Regulamentul General privind Protecția Datelor

Regulamentul general privind protecția datelor (Regulamentul (UE) 2016/679),^[1] prescurtat RGPD sau GDPR (din engleză General Data Protection Regulation), este un regulament al Uniunii Europene care stabilește cadrul juridic pentru protecția datelor cu caracter personal în Uniunea Europeană (UE) și Spațiul Economic European (SEE). RGPD reprezintă un pilon central al legislației europene în materie de protecția datelor și drepturi fundamentale, fundamentat pe articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene. Regulamentul reglementează și transferul datelor cu caracter personal către țări terțe sau organizații internaționale, stabilind standarde stricte pentru asigurarea unui nivel adecvat de protecție.

Adoptarea RGPD urmărește să consolideze controlul persoanelor vizate asupra datelor lor personale prin instituirea unor drepturi precum accesul, rectificarea, ștergerea (dreptul de a fi uitat), portabilitatea și opoziția față de prelucrare.^[2] Totodată, regulamentul introduce principii moderne, precum asigurarea protecției datelor începând cu momentul conceperii și în mod implicit, care impun operatorilor de date să integreze protecția datelor încă din faza de proiectare și să limiteze colectarea datelor la strictul necesar. De asemenea, sunt prevăzute obligații precum notificarea rapidă a autorităților în cazul încălcărilor de securitate și desemnarea unui responsabil cu protecția datelor (DPO) pentru anumite categorii de operatori. Prin armonizarea și simplificarea reglementărilor la nivel european, RGPD facilitează desfășurarea activităților economice transfrontaliere și reduce complexitatea normativă pentru companii.^[2]

Adoptat de Parlamentul European și Consiliul Uniunii Europene la 14 aprilie 2016, RGPD a devenit aplicabil la 25 mai 2018. Spre deosebire de directivele comunitare, care necesită transpunere în legislația națională, RGPD este un regulament comunitar direct aplicabil în toate statele membre, având forță juridică imediată. Totuși, acesta oferă statelor membre posibilitatea de a introduce derogări în anumite domenii specifice, precum legislația muncii sau administrația publică.

Regulamentul a devenit un model pentru numeroase legislații similare la nivel global, ceea ce ilustrează așa-numitul efect Bruxelles. Printre statele care au adoptat legi inspirate de RGPD se numără Brazilia, Japonia, Singapore, Africa de Sud, Coreea de Sud, Sri Lanka și Thailanda.^[3] După retragerea Regatului Unit din Uniunea Europeană, acesta a adoptat „UK GDPR”, care păstrează aproape integral prevederile RGPD.^[4] De asemenea, Legea privind confidențialitatea consumatorilor din California (CCPA), adoptată la 28 iunie 2018, reflectă numeroase principii ale RGPD, incluzând drepturile extinse pentru consumatori și obligațiile stricte pentru operatorii de date.^[5]

Conținut

Regulamentul RGPD este structurat în unsprezece capitole, care reglementează dispozițiile generale, principiile, drepturile persoanei vizate, obligațiile operatorilor sau persoanelor împuternicite, transferurile de date cu caracter personal către țări terțe, autoritățile de supraveghere, cooperarea între statele membre, căile de atac, răspunderea și sancțiunile pentru încălcarea drepturilor, precum și dispozițiile finale diverse. Considerentul 4 subliniază că „prelucrarea datelor cu caracter personal ar trebui să fie concepută pentru a servi umanității”.

Dispoziții generale

Regulamentul se aplică atunci când operatorul de date (o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care colectează informații despre persoane fizice, indiferent dacă acestea se află sau nu în UE) sau persoana împuternicită (o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care prelucrează date în numele unui operator de date, cum ar fi furnizorii de servicii cloud) își are sediul în UE, sau atunci când persoana vizată (persoana fizică) se află pe teritoriul UE. În anumite circumstanțe,^[6] regulamentul se aplică și operatorilor și persoanelor împuternicite cu sediul în afara UE care colectează sau prelucrează date cu caracter personal ale persoanelor aflate pe teritoriul UE. Regulamentul nu se aplică prelucrării datelor de către o persoană pentru o „activitate exclusiv personală sau domestică și, prin urmare, fără legătură cu o activitate profesională sau comercială” (considerentul 18).

