Regulamentul General privind Protecţia Datelor a devenit obligatoriu pentru companiile din România în anul 2018.
Datele cu caracter personal includ orice informații despre o persoană identificată sau identificabilă (subiectul datelor). Printre datele cu caracter personal se numără: numele, adresa, numărul cărții de identitate/pașaportului, venitul, profilul cultural, adresa IP (Internet Protocol), datele deținute de medici sau spitale (care identifică o persoană în scopuri medicale).
Fără consimţământul angajatului, companiile nu au voie să ofere informaţii despre CNP-ul, analize medicale, adresa sau venitul acestuia.
Persoana vizată poate face o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal sau poate solicita despăgubiri în instanţă.
România ocupă locul 3 în Europa la numărul de amenzi aplicate pentru nerespectarea protecţiei datelor. În cei doi ani de când Regulamentului General privind Protecţia Datelor a devenit lege în România au fost aplicate 26 de sancţiuni.
Cea mai mare amendă dată a fost de 150 de mii de euro și a fost aplicată unei bănci.