1. "date cu caracter personal" inseamna orice informatii privind o persoana fizica identificata sau identificabila ("persoana vizata"); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
  2. "prelucrare" inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
  3. "restrictionarea prelucrarii" inseamna marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
  4. "creare de profiluri" inseamna orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia;
  5. "pseudonimizare" inseamna prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul unor masuri de natura tehnica si organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
  6. "sistem de evidenta a datelor" inseamna orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii functionale sau geografice;
  7. "operator" inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern;
  8. "persoana imputernicita de operator" inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
  9. "destinatar" inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta. Cu toate acestea, autoritatile publice carora li se pot comunica date cu caracter personal in cadrul unei anumite anchete in conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de catre autoritatile publice respective respecta normele aplicabile in materie de protectie a datelor, in conformitate cu scopurile prelucrarii;
  10. "parte terta" inseamna o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;
  11. "consimtamant" al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;
  12. "incalcarea securitatii datelor cu caracter personal" inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;
  13. "date genetice" inseamna datele cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice, care ofera informatii unice privind fiziologia sau sanatatea persoanei respective si care rezulta in special in urma unei analize a unei mostre de material biologic recoltate de la persoana in cauza;
  14. "date biometrice" inseamna o date cu caracter personal care rezulta in urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unica a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
  15. "date privind sanatatea" inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;
  16. "sediu principal" inseamna
    (a) in cazul unui operator cu sedii in cel putin doua state membre, locul in care se afla administratia centrala a acestuia in Uniune, cu exceptia cazului in care deciziile privind scopurile si mijloacele de prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului din Uniune, sediu care are competenta de a dispune punerea in aplicare a acestor decizii, caz in care sediul care a luat deciziile respective este considerat a fi sediul principal;
    (b) in cazul unei persoane imputernicite de operator cu sedii in cel putin doua state membre, locul in care se afla administratia centrala a acesteia in Uniune, sau, in cazul in care persoana imputernicita de operator nu are o administratie centrala in Uniune, sediul din Uniune al persoanei imputernicite de operator in care au loc activitatile principale de prelucrare, in contextul activitatilor unui sediu al persoanei imputernicite de operator, in masura in care aceasta este supusa unor obligatii specifice in temeiul prezentului regulament;
  17. "reprezentant" inseamna o persoana fizica sau juridica stabilita in Uniune, desemnata in scris de catre operator sau persoana imputernicita de operator in temeiul articolului 27 / Regulament (UE) 679/2016, care reprezinta operatorul sau persoana imputernicita in ceea ce priveste obligatiile lor respective care le revin in temeiul prezentului regulament;
  18. "intreprindere" inseamna o persoana fizica sau juridica ce desfasoara o activitate economica, indiferent de forma juridica a acesteia, inclusiv parteneriate sau asociatii care desfasoara in mod regulat o activitate economica;
  19. "grup de intreprinderi" inseamna o intreprindere care exercita controlul si intreprinderile controlate de aceasta;
  20. "reguli corporatiste obligatorii" inseamna politicile in materie de protectie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoana imputernicita de operator stabilita pe teritoriul unui stat membru, in ceea ce priveste transferurile sau seturile de transferuri de date cu caracter personal catre un operator sau o persoana imputernicita de operator in una sau mai multe tari terte in cadrul unui grup de intreprinderi sau al unui grup de intreprinderi implicate intr-o activitate economica comuna;
  21.  "autoritate de supraveghere" inseamna o autoritate publica independenta instituita de un stat membru in temeiul articolului 51 / Regulament (UE) 679/2016;
  22.  "autoritate de supraveghere vizata" inseamna o autoritate de supraveghere care este vizata de procesul de prelucrare a datelor cu caracter personal deoarece
    (a) operatorul sau persoana imputernicita de operator este stabilita pe teritoriul statului membru al autoritatii de supraveghere respective;
    (b) persoanele vizate care isi au resedinta in statul membru in care se afla autoritatea de supraveghere respectiva sunt afectate in mod semnificativ sau sunt susceptibile de a fi afectate in mod semnificativ de prelucrare; sau
    (c) la autoritatea de supraveghere respectiva a fost depusa o plangere;
  23. "prelucrare transfrontaliera" inseamna:
    (a) fie prelucrarea datelor cu caracter personal care are loc in contextul activitatilor sediilor din mai multe state membre ale unui operator sau ale unei persoane imputernicite de operator pe teritoriul Uniunii, daca operatorul sau persoana imputernicita de operator are sedii in cel putin doua state membre; sau
    (b) fie prelucrarea datelor cu caracter personal care are loc in contextul activitatilor unui singur sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, dar care afecteaza in mod semnificativ sau este susceptibila de a afecta in mod semnificativ persoane vizate din cel putin doua state membre;
  24. "obiectie relevanta si motivata" inseamna o obiectie la un proiect de decizie in scopul de a stabili daca exista o incalcare a prezentului regulament sau daca masurile preconizate in ceea ce priveste operatorul sau persoana imputernicita de operator respecta prezentul regulament, care demonstreaza in mod clar importanta riscurilor pe care le prezinta proiectul de decizie in ceea ce priveste drepturile si libertatile fundamentale ale persoanelor vizate si, dupa caz, libera circulatie a datelor cu caracter personal in cadrul Uniunii;
  25. "serviciile societatii informationale" inseamna un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European si a Consiliului *19);
  26. "organizatie internationala" inseamna o organizatie si organismele sale subordonate reglementate de dreptul international public sau orice alt organism care este instituit printr-un acord incheiat intre doua sau mai multe tari sau in temeiul unui astfel de acord.
  27. “stocarea” = Pastrarea pe orice fel de suport a datelor cu caracter personal culese.
  28. “codul numeric personal” = Un numar semnificativ care individualizeaza in mod unic o persoana fizica, constituind un instrument de verificare a starii civile a acesteia si de identificare in anumite sisteme informatice de catre persoanele autorizate.
  29. „date anonime” = Date care, datorita originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.
  30. “date cu caracter personal cu functie de identificare de aplicabilitate generala (date cu caracter special)” =  Numere prin care se identifica o persoana fizica in anumite sisteme de evidenta si care au aplicabilitate generala, cum ar fi: codul numeric personal, seria si numarul actului de identitate, numarul pasaportului, al permisului de conducere, numarul de asigurare sociala sau de sanatate.
  31. “utilizator” = Orice persoana care actioneaza sub autoritatea operatorului, a persoanei imputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.
  32. „procedura” = Prezentarea in scris, a tuturor pasilor ce trebuie urmati, a metodelor de lucru stabilite si a regulilor de aplicat necesare indeplinirii atributiilor si sarcinilor, avand in vedere asumarea responsabilitatilor.
  33. „procedura operationala” = Prezentarea formalizata, in scris, a tuturor pasilor ce trebuie urmati, a metodelor de lucru stabilite si a regulilor de aplicat in vederea realizarii activitatii, cu privire la aspectul procesual.
  34. „editie a unei proceduri operationale” = Forma initiala sau actualizata, dupa caz, a unei proceduri operationale, aprobata si difuzata.
  35. „revizia in cadrul unei editii” = Actiunile de modificare, adaugare, suprimare  sau altele asemenea, dupa caz, a uneia sau a mai multor componente ale unei editii a procedurii operationale, actiuni care au fost aprobate si difuzate.

