GDPR este un nou regulament care vizeaza protectia si gestionarea datelor cu caracter personal, cu aplicabilitate din 25 mai 2018 in toate statele membre ale Uniunii Europene.
Conform noului regulament, orice persoana fizica trebuie sa detina controlul asupra modului de colectare si prelucrare a informatiilor personale, fapt care aduce o serie de reguli si obligatii pentru organizatii.
GDPR vizeaza orice afacere care prelucreaza date personale, fie online sau offline, indiferent de volumul de date sau de domeniul de activitate.

Date personale care intra sub incidenta GDPR:
• Informații de baza: nume, prenume, adresa, numar de telefon, adresa e-mail, data nasterii, locul nasterii, nume parinti, educație, CNP, numar/serie carte de identitate sau pasaport.
• Date de identificare online: adrese IP, adrese MAC, locatii GPS, nume de utilizator in aplicatii si alte date obtinute prin cookie-urile din browser.
• Informatii privind apartenenta la asociatii, sindicate, grupari politice sau religioase
• Informatii biometrice, de sanatate sau genetice.
• Inregistrari video, audio sau monitorizari ale activitatii la birou, al accesului la Internet sau al aplicatiilor folosite.

Activitati din domeniul web, reglementate de GDPR:
• Colectarea datelor personale ale utilizatorilor prin formulare de contact
• Email marketing – cerere permisiune si verificare surse de colectare a datelor
• Colectare date utilizatori – dreptul utilizatorilor de a sterge datele personale
• Consimtamant explicit al utilizatorului
• Respectare politica de Cookies
• Aplicatii de chat care pastreaza ID-urile utilizatorilor
• Monitorizare comportament online al utilizatorilor prin instrumente de analiza, cum ar fi Google Analytics, etc.
• Orice site sau un magazin online trebuie sa se conformeze GDPR.
GDPR se aplica tuturor organizatiilor comerciale, caritabile sau autoritatilor publice din Uniunea Europeana care colecteaza, stocheaza sau prelucreaza datele cu caracter personal.
Organizatiile trebuie sa demonstreze ca respecta regulamentul de protectie a datelor. In caz contrar vor exista consecinte: amenzi foarte mari, aplicate in mod direct, pentru care este specificat pragul superior de 20 milioane de Euro sau de 4% din cifra de afaceri anuala.
Conform regulamentului, datele sensibile trebuie protejate de companiile care le detin iar companiile sunt obligate sa “implementeze masuri tehnice și organizatorice relevante”.

Regulamentul acorda urmatoarele drepturi utilizatorilor care isi ofera datele personale oricarui operator economic procesator de date:
• utilizarea datelor personale doar cu permisiunea si consimtamantul explicit al utilizatorului
• dreaptul de a corecta sau sterge oricand datele
• dreptul de a fi informat cu privire la modul de procesare a datelor
• dreptul de portabilitate a datelor la un alt furnizor

Conform regulamentului, operatorii economici procesatori de date au urmatoarele obligatii:
• sa asigure securitatea, protectia, integritatea si confidentialitatea datelor cu caracter personal prin politici si proceduri clar specificate si documentate
• sa stabileasca reguli stricte de preluare, stocare si analiza a datelor, doar in scopuri legitime specifice, pe o perioada limitata de timp
• sa poata demonstra consimtamantul clar si specific al utilizatorului
• sa notifice autoritatea de supraveghere asupra oricarei brese de securitate a datelor
• sa se asigure ca furnizorii si colaboratorii respecta GDPR

GDPR recomanda urmatoarele masuri:
• Criptarea, pseudonimizarea si prelucrarea datelor cu caracter personal, astfel incat acestea sa nu ma poata fi atribuite persoanei vizate
• Datele de identificare trebuie stocate separat, pentru a evita legatura cu persoana respectiva si pentru a face imposibila identificarea directa
• Organizatia va asigura integritatea, confidentialitatea, disponibilitatea si functionarea sistemelor de prelucrare a datelor
• Plan de actiune in cazul unui incident, care va asigura restabilirea accesului la date si disponibilitatea acestora in cel mai scurt timp posibil
• Testarea perioadica a protocolului de masuri tehnice si organizatorice pentru asigurarea securitatii datelor si confidentialitatea acestora.