GDPR. Tot ce trebuie să știi despre registrul prelucrării datelor

Share on facebook
Share on google
Share on twitter
Share on linkedin
registrul prelucrării datelor
5/5

Registrul prelucării datelor cu caracter personal (evidențele activităților de prelucrare) permite înregistrarea prelucrărilor de date efectuate și oferirea unei imagini de ansamblu a utilizării datelor cu caracter personal în cadrul unei companii.

Registrul prelucării datelor cu caracter personal este obligatoriu pentru majoritatea companiilor și este reglementat de  articolul 30 din RGPD. Evidența face parte din documentația de conformitate pe care trebuie să o dețină orice companie pentru a demonstra conformitatea cu GDPR în eventualitatea unei investigații. 

Document de identificare și de analiză, evidența trebuie să reflecte realitatea prelucrărilor de date cu caracter personal și vă permite să identificați cu precizie:

  • părțile implicate  care intervin în prelucrarea de date,
  • categoriile de date prelucrate,
  • la ce servesc aceste date (scopurile, ce faceți cu ele), cine are acces la date și cui sunt comunicate,
  • pentru ce perioadă de timp sunt păstrate,
  • în ce mod sunt securizate.

Dincolo de îndeplinirea obligației prevăzute la articolul 30 din RGPD, registrul prelucării datelor reprezintă un instrument de îndrumare și de demonstrare a conformității dumneavoastră cu RGPD (un model de registru găsiți aici). Aceasta vă permite să vă documentați prelucrările de date și să ridicați problemele potrivite: am nevoie cu adevărat de această informație în cadrul prelucrării mele? Este relevant să păstrez toate aceste date pentru atât de mult timp? Datele beneficiază de o protecție suficientă? 

Crearea și actualizarea evidenței reprezintă astfel ocazia de a identifica și a ierarhiza riscurile cu privire la RGPD. Această etapă esențială vă va permite să stabiliți pe baza ei un plan de acțiune de punere în conformitate a prelucrărilor dumneavoastră cu normele de protecție a datelor.

Cine este obligat să țină registrul prelucrării datelor cu caracter personal?

Regulamentul obligă operatorii şi persoanele împuternicite să ţină o evidenţă a activităţilor de prelucrare (registrul prelucrării datelor) în următoarele situaţii, în vederea demonstrării conformităţii:

• atunci când entitatea are mai mult de 250 angajaţi;

• prelucrarea este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanei vizate prelucrarea include categorii speciale de date;

• prelucrarea nu este ocazională.

Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizaţie să aibă o evidenţă internă a activităţilor care să fie revizuită periodic.

Dacă o companie are atât calitatea de operator, cât și calitatea de persoană împuternicită este recomandat să se țină două registre pentru fiecare calitate.

Registrul prelucrării datelor trebuie să identifice toate prelucrările efectuate de organizația dumneavoastră.

În practică, pentru fiecare dintre aceste activități trebuie stabilită o fișă de evidență.

 

 

Pentru fiecare activitate de prelucrare identificată, registrul trebuie să cuprindă cel puțin următoarele elemente:

  1. numele și datele de contact ale operatoruluiu și, după caz, numele și datele de contact ale operatorului asociat;
  2. scopurile prelucrării, obiectivul pentru care ați colectat aceste date;
  3. categoriile de persoane vizate (clienți, persoane prospectate, angajați etc.)
  4. categoriile de date personale (exemple: identitatea, situația familială, economică sau financiară, datele bancare, datele de conectare, datele de localizare etc.)
  5. categoriile de destinatari cărora datele cu caracter personal au fost sau vor fi divulgate, inclusiv subcontractanții la care apelați
  6. transferurile de date cu caracter personal către o țară terță sau o organizație internațională și, în anumite cazuri foarte speciale, garanțiile prevăzute pentru aceste transferuri;
  7. termenele prevăzute pentru ștergerea diferitelor categorii de date, cu alte cuvinte durata de păstrare sau, în lipsa acestor termene, criteriile care permit determinarea duratei
  8. în măsura în care este posibil, o descriere generală a măsurilor de securitate tehnice și organizatorice pe care le puneți în aplicare.

