UPDATE: Din mai 2018, firmele trebuie să țină o evidență a prelucrărilor de date personale

Păstrarea unei evidențe a prelucrărilor de date personale este o obligație ce va viza marile firme, indiferent că sunt publice sau private, începând din data de 25 mai 2018, se arată în Regulamentul general privind protecția datelor (GDPR). Mai exact, este vorba de societățile cu minimum 250 de angajați, dar pot fi obligate să aplice regula și firmele mai mici, dacă prelucrările sunt de date mai sensibile.

„Obligațiile menționate (...) nu se aplică unei întreprinderi sau organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date (...) sau date cu caracter personal referitoare la condamnări penale și infracțiuni (...)”, scrie în actul normativ.

În continuare poți citi despre:

• ce fel de informații vor figura în evidență;
• ce pași trebuie urmați în avans pentru ca evidența să fie completă și exactă;
• informațiile esențiale de care să țină cont orice firmă atunci când prelucrează date personale.

Concret, vorbim de o evidență a informațiilor precum scopurile prelucrării, o descriere a categoriilor de persoane vizate și a categoriilor de date personale, categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele personale sau chiar termenele-limită preconizate pentru ștergerea diferitelor categorii de date. Evidențele trebuie întocmite în scris, iar acestea pot fi inclusiv în format electronic.

Conform unui ghid al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, pentru ca evidența prelucrărilor să fie completă și exactă, trebuie identificate în avans:

• diferitele prelucrări de date cu caracter personal;
• categoriile de date cu caracter personal prelucrate;
• scopurile urmărite prin operațiunile de prelucrare a datelor;
• persoanele care prelucrează aceste date;
• fluxurile de date, indicând originea și destinația datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene.

În același document, autoritățile aduc în prim-plan un set de șase întrebări esențiale pe care orice operator de date personale ar trebui să și le pună în cazul fiecărei prelucrări. Concret, trebuie avute în vedere următoarele aspecte:

1. CINE? Se înscriu în evidență numele și coordonatele companiei (și ale reprezentantului său legal) și, dacă este cazul, ale responsabilului cu protecția datelor. Totodată, se întocmește lista persoanelor împuternicite, acolo unde se impune.
2. CE? Se identifică categoriile de date personale prelucrate. Se identifică datele sensibile.
3. DE CE? Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele personale (de exemplu, gestionarea relației comerciale, managementul resurselor umane, videosupraveghere etc.).
4. UNDE? Se stabilește locul sistemului de evidență și, dacă e cazul, destinatarii datelor (adică la cine ajung datele personale). Se stabilesc statele către care sunt transferate datele, acolo unde este cazul.
5. PÂNĂ CÂND? Se precizează, pentru fiecare categorie de date persoane, perioada în care sunt păstrate.
6. CUM? Se precizează măsurile de securitate implementate pentru a reduce pe cât posibil riscurile de acces neautorizat la datele personale și impactul asupra vieții private a persoanelor vizate.

În altă ordine de idei, una dintre noutățile aduse de GDPR este obligația firmelor ce se ocupă în principal de prelucrarea datelor personale de a-și desemna un reponsabil cu protecția acestor date. Informații suplimentare despre acest subiect sunt aici.

Important! Entitățile publice și companiile care vor încălca obligația de a ține o evidență a prelucrărilor de date personale vor risca amenzi de până la zece milioane de euro sau de până la 2% din cifra de afaceri mondială totală anuală.