Implementarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (“GDPR” sau “Regulamentul”) este obligatorie din data de 25.05.2018 pentru societățile care prelucrează date cu caracter personal și au sediul, atât pe teritoriul Uniunii Europene, cât și în afara Uniunii, dacă prelucrarea datelor cu caracter personal este în legătură cu oferirea de bunuri sau servicii unor persoane vizate în Uniune sau monitorizarea comportamentului acestora în cadrul Uniunii. Astfel, aceste societăți care prelucrează date cu caracter personal vor fi obligate să se conformeze regulilor prevăzute de GDPR, în caz contrar, fiind supuse unor sancțiuni care ajung până la 20.000.000 EUR sau 4% din cifra de afaceri anuala globala a societății, aplicându-se cea mai mare penalitate dintre cele două¹.

Deși volumul de informații cu privire la Regulament poate părea covârșitor, trasarea unor linii directoare sau pași de familiarizare, cum sunt denumiți mai jos, are rolul de a clarifica cerințele legale și de a permite inițierea unei aplicări coerente a Regulamentului. Scurta trecere în revistă a GDPR se va axa pe sublinierea principiilor prelucrării datelor cu caracter personal, evidențierea actorului principal în aplicarea principiilor Regulamentului, descrierea acțiunii de audit a datelor, enumerarea instrumentelor ce demonstrează conformitatea prelucrării cu prevederile Regulamentului, punctarea drepturilor persoanei vizate și a obligațiilor operatorului, și, nu în ultimul rând, prezentarea modului în care se poate angaja răsp of the GDPRea operatorului.

PASUL NR. 1. Primul pas în familiarizarea cu GDPR constă în prezentarea principiilor legate de prelucrarea datelor cu caracter personal, și anume: legalitate, echitate, transparență, scop determinat și explicit, exactitate și, nu în ultimul rând, o prelucrare limitată și adecvată a datelor cu caracter personal. În cazul nerespectării acestor principii, sancțiunile sunt din cele mai severe, astfel cum s-a arătat mai sus.
Poate cel mai important principiu este cel al legalității prelucrării, deoarece înglobează în structura sa consimțământul persoanei vizate de prelucrarea datelor, necesitatea unei prelucrări în scopul executării unui contract sau în vederea îndeplinirii unei obligații legale a operatorului, precum și pentru a proteja interesele vitale ale persoanei vizate.
Din punctul nostru de vedere, operatorii ar trebui să acorde o atenție sporită consimțământului persoanei vizate de prelucrarea datelor, deoarece acesta reprezintă una din rutele către o conformare adecvată la prevederile Regulamentului.
Consimțământul persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate2.
Printre condițiile privind consimțământul prevăzute de Regulament se numără și forma pe care acesta trebuie să o aibă și anume, trebuie să fie prezentat într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj simplu și clar. Operatorii vor fi, totodată, atenți ca, dacă prelucrarea datelor se face în mai multe scopuri, consimțământul să fie dat pentru toate scopurile prelucrării. Avem o situație specială și în cazul minorilor care au sub vârsta de 16 ani, respectiva prelucrare fiind legală numai dacă consimțământul respectiv este acordat sau autorizat de titularul răsp of the GDPRii părintești asupra copilului.
Însă, poate cel mai important lucru în cadrul exprimării consimțământului este că acesta, chiar și după ce a fost dat, poate fi retras oricând de persoana vizată, informată fiind în prealabil în legătură cu acest lucru, iar această retragere nu va afecta în niciun fel legalitatea prelucrării efectuate până în momentul retragerii acestuia.
Nu în ultimul rând, operatorul trebuie să și demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.

PASUL NR. 2. Acest pas vine ca o completare a pasului anterior, prin evidențierea actorului principal în aplicarea principiilor Regulamentului și anume, responsabilul cu protecția datelor (“DPO”).
Când?, Unde?, Cine? și Cum? reprezintă întrebările la care trebuie să răspundem ca să ne creăm o imagine de ansamblu asupra atribuțiilor principale ale responsabilului cu protecția datelor, astfel:
Desemnarea unui responsabil cu protecția datelor se face de către operator sau persoana împuternicită ori de câte ori³:

• Prelucrarea este efectuată de o autoritate sau organism public, cu excepția instanțelor,
• Prelucrarea presupune monitorizarea sistematică și periodică a persoanelor vizate pe scară largă,
• Prelucrarea constă în categorii speciale de date cu caracter personal (care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice) sau date privind condamnări penale și infracțiuni.