Conform Comisiei Europene, „Datele cu caracter personal reprezintă informații care se referă la o persoană identificată sau identificabilă. Dacă nu puteți identifica direct o persoană din acele informații, trebuie să luați în considerare dacă persoana poate fi totuși identificabilă. Trebuie să luați în considerare informațiile pe care le prelucrați împreună cu toate mijloacele rezonabil susceptibile să fie utilizate fie de dumneavoastră, fie de orice altă persoană pentru a identifica acea persoană.”^[7] Definițiile precise ale termenilor precum „date cu caracter personal”, „prelucrare”, „persoană vizată”, „operator” și „persoană împuternicită” sunt prevăzute în Articolul 4.^{[1]:art. 4}

Regulamentul nu se aplică prelucrării datelor cu caracter personal pentru activități de securitate națională sau de aplicare a legii în cadrul UE; totuși, grupurile din industrie care se tem de un posibil conflict de legi au ridicat întrebarea dacă Articolul 48 ar putea fi invocat pentru a împiedica un operator de date supus legislației unui stat terț să se conformeze unei ordine legale din partea autorităților de aplicare a legii, judiciare sau de securitate națională ale acelei țări de a dezvălui datele cu caracter personal ale unei persoane din UE, indiferent de locația acestora, în sau în afacerea UE. Articolul 48 prevede că orice hotărâre a unei instanțe sau tribunal și orice decizie a unei autorități administrative dintr-o țară terță care impune unui operator sau unei persoane împuternicite să transfere sau să dezvăluie date cu caracter personal nu poate fi recunoscută sau executată în niciun mod, decât dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență juridică reciprocă în vigoare între țara terță (non-UE) care solicită și UE sau un stat membru. Pachetul de reformă privind protecția datelor include, de asemenea, o directivă separată privind protecția datelor pentru sectorul polițienesc și de justiție penală, care furnizează norme pentru schimburile de date cu caracter personal la nivel de stat, Uniune și internațional.^[8]

Un set unic de norme se aplică tuturor statelor membre ale UE. Fiecare stat membru stabilește o autoritate de supraveghere (AS) independentă pentru a audia și investiga plângeri, a sancționa încălcările administrative etc.^{[1]:art. 46–55} Art. 46–55 Autoritățile de supraveghere din fiecare stat membru cooperează cu alte autorități de supraveghere, oferind asistență reciprocă și organizând operațiuni comune. Dacă o entitate economică are mai multe locații în UE, aceasta trebuie să aibă o singură autoritate de supraveghere ca „autoritate principală”, pe baza locației „principale” a entității economice, unde au loc activitățile principale de prelucrare. Autoritatea principală acționează astfel ca un „punct unic de contact” pentru a supraveghea toate activitățile de prelucrare ale acelei entități economice în întreaga UE.^[9][10] Comitetul European pentru Protecția Datelor (CEPD) coordonează autoritățile de supraveghere. CEPD înlocuiește astfel Grupul de lucru privind protecția datelor din Articolul 29. Există excepții pentru datele prelucrate în contextul angajării sau în domeniul securității naționale, care ar putea rămâne supuse reglementărilor individuale ale țărilor respective.^{[1]:art. 2(2)(a) și 88}

Principii și scopuri legale

Articolul 5 stabilește șase principii fundamentale privind legalitatea prelucrării datelor cu caracter personal. Primul principiu specifică faptul că datele trebuie prelucrate în mod legal, echitabil și transparent față de persoana vizată. Articolul 6 extinde acest principiu, precizând că datele personale pot fi prelucrate doar dacă există cel puțin un temei juridic pentru această prelucrare. Celelalte principii se referă la „limitarea scopului”, „minimizarea datelor”, „exactitate”, „limitarea stocării” și „integritatea și confidențialitatea”.

Articolul 6 enumeră temeiurile legale pentru prelucrarea datelor cu caracter personal, astfel:

• (a) dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal;
• (b) pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
• (c) pentru respectarea unei obligații legale care îi revine operatorului;
• (d) pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice;
• (e) pentru îndeplinirea unei sarcini care servește un interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
• (f) pentru interesele legitime urmărite de operator sau de o terță parte, cu excepția cazului în care aceste interese prevalează asupra intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate, în special dacă aceasta este un copil.

