Pentru firmele care prelucrează date personale a intrat în vigoare, la 25 mai, o obligație referitoare la ținerea unei evidențe a prelucrărilor de date (sau, altfel numit, un registru al prelucrărilor).
În general, când firmelor li se cere un anumit tip de document, se furnizează și un model. GDPR-ul nu a adus un astfel de model, dar prevede câteva indicii privind forma sa și elementele ce trebuie menționate în acest registru. În mod ideal, autoritatea română de protecția datelor ar fi putut să propună un model de registru, cum au făcut-o autoritățile din alte state europene, dar acest lucru nu s-a întâmplat.
Previzibil, registrul trebuie să îmbrace forma scrisă, putând fi unul fizic sau electronic. Alin Popescu, avocat specializat în implementarea GDPR, ne explică și de ce acest registru trebuie să fie scris și la ce ne folosește cuprinsul lui: "În primul rând, pentru că, atunci când s-ar pune problema unui control al Autorității de Supraveghere, acel registru va fi printre primele documente pe care va trebui să le prezentăm Autorității. Apoi, pentru că e util să existe, undeva, o hartă a operațiunilor de prelucrare pe care le realizează organizația. Oamenii vin și pleacă, procesele de prelucrare vor rămâne, astfel că harta despre care vorbim ar putea fi unul dintre puținele instrumente de gestionare transferului de cunoștinte în interiorul organizației".
Obligatoriu, în registrul ținut de un operator de date, trebuie să se regăsească înscrise următoarele chestiuni, potrivit regulamentului european:
- numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
- scopurile prelucrării;
- o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională;
- acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate implementate.
Pe lângă acestea, mai pot fi trecute și alte aspecte, după cum consideră operatorul de date. De exemplu, ar fi util de trecut și temeiul prelucrării.
Dar registrul ce trebuie ținut de împuternicitul operatorului trebuie să conțină obligatoriu de două ori mai puține lucruri:
- numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană;
- categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională.
Notă: Câteva modele de registre sunt atașate acestui material. Ele au fost propuse de autoritățile de supraveghere din alte state europene și pot fi adaptate ș folosite și de firmele din România.
De ce contează mai puțin forma sa, ci conținutul
"E important de reținut un fapt util: nu există modele și nici arhitecturi recomandate ale acestor tipuri de registre, există doar ideea centrală, pe care se bazează (conținutul impus de GDPR) și utilitatea pe care fiecare încearcă să o definească pentru registrul în cauză", mai spune Alin Popescu.
Registrul poate fi făcut ca un document Excel, poate fi un simplu document Word sau poate îmbrăca orice altă formă. Atâta vreme cât conține elementele importante, cerute de GDPR, el poate îmbrăca forma cu care utilizatorul (cel care lucrează constant în el) se simte cel mai confortabil. Unele firme își vor dezvolta aplicații proprii care să deservească acestui scop, iar asta nu va fi contrar celor prevăzute de regulamentul european, atâta vreme cât registrul din aplicație conține tot ce este cerut în actul normativ.