Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Curs GDPR

    Încărcat de

    babydoll777
    18 vizualizări3 pagini
    CURS GDPR

    Titlu original

    CURS GDPR

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    DOCX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    CURS GDPR

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    18 vizualizări3 pagini

    Curs GDPR

    Încărcat de

    babydoll777
    CURS GDPR

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 3

    ::: 

    Curs online ::: 

    Introducere în GDPR. Aspecte importante în aplicarea


    practică a regulamentului

    Lecția 8 din 8

    Registrul Operațiunilor de prelucrare

    GDPR impune atât operatorului, cât și împuternicitului obligația de a documenta


    pașii pe care îi fac atunci când prelucrează date cu caracter personal. O parte a
    acestei acțiuni de documentare este reprezentată de existența în formă scrisă (inclusiv
    electronic) a unui “registru al operațiunilor de prelucrare”.

    Registrul operațiunilor de prelucrare se regăsește la art. 30 al Regulamentului și e


    obligatoriu pentru (aproape) toate organizațiile care prelucrează date personale, indiferent
    dacă sunt împuterniciți sau operatori.

    Există o discuție în media românească, privind faptul că GDPR permite companiilor sub


    250 de angajați să nu realizeze Registrul Operațiunilor de Prelucrare. În realitate, sunt
    puține companiile care se pot folosi de această excepție, din moment ce ea se aplica doar
    atunci:

     când prelucrarea este ocazională,


     când prelucrarea pe care o efectuează nu este susceptibilă să genereze un
    risc pentru drepturile și libertățile persoanelor vizate,
     când prelucrarea nu include categorii speciale de date,
     când prelucrarea nu include date cu caracter personal referitoare la
    condamnări penale și infracțiuni.

    După cum se observă, e greu de crezut că putem vorbi despre o organizație care să
    prelucreze date personale doar în mod ocazional (orice organizație are măcar angajați sau
    clienți, dacă nu și alte categorii de persoane vizate cărora le prelucrează datele în mod
    sistematic și nu ocazional).
    ::: Ce conține registrul operațiunilor de prelucrare, atunci când el este
    realizat de către operator? Art. 30 alin (1) din

     Regulament menționează toate aspectele care trebuie incluse:

    1. numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale
    reprezentantului operatorului și ale responsabilului cu protecția datelor;
    2. scopurile prelucrării;
    3. o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter
    personal;
    4. categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter
    personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
    5. dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o
    organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale
    respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea
    paragraf, documentația care dovedește existența unor garanții adecvate;
    6. acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor
    categorii de date;
    7. acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
    securitate menționate la articolul 32 alineatul (1).

    După cum vedeți, în registrul operațiunilor de prelucrare se completează multe dintre


    răspunsurile pe care le-am dat în setul de întrebări pe care le-am urmat în procesul de
    proiectare a unei operațiuni de prelucrare de la începutul acestui document.

    Atunci când registrul este realizat de către împuternicit, pentru operațiunile de


    prelucrare realizate în numele operatorului (dacă un împuternicit lucrează cu mai mulți
    operatori, trebuie să realizeze un astfel de registru pentru fiecare operator în numele căruia
    lucrează):

    1. numele și datele de contact ale fiecărui operator în numele căruia acționează, precum și
    ale reprezentantului operatorului sau numele și datele de contact al persoanei
    împuternicite de operator, după caz;
    2. categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
    3. dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o
    organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale
    respective și, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf
    din Regulament, documentația care dovedește existența unor garanții adecvate;
    4. acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
    securitate menționate la articolul 32 alineatul (1) din Regulament.

    Registrul e foarte important și în relația cu Autoritatea de Supraveghere. Ori de câte ori


    Autoritatea solicită operatorului sau împuternicitului acest Registru, el trebuie pus la
    dispoziția Autorității.
    Modele de registre se pot consulta online pe siteul Autorităților de Supraveghere din
    Franța și Marea Britanie.
     

    Curs realizat de:  Alin Popescu, fondator avocatnet.ro

    S-ar putea să vă placă și