Când consimțământul^{[1]:art. 4(11)} informat este utilizat ca temei legal pentru prelucrare, consimțământul trebuie să fie explicit atât pentru datele colectate, cât și pentru fiecare scop în care datele sunt utilizate.^{[1]:art. 7} Consimțământul trebuie să fie specific, acordat liber, clar exprimat și lipsit de ambiguități de către persoana vizată. Spre exemplu, un formular online cu opțiuni de consimțământ structurate sub forma unui opt-out selectat implicit încalcă prevederile RGPD, deoarece consimțământul nu este exprimat în mod neechivoc de utilizator. De asemenea, diverse tipuri de prelucrare nu pot fi „combinate” într-o singură solicitare de consimțământ, deoarece aceasta nu este specifică fiecărui scop, iar permisiunile individuale nu sunt acordate în mod liber (considerentul 32).

Persoanele vizate trebuie să poată retrage consimțământul în orice moment, iar procesul de retragere nu trebuie să fie mai complicat decât cel de acordare a consimțământului.^{[1]:art. 7(3)} Operatorul de date nu poate refuza furnizarea unui serviciu utilizatorilor care nu consimt la prelucrarea datelor care nu este strict necesară pentru utilizarea serviciului respectiv.^{[1]:art. 8} Consimțământul pentru copii, definiți în regulament ca persoane cu vârsta mai mică de 16 ani (cu posibilitatea statelor membre de a reduce limita la 13 ani), trebuie să fie acordat de către părinte sau tutore și să fie verificabil.^[11][12]

Dacă consimțământul pentru prelucrare a fost deja obținut în conformitate cu cerințele Directivei 95/46/CE privind Protecția Datelor, operatorul nu este obligat să obțină din nou consimțământul, cu condiția ca prelucrarea să fie documentată și realizată în conformitate cu cerințele RGPD (considerentul 171).

Drepturile persoanei vizate

Transparență și modalități

Conform articolului 12, operatorul de date are obligația de a furniza persoanei vizate informațiile „într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil.”

Informare și acces

Dreptul de acces (articolul 15) reprezintă un drept al persoanei vizate.^[13] Acesta conferă persoanei vizate dreptul de a accesa datele sale cu caracter personal și de a obține informații referitoare la modul în care acestea sunt prelucrate. Operatorul de date este obligat să furnizeze, la cerere, o descriere generală a categoriilor de date prelucrate,^{[1]:art. 15(1)(b)} precum și o copie a datelor respective;^{[1]:art. 15(3)}  de asemenea, operatorul trebuie să informeze persoana vizată cu privire la detaliile prelucrării, inclusiv scopurile acesteia,^{[1]:art. 15(1)(a)}  destinatarii cărora le sunt divulgate datele,^{[1]:art. 15(1)(c)} și sursa din care au fost obținute datele.^{[1]:art. 15(1)(g)}

Persoana vizată are dreptul de a transfera datele sale cu caracter personal dintr-un sistem electronic de prelucrare într-un alt sistem, fără a fi împiedicată de operatorul de date. Datele care au fost anonimizate corespunzător sunt excluse, însă datele pseudonimizate, care pot fi totuși asociate cu persoana vizată printr-un identificator relevant, sunt incluse.^[14] În practică, furnizarea unor astfel de identificatori poate fi dificilă, de exemplu în cazul serviciului Siri al Apple, unde datele vocale și transcrierile sunt stocate împreună cu un identificator personal la care accesul este restricționat,^[15] sau în cazul publicității comportamentale online, care se bazează pe amprente digitale ale dispozitivelor, ce pot fi greu de capturat, transmis și verificat.^[16]

Atât datele „furnizate” de persoana vizată, cât și cele „observate”, cum ar fi informațiile referitoare la comportamentul acesteia, sunt incluse. În plus, operatorul de date trebuie să pună datele la dispoziție într-un format electronic structurat, utilizat frecvent și ușor de citit automat. Dreptul la portabilitatea datelor este reglementat de articolul 20.

