Mirela-Carmen Dobrilă1

ANALELE ȘTIINŢIFICE ALE UNIVERSITĂŢII „XXXXXXXXX XXXX XXXX” DIN IAȘI TOMUL LXVII, SUPLIMENT 2, ȘTIINŢE JURIDICE, 2021

DOI: 10.47743/jss-2021-67-4-6

Aspecte teoretice şi jurisprudenţiale privind respectarea GDPR la încheierea şi executarea unui contract

Theoretical and Jurisprudential Aspects Regarding GDPR Compliance When Concluding or Performing a Contract

Mirela-Carmen Dobrilă1

Rezumat: Dreptul la protecţia datelor cu caracter personal reprezintă un drept fundamental care trebuie protejat la nivel european şi la nivel global, iar Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016, Regulamentul general privind protecţia datelor (RGPD/GDPR), a reformat cadrul destinat să asigure protecţia datelor cu caracter personal, asigurând repere clare şi certitudine cu privire la prelucrarea datelor cu caracter personal ale persoanelor în condiţii de siguranţă. În articol sunt analizate condiţiile care trebuie respectate, conform RGPD/ GDPR pentru prelucrarea datelor cu caracter personal atunci când temeiul legal al prelucrării este articolul 6 alin. (1) litera b din RGPD/ GDPR, adică atunci când prelucrarea datelelor cu caracter personal este necesară pentru a executa un contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract, cu unele corelaţii şi cu alte temeiuri legale pentru prelucrare; în articol sunt indicate şi unele repere din jurisprudenţa europeană relevantă în acest sens.

Cuvinte-cheie: date cu caracter personal; respectarea RGPD/GDPR; Regulamentul (UE) 2016/679; încheierea sau executarea unui contract; temei legal pentru prelucrarea datelor

Abstract: The right to the protection of personal data is a fundamental right that must be protected at European and global level, and Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016, General Regulation on Data Protection (RGPD / GDPR), reformed the framework regarding the protection of personal data, ensuring clear conditions of processing and certainty for the processing of personal data of persons in safe conditions. The article analyzes the conditions to be met, according to the RGPD / GDPR for the processing of personal data when the legal basis for the processing is Article 6 (1) (b) of the RGPD / GDPR, ie when the processing of personal data is necessary to perform a contract to which the data subject is a party or to take action at the request of the data subject before concluding a contract, with some correlations and other legal grounds for processing; the article also highlights some relevant European case law.

Keywords: personal data; GDPR compliance; Regulation (EU) 2016/679; concluding or executing a contract; legal basis for data processing

1 Lector univ. dr., Facultatea de Drept, Universitatea „Xxxxxxxxx Xxxx Xxxx” din Iași, email: xxxxxx.xxxxxxx@xxxx.xx.

1. Consideraţii generale privind prelucrarea datelor cu caracter personal în temeiul Regulamentului (UE) 2016/679. Temeiuri legale de prelucrare

Regulamentul (UE) 2016/6792 (RGPD3/GDPR4) reprezintă cadrul unic şi coerent de reglementare la nivelul Uniunii Europene privind protecţia datelor cu caracter personal ale persoanei fizice/persoanei vizate, cu scopul de a asigura protecţia vieţii private a persoanelor fizice şi, în acelaşi timp, scopul de a asigura libera circulaţie a datelor cu caracter personal, în contextul unei pieţe unice la nivel european. Regulamentul a reformat la nivel european cadrul destinat să asigure protecţia datelor cu caracter personal, în conformitate cu principiile (indicate în art. 5 RGPD) privind: legalitatea, echitatea şi transparenţa în prelucrarea datelor cu caracter personal; limitările legate de scopurile prelucrării care trebuie să fie determinat, explicite şi legitime; reducerea doar la ceea ce este necesar cu privire la datele prelucrate; prelucrarea unor date exacte şi actualizate; limitările legate de stocare, adică o prelucrare a datelor cu caracter personal pentru perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; necesitatea de a asigura o securitate adecvată a datelor cu caracter personal, adică asigurarea măsurilor de securitate şi confidenţialitate.

Regulamentul (UE) 2016/679 are aplicabilitate generală şi se aplică direct în toate ţările membre ale Uniunii Europene; acesta a fost semnat la 27 aprilie 2016, este în vigoare la data de 25 mai 2016, dar se aplică din data de 25 mai 20185. Regulamentul (UE) 2016/679 vizează protecţia persoanelor fizice la un vinel ridicat şi în mod consecvent, iar protecţia să fie asigurată în mod echivalent la nivelul tuturor statelor membre6.

Protecţia datelor cu caracter personal reprezintă dreptul fundamental din art. 8 din Carta drepturilor fundamentale a Uniunii Europene7. Conform art. 39 din Tratatul privind Uniunea Europeană (TUE) şi art. 16 din Tratatul privind funcţio- narea Uniunii Europene (TFUE), orice persoană are dreptul la protecţia datelor cu caracter personal care o privesc, iar prelucrarea datelor cu caracter personal ale persoanei fizicese poate realiza doar pe baza unui temei legal indicat de

2 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din data de 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), JO L 119, 4.5.2016.

3 Acronimul RGPD vizează Regulamentul General privind Protecţia Datelor.

4 Acronimul GDPR vizează General Data Protection Regulation.

5 A se vedea și Rectificarea la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), JO L 119, 4.5.2016.

6 A se vedea considerentul 10 din Regulamentul (UE) 2016/679.

7 Carta drepturilor fundamentale a Uniunii Europene, JO C 326, 26.10.2012.

Regulamentul (UE) 2016/679 (art. 6, resspectiv art. 9 pentru datele cu caracter special).