În cazurile de mai sus, dacă nu desemnăm un responsabil cu protecția datelor suntem pasibili de a încasa o amendă în valoare de 10.000.000 EUR sau 2% din cifra de afaceri anuala globala a societatii⁴. De asemenea, putem desemna un responsabil cu protecția datelor și atunci când legea nu ne obligă, pentru siguranța aplicării corecte a Regulamentului, asumându-ne că vom fi supuși mai multor reguli și responsabilități decât în mod obișnuit. Responsabilul cu protecția datelor este desemnat de către operator sau persoana împuternicită de operator (de asemenea, poate fi desemnat și de un grup de întreprinderi) pe baza calităților profesionale și a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor cu caracter personal. Acesta poate fi un membru al personalului operatorului sau persoanei împuternicite de operator, atâta timp cât responsabilitățile lui din cadrul societății nu interferează cu cele ale unui responsabil cu protecția datelor, sau poate să își îndeplinească sarcinile în baza unui contract de prestări servicii. Responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor, astfel având următoarele sarcini:

• Informarea și consilierea operatorului,
• Monitorizarea respectării Regulamentului,
• Consiliere cu privire la evaluarea impactului asupra protecției datelor,
• Cooperarea cu autoritatea de supraveghere.

În îndeplinirea sarcinilor pe care le are, responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni din partea operatorului în ceea ce privește executarea acestor sarcini. Astfel, acesta nu este demis sau sancționat de către operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale și, nu în ultimul rând, responsabilul cu protecția datelor este obligat să respecte confidențialitatea în ceea privește îndeplinirea sarcinilor sale.
Există avantaje în desemnarea unui responsabil cu protecția datelor în organizație, și anume:
În primul rând, această desemnare a unui DPO scutește timpul pierdut în căutarea persoanei responsabile de aplicarea Regulamentului din cadrul organizației (departamentul juridic, departamentul comercial, ș.a.m.d.). Atunci când Regulamentul va intra în vigoare, se va crea o confuzie în cadrul organizației din nevoia de a găsi persoana responsabilă de implementarea acestuia.
În al doilea rând, prin numirea unui DPO, se contribuie la protecția împotriva riscului încasării unor amenzi cu adevărat drastice, prin implementarea corectă a Regulamentului, prin crearea de către DPO de politici, proceduri și instruiri care să sprijine demonstrării concordanței prelucrării datelor cu caracter personal cu Regulamentul.
În al treilea rând, numirea unui DPO, în fază inițială, reduce cheltuielile de implementare a Regulamentului pe termen lung, organizația nemaifiind expusă lungului șir de consultații juridice și IT ulterioare.

PASUL NR. 3. Acest pas ne indică unde și care sunt datele cu caracter personal pentru care trebuie să implementăm Regulamentul. Astfel, trebuie să înțelegem unde se află aceste date în cadrul societății pe care o conducem și cum sunt utilizate aceste date. Societățile nu numai că primesc date cu caracter personal din toate direcțiile, dar, în același timp, trimit aceste date către terțe societăți cu care conlucrează, iar aceste acțiuni determină necesitatea unui audit de date.
Acest audit de date reprezintă fundația pe care trebuie să o avem pentru a implementa cu succes regulile stipulate în Regulament. Prin intermediul auditului, trebuie să găsim răspunsuri la următoarele întrebări:

• Unde sunt datele?
• Ce fel de date sunt sau ce cuprind aceste date (nume, adrese, informații medicale, etc.)?
• Cât timp le păstrăm (zile, luni, ani)?
• Sub ce formă le păstrăm (hârtie, electronic, etc.)?
• Am avut consimțământul persoanei vizate când am prelucrat aceste date?
• Unde trimitem și cum sunt păstrate aceste date (terțe societăți)?
• Cum colectăm aceste date și cât de sigur este procedeul?
• Care sunt oamenii din cadrul companiei care au acces la aceste date?

