Importanta registrului de evidentă a prelucrărilor datelor

Article Importanta registrului de evidentă a prelucrărilor datelor cu caracter personal | Decalex

Ce este registrul de evidență a prelucrării datelor personale?

Regulamentul general privind protecția datelor (Regulamentul UE nr. 679/2016) obligă companiile (operatorii de date personale și persoanele împuternicite de aceștia) să păstreze o evidență a prelucrării datelor cu caracter personal. Această inventariere poate fi ținută în format fizic sau digital și cuprinde toate operațiunile de prelucrare a datelor cu caracter personal realizate de către o organizație. Un aspect important ce trebuie avut în vedere este acela că registrul de evidență a prelucrărilor datelor personale face parte din documentația ce trebuie pusă la dispoziția autorității de supraveghere și adesea, este printre primele documente solicitate de aceasta, în cazul unui control.

 

Ce companii au obligația să aibă registrul de evidență a prelucrării de date?

Potrivit art. 30 din Regulamentul general privind protecția datelor, întocmirea unui registru de evidență a prelucrărilor de date cu caracter personal este, în principiu, în sarcina organizațiilor cu cel puțin 250 de angajați. Cu toate acestea sunt prevăzute și alte cazuri în care această evidență este obligatorie, ajungându-se la situația practică în care aproape toate organizațiile trebuie să păstreze o evidență a prelucrărilor.

Astfel, chiar dacă organizația are mai puțin de 250 de angajați, întocmirea registrului este obligatorie dacă prelucrarea efectuată este susceptibilă de a genera un risc pentru drepturile persoanelor vizate (de exemplu utilizarea CCTV-urilor, GPS-ului pe masini). Având în vedere că multe prelucrări de date pot, teoretic, genera un risc cu privire la drepturilor persoanelor vizate, această prevedere lărgește considerabil sfera organizațiilor care trebuie să păstreze evidența prelucrărilor.

De asemenea, întocmirea registrului este obligatorie în cazul în care prelucrarea datelor nu este ocazională. În practică, în majoritatea cazurilor, prelucrarea nu este ocazională dacă avem în vedere că o companie prelucrează în mod obișnuit datele angajaților săi sau ale clienților săi.

Există obligația întocmirii și păstrării unui registru de prelucrare a datelor și atunci când prelucrarea include categorii speciale de date, precum cele care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice sau apartenența la sindicate, prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei personae fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală a unei personae fizice, precum și atunci când sunt prelucrate date cu caracter personal referitoare la condamnări. (Un exemplu relevant aici sunt detaliile despre starea de sanatate pe care angajatul trebuie sa le depuna la dosarul de personal aflat la angajator).

Tragem concluzia ca toate companiile care au angajați sunt obligate sa aiba registrul de evidenta.

 

Ce informații trebuie să conțină registrul de evidență a prelucrării datelor?

Regulamentul nu ne furnizează un model standard pentru registrul de evidență a prelucrărilor datelor personale, însă prevede informațiile care trebuie să se regăsească în mod obligatoriu în acesta. Astfel, registrul de evidență trebuie să conțină următoarele elemente:

1.      Numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor.

2.      Scopurile prelucrării datelor, adică activitățile desfășurate în cadrul organizației, care presupun prelucrarea date cu caracter personal. Acestea pot fi: administrarea de personal, marketing sau prospectarea potențialilor clienți, încheierea contractelor cu furnizori sau clienți etc.

3.      Descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal prelucrate. Printre persoanele vizate se pot regăsi angajații companiei (ale căror date personale se regăsesc în dosarele de personal), clienții (despre care se cunosc datele de contact și istoricul cumpărăturilor) sau alți colaboratori ai operatorului.

4.      Categoriile de destinatari, adică persoanele cărora le-au fost sau le vor fi divulgate datele cu caracter personal. Destinatarii pot fi prevăzuți de lege, în această categoriei intrând autorități publice cum ar fi ITM, ANAF sau alte organisme care supervizează activitatea unui operator. Alți destinatari pot fi colaboratori ai organizației sau persoane din interiorul organizației.

