Acest glosar reunește cinci termeni esențiali din Regulamentul General privind Protecția Datelor (GDPR): Principiile fundamentale ale prelucrării datelor, Drepturile persoanelor vizate, Acordul de Prelucrare a Datelor, Incidentele de securitate și Transferurile internaționale. Fiecare termen este definit riguros și legat la resursele juridice relevante, oferind o bază solidă pentru înțelegerea cadrului de protecție a datelor în România.
Glosar de termeni GDPR și protecția datelor
Protecția datelor personale în Uniunea Europeană se bazează pe un cadru legal complex și interconectat. Pentru a naviga eficient prin obligațiile GDPR, trebuie să înțelegeți termenii și conceptele cheie care apar constant în comunicările legale, contracte și proceduri de conformitate. Glosarul de mai jos explică cinci concepte esențiale, fiecare central pentru implementarea GDPR în organizațiile românești.
Principiile GDPR
GDPR stabilește șapte principii fundamentale care guvernează prelucrarea datelor cu caracter personal, prevăzute la Articolul 5 din Regulamentul (UE) 2016/679. Aceste principii — legalitate, echitate, transparență, minimizare, exactitate, limitarea stocării, integritate și responsabilitate — reprezintă temelia conformității pentru orice organizație care colectează sau prelucrează date personale și se aplică direct în România din 25 mai 2018. Fiecare principiu impune obligații concrete și măsuri de implementare care trebuie documentate și monitorizate. Documentați respectarea acestor principii pentru a demonstra responsabilitate în caz de audit.
Citește mai multe: Principiile GDPR
Drepturile Persoanelor Vizate
Regulamentul General privind Protecția Datelor conferă persoanelor fizice opt drepturi fundamentale asupra datelor lor personale: dreptul de a fi informat, dreptul de acces, dreptul de rectificare, dreptul de ștergere (cunoscut și ca „dreptul de a fi uitat"), dreptul de restricționare a prelucrării, dreptul la portabilitatea datelor, dreptul de opoziție și dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată. Companiile și instituțiile sunt obligate să răspundă cererilor privind aceste drepturi în termen de maximum o lună, și persoanele vizate pot depune plângeri la autoritatea de supraveghere dacă organizațiile refuză sau amână răspunsurile.
Citește mai multe: Drepturile Persoanelor Vizate
Acordul de Prelucrare a Datelor (DPA)
Acordul de Prelucrare a Datelor (Data Processing Agreement în engleză) este contractul obligatoriu dintre un operator de date și o persoană împuternicită care prelucrează date cu caracter personal în numele operatorului. Este impus de Articolul 28 din GDPR și lipsa unui DPA formal poate atrage amenzi severe — de până la 10 milioane EUR sau 2% din cifra de afaceri anuală globală. DPA-ul trebuie să stabilească clar responsabilitățile, obligațiile tehnice și organizatorice, drepturile de audit și mecanismele de înștiințare în caz de breșă. Orice furnizor extern care are acces la datele personale — de la hosting providers la agenții de marketing — trebuie să semneze un DPA adecvat.
Citește mai multe: Acordul de Prelucrare a Datelor
Incidentele de Securitate a Datelor (Data Breach)
O încălcare a securității datelor cu caracter personal (data breach în termeni internaționali) este orice incident care provoacă distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date personale. GDPR impune operatorilor obligația de a notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore de la conștientizarea incidentului, dacă încălcarea prezintă un risc pentru drepturile și libertățile persoanelor vizate. Nereportarea la timp, sau raportarea incompletă, poate atrage amenzi substantiale — de până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală. În anumite cazuri, operatorul trebuie să informeze și persoanele vizate direct.
Citește mai multe: Incidente de Securitate și Notificarea Încălcărilor
Transferurile Internaționale de Date Personale
Transferul de date personale în afara Uniunii Europene este strict reglementat de GDPR conform Capitolului V (Articolele 44-50). Companiile pot transfera date doar către țări cu nivel adecvat de protecție (astfel cum a decis Comisia Europeană) sau prin folosirea unor garanții adecvate, în special clauzele contractuale standard (SCC) sau reguli corporatiste obligatorii (BCR). Încălcarea acestor reguli poate atrage amenzi substantiale — de până la 20 milioane EUR sau 4% din cifra de afaceri globală. GDPR prevede, de asemenea, o procedură de evaluare a impactului transferului (Transfer Impact Assessment) pentru a asigura că destinația are o protecție suficientă a datelor.
Citește mai multe: Transferuri Internaționale de Date Personale
Întrebări frecvente
1. Ce sunt datele cu caracter personal conform GDPR?
Orice informație referitoare la o persoană fizică identificată sau identificabilă: nume, adresă, e-mail, CNP, adresă IP, date biometrice, date de localizare etc.
2. Ce sunt principiile GDPR și de ce sunt importante?
GDPR stabilește șapte principii fundamentale (legalitate, minimizare, exactitate, limitarea stocării, integritate, transparență, responsabilitate) care guvernează prelucrarea datelor și oferă temelia conformității.
3. Care sunt drepturile principale ale persoanelor vizate?
Opt drepturi fundamentale: dreptul de a fi informat, de acces, de rectificare, de ștergere, de restricționare, la portabilitate, de opoziție și dreptul la decizie non-automată.
4. Ce este un Acord de Prelucrare a Datelor (DPA)?
Contractul obligatoriu dintre un operator și o persoană împuternicită care prelucrează date în numele operatorului. Lipsa lui poate atrage amenzi majore.
5. Ce se întâmplă în caz de incidente de securitate a datelor?
Operatorul trebuie să notifice ANSPDCP în 72 de ore de la conștientizare dacă incidentul prezintă risc pentru persoane, și posibil persoanele vizate și autoritățile.
6. Pot transfera date personale în afara Uniunii Europene?
Nu liber. Transferurile sunt permise doar către țări cu nivel adecvat de protecție sau prin garanții adecvate cum sunt clauzele contractuale standard.