GDPR este acronimul care vine de la General Data Protection Regulation. GDPR este Regulamentul (UE) 206/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, denumit Regulamentul general privind protecția datelor. Acest regulament stabilește normele privitoare la protecția persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal. De asemenea, prin intermediul Regulamentului general privind protecția datelor se asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și exercitarea drepturilor de către persoanele vizate în legătura cu datele personale care le privesc.

    Regulamentul a intrat în vigoare la data de 25 mai 2018 și este direct aplicabil în toate statele membre ale Uniunii Europene. Prevederile GDPR sunt obligatorii pentru toate companiile/societățile care acționează în calitate de operatori de date cu caracter personal (colectează și prelucrează date personale), nerespectarea acestora putând duce la aplicarea unor sancțiuni considerabile în sarcina operatorilor (de exemplu, amenzi).

DPO este responsabilul cu protecția datelor, desemnat de către operator/persoana împuternicită de operator în ipoteza în care este incident unul dintre următoarele cazuri:

– Prelucrarea se efectuează de o autoritate/organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;

– Activitățile principale vizează operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă ( de exemplu, supravegherea video);

– Operatorul desfășoară cu titlu de activitate principală operațiuni de prelucrare pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Responsabilul cu protecția datelor trebuie să fie desemnat în funcție de calitățile sale profesionale și de cunoștințele sale de specialitate în materie de protecție a datelor cu caracter personal, precum și pe baza capacității de a îndeplini sarcinile care îi revin.

DPO poate fi desemnat dintre membrii personalului companiei/societății sau poate fi desemnat în baza unui contract de servicii.

DPO  trebuie să se implice în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal. Acestuia îi revine obligația de a respecta secretul și confidențialitatea în privința îndeplinirii sarcinilor sale. DPO poate îndeplini și alte sarcini sau atribuții în măsura în care nu există conflict de interese.

Conform prevederilor GDPR, obligația de implementare a cerințelor Regulamentului revine oricărei persoane fizice, persoane juridice, autorități publice, agenții sau oricărui organism care efectuează operațiuni de prelucrare a datelor cu caracter personal prin mijloace automatizate sau prin alte alte mijloace decât cele automatizate. Așadar, oricine acționează în calitate de operator de date cu caracter personal (colectează și prelucrează datele) este obligat să pună în aplicare măsuri de ordin tehnic și organizatoric în vederea asigurării unei securități adecvate a datelor respective. Aceste măsuri includ, în condițiile în care sunt proporționale cu operațiunile de prelucrare, punerea în aplicare de către operator a unor politici adecvate de protecție a datelor.

Pentru a fi mai ușor de înțeles, obligația de implementare a GDPR există în cazul în care sunt îndeplinite cumulativ următoarele condiții:

– Sunteți persoană fizică sau juridică;

– Efectuați o activitate profesională sau comercială;

– Colectați și prelucrați date cu caracter personal ( de exemplu, nume, cod numeric personal, date privind adresa etc.);

Pașii care trebuie urmați în procesul de implementare GDPR sunt următorii:

– Întocmirea unui plan de implementare a prevederilor GDPR;

– Efectuarea unui audit.

– Respectarea principiilor legate de prelucrarea datelor cu caracter personal și anume: principiul legalității, echității și transparenței, limitările legate de scop, reducerea la minimum a datelor, exactitatea, limitările legate de stocare, integritatea și confidențialitatea, responsabilitatea.

– Identificarea temeiului legal în baza căruia are loc prelucrarea datelor cu caracter personal. Temeiurile juridice ale prelucrării sunt enumerate de art. 6 alin. (1) din Regulamentul general privind protecția datelor și sunt în număr de șase: consimțământul, contractul, obligația legală, interesul vital, interesul public, interesul legitim.

– Obținerea consimțământului persoanei vizate cu privire la prelucrarea datelor cu caracter personal care o privesc.

