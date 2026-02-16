GDPR stabilește câteva principii esențiale. Datele trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopul declarat. Instituția nu ar trebui să solicite mai multe informații decât are nevoie.

Regulamentul prevede și obligația de a implementa măsuri tehnice și organizatorice adecvate riscului. Articolul 32 face referire la măsuri precum criptarea, asigurarea confidențialității și controlul accesului la date.

Articolul 25 introduce ideea de protecție a datelor prin design și implicit. Asta înseamnă că procesele interne trebuie gândite astfel încât să colecteze doar datele necesare și să limiteze accesul la ele.

De asemenea, instituția are obligația de a informa persoana vizată despre modul în care îi sunt prelucrate datele. Articolul 12 impune ca informațiile să fie furnizate într-o formă clară și ușor de înțeles.

În România, aplicarea GDPR este completată de Legea nr. 190/2018. Autoritatea de supraveghere este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

În practică, nivelul de siguranță diferă în funcție de canalul folosit. Platformele dedicate, conturile online sau aplicațiile de internet banking oferă, în general, un nivel mai ridicat de protecție decât un email obișnuit.

Dacă instituția pune la dispoziție un portal securizat pentru încărcarea documentelor, utilizarea acestuia reduce riscul de transmitere către destinatari greșiți. Accesul este, de regulă, protejat prin autentificare.

În cazul în care documentele sunt trimise prin email, pot fi luate câteva măsuri simple. Fișierul poate fi transmis în format PDF protejat prin parolă. Parola poate fi comunicată printr-un alt canal, cum ar fi telefonul sau un mesaj separat.

Este recomandat să fie verificată cu atenție adresa destinatarului înainte de trimitere. Datele sensibile, cum ar fi CNP-ul, nu ar trebui introduse în subiectul mesajului.

De asemenea, este util să fie trimise doar documentele solicitate expres. Dacă se cere o anumită pagină sau o anumită informație, transmiterea unor date suplimentare poate crește inutil riscul.

Pentru documente cu un grad ridicat de sensibilitate, trimiterea prin poștă, cu confirmare de primire, poate reprezenta o alternativă.

Instituția care primește documentele acționează în calitate de operator de date. Ea trebuie să aibă un temei legal pentru solicitarea și prelucrarea informațiilor.

Accesul la documente ar trebui limitat la personalul autorizat. Măsurile interne pot include politici de acces, parole individuale și sisteme de monitorizare a accesărilor.

Documentele nu pot fi păstrate pe o durată nedeterminată. Perioada de stocare trebuie să fie legată de scopul pentru care au fost colectate și de eventuale obligații legale de arhivare.

În cazul unui incident de securitate, GDPR prevede obligații clare. Dacă are loc o breșă de securitate care poate afecta drepturile persoanelor vizate, operatorul trebuie să notifice autoritatea de supraveghere. În anumite situații, persoanele afectate trebuie, la rândul lor, informate.

Multe instituții și bănci sunt obligate să desemneze un responsabil cu protecția datelor. Datele de contact ale acestuia trebuie puse la dispoziția publicului.

GDPR prevede amenzi administrative care pot ajunge până la 20 de milioane de euro sau până la 4% din cifra de afaceri anuală globală, în funcție de gravitatea încălcării.

Autoritatea de supraveghere poate dispune și alte măsuri, cum ar fi avertismente sau obligația de a adopta măsuri corective.

Persoana afectată are dreptul de a formula plângere la autoritatea competentă și, în anumite condiții, de a solicita despăgubiri în instanță dacă poate demonstra existența unui prejudiciu.