GDPR este abrevierea pentru General Data Protection Regulation care se traduce în Regulamentul General de Protecția Datelor. Acesta este un act oficial al Uniunii Europene (Regulamentul UE 679/2016) prin care se urmărește asigurarea protecției drepturilor fundamentale ale omului în contextul transferului și procesării datelor personale ale persoanelor fizice. Concret, prevederile Regulamentului se aplică în situațiile în care, pentru anumite activități, persoanele fizice trebuie să furnizeze unei instituții, unei persoane juridice sau unei alte persoane fizice anumite date cu caracter personal (nume, prenume, adresă, data nașterii și altele asemenea).
Prelucrarea datelor cu caracter personal înseamnă orice operațiune care are legătură cu aceste date. Așadar, colectarea, stocarea, adaptarea, modificarea sau ștergerea unor astfel de date, precum și alte operațiuni prevăzute de lege intră sub incidența Regulamentului GDPR.
Există o categorie de date cu caracter personal care sunt sensibile. Astfel de date sunt cele care se referă la: rasă, etnie, convingeri religioase și politice, viața sexuală a unei persoane, starea de sănătate, respectiv datele genetice și biometrice prelucrate în scopul identificării unei persoane.
De principiu, prelucrarea acestor date este interzisă, însă în anumite situații aceasta este permisă. Astfel de situații sunt cele în care persoana vizată și-a dat consimțământul pentru prelucrarea acestor date, cele în care prelucrarea acestor date este absolut necesară protejării drepturilor și intereselor vitale ale persoanei vizate, ale securității sale sociale în contexte de muncă. De asemnea, se pot prelucra astfel de date de către fundațiile și organizațiile care nu au scop lucrativ sau atunci când astfel de date au fost deja făcute publice de către persoana vizată.
Raportat la prelucrarea datelor cu caracter personal, operatorii au obligația de a informa persoanele ale căror date sunt prelucrate cu privire la cine prelucrează aceste date și în ce calitate, în ce scop, cui urmează a fi divulgate și de ce, precum și datele de contact ale responsabilului cu prelucrarea datelor.
Sunt anumite situații în care regulamentul nu se aplică. Acestea sunt, în primul rând, situațiile în care anumite activități nu au în niciun fel legătură cu obiectivele Uniunii Europene și care, de asemenea, nici nu sunt supuse reglementărilor în materie de drept unional. De asemenea, prevederile Regulamentului GDPR nu se aplică nici în activitățile care țin de urmărirea, prevenția sau sancționarea anumitor infracțiuni în anchetele desfășurate de organele statului. Nu în ultimul rând, prevederile GDPR nu se aplică nici în situațiile dintre particulari care țin strict de modul lor de a-și organiza viața privată, cum ar fi în cazul activităților casnice.
GDPR – lege
În România, prevederile Regulamentului UE 679/2016 au fost transpuse în legislația națională prin Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
Aceasta prevede câteva derogări, adică câteva situații în care prevederile regulamentului sau o parte din acestea nu se aplică. Așadar, în cazul lucrărilor artistice, literare, academice sau jurnalistice, pot fi folosite orice informații care sunt deja făcute cunoscute publicului larg de către persoana vizată. Prelucrarea datelor cu caracter personal în scopuri de cercetare ştiinţifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public derogă de la regimul general în anumite condiții, în sensul că lor nu li se aplică toate prevederile Regulamentului, ci numai o parte dintre acestea.
Conform Regulamentului UE și al Legii 190/2018, fiecare operator trebuie să denumească un responsabil pentru protecția datelor prelucrate. Acesta are obligația de a monitoriza toată activitatea de prelucrare a datelor, de a se asigura că această activitate se desfășoară în acord cu prevederile legale în materie și, de asemenea, trebuie să îl consilieze pe operator în legătură cu orice operațiune care implică prelucrarea de date cu caracter personal.
Încălcare GDPR
Încălcarea GDPR intervine când, în mod accidental sau ilegal, datele cu caracter personal ale unor persoane, firme sau societăți de orice fel nu mai sunt protejate, apărând astfel riscul încălcării confidențialității acestora. În astfel de situații, operatorii responsabili de prelucrarea acestor date trebuie să anunțe autoritatea de supraveghere în termen de cel mult 72 de ore de la constatarea incidentului. În măsura în care nu au fost luate măsuri rapide și eficace care să înlăture riscurile, operatorii trebuie să își anunțe clienții cu privire la o astfel de situație.
Oricine constată sau crede că i-au fost încălcate drepturile cu privire la confidențialitatea datelor cu caracter personal, poate sesiza APD (Autoritatea Protecției Datelor) cu o plângere. În acest caz, dacă plângerea nu se soluționează în mod corect, se va putea introduce o acțiune în instanță împotriva autorității. De asemenea, dacă datele dumneavoastră au fost încălcate și știți cine este responsabil pentru aceasta (de exemplu, aveți un ceas digital care înregistrează activitatea fizică și constatați că informațiile dumneavoastră au fost confundate sau amestecate cu datele unei alte persoane) vă puteți adresa în instanță direct împotriva operatorului vinovat de incident. În aceste cazuri, instanța va soluționa cazul și va dispune măsurile necesare.
Ultimul capitol al Legii 190/2018 prevede sancțiunile aplicabile operatorilor care nu respectă prevederile din materia protecției datelor. Aceste sancțiuni se aplică, așadar, în situațiile în care operatorii sunt în culpă pentru orice fel de încălcare a securității și confidențialității datelor. Conform prevederilor Legii, încălcarea obligațiilor de către operator sau responsabilul desemnat de acesta, precum și încălcarea principiilor Regulamentului și a drepturilor oricărei persoane constituie contravenție. Sancțiunile contravenționale principale sunt avertismentul și amenda contravențională.
În cazul autorităților și organismelor publice, Autoritatea Națională de supraveghere încheie un proces-verbal prin care constată și sancționează contravenția. Nerespectarea deciziilor emise de această autoritate constituie, de asemenea, contravenție.