– Cartografierea prelucrărilor de date cu caracter personal. Cartografierea presupune păstrarea unei evidențe a activităților de prelucrare în care trebuie înscrise următoarele elemente: numele și coordonatele operatorului și, după caz, ale reprezentantului său legal și ale responsabilului cu protecţia datelor; categoriile de date cu caracter personal prelucrate și categoriile de persoane vizate; scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (ex. gestionarea relaţiei comerciale, managementul resurselor umane, geolocalizare, videosupraveghere etc.); locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor; stabilirea statelor către care sunt, eventual, transferate datele; perioada de stocare pentru fiecare categorie de date; măsurile de securitate implementate pentru a reduce la minimum riscurile de acces neautorizat la date și, în consecinţă, impactul asupra vieţii private a persoanelor vizate.

– Informarea persoanelor vizate cu privire la scopurile prelucrării, modalitatea de prelucrare și temeiul juridic al prelucrării. Informațiile trebuie să fie furnizate într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. De asemenea, informațiile respective trebuie revizuite sau completate periodic astfel încât să se asigure respectarea cerințelor prevăzute de Regulamentul general privind protecția datelor.  

– Respectarea tuturor drepturilor persoanei vizate (dreptul de acces, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul la restricționarea prelucrării) și stabilirea modalităților de exercitare a acestor drepturi.

– Punerea în aplicare a unor măsuri tehnice și organizatorice adecvate pentru a garanta și demonstra conformitatea prelucrării cu prevederile Regulamentului general privind protecția datelor.

– Verificarea existenței clauzelor contractuale și actualizarea obligațiilor persoanelor împuternicite referitoare la securitatea, confidențialitatea și protecția datelor cu caracter personal.

– Verificarea măsurilor de securitate existente la nivelul unității.

– Obținerea autorizării speciale pentru transferul de date cu caracter personal către o țară terță sau o organizație internațională.

– Realizarea evaluării impactului asupra protecției datelor. Evaluarea impactului asupra protecției datelor se efectuează  înaintea prelucrării în cazurile în care tipul de prelucrare utilizat este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate.

– Desemnarea responsabilului cu protecția datelor. Acest fapt este necesar în cazurile în care prelucrarea este efectuată de o autoritate sau un organism public, prelucrarea necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă sau în cazurile de prelucrare pe scară largă a unor categorii speciale de date ori a unor date personale privind condamnări penale și infracțiuni.

 Încălcarea dispozițiilor din Regulamentul general privind protecția datelor constituie contravenție. Sancțiunile contravenționale principale sunt avertismentul și amenda.

Cuantumul maxim al amenzii care poate fi aplicată în caz de nerespectare a cerințelor GDPR diferă în funcție de dispozițțiile încălcate. Așadar, în cazul încălcării următoarelor dispoziții, sancțiunea amenzii poate fi de până la 10.000.000 de euro sau, în cazul unei întreprinderi, poate fi până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:

– Obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 și 43;

– Obligațiile organismului de certificare în conformitate cu articolele 42 și 43;

– Obligațiile organismului de monitorizare, conform articolului 41 alineatul (4).

În ipoteza încălcării următoarelor dispoziții din GDPR, cuantumul maxim al amenzii care poate fi aplicată este semnificativ mai mare, de aici rezultând și faptul că aceste dispoziții au o importanță deosebită. Astfel, se pot aplica amenzi administrative de până la 20.000.000 de euro sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare, în cazul în care nu se respectă următoarele:

– Principiile de bază ale prelucrării, inclusiv condițiile privind consimțământul, conform articolelor 5-7 și 9;

– Drepturile persoanelor vizate, în conformitate cu articolele 12-22;

– Transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, conform articolelor 44-49;

– Orice obligații în temeiul legislației naționale;

– Ordinul sau limitările temporare ori definitive cu privire la prelucrare sau suspendarea fluxurilor de date (emisă de autoritatea de supraveghere în temeiul articolului 58 alineatul 2), ori neacordarea accesului, încălcând articolul 58 alineatul (1).

Constatarea contravenţiilor şi aplicarea sancţiunilor contravenţionale, precum şi a celorlalte măsuri corective prevăzute de art. 58 din Regulamentul general privind protecţia datelor se fac de Autoritatea naţională de supraveghere, în conformitate cu dispoziţiile Regulamentului general privind protecţia datelor, ale Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi ale Legii nr.190 din 18 iulie 2018 privind măsuri de punere în aplicare a GDPR.