Consideraţii generale asupra dreptului la ştergerea datelor cu caracter personal

1. Considerații introductive

Dreptul la ștergerea datelor, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului și participării acesteia în ceea ce privește prelucrarea datelor sale cu caracter personal[1]. În funcție de motivul invocat, dreptul de fi uitat poate decurge din aplicarea principiului limitării legate de scop, a principiului legalității prelucrării, a principiului reducerii la minimum a datelor sau a principiului limitării legate de stocare etc.[2].

Prin reglementarea sa în cadrul art. 17 din Regulamentul general privind protecția datelor[3] s-a urmărit crearea cadrului prin care persoana vizată poate interveni direct asupra prelucrării iar alin. (1) enumeră cele șase situații în care persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, operatorul având obligația de a șterge acele date fără întârzieri nejustificate. Persoana vizată nu va trebui să justifice în vreun fel cererea de ștergere a datelor cu caracter personal, dincolo de identificarea unuia din cele șase temeiuri[4].

Situațiile în care persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc

În primul rând, potrivit art. 17 alin. (1) lit. a) din GDPR, ștergerea datele cu caracter personal poate fi obținută atunci când datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate. Potrivit principiului reducerii la minimum a datelor, datele trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate. Astfel, dacă datele nu mai sunt necesare pentru îndeplinirea scopurilor prelucrării, această operațiune nu mai are un temei legitim. Precum s-a precizat și în doctrină[5], această regulă subliniază importanța stabilirii în mod neechivoc a unui scop al fiecărei prelucrări de date cu caracter personal în parte, scop ce trebuie cunoscut de persoana vizată[6] astfel încât aceasta să-și poată exercita, de exemplu, dreptul la ștergerea respectivelor datele.

În al doilea rând, potrivit art. 17 alin. (1) lit. b) din GDPR, ștergerea datele cu caracter personal poate fi obținută atunci când persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare. Retragerea consimțământului va lipsi prelucrarea de temeiul juridic necesar, astfel că, de vreme ce datele trebuie prelucrate în mod legal, dacă nu mai există niciun alt temei juridic pentru a continua prelucrarea, operatorul va trebui să dea curs cererii de ștergere a datelor. Precizăm că, potrivit art. 7 alin. (3) din GDPR, retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. În urma retragerii consimțământului operatorul va putea să continue prelucrarea datelor cu caracter personal spre exemplu în temeiul intereselor sale legitime, adică în baza art. 6 alin. (1) lit. f) din GDPR, caz în care persoana vizată nu va putea obține ștergerea datelor decât în condițiile exercitării dreptului la opoziție prevăzut de art. 21 din GDPR.

În al treilea rând, potrivit art. 17 alin. (1) lit. c) din GDPR, ștergerea datele cu caracter personal poate fi obținută atunci când persoana vizată și-a exercitat cu succes dreptul la opoziție în temeiul art. 21 din GDPR[7]. De vreme ce dreptul de opoziție cu privire la prelucrare nu pare a avea ca efect direct obligația operatorului de a șterge datele, prevederile privind dreptul la ștergerea datelor pot fi interpretate în sensul în care se impune formularea unei cereri exprese privind ștergerea datelor, alături de exprimarea opoziției[8], cel puțin în situația în care aceasta din urmă nu privește prelucrarea în scop de marketing direct.

Amintim că în dreptul la ștergerea datelor ca urmare a exercitării cu succes a dreptului de opoziție este inclus și dreptul la uitare digitală (dreptul la înlăturare sau de-listare), iar consacrarea pe cale pretoriană a acestui drept a fost rodul unei trimiteri preliminare privind interpretarea Directivei 95/46/CE[9], precursoarea Regulamentului (UE) 2016/679[10].

Recunoașterea unui drept la uitare digitală a fost necesară întrucât a cere persoanei vizate să obțină ștergerea datelor sale cu caracter personal direct de pe paginile web nu ar asigura o protecție efectivă și completă a acesteia în special în cazul editorilor cărora nu li se aplică dreptul UE privind protecția datelor cu caracter personal, precum și în cazul publicării efectuate exclusiv în scopuri jurnalistice care intră în excepția privind exercitarea dreptului la liberă exprimare și la informare prevăzută de art. 17 alin. (3) lit. a) din GDPR.