Conform art. 71 din Codul civil8, orice persoană are dreptul la respectarea vieţii sale private, fiind interzisă utilizarea, în orice mod, a corespondenţei, manuscriselor sau a altor documente personale, precum şi a informaţiilor din viaţa privată a unei persoane, fără acordul acesteia ori fără respectarea limitelor stabilite de lege9.

Conform art. 2 RGPD, regulamentul este aplicabil pentru prelucrarea datelor cu caracter personal, realizată prin mijloace automatizate (total sau parţial) sau nu, care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un astfel de sistem. Conform art. 3 RGPD, regulamentul vizează prelucrarea datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator/persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii, dar se aplică şi cu privire la prelucrarea datelor cu caracter personal ale persoanelor vizate care se află în Uniune de către un operator (sau persoană împuternicită de acesta) care nu este stabilit în Uniune, dacă prelucrarea este legată de oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată, sau monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

Atunci când temeiul legal al prelucrării este articolul 6 alin. (1) litera b din RGPD, adică atunci când prelucrarea datelelor cu caracter personal este necesară pentru a executa unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract, este necesar să analizăm care sunt datele cu caracter personal care pot fi prelucrate pe

8 Noul Cod civil, Legea nr. 287/2009, republicată, M. Of. 505 din 15 iulie 2011.

9 Conform art. 74 din Codul civil, pot fi considerate ca atingeri aduse vieţii private: „a) intrarea sau rămânerea fără drept în locuinţă sau luarea din aceasta a oricărui obiect fără acordul celui care o ocupă în mod legal; b) interceptarea fără drept a unei convorbiri private, săvârşită prin orice mijloace tehnice, sau utilizarea, în cunoştinţă de cauză, a unei asemenea interceptări; c) captarea ori utilizarea imaginii sau a vocii unei persoane aflate într-un spaţiu privat, fără acordul acesteia; d) difuzarea de imagini care prezintă interioare ale unui spaţiu privat, fără acordul celui care îl ocupă în mod legal; e) ţinerea vieţii private sub observaţie, prin orice mijloace, în afară de cazurile prevăzute expres de lege; f) difuzarea de ştiri, dezbateri, anchete sau de reportaje scrise ori audiovizuale privind viaţa intimă, personală sau de familie, fără acordul persoanei în cauză; g) difuzarea de materiale conţinând imagini privind o persoană aflată la tratament în unităţile de asistenţă medicală, precum şi a datelor cu caracter personal privind starea de sănătate, problemele de diagnostic, prognostic, tratament, circumstanţe în legătură cu boala şi cu alte diverse fapte, inclusiv rezultatul autopsiei, fără acordul persoanei în cauză, iar în cazul în care aceasta este decedată, fără acordul familiei sau al persoanelor îndreptăţite; h) utilizarea, cu rea-credinţă, a numelui, imaginii, vocii sau asemănării cu o altă persoană; i) difuzarea sau utilizarea corespondenţei, manuscriselor ori a altor documente personale, inclusiv a datelor privind domiciliul, reşedinţa, precum şi numerele de telefon ale unei persoane sau ale membrilor familiei sale, fără acordul persoanei căreia acestea îi aparţin sau care, după caz, are dreptul de a dispune de ele”.

baza acestui temei legal de prelucrare şi care depăşesc sfera acestuia, fiind făcute delimitări faţă de prelucrarea pe baza altor temeiuri legale (de exemplu consimţă- mântul persoanei vizate).

2. Protecţia datelor cu caracter personal la încheierea şi executarea unui contract – art. 6 alin. (1) lit. b)RGPD

Conform art. 4 pct. 1 din RGPD, datele cu caracter personal sunt orice informaţii privind o persoană fizică identificată sau identificabilă (numită persoana vizată), iar persoană fizică identificabilă înseamnă10 „o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”. Operatorul este definit ca persoana fizică sau juridică, autoritatea, agenţia, alt organism, care stabileşte „scopurile şi mijloacele prelucrării” (art. 4 alin. (1) pct. 7 RGPD), iar scopul prelucrării se stabileşte pe baza temeiului juridic (art. 4 alin. 3 teza finala RGPD).

Prelucrarea datelor cu caracter legal este legală dacă se realizează în condiţiile art. 6 din RGPD (respectiv pentru datele cu caracter special, în condiţiile art. 9 RGPD11), adică pe baza unui temei juridic indicat: (a) persoana vizată şi-a dat

10 Unele aspecte privind semnificaţia unor noţiuni au fost analizate anterior în M. C. Dobrilă, Particularităţi privind noţiunea de date cu caracter personal necesare pentru încheierea sau executarea unui contract la care persoana vizată este parte, Analele Știinţifice ale Universităţii „Xxxxxxxxx Xxxx Xxxx” Iaşi, Tomul LXVII, Supliment, Xxxxxxx Xxxxxxxx, 2021, pp. 211-225, [Online] la xxxx://xxx.xxx.xxxx.xx/ files/articole/2021/vol.2_ 1/15.dobrila.pdf, accesat 10.11.2021, și în M. C. Dobrilă, RGPD/GDPR: prelucrarea datelor cu caracter personal la încheierea/executarea unui contract. Unele particularităţi privind prelucrarea datelor cu caracter personal în condiţiile crizei COVID-19, Volumul Sesiunii anuale de comunicări ştiinţifice a Institutului de Cercetări Juridice „Acad. Xxxxxx Xxxxxxxxx” al Academiei Române – „Starea excepţională şi alerta ordinii de drept. Implicaţii juridice ale crizei sanitare generată de pandemia Covid-19”, 2021, pp. 77-86; spre deosebire de UE, în SUA există mai multe definiţii pentru datele cu caracter personal, fiind folosită sintagma

