Consideratii privind documentarea activitatilor de prelucrare - ART. 30 GDPR
Scopul articolului
1. Articolul ofera orientari mai detaliate Operatorilor si Procesatorilor de date cu privire la Documentarea activitatilor de prelucrare a datelor, conform GDPR.
2. Articolul va ajuta sa intelegeti de ce documentarea activitatilor de procesare este importanta, cine trebuie sa mentina astfel de inregistrari, ce trebuie inregistrat si cum sa faceti toate aceste lucruri.
1. Articolul ofera orientari mai detaliate Operatorilor si Procesatorilor de date cu privire la Documentarea activitatilor de prelucrare a datelor, conform GDPR.
2. Articolul va ajuta sa intelegeti de ce documentarea activitatilor de procesare este importanta, cine trebuie sa mentina astfel de inregistrari, ce trebuie inregistrat si cum sa faceti toate aceste lucruri.
intr-o privire de ansamblu ..
3. GDPR (art.30) contine dispozitii explicite privind evidenta activitatilor dvs. de procesare (documentarea). Documentarea acestor informatii este legata de principiul responsabilitatii si va va ajuta sa va demonstrati conformitatea cu GDPR.
1. Conform prevederilor GDPR, trebuie sa pastrati inregistrarile mai multor elemente, cum ar fi scopurile procesarii, partajarea datelor, perioada de retentie, etc.;
2. Este posibil sa vi se solicite sa puneti la dispozitia Autoritatii de Supraveghere inregistrarile, la cerere;
3. Documentarea va poate ajuta sa respectati alte aspecte ale GDPR si sa va imbunatatiti guvernanta datelor;
4. Operatorii si Procesatorii de date personale au obligatia de a pastra o evidenta a activitatilor de prelucrare (documentare);
5. Pentru organizatiile mici si mijlocii, cerintele de documentare sunt limitate la anumite tipuri de activitati de prelucrare;
1. Auditul informatiilor sau exercitiile de cartografiere a datelor pot fi folosite in documentarea activitatii de prelucrare;
2. inregistrarile trebuie pastrate in scris, inclusiv in format electronic;
3. inregistrarile trebuie sa fie actualizate si sa reflecte activitatile dvs. actuale de prelucrare.
1. Auditul informatiilor sau exercitiile de cartografiere a datelor pot fi folosite in documentarea activitatii de prelucrare;
2. inregistrarile trebuie pastrate in scris, inclusiv in format electronic;
3. inregistrarile trebuie sa fie actualizate si sa reflecte activitatile dvs. actuale de prelucrare.
Pe intelesul tuturor
Ce este nou in cadrul GDPR?
Evidenta activitatilor de prelucrare (documentarea) este o cerinta legala noua, respectiv o obligatie stabilita, potrivit GDPR, atat pentru Operatorii cat si pentru Procesatorii de date cu caracter personal.
Trebuie sa va asigurati in mod obligatoriu ca aveti o inregistrare/ evidenta a activitatilor dvs. de prelucrare.
Aceasta reflecta importanta crescuta a responsabilitatii, obligatiei dvs. de a asigura si de a demonstra ca prelucrarea datelor personale este in conformitate cu GDPR. Articolul 30 stabileste diferite tipuri de informatii pe care trebuie sa le documentati, inclusiv scopul prelucrarii, categoriile de date cu caracter personal, destinatarii datelor cu caracter personal, etc.
Ce reprezinta documentarea activitatilor de prelucrare ?
Principiul responsabilitatii impune sa demonstrati ca organizatia dvs. proceseaza date personale in conformitate cu GDPR. Majoritatea organizatiilor sunt obligate sa tina o evidenta a activitatilor lor de prelucrare, acoperind domenii cum ar fi scopurile procesarii, partajarea si pastrarea datelor; numim aceasta documentare"
Documentarea activitatilor de procesare este deosebit de importanta, nu numai pentru ca ea insasi este o cerinta legala, dar si pentru ca poate sprijini buna guvernanta a datelor si va poate ajuta sa va demonstrati conformitatea cu alte aspecte ale GDPR.
