Începând cu 25 mai 2018, Legea privind protecția datelor cu caracter personal nr. 18/2018. Această lege introduce regulamentul GDPR în legislația noastră. Abrevierea GDPR este utilizată destul de des peste tot în această lună, așa că vă aducem în mod regulat noi contribuții pe această temă, astfel încât să fiți informat cu privire la toate modificările legislației și la ceea ce aduce GDPR în practică. În lucrarea de astăzi, ne vom concentra în principal pe înregistrările activităților de procesare.

protecția

Cine trebuie să țină evidența activităților de prelucrare?

Fiecare operator sau reprezentantul operatorului (dacă operatorul are unul) păstrează o evidență a activității de prelucrare pe suport de hârtie sau electronic. Această înregistrare nu trebuie trimisă nicăieri, operatorul o păstrează doar la el. Cu toate acestea, la cererea Autorității, operatorul sau reprezentantul operatorului este obligat să pună înregistrarea la dispoziția Autorității.

Intermediarul și reprezentantul intermediarului, dacă este autorizat, păstrează o evidență a categoriilor de operațiuni de prelucrare efectuate în numele operatorului.

Înregistrările activităților de procesare înlocuiesc notificările sistemelor informatice, cererilor de înregistrare specială a sistemelor informaționale și fișelor de înregistrare a sistemelor informaționale. Spre deosebire de reglementarea legală cuprinsă în Legea nr. 122/2013 Coll. în ceea ce privește protecția datelor cu caracter personal, această obligație nu este legată de sistemul informațional, ci de scopul prelucrării.

Operatorul sau reprezentantul operatorului este responsabil să se asigure că toate informațiile furnizate în evidență sunt actualizate. De exemplu, dacă persoana responsabilă s-a schimbat, operatorul este obligat să actualizeze aceste informații în evidență în ziua schimbării.

În partea premium a conținutului veți găsi:

  • Ce trebuie să conțină înregistrarea activității de procesare?
  • Cine nu trebuie să țină evidența activităților de prelucrare?
  • Model de înregistrare a activităților de prelucrare
  • Instrucțiuni pentru completarea înregistrării model a activităților de prelucrare

Ce trebuie să conțină înregistrarea activității de procesare?

Înregistrarea operatorului trebuie să conțină:

  • identificarea și datele de contact ale operatorului, ale operatorului comun, ale reprezentantului operatorului, dacă sunt autorizate, și ale persoanei responsabile,
  • scopul prelucrării datelor cu caracter personal,
  • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal,
  • categorii de beneficiari, inclusiv un beneficiar dintr-o țară terță sau organizație internațională,
  • desemnarea unei țări terțe sau a unei organizații internaționale, în cazul în care operatorul intenționează să transfere date cu caracter personal către o țară terță sau o organizație internațională și documentația privind garanțiile corespunzătoare, dacă operatorul intenționează să transfere în conformitate cu § 51 alin. 1 și 2,
  • termenele limită estimate pentru ștergerea diferitelor categorii de date cu caracter personal,
  • descrierea generală a măsurilor de securitate tehnică și organizațională conform § 39 alin. 1.

Înregistrarea brokerului trebuie să conțină:

  • datele de identificare și datele de contact ale intermediarului și ale operatorului în numele căruia acționează intermediarul, reprezentantul operatorului sau intermediarului, dacă este autorizat, și persoana responsabilă,
  • categorii de prelucrare a datelor cu caracter personal efectuate în numele fiecărui operator,
  • desemnarea unei țări terțe sau a unei organizații internaționale, dacă operatorul intenționează să transfere date cu caracter personal către o țară terță sau o organizație internațională și documentația privind garanțiile adecvate, dacă operatorul intenționează să transfere conform articolului 51 alin. 1 și 2,
  • descrierea generală a măsurilor de securitate tehnică și organizațională conform § 39 alin. 1.

Cine nu trebuie să țină evidența activităților de prelucrare?

Dacă întreprinderea sau organizația angajează mai puțin de 250 de persoane și

  • cu excepția cazului în care este puțin probabil ca prelucrarea datelor cu caracter personal pe care o efectuează să conducă la un risc pentru drepturile și libertățile persoanei vizate și
  • prelucrarea datelor cu caracter personal este ocazională și
  • prelucrarea nu include categorii speciale de date cu caracter personal conform § 16 alin. 1 din lege sau Artă. 9 alin. 1 din regulament (de exemplu, date biometrice, date de sănătate etc.) sau nu include date cu caracter personal legate de recunoașterea vinovăției pentru o infracțiune sau contravenție în conformitate cu articolul 17 din lege Artă. 10 din regulament, deci

operatorul sau reprezentantul operatorului nu este obligat să țină evidența activității de prelucrare specifice acoperite de această scutire.

Observați Podnikam.sk

Operatorul sau reprezentantul operatorului nu trebuie să țină evidența numai pentru acele operațiuni de prelucrare cărora li se aplică scutirea. Astfel, dacă are 10 operațiuni de prelucrare și 2 sunt scutite, celelalte 8 trebuie să țină evidența activităților de prelucrare.

Model de înregistrare a activităților de prelucrare

Puteți descărca un exemplu de înregistrare a activităților de procesare aici: Model de înregistrare a activităților de prelucrare

Acest șablon conține toate cerințele obligatorii cerute de lege sau. Regulament, dar nu este obligatoriu. Operatorul sau reprezentantul operatorului are posibilitatea să îl adapteze la el însuși, dar trebuie să conțină toate cerințele legale.