„personally identifiable information”, fără a se distinge între persoana identificată şi persoana identificabilă. A se vedea C.T. Ungureanu, Proteciia datelor cu caracter personal în contractele internaiionale, în Analele Știinţifice ale Universităţii „Xxxxxxxxx Xxxx Xxxx” Iaşi, Tomul LXIII, Xxxxxxx xxxxxxxx, nr. 2/2017, p. 4, [Online] la xxxx://xxx.xxx.xxxx.xx/xxxxx/ articole/2017/volii/10.ungureanu_protectia_datelor.pdf, accesat 20.11.2021.

11 Conform art. 9 alin. (2) RGPD, prelucrarea datelor personale cu caracter special poate fi realizată doar dacă: „(a) persoana vizată și-a dat consimiământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepiia cazului în care dreptul Uniunii sau dreptul intern prevede ca interdiciia prevăzută la alineatul

(1) să nu poată fi ridicată prin consimiământul persoanei vizate; (b) prelucrarea este necesară în scopul îndeplinirii obligaiiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării foriei de muncă și al securităiii sociale și proteciiei sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garaniii

consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; (b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; (c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului; (d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; (e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul; (f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului

adecvate pentru drepturile fundamentale și interesele persoanei vizate; (c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimiământul; (d) prelucrarea este efectuată în cadrul activităiilor lor legitime și cu garaniii adecvate de către o fundaiie, o asociaiie sau orice alt organism fără scop lucrativ și cu specific politic, filosofic, religios sau sindical, cu condiiia ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate teriilor fără consimiământul persoanelor vizate; (e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată; (f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instaniă sau ori de câte ori instaniele aciionează în exerciiiul funciiei lor judiciare; (g) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporiional cu obiectivul urmărit, respectă esenia dreptului la proteciia datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate; (h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităiii de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asisteniă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asisteniă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condiiiilor și garaniiilor prevăzute la alineatul (3); (i) prelucrarea este necesară din motive de interes public în domeniul sănătăiii publice, cum ar fi proteciia împotriva ameniniărilor transfrontaliere grave la adresa sănătăiii sau asigurarea de standarde ridicate de calitate și siguraniă a asisteniei medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăiilor persoanei vizate, în special a secretului profesional; sau (j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare știiniifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în baza dreptului Uniunii sau a dreptului intern, care este proporiional cu obiectivul urmărit, respectă esenia dreptului la proteciia datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate”. Datele personale cu caracter special sunt definite de art. 9 alin. (1) RGPD ca „date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice”.

în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil”.

Referitor la temeiul juridic din articolul 6 alin. (1) litera b din RGPD, privind prelucrarea datelor cu caracter personal „necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”, trebuie avute în vedere două aspecte:

- o prelucrare a datelor cu caracter personal necesare pentru executarea unui contract la care persoana vizată este parte;

- o prelucrare a datelor cu caracter personal atunci când este necesară pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract.

În cazul în care prelucrarea datelor cu caracter personal se bazează pe temeiul interesului legitim sau pe executarea unui contract, nu este permisă o colectare şi o prelucrare a datelor în mod excesiv în raport cu scopul specificat12.

Referitor la etapele încheierii şi executării unui contract, sunt avute în vedere în mod distinct momentul anterior încheierii contractului, adică etapa negocierilor şi a încheierii contractuui, respectiv un moment ulterior încheierii contractului, adică etapa executării contractului.

Referitor la prima ipoteză, prelucrarea datelor cu caracter personal necesară pentru încheierea unui contract, temeiul juridic privind această ipoteză vizează demersurile la cererea persoanei vizate iar, sub aspect temporal, aceste să aibă loc înainte de încheierea unui contract.

Temeiul juridic privind încheierea contractului priveşte relaţiile precon- tractuale, cu condiţia să se ia măsuri la cererea persoanei vizate, „mai degrabă decât la iniţiativa operatorului sau a oricărui terţ”, cum ar fi de exemplu cazul persoanei fizice care solicită unui asigurăor informaţii privind prima de asigurare în vederea sigurării unui autovehicul iar asigurătorul este îndreptăţit să prelucreze date privind maşina, model, vechime pentru a reliza o ofertă13 (persoana fiind identi- ficată sau identificabilă); sau, de exemplu, această ipoteză priveşte comunicarea datelor cu caracter personal de către persoana vizată către comerciant în vederea comunicării de către un comerciant a unei oferte pentru un bun, fiind necesare informaţii privind adresa, informaţii cu privire la ceea ce s-a solicitat, colectarea fiind realizată pentru operiadă limitată de timp.

Dacă însă ar fi solicitate date privind antecedentele medicale pentru o asigurare de sănătate sau o asigurare de viaţă, sau verificarea informaţiilor privind creditele anterior acordării unui împrumut, acestea nu sunt considerate măsuri

12 Pentru dezvoltări a se vedea Grupul de lucru „Articolul 29” (GL29) , Avizul 06/2014 privind noiiunea de interese legitime ale operatorului de date în temeiul articolului 7 din Directiva 95/46/CE (WP 217), adoptat la 9 aprilie 2014, p. 12 [Online] la xxxxx://xx.xxxxxx.xx/ justice/article-29/documentation/opinion-recommendation/files/2014/wp217_ro.pdf, accesat 20.11.2021.