De exemplu, va poate ajuta sa realizati urmatoarele:
1. Elaborarea notelor/informarilor/politicilor dvs.privind confidentialitatea (privacy notice);
1. Raspunsul la solicitarile de acces;
2. Inventarierea/inregistrarea activitatilor dvs. de procesare;
3. Imbunatatirea guvernantei datelor;
4. Cresterea eficientei afacerii dumneavoastra .
Cine trebuie sa documenteze activitatile de prelucrare?
Operatorii si Procesatorii de date personale au fiecare o obligatie de documentare proprie. Daca aveti 250 sau mai multi angajati, trebuie sa documentati toate activitatile de procesare.
Obligatia documentarii activitatilor de procesare nu se aplica intreprinderii sau organizatiei care are mai putin de 250 de angajati, cu exceptia cazului in care:
1. prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile si liberatile persoanelor vizate;
2. prelucrarea nu este ocazionala
sau
3. prelucrarea include categorii speciale de date sau date referitoare la condamnari penale si infractiuni.
1. prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile si liberatile persoanelor vizate;
2. prelucrarea nu este ocazionala
sau
3. prelucrarea include categorii speciale de date sau date referitoare la condamnari penale si infractiuni.
Exemplu - procesare care nu este ocazionala
4. O companie de asigurari are 100 de angajati. Acesta proceseaza in mod regulat date cu caracter personal in contextul procesarii cererilor de despagubire, a v nzarilor si a resurselor umane. Desi compania are mai putin de 250 de angajati, trebuie sa documenteze aceste tipuri de activitati de prelucrare, deoarece acestea nu sunt ocazionale.
Exemplu - procesare care este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate
5. Aceeasi companie desfasoara mai multe activitati de profilare in baza de date a clientilor in scopul clasificarii acestora in functie de riscul de asigurare. Crearea de date deduse prin profilare poate fi intruziva si poate duce la riscuri pentru drepturile si libertatile persoanelor.
Exemplu - procesare care implica categorii speciale de date sau date referitoare la condamnari penale si infractiuni.
6. O companie aeriana desfasoara campanii de recrutare. Compania colecteaza , informatii privind sanatatea, date biometrice sau date referitoare la condamnari penale si infractiuni.
6. O companie aeriana desfasoara campanii de recrutare. Compania colecteaza , informatii privind sanatatea, date biometrice sau date referitoare la condamnari penale si infractiuni.
Ce ar trebui sa documentati in conformitate cu prevederile articolului 30 din GDPR?
Trebuie sa documentati urmatoarele informatii:
1. Numele si datele de contact ale organizatiei dvs. si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului, ale procesatorului, ale reprezentantului procesatorului si ale responsabilului cu protectia datelor;
2. Scopurile prelucrarii;
3. O descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
4. Categoriile de activitati de prelucrare desfasurate in numele fiecarui operator in cazul procesatorilor;
5. Categoriile de destinatari de date cu caracter personal;
6. Daca este cazul, detaliile privind transferurile dvs. catre tari terte, ori organizatii international, inclusiv documentarea garantiilor mecanismului de transfer;
7. Acolo unde este cazul, termenele-limita preconizate pentru stergerea diferitelor categorii de date;
8. Acolo unde este posibil, o descriere a masurilor de tehnice si organizatorice de securitate.
Ar trebui sa documentati si altceva?
