6/8/2021

Evidenta activitatilor de prelucrare a datelor cu

caracter personal

 04 Nov 2018 Raspuns oferit de Alexandru MATEI

Avocat

Obligatia de tinere a evidentei categoriilor activitatilor de prelucrare

Atat operatorul cat si persoana imputernicita de operator au obligatia de a pastra o evidenta a

activitatilor de prelucrare. Aceasta poate fi scrisa sau electronica si va cuprinde toate categoriilor
activitatilor de prelucrare desfasurate in nume propriu de catre operator sau de catre persoana
imputernicita de operator.

De asemenea, operatorul/persoana imputernicita are/au obligatia de a pune evidenta intocmita la

dispozitia autoritatii de supraveghere, la cererea acesteia, de exemplu, in cazul unui control.

Potrivit dispozitiilor Regulamentului privind protectia datelor, pentru a fi obligatoriu sa tineti o

evidenta cu activitatile de prelucrare pe care le efectuati, este necesara indeplinirea oricareia dintre
urmatoarele conditii:
(1) Activitatea de prelucrare este non-ocazionala (activitatea de prelucrare este periodica).
(2) Activitatea de prelucrare vizeaza categorii speciale de date cu caracter personal.
(3) ONG are cel putin 250 de salariati (prezumtie de prelucrare a datelor pe scara larga).
(4) Activitatea de prelucrare este susceptibila sa genereze un risc pentru drepturile si libertatile
persoanelor vizate.

Caracterul necesar si obligatoriu al evidentei rezida din prelucrarile datelor cu caracter special pe
care unele ONG (preponderent cele din domeniul medical) le efectueaza, din caracterul recurent al
prelucrarilor, precum si din riscul potential al unor astfel de prelucrari pentru drepturile si libertatile
persoanelor vizate.

Obligativitatea tinerii evidentei cu activitatile de prelucrare efectuate nu necesita indeplinirea

cumulativa a conditiilor enuntate mai sus. Cu alte cuvinte, daca activitatea de prelucrare nu vizeaza
categorii speciale de date, daca suntem in prezenta unui ONG al carui numar de salariati este situat
sub pragul instituit de Regulament, DAR activitatea de prelucrare se efectueaza in mod periodic,
sunteti obligat la intocmirea unei asemenea evidente.

Continutul evidentei

1/2
6/8/2021

Regulamentul indica in mod expres informatii cu privire la continutul unei astfel de evidente, fiind
necesar ca aceasta sa contina:
a) numele si datele de contact ale persoanei sau persoanelor imputernicite de operator si ale fiecarui
operator in numele caruia actioneaza aceasta persoana (aceste persoane), precum si ale
reprezentantului operatorului sau al persoanei imputernicite de operator, dupa caz;
b) categoriile de activitati de prelucrare desfasurate in numele fiecarui operator;
c) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie
internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, dupa caz,
documentatia care dovedeste existenta unor garantii adecvate;
d) o descriere generala a masurilor tehnice si organizatorice de securitate instituite prin raportare la
stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si
scopurile prelucrarii, precum si riscul cu diferite grade de probabilitatea si gravitatea pentru
drepturile si libertatile persoanelor fizice (spre exemplu, pseudonimizarea si criptarea datelor cu
caracter personal, capacitatea asigurarii confidentialitatii, integritatii si disponibilitatii datelor
personale si rezistenta continue ale sistemelor si serviciilor de prelucrare s.a.m.d).

Exemplificativ, in cuprinsul evidentei activitatilor de prelucrare ar trebui mentionate urmatoarele

elemente:
detalii in legatura cu persoanele vizate (ex. angajati, colaboratori, angajati ai colaboratorilor
etc.);
categorii de activitati de prelucrare (ex. calcul salarii si bonusuri angajati, angajari, organigrame,
colaborari intre ONG-uri etc.);
detalii cu privire la transmiterea datelor catre terti si scopul pentru care sunt transmise (ex.
informatiile sunt transmise catre un alt ONG in virtutea unei colaborarii etc.);
transferuri internationale de date (in afara SEE/catre organizatii internationale) ex. datele sunt
transmise in scopul planificarii calatoriilor, in scopul intocmirii unor rapoarte de grup etc.

Subliniem ca pastrarea evidentei activitatilor de prelucrare nu reprezinta o sarcina a responsabilului

cu protectia datelor, ci a operatorului/persoanei imputernicite de operator.

Forma evidentei

Evidenta mentionata se formuleaza in scris, inclusiv in format electronic.

Important! Avand in vedere ca acest registru de evidenta ar trebui actualizat in mod constant, o buna
solutie in acest sens ar fi pastrarea in forma electronica a evidentei activitatilor de prelucrare. De
asemenea, dincolo de obligativitatea tinerii unei asemenea evidente, suntem de parere ca orice
operator care efectueaza activitati de prelucrare trebuie sa tina evidenta activitatilor de prelucrare,
aceasta fiind utila pentru demonstrarea respectarii principiilor Regulamentului raportat la categoriile
de date prelucrate.

2/2