13 Idem, p. 19.

necesare efectuate la cererea persoanei vizate, ci prelucrarea se poate realiza pe baza unui alt temei juridic14, de exemplu, interesul legitim.

Cu toate acestea, verificarea antecedentelor, de exemplu, prelucrarea datelor legate de vizitele medicale înainte ca o societate de asigurări să ofere unui solicitant o asigurare de sănătate sau o asigurare de viaţă, nu ar fi considerate măsuri necesare efectuate la cererea persoanei vizate. De asemenea, controalele informa- ţiilor privind creditele înainte de acordarea unui împrumut nu sunt efectuate la cererea persoanei vizate, în conformitate cu articolul 7 litera (b), ci mai degrabă în conformitate cu articolul 7 litera (f) sau în conformitate cu articolul 7 litera (c) în temeiul unei obligaţii legale a băncilor de a consulta o listă oficială a debitorilor înregistraţi.

Pentru a doua situaţie, temeiul juridic vizează prelucrarea necesară pentru executarea unui contract la care persoana vizată este parte, iar interpretarea trebuie făcută în mod strict.

Temeiul juridic privind „prelucrarea necesară pentru executarea unui contract” nu acoperă situaţiile în care prelucrarea nu este cu adevărat necesară pentru executarea unui contract, deoarece trebuie ca prelucrarea să fie necesară pentru a executa contractul pentru fiecare persoană vizată în parte (prelucrarea numelui, adresei sau a datelor privind cardul persoanei vizate pentru executarea unui contract de vânzare încheiat online cu privire la executarea obligaţiei de predare, respectiv de plată; prelucrarea informaţiilor referitoare la salarii şi a detaliilor privind conturile bancare pentru salariaţi în cadrul unui contract de muncă)15.

Cu titlu de exemplu, temeiul juridic privind prelucrarea necesară pentru executarea unui contract la care persoana vizată este parte poate include prelu- crarea adresei persoanei fizice pentru livrarea bunurilor cumpărate online sau prelucrarea datelor privind cardurile de credit pentru a efectua plata, cu privire la raporturile de muncă, temeiul poate permite prelucrarea informaţiilor privind salariile şi conturile bancare pentru a se efectua plata16.

Pentru a avedea dacă poate fi aplicat temeiul juridic privind prelucrarea necesară pentru executarea unui contract”, trebuie să corelată evaluarea necesităţii şi respectarea principiului limitării scopului, fiind necesar să fie clar stabilite motivele încheierii contractului şi conţinutul său, în funcţie de care se verifică dacă prelucrarea datelor este necesară pentru executarea acestuia (de exemplu stabilirea unei baze de date cu informaţiile de contact ale angajaţilor, , adică numele, adresa comercială, numărul de telefon şi adresele de email ale angajaţilor, pentru a permite angajaţilor să intre în contact cu colegii lor, poate fi considerată necesară, în anu- mite situaţii, pentru executarea unui contract; supravegherea video, monitorizarea

14 Idem, p. 20.

15 GL29, op. cit., p. 18; European Data Protection Board (Comitetul european pentru protecţia datelor- EDPB), Orientările 05/2020 privind consimiământul în temeiul Regulamen- tului 2016/679, 4 mai 2020, p. 11, [Online] la xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxxxxx/xxxxx/ files/file1/edpb_guidelines_202005_consent_ro.pdf, accesat 21.08.2021.

16 GL29, op. cit., p. 18.

electronică a utilizării internetului, a emailului sau a telefonului de către angajaţi este o prelucrare care este probabil să depăşească ceea ce este necesar pentru executarea unui contract de muncă, dar depinde de natura locului de muncă sau prelucrarea poate fi legitimă dacă a fost acordat consimţământul în acest sens)17.

Temeiul juridic indicat la art. 6 alin. (1) lit. b)RGPD se aplică dacă prelucrarea nu depăşeasşte ceea ce este necesar pentru executarea normală a unui contract.

Dacă prelucrarea datelor cu caracter personal vizează încheierea sau execu- tarea unui contract, nu înseamnă întotdeauna că prelucrarea este esenţială în acest scop, însă aceasta trebuie să fie limitată la şi proporţională cu scopul urmărit18.

Nu se poate aplica pentru toate prelucrările de date în legătură cu un contract temeiul indicat la art. 6 alin. (1) lit. b)RGPD, pentru simplul fapt că sunt în legătură cu un contract

De exemplu, se consideră că monitorizarea şi crearea de profiluri depăşesc ceea ce este necesar pentru executarea unui contract deoarece scopul pentru care a fost contactat operatorul de către persoana vizată se referă la cumpărarea de bunuri şi servicii şi nu la crearea de profiluri, nefiind necesare pentru executarea contractului.

Nu trebuie făcută confuzie între temeiul juridic privind consimţământul persoanei vizate şi temeiul juridic privind prelucrarea necesară pentru încheierea sau executarea unui contract; nici nu se poate invoca temeiul juridic privind consimţământul exprimat pentru prelucrarea datelor cu caracter personal care de fapt sunt necesare pentru încheierea unui contract sau executarea unui contract la care persoana vizată este parte deoarece temeiul juridic va fi cel din art. 6 alin.1 lit. b)RGPD.