Ca parte a evidentierii activitatilor de procesare, poate fi utila documentarea (sau crearea de linkuri pentru documentare) altor aspecte ale conformarii organizatiei dvs. cu cerintele GDPR. Aceasta documentare poate include:
7. baza legala pentru prelucrare;
8. interesele legitime pentru prelucrare si evaluarea acestora (LIA);
9. drepturile persoanelor fizice;
10. existenta unui proces decizional automatizat, inclusive crearea de profiluri;
11. sursa datelor cu caracter personal;
12. inregistrarile consimtamantului;
13. contractele dintre Operatori si Procesatori;
14. localizarea datelor cu caracter personal;
15. rapoartele de evaluare a impactului privind protectia datelor (DPIA);
16. inregistrari de incalcari ale datelor cu caracter personal;
17. inregistrari ale controalelor efectuate de autoritati;
18. inregistrari ale activitatilor de training;
19. prelucrarea datelor speciale cu caracter personal.
Ca parte a evidentierii activitatilor de procesare, poate fi utila documentarea (sau crearea de linkuri pentru documentare) altor aspecte ale conformarii organizatiei dvs. cu cerintele GDPR. Aceasta documentare poate include:
7. baza legala pentru prelucrare;
8. interesele legitime pentru prelucrare si evaluarea acestora (LIA);
9. drepturile persoanelor fizice;
10. existenta unui proces decizional automatizat, inclusive crearea de profiluri;
11. sursa datelor cu caracter personal;
12. inregistrarile consimtamantului;
13. contractele dintre Operatori si Procesatori;
14. localizarea datelor cu caracter personal;
15. rapoartele de evaluare a impactului privind protectia datelor (DPIA);
16. inregistrari de incalcari ale datelor cu caracter personal;
17. inregistrari ale controalelor efectuate de autoritati;
18. inregistrari ale activitatilor de training;
19. prelucrarea datelor speciale cu caracter personal.
Cum documentati activitatile dumneavoastra de prelucrare ?
1. Efectuarea unui audit de informare sau a unui exercitiu de cartografiere a datelor va poate ajuta sa aflati ce date personale se prelucreaza la nivelul organizatiei dvs. si localizarea acestora.
Este important ca oamenii din organizatia dvs. sa fie implicati in acest process. Acest lucru acest lucru va poate ajuta sa va asigurati ca nimic nu este ratat atunci c nd cartografiati datele pe care organizatia dvs. le proceseaza. Este la fel de important sa obtineti aprobarea managementului superior, astfel inc t exercitiul dvs. de documentare sa fie sustinut si sa beneficieze de resurse adecvate
2. Puteti afla scopurile prelucrarii, cum anume sunt prelucrate, de catre cine, cu cine sunt partajate si c t timp sunt pastrate prin intocmirea si distribuirea unor chestionare in zonele de activitate ale organizatiei unde se prelucreaza date cu caracter personal. Folositi intrebari clare (fara jargon) care vor necesita raspunsuri (asumate) din zonele de activitate, care necesita documentatie.
Este important ca oamenii din organizatia dvs. sa fie implicati in acest process. Acest lucru acest lucru va poate ajuta sa va asigurati ca nimic nu este ratat atunci c nd cartografiati datele pe care organizatia dvs. le proceseaza. Este la fel de important sa obtineti aprobarea managementului superior, astfel inc t exercitiul dvs. de documentare sa fie sustinut si sa beneficieze de resurse adecvate
2. Puteti afla scopurile prelucrarii, cum anume sunt prelucrate, de catre cine, cu cine sunt partajate si c t timp sunt pastrate prin intocmirea si distribuirea unor chestionare in zonele de activitate ale organizatiei unde se prelucreaza date cu caracter personal. Folositi intrebari clare (fara jargon) care vor necesita raspunsuri (asumate) din zonele de activitate, care necesita documentatie.
Exemplu de intrebari
1. Care este scopul prelucrarii datelor?
2. Care sunt categoriile de persoane vizate?
3. Ce tipuri de date cu character personal prelucrati ?
4. Cu cine partajati datele?
5. Care este perioada de pastrare a datelor?
6. Cum pastrati datele in siguranta?
1. Care este scopul prelucrarii datelor?
2. Care sunt categoriile de persoane vizate?
3. Ce tipuri de date cu character personal prelucrati ?
4. Cu cine partajati datele?
5. Care este perioada de pastrare a datelor?
6. Cum pastrati datele in siguranta?
3. Realizarea de intalniri si discutii cu functiile cheie ale companiei - acest lucru va va ajuta sa intelegeti mai bine modul in care anumite structuri ale organizatiei dvs. utilizeaza date prelucreaza date personale.
