Evidențele activităților de prelucrare

Îmi aduc aminte cum, în februarie 2017, la evenimentul organizat la Camera de Comerț și Industrie din București, la finalul prezentării, cineva m-a abordat și mi-a spus: „Ați greșit. GDPR nu se aplică companiilor cu mai puțin de 250 de angajați„….Răspunsul meu a fost „Limita de 250 de angajați se aplică cerinței legată de evidența activităților de prelucrare, dar și în acest caz există cîteva excepții„.

Încerc să ofer o „pilulă„ în legătură cu acest subiect după o postare în același sens pe Linkedin (postarea nu era a mea ci a Andreei L.)

Art. 30 este cel care reglementează „Evidența Activităților de prelucrare„. Dacă vrem să înțelegem mai bine prevederile unui articol trebuie să ne ducem la considerente/recitaluri. În acest caz este vorba de Recital 82:

În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidențe ale activităților de prelucrare aflate în responsabilitatea sa. Fiecare operator și fiecare persoană împuternicită de operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la  dispoziția acesteia,  la  cerere, aceste  evidențe,  pentru a putea fi  utilizate în  scopul  monitorizării operațiunilor de prelucrare respective.

Observăm deci că scopul acestor evidențe este în primul rînd „demonstrarea conformității„. Iar prevederile Art. 30 se aplică, în mod diferit, operatorului, persoanei împuternicite sau reprezentantului.

Ajungem la excepția cu „250 de angajați„:

Obligațiile menționate la  alineatele  1 și 2 nu se aplică unei întreprinderi  sau organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru  drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnări penale și infracțiuni, astfel cum se menționează la articolul 10.

Să reformulăm. Chiar dacă organizația are mai puțin de 250 de angajați dar prelucrarea:

  • este susceptibilă să genereze risc sau
  • nu este ocazională sau
  • include categori speciale de date

atunci evidența activităților de prelucrare este obligatorie.

Ce înseamnă „risk pentru drepturile și libertățile persoanelor vizate„? Nu trebuie să le confundăm cu mult așteptata listă cu „activități de prelucrare susceptibile să genereze riscuri ridicate„. Aici este vorba despre….riscuri și atît. Nici acest subiect nu este suficient detaliat așa că ne descurcăm cu ce avem. Adică cu „sensul comun„ al termenilor.

Sînt o companie mică și evidența contabilă este externalizată. Există riscul „furtului/fraudei de identitate„ pentru angajații mei? Există, incontestabil.

Aceeași organizație supraveghează prin GPS mașinile de serviciu și după programul de lucru. Este acesta un risc pentru persoana vizată? Da (ba așa cum am scris în altă postare nici nu ar trebui realizată după program)

Aceeași companie folosește serviciile unei agenții de turism pentru a face rezervările în cazul deplasărilor angajaților. Pot să apară riscuri pentru persoana vizată? Da.

Caracterul ocazional îl găsim definit în Ghidul WP243:

WP29 interprets ‘regular’ as meaning one or more of the following:

  • Ongoing or occurring at particular intervals for a particular period
  • Recurring or repeated at fixed times
  • Constantly or periodically taking place

WP29 interprets ‘systematic’ as meaning one or more of the following:

  • Occurring according to a system
  • Pre-arranged, organised or methodical
  • Taking place as part of a general

Pragmatic vorbind, pentru multe organizații cu mai puțin de 250 de angajați, situațiile în care nu vor trebui să păstreze evidențe ale activităților de prelucrare vor fi…excepții. Asta în cazul în care au făcut (sau „li s-a făcut„) „evaluarea riscurilor„ și altfel decît doar pe ….hîrtie…

 

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s