În acest sens există situaţii în care consimţământul este inclus în contracte sau prestarea unui serviciu este condiţionată de acordarea consimţământului19, deşi trebuie făcută o corectă apreciere a temeiului juridic; pentru prelucrarea datelor cu caracter personal necesare pentru încheierea sau executarea contractului, în condiţiile prevăzute de art. 6 alin.1 lit. b)RGPD, acesta va fi temeiul juridic, iar pentru prelucrarea altor date cu caracter personal, care nu sunt necesare pentru încheierea sau executarea contractului, temeiul juridic va putea fi consimţământul. Referitor la prelucrarea datelor cu caracter personal pe temeiul art. 6 alin.

(1), lit. a)(consimţământul persoanei vizate), este necesar să fie îndeplinite anumite condiţii pentru a fi valabil consimţământul exprimat: să fie explicit şi specific, să fie informat, lipsit de ambiguitate, să fie separat, să fie revocabil (cu posibilitatea de a fi retras la fel de uşor cum a fost dat).

În plus, furnizarea unui serviciu solicitat de / oferit persoanei vizate nu poate fi condiţionată de acordarea consimţământului pentru prelucrare din partea

17 GL29, op. cit., p. 18.

18 Uniunea Naţională a Barourilor din România (UNBR), Ghid de bune practici privind principalele obligaiii ale avocaiilor conform Regulamentului General privind Proteciia Datelor (GDPR), 4 aprilie 2018, p. 16, [Online] la xxxxx://xxx.xxxx.xx/xx-xxxxxxx/xxxxxxx/

2018/04/DATE-PERSONALE-Ghid-de-Bune-Practici_v04042018.pdf, accesat 25.11.2021.

19 EDPB, op. cit., p. 8.

respectivei persoane deoarece consimţământul nu ar fi liber exprimat. În acest sens, conform art. 7 alin. (4) RGPD, „când se evaluează dacă consimţământul este dat în mod liber, se ţine seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată sau nu de consimţă- mântul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.

Este important să existe posibilitatea executării contractului sau a furnizării serviciului de către operatorul respectiv fără acordarea consimţământului pentru prelucrarea de date suplimentare, ceea ce înseamnă că serviciul nu mai este condiţionat20. Cele două temeiuri juridice, consimţământul şi contractul, nu pot fi unite şi nu se pot confunda.

Referitor la obligaţiile avocaţilor şi la temeiul juridic privind prelucrarea necesară pentru încheierea şi executarea unui contract, în Ghidul UNBR pentru avocaţi privind GDPR se inidăcă faptuş că prelucrarea datelor părţii adverse nu se poate întemeia pe contractul de asistenţă juridică încheiat cu clientul (poate fi un alt temei, de exemplu interesul public)21. Iar abordarea de către avocat a unui client nou, persoană fizică, fără o manifestare de interes din partea primului nu poate avea ca temei viitorul contract de asistenţă juridică22.

Prelucrarea pe baza temeiului juridic privind executarea unui contract sau pentru încheierea unui contract este considerată legală doar dacă există un contract valabil încheiat conform reglementărilor din dreptul contractelor.

Curtea de Justiţie a Uniunii Europene s-a pronunţat în Hotărârea Breyer, din 19 octombrie 2016, în sensul că articolul 7 litera f) din Directiva 95/46/CE se opune

„unei dispoziţii de drept naţional în temeiul căreia un furnizor de servicii de comunicaţii electronice poate colecta şi utiliza datele cu caracter personal aferente unui utilizator în lipsa consimţământului acestuia numai în măsura în care această colectare şi această utilizare sunt necesare pentru a permite şi a factura utilizarea concretă a serviciilor respective de către acest utilizator şi în temeiul căreia finalitatea care constă în asigurarea funcţionalităţii generale a aceloraşi servicii nu poate justifica utilizarea datelor după o sesiune de consultare a acestora”; se arată că „prelucrarea datelor cu caracter personal în sensul acestei dispoziţii este legală în cazul în care este necesară în scopul realizării interesului legitim urmărit de operator sau de terţul ori de terţii cărora le sunt comunicate datele, cu condiţia să nu prevaleze interesul sau drepturile şi libertăţile fundamentale ale persoanei vizate. Or, în speţă, legislaţia germană a exclus în mod categoric şi generalizat posibilitatea ca anumite categorii de date cu caracter personal să fie prelucrate, fără a permite o ponderare a drepturilor şi a intereselor opuse în cauză într-un anumit caz”23.

20 EDPB, op. cit., p. 13.

21 UNBR, op. cit., p. 15.

22 Ibidem.

23 Curtea de Justiţie a Uniunii Europene, Hotărârea din 19 octombrie 2016 Xxxxxxx Xxxxxx împotriva Bundesrepublik Deutschland. (C-582/14), [Online] la xxxxx://xxx-xxx.xxxxxx. eu/legal-content/ro/TXT/?uri=CELEX%3A62014CJ0582, accesat 01.11.2021; Curtea de

Referitor la temeiul juridic pentru prelucrarea datelor, există un interes crescut cu privire la utilizarea dispozitivelor de supraveghere video, cu justificări care ţin, de exemplu, de securitate, însă acestea trebuie utilizate prudent şi cu respectarea drepturilor persoanei vizate (de exemplu montarea unui sistem de supraveghere video de către proprietarul unui magazin pentru a preveni furtul, vandalismul, deci pe baza temeiului juridic privind interesul legitim24, conform art. 6 alin. (1) lit. f RGPD ; sau pentru monitorizarea antrenamentelor sportivilor, pe temeiul juridic privind consimţământul - art. 6 alin. (1) lit. a)RGPD25). Pentru prelu- crarea datelor rezultate din monitorizarea prin sisteme video se poate utiliza temeiul juridic privind încheierea sau executarea uni contract, art. 6 alin. (1) lit. b) RGPD. Se consideră în orientările de la nivel european că oricare dintre temeiurile juridice prevăzute la articolul 6 alin. (1) poate constitui temei juridic pentru prelucrarea datelor provenite din supravegherea video, deşi cele mai utilizate sunt interesul legitim şi necesitatea de a îndeplini o sarcină care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice, iar în mod excepţional, consimţământul26.