Rectificare și ștergere

Dreptul de a fi uitat a fost înlocuit cu un drept mai restrâns de ștergere în versiunea RGPD adoptată de Parlamentul European în martie 2014.^[17][18] Articolul 17 prevede că persoana vizată are dreptul de a solicita ștergerea datelor sale cu caracter personal pe baza unuia dintre mai multe motive, inclusiv în cazul în care prelucrarea nu respectă condițiile prevăzute la articolul 6 alineatul (1) (legalitatea prelucrării), inclusiv situația (f) în care interesele legitime ale operatorului sunt depășite de interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecția datelor personale (vezi și cauza Google Spain SL și Google Inc. împotriva Agencia Española de Protección de Datos (AEPD) și Mario Costeja González).^[19]

Dreptul la opoziție și procesul decizional individual automatizat

Articolul 21 din RGPD oferă persoanei vizate dreptul de a se opune prelucrării datelor sale personale în scopuri de marketing sau pentru alte scopuri care nu sunt legate de furnizarea serviciilor.^[20] Aceasta înseamnă că operatorul de date trebuie să permită persoanei vizate să oprească sau să prevină prelucrarea datelor sale personale.

Există situații în care această obiecție nu este aplicabilă. De exemplu, când:

• Se exercită o autoritate legală sau oficială;
• Există un "interes legitim", în cazul în care organizația trebuie să prelucreze datele pentru a îndeplini obligațiile contractuale față de persoana vizată sau pentru sarcini solicitate de aceasta în cadrul unui contract;
• Prelucrarea este necesară pentru îndeplinirea unei sarcini în interes public.

De asemenea, RGPD prevede că operatorul de date trebuie să informeze persoanele vizate despre dreptul lor de a se opune încă din prima comunicare a operatorului cu acestea. Informațiile trebuie să fie clare și distincte față de orice alte informații oferite de operator și să includă opțiunile disponibile pentru ca persoana vizată să își exprime obiecția față de prelucrarea datelor sale.

Operatorul de date poate refuza o cerere de obiecție dacă aceasta este considerată "manifesta nefondată" sau "excesivă". Astfel, fiecare cerere de obiecție trebuie să fie analizată în mod individual.^[20] Alte țări, cum ar fi Canada,^[21] urmează exemplul RGPD și iau în considerare reglementarea luării deciziilor automatizate în cadrul legislației privind protecția datelor, deși există dezbateri politice privind eficiența acestei abordări în reglementarea inteligenței artificiale.

Dreptul la despăgubiri

Articolul 82 din RGPD prevede că orice persoană care a suferit daune materiale sau nemateriale ca urmare a unei încălcări a acestui regulament are dreptul să primească despăgubiri de la operator sau procesator pentru daunele suferite.

În hotărârea Österreichische Post (C-300/21), Curtea de Justiție a Uniunii Europene a oferit o interpretare a dreptului la despăgubire.^[22] Articolul 82(1) din RGPD impune pentru acordarea de despăgubiri (i) o încălcare a RGPD, (ii) un prejudiciu efectiv suferit și (iii) o legătură cauzală între încălcare și prejudiciul respectiv. Nu este necesar ca prejudiciul suferit să atingă un anumit grad de gravitate. Nu există un concept european definit de „prejudiciu” în acest sens. Despăgubirile sunt stabilite conform legislației naționale. Trebuie luate în considerare principiile echivalenței și eficienței.^[23]

Vezi și concluziile Avocatului General în cazul Krankenversicherung Nordrhein (C-667/21).^[24]

Operatorul și persoana împuternicită de operator

Operatorii de date sunt obligați să dezvăluie în mod transparent orice colectare de date, specificând temeiul juridic, scopul prelucrării, durata stocării, precum și dacă datele sunt partajate cu terți sau transferate în afara Spațiului Economic European (SEE). Această transparență este esențială pentru respectarea RGPD. Organizațiile trebuie să protejeze datele angajaților și consumatorilor, colectând doar informațiile strict necesare și reducând pe cât posibil interferența cu dreptul la confidențialitate. Pentru a îndeplini aceste cerințe, companiile sunt obligate să implementeze controale interne riguroase, relevante pentru departamente precum auditul, controlul intern și operațiunile zilnice.

