Prelucrarea datelor cu caracter personal impune multe obligatii companiilor, iar una dintre cele mai importante reguli cand vine vorba de GDPR este sa tina evidenta activitatilor de prelucrare a datelor. Din punct de vedere legal, obligativitatea de-a realiza si a pastra evidenta activitatii de prelucrare a datelor personale este stipulata in articolul 30 din Regulamentul GDPR. Practic, evidenta sta la baza implementarii GDPR in companii, fiind dovada ca o organizatie si-a asumat responsabilitatea de a proteja datele prelucrate, ale clientilor si angajatilor. 

Ce cuprinde evidenta activitatilor de prelucrare

Aceasta activitate cuprinde informatii ca:

• numele si datele de contact ale operatorului si ale responsabilului cu protectia datelor
• scopurile prelucrarii
• categoriile de date prelucrate
• categoriile de persoane vizate
• masurile tehnice si organizatorice luate pentru securitatea datelor personale
• organizatiile si persoanele carora le-au fost sau le vor fi divulgate datele personale prelucrate, inclusiv organizatii din afara Uniunii Europene 
• termenele pentru stergerea diferitelor categorii de date personale, adica cat timp datele prelucrate vor fi pastrate de compania ta

De asemenea, evidenta prelucrarii datelor personale trebuie pastrata si de fiecare persoana imputernicita de catre operator.

Nu exista un model standard pentru tinerea evidentei activitatilor de prelucrare a datelor, prin urmare fiecare companie va decide cum va respecta aceasta obligatie. Insa, in lege este mentionat faptul ca atat operatorul, cat si persoana imputernicita de catre acesta trebuie sa tina in scris evidentele facute, care cuprind datele mentionate mai sus. 

Cui se aplica aceasta obligatie

Chiar daca este o masura obligatorie in Regulamentul GDPR, pastrarea unei evidente a modului in care sunt prelucrate datele personale este valabila numai pentru companiile cu peste 250 de angajati, care activeaza in Uniunea Europeana si / sau prelucreaz? datele utlilizatorilor europeni. Totusi, exista exceptii si in acest caz. Prin urmare, evidenta devine obligatorie daca:

• prelucrarea datelor presupune riscuri pentru drepturile si libertatile persoanelor vizate 
• prelucrarea datelor nu este ocazionala 
• prelucrarea datelor include referiri la condamnari penale si infractiuni

Important de retinut este faptul ca sucursalele nu trebuie sa tina evidenta activitatilor de prelucrare a datelor, avand in vedere ca nu au personalitate juridica proprie. 

Cum te ajuta evidenta prelucrarii datelor

Realizarea si pastrarea unei evidente a modului in care sunt prelucrate datele sunt o modalitate de a-ti ajuta compania in demersul pentru respectarea Regulamentului GDPR. Practic, datorita acestei evidentei stii ce norme de protectie a datelor respecti sau nu si te ajuta sa intreprinzi actiunile necesare pentru a fi in legalitate.

Totodata, evidenta respectiva va putea fi folosita de catre responsabilul cu protectia datelor personale, fie intern, fie extern, pentru a-si indeplini cu succes atributiile in favoarea companiei tale.  

Care sunt sanctiunile pe care le risca o companie

Evidenta actiunilor de prelucrare a datelor va fi transmisa Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), atunci cand este solicitata de institutie. In cazul in care aceasta evidenta nu este realizata sau nu este realizata conform legii, o companie poate risca amenzi. 
 

Pentru a evita asemenea situatii si pentru a te asigura ca nu este nimic omis in implementarea GDPR, este indicat sa apelezi la specialisti care pot realiza auditul GDPR in firma ta. Printr-un audit facut de o firma specializata este analizat nivelul de securitate a datelor personale, masura care trebuie descrisa in realizarea evidentei si, totodata, sunt implementate masurile necesare pentru conformarea la regulile UE.