Reminder: Pregătirea angajatorilor pentru GDPR, pasul șase: Întocmește o evidență a prelucrărilor de date personale

Articol scris de Adriana Radu, partener și coordonator al practicii de dreptul muncii și protecția datelor cu caracter personal la Schoenherr și Asociații.

Angajatorii care au mai mult de 250 de salariați trebuie să întocmească și să păstreze o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor, ce va cuprinde, printre altele, toate elementele esențiale ce vor permite autorității de supraveghere să identifice și să verifice activitățile de prelucrare ale operatorului (de exemplu, categoriile de date prelucrate, categoriile de persoane vizate, scopurile prelucrării, durata estimată a prelucrării, măsurile de securitate adoptate, eventuale transferuri de date etc.).

Elementele specifice punctuale ce trebuie cuprinse în această evidență sunt detaliate în articolul 30 din GDPR. Evidența se ține în scris, inclusiv în format electronic.

La ce folosesc aceste evidențe? Ele sunt utile angajatorului pentru că sunt ca o hartă ce îi permite acestuia să știe în orice moment ce activități de prelucrare desfășoară, precum și sumarul detaliilor relevante din jurul acestor prelucrări.

Pe de altă parte, în cadrul unui control, autoritatea de supraveghere va analiza această evidență în ansamblul ei, fiind probabil să solicite ulterior informații suplimentare cu privire la aspectele potențial problematice sau sensibile.

Spre exemplu, dacă autoritatea va observa că angajatorul procesează categorii speciale de date, cum ar fi concentrația de alcool din sânge prin utilizarea de etiloteste, e foarte probabil ca autoritatea să fie mai degrabă interesată de detalii cu privire la această procesare, decât despre procesarea contului bancar pentru plata salariului.

E important de reținut că inclusiv operatorii care au sub 250 de salariați trebuie să țină această evidență, dacă prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate, prelucrarea nu este ocazională sau include categorii speciale de date sau date referitoare la condamnări penale și infracțiuni.

Consultă aici pașii anteriori de pregătire pentru GDPR.

Nota redacției: Acest articol face parte dintr-o serie referitoare la pregătirea angajatorilor pentru aplicarea GDPR, desfășurată de avocatnet.ro împreună cu Schoenherr și Asociații. Toate articolele din serie pot fi găsite aici.