6/13/2021

Lista documentelor obligatorii cerute de GDPR

 18 Ian 2019 Raspuns oferit de Colectivul de Specialisti Rentrop&Straton

Regulamentul general privind protectia datelor (GDPR) a generat deja numeroase controverse, iar una dintre cele mai
mari este cu
siguranta este aceea legata de documentele necesare conformarii. De exemplu, de multe ori vedeti
companii care cred ca daca au o politica de confidentialitate si un formular de consimtamant pe
website-ul lor este suficient; totusi, aceasta este doar o mica parte a documentelor care sunt
solicitate pentru a fi in deplina conformitate cu GDPR.

Prin urmare, am creat o lista de cerinte privind documentatia GDPR pentru a va ajuta sa identificati
toate documentele obligatorii intr-un singur loc. Retineti ca numele documentelor nu sunt impuse de
GDPR, deci puteti utiliza si alte titluri/denumiri; aveti, de asemenea, posibilitatea de a combina unele
dintre aceste documente.

Documentele si inregistrarile obligatorii cerute de GDPR

Iata documentele pe care trebuie sa le aveti in vedere daca doriti sa fiti in ntregime compatibili cu
GDPR:

Politica de protectie a datelor personale (Art.24) - acesta este un document de nivel inalt
pentru gestionarea datelor personale in cadrul companiei dvs., care defineste ce doriti sa
obtineti si cum anume.
Nota de informare privind confidentialitatea - Privacy Notice (Art.12, 13, si 14) - acest
document (care poate fi publicat si pe website-ul dvs.) explica in mod simplu cum veti procesa
datele personale ale clientilor, vizitatorilor website-ului dvs. si ale altor persoane.
Nota de informare privind protectia datelor angajatilor (Art. 12, 13 si 14) - explica modul in care
compania dvs. va procesa datele personale ale angajatilor dvs. (care ar putea include
inregistrari medicale, dosare penale etc.).
Politica de pastrare (retentie) a datelor (Art. 5, 13, 17 si 30) - descrie procesul de stabilire a
duratei de pastrare a unui anumit tip de date cu caracter personal si modul in care acestea sunt
distruse in conditii de siguranta.
Evidentele activitatilor de prelucrare a datelor - Registrul (Art.30) - enumera toate datele cu
caracter personal prelucrate la nivelul companiei si descrie durata de pastrare a fiecarui tip de
date.
Formularul de consimtamant pentru persoanele vizate (Art. 6, 7 si 9) - aceasta este modalitatea
cea mai obisnuita de a obtine consimtamantul persoanei vizate in vederea prelucrarii datelor
sale personale.

1/4
6/13/2021

Formularul de consimtamant parental (Art.8) - daca persoana vizata este sub varsta de 16 ani,
atunci titularul raspunderii parintesti asupra copilului trebuie sa ofere consimtamantul pentru
prelucrarea datelor cu caracter personal.
Registrul DPIA- Data Protection Impact Assessment (Art.35) - aici veti inregistra toate
rezultatele din evaluarea impactului asupra protectiei datelor personale.
Acordul de prelucrare a datelor personale incheiat cu Persoana imputernicita de Operator-
Procesatorul (Art.28, 32 si 82) - aveti nevoie de acest document pentru a reglementa protectia
datelor cu un procesator sau orice alt furnizor.
Procedura de notificare si de raspuns la incalcarea datelor cu caracter personal (Art.4, 33 si 34)
- descrie ce trebuie facut inainte, in timpul si dupa o incalcare a securitatii datelor personale.
Registrul de evidenta a incalcarii datelor (Art.33) - aici veti inregistra toate incalcarile datelor
personale.
Formularul de notificare a incalcarii datelor catre Autoritatea de Supraveghere (Art.33) - in
cazul in care aveti o incalcare a datelor, va trebui sa informati Autoritatea de Supraveghere in
mod oficial.
Formularul de notificare a incalcarii datelor pentru persoanele vizate (Art. 34) - din nou, in cazul
unei incalcari a datelor, veti avea obligatia neplacuta de a notifica persoanele vizate in mod
oficial.

Documentele necesare in anumite conditii

Veti avea nevoie de urmatoarele documente in urmatoarele conditii/situatii:

