Cine trebuie să identifice datele personale pe care le prelucrează o organizație? Toți angajați. Sau aproape toți.

1. De ce sînt prelucrate datele personale?

Aveți în vedere toate unitățile funcționale/departamentele/compartimentele și listați toate motivele pentru care sînt prelucrate date personale. („prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea).

2. Ce tipuri/categorii de date personale prelucrați?

Pentru fiecare motiv de la punctul 1 listați toate datele personale prelucrate. Includeți cui (persoane vizate) aparțin datele

3. Cînd sînt prelucrate datele?

Pentru fiecare „motiv„ identificați:

• cînd sînt obținute/colectate datele
• cui pot fi divulgate și de ce
• cît timp sînt păstrate și de ce

4. Unde sînt prelucrate?

Pentru fiecare motiv stabiliți unde are loc prelucrarea:

• înregistrări manuale (unde sînt localizate?)
• înregistrări electronice (ce format)? Pe ce dispozitive sînt stocate?
• Sistemele electronice sînt „in-house„ sau „outsourced„?
• Se permite lucrul de la distanță de pe dispozitive personale?