Registrul de evidență a prelucrării datelor cu caracter personal: importanță și întocmire

Article Registrul de evidență a prelucrării datelor cu caracter personal: importanță și întocmire | Decalex

De principiu, orice companie prelucrează date cu caracter personal este obligată sa tina o evidenta a acestor activități de prelucrarea datelor cu caracter personal. Metoda contează mai puțin, fie că vorbim despre o aplicație specială sau un fișier dedicat monitorizării activităților, important fiind ca registrul de evidență a prelucrărilor de date cu caracter personal să conțină toate prelucrările si sa respecte structura și condițiile cerute de legislația in materie. În cele ce urmează îți vom oferi mai multe detalii despre acest proces și-ți vom pune la dispoziție și un model de registru GDPR cu informațiile necesare. 

Ce este registrul de evidență a prelucrării datelor cu caracter personal?

Regulamentul general privind protecția datelor (Regulamentul UE nr. 679/2016) obligă companiile (operatorii de date personale și persoanele împuternicite de aceștia) să păstreze o evidență a prelucrării datelor cu caracter personal. Această inventariere poate fi ținută în format fizic sau digital și cuprinde toate operațiunile de prelucrare a datelor cu caracter personal realizate de către o organizație. Un aspect important ce trebuie avut în vedere este acela că registrul de evidență a prelucrărilor datelor personale face parte din documentația ce trebuie pusă la dispoziția autorității de supraveghere și adesea este printre primele documente solicitate de aceasta, în cazul unui control.

 

Așadar, ce trebuie să faci ca să eviți amenzile impuse de GDPR? Păi, în primul rând, să pui la punct un sistem de monitorizare bazat pe un model de registru de evidență a datelor cu caracter personal. 

De ce este important un astfel de registru al evidenței datelor? 

Îți vom pune la dispoziție un model de registru prelucrare date cu caracter personal deoarece trebuie să poți prezenta autorităților de control o imagine de ansamblu asupra proceselor și modului prin care utilizezi datele cu caracter personal în compania ta. Fără un astfel de sistem nu vei putea asigura confidențialitatea și securitatea datelor personale

 

În plus, nu vei putea să analizezi modul în care faci prelucrarea și nu vei putea începe procedura de implementare GDPR dacă nu ai făcut auditul GDPR și cartografiat datele cu caracter personal. Stai liniștit, îți punem la dispoziție servicii de consultanță, training și chiar și externalizare DPO pentru a te susține în cadrul acestui proces. 

 

Acest registru este util în obținerea unei imagini de ansamblu asupra activităților care implică prelucrări de date personale și asupra necesității reale a colectării acestor date având în vedere principiul „reducerii la minimum a datelor”, prevăzut de Regulament.

Evidența prelucrărilor datelor va ajuta organizația să identifice posibilele riscuri la adresa drepturilor persoanelor vizate și măsurile ce ar trebui implementate pentru asigurarea protecției acestora. De asemenea, acest document va fi folositor și în procesul întocmirii unui răspuns la solicitările de acces formulate de persoanele vizate, întrucât va facilita identificarea datelor în cadrul diferitelor departamente. 

 

Nu uita că în procesul de verificare și control a operatorilor de date cu caracter personal Autoritatea vrea sa vada registrul de evidenta a prelucrarilor datelor personale al operatorului controlat cat și registrul de prelucrarilor pe care acesta le desfasoara în relația cu terții unde are calitatea de imputernicit (daca este cazul).

Este obligatoriu registrul de evidență a prelucrării datelor personale? 

Potrivit art. 30 din Regulamentul general privind protecția datelor, întocmirea unui registru de evidență a prelucrărilor de date cu caracter personal este, în principiu, în sarcina organizațiilor cu cel puțin 250 de angajați. Cu toate acestea, sunt prevăzute și alte cazuri în care această evidență este obligatorie, ajungându-se la situația practică în care aproape toate organizațiile trebuie să păstreze o evidență a prelucrărilor.

Astfel, chiar dacă organizația are mai puțin de 250 de angajați, întocmirea registrului este obligatorie dacă prelucrarea efectuată este susceptibilă de a genera un risc pentru drepturile persoanelor vizate (de exemplu utilizarea CCTV-urilor, GPS-ului pe mașini). Având în vedere că multe prelucrări de date pot, teoretic, genera un risc cu privire la drepturilor persoanelor vizate, această prevedere lărgește considerabil sfera organizațiilor care trebuie să păstreze evidența prelucrărilor.

De asemenea, întocmirea registrului este obligatorie în cazul în care prelucrarea datelor nu este ocazională. În practică, în majoritatea cazurilor, prelucrarea nu este ocazională dacă avem în vedere că o companie prelucrează în mod obișnuit datele angajaților săi sau ale clienților săi.

Există obligația întocmirii și păstrării unui registru de prelucrare a datelor și atunci când prelucrarea include categorii speciale de date, precum cele care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice sau apartenența la sindicate, prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală a unei persoane fizice, precum și atunci când sunt prelucrate date cu caracter personal referitoare la condamnări. Un exemplu relevant aici sunt detaliile despre starea de sănătate pe care angajatul trebuie să le depună la dosarul de personal aflat la angajator. Evident, angajatul poate invoca dreptul de a fi uitat după ce se încheie colaborarea. 

Tragem concluzia conform căreia toate companiile care au angajați sunt obligate să aibă registrul de evidență.

 

Care sunt pașii pentru întocmirea registrului de evidență a prelucrărilor de date?