Fisa de post pentru Ofiterul/Responsabilul cu protectia datelor -DPO (Art.37, 38 si 39) - va

trebui sa aveti un Responsabil cu protectia datelor (DPO) daca (a) prelucrarea este efectuata de
o autoritate sau un organism public, cu exceptia instantelor care actioneaza in capacitatea lor
judiciara; sau (b) activitatile de baza constau in operatiuni de prelucrare care necesita o
monitorizare periodica si sistematica a persoanelor vizate la scara larga; sau (c) procesul de
desfasurare a activitatilor de baza presupune o prelucrare pe scara larga a unor categorii
speciale de date si date cu caracter personal referitoare la condamnari si infractiuni.
Evidenta activitatilor de prelucrare (Art.30) - acest document este obligatoriu daca (a)
compania are mai mult de 250 de angajati; sau (b) prelucrarea pe care compania o desfasoara
este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate; sau (c)
prelucrarea nu este ocazionala; sau (d) prelucrarea include categorii speciale de date; sau (e)
prelucrarea include date cu caracter personal privind condamnari si infractiuni.
Clauze contractuale standard pentru transferul datelor cu caracter personal catre operatorii de
date personale (Art.46) sunt obligatorii daca transferati date cu caracter personal unui operator
din afara Spatiului Economic European (SEE) si va bazati pe clauzele model ca baza legala
pentru transferurile de date transfrontaliere.
Clauze contractuale standard pentru transferul de date personale catre procesatorii de date
personale (Art.46) sunt obligatorii daca transferati date cu caracter personal unui procesator
din afara Spatiului Economic European (SEE) si va bazati pe clauzele model ca baza legala
pentru transferurile de date transfrontaliere.

Documente fara caracter obligatoriu

2/4
6/13/2021

Iata documentele care nu sunt solicitate de GDPR. Cu toate acestea, ati putea gasi aceste tipuri de
documente destul de utile daca doriti sa va mentineti conformarea cu GDPR, fara griji:
Evaluarea gradului de conformare a companiei la cerintele GDPR- Chestionar Evaluare GDPR-
aceasta evaluare este utila daca doriti sa aflati diferenta dintre ceea ce se aplica la nivelul
companiei si ceea ce impune GDPR.
Planul de proiect pentru respectarea GDPR este util daca sunteti o companie de dimensiuni
medii sau mari si doriti sa stiti exact cine este responsabil pentru conformarea cu GDPR si a
termenelor limita.
Politica de protectie a datelor personale ale angajatilor (Art.24) - similara Politicii generale de
protectie a datelor personale la nivelul companiei, dar aceasta se concentreaza in mod special
asupra angajatilor dvs.
Registrul privind Notele de informare Data Protection (Art.12, 13 si 14) - ar putea fi util daca ati
publicat Note de Informare Data Protection in multe locuri si doriti sa aveti control asupra
tuturor.
Linii directoare/Ghiduri/Instructiuni pentru cartografierea activitatilor de inventariere si
prelucrare a datelor (Art.30) In cazul in care probabil ca veti avea nevoie de un inventar al
activitatilor de procesare, aceste linii directoare va vor ajuta sa completati acest document.
Formularul de retragere a consimtamantului pentru persoanele vizate (Art.7) - document util
atunci cand persoana vizata doreste sa-si retraga consimtamantul.
Formularul de retragere a consimtamantului parental (Art.8) - document util daca aveti de-a
face cu un copil cu varsta sub 16 ani .
Procedura de solicitare a accesului la date (Art. 7, 15, 16, 17, 18, 20, 21 si 22) - va ajuta sa
definiti cine face, ce anume si cand dvs. primiti aceasta solicitare.
Formularul de solicitare a accesului persoanei vizate la date personale (Art.15) este util pentru
persoana vizata dar si pentru dvs. sa gestionati eficient asemenea solicitari. Veti avea o imagine
mai clara si completa cu privire la solicitarea persoanei vizate.
Formularul de dezvaluire a datelor personale catre persoana vizata (Art.15) - veti sti exact ce
informatii au fost trimise catre persoana vizata dupa primirea solicitarii de acces.
Metodologia de evaluare a impactului protectiei datelor (Art.35) aceasta este probabil una
dintre cele mai complexe sarcini din proiectul dvs. de conformitate cu GDPR.
Procedura de transfer de date cu caracter personal transfrontalier (Art. 1, 44, 45, 46, 47 si 49) -
veti gasi acest lucru util ca si un ghid daca transferati date personale in afara Spatiului Economic
European.
Chestionarul de conformare cu GDPR a Persoanelor Imputernicite/Procesatorilor (Art. 28 si 32)
- veti gasi acest lucru extrem de util atunci cand efectuati un proces de due diligence in legatura
cu un procesator.
Documente care reglementeaza securitatea datelor cu caracter personal (Art. 32) - de ex.
Politica de securitate IT, Politica de control al accesului, Procedurile de securitate pentru
departamentul IT, Politica Bring Your Own Device (BYOD) si a dispozitivelor mobile, Politica
Teleworking, Politica Clear Desk si Clear Screen, Politica de clasificare a informatiilor, Politica de
anonimizare si pseudonimizare, Politica privind utilizarea criptarii, Planul de redresare in caz de
dezastru, Procedura de audit intern, Internal Audit Checklist ISO 27001 - acestea sunt
documente care va vor ajuta foarte mult sa protejati datele personale; cea mai usoara cale este
de a folosi un ghid de standarde de securitate a informatiilor, cum ar fi ISO 27001.
3/4
6/13/2021

4/4