La ora actuală Curtea de Justiție a Uniunii Europene a fost sesizată cu o cerere de pronunțare a unei hotărâri preliminare privind aplicarea teritorială a dreptului la uitare digitală[11], urmând a se pronunța și asupra unei alte întrebări preliminare privind aplicarea materială a acestui drept[12], aceste două hotărâri urmând a servi la orientarea aplicării dreptului la uitare digitală și sub noul Regulament (UE) 2016/679.

În al patrulea rând, potrivit art. 17 alin. (1) lit. d) din GDPR, ștergerea datele cu caracter personal poate fi obținută atunci când datele cu caracter personal au fost prelucrate în mod nelegal. Orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile legate de prelucrarea datelor cu caracter personal, enunțate în cadrul art. 5 din GDPR, și, pe de altă parte, să respecte unul dintre criteriile privind legitimitatea prelucrării datelor, enumerate la art. 6 din GDPR. Prin urmare, orice prelucrare care nu este conformă acestor prevederi va fi considerată nelegală și va da naștere dreptului de a obține ștergerea datelor respective[13]. Sarcina probei privind justificarea prelucrării datelor revine operatorului de date deoarece acesta este responsabil de legitimitatea prelucrării datelor. În conformitate cu principiul responsabilității, operatorul trebuie, în orice moment, să poată demonstra că există un temei juridic solid pentru prelucrarea datelor iar în caz contrar procesul trebuie întrerupt[14].

În al cincilea rând, potrivit art. 17 alin. (1) lit. e) din GDPR, datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul. În acest caz dreptul de a obține ștergerea datelor invocat de persoana vizată trebuie să fie prevăzut de alte dispoziții ale dreptului UE sau ale dreptului intern.

În al șaselea rând, potrivit art. 17 alin. (1) lit. f) din GDPR, ștergerea datele cu caracter personal poate fi obținută atunci când datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la art. 8 alin. (1) din GDPR. Potrivit art. 1 alin. (1) lit. b) din Directiva (UE) 2015/1535[15], prin aceste servicii ale societății informaționale înțelegem orice serviciu prestat în mod normal în schimbul unei remunerații, la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului.

În ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui copil, art. 8 alin. (1) din GDPR prevede că, atunci când copilul și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal, prelucrarea este legală în principiu numai dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Totuși, statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca acea vârstă inferioară să nu fie mai mică de 13 ani.

Clarificări asupra sensului art. 17 alin. (1) lit. f) din GDPR ne aduce conținutul considerentului (65) potrivit căruia „dreptul la ștergerea datelor este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizată ar trebui să aibă posibilitatea de a-și exercita acest drept în pofida faptului că nu mai este copil”.

Astfel, persoana vizată va putea obține din partea operatorului ștergerea datelor cu caracter personal la a căror prelucrare a consimțit pe vremea când era copil, fără ca operatorul să poată invoca un alt temei juridic pentru a continua prelucrarea, precum în cazul art. 17 alin. (1) lit. b) din GDPR, și fără a se putea prevala de motive legitime precum în cazul exercitării dreptului la opoziție.

Precizăm că în dreptul UE nu exista o definiție oficială unică a termenului „copil” în tratate, legislație sau jurisprudență[16], însă România a ratificat Convenția cu privire la drepturile copilului[17] care la art. 1 prevede că „prin copil se înțelege orice ființă umana sub vârsta de 18 ani, exceptând cazurile în care legea aplicabilă copilului stabilește limita majoratului sub aceasta vârstă”, definiție adoptată de Curtea Europeană a Drepturilor Omului în jurisprudența sa[18]. Prin urmare, cel mai probabil instanțele române se vor raporta la vârsta de 18 ani în cazul persoanelor vizate ce vor invoca prevederile art. 17 alin. (1) lit. f) din GDPR.