Ce formă trebuie să aibă evidența?

RGPD prevede doar că registrul prelucrării datelor trebuie să fie ținută în scris. Formatul evidenței este liber, pe suport de hârtie sau electronic. Noi recomandăm ținerea registrului în format electronic pentru a putea fi actualizat cu ușurință. Un model de registru în format Excel găsiți aici

Cui este comunicat registrul prelucrării datelor?

Prin natura sa, registrul prelucrării datelor este un document intern, care trebuie, mai înainte de toate, să ajute organizația în asigurarea conformității.

Cu toate acestea, evidența trebuie comunicată către ANSPDCP, atunci când ANSPDCP solicită acest lucru. ANSPDCP va putea să o utilizeze în exercitarea atribuțiilor sale de investigare.

 

Te-ar putea interesa și:

 

Bune practici

Prin completarea registrului prelucrării datelor cu informații suplimentare, puteți transforma evidența într-un adevărat instrument de îndrumare cu privire la conformitatea dumneavoastră cu GDPR. Într-adevăr, obligațiile de documentare prevăzute de GDPR nu se limitează la obligația de a ține o evidență, prevăzută la articolul 30 din GDPR. Dispunerea, în același document, de toate informațiile referitoare la prelucrările pe care le efectuați și prevăzute deGDPR, vă va permite să vă asigurați, în fiecare moment, că respectați normele de protecție a datelor sau să identificați acțiunile pe care trebuie să le desfășurați pentru a atinge acest obiectiv.

Această evidență va putea, de asemenea, să fie utilizată de către responsabilul cu protecția datelor în îndeplinirea atribuțiilor sale, sau chiar consultată de orice alt colaborator al organizației însărcinat cu prelucrări de date.

  • De exemplu, adăugând în registrul prelucrării datelor informațiile necesare pentru informarea persoanelor (baza legală a prelucrării și, după caz, temeiul juridic al transferului de date către o țară terță, drepturile care se aplică prelucrării, existența sau nu a unei decizii automate, originea datelor etc.), veți putea să o utilizați pentru a redacta notele de informare.
  • De asemenea, veți putea consemna în evidență un istoric al încălcărilor securității datelor și veți putea identifica toate documentele legate de transferurile de date în afara Uniunii Europene (clauze contractuale, BCR [binding corporate rules = reguli corporatiste obligatorii] etc.) și pe cele referitoare la persoanele împuternicite și contractele încheiate cu persoanele împuternicite. 

Ai nevoie de un model de registru al prelucrării datelor cu caracter personal cu exemple concrete de completare? Îl găsești aici, împreună cu celelalte documente necesare conformității. 

 

Sursa CNIL

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Ruxandra Sava

Ruxandra Sava

Pasiunea m-a condus către avocatură. Experiența în jurnalism m-a condus către blogging. Viziunea m-a condus către dreptul tehnologiei. În iunie 2017, am adunat resursele și am fondat LegalUp.ro. Cu o viziune optimistă asupra vieții, în prezent, mă orientez spre descoperirea și depășirea propriilor limite.

Despre LegalUp

LegalUp Innovators at Law. Creativi, vizionari și inovatori, noi avem cea mai bună soluție acolo unde tehnologia se intersectează cu dreptul.

Articole recente

Fii la curent cu noi

Servicii și produse recomandate

Vreau să fiu la curent cu articolele LegalUp

Prin abonarea la newsletter, declari că ai peste 16 ani, că ai citit și că ești de acord cu Politica de confidențialitate 

  • Pachet GDPR supraveghere video (CCTV)

    700lei
  • KIT GDPR magazin online

    600lei
  • Termeni si conditii magazin online

    450lei
  • Analiză interes legitim monitorizare CCTV

    150lei
  • Regulamentul General privind Protectia Datelor (GDPR) pe întelesul tău. Sinteză teoretică și recomandări practice. Carte GDPR

    97lei
  • Politică de confidentialitate pentru site/magazin online

    250lei
gdpr-tot-ce-trebuie-s-tii-despre-registrul-prelucrrii-datelor

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord