Documentele si inregistrarile obligatorii cerute de GDPR

 Politica de protectie a datelor personale (Art.24) - acesta este un document de nivel

inalt pentru gestionarea datelor personale in cadrul companiei dvs., care defineste ce
doriti sa obtineti si cum anume.
 Nota de informare privind confidentialitatea - Privacy Notice (Art.12, 13, si 14) -
acest document (care poate fi publicat si pe website-ul dvs.) explica in mod simplu
cum veti procesa datele personale ale clientilor, vizitatorilor website-ului dvs. si ale
altor persoane.
 Nota de informare privind protectia datelor angajatilor (Art. 12, 13 si 14) - explica
modul in care compania dvs. va procesa datele personale ale angajatilor dvs. (care ar
putea include inregistrari medicale, dosare penale etc.).
 Politica de pastrare (retentie) a datelor (Art. 5, 13, 17 si 30) - descrie procesul de
stabilire a duratei de pastrare a unui anumit tip de date cu caracter personal si modul
in care acestea sunt distruse in conditii de siguranta.
 Evidentele activitatilor de prelucrare a datelor - Registrul (Art.30) - enumera toate
datele cu caracter personal prelucrate la nivelul companiei si descrie durata de
pastrare a fiecarui tip de date.
 Formularul de consimtamant pentru persoanele vizate (Art. 6, 7 si 9) - aceasta este
modalitatea cea mai obisnuita de a obtine consimtamantul persoanei vizate in vederea
prelucrarii datelor sale personale.
 Formularul de consimtamant parental (Art.8) - daca persoana vizata este sub varsta de
16 ani, atunci titularul raspunderii parintesti asupra copilului trebuie sa ofere
consimtamantul pentru prelucrarea datelor cu caracter personal.
 Registrul DPIA- Data Protection Impact Assessment (Art.35) - aici veti inregistra
toate rezultatele din evaluarea impactului asupra protectiei datelor personale.
 Acordul de prelucrare a datelor personale incheiat cu Persoana imputernicita de
Operator- Procesatorul (Art.28, 32 si 82) - aveti nevoie de acest document pentru a
reglementa protectia datelor cu un procesator sau orice alt furnizor.
 Procedura de notificare si de raspuns la incalcarea datelor cu caracter personal (Art.4,
33 si 34) - descrie ce trebuie facut inainte, in timpul si dupa o incalcare a securitatii
datelor personale.
 Registrul de evidenta a incalcarii datelor (Art.33) - aici veti inregistra toate incalcarile
datelor personale.
 Formularul de notificare a incalcarii datelor catre Autoritatea de Supraveghere
(Art.33) - in cazul in care aveti o incalcare a datelor, va trebui sa informati Autoritatea
de Supraveghere in mod oficial.
 Formularul de notificare a incalcarii datelor pentru persoanele vizate (Art. 34) - din
nou, in cazul unei incalcari a datelor, veti avea obligatia neplacuta de a notifica
persoanele vizate in mod oficial.
Documentele necesare in anumite conditii

 Fisa de post pentru Ofiterul/Responsabilul cu protectia datelor -DPO (Art.37, 38 si

39) - va trebui sa aveti un Responsabil cu protectia datelor (DPO) daca (a) prelucrarea
este efectuata de o autoritate sau un organism public, cu exceptia instantelor care
actioneaza in capacitatea lor judiciara; sau (b) activitatile de baza constau in
operatiuni de prelucrare care necesita o monitorizare periodica si sistematica a
persoanelor vizate la scara larga; sau (c) procesul de desfasurare a activitatilor de baza
presupune o prelucrare pe scara larga a unor categorii speciale de date si date cu
caracter personal referitoare la condamnari si infractiuni.
 Evidenta activitatilor de prelucrare (Art.30) - acest document este obligatoriu daca (a)
compania are mai mult de 250 de angajati; sau (b) prelucrarea pe care compania o
desfasoara este susceptibila sa genereze un risc pentru drepturile si libertatile
persoanelor vizate; sau (c) prelucrarea nu este ocazionala; sau (d) prelucrarea include
categorii speciale de date; sau (e) prelucrarea include date cu caracter personal privind
condamnari si infractiuni.
 Clauze contractuale standard pentru transferul datelor cu caracter personal catre
operatorii de date personale (Art.46) sunt obligatorii daca transferati date cu caracter
personal unui operator din afara Spatiului Economic European (SEE) si va bazati pe
clauzele model ca baza legala pentru transferurile de date transfrontaliere.
 Clauze contractuale standard pentru transferul de date personale catre procesatorii de
date personale (Art.46) sunt obligatorii daca transferati date cu caracter personal unui
procesator din afara Spatiului Economic European (SEE) si va bazati pe clauzele
model ca baza legala pentru transferurile de date transfrontaliere.