[1] G. Zamfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015, p. 81.

[2] Pentru principiile legate de prelucrarea datelor cu caracter personal, a se vedea D.-M. Șandru, La vremuri noi, principii vechi. Observații critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecția Datelor, în Revista română de drept al afacerilor nr. 1/2018, pp. 81-83.

[3] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016, cu Rectificarea la Regulamentul (UE) 2016/679, publicată în Jurnalul Oficial al Uniunii Europene, L 127 din 23 mai 2018. În continuare, brevitatis causa, vom utiliza mai ales acronimul englez sub care este cunoscut, GDPR.

[4] A se vedea G. Zamfir, op. cit., p. 151.

[5] Idem, p. 148.

[6] Persoana este informată cu privire la scopul prelucrării grație obligației de informare prevăzută de art. 13 și 14 din GDPR, precum și ca urmare a exercitării dreptului de acces potrivit art. 15 din GDPR.

[7] Pentru detalii, a se vedea S.-D. Șchiopu, Considerații asupra dreptului la opoziție al persoanei vizate, în Revista Universul Juridic nr. 5/2018, pp. 73-81.

[8] A se vedea G. Zamfir, op. cit., p. 149.

[9] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Jurnalul Oficial al Uniunii Europene L 281/31, Ediție specială, Capitolul 13/vol. 17.

[10] CJUE, hotărârea din 13 mai 2014, cauza C-131/12, Google Spain și Google, ECLI:EU:C:2014:317, publicată în Repertoriul electronic (Repertoriul general). Pentru alte detalii, a se vedea D.-M. Șandru, Regimul juridic al protecției datelor cu caracter personal este în proces de regândire, în Revista română de drept al afacerilor nr. 3/2015, pp. 42-43.

[11] Cerere de decizie preliminară introdusă de Conseil d’État (Franța) la 21 august 2017 – Google Inc./Commission nationale de l’informatique et des libertés (CNIL), cauza C-507/17, publicată în Jurnalul Oficial al Uniunii Europene C-347/22 din 16 octombrie 2017. Pentru detalii a se vedea S.-D. Șchiopu, Perspective ale dreptului de a fi uitat, în Dreptul nr. 5/2019, pp. 32-47.

[12] Cerere de decizie preliminară introdusă de Conseil d’État (Franța) la 15 martie 2017 – G.C., A.F., B.H., E.D. c. Commission nationale de l’informatique et des libertés (CNIL), cauza C-136/17, publicată în Jurnalul Oficial al Uniunii Europene, C-168/24 din 29 mai 2017. Pentru detalii a se vedea S.-D. Șchiopu, Perspective ale dreptului la uitare digitală (dreptul la înlăturare): concluziile Avocatului general în Cauza G.C. și alții (C-136/17), în Pandectele Române nr. 6/2018, pp. 67-77.

[13] Pentru analiza art. 17 alin. (1) din GDPR, a se vedea G. Zamfir, op. cit., p. 149.

[14] A se vedea European Union Agency for Fundamental Rights and Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018, p. 223.

[15] Directiva (UE) 2015/1535 a Parlamentului European și a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informații în domeniul reglementărilor tehnice și al normelor privind serviciile societății informaționale, publicată în Jurnalul Oficial al Uniunii Europene L 241 din 17 septembrie 2015.

[16] Pentru detalii a se vedea Agenția pentru Drepturi Fundamentale a Uniunii Europene și Consiliul Europei, Manual de drept european privind drepturile copilului, Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2016, p. 18.

[17] Legea nr. 18 din 27 septembrie 1990 pentru ratificarea Convenției cu privire la drepturile copilului, republicată în M. Of. nr. 314 din 13 iunie 2001.

[18] A se vedea CEDO, Güveç c. Turciei, nr. 70337/01, 20 ianuarie 2009 și CEDO, Çoșelav c. Turciei, nr. 1413/07, 9 octombrie 2012.

Considerații generale asupra dreptului la ștergerea datelor cu caracter personal was last modified: octombrie 4th, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii