Sancțiuni GDPR în România — ANSPDCP poate aplica amenzi de până la 20 milioane EUR sau 4% din cifra de afaceri globală anuală. Legea 190/2018 prevede un mecanism de reducere: dacă operatorul remediază situația în termenul acordat, amenda poate fi redusă. Cele mai frecvente încălcări sancționate în România: lipsa consimțământului, securitate inadecvată, nerespectarea drepturilor persoanelor vizate.

Prelucrarea datelor cu caracter personal — Orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea, combinarea, restricționarea, ștergerea sau distrugerea.

Responsabil cu protecția datelor (DPO) — Persoană desemnată de operator sau persoana împuternicită pentru a supraveghea conformitatea cu legislația privind protecția datelor. Numirea DPO este obligatorie pentru autoritățile publice, pentru operatorii care efectuează monitorizare sistematică pe scară largă și pentru cei care prelucrează categorii speciale de date pe scară largă. DPO acționează independent și raportează direct conducerii.

Persoana împuternicită de operator — Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului. Relația se formalizează printr-un contract sau alt act juridic care stabilește obiectul, durata, natura și scopul prelucrării, tipul datelor și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului.

Operator de date — Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Operatorul poartă responsabilitatea principală pentru conformitatea prelucrării cu GDPR, inclusiv pentru activitățile desfășurate de persoanele împuternicite în numele său.

Date cu caracter personal — Orice informație privind o persoană fizică identificată sau identificabilă (persoana vizată). O persoană identificabilă este aceea care poate fi identificată direct sau indirect prin referire la un element de identificare: nume, CNP, date de localizare, identificator online sau unul ori mai multe elemente specifice identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Consimțământul persoanei vizate — Orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate. Consimțământul trebuie să fie la fel de ușor de retras ca și de acordat. Sarcina probei revine operatorului.