Cel mai simplu mod de inițiere a auditului intern este prin trimiterea întrebărilor de mai sus departamentelor care se lovesc de acest fel de date în fiecare zi (resurse umane, departamentul de vânzări, departamentul juridic, departamentul de marketing, etc.).
Fiecare companie care este obligată să implementeze aceste noi seturi de reguli ar trebui să își creeze un chestionar care să ajute la demonstrarea concordanței dintre prelucrarea datelor cu caracter personal și Regulament. Din punctul nostru de vedere, chestionarul ar trebui să cuprindă o serie de întrebări similare celor de mai jos:

1. Ce fel de date cu caracter personal avem în cadrul societății (nume, adrese, CNP, etc.)?
2. Ce date deținem despre angajații companiei noastre?
3. Cât de sigură este prelucrarea datelor cu caracter personal în cadrul companiei noastre?
4. Unde sunt stocate aceste date (hârtie, calculator, internet, etc.)?
5. Cine are acces la aceste date cu caracter personal?
6. Cum și când se șterg datele cu caracter personal?
7. Ce fel de informații primesc clienții despre prelucrarea datelor lor personale?
8. Cum sunt transmise datele cu caracter personal în cadrul companiei?
9. Avem acceptul clienților de a trimite datele către terțe companii cu care conlucrăm?
10. Există politici în cadrul companiei care să stabilească cum se folosesc datele cu caracter personal?
11. Există date cu caracter personal trimise în afara Uniunii Europene?

Ulterior, pe baza răspunsurilor primite, se efectuează maparea fluxurilor de date cu caracter personal, esențială în asigurarea securității datelor cu caracter personal.

PASUL NR. 4. În acest pas, evidențiem instrumentele pe care Regulamentul le stabilește în sprijinul demonstrării concordanței prelucrării datelor cu caracter personal atât de către operatori, cât și de persoanele împuternicite de aceștia.
Regulamentul prevede trei categorii de instrumente prin care operatorul de date poate demonstra conformitatea prelucrării date cu caracter personal:

1. Evaluarea de impact
2. Codurile de conduită
3. Certificările

I. Evaluarea de impact
Evaluarea impactului asupra protecției datelor implică o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal, mai ales în cele ce privesc domeniile care generează un risc ridicat pentru drepturile și libertățile persoanelor fizice (în special cel bazat pe utilizarea noilor tehnologii).
Evaluarea impactului se impune obligatoriu în cazul:

• evaluării sistematice a aspectelor personale ale persoanelor fizice, realizate în urma unei prelucrări automate, și care pot conduce la producerea unor efecte juridice nedorite asupra persoanei fizice;
• prelucrării pe scară largă a unor categorii speciale de date cu caracter personal (origine rasială sau etnică, opinii politice, confesiunea religioasă ș.a.m.d.), sau a unor date cu caracter personal ce privesc condamnări penale și infracțiuni;
• monitorizarea sistematică pe scară largă a unei zone accesibile publicului.

La realizarea studiului de impact asupra protecției datelor, operatorul solicită avizul responsabilului cu protecția datelor, anterior prelucrării. De asemenea, dacă, în cazul evaluării impactului se constată un risc ridicat în ceea privește prelucrarea datelor, este necesară consultarea autorității de supraveghere. Autoritatea de supraveghere întocmește o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor .
Evaluarea conține atât o descriere a operațiunilor de prelucrare și a scopurilor acesteia, cât și a necesității și proporționalității acestor operațiuni de prelucrare. În același timp, se evaluează riscurile pentru drepturile și libertățile persoanele vizate, în coroborare cu măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal.
La evaluarea impactului operațiunilor de prelucrare, se are în vedere respectarea de către operatori sau de persoanele împuternicite respective a codurilor de conduită aprobate, în scopul evaluării impactului asupra protecției datelor. Dacă este necesar, operatorul trebuie să efectueze o evaluare pentru a verifica dacă prelucrarea se face în conformitate cu evaluarea impactului asupra protecției datelor⁵.