Documente fara caracter obligatoriu

 Evaluarea gradului de conformare a companiei la cerintele GDPR- Chestionar

Evaluare GDPR- aceasta evaluare este utila daca doriti sa aflati diferenta dintre ceea
ce se aplica la nivelul companiei si ceea ce impune GDPR.
 Planul de proiect pentru respectarea GDPR este util daca sunteti o companie de
dimensiuni medii sau mari si doriti sa stiti exact cine este responsabil pentru
conformarea cu GDPR si a termenelor limita.
 Politica de protectie a datelor personale ale angajatilor (Art.24) - similara Politicii
generale de protectie a datelor personale la nivelul companiei, dar aceasta se
concentreaza in mod special asupra angajatilor dvs.
 Registrul privind Notele de informare Data Protection (Art.12, 13 si 14) - ar putea fi
util daca ati publicat Note de Informare Data Protection in multe locuri si doriti sa
aveti control asupra tuturor.
 Linii directoare/Ghiduri/Instructiuni pentru cartografierea activitatilor de inventariere
si prelucrare a datelor (Art.30) In cazul in care probabil ca veti avea nevoie de un
inventar al activitatilor de procesare, aceste linii directoare va vor ajuta sa completati
acest document.
 Formularul de retragere a consimtamantului pentru persoanele vizate (Art.7) -
document util atunci cand persoana vizata doreste sa-si retraga consimtamantul.
 Formularul de retragere a consimtamantului parental (Art.8) - document util daca
aveti de-a face cu un copil cu varsta sub 16 ani .
 Procedura de solicitare a accesului la date (Art. 7, 15, 16, 17, 18, 20, 21 si 22) - va
ajuta sa definiti cine face, ce anume si cand dvs. primiti aceasta solicitare.
 Formularul de solicitare a accesului persoanei vizate la date personale (Art.15) este
util pentru persoana vizata dar si pentru dvs. sa gestionati eficient asemenea solicitari.
Veti avea o imagine mai clara si completa cu privire la solicitarea persoanei vizate.
 Formularul de dezvaluire a datelor personale catre persoana vizata (Art.15) - veti sti
exact ce informatii au fost trimise catre persoana vizata dupa primirea solicitarii de
acces.
 Metodologia de evaluare a impactului protectiei datelor (Art.35) aceasta este probabil
una dintre cele mai complexe sarcini din proiectul dvs. de conformitate cu GDPR.
 Procedura de transfer de date cu caracter personal transfrontalier (Art. 1, 44, 45, 46,
47 si 49) - veti gasi acest lucru util ca si un ghid daca transferati date personale in
afara Spatiului Economic European.
 Chestionarul de conformare cu GDPR a Persoanelor Imputernicite/Procesatorilor
(Art. 28 si 32) - veti gasi acest lucru extrem de util atunci cand efectuati un proces de
due diligence in legatura cu un procesator.
 Documente care reglementeaza securitatea datelor cu caracter personal (Art. 32) - de
ex. Politica de securitate IT, Politica de control al accesului, Procedurile de securitate
pentru departamentul IT, Politica Bring Your Own Device (BYOD) si a dispozitivelor
mobile, Politica Teleworking, Politica Clear Desk si Clear Screen, Politica de
clasificare a informatiilor, Politica de anonimizare si pseudonimizare, Politica privind
utilizarea criptarii, Planul de redresare in caz de dezastru, Procedura de audit intern,
Internal Audit Checklist ISO 27001 - acestea sunt documente care va vor ajuta foarte
mult sa protejati datele personale; cea mai usoara cale este de a folosi un ghid de
standarde de securitate a informatiilor, cum ar fi ISO 27001.