cereri, informarea, notificarea

RGPD și notificarea activităților de prelucrare

Mai este sau nu necesară notificarea activităților de prelucrare a datelor la autoritățile locale de protecție a datelor?

Deși această problemă nu ar fi trebuit să existe, am auzit destul de multe opinii conform cărora după intrarea în vigoare a RGPD va continua să existe obligația de notificare a prelucrării datelor cu caracter personal de către operatori.

Este de notorietate faptul că unul dintre avantajele aduse de RGPD este eliminarea procedurii de notificare a activităților de prelucrare a datelor la autoritățile locale de supraveghere.

Cu toate acestea, așa cum arătam mai sus, în cadrul unor conferințe având ca temă aplicarea RGPD s-a afirmat că notificarea autorității nu este eliminată. Am auzit păreri și mai uimitoare cum ar fi aceea că această notificare ar fi cu atât mai necesară cu cât se prevede clar în RGPD obligația de a notifica autoritatea în anumite cazuri, cum ar fi notificarea în caz de încălcare a securității datelor.

Obligația de notificare în considerentele RGPD.

În cuprinsul considerentelor 89 și 90 din RGPD se propune abrogarea obligației generale de notificare și înlocuirea acesteia cu proceduri și mecanisme eficace care să pună accentul pe acele tipuri de operațiuni de prelucrare susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Prin urmare, se arată că ar fi mai bine ca operatorul să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor. Această evaluare ar trebui să includă, în special, măsurile, garanțiile și mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu RGPD.

Înlocuirea obligației de notificare cu evaluarea de impact și păstrarea evidenței interne.

Prevederile de mai sus au fost concretizate în RGPD la art. 35 unde se menționează în mod expres faptul că mai înainte de prelucrare este nevoie să se facă o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. De asemenea, eliminarea notificării a dus la reglementarea obligației operatorului de a păstra o evidență a activităților de prelucrare desfășurate sub responsabilitatea acestuia, obligație prevăzută de art. 30 din RGPD.

Având în vedere prevederile invocate, putem concluziona că notificarea activităților de prelucrare a datelor personale la autoritățile locale din domeniu  nu mai este necesară după intrarea în vigoare a RGPD.