II. Codurile de conduită
Statele membre, autoritățile de supraveghere, comitetul și Comisia sprijină crearea de coduri de conduită menite să ajute la buna aplicare a Regulamentului, bineînțeles coroborate cu nevoile specifice ale întreprinderilor, și, în același timp, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare6.
Codul de conduită reprezintă un instrument voluntar prin care operatorul poate demonstra conformitatea prelucrării de date, în concordanță cu caracteristicile specifice ale diverselor sectoare de prelucrare.
Codurile de conduită, în cazul în care privesc activități de prelucrare din mai multe state membre, după ce sunt realizate, se trimit către autoritatea de supraveghere, care la rândul ei le trimite către comitet unde sunt supuse avizării, cu privire la conformitatea cu Regulamentul. În schimb, dacă nu au legătură cu activități de prelucrare din mai multe state, autoritatea de supraveghere emite un aviz cu privire la conformitatea cu Regulamentul, iar apoi înregistrează și publică codul.
Avantajele pentru implementarea unui cod de conduită de către operatorii mari (la nivel de industrii) sunt de ordin practic, și anume: se poate demonstra conformarea și se pot oferi clarificări cu privire la aceasta, se poate implementa un transfer între statele membre, și, în plus, este un factor pozitiv în evaluarea de impact.

III. Certificarea
În baza Regulamentului, se încurajează instituirea de mecanisme de certificare în domeniul protecției datelor, precum și de sigilii și mărci în acest domeniu, care să permită demonstrarea faptului că prelucrarea datelor cu caracter personal se face în concordanță cu Regulamentul. Certificarea este voluntară și disponibilă prin intermediul unui proces transparent, dar nu reduce responsabilitatea operatorului sau a persoanei împuternicite de operator de respecta Regulamentul.

PASUL NR. 5. În cadrul acestui pas, vom explica Regulamentul și din perspectiva persoanei vizate, prin exemplificarea atât a drepturilor persoanei vizate, cât și a obligațiilor care corespund acestor drepturi, care cad în sarcina operatorului.
Astfel, începem cu primul drept prevăzut de Regulament și anume dreptul la informare cu privire la datele cu caracter personal. În cazul care unei persoane vizate i-au fost prelucrate date cu caracter personal și dorește să știe ce informații au fost colectate de către operator, atunci, pe baza unei solicitări adresate operatorului, i se vor pune la dispoziție următoarele date⁷:

• Identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
• Datele de contact ale responsabilului cu protecția datelor;
• Scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic;
• Destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
• Perioada pentru care vor fi stocate datele cu caracter personal;
• Dreptul de a solicita operatorului, în ceea ce privește datele cu caracter personal ale persoanei vizate, o notificare în privința existenței tuturor drepturilor pe care aceasta le are;
• Dreptul de a depune o plângere în fața autorității de supraveghere.

În ceea ce privește cel de al doilea drept al persoanei vizate, dreptul la acces⁸ , acesta se concretizează prin dreptul de a obține din partea operatorului, în cazul în care i se prelucrează date cu caracter personal, următoarele informații:

• Scopurile prelucrării;
• Categoriile de date cu caracter personal vizate;
• Categoriile de persoane cărora urmează să le fie divulgate datele cu caracter personal;
• Perioada pentru care vor fi stocate datele cu caracter personal;
• Dreptul de a depune o plângere în fața unei autorități de supraveghere.

Cel de al treilea drept, pe care persoana vizată îl are este dreptul la rectificare⁹, care poate fi sintetizat prin dreptul persoanei de obține rectificarea datelor cu caracter personal inexacte care o privesc, și prin completarea acestor date în cazul în care sunt incomplete, respectiv prin furnizarea unei declarații suplimentare.
Cel de al patrulea drept se referă la dreptul de a fi uitat sau dreptul la ștergerea datelor^10>, care poate fi explicat prin dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal, în cazul existenței unuia din următoarele motive:

• Datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost prelucrate;
• Persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea;
Persoana vizată se opune prelucrării în baza drepturilor conferite de către Regulament;
• Datele cu caracter personal au fost prelucrate ilegal;
• Datele cu caracter personal trebuie șterse pentru respectare unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern al operatorului;
• Datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale, în ceea ce privește minorii.