5.      Dacă au loc transferuri de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale.

6.      Termenele-limită preconizate pentru ștergerea diferitelor categorii de date. Menționăm că Regulamentul nu prevede perioadele pentru care trebuie stocate datele, aceste perioade trebuie stabilite de operator. Menționăm că în preambulul Regulamentului se prevede că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Pentru stabilirea termenelor-limită de păstrare a datelor, ar trebui identificate mai întâi termenele prevăzute de legea națională cu privire la arhivarea documentelor. Spre exemplu, Legea contabilității nr. 82/1991 stabilește la art. 25 că registrele de contabilitate obligatorii şi documentele justificative care stau la baza înregistrărilor în contabilitatea financiară se păstrează timp de 10 ani, cu începere de la data încheierii exerciţiului financiar în cursul căruia au fost întocmite, cu excepţia statelor de salarii, care se păstrează timp de 50 de ani.

7.      O descriere generală a măsurilor tehnice și organizatorice de securitate. Aceste măsuri pot fi: pseudonimizarea și criptarea datelor, asigurarea accesului în clădire/birou/camere/dulapuri doar pentru persoanele care au dreptul să fie acolo, protejarea în fața atacurilor cibernetice prin folosirea de programe antivirus, protejarea rețelei intranet prin folosirea unui sistem firewall, permiterea accesului la date numai prin folosirea unei parole care va fi schimbată la anumite intervale de timp etc.

Instruirea personalului este utilă pentru a crește gradul de conștientizare a angajaților cu privire la situațiile ce ar putea reprezenta un risc cu privire la protecția datelor.

8.      În cazul în care operatorul are împuterniciți, datele acestor persoane ar trebui să figureze în registru.

Obligația întocmirii registrului aparține și persoanelor împuternicite de operator, care trebuie să prevadă în registru următoarele informații:

-        numele și datele de contact ale tuturor operatorilor în numele cărora prelucrează date cu caracter personal, precum și ale reprezentantului operatorului,

-          categoriile de activități de prelucrare desfășurate în numele fiecărui operator,

-          transferurile către o țară terță sau o organizație internațională și

-          măsurile tehnice și organizatorice de securitate luate pentru protejarea datelor.

 

Pași pentru întocmirea registrului de evidență a prelucrărilor

Pentru elaborarea registrului de evidență a prelucrărilor trebuie să identificăm activitățile în cadrul cărora sunt colectate date cu caracter personal. Pentru început, putem stabili punctele de intrare a datelor cu caracter personal în organizație – adică momentul și canalele prin care organizația intră în posesia datelor cu caracter personal. 

Prin analizarea fluxurilor de date din interiorul organizației vor fi identificate departamentele care gestionează date personale și modalitatea de stocare a acestora. De exemplu, în cadrul proceselor de recrutare de personal, datele candidaților vor intra în posesia companiei prin departamentul de resurse umane. Ulterior, aceste date pot ajunge și la departamentul în care se va angaja candidatul, la departamentul financiar care va face plățile și eventualele rețineri din salariu și la departamentul IT care va gestiona adresa de e-mail și alte aplicații puse la dispoziția angajatului. 

Urmărirea fluxurilor de date va ajuta operatorul în identificarea eventualelor riscuri ce pot apărea în gestionarea datelor și în elaborarea unor proceduri interne de gestionare a prelucrării datelor. Astfel, pot fi luate măsurile tehnice și organizatorice necesare și adecvate pentru protecția datelor cu caracter personal.

 

Concluzii

Registrul de evidență a prelucrărilor datelor personale nu ar trebui să fie privit ca încă o obligație împovărătoare pentru organizații, ci ca un instrument de un real folos pentru conștientizarea modului în care organizația prelucrează date personale.

Registrul de evidență este util în obținerea unei imagini de ansamblu asupra activităților care implică prelucrări de date personale și asupra necesității reale a colectării acestor date având în vedere principiul “reducerii la minimum a datelor”, prevăzut de Regulament.

Evidența prelucrărilor datelor va ajuta organizația să identifice posibilele riscuri la adresa drepturilor persoanelor vizate și măsurile ce ar trebui implementate pentru asigurarea protecției acestora. De asemenea, acest document va fi folositor și în procesul întocmirii unui răspuns la solicitărilor de acces formulate de persoanelor vizate întrucât va facilita identificarea datelor în cadrul diferitelor departamente. 

Prin urmare, o inventariere a prelucrărilor de date va ajuta organizația în procesul de  conformare la prevederile Regulamentului și este important ca acest document să fie actualizat continuu pentru a se asigura relevanța și corectitudinea lui.

 

Pentru mai multe informații despre implementarea GDPR, ne puteți scrie la office@decalex.ro.

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE