Regulamentul general privind protecția datelor (GDPR) este noua lege privind protecția datelor din Uniunea Europeană. El înlocuiește Directiva privind protecția datelor, aflată în vigoare încă din 1995. Deși GDPR păstrează multe dintre principiile stabilite în Directivă, este o lege mult mai ambițioasă. Printre modificările notabile se numără faptul că GDPR oferă oamenilor mai mult control asupra datelor lor cu caracter personal, impunând noi obligații organizațiilor care colectează, manipulează sau analizează date cu caracter personal. De asemenea, GDPR acordă autorităților naționale de reglementare noi puteri, astfel încât acestea să poată aplica amenzi importante organizațiilor ce încalcă legea.

GDPR impune o gamă largă de cerințe organizațiilor care colectează sau prelucrează date cu caracter personal, inclusiv obligația de a respecta șase principii cheie:
• Transparență, corectitudine și legalitate în manipularea și utilizarea datelor cu caracter personal;
• Limitarea prelucrării datelor cu caracter personal la scopurile explicite și legitime;
• Restrângerea colectării și a păstrării la cantitatea minimă de date cu caracter personal necesară pentru un anumit scop;
• Asigurarea corectitudinii datelor, inclusiv a posibilității de a le șterge și edita;
• Limitarea păstrării datelor cu caracter personal;
• Asigurarea securității, a integrității și a confidențialității datelor cu caracter personal.

GDPR se aplică organizațiilor de orice dimensiune și din orice domeniu. În special, GDPR se aplică:
• prelucrării datelor cu caracter personal ale oricărei persoane, dacă prelucrarea se efectuează în contextul activităților unei organizații fondate în UE (indiferent unde anume are loc prelucrarea),
• prelucrării datelor cu caracter personal ale persoanelor rezidente în UE, de către o organizație fondată în afara UE, atunci când prelucrarea are legătură cu furnizarea de bunuri sau servicii persoanelor respective sau cu monitorizarea comportamentului acestora.

GDPR reglementează colectarea, păstrarea, utilizarea și partajarea „datelor cu caracter personal”. Datele cu caracter personal sunt definite de GDPR, în mare, ca fiind orice date referitoare la o persoană fizică identificată sau identificabilă. Ele pot include informații ca adrese IP, baze de date de vânzări, date aferente serviciilor pentru clienți, formulare de feedback și altele.

Conform GDPR, este obligatoriu ca produsele și serviciile tale să încorporeze caracteristici și funcționalități pentru confidențialitate încă din faza de proiectare a acestora. La dezvoltarea caracteristicilor, trebuie să ții cont de factori precum natura prelucrării și riscurile la adresa confidențialității pe care le implică, nevoia de securitate și costurile de implementare. De asemenea, trebuie să implementezi măsuri prin care să garantezi implicit că nu se prelucrează mai multe date decât este necesar.

Amenda maximă pentru încălcări grave va depăși 20 de milioane de euro sau patru procente din veniturile globale anuale ale unei organizații, aplicându-se suma cea mai mare dintre cele două. În plus, GDPR acordă consumatorilor (și organizațiilor care acționează în numele lor) dreptul de a intenta acțiuni civile în instanță împotriva organizațiilor care încalcă GDPR.

Articolul 4 din GDPR include o listă de termeni cu definiții, utilizați în cadrul regulamentului. Iată termenii cheie pe care trebuie să îi înțelegi:
• Operator. Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.
• Persoana împuternicită de operator. Persoana împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele unui operator.
• Date cu caracter personal. Înseamnă orice informații privind o persoană fizică identificată sau identificabilă, cunoscută și sub denumirea de „persoană vizată”. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
• Prelucrare. Înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate. Printre operațiuni se numără colectarea, înregistrarea, organizarea, structurarea, stocarea și altele.
• Pseudonimizare. Înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat.
Este recomandabil să citești întregul text al articolului 4 din GDPR, pentru a găsi descrierea detaliată a fiecărui termen cheie.

Conform GDPR, organizația ta are obligația să ia măsuri pentru a păstra în siguranță datele cu caracter personal. Printre măsuri se numără „măsurile organizatorice”, de exemplu, limitarea numărului de persoane din cadrul organizației care au acces la datele cu caracter personal, și „măsurile tehnice”, cum ar fi criptarea.
GDPR nu specifică și nu impune exact măsurile de securitate pe care trebuie să le ia organizațiile. În schimb, acesta cere să stabilești singur ce măsuri de securitate trebuie să iei, ținând cont de factori ca natura datelor cu caracter personal pe care le colectezi, cât de sensibile sunt acestea și riscurile implicate în prelucrare.
Există numeroase riscuri care trebuie luate în considerare. Printre riscurile frecvente se numără intruziunea fizică, angajații rău-intenționați, pierderea accidentală sau atacurile hackerilor. Dezvoltarea unui plan de gestiune a riscurilor și luarea unor măsuri de reducere a riscurilor, cum ar fi protejarea prin parolă, jurnalele de audit și implementarea sistemelor de criptare, te pot ajuta să asiguri conformitatea.

GDPR definește „încălcarea securității datelor cu caracter personal” ca „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea”.În cazul unei astfel de încălcări, ai obligația să notifici autoritățile de reglementare în termen de 72 de ore de la luarea la cunoștință. De asemenea, este posibil să fie obligatorie notificarea clienților (sau a „persoanelor vizate”), dacă există un risc semnificativ de vătămare a acestora din cauza încălcării respective.

Înseamnă că trebuie să explici sincer și clar de ce și în ce fel prelucrezi datele oamenilor. GDPR include informații detaliate despre ceea ce trebuie să le comunici oamenilor cu privire la prelucrarea datelor cu caracter personal; printre altele, informații despre: 
• De ce prelucrezi datele cu caracter personal;
• Cât timp vei păstra datele (sau criteriile prin care stabilești cât timp ai nevoie să păstrezi datele);
• Cui vei împărtăși datele cu caracter personal și
• Dacă datele cu caracter personal vor fi transferate în afara Spațiului Economic European.
Trebuie să prezinți aceste informații într-o manieră clară și accesibilă. De aceea, este o idee bună să treci în revistă cu atenție informațiile publicate de tine, în raport cu cerințele GDPR.