Cu privire la temeiul legal privind încheierea sau executarea unui contract, recent, a fost formulată o cerere adresată Curţii de Justiţie a Uniunii Europene pentru a răspunde la următoarele întrebări preliminare27: „Atunci când un utilizator de internet fie doar consultă site-uri sau aplicaţi care au legătură cu criteriile prevăzute la articolul 9 alineatul (1) din RGPD28, cum ar fi aplicaţii de flirt, site-uri de întâlniri pentru homosexuali, site-uri ale partidelor politice, site-uri de sănătate, fie introduce date pe aceste site-uri, cum ar fi cu ocazia înregistrării sau a

Justiţie a Uniunii Europene, Direcţia de Cercetare și Documentare, Fișă tematică- Proteciia datelor cu caracter personal, iulie 2020, p. 21, p. 11, [Online] la xxxxx://xxxxx.xxxxxx.xx/ jcms/upload/docs/application/pdf/2018-10/fiche_thematique_-_donnees_personnelles_-

_ro.pdf, accesat 01.11.2021; În Cauza Breyer C-582/14 s-a reţinut și faptul că „adresă de protocol internet dinamică înregistrată de un furnizor de servicii de comunicaţii electronice cu ocazia consultării de către o persoană a unui site internet pe care acest furnizor îl pune la dispoziţia publicului constituie, pentru furnizorul respectiv, o dată cu caracter personal în sensul acestei dispoziţii, în cazul în care acesta dispune de mijloace legale care îi permit să identifice persoana vizată cu ajutorul informaţiilor suplimentare de care dispune furnizorul de acces la internet al acestei persoane”.

24 European Data Protection Board (Comitetul european pentru protecţia datelor/ CEPD), Ghidul 3/2019 privind prelucrarea datelor cu caracter personal prin mijloace video, versiunea 2.0, doptat la 29 ianuarie 2020, p. 11, [Online] la xxxxx://xxxx. xxxxxx.xx/ sites/ default/files/files/file1/ edpb_guidelines_201903_video_devices_ro.pdf, accesat 11.11.2021.

25 Idem, p. 15.

26 Idem, p. 10.

27 Cerere de decizie preliminară introdusă de Oberlandesgericht Düsseldorf (Germania) la 22 aprilie 2021 – Facebook Inc. și alţii/Bundeskartellamt (Cauza C-252/21), [Online] la xxxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/RO/TXT/HTML/?uri=CELEX:62021CN0252&from=RO, accesat 12.11.2021.

28 N.n.: articolul 9 alineatul (1) din RGPD se referă la prelucrarea de date cu caracter special.

comenzilor, iar o altă întreprindere precum Facebook Ireland colectează date referitoare la consultarea site-urilor şi a aplicaţilor de către utilizator şi pe cele introduse de acesta pe site-urile respective, prin intermediul interfeţelor integrate în site-uri şi în aplicaţii, precum ‘Instrumentele Facebook pentru afaceri’ sau prin intermediul modulelor cookie instalate pe computerul sau pe echipamentul terminal mobil al utilizatorului de internet ori al unor tehnologii de stocare similare, asociază aceste date cu datele contului Xxxxxxxx.xxx al utilizatorului şi le utilizează în privinţa colectării şi/sau a asocierii şi/sau a utilizării, este vorba despre prelucrarea a unor date sensibile în sensul acestei dispoziţii?” ; în cazul unui răspuns afirmativ (în sensul considerării acestor date ca date sensibile), s-a solicitat o clarificare cu privire la următorul aspect: dacă „consultarea acestor site-uri şi aplicaţii şi/sau introducerea unor date şi/sau acţionarea butoanelor integrate în aceste site-uri sau aplicaţii (‘pluginuri sociale’ precum ‘Îmi place’, ‘Distribuie’ sau ‘Conectare Facebook’ ori ‘Account Kit’) ale unui furnizor precum Facebook Ireland echivalează cu a face publice în mod manifest datele referitoare la consultare ca atare şi/sau la datele introduse de utilizator în sensul articolului 9 alineatul (2) litera

(e) din RGPD?”, precum şi cu privire la temeiul legal pentru prelucrare, fie temeiul privind executarea contractului, fie interesul legitim: „O întreprindere precum Facebook Ireland care exploatează o reţea socială digitală, finanţată din publicitate, care, în condiţiile sale de utilizare, pune la dispoziţie personalizarea conţinuturilor şi a publicităţii, securitatea reţelei, îmbunătăţirea produselor şi utilizarea coerentă şi uniformă a tuturor produselor grupului, poate invoca justificarea întemeiată pe necesitatea executării contractului în conformitate cu articolul 6 alineatul (1) litera

(b) din RGPD sau pe realizarea unor interese legitime în conformitate cu articolul 6 alineatul (1) litera (f) din RGPD atunci când, în aceste scopuri, întreprinderea respectivă colectează date din alte servicii ale grupului şi de pe site-uri şi aplicaţii terţe prin intermediul interfeţelor integrate în acestea precum „Instrumentele Facebook pentru afaceri” sau al modulelor cookie instalate pe computerul sau pe echipamentul terminal mobil al utilizatorului de internet ori al unor tehnologii de stocare similare, le asociază cu contul Xxxxxxxx.xxx al utilizatorului şi le utilizează?”.