Exemplu de functii de business:
1. Personalul IT poate sa raspunda la intrebari legate de masurile tehnice de securitate.
2. Personalul de guvernare a informatiilor ar trebui sa poata oferi informatii despre perioadele de pastrare.
3. Personalul din zona de legal si compliance poate sa detina detalii cu privire la orice modalitati de partajare a datelor.
4. Identificarea, revizuirea politicilor, procedurilor, contractelor si acordurilor, precum si actualizarea in acest sens a evidentelor dvs de prelucrare.
Exemplu de documente
1. Politici de confidentialitate
2. Politici de protectie a datelor
3. Politici de pastrare a datelor
4. Politici de securitate a datelor
5. Proceduri de utilizare a sistemului informatic
6. Contracte incheiate cu Procesatorii de date
7. Acorduri de partajare datelor cu caracter personal
8. Realizarea efectiva a evidentei activitatilor de prelucrare.
Evidenta trebuie realizata in scris, inclusiv in format electronic, astfel inc t inregistrarile sa poata fi modificate, completate, eliminate cu usurinta, daca este necesar. Informatiile trebuie sa fie documentate intr-un mod granular si semnificativ. O lista generica de informatii care nu contin legaturi semnificative intre ele nu va indeplini cerintele de documentare ale GDPR.
Exemplu de evidenta care nu ar indeplini cerintele de documentare ale GDPR:
Categorii de date cu caracter personal:
Detalii de contact
Detalii financiare
Informatii despre stilul de viata
Locatie
Adresa IP...
Categorii de persoane vizate:
Potentiali angajati
Angajati;
Reprezentanti legali/conventionali, persoane de contact companii;
Clienti PF
Exemplu de evidenta care ar indeplini cerintele de documentare ale GDPR:
Functie Business/ Divizie | Categorii de persoane vizate | Tipuri de date | Scopurile procesarii |
HR | Potentiali angajati Angajati/fosti angajati | Datele din CV Datele din dosarul de personal Date financiare, etc. | Angajarea potentiala Administrare de personal / Salarizare; Monitorizare/supraveghere personal Efectuarea cercetarii disciplinare. |
MARKETING | Potentiali clienti-Reprezentanti/Imputerniciti/ Persoane de contact /Brokeri Clienti | Numele si prenumele, data si locul nasterii,stare civila, numarul de telefon, adresa, e-mail, profesie, loc de munca, etc. IDEM | Atragerea si mentinerea clientilor IDEM |
FINANCIAR | Debitori | Detalii de contact; Detalii financiare | Recuperarea creantelor |
1. Actualizarea evidentei activitatilor de prelucrare
2. Realizarea evidentei activitatilor dvs. de prelucrare nu este un exercitiu unic.
3. Ar trebui sa tratati evidenta activitatilor de prelucrare ca pe un document viu pe care il actualizati c nd este necesar.
4. Trebuie sa efectuati recenzii periodice ale informatiilor pe care le procesati pentru a va asigura ca documentarea dvs. ram ne corecta si actualizata.
2. Realizarea evidentei activitatilor dvs. de prelucrare nu este un exercitiu unic.
3. Ar trebui sa tratati evidenta activitatilor de prelucrare ca pe un document viu pe care il actualizati c nd este necesar.
4. Trebuie sa efectuati recenzii periodice ale informatiilor pe care le procesati pentru a va asigura ca documentarea dvs. ram ne corecta si actualizata.