Persoanele vizate beneficiază de drepturi clare în raport cu datele lor personale. Ele pot solicita o copie portabilă a datelor într-un format standardizat și accesibil și, în anumite condiții, pot cere ștergerea acestora. Operatorii care desfășoară activități principale ce implică prelucrarea regulată sau sistematică a datelor personale, precum și autoritățile publice, sunt obligați să desemneze un responsabil cu protecția datelor (DPO). Acesta are sarcina de a asigura conformitatea organizației cu RGPD și de a acționa ca punct de legătură între companie și autoritățile de supraveghere.

Încălcările de securitate a datelor reprezintă un alt aspect critic. Operatorii sunt obligați să raporteze orice breșă de date autorităților naționale competente în termen de 72 de ore, în special dacă aceasta afectează confidențialitatea datelor utilizatorilor. Nerespectarea RGPD poate atrage sancțiuni severe, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală, fiind aplicată valoarea mai mare.

Pentru a demonstra conformitatea, operatorii trebuie să adopte măsuri care să reflecte principiile protecției datelor prin design și implicit. Articolul 25 din RGPD impune integrarea protecției datelor încă din etapa de dezvoltare a proceselor de afaceri pentru produse și servicii. Aceasta include măsuri precum pseudonimizarea datelor personale cât mai curând posibil, așa cum este prevăzut la considerentul 78. Operatorii au responsabilitatea de a implementa aceste măsuri și de a putea demonstra conformitatea prelucrării datelor, inclusiv atunci când aceasta este delegată unei persoane împuternicite (considerentul 74).

La momentul colectării, persoanele vizate trebuie informate clar și complet cu privire la scopul colectării, temeiul juridic, durata stocării, transferurile către terți sau în afara UE, precum și existența oricărui proces decizional automat bazat exclusiv pe algoritmi. De asemenea, operatorii trebuie să comunice drepturile persoanelor vizate, precum dreptul de a retrage consimțământul oricând, de a accesa datele personale și un rezumat al prelucrării acestora, de a solicita ștergerea datelor în condițiile RGPD, de a contesta orice proces decizional automatizat realizat exclusiv pe baza unui algoritm, și de a depune plângeri la Autoritatea pentru Protecția Datelor. Persoanele vizate trebuie să primească și datele de contact ale operatorului și, dacă este cazul, ale responsabilului desemnat cu protecția datelor.^[25][26]

Evaluările de impact asupra protecției datelor, reglementate de articolul 35, sunt obligatorii atunci când există riscuri specifice la adresa drepturilor și libertăților persoanelor vizate. Aceste evaluări trebuie să identifice riscurile asociate procesării și să propună măsuri de reducere a acestora. În cazul riscurilor ridicate, este necesară aprobarea prealabilă din partea autorităților pentru protecția datelor.

Conform articolului 25, operatorii trebuie să configureze implicit setările de confidențialitate la un nivel ridicat și să adopte măsuri tehnice și procedurale care asigură respectarea reglementărilor pe întreg ciclul de viață al datelor. Aceste măsuri includ implementarea mecanismelor care garantează că datele personale sunt prelucrate doar dacă este strict necesar pentru un anumit scop, conform principiului minimizării datelor.

Un raport al Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) subliniază măsuri esențiale pentru protecția datelor prin design și implicit. Acesta recomandă realizarea operațiunilor de criptare și decriptare la nivel local, sub controlul exclusiv al deținătorului datelor, pentru a preveni accesul neautorizat. Raportul subliniază că, deși stocarea datelor în cloud-uri externe este eficientă și sigură, confidențialitatea este garantată doar dacă cheile de criptare rămân în posesia deținătorului datelor, nu a furnizorului de servicii cloud.