Referitor la situaţia în care a fost aplicată o amendă amendă unei societăţi înregistrate în Slovacia care administrează pagini de internet de anunţuri imobi- liare privind bunuri situate în Ungaria, pentru motivul că aceasta nu a procedat la eliminarea datelor cu caracter personal ale autorilor anunţurilor acestor situri, în pofida cererii lor în acest sens, şi a comunicat aceste date către agenţii de recuperare a creanţelor pentru a obţine achitarea unor facturi neplătite, Curtea de Justiţie a Uniunii Europene s-a pronunţat în Hotărârea Weltimmo din 1 octombrie 2015 (C-230/14) în sensul că „articolul 4 alineatul (1) litera (a) din Directiva 95/46/CE permite aplicarea legislaţiei privind protecţia datelor cu caracter personal a unui alt stat membru decât statul în care operatorul responsabil cu prelucrarea acestor date este înregistrat, în măsura în care acesta exercită, într-o formă de instalare stabilă pe teritoriul acestui stat membru, o activitate efectivă şi reală, fie şi minimă, în cadrul căreia este efectuată prelucrarea. Pentru a determina dacă

aceste condiţii sunt îndeplinite, instanţa de trimitere poate îndeosebi să ţină cont de faptul, pe de o parte, că activitatea operatorului de date în cadrul căreia are loc prelucrarea constă în exploatarea unor site-uri internet de anunţuri imobiliare”29.

În anumite situaţii, în funcţie de natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care prelucrarea (mai ales atunci când este vorba de utilizarea noilor tehnologii) este susceptibilă să genereze un risc ridicat pentru drepturile persoanei fizice, operatorul va trebui să efectueze o evaluare a impac- tului operaţiunilor de prelucrare, anterior prelucrării datelor. De observat faptul că prin excepţie30, atunci când prelucrarea datelor se realizează pe temeiul juridic privind încheierea sau executarea contractului, art. 6 alin. (1) lit. b)RGPD, evaluarea impactului asupra protecţiei datelor nu este obligatorie.

În condiţiile evoluţiei accelerate a tehnologiei digitale şi a intensificării comerţului electronic, asistăm la o creştere a riscurilor de utilizare online a datelor referitoare la cărţile de credit, cu efecte negative faţă de persoana vizate deoarece datele financiare pot fi utilizate pentru fraudarea sistemelor de plată.

În acest sens, referitor la problema privind stocarea de către furnizorii online de bunuri şi servicii, în scopul unic şi specific de a facilita achiziţiile ulterioare ale persoanelor vizate, există recomenări la nivel european cu privire la stocarea datelor referitoare la cărţile de credit de către furnizorii online de bunuri şi servicii, cu scopul de a asigura o facilitare a achiziţiilor ulterioare realizat de persoana vizată. Referitor la persoana vizată care „cumpără un produs sau plăteşte un serviciu prin intermediul unui site sau al unei aplicaţii şi furnizează datele referitoare la cartea sa de credit, în general într-un formular special, pentru a încheia respectiva tranzacţie unică”, mai întâi avem în vedere faptul că operatorul trebuie să aibă un temei juridic valabil conform art. 6 RGPD pentru stocarea datelor respective.

Se consideră că stocarea datelor referitoare la cărţile de credit după efectu- area plăţii pentru bunuri sau servicii „nu este necesară ca atare pentru executarea unui contract [articolul 6 alineatul (1) litera (b) din RGPD]” şi chiar dacă prelucrarea datelor privind cartea de credit utilizată de client pentru a plăti este necesară în primul rând pentru executarea contractului (art. 6 alin. (1) lit. b)RGPD),

„stocarea acestor date este utilă numai pentru a facilita o potenţială tranzacţie viitoare şi pentru a facilita vânzările”, însă „un astfel de scop nu poate fi considerat

29 Curtea de Justiţie a Uniunii Europene, Hotărârea din 1 octombrie 2015, Weltimmo s.r.o. împotriva Nemzeti Adatvédelmi és Információszabadság Hatóság, [Online] la xxxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxx0000000000000&xxxxXXXXX:00000XX0000, accesat 01.11.2021; CJUE, Fișă tematică- Proteciia datelor cu caracter personal, op. cit., p. 46.

30 A se vedea art. 1 alin. (2) din Decizia Autorităţii Naţionale de Supraveghere a Prelu-

crării Datelor cu Caracter Personal nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal, [Online] la xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxxxxx/Xxxx Document?id=1556, accesat 3.11. 2021.

strict necesar pentru executarea contractului de furnizare a bunului sau a serviciului pe care persoana vizată l-a plătit deja”31.

În ceea ce priveşte furnizarea de servicii online persoanelor vizate, operatorii sunt obligaţi să verifice respectarea principiilor privind protecţia datelor cu caracter personal şi a tuturor cerinţelor RGPD, precum şi a legislaţiei privind confidenţialitatea în mediul electronic32. Din perspectiva legalităţii, contractele pentru servicii online trebuie să fie valabile în temeiul legislaţiei aplicabile în domeniul contractelor33.

