Evidenta prelucrarilor de date cu caracter personal
Evidenta activitatilor de prelucrare este prima procedura care trebuie adoptata, indiferent de profilul de activitate al operatorului sau natura datelor cu caracter personal si scopul prelucrarii acestora. In oricare dintre situatii exista obligatia de a furniza politici de confidentialitate complete, clare si transparente.
Este necesar asadar, ca operatorii sa documenteze ce informatii in legatura cu datele personale exista, de unde vin si cui sunt distribuite. Este poate nevoie sa fie organizat un audit in organizatie sau in anumite zone de business.
Una dintre cerintele GDPR este mentinerea de inregistrari ale activitatilor de prelucrare de date, de exemplu, daca exista cumva date personale inexacte si acestea au fost distribuite unei alte organizatii, va fi nevoie sa fie comunicata aceasta situatie organizatiei respective, pentru ca aceasta sa isi corecteze informatia.
Acest lucru nu va fi posibil daca operatorul nu stie ce fel de informatii detine, de cand le are si catre cine au fost distribuite.
Toate aceste informatii trebuie documentate astfel incat sa se poata dovedi conformitatea cu cerintele din noul regulament tinand cont de principiul responsabilitatii, de exemplu prin crearea de politici si proceduri, evidenta prelucrarilor de cate cu caracter personal fiind cea mai elementara procedura interna.
Toti operatorii din sistemul public, persoanele imputernicite de operator, precum si operatorii din sistemul privat cu peste 250 de angajati, au obligatia cartografierii prelucrarilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protectia Datelor.
In acest sens, pentru a evalua in mod eficient impactul RGPD asupra activitatii entitatii, este necesara identificarea prelucrarilor de date cu caracter personal efectuate si pastrarea evidentei activitatilor de prelucrare.
Pentru a avea o evidenta completa si exacta a prelucrarilor de date cu caracter personal efectuate si pentru a raspunde noilor exigente impuse de Regulament, trebuie identificate, in prealabil, cu precizie:
- diferitele prelucrari de date cu caracter personal;
- categoriile de date cu caracter personal prelucrate;
- scopurile urmarite prin operatiunile de prelucrare a datelor;
- persoanele care prelucreaza aceste date;
- fluxurile de date, indicand originea si destinatia datelor, in special pentru a identifica eventualele transferuri de date in afara Uniunii Europene.
Evidenta pastrata de operator si, dupa caz, reprezentantul acestuia, va cuprinde:
a) numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor;
b) scopurile prelucrarii;
c) o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
d) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;
e) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, in cazul transferurilor mentionate la articolul 49 alineatul (1) al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate;
f) acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date;
g) acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate.
Este necesar asadar, ca operatorii sa documenteze ce informatii in legatura cu datele personale exista, de unde vin si cui sunt distribuite. Este poate nevoie sa fie organizat un audit in organizatie sau in anumite zone de business.
Una dintre cerintele GDPR este mentinerea de inregistrari ale activitatilor de prelucrare de date, de exemplu, daca exista cumva date personale inexacte si acestea au fost distribuite unei alte organizatii, va fi nevoie sa fie comunicata aceasta situatie organizatiei respective, pentru ca aceasta sa isi corecteze informatia.
Acest lucru nu va fi posibil daca operatorul nu stie ce fel de informatii detine, de cand le are si catre cine au fost distribuite.
Toate aceste informatii trebuie documentate astfel incat sa se poata dovedi conformitatea cu cerintele din noul regulament tinand cont de principiul responsabilitatii, de exemplu prin crearea de politici si proceduri, evidenta prelucrarilor de cate cu caracter personal fiind cea mai elementara procedura interna.
Toti operatorii din sistemul public, persoanele imputernicite de operator, precum si operatorii din sistemul privat cu peste 250 de angajati, au obligatia cartografierii prelucrarilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protectia Datelor.
In acest sens, pentru a evalua in mod eficient impactul RGPD asupra activitatii entitatii, este necesara identificarea prelucrarilor de date cu caracter personal efectuate si pastrarea evidentei activitatilor de prelucrare.
Pentru a avea o evidenta completa si exacta a prelucrarilor de date cu caracter personal efectuate si pentru a raspunde noilor exigente impuse de Regulament, trebuie identificate, in prealabil, cu precizie:
- diferitele prelucrari de date cu caracter personal;
- categoriile de date cu caracter personal prelucrate;
- scopurile urmarite prin operatiunile de prelucrare a datelor;
- persoanele care prelucreaza aceste date;
- fluxurile de date, indicand originea si destinatia datelor, in special pentru a identifica eventualele transferuri de date in afara Uniunii Europene.
Evidenta pastrata de operator si, dupa caz, reprezentantul acestuia, va cuprinde:
a) numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor;
b) scopurile prelucrarii;
c) o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
d) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;
e) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, in cazul transferurilor mentionate la articolul 49 alineatul (1) al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate;
f) acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date;
g) acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
30Iul2024
Evidenta fondului de rulment, din perspectiva GDPR
de Colectivul de Specialisti Rentrop&Straton
30 Iul 2024
30Mai2024
Consimtamantul salariatilor pentru utilizarea datelor cu caracter personal: cand este necesar?
de Colectivul de Specialisti Rentrop&Straton
30 Mai 2024
25Apr2024
Stergerea datelor fostilor angajati, si aplicabilitatea dreptului de a fi uitat
de Colectivul de Specialisti Rentrop&Straton
25 Apr 2024
28Feb2024
Siguranta datelor clientilor, din perspectiva GDPR
de Colectivul de Specialisti Rentrop&Straton
28 Feb 2024