DETALIEREA TERMENILOR

A) „Orice Informatii”

  • Din punctul de vedere al naturii Informatiilor, conceptul de date cu caracter personal cuprinde orice afirmatie referitoare la o persoana. Acesta acopera Informatiile „obiective”, precum adresa de IP, CNP, adresa postala etc. De asemenea, conceptul se poate referi la Informatii „subiective”, sub forma opiniilor sau evaluarilor.
  • Din punctul de vedere al continutului Informatiilor, conceptul de date cu caracter personal cuprinde datele care furnizeaza orice fel de Informatii, datele personale putand fi impartite in:

a. date cu caracter personal generale, precum nume si prenume, data si locul nasterii, adresa, numarul de telefon, adresa de e-mail; date referitoare la contul bancar.
b. date cu caracter personal cu caracter special: acele date care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice;
c. date cu caracter personal referitoare la condamnari penale si infractiuni.

  • Din punct de vedere al suportului sau formatului pe care sunt stocate Informatiile, datele cu caracter personal cuprind Informatiile disponibile in orice forma, indiferent ca aceasta este, de exemplu, alfabetica, numerica, grafica, fotografica sau acustica. Datele personale cuprind Informatiile scrise pe hartie, precum si Informatiile stocate in memoria unui calculator cu ajutorul unui cod binar sau stocate, de exemplu, pe o caseta video.

B) „Privind” [o persoana fizica]

Informatiile pot fi considerate ca „privesc” o persoana atunci cand acestea sunt despre persoana respectiva. Informatiile se refera la o persoana atunci cand acestea au in vedere identitatea, caracteristicile sau comportamentul unei persoane sau atunci cand asemenea Informatii sunt utilizate pentru a determina sau influenta modul in care persoana respectiva este tratata sau evaluata.

C) [Persoana fizica] „identificata sau identificabila”

  • O persoana fizica poate fi considerata ca fiind „identificata” atunci cand, in cadrul unui grup de persoane, aceasta se distinge de ceilalti membri ai grupului. in consecinta, persoana fizica este „identificabila” atunci cand, cu toate ca persoana nu a fost inca identificata, este posibil sa se realizeze acest lucru.
  • O noua clarificare este cuprinsa in definitia datelor cu caracter personal din cuprinsul Regulamentului, in sensul ca „o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
  • In ceea ce priveste persoanele „identificate direct”, numele persoanei reprezinta identificatorul cel mai obisnuit, iar, in principiu, notiunea de „persoana identificata” implica, cel mai adesea, o referire la numele persoanei. Pentru a stabili aceasta identitate, numele persoanei trebuie, uneori, coroborat cu alte Informatii (data nasterii, numele parintilor, adresa sau fotografia cu fata persoanei) pentru a preveni confuzia dintre persoana respectiva si posibili omonimi. 
  • In ceea ce priveste persoanele „identificate indirect”, aceasta categorie de persoane are legatura cu fenomenul „combinatiilor unice”, indiferent ca acestea sunt mari sau mici. Un exemplu de astfel de caracteristici care pot determina identificarea fara dificultate a persoanei in cauza il constituie elementele specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
  • Gradul in care anumite informatii sunt suficiente pentru a realiza identificarea depinde de contextul situatiei specifice. Un nume de familie foarte obisnuit nu este suficient pentru a identifica o persoana - cu alte cuvinte, pentru a individualiza pe cineva - din ansamblul populatiei unei tari.

