Protectia datelor personale – GDPR

Regulamentul Parlamentului European și al Consiliului nr. 679 din 27 aprilie 2016 (numit in continuare “Regulament”) privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date, regulament cunoscut și sub abrevierea G.D.P.R. (General Data Protection Regulation).

Regulamentul este de directă și obligatorie aplicare în toate statele Uniunii
Europene. Prin urmare, dispoziţiile sale se vor aplica și în România începând cu data de
25.05.2018.

Destinatarii Regulamentului sunt toate persoanele juridice care prelucrează sau
vor prelucra date cu caracter personal, astfel cum sunt acestea definite prin
legislaţia specifică. Deopotrivă, Regulamentul vizează și alte categorii de subiecţi de drept, inclusiv
persoanele fizice lezate în privinţa protecţiei datelor cu caracter personal.

Regulamentul instituie principii și proceduri complexe menite să asigure protecţia
datelor cu caracter personal. Dintre acestea, amintim cu titlu exemplificativ:
(a) principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare
la o persoană fizică identificată sau identificabilă;
(b) consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie
o manifestare liber exprimată, specifică, în cunoștinţă de cauză și clară a acordului
persoanei vizate pentru prelucrarea datelor sale cu caracter personal;
(c) pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui
efectuată pe baza consimţământului persoanei vizate;
(d) în cazul în care prelucrarea se bazează pe consimţământul persoanei vizate,
operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată și-a
dat consimţământul pentru operaţiunea de prelucrare;
(e) în vederea demonstrării conformităţii cu Regulamentul, operatorul sau
persoana împuternicită de operator ar trebui să păstreze evidenţe ale activităţilor
de prelucrare aflate în responsabilitatea sa;
(f) în vederea menţinerii securităţii și a prevenirii prelucrărilor care încalcă
Regulamentul, operatorul sau persoana împuternicită de operator ar trebui să
evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea
acestor riscuri, cum ar fi de exemplu criptarea;
(g) operatorul ar trebui să fie responsabil de efectuarea unei evaluări a impactului
asupra protecţiei datelor, care să estimeze, în special, originea, natura,
specificitatea și gravitatea acestui risc;
(h) operatorul ar trebui să comunice persoanei vizate o încălcare a securităţii
datelor cu caracter personal, fără întârzieri nejustificate, atunci când încălcarea
este susceptibilă să genereze un risc ridicat pentru drepturile și libertăţile
persoanei fizice, pentru a-i permite să ia măsurile de precauţie necesare.
În același timp, Regulamentul prevede o serie importantă de drepturi de care se
bucură persoana vizată.

Pentru respectarea si aplicarea corecta a Regulamentului, se vor impune diverse masuri:
– auditul politicii interne actuale în privinţa datelor cu caracter personal;
– desemnarea unei persoane responsabile cu protecţia datelor;
– instruirea angajaţilor și colaboratorilor;
– redactarea, adaptarea și implementarea unor politici interne privind obţinerea
consimţământului, prelucrarea, gestionarea și protejarea datelor.

Încălcarea anumitor dispoziţii ale Regulamentului poate atrage obligarea persoanelor responsabile la plata unor amenzi, aplicarea acestora fiind de competenţa Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.