Note

1. ^ ^{a b c d e f g h i j k l m} Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
2. ^ ^{a b} „Președinția Consiliului: 'Textul de compromis. Mai multe abordări generale parțiale au contribuit esențial la existența unor opinii convergente în cadrul Consiliului privind propunerea de regulament general privind protecția datelor în toate elementele sale. Textul regulamentului pe care Președinția îl înaintează spre aprobare ca abordare generală este redat în anexă.' 201 de pagini, 11 iunie 2015, PDF”. Arhivat din original la 26 iunie 2023. Accesat în 30 decembrie 2015. 
3. ^ Ryngaert, C & Taylor, M 2020, ‘The GDPR as Global Data Protection Regulation?’, AJIL unbound, vol. 114, pp. 5–9.
4. ^ „The UK GDPR”. Information Commissioner's Office ico. 28 iunie 2021. Accesat în 3 mai 2024. 
5. ^ Francesca Lucarini, "The differences between the California Consumer Privacy Act and the GDPR" Arhivat în 12 iulie 2020, la Wayback Machine., Adviser
6. ^ Articolul 3(2): Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de: (a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau (b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
7. ^ „What is personal data?”. ianuarie 2021. Arhivat din original la 24 iulie 2019. Accesat în 22 iulie 2019. 
8. ^ Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului
9. ^ The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
10. ^ Procedură 2012/0011/COD Procedura pentru propunerea de revizuire a cadrului legislativ (Regulamentul General privind Protecția Datelor)
11. ^ „Age of consent in the GDPR: updated mapping”. iapp.org. Arhivat din original la 27 mai 2018. Accesat în 26 mai 2018. 
12. ^ "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide" Arhivat în 17 februarie 2021, la Wayback Machine.. Judy Schmitt, Florian Stahl. 11 October 2012. Retrieved 3 January 2013.
13. ^ „Jurnalul Oficial L 119/2016”. eur-lex.europa.eu. Arhivat din original la 16 martie 2022. Accesat în 26 mai 2018. 
14. ^ „Guidelines on the right to data portability under Regulation 2016/679”. European Commission. 2017. Arhivat din original la 29 iunie 2017. Accesat în 2 noiembrie 2023. 
15. ^ Veale, Michael; Binns, Reuben; Ausloos, Jef (2018). „When data protection by design and data subject rights clash”. International Data Privacy Law. 8 (2): 105–123. doi:10.1093/idpl/ipy002  . 
16. ^ Zuiderveen Borgesius, Frederik J. (aprilie 2016). „Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation”. Computer Law & Security Review. 32 (2): 256–271. doi:10.1016/j.clsr.2015.12.013. ISSN 0267-3649. 
17. ^ Baldry, Tony; Hyams, Oliver (15 mai 2014). „The Right to Be Forgotten”. 1 Essex Court. Arhivat din original la 19 octombrie 2017. Accesat în 1 iunie 2014. 
18. ^ Rezoluția legislativă a Parlamentului European din 12 martie 2014 referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))
19. ^ „Practical Data Privacy | Books by Thoughtworkers”. Thoughtworks (în engleză). Accesat în 25 august 2023. 
20. ^ ^{a b} „Right to object”. ico.org.uk. 30 august 2019. Arhivat din original la 2 decembrie 2019. Accesat în 14 noiembrie 2019. 
21. ^ Sookman, Barry; Charles Morgan; Adam Goldenberg (30 aprilie 2021). „Using privacy laws to regulate automated decision making”. Barry Sookman (în engleză). Arhivat din original la 24 mai 2021. Accesat în 24 mai 2021. 
22. ^ Hotărârea Curții (Camera a treia) din 4 mai 2023. UI împotriva Österreichische Post AG. Cerere de decizie preliminară formulată de Oberster Gerichtshof. Cauza C-300/21, ECLI:EU:C:2023:370: Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 - Article 82(1) - Right to compensation for damage caused by data processing that infringes that regulation - Conditions governing the right to compensation – Mere infringement of that regulation not sufficient - Need for damage caused by that infringement - Compensation for non-material damage resulting from such processing - Incompatibility of a national rule making compensation for such damage subject to the exceeding of a threshold of seriousness - Rules for the determination of damages by national courts.
23. ^ Österreichische Post (C-300/21), par. 54.
24. ^ Concluziile avocatului general M. Campos Sánchez-Bordona prezentate la 25 mai 2023. ZQ împotriva Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts. Cauza C‑667/21, ECLI:EU:C:2023:433 (Text provizoriu)
25. ^ „Privacy notices under the EU General Data Protection Regulation”. ico.org.uk. 19 ianuarie 2018. Arhivat din original la 23 mai 2018. Accesat în 22 mai 2018. 
26. ^ „What information must be given to individuals whose data is collected?”. Europa (web portal). Arhivat din original la 23 mai 2018. Accesat în 23 mai 2018. 

Legături externe

• Textul oficial în limba română