Deși auzim des expresia ”eu nu prelucrez date cu caracter personal”, de cele mai multe ori se dovedește ca aceasta să fie eronată. Zi de zi profesioniștii prelucrează date în activitatea lor și mulți nu conștientizează cât de multe sunt în realitate.

Întrucât datele concurează strâns cu petrolul pentru titlul de ”cea mai valoroasă resursă”, operatorii ar trebui să fie conștienți de cantitatea și calitatea datelor pe care le prelucrează.

Cine trebuie să țină evidența activităților de prelucrare?

RGPD prevede la art. 30 obligația anumitor operatori de a ține evidența activităților de prelucrare aflate în responsabilitatea lor. Cerința nu este obligatorie pentru operatorii cu mai puțin de 250 angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Așadar, simplul fapt că prelucrarea efectuată nu este ocazională obligă operatorii să țină evidența, deși aceștia au mai puțin de 250 angajați. De cele mai multe ori prelucrările de date nu sunt ocazionale, mai ales dacă există și angajați ale căror date sunt prelucrate constant în exercitarea relațiilor de serviciu și a contractului de muncă.

Totodată, dacă prelucrarea poate genera un risc, nu neapărat un risc ridicat, ea trebuie documentată într-un registru. De exemplu, prelucrarea datelor clienților persoane fizice prin intermediul unui terț (prestator de servicii) poate prezenta un risc, întrucât transferul datelor în sine este riscant.

Prin urmare, operatorii cu mai puțin de 250 angajați trebuie să își analizeze atent activitățile și să le identifice pe cele care presupun prelucrări de date ce sunt susceptibile  să genereze un risc pentru drepturile și libertățile persoanelor vizate, care nu sunt ocazionale sau care includ categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Ce este Registrul de cartografiere a datelor

Activitățile de prelucrare menționate anterior trebuie evidențiate într-un registru, denumit în general ”Registru de cartografiere”.

Acesta va cuprinde informațiile prevăzute la art. 30 alin. 1 din RGPD, printre care enumerăm: datele de contact ale operatorului, categoriile de date prelucrate, categoriile de persoane vizate, scopurile prelucrării etc.

Registrul trebuie revizuit și actualizat periodic, iar fiecare nouă activitate de prelucrare va trebui documentată în acesta.

Cum arată un Registru de cartografiere

Pentru a veni în ajutorul operatorilor, am pregătit un model de registru de cartografiere ce cuprinde informațiile minime necesare conform RGPD, pe care îl puteți găsi aici: registru de cartografiere Start Lawyers.

Pentru mai multe informații, nu ezitați să ne contactați aici.