Registrul prelucrării datelor cu caracter personal (evidențele activităților de prelucrare) permite înregistrarea prelucrărilor de date efectuate și oferirea unei imagini de ansamblu a utilizării datelor cu caracter personal în cadrul unei companii.
Registrul prelucrării datelor cu caracter personal este obligatoriu pentru majoritatea companiilor și este reglementat de articolul 30 din RGPD. Evidența face parte din documentația de conformitate pe care trebuie să o dețină orice companie pentru a demonstra conformitatea cu GDPR în eventualitatea unei investigații.
Document de identificare și de analiză, evidența trebuie să reflecte realitatea prelucrărilor de date cu caracter personal și vă permite să identificați cu precizie:
- părțile implicate în prelucrarea de date;
- categoriile de date prelucrate;
- la ce servesc aceste date (scopurile, ce faceți cu ele), cine are acces la date și cui sunt comunicate;
- pentru ce perioadă de timp sunt păstrate;
- în ce mod sunt securizate.
Dincolo de îndeplinirea obligației prevăzute la articolul 30 din RGPD, registrul prelucării datelor reprezintă un instrument de îndrumare și de demonstrare a conformității dumneavoastră cu RGPD (un model de registru găsiți aici). Aceasta vă permite să vă documentați prelucrările de date și să ridicați problemele potrivite: am nevoie cu adevărat de această informație în cadrul prelucrării mele? Este relevant să păstrez toate aceste date pentru atât de mult timp? Datele beneficiază de o protecție suficientă?
Crearea și actualizarea evidenței reprezintă astfel ocazia de a identifica și a ierarhiza riscurile cu privire la RGPD. Această etapă esențială vă va permite să stabiliți pe baza ei un plan de acțiune de punere în conformitate a prelucrărilor dumneavoastră cu normele de protecție a datelor.
1. Cine este obligat să țină registrul prelucrării datelor cu caracter personal?
Regulamentul obligă operatorii şi persoanele împuternicite să ţină o evidenţă a activităţilor de prelucrare (registrul prelucrării datelor) în următoarele situaţii, în vederea demonstrării conformităţii:
• atunci când entitatea are mai mult de 250 angajaţi;
• prelucrarea este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanei vizate prelucrarea include categorii speciale de date;
• prelucrarea nu este ocazională.
Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizaţie să aibă o evidenţă internă a activităţilor care să fie revizuită periodic.
Dacă o companie are atât calitatea de operator, cât și calitatea de persoană împuternicită este recomandat să se țină două registre pentru fiecare calitate.
Registrul prelucrării datelor trebuie să identifice toate prelucrările efectuate de organizația dumneavoastră.
În practică, pentru fiecare dintre aceste activități trebuie stabilită o fișă de evidență.
Pentru fiecare activitate de prelucrare identificată, registrul trebuie să cuprindă cel puțin următoarele elemente:
- numele și datele de contact ale operatoruluiu și, după caz, numele și datele de contact ale operatorului asociat;
- scopurile prelucrării, obiectivul pentru care ați colectat aceste date;
- categoriile de persoane vizate (clienți, persoane prospectate, angajați etc.)
- categoriile de date personale (exemple: identitatea, situația familială, economică sau financiară, datele bancare, datele de conectare, datele de localizare etc.)
- categoriile de destinatari cărora datele cu caracter personal au fost sau vor fi divulgate, inclusiv subcontractanții la care apelați
- transferurile de date cu caracter personal către o țară terță sau o organizație internațională și, în anumite cazuri foarte speciale, garanțiile prevăzute pentru aceste transferuri;
- termenele prevăzute pentru ștergerea diferitelor categorii de date, cu alte cuvinte durata de păstrare sau, în lipsa acestor termene, criteriile care permit determinarea duratei
- în măsura în care este posibil, o descriere generală a măsurilor de securitate tehnice și organizatorice pe care le puneți în aplicare.
2. Ce formă trebuie să aibă evidența?
RGPD prevede doar că registrul prelucrării datelor trebuie să fie ținut în scris. Formatul evidenței este liber, pe suport de hârtie sau electronic.
3. Cui este comunicat registrul prelucrării datelor?
Prin natura sa, registrul prelucrării datelor este un document intern, care trebuie, mai înainte de toate, să ajute organizația în asigurarea conformității.
Cu toate acestea, evidența trebuie comunicată către ANSPDCP, atunci când ANSPDCP solicită acest lucru. ANSPDCP va putea să o utilizeze în exercitarea atribuțiilor sale de investigare.
Te-ar putea interesa și:
Bune practici
Prin completarea registrului prelucrării datelor cu informații suplimentare, puteți transforma evidența într-un adevărat instrument de îndrumare cu privire la conformitatea dumneavoastră cu GDPR. Într-adevăr, obligațiile de documentare prevăzute de GDPR nu se limitează la obligația de a ține o evidență, prevăzută la articolul 30 din GDPR. Dispunerea, în același document, de toate informațiile referitoare la prelucrările pe care le efectuați și prevăzute deGDPR, vă va permite să vă asigurați, în fiecare moment, că respectați normele de protecție a datelor sau să identificați acțiunile pe care trebuie să le desfășurați pentru a atinge acest obiectiv.
Această evidență va putea, de asemenea, să fie utilizată de către responsabilul cu protecția datelor în îndeplinirea atribuțiilor sale, sau chiar consultată de orice alt colaborator al organizației însărcinat cu prelucrări de date.
- De exemplu, adăugând în registrul prelucrării datelor informațiile necesare pentru informarea persoanelor (baza legală a prelucrării și, după caz, temeiul juridic al transferului de date către o țară terță, drepturile care se aplică prelucrării, existența sau nu a unei decizii automate, originea datelor etc.), veți putea să o utilizați pentru a redacta notele de informare.
- De asemenea, veți putea consemna în evidență un istoric al încălcărilor securității datelor și veți putea identifica toate documentele legate de transferurile de date în afara Uniunii Europene (clauze contractuale, BCR [binding corporate rules = reguli corporatiste obligatorii] etc.) și pe cele referitoare la persoanele împuternicite și contractele încheiate cu persoanele împuternicite.
