Cel mai probabil, răspunsul la această întrebare este unul afirmativ. Majoritatea organizațiilor realizează activități de prelucrare a datelor cu caracter personal, într-o formă sau alta. Organizația dumneavoastră poate să prelucreze datele cu caracter personal ale angajaților, clienților sau personalului furnizorilor.
Domeniul de aplicabilitate al GDPR-ului face referire la operatorii sau persoanele împuternicite de aceștia, care realizează activități de prelucrare a datelor cu caracter personal în cadrul sediilor lor aflate pe teritoriul Uniunii, indiferent dacă prelucrează date personale ale cetățenilor europeni sau nu. Regulamentul se aplică și operatorilor care nu sunt stabiliți în Uniune, atunci când realizează o prelucrare a datelor cu caracter personal ale cetățenilor europeni pentru următoarele scopuri:
• Oferirea de bunuri sau servicii, indifirent dacă aceste activități sunt remunerate sau nu;
• Monitorizarea comportamentului persoanelor fizice, dacă acesta se manifestă în cadrul Uniunii.

Reprezintă persoana ale cărei date cu caracter personal sunt procesate în mod direct sau indirect. Persoana vizată poate face parte din rândul angajaților, clienților sau personalului furnizorilor.

Datele cu caracter personal reprezintă orice informații cu privire la o persoană fizică identificată sau identificabilă (,,persoană vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un identificator online, un nume, date de localizare, sau la unul dintre elementele specifice, proprii identității sale fizice, fiziologice, psihice, genetice, culturale, sociale sau economice.
Exemple concrete de date cu caracter personal: nume, prenume, adresă, Adresă Internet Protocol (IP), Cookies, semnătura, numărul de telefon, adresa de e-mail, datele din C.I. (serie, număr), ș.a.m.d..

Operatorul înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.

Datele personale sensibile reprezintă acele informații referitoare la persoanele vizate cărora trebuie să le fie atribuită o protecție sporită de către operatorii de date sau persoanele împuternicite.
Exemple concrete de date personale sensibile: date privind sănătatea, date genetice (informații unice privind sănătatea persoanei respective), biometrice (amprentă, recunoaștere facială, structura feței, modelele retinei, vocea, geometria mâinii), confesiunile religioase, opiniile politice, originea rasială, orientarea sexuală, apartenența la sindicate și convingerile filosofice.

Prelucrarea reprezintă o operațiune sau un set de operațiuni ce sunt efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, organizarea, structurarea, accesarea, utilizarea, înregistrarea, consultarea, adaptarea sau modificarea, extragerea, stocarea, diseminarea sau punerea la dispoziție prin orice alt mod, divulgarea prin transmitere, alinierea sau combinarea, ștergerea, distrugerea sau restricționarea.

Datele cu caracter personal ale persoanelor fizice trebuie să fie prelucrate prin respectarea următoarelor principii:

• legalitate, echitate și transparență (datele cu caracter personal sunt prelucrate în mod legal, corect și transparent în raport cu persoana vizată);
• reducerea la minimum a datelor (datele personale vor fi adecvate, relevante și limitate la strictul necesar în raport cu scopul pentru care sunt procesate);
• exactitatea datelor (datele personale sunt corecte și actualizate);
• integritatea și confidențialitatea acestora (datelor li se oferă o protecție adecvată);
• principiul limitării în legătură cu scopul (datele personale se colectează doar în scopuri specifice, explicite și legitime);
• limitări în ceea ce privește stocarea datelor (datele sunt păstrate doar cât timp este necesar).

Prelucrarea este legală numai atunci când se respectă una dintre următoarele condiții:

1. Persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
2. Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate în vederea încheierii unui contract;
3. Prelucrarea este necesară pentru îndeplinirea unei obligații legale (de exemplu: Legea Arhivelor Naționale 16 din 1996, cu modificările și completările ulterioare);
4. Prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice;
   Protejarea intereselor vitale ale persoanei vizate este iminentă în situația în care aceasta se află în incapacitate juridică sau fizică de a-și oferi consimțământul în vederea prelucrării datelor cu caracter personal referitoare la persoana sa.
   Există un interes vital în a fi prelucrate datele cu caracter personal ale persoanelor vizate în cazul în care acestea se află într-o stare de sănătate precară, iar acestora trebuie să le fie furnizate servicii medicale. Totodată, un interes vital în acest sens există și în cazul în care au loc dezastre naturale, cutremure, epidemii sau pandemii.
5. Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul;
6. Prelucrarea este necesară în scopul intereselor legitime urmărite de către operator, cu excepția cazului în care prevalează interesele sau drepturile și libertățile persoanelor fizice, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
   Punctul 6 nu se aplică în cazul activităților de prelucrare realizate de către autoritățile publice în vederea îndeplinirii atribuțiilor lor. Autoritățile publice pot să efectueze o prelucrare a datelor cu caracter personal numai în temeiul dreptului Uniunii sau al dreptului intern, atunci când acestea își îndeplinesc atribuțiile ce le revin conform legii.

Regulamentul (UE) nr. 679 din 27 aprilie 2016 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestora și de abrogare a Directivei 95/46/CE consolidează drepturile persoanelor vizate. Astfel, în temeiul acestui Regulament, persoanelor vizate le sunt oferite următoarele drepturi:

• Dreptul la acces;
• Dreptul la rectificare (corectare) ;
• Dreptul la ștergerea datelor (,,dreptul de a fi uitat”) ;
• Dreptul la restricționarea prelucrării;
• Dreptul la portabilitatea datelor;
• Dreptul la opoziție;
• Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv crearea de profiluri (prelucrare ce este realizată prin mijloace automate și, de obicei, fără intervenție umană) și;
• Dreptul de a depune o plângere în fața autorității de supraveghere competente (art. 77) sau de a se adresa justiției (art. 79).
• În majoritatea dintre cazuri, aceste drepturi pot fi exercitate de către persoanele vizate prin transmiterea unei cereri scrise, datate și semnate la adresa de e-mail a responsabilului cu protecția datelor cu caracter personal (DPO) desemnat de către operatorul datelor dumneavoastră cu caracter personal.

Există mai multe situații în care este necesară numirea unui DPO. Astfel, numirea unui DPO este obligatorie atunci când:

• Compania dumneavoastră are un număr minim de 250 de angajați. Numirea unui DPO este obligatorie în acest caz deoarece se prelucrează în mod constant un volum mare de date cu caracter personal;
• Prelucrarea este realizată de către o instituție publică sau de către un organism public;
• Activitățile de bază ale operatorului/persoanei împuternicite constă în prelucrarea pe scară largă a unor categorii speciale de date sau date cu caracter personal referitoare la condamnări penale;
• Activitățile principale ale operatorului constă în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă (de exemplu: serviciul de telefonie, serviciul de internet, etc.);
• Activitatea de prelucrare este în mod logic indisolubilă de funcționarea organizației/instituției (un caz concret în acest sens este reprezentat de spitale).

Totuși, noi recomandăm numirea unui DPO și în cazul în care organizația dumneavoastră are un număr minim de 100 de angajați, deoarece aceasta prelucrează un volum mare de date cu caracter personal.

În același timp, chiar dacă nu îndepliniți criteriile privind numirea obligatorie, Comitetul European pentru Protecția Datelor recomandă organizațiilor private, ca exemplu de bune practici, să-și numească totuși un Responsabil cu Protecția Datelor (RPD)/Data Protection Officer (DPO) pentru a facilita cooperarea dintre organizație și autoritatea de supraveghere competentă.

Nerespectarea prevederilor aferente GDPR poate atrage amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală. Această chestiune reprezintă, în mod evident, sancțiunea maximă care se poate acorda organizațiilor care încalcă în mod repetat prevederile Regulamentului 679. Totodată, este imperios necesar să menționăm faptul că sancțiunile se aplică într-un mod gradual.

GDPR este obligatoriu! Fiind un regulament european, acesta este direct aplicabil în toate statele membre ale Uniunii Europene și se aplică tuturor operatorilor de date care își au sediul în Uniunea Europeană.

GDPR a produs următoarele modificări în sfera protecției datelor cu caracter personal:

• A consolidat drepturile persoanelor vizate;
• A introdus un nou regim sancționator;
• A introdus o nouă calificare, și anume Responsabilul cu Protecția Datelor cu Caracter Personal sau Data Protection Officer (DPO);
• Notificarea în cazul încălcării securității datelor cu caracter personal a devenit obligatorie. Atunci când încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor și libertăților persoanelor fizice, aceasta trebuie să fie notificată către autoritatea de supraveghere competentă în termen de cel mult 72 de ore de la data la care am luat cunoștință de aceasta. De asemenea, în cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor și libertăților persoanelor vizate, operatorul trebuie să le notifice pe acestea în legătură cu breșa de securitate fără întârzieri nejustificate.