Al cincilea drept al persoanei vizate îl reprezintă acela de a restricționa prelucrarea de date cu caracter personal în ceea ce privește propria persoană și anume, în următoarele cazuri¹¹:

• Persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
• Prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
• Operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
• Persoana vizată s-a opus prelucrării în conformitate dreptul la opoziție pe care îl are, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

În cazul în care persoana vizată hotărăște ca prelucrarea de date cu caracter personal să fie restricționată, aceste date nu mai pot fi stocate, dar pot fi totuși prelucrate numai cu consimțământul persoanei vizate sau pentru exercitarea unui drept în instanță, cât și pentru protecția drepturilor unei persoane fizice sau juridice sau din motive de interes public, conform dreptului Uniunii.
Al șaselea drept îl reprezintă dreptul la portabilitatea datelor¹², care se evidențiază prin posibilitatea persoanei vizate de a transmite datele cu caracter personal pe care un operator le deține către un alt operator, într-un format structurat și care poate fi citit automat. Această transmitere directă a datelor cu caracter personal de la un operator la altul trebuie să fie fezabilă din punct de vedere tehnic.
Dreptul la opoziție reprezintă cel de al șaptelea drept pe care persoana vizată îl are și poate fi explicat prin posibilitatea de a se opune prelucrării de date cu caracter personal, din motive legate de situația particulară în care se află, inclusiv creării de profiluri. În cazul în care persoana vizată se prevalează de acest drept, atunci operatorul nu mai poate prelucra aceste date, cu excepția cazului în care operatorul demonstrează ca are motive legitime și imperioase care justifică prelucrarea¹³.
Ultimul drept de care se bucură persoana vizată de prelucrarea datelor cu caracter personal este acela de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv crearea de profiluri, care ar putea produce efecte juridice nedorite sau care o afectează în mod similar într-o măsură semnificativă¹⁴.

PASUL NR. 6. În cadrul acestui pas, vom evidenția o parte din obligațiile operatorului, pentru a putea clarifica cât mai bine relația dintre drepturile persoanei vizate și obligațiile operatorului care prelucrează date cu caracter personal.
Astfel, printre obligațiile enumerate de Regulament se numără responsabilitatea operatorului, iar prin aceasta se înțelege îndatorirea operatorului de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează conform Regulamentului¹⁵.
A doua obligație pe care operatorul o are este să asigure protecția datelor începând cu momentul stabilirii prelucrării, precum și în timpul prelucrării în sine a datelor cu caracter personal, prin toate mijloacele necesare impuse de către Regulament, oricare ar fi costurile de implementare. Trebuie luate măsurile tehnice și organizatorice adecvate pentru a putea pune în aplicare în mod eficient principiile de protecție a datelor, și a reduce semnificativ riscul unei breșe de securitate. Aceste măsuri asigură că datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane¹⁶.
A treia obligație a operatorului este de a păstra evidența activităților de prelucrare desfășurate de către acesta sau de către reprezentantul său. Evidențele se formulează în scris, inclusiv în format electronic.
Aceste evidențe cuprind următoarele informații¹⁷:

• Numele și datele de contact ale operatorului, ale reprezentantului acestuia și ale responsabilului cu protecția datelor;
• Scopurile prelucrării;
• Descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
• Destinatarii cărora le-au fost sau le vor fi divulgate datele cu caracter personal;
• Transferurile de date cu caracter personal către o țară terță sau organizație internațională;
• Termenele limită preconizate pentru ștergerea diferitelor categorii de date;
• Descrierea generală a măsurilor tehnice și organizatorice de securitate;
• Numele și datele de contact ale persoanei împuternicite de către operator, precum și ale reprezentantului operatorului;
• Categoriile de activități de prelucrare desfășurate în numele operatorului;

Prin acest pas, am evidențiat obligațiile pe care atât operatorul, cât și reprezentantul acestuia le are, dar ar trebui să considerăm ca o obligație și cooperarea cu autoritatea de supraveghere, și nu numai atunci când acest lucru este impus de Regulament.

