Gestiunea accesului la date personale — Implementarea principiului celui mai mic privilegiu (need-to-know) în accesul la datele cu caracter personal: doar persoanele care au nevoie de date pentru îndeplinirea atribuțiilor au acces, la nivelul minim necesar. Se implementează prin: roluri și permisiuni, autentificare multi-factor, jurnalizarea accesului și revizuirea periodică a drepturilor de acces.

Prelucrarea datelor cu caracter personal — Orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea, combinarea, restricționarea, ștergerea sau distrugerea.

Responsabil cu protecția datelor (DPO) — Persoană desemnată de operator sau persoana împuternicită pentru a supraveghea conformitatea cu legislația privind protecția datelor. Numirea DPO este obligatorie pentru autoritățile publice, pentru operatorii care efectuează monitorizare sistematică pe scară largă și pentru cei care prelucrează categorii speciale de date pe scară largă. DPO acționează independent și raportează direct conducerii.

Persoana împuternicită de operator — Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului. Relația se formalizează printr-un contract sau alt act juridic care stabilește obiectul, durata, natura și scopul prelucrării, tipul datelor și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului.

Operator de date — Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Operatorul poartă responsabilitatea principală pentru conformitatea prelucrării cu GDPR, inclusiv pentru activitățile desfășurate de persoanele împuternicite în numele său.

Date cu caracter personal — Orice informație privind o persoană fizică identificată sau identificabilă (persoana vizată). O persoană identificabilă este aceea care poate fi identificată direct sau indirect prin referire la un element de identificare: nume, CNP, date de localizare, identificator online sau unul ori mai multe elemente specifice identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Consimțământul persoanei vizate — Orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate. Consimțământul trebuie să fie la fel de ușor de retras ca și de acordat. Sarcina probei revine operatorului.