Despre

Domeniu de aplicare

Regulamentul este direct aplicabil în toate Statele Membre ale Uniunii Europene;

Aplicabilitatea se face în funcție de locul în care se alfă persoanele vizate, nu de locul operatorului de date;

Este aplicabil inclusiv operatorilor de date din afara UE, când bunurile sau serviciile acestora se adresează cetățenilor UE.

Amenzi de până la 4% din cifra de afaceri anuală globală

Amenzile pentru încălcarea GDPR sunt substanțiale. Autoritățile Naționale de Protecție a Datelor pot impune amenzi:

  • de până la 4% din cifra de afaceri anuală globală sau 20.000.000 €;
  • de până la 2% din cifra de afaceri anuală globală sau 10.000.000 €.

Ofițeri pentru protecția datelor personale (DPO)

Organizațiile care prelucrează date cu caracter personal pe scară largă sau acelea care monitorizează sistematic sau prelucrează date personale sensibile sau volume mari de date personale sunt obligate să desemneze DPO.

Responsabilitatea

Organizațiile trebuie să-și dovedească responsabilitatea prin:

  • stabilirea unei guvernanțe a prelucrării datelor (monitorizarea, actualizarea, modifiarea și evaluarea periodică a procedurilor de prelucrare);
  • minimizarea prelucrării și păstrării datelor;
  • crearea unor garanții adecvate pentru activitățile de prelucrare a datelor personale;
  • documentarea și crearea politicilor de prelucrare a datelor, a procedurilor și operațiunilor care vor fi puse la dispoziția ANSPDCP, la cerere.

Evaluarea periodică a prelucrării datelor (DPIA)

Organizațiile sunt obligate să își evalueze periodic modul de prelucrare a datelor personale și să actualizeze, ori de câte ori este necesar guvernanța prelucrării datelor, ca urmare a rezultatelor evaluării.

Consimțământul (Acordul)

  • Acordul persoanei vizate trebuie exprimat liber și pentru scopuri determinate;
  • La exprimarea consimțământului, persoanele vizate trebuie informate că au dreptul de a-și retrage consimțământul;
  • Consimțământul se exprimă explicit și pentru datele sensibile sau transferul datelor către state terțe.

Notificarea obligatorie a încălcării

  • Organizațiile sunt obligate să notifice orice încălcare a obligațiilor privind prelucrarea, fără întârzieri nejustificate sau în cel mult 72 de ore;
  • În cazul în care încălcarea obligațiilor implică vreun risc și pentru persoanele vizate, organizația are obligația de a notifica și pe acele persoane vizate.

Drepturi noi

  • Dreptul de a fi uitat – dreptul persoanei vizate de a cere operatorului să șteargă toate datele personale, în anumite circumstanțe, fără întârzieri nejustificate;
  • Dreptul la portabilitatea datelor – persoanele vizate ale căror date sunt prelucrate de un anumit operator au dreptul de a cere acelui operator să porteze (să trimită) datele pe care le deține, către un alt operator;
  • Dreptul de a se opune profilării – constă în dreptul persoanei vizate de un proces ce implică luarea unor decizii automate de a se opune mijloacelor automate de luare a deciziei.

”Privacy by design”

  • organizațiile sunt obligate să includă protecția datelor în toate procesele de dezvoltare ale afacerii;
  • în ierarhia priorităților, organizațiile se vor asigura că protecția datelor ocupă din oficiu (”by default”) cel mai înalt nivel.

Obligații ale operatorilor

Operatorii de date cu caracter personal devin în mod oficial entități reglementate.