D) „[Orice Informatii privind] o persoana fizica”

Datele cu caracter personal sunt date referitoare la persoanele in viata identificate sau identificabile.
Informatiile privind persoanele decedate nu trebuie considerate drept date cu caracter personal in temeiul Regulamentului.

IMPORTANT: Conceptul de date cu caracter personal include identificatorii online furnizati de dispozitivele, aplicatiile, instrumentele si protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alti identificatori precum etichetele de identificare prin frecvente radio si datele despre locatie. Regulamentul introduce termenul de “date pseudonime”, adica acele date personale care au fost supuse unor modalitati de prelucrare a datelor astfel incat sa nu mai poata identifica direct o persoana fara a utiliza informatii suplimentare. Datele pseudonime sunt considerate date cu caracter personal si, prin urmare, se supun cerintelor GDPR

E) Prelucrarea de date cu caracter personal - inseamna orice operatiune care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate in cadrul unor operatiuni ori seturi de operatiuni, fara a fi limitate la acestea, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.

  • Colectarea presupune actiunea de a strange, a aduna, a primi date cu caracter personal de la persoanele vizate prin intermediul structurilor UNEFS;
  • Inregistrare presupune consemnarea datelor cu caracter personal intr-un sistem de evidentiere automata ori neautomata, care poate fi registru, fisier automat, baza de date sau orice alta forma de evidenta organizata, structurata ori ad-hoc sau intr-un text, insiruire de date ori document, indiferent de modalitatea in care se inscriu datele; 
  • Organizarea presupune ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atributiilor legale ale operatorului, in scopul eficientizarii/optimizarii activitatilor de prelucrare a acestora; 
  • Stocarea presupune pastrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea unor copii de siguranta; 
  • Adaptarea presupune transformarea datelor cu caracter personal colectate initial, conform criteriilor prestabilite si scopurilor pentru care au fost colectate; 
  • Modificarea presupune actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, in scopul mentinerii caracteristicilor de exactitate, realitate si actualitate;
  • Extragerea presupune scoaterea unei parti din categoria specifica de date cu caracter personal, in scopul utilizarii acesteia, separat si distinct de prelucrarea initiala;
  • Consultarea presupune examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal fara a fi limitate la acestea, in scopul efectuarii unei operatiuni sau set de operatiuni de prelucrare ulterioara;
  • Utilizarea presupune folosirea datelor cu caracter personal, in totalitate sau in parte, de catre si in interiorul operatorului, imputernicitilor operatorului sau destinatarului, dupa caz, inclusiv prin tiparire, copiere, multiplicare, scanare sau alte procedee similare;
  • Dezvaluirea presupune actiunea de a face disponibile datele cu caracter personal catre terti prin comunicare, transmitere, diseminare sau in orice alt mod;
  • Alaturarea presupune actiunea de adaugare, alipire sau anexare a unor date cu caracter personal la cele deja existente, pe care nu le modifica;
  • Combinarea presupune imbinarea, unirea sau asamblarea unor date cu caracter personal separate initial, intr-o forma noua, pe baza unor criterii prestabilite, pentru scopuri anume determinate;
  • Restrictionarea presupune limitarea accesului la datele cu caracter personal pentru o perioada determinata, pentru scopuri anume determinate;
  • Stergerea presupune eliminarea sau inlaturarea, in totalitate sau in parte, a datelor cu caracter personal din evidente sau inregistrari, prin implinirea termenului de pastrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenta ori inexactitatea acestora;
  • Transformarea presupune operatiunea efectuata asupra datelor cu caracter personal avand ca scop anonimizarea ori utilizarea in scopuri exclusiv statistice;
  • Distrugerea presupune aducerea la stare de neintrebuintare, in conditiile legii, definitiva si irecuperabila, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.

E) incalcare a securitatii datelor cu caracter personal inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod sau la accesul neautorizat la acestea.

a) Distrugerea se refera la situatia in care datele nu mai exista ori nu mai exista intr-o forma care sa le faca utilizabile de catre operatori;
b) Pierderea are in vedere situatia in care datele pot sa existe, insa operatorul a pierdut controlul sau accesul la date;
c) Modificarea desemneaza situatia in care datele sunt corupte sau modificate in alt mod, astfel incat ele nu mai sunt complete;
d) Divulgarea neautorizata are in vedere situatia in care datele au fost transmise catre ori accesate de catre persoane neautorizate sa primeasca sau sa acceseze datele personale.