3. Consideraţii finale privind prelucrarea datelor cu caracter personal pe baza temeiului legal din art. 6 alin. (1) lit b RGPD

Prelucrarea datelor cu caracter personal este legală dacă se realizează în condiţiile art. 6 RGPD, respectiv pentru prelucrarea datelor sensibile, în condiţiile art. 9 RGPD. Conform art. 6 alin. (1) lit. b)RGPD, prelucrarea datelor cu caracter personal se realizează pe baza temeiului legal privind prelucrarea „necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”, fiind avute în vedere două ipoteze: prelucrarea este necesară pentru a face demersuri, în special, la cererea persoanei vizate şi situaţia în care prelucrarea „necesară pentru executarea unui contract la care persoana vizată este parte. Atunci când temeiul juridic vizează încheierea sau executarea contractului nu trebuie făcută confuzie cu temeiul juridic privind consimţământul persoanei vizat- art. 6 alin. (1) lit. a)RGPD e, care trebuie să fie liber şi iar executarea contractului sau prestarea unui serviciu nu pot fi condiţionate de acordarea consimţământului pentru date suplimentare faţă de cele necesare pentru încheierea sau executarea contractului, iar cele două temeiuri juridice – contract, consimţământ, nu pot fi unite şi nici nu trebuie confundate; nu orice prelucrare de date cu caracter personal în legătură cu un contract îndeplineşte condiţiile cu privire la aplicarea temeiului juridic privind contractul- art. 6 alin. (1) lit. b)RGPD.

Referinţe

***Cerere de decizie preliminară introdusă de Oberlandesgericht Düsseldorf (Germania) la 22 aprilie 2021 – Facebook Inc. şi alţii/Bundeskartellamt (Cauza C-252/21)

31 Comitetul European pentru Protecţia Datelor, Recomandările nr. 02/2021 privind temeiul juridic pentru stocarea datelor referitoare la căriile de credit în scopul unic de a facilita alte tranzaciii online, adoptate la 19 mai 2021, p. 3, [Online] la xxxxx://xxxx.xxxxxx.xx/ system/files/2021-07/recommendations022021_on_storage_of_credit_card_data_ro.pdf, accesat 12.11.2021.

32 A se vedea Comitetul European pentru Protecţia Datelor, Orientările 2/2019 privind prelucrarea datelor cu caracter personal în temeiul articolului 6 alineatul (1) litera (b) din RGPD în contextul furnizării de servicii online persoanelor vizate, versiunea 2.0, 8 octombrie 2019, pp. 5-6, [Online] la xxxxx://xxxx.xxxxxx.xx/xxxxx/ default/files/files/file1/ edpb_ guidelines-art_ 6-1-b-adopted_after_public_consultation_ro.pdf,accesat 21.11.2021.

33 Idem, p. 6.

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, Decizia nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal

Comitetul European pentru Protecţia Datelor, Orientările 2/2019 privind prelucrarea datelor cu caracter personal în temeiul articolului 6 alineatul (1) litera (b) din RGPD în contextul furnizării de servicii online persoanelor vizate, versiunea 2.0, 8 octombrie 2019

Comitetul European pentru Protecţia Datelor, Recomandările nr. 02/2021 privind temeiul juridic pentru stocarea datelor referitoare la cărţile de credit în scopul unic de a facilita alte tranzacţii online, adoptate la 19 mai 2021

Curtea de Justiţie a Uniunii Europene, Direcţia de Cercetare şi Documentare, Fişă tematică- Protecţia datelor cu caracter personal, iulie 2020

Curtea de Justiţie a Uniunii Europene, Hotărârea din 1 octombrie 2015, Weltimmo s.r.o. împotriva Nemzeti Adatvédelmi és Információszabadság Hatóság

Curtea de Justiţie a Uniunii Europene, Hotărârea din 19 octombrie 2016 Xxxxxxx Xxxxxx împotriva Bundesrepublik Deutschland. (C-582/14)

Dobrilă M.-C., RGPD/GDPR: prelucrarea datelor cu caracter personal la încheierea/executarea unui contract. Unele particularităţi privind prelucrarea datelor cu caracter personal în condiţiile crizei COVID-19, Volumul Sesiunii anuale de comunicări ştiinţifice a Institutului de Cercetări Juridice „Acad. Xxxxxx Xxxxxxxxx” al Academiei Române –

„Starea excepţională şi alerta ordinii de drept. Implicaţii juridice ale crizei sanitare generată de pandemia Covid-19”, 2021, pp. 77-86

Dobrilă, M.-C., Particularităţi privind noţiunea de date cu caracter personal necesare pentru încheierea sau executarea unui contract la care persoana vizată este parte, Analele Ştiinţifice ale Universităţii „Xxxxxxxxx Xxxx Xxxx” Iaşi, Tomul LXVII, Supliment, Xxxxxxx Xxxxxxxx, 2021, pp. 211-225, DOI: xxxxx://xxx.xxx/00.00000/xxx-0000-00-0-00

European Data Protection Board (Comitetul european pentru protecţia datelor), Orientările 05/2020 privind consimţământul în temeiul Regulamentului 2016/679, 4 mai 2020

Grupul de lucru „Articolul 29”, Avizul 06/2014 privind noţiunea de interese legitime ale operatorului de date în temeiul articolului 7 din Directiva 95/46/CE (WP 217)

Ungureanu, C.T., Protecţia datelor cu caracter personal în contractele internaţionale, în Analele Ştiinţifice ale Universităţii „Xxxxxxxxx Xxxx Xxxx” Iaşi, Tomul LXIII, Ştiinţe juridice, nr. 2/2017

Uniunea Naţională a Barourilor din România, Ghid de bune practici privind principalele obligaţii ale avocaţilor conform Regulamentului General privind Protecţia Datelor (GDPR), 4 aprilie 2018