LISTE DE VERIFICARE-CHECKLIST:
Documentarea activitatilor de prelucrare - cerinte
1. Daca sunteti un Operator de date personale documentati toate informatiile prevazute la articolul 30 alineatul (1) din GDPR;
2. Daca sunteti un Procesator de date personale, documentati toate informatiile prevazute la articolul 30 alineatul (2) din GDPR;
3. Documentati activitatile dvs. de prelucrare in scris, inclusiv in format electronic;
4. Documentti activitatile dvs. de prelucrare intr-un mod granular, cu legaturi semnificative intre diferite tipuri/categorii de informatii;
5. Realizati revizuiri periodice ale datelor personale pe care le procesati si actualizati documentatia in consecin a.
Documentarea activitatilor de prelucrare - cerinte
1. Daca sunteti un Operator de date personale documentati toate informatiile prevazute la articolul 30 alineatul (1) din GDPR;
2. Daca sunteti un Procesator de date personale, documentati toate informatiile prevazute la articolul 30 alineatul (2) din GDPR;
3. Documentati activitatile dvs. de prelucrare in scris, inclusiv in format electronic;
4. Documentti activitatile dvs. de prelucrare intr-un mod granular, cu legaturi semnificative intre diferite tipuri/categorii de informatii;
5. Realizati revizuiri periodice ale datelor personale pe care le procesati si actualizati documentatia in consecin a.
Documentarea activitatilor de prelucrare - cele mai bune practici
C nd va pregatiti sa documentati activitatile de procesare, dumneavoastra trebuie sa realizati urmatoarele:
1. Efectuati audituri de informare pentru a afla ce date personale detine compania dvs ;
2. Distribuiti chestionare si discutati cu personalul din cadrul companiei pentru a obtine o imagine completa,complexa a activitatilor dvs de prelucrare;
3. Revizuiti politicile, procedurile, contractele si acordurile dvs. pentru a aborda domenii precum
retentie, securitate si partajarea datelor.
Ca parte a inregistrarii activitatilor dvs. de prelucrare, documentati ori creati link-uri pentru documentare cu:
1. informatiile necesare referitoare la confidentialitate (privacy notices);
2. inregistrari ale consimtam ntului;
3. contractele dintre operatori si procesatori;
4. localizarea datelor cu caracter personal;
5. rapoarte de evaluare a impactului asupra protectiei datelor (DPIA); si
6. evidenta incalcarilor datelor cu caracter personal.
1. Documentati activitatile dvs. de prelucrare in scris, inclusiv in format electronic, astfel inc t sa puteti adauga, elimina si modifica cu usurinta, atunci cand este necesar.
1. informatiile necesare referitoare la confidentialitate (privacy notices);
2. inregistrari ale consimtam ntului;
3. contractele dintre operatori si procesatori;
4. localizarea datelor cu caracter personal;
5. rapoarte de evaluare a impactului asupra protectiei datelor (DPIA); si
6. evidenta incalcarilor datelor cu caracter personal.
1. Documentati activitatile dvs. de prelucrare in scris, inclusiv in format electronic, astfel inc t sa puteti adauga, elimina si modifica cu usurinta, atunci cand este necesar.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
30Iul2024
Evidenta fondului de rulment, din perspectiva GDPR
de Colectivul de Specialisti Rentrop&Straton
30 Iul 2024
30Mai2024
Consimtamantul salariatilor pentru utilizarea datelor cu caracter personal: cand este necesar?
de Colectivul de Specialisti Rentrop&Straton
30 Mai 2024
25Apr2024
Stergerea datelor fostilor angajati, si aplicabilitatea dreptului de a fi uitat
de Colectivul de Specialisti Rentrop&Straton
25 Apr 2024
28Feb2024
Monitorizarea angajatilor la locul de munca: Camerele de supraveghere ascunse sunt INTERZISE!
de Colectivul de Specialisti Rentrop&Straton
28 Feb 2024
28Feb2024
Siguranta datelor clientilor, din perspectiva GDPR
de Colectivul de Specialisti Rentrop&Straton
28 Feb 2024