Instrucțiuni pentru completarea înregistrării model a activităților de prelucrare

  1. Operatorul sau reprezentantul operatorului enumeră datele de identificare și datele de contact - numele/prenumele companiei, numărul de identificare, adresa sediului social/reședința permanentă, contactul telefonic, adresa de e-mail
  2. Detaliile despre operatorul comun, reprezentantul operatorului și persoana responsabilă sunt tipărite dacă persoana autorizată sau responsabilă a fost desemnată.
  3. Pentru persoana responsabilă, care poate fi o persoană fizică sau juridică, vor fi enumerate toate datele de identificare și de contact disponibile operatorului sau reprezentantului acestuia. În cazul unei persoane responsabile care este și angajat al operatorului/reprezentantul operatorului, nu este necesar să completați adresa. În cazul unei persoane responsabile externe, se indică adresa sediului social sau a reședinței permanente.
  4. În scopul prelucrării datelor cu caracter personal înseamnă un scop specific definit sau stabilit pe baza căruia operatorul va prelucra datele cu caracter personal legate de activitatea sa. Acest scop ar trebui stabilit în prealabil de către operator în prealabil, fără ambiguități și ar trebui justificat. De exemplu. prelucrarea datelor cu caracter personal ale angajatului în scopul îndeplinirii obligațiilor angajatorului legate de relația de muncă. Fiecare scop al prelucrării trebuie să fie definit separat în evidență și trebuie îndeplinite toate cerințele obligatorii pentru fiecare. Câte scopuri are operatorul, câte „linii” trebuie să conțină înregistrarea.
  5. Descrierea categoriilor de persoane în cauză este cercul persoanelor ale căror date personale vor fi prelucrate. În cazul angajaților, o astfel de categorie va fi angajatul, soțul angajatului, copiii angajatului etc.
  6. La categoria de date cu caracter personal următoarele opțiuni sunt: ​​date personale obișnuite, o categorie specială de date cu caracter personal și/sau date cu caracter personal referitoare la recunoașterea vinovăției pentru o infracțiune sau contravenție. Reprezentantul operatorului/operatorului trebuie să indice categoria, dar nu este exclus să furnizeze o listă cu numele tuturor datelor personale pe care le prelucrează.
  7. O altă cerință obligatorie este categoria beneficiarilor. Destinatar înseamnă orice persoană căreia i se furnizează date cu caracter personal, indiferent dacă este o terță parte. În cazul în care operatorul poate identifica beneficiarul, acesta va înscrie un anumit beneficiar în evidență, cum ar fi o companie de asigurări sociale, o companie de asigurări de sănătate în cazul unui angajat și plata contribuțiilor pentru acesta. Dacă operatorul nu poate identifica destinatarul, categoria, cercul destinatarilor, de ex. instanțe, autorități publice etc. Beneficiarul este, de asemenea, intermediarul operatorului.
  8. Dacă operatorul intenționează transferul de date cu caracter personal către țări terțe sau organizațiile internaționale sunt obligate să enumere caseta cu această cerință legală către care vor fi transferate datele. Documentarea garanțiilor adecvate pentru a asigura o astfel de transmisie trebuie să fie disponibilă.
  9. Este necesar să specificați pentru fiecare categorie de date cu caracter personal termenul, după care urmează să fie personale date șterse. Această perioadă poate fi stabilită de legislația specială, de ex. Actul privind arhivele și registrele sau operatorul îl va determina el însuși cu privire la principiul minimizării păstrării datelor cu caracter personal.
  10. Este necesar să se precizeze în evidența activităților de prelucrare care operatorul a luat măsuri de securitate tehnică și organizațională, să se asigure că prelucrarea datelor cu caracter personal este sigură, protejată și să facă tot ce îi stă în putință pentru a preveni utilizarea abuzivă a acestora. Este necesar să se treacă de la articolul 39 din lege, care prevede în special următoarele măsuri:
    • pseudonimizarea și criptarea datelor cu caracter personal,
    • asigurarea confidențialității, integrității, disponibilității și rezilienței continue a sistemelor de prelucrare a datelor cu caracter personal,
    • procesul de restabilire a disponibilității datelor cu caracter personal și acces la acestea în cazul unui incident fizic sau tehnic,
    • procesul de testare, evaluare și evaluare periodică a eficacității măsurilor tehnice și organizatorice pentru a asigura securitatea prelucrării datelor cu caracter personal.

Poate fi o chestiune de măsuri tehnice de securitate privind securizarea unui computer cu un antivirus, protecție prin parolă, în cazul unui document pe hârtie poate fi un dulap care poate fi blocat, un seif, o arhivă de coduri. În cazul măsurilor organizatorice, factorul uman asigură securitatea prelucrării datelor cu caracter personal ale persoanelor în cauză, de ex. persoana responsabilă desemnată, persoană autorizată informată. În cazul documentației de securitate a datelor personale pregătite, este posibil să se furnizeze o referință la un astfel de document.

16. În modelul de înregistrare a activităților de prelucrare ale operatorului sau reprezentantului operatorului, se introduce cerința opțională „temeiul legal al activității de prelucrare”, care este reglementată în § 13 din lege. Aceasta nu este o parte obligatorie a evidenței activităților de prelucrare, ci datorită faptului că baza legală este legată de scopul prelucrării datelor cu caracter personal, iar în caz de control operatorul/reprezentantul operatorului este încă obligat să precizeze baza prelucrării.