Cere GDPR o evidență a activităților de prelucrare desfășurate de microîntreprinderi?

Ce presupune Evidența activităților de prelucrare?

Această documentare este o cerință nouă în cadrul GDPR. Este vorba în principal de păstrarea evidenței interne a activităților de prelucrare de date cu caracter personal realizate de o organizație. Articolul 30 din GDPR stabilește diferitele tipuri de informații pe care trebuie să le documentați, inclusiv scopurile prelucrării, categoriile de date cu caracter personal și destinatarii datelor cu caracter personal.

Compania mea are mai puțin de 250 de angajați. Mai e nevoie de o asemenea Evidență?

Potrivit articolului 30, alineatul 5 din GDPR, obligația Operatorului de date de a păstra o evidență a activităților de prelucrare desfășurate nu se aplică unei întreprinderi sau organizații cu mai puțin de 250 de angajați. 

Însă, nicio regulă fără excepții.

Fostul Grup de Lucru art. 29 ne oferă sprijin în evaluarea situațiilor în care ne revine obligația legală de a păstra o evidență a activităților de prelucrare. Puteți consulta documentul la adresa: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045

Parcurgând acest document identificăm astfel 3 excepții:

Excepția numărul 1:

Prelucrarea pe care o efectuează Operatorul este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate.

Excepția numărul 2

Prelucrarea nu este ocazională 

Excepția numărul trei

Prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1) GDPR sau date cu caracter personal referitoare la condamnări penale și infracțiuni astfel cum se menționează la articolul 10 GDPR

Teoria ca teoria. Dar cum interpretăm aceste excepții?

De exemplu, o companie mică cu cinci angajați prelucrează în mod regulat date cu privire la angajații săi. O astfel de prelucrare nu poate fi considerată „ocazională” și, prin urmare, trebuie să fie documentată într-un Registru de evidență. Totuși, alte activități de prelucrare care sunt de fapt „ocazionale” nu trebuie să fie incluse în Registru, cu condiția să fie puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor vizate și nu implică categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Documentarea activităților de prelucrare constituie un mijloc foarte util pentru a analiza riscurile oricărei prelucrări, existente sau planificate. Se facilitează evaluarea faptică a riscului activităților de prelucrare efectuate la drepturile persoanelor, precum și identificarea și implementarea măsurilor de securitate adecvate pentru protejarea datelor cu caracter personal – ambele componente cheie ale principiului responsabilității prevăzut de GDPR.

Ce trebuie să conțină o astfel de Evidență a activității de prelucrare?

Potrivit articolului 30, alineatul 1 din GDPR, Evidența prelucrării cuprinde toate următoarele informații:

  • numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
  • scopurile prelucrării;
  • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
  • dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;
  • acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1) GDPR.

Partenerilor noștri contractuali le revine și lor obligația de a păstra o evidență a activităților de prelucrare?

În vederea demonstrării conformității cu GDPR, atât operatorul, cât și persoana împuternicită de operator ar trebui să păstreze evidențe ale activităților de prelucrare aflate în responsabilitatea sa. Fiecare operator și fiecare persoană împuternicită de operator ar trebui să aibă obligația de a coopera cu ANSPDCP și de a pune la dispoziția acesteia, la cerere, aceste evidențe, pentru a putea fi utilizate în scopul monitorizării operațiunilor de prelucrare respective.

În acest sens, dacă partenerii Dumneavoastră contractuali, mandatați pentru a prelucra date cu caracter personal în numele Dumneavoastră (în scopurile și folosind mijloacele stabilite de Dumneavoastră), aceștia vor avea la rândul lor să dețină o evidență a activităților de prelucrare. Desigur, vor fi avute în vedere cele 3 excepții deja discutate.

Potrivit articolului 30, alineatul (2) din GDPR: fiecare operator și, după caz, persoana împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, care cuprind:

  • numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
  • categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
  • dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1) din GDPR.

Cum păstrăm această Evidență a activităților de prelucrare?

GDPR ne cere ca Evidența activității de prelucrare să se formuleze în scris, inclusiv în format electronic.

Cu toate că recomandarea noastră este ca documentația să fie actualizată când apar modificări în activitățile de prelucrare realizate, este important să stabilim și un termen rezonabil de revizuire a întregii documentații.

Leave a Reply