GDPR: În principiu, firmele trebuie să țină o evidență a prelucrărilor de date chiar dacă au sub 250 de salariați

Obligația firmei de a ține o evidență a prelucrărilor de date pe care le face este prevăzută de GDPR, act normativ care se aplică, începând din 25 mai 2018, tuturor statelor membre ale Uniunii Europene, adică inclusiv României.

Chiar dacă obligația este impusă companiilor care au de la 250 de angajați în sus, excepțiile impuse de GDPR fac ca aceasta să se aplice și firmelor care au doar câțiva salariați. Practic, ca să scape de evidența prelucrărilor, o firmă ar trebui să-și desfășoare afacerile fără a prelucra date personale, ceea ce este destul de greu de realizat.

Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre:

• de ce nu contează, de fapt, limita de 250 de salariați impusă de GDPR pentru a ține evidența prelucrărilor;
• ce trebuie să conțină evidența prelucrărilor de date personale;
• în ce format trebuie ținută evidența prelucrărilor de date.

„Fiecare operator (adică, în esență, compania - n. red.) și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor. (...) Fiecare operator și, după caz, persoana împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului (...)”, este precizat în GDPR.

Ținerea evidenței nu se aplică dacă o firmă are mai puțin de 250 de angajați, scrie în regulament. Însă lucrurile sunt mai complicate, pentru că o firmă scapă efectiv de evidență doar dacă:

• prelucrările de date personale nu pot genera riscuri pentru drepturile și libertățile persoanelor fizice sau
• prelucrările sunt pur ocazionale sau
• prelucrările nu includ date sensibile (originea rasială/etnică, confesiunea religioasă, date genetice, date biometrice sau date de sănătate, printre altele).

Desfășurarea unei afaceri implică, în majoritatea cazurilor, cel puțin prelucrarea datelor personale ale clienților și ale salariaților proprii.

Aceste prelucrări nu pot fi considerate nici pe departe ocazionale, plus că sunt șanse mari să conțină unele date sensibile (de exemplu, date medicale incluse în certificatul necesar la angajare care atestă că o persoană este aptă de muncă, date medicale referitoare la concediile medicale cerute de salariați sau date religioase necesare pentru acordarea liberelor legale).

Prin urmare, foarte puține firme scapă, în realitate, de obligația ținerii evidenței prelucrărilor de date, această idee fiind confirmată de Alin Popescu, avocat cu o experiență consistentă în domeniul protecției datelor și în pregătirea afacerilor pentru implementarea GDPR.

Cu alte cuvinte, pentru ca o societate să fie sigură că scapă de obligație, ar trebui ca aceasta să n-aibă salariați și să nu prelucreze în niciun fel datele personale ale clienților.

Ce informații trebuie să figureze în evidența prelucrărilor

Așa cum scriam mai sus, GDPR prevede că fiecare companie care prelucrează date personale trebuie să păstreze o evidență a activităților de prelucrare desfășurate sub responsabilitatea ei. Această evidență trebuie să conțină, mai exact:

• numele și datele de contact ale operatorului (adică ale firmei) și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
• scopurile prelucrării;
• o descriere a categoriilor de persoane vizate și a categoriilor de date personale;
• categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele personale, inclusiv destinatarii din țări terțe sau organizații internaționale;
• dacă este cazul, transferurile de date personale către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective;
• acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
• acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate implementate pentru protejarea datelor personale.

De asemenea, regulamentul general mai prevede că „fiecare operator și, după caz, persoana împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului”. În acest caz, evidența trebuie să conțină:

• numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
• categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
• dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective;
• acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate implementate pentru protejarea datelor personale.

Concret, prima evidență vizează activitățile de prelucrare desfășurate de firmă, iar a doua evidență este pentru situația în care aceasta împuternicește, de exemplu, o altă companie să facă prelucrări de date în numele ei.

Evidențele trebuie întocmite în scris, conform prevederilor GDPR, inclusiv în format electronic. Cu alte cuvinte, companiile trebuie să le păstreze atât în format tipărit, cât și în format electronic. În plus, la cerere, acestea trebuie puse la dispoziția reprezentanților Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

GDPR reprezintă de-acum cadrul legal european unic în materie de prelucrare a datelor personale. Astfel, toate firmele care prelucrează date personale trebuie să respecte prevederile GDPR.