP să utilizeze datele clienților săi numai pentru acordarea serviciilor de telefonie,
astfel că dezvăluirea datelor către terți în vederea prelucrării în alte scopuri decât cele
colectate putea fi realizată numai pe baza con simțământului expres și neechivoc al
persoanei vizate. Totuși, în speța noastră, consimțământul persoanei vizate nu constituie
unicul temei juridic care ar fi putut legitima prelucrarea datelor personale în alt scop decât
cel inițial. Furnizorul de servici i de telefonie ar mai fi putut invoca ca și temei juridic al
prelucrării interesele legitime urmărite de operator sau de un terț , însă a omis sau a preferat
să nu se prevaleze de realizarea interesului legitim28.
C. În ceea ce privește obligația de informare a persoanei vizate (art. 10 și 11 din
Directiva 95/46/CE ), distingem între situația în care datel e au fost colectate de la persoana
vizată , pe de o parte, și situația în care datele nu au fost obținute de la persoana vizată , pe
de altă parte. În ambele situații obligația de informare nu ex istă în cazul în care persoana
vizată este deja informată cu privire la aceste date .

26 Art. 1 alin. (1) din Directiva 95/46/C : „Statele membre asigură, în conformitate cu prezenta directivă,
protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea
ce privește prelucrarea datelor cu c aracter personal ”.
27 A se vedea și European Union Agency for Fundamental Rights, Handbook on European data protection law ,
Luxembourg: Publications Office of the European Union, 2014 , p. 81 -87.
28 Pentru detalii, a se vedea Article 29 Data Protection Working Party, Opinion 06/2014 on o n the notion of
legitimate interests of the data controller under Article 7 of Directive 95/46/EC , WP 217, Brussels, adopted on 9
April 2014, disponibil la http://ec.europa.eu/justice/data -protection/article -29/documentation/opinion –
recommendation/files/20 14/wp217_en.pdf .

11
Atunci când datele au fost colectate de la persoana vizată , operatorul sau
reprezentantul său trebuie să furnizeze persoanei vizate cel puțin identitatea operatorului
și, dacă este cazul, a reprezentantului; scopul prelucrării căreia îi sunt destinate datele;
precum și orice alte informații suplimentare29. Atunci când datele nu au fost obținute de la
persoana vizată operatorul sau reprezentantul său este obligat , în momentul înregistrării
datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terți, nu
mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate
cel puțin următoarele informații: identitatea operator ului și, dacă este cazul, a
reprezentantului său ; scopurile prelucrării; precum și orice alte informații suplimentare30. În
cea din urmă situație, obligația de informare nu există atunci când , în special în cazul
prelucrării în scopuri statistice sau de cer cetare istorică ori științifică, informarea persoanei
vizate se dovedește a fi imposibilă, implică eforturi disproporționate sau dacă legislația
prevede expres înregistrarea ori comunicarea datelor.
comentariu

Bibliografie :

1. Directiva 95/46/CE a Parlam entului European și a Consiliului din 24 octombrie 1995
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și libera circulație a acestor date , publicată în Jurnalul Oficial al Uniunii Europene L
281/31, Ediți e specială, cap. 13/vol. 17.
2. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie
2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulație a aces tor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii
Europene, L 119 din 4 mai 2016.
3. Consiliul Legislativ, Aviz referitor la proiectul de Lege pentru protecția persoanelo r în
privința prelucrării datelor cu caracter personal și libera circulație a acestor date , din 1
martie 2001, disponibil la https://www.senat.ro/legis/PDF/2001/01L118LG.pdf [consultat la
data de 28.05.2017].
4. Legea nr. 677 din 21 noiembrie 2001 pentru p rotecția persoanelor cu privire la prelucrarea
datelor cu caracter personal și libera circulație a acestor date , publicată în M. Of. nr. 790 din
data de 12 decembrie 2001.
5. Tribunalul București, secția a IX -a Contencios Administrativ și Fiscal, sentința civilă nr. 858
din 2 martie 2011 (nepublicată).
6. Curtea de Apel București, secția a VIII -a contencios administrativ și fiscal, decizia nr. 496
din 6 februarie 2012 [dosarul nr. 23792/3/2010], disponibilă pe http://www.rolii.ro și
http://portal.just.ro.
7. CJUE, hotărârea din 1 octombrie 2015 , cauza C‑201/14 – Bara și alții , ECLI:EU:C:2015:638,
publicată în Repertoriul electronic (Repertoriul general).

29 Destinatarii sau categoriile de destinatari ai datelor; dacă răspunsurile la întrebări sunt obligatorii sau
voluntare, precum și consecințele posibile ale evitării răspunsului; existența dreptului de acces la datele care o
privesc și de rectificare a datelor cu caracter personal, în măsura în care, ținând seama de circumstanțele
specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei
prelucrări corecte a datelor cu privire la persoana vizată.
30 Categoriile de date în cauză; destinatarii sau categoriile de desti natari ai datelor; existența dreptului de acces
la datele care o privesc și de rectificare a datelor cu caracter personal; în măsura în care, ținând seama de
circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt nec esare pentru
asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

12
8. Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation , WP 203,
Brussels, adopted on 2 April 2013 , disponibil la http://ec.europa.eu/justice/data –
protection/article -29/documentation/opinion -recommendation/files/2013/wp203_en.pdf
[consultat la data de 1.06.2017] .
9. Article 29 Data Protection Working Party, Opinion 0 6/201 4 on on the notion of legitimate
interests of the data controller under Article 7 of Directive 95/46/EC , WP 2 17, Brussels,
adopted on 9 April 201 4, disponibil la http://ec.europa.eu/ justice/data -protection/article –
29/documentation/opinion -recommendation/files/2014/wp217_en.pdf [consultat la data
de 1.06.2017] .
10. European Union Agency for Fundamental Rights , Handbook on European data protection
law, Luxembourg: Publications Office of the European Union, 2014 .