În activitatea de prelucrare a datelor cu caracter personal, operatorul și persoana împuternicită de operator are obligația de a adopta măsuri tehnice și organizatorice adecvate pentru a garanta că prelucrarea se efectuează conform prevederilor Regulamentului GDPR.

În vederea respectării acestei obligații, operatorul sau, după caz, persoana împuternicită de operator, care înregistrează peste 250 de angajați, are responsabilitatea de a întocmi o evidență scrisă (atât în format fizic, cât și în formal electronic) a activităților de prelucrare a datelor desfășurate sub responsabilitatea lor.

Evidența activităților de prelucrare a datelor trebuie să cuprindă următoarele informații:

  • numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
  • scopurile prelucrării;
  • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal prelucrate;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal;
  • dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională;
  • acolo unde este posibil, termenele limită preconizate pentru ștergerea diferitelor categorii de date;
  • o descriere generală a măsurilor tehnice și organizatorice de securitate adoptate.

Atenție! Prin excepție, este obligat să întocmească evidența activităților de prelucrare a datelor cu caracter personal și operatorul care înregistrează un număr mai mic de 250 de angajați, în cazul în care:

  • prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate:
  • prelucrarea nu este ocazională;
  • prelucrarea include categorii speciale de date (spre exemplu: date genetice, biometrice, etc).

Ce mai trebuie să știm? La solicitarea autorității de supraveghere a datelor (ANSPDCP) operatorul sau, după caz, persoana împuternicită de acesta, are obligația de a pune la dispoziție evidența activităților de prelucrare a datelor cu caracter personal întocmită.