GDPR, respectiv Regulamentul General Privind Protecția Datelor (679/2016), a fost adoptat în data de 27 mai 2016.  După o perioadă de tranziție de 2 ani, acesta va intra în vigoare și va înlocui Directiva privind protecția datelor 95/46 / CE). Regulamentul General se va aplica direct tuturor statelor membre, fără a fi nevoie de legislație internă.

Vechea Directivă privind protecția datelor nu și-a atins în totalitate scopul, acesta fiind aplicată neuniform în cadrul Uniunii Europene, prin legi diferite de la stat la stat. Deși intenția a fost aceea de a proteja persoana fizică, mijloacele acesteia de a-și administra datele erau limitate si de multe ori nu existau. Sancțiunile mult prea blânde au permis acumularea ineficientă de date și, drept consecință, pierderea sau scurgerea acestora. S-a creat astfel un cadru legislativ nou, care a pus accentul pe persoana fizică si dreptul ei de a a-și administra și gestiona datele.

GDPR a adus îmbunătățiri considerabile față de vechea Directivă, împreună cu o serie nouă de prevederi. Astfel, se axează pe protecția datelor și a drepturilor persoanelor fizice și se bazează pe premisa că toate persoanele fizice sunt îndreptățite să știe cine și unde le stochează datele personale și mai ales la ce sunt ele folosite. Acesta este un aspect pe care Directiva Europeană nu îl prevede.

GDPR și-a extins spectrul teritorial, acum accentul punându-se pe persoana vizată și nu pe locația acesteia. Înțelegem din aceasta că o persoană căreia i s-a adus un prejudiciu prin prisma datelor cu caracter personal, va putea beneficia de prevederile Regulamentului, indiferent de rezidența lui.

Dacă ne referim strict la protecția persoanei fizice și a datelor acesteiea, modificările sunt pozitive. Asta însemnând că se mizează pe transparență, corectitudine și legitimitate. Datele colectate se reduc la strictul necesar, iar ele trebuie păstrate doar până își ating scopul. Operatorul datelor cu caracter personal trebuie să se asigure că acestea sunt ținute și prelucrate in condiții de maximă siguranță, prevenind astfel scurgerea sau distrugerea.

Cele 6 modificări majore:

  1. Consimțământul

GDPR prevede exprimarea detaliată și  neambiguă a consimțământului. Probarea consimțământului este o obligativitate a operatorului. Mai mult, există situații noi în care este acceptat consimțământul minorului. Aceste prevederi sunt absente în Directiva 46/95.

  1. Dreptul de a fi uitat  foarte puțin menționat în Directivă, acest drept este întărit de GDPR și îi conferă persoanei fizice dreptul de a solicita ștergerea datelor personale, dacă acestea și-au atins scopul sau sunt folosite necorespunzător.
  1. Dreptul de a te adresa unei Instituții superioare

Spre deosebire de Directivă, noul Regulament oferă dreptul persoanei vizate de a se adresa Autorității Naționale de Supraveghere a Datelor cu Caracter Personal și de a solicita remedierea prejudiciului.

  1. Evaluarea impactului și inventarierea datelor

Un aspect important, obligatoriu începând cu 25 mai 2018, este ținerea unei evidențe interne de către operatorul de date, a tuturor operațiunilor de date cu caracter personal. Se dorește astfel, o mai mare responsabilizare. O astfel de evaluare are rolul de a preveni și împedica o eventuală scurgere de informații. În cazul unei breșe, operatorul are obligația de a anunța autoritățile în termen de 72 de ore și de a-i comunica părții vătămate.

  1. DPO sau Ofițer responsabil cu protecția datelor

Probabil cea mai importantă modificare este introducerea DPO-ului sau ofițerul repsonsabil cu protecția datelor. Un angajat, sau de ce nu, un departament, care să coordoneze, supravegheze și monitorizeze tot ce ține de protecția datelor cu caracter personal.

Această funcție nu este menționată deloc în Regulament, însă devine obligatorie în special pentru Instituțiile Publice și pentru companiile care operează date la scară largă sau lucrează cu date sensibile.

  1. Amenzi

Raportat la amenzi, acestea s-au mărit considerabi, mergând până la 4% din cifra de afaceri sau 20 milioane de euro. Un lucru bun dacă urmărim protejarea persoanei fizice. Menționăm că vina pentru orice atingere adusă persoanei vizate, cade în sarcina operatorul și că DPO-ul nu poate fi tras la răspundere.