PASUL NR. 7. În cadrul acestui ultim pas, vom prezenta pe scurt cum se poate angaja răsp of the GDPRea operatorului și care sunt sancțiunile care îi pot fi impuse acestuia, în cazul în care nu respectă dispozițiile Regulamentului.
Printre drepturile pe care persoana vizată le are se numără dreptul de a depune o plângere la o autoritate de supraveghere sau dreptul de a exercita o cale de atac judiciară, fără a aduce atingere oricăror alte căi de atac administrative, judiciare, sau nejudiciare, de care persoana vizată poate dispune liber.
Astfel, persoana vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în statul membru unde își are reședința, sau unde se află locul său de muncă, sau în locul unde s-a petrecut presupusa încălcare. Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de exercita o cale de atac judiciară¹⁸. Fiecare persoană vizată are dreptul de a exercita și o cale de atac judiciară în cazul în care autoritatea de supraveghere nu tratează o plângere sau nu informează persoana vizată în termen de 3 luni cu privire la progresele sau la soluționarea plângerii depuse.
Tot printre drepturile persoanei vizate se numără și dreptul de a fi reprezentată de către un organism, o organizație sau o asociație fără scop lucrativ, ale cărei obiective statuare sunt de interes public și care este activă în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește datele lor cu caracter personal. Acești reprezentanți pot să depună plângerea în numele persoanei vizate și să exercite drepturile acesteia în fața instituțiilor abilitate, inclusiv să încaseze despăgubiri ce i se cuvin.
Orice persoană care a fost vătămată în urma unei încălcări a Regulamentului și căreia i s-a creat un prejudiciu are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de către acesta.
Așa cum am explicat mai sus, operatorul sau persoana împuternicită de către acesta răspund pentru încălcările dispozițiilor Regulamentului, nu numai în fața persoanei vizate de prelucrarea datelor cu caracter personal, cât și în fața autorității de supraveghere. Răsp of the GDPRea pecuniară în fața autorității de supraveghere este covârșitoare pentru operator sau persoana împuternicită de către acesta, datorită acestor amenzi administrative al căror cuantum variază între 10.000.000 EUR sau 2% din cifra de afaceri anuala globala a societatii, luându-se în calcul valoarea mai mare, și 20.000.000 EUR sau 4% din cifra de afaceri anuala globala a societatii, luându-se la fel în calcul valoarea mai mare¹⁹.

Concluzionând, chiar dacă, la prima vedere, familiarizarea cu prevederile GDPR poate părea o perspectivă descurajantă, urmărirea, în fază inițială, a pașilor de mai sus are rolul de ridica vălul de intangibilitate așternut asupra acestui regulament și de a ne asigura că aplicarea lui nu face decât să sporească gradul de securizare a datelor cu caracter personal colectate, având, totodată, efectul colateral de a ne aduce mai aproape de clienții noștri.

Nota:
¹  Art. 83 din GDPR;  ²  Art. 4(11) din GDPR;  ³  Art. 37(1) din GDPR;  ⁴  Art. 83 din GDPR;  ⁵  Art. 36 din GDPR;  ⁶  Art. 40 din GDPR;  ⁷  Art. 13 din GDPR;  ⁸Art. 15 din GDPR;  ⁹  Art. 16 din GDPR;  ¹⁰  Art. 17 din GDPR;  ¹¹  Art. 18 din GDPR;  ¹²  Art. 20 din GDPR;  ¹³  Art. 21 din GDPR;  ¹⁴  Art. 22 din GDPR;  ¹⁵  Art. 24 din GDPR;  ¹⁶  Art. 25 din GDPR;  ¹⁷  Art. 30 din GDPR;  ¹⁸Art. 77 din GDPR;  ¹⁹  Art. 83 din GDPR

Fiecare dintre noi a trecut printr-o relație care, deși avea toate premisele unei confluențe de succes, a eșuat lamentabil în momentul în care am lăsat ca judecata să fie umbrită de afecte în defavoarea rațiunii. De câte ori nu am ieșit dintr-o conversație trântind ușa în urma noastră, deoarece venirea inopinată a prietenilor zgomotoși ai jumătății noastre a iscat spaime privind invadarea căminului conjugal, a intimității, spaimă care a avut nevoie doar de pretextul unei replici prost înțelese pentru a ne conduce, irațional, într-o tiradă de observații ce, inevitabil, au șubrezit relația respectivă.