Pentru elaborarea registrului de evidență a prelucrărilor trebuie să identificăm activitățile în cadrul cărora sunt colectate date cu caracter personal. Pentru început, putem stabili punctele de intrare ale datelor cu caracter personal în organizație – adică momentul și canalele prin care organizația intră în posesia datelor cu caracter personal. 

Prin analizarea fluxurilor de date din interiorul organizației vor fi identificate departamentele care gestionează date personale și modalitatea de stocare a acestora. De exemplu, în cadrul proceselor de recrutare de personal, datele candidaților vor intra în posesia companiei prin departamentul de resurse umane. 

 

Ulterior, aceste date pot ajunge și la departamentul în care se va angaja candidatul, la departamentul financiar care va face plățile și eventualele rețineri din salariu și la departamentul IT care va gestiona adresa de e-mail și alte aplicații puse la dispoziția angajatului. 

 

Urmărirea fluxurilor de date va ajuta operatorul în identificarea eventualelor riscuri ce pot apărea în gestionarea datelor și în elaborarea unor proceduri interne de gestionare a prelucrării datelor. Astfel, pot fi luate măsurile tehnice și organizatorice necesare și adecvate pentru protecția datelor cu caracter personal.

 

Ce informații trebuie să conțină registrul de evidență a datelor?

Regulamentul nu ne furnizează un model standard pentru registrul de evidență a prelucrărilor datelor personale, însă prevede informațiile care trebuie să se regăsească în mod obligatoriu în acesta. Astfel, registrul de evidență trebuie să conțină următoarele elemente:

Numele și datele de contact

Numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor.

Scopul prelucrării datelor

Scopurile prelucrării datelor, adică activitățile desfășurate în cadrul organizației, care presupun prelucrarea de date cu caracter personal. Acestea pot fi: administrarea de personal, marketing sau prospectarea potențialilor clienți, încheierea contractelor cu furnizori sau clienți etc.

Descrierea categoriilor de persoane și date vizate

Descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal prelucrate. Printre persoanele vizate se pot regăsi angajații companiei (ale căror date personale se regăsesc în dosarele de personal), clienții (despre care se cunosc datele de contact și istoricul cumpărăturilor) sau alți colaboratori ai operatorului.

Categoriile de destinatari

Categoriile de destinatari, adică persoanele cărora le-au fost sau le vor fi divulgate datele cu caracter personal. Destinatarii pot fi prevăzuți de lege, în această categorie intrând autorități publice cum ar fi ITM, ANAF sau alte organisme care supervizează activitatea unui operator. Alți destinatari pot fi colaboratori ai organizației sau persoane din interiorul organizației.

Transferurile de date

Dacă au loc transferuri de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale.

Termenele-limită

Termenele-limită preconizate pentru ștergerea diferitelor categorii de date. Menționăm că Regulamentul nu prevede perioadele pentru care trebuie stocate datele, aceste perioade trebuie stabilite de operator. Menționăm de asemenea și faptul că în preambulul Regulamentului se prevede faptul că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Pentru stabilirea termenelor-limită de păstrare a datelor ar trebui identificate mai întâi termenele prevăzute de legea națională cu privire la arhivarea documentelor.

 

Spre exemplu, Legea contabilității nr. 82/1991 stabilește la art. 25 că registrele de contabilitate obligatorii și documentele justificative care stau la baza înregistrărilor în contabilitatea financiară se păstrează timp de 10 ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost întocmite, cu excepția statelor de salarii, care se păstrează timp de 50 de ani.

Descrierea măsurilor tehnice și organizatorice de securitate

O descriere generală a măsurilor tehnice și organizatorice de securitate. 

Aceste măsuri pot fi: pseudonimizarea și criptarea datelor, asigurarea accesului în clădire/birou/camere/dulapuri doar pentru persoanele care au dreptul să fie acolo, protejarea în fața atacurilor cibernetice prin folosirea de programe antivirus, protejarea rețelei intranet prin folosirea unui sistem firewall, permiterea accesului la date numai prin folosirea unei parole care va fi schimbată la anumite intervale de timp etc. 

Instruirea personalului este utilă pentru a crește gradul de conștientizare a angajaților cu privire la situațiile ce ar putea reprezenta un risc cu privire la protecția datelor.

Datele împuterniciților, dacă este cazul

În cazul în care operatorul are împuterniciți, datele acestor persoane ar trebui să figureze în registru.

 

Obligația întocmirii registrului aparține și persoanelor împuternicite de operator, care trebuie să prevadă în registru următoarele informații:

  • numele și datele de contact ale tuturor operatorilor în numele cărora prelucrează date cu caracter personal, precum și ale reprezentantului operatorului;
  • categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
  • transferurile către o țară terță sau o organizație internațională;
  • măsurile tehnice și organizatorice de securitate luate pentru protejarea datelor.

Registrul de evidență a prelucrărilor datelor personale nu ar trebui să fie privit ca încă o obligație împovărătoare pentru organizații, ci ca un instrument de un real folos pentru conștientizarea modului în care organizația prelucrează date personale.

Prin urmare, o inventariere a prelucrărilor de date va ajuta organizația în procesul de  conformare la prevederile Regulamentului și este important ca acest document să fie actualizat continuu pentru a se asigura relevanța și corectitudinea lui.

 

Pentru mai multe informații despre implementarea GDPR, ne puteți scrie la office@decalex.ro sau în pagina de contact

Share:
Decalex
Autor: DECALEX
Ultimele articole
Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Opinia EDPB vs “Pay or Okay”

Opinia EDPB vs “Pay or Okay”

Moderarea conținutului în Regatul Unit

Moderarea conținutului în Regatul Unit

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI