Cu foarte puține excepții, organizațiile care prelucrează date personale trebuie să țină o evidență a activităților care presupun prelucrarea datelor cu caracter personal. Cel mai des, această evidență este sub forma unui tabel într-un fișier Excel sau este gestionată printr-o aplicație. Oricare ar fi varianta pe care o preferă, cert este că organizațiile trebuie să treacă prin efortul migălos de a identifica modul în care prelucrează datele personale și să se asigure că documentează categoriile minime de informații indicate de art. 30 din GDPR.

Ca parte a activității noastre de susținere a Responsabililor cu protecția datelor (DPO), am creat un model de Registru de evidență a activităților de prelucrare, precum și un Ghid de completare a Registrului.

Utilizarea unui model bun de Registru este un aspect important și extrem de util. Însă din experiența noastră, partea cea mai complexă și dificilă este efortul de completare a Registrului, astfel încât evidențele să fie coerente și exacte. Pentru a putea colecta informațiile necesare, este nevoie de:

• Conștientizare în cadrul organizației și cooperare din partea echipelor care prelucrează date personale.
• Timp pentru discuții cu persoanele ale căror activități presupun prelucrări de date.
• Crearea (cu sprijinul managementului) a unui mediu în care oamenii să se simtă încurajați să deschidă subiecte legate de conformitate și să atragă atenția asupra unor potențiale probleme.
• Răbdare…

Dacă ești DPO sau ai atribuții similare, te invităm să te alături Comunității DPO Privacy Learning, unde organizăm evenimente online și punem la dispoziție resurse dedicate. Dacă ai dificultăți legate de completarea Registrului, îți poți împărtăși experiența într-una din întâlnirile lunare DPO Sessions sau ne poți contacta.

GDPR, Articolul 30: Evidențele activităților de prelucrare

(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor. Respectiva evidență cuprinde toate următoarele informații:

(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;

(b) scopurile prelucrării;

(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;

(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;

(e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;

(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date; (g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).

(2) Fiecare persoană împuternicită de operator și, după caz, reprezentantul persoanei împuternicite de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, care cuprind:

(a) numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și, după caz, ale reprezentantului operatorului sau ale reprezentantului persoanei împuternicite de operator, și ale responsabilului cu protecția datelor;

(b) categoriile de activități de prelucrare desfășurate în numele fiecărui operator;

(c) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;

(d) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).

(3) Evidențele menționate la alineatele (1) și (2) se formulează în scris, inclusiv în format electronic.

(4) Operatorul sau persoana împuternicită de acesta, precum și, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidențele la dispoziția autorității de supraveghere, la cererea acesteia.

(5) Obligațiile menționate la alineatele 1 și 2 nu se aplică unei întreprinderi sau organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnări penale și infracțiuni, astfel cum se menționează la articolul 10.