Și în cazul Marii Britanii, Actul Referendumului Uniunii Europene din 2015 care a permis exprimarea votului cu privirea la rămânerea sau ieșirea din Uniunea Europeană (“UE”) a Marii Britanii, a reprezentat pretextul care a condus la verbalizarea celor mai profunde temeri ale populației britanice cu privire la imigranți, contribuțiile efectuate la bugetul UE, ocuparea forțelor de muncă locale de alte persoane decât cei ce dețin cetățenie britanică. Și, dată fiind această oportunitate, cetățenii au ales afectele și nu rațiunea. Au ales să trântească ușa edificiului construit încă din anul 1972, când Marea Britanie a semnat Tratatul de Aderare, în urma căruia a aderat la Tratatele Comunităților Europene la 1 ianuarie 1973, edificiu care a fost clădit prin efort intelectual, diplomatic susținut și care garanta apartenența la o piață unică, dacă nu la o comunitate.

Cetățenii nu au putut accepta că UE este un organism viu, cu care se interacționează, realizându-se schimburi, care poate suferi transformări, dar, ca și celelalte state membre UE, și Marea Britanie putea rămâne deschisă vizavi de această entitate în plină dezvoltare. Echivalentul instituțional al opticii “îmi fac bagajele și plec” sau “my way or the highway” are, după cum vedem, consecințe cel puțin perturbatoare la nivelul societății britanice:

Curtea Supremă de Justiție a Marii Britanii a analizat, timp de trei zile, între 5 și 8 decembrie 2016, problema transmiterii de către Guvern a unei notificări în baza Articolului 50 al Tratatului Uniunii Europene privind intenția Marii Britanii de a se retrage din Uniunea Europeană, fără un act din partea Parlamentului care să-i confere autorizarea prealabilă în acest sens, urmând să dea publicității hotârârea la începutul anului 2017. Această analiză apare în contextul în care Înalta Curte de Justiție a decis deja la 16 noiembrie 2016 că Guvernul are nevoie de aprobarea Parlamentului britanic pentru a putea declanșa procedura de ieșire din Uniunea Europeană¹.

Cetățenii britanici sunt temători cu privire la dreptul lor la liberă circulație, întocmai ca și societățile din UE care doresc să desfășoare activități comerciale în Marea Britanie după ieșirea acesteia din urmă din Uniune. Totodată, cetățenii celorlalte state membre ale UE se întreabă dacă va fi nevoie să obțină viză pentru a vizita această țară ca urmare a deciziei acesteia de a părăsi UE².

Iată, prin urmare, cum o reacție de moment, bazată pe afecte, poate distruge un viitor cu potențial de dezvoltare. Dacă imigrația a fost una dintre temeri, de ce nu s-au ales măsuri la nivel intern care să acomodeze nou-veniții? Punerea în practică a expresiei idiomatice “throwing the baby out with the bathwater” avea să aducă mai multe beneficii atât britanicilor, cât și restului Uniunii Europene? Se pare că, din cauza câtorva elemente neînțelese pe de-a-ntregul³, a fost respins întregul sistem.

Or, dacă în relațiile interumane, cu calm, rațiune și înțelegere, se poate șterge episodul ieșirii furtunoase din scenă a unuia dintre protagoniștii bântuiți de afecte, și, cu încredere în posibilitățile reale de a putea fi împlinit alături de altcineva, se poate restabili conexiunea întreruptă, în cazul Marii Britanii, acest lucru nu mai este posibil decât cu aplicarea Articolului 49 din Tratatul privind Uniunea Europeană⁴.

În așteptarea hotărârii Curții Supreme de Justiție, Guvernul Marii Britanii plănuiește să declanșeze procedura de ieșire din UE până la sfârșitul lunii martie 2017⁵, moment care va da startul unor runde de negocieri de doi ani care vor viza condițiile retragerii Marii Britanii din UE. În acești doi ani, negociatorii își vor folosi intelectul pentru a salvgarda drepturile și libertățile garantate oricărui stat membru al UE, astfel încât, în final, cetățenii britanici să fie afectați cât mai puțin de acest proces. Ce garanții există că se va păstra statu-quoul? Niciuna. Să ne considerăm norocoși că relațiile interumane au șansa de a se restabili mai ușor.