GDPR: Registrul Prelucrărilor sau documentul care nu trebuie să lipsească din nicio companie

Regulamentul obligă operatorii și persoanele împuternicite să țină o evidență a activităților de prelucrare în următoarele situații:

  • atunci când entitatea are mai mult de 250 angajați;
  • prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate prelucrarea include categorii speciale de date;
  • prelucrarea nu este ocazională.
Având în vedere că,  în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizație să aibă o evidență internă a activităților care să fie revizuită periodic.

Acest registru intern va înlocui, începând cu 25 mai 2018, procedura notificării autorității de supraveghere cu privire la prelucrările de date.

Registrul va fi actualizat periodic, pe măsură ce intervin modificări (de exemplu: se colectează date suplimentare, se decide transferarea datelor către state terțe, se instituie măsuri suplimentare de securitate). Este recomandat să se stabilească revizuirea periodică a registrului (de exemplu, o dată pe lună) .

Registrul prelucrărilor poate constitui baza pentru redactarea notelor de informare către persoana vizata Este recomandat să se păstreze o arhivă a versiunilor anterioare. Pe măsură ce intervin modificări în activitatea de prelucrare, persoana vizată va fi informată asupra modificărilor.

Ce trebuie să cuprindă obligatoriu evidența activităților de prelucrare a operatorului?
  • numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
  • scopurile prelucrării;
  • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
  • dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale;
  • acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).[1]
Ce trebuie să cuprindă obligatoriu evidența activităților de prelucrare a persoanei împuternicite?
  1. numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
  2. categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
  3. dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective;
  4. acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).[2]

Ce riscuri sunt dacă nu țin un Registru al activităților de prelucrare?

Potrivit art. 83 din Regulament, absența Registrului în cadrul unei firme poate fi sancționată cu amendă de până la 2% din cifra de afaceri sau 10.000.000 euro, oricare din ele este mai mare. Acest document este foarte important, fiind primul document pe care îl va cere ANSPDCP în situația unui control.

Unde găsesc un model de Registru?

Un model de Registru în excel, împreună cu instrucțiuni și ghiduri de utilizare este inclus în KIT-ul nostru complet de documente pentru implementarea GDPR, care poate fi achiziționat de aici. 

KIT-ul conține, pe lângă registre, și alte documente absolut necesare pentru implementarea cerințelor GDPR, precum contracte, politici tehnice, acorduri de prelucrare, politici de confidențialitate, note de informare etc.

 

[1] Art. (30) alin. (1) din Regulamentul (EU) 679/2016.

[2] Art. (30) alin. (2) din Regulamentul (EU) 679/2016.

Comments
Se incarca...
NU RATA!
Aboneaza-te la newsletter
Fii primul care sa primeasca ultimele stiri bune de citit dimineata la cafea.
Ramai conectat
close-link

















 
CUMPARA KITUL ACUM!
close-link
Aboneaza-te la continut exclusiv. Fii primul care afla noutatile.
Aboneaza
close-image