GDPR reminder | Despre evidența activităților de prelucrare a datelor (III)
Prin intermediul seriei de articole GDPR Reminder venim în sprijinul operatorilor de date și reamintim cateva aspecte de interes care fac parte din activitatea de zi cu zi a acestora, dar care încă ridică semne de întrebare în practică și subliniem modalitățile prin care acestea pot fi clarificate prin raportare la reglementările interne deja existente.
Cu siguranță unul dintre aspectele rămase în memoria operatorilor de date referitor la momentul aplicării Regulamentului general privind protecția datelor (UE) 2016/679 (“GDPR”) este evidența activităților de prelucrare a datelor cu caracter personal și eforturile depuse în vederea completării registrului privind evidența prelucrărilor desfășurate de către operator.
Dat fiind că un astfel de document este menit a reflecta activitățile de prelucrare desfășurate sub responsabilitatea operatorului într-un mod cât mai precis, registrul privind evidența prelucrărilor rămâne un document dinamic, care se impune a fi supus actualizării și completării ori de câte ori situația de fapt inițială se modifică.
Așadar, chiar dacă aspectul caracterului dinamic al registrului nu reprezintă o noutate, există totuși aspecte care s-au schimbat în acești doi ani, precum trecerea de la completarea evidenței prelucrărilor într-un document de cele mai multe ori de tip Excel la utilizarea unor aplicații dedicate acestui scop.
Dincolo de aspectele de ordin practic, schimbarea formei registrului privind evidența prelucrărilor aduce îmbunătățiri și prin raportare la principiile GDPR, în special cele privind confidențialitatea, dar și integritatea și exactitatea datelor.
Astfel, documentarea activităților de prelucrare prin intermediul utilizării unei aplicații îi va permite în primul rând operatorului să aibă o vedere de ansamblu asupra modalității de aducere la îndeplinire a sarcinii de completare a acestui document aflat în responsabilitatea angajaților săi care se reflectă în îndeplinirea de către operator a principiului responsabilității.
De asemenea, va permite stabilirea unor roluri și va ajuta la împiedicarea oricăror pierderi de informații sau a altor posibile erori care ar putea fi interpretate drept încălcări ale cerințelor GDPR și ar atrage răspunderea operatorului.
Mai mult decât atât, o completare corectă și completă a tuturor informațiilor necesare pentru a documenta un flux de prelucrare pot fi utilizate, la cerere, de către aplicație pentru a genera alte tipuri de documente necesare în domeniul protecției datelor, precum notele de informare.
Cu alte cuvinte, observăm cum la acest moment registrul de evidență a prelucrărilor nu mai este văzut doar ca un document menit a fi folosit doar în cazul unui control din partea autorității de supraveghere, ci ca un instrument viu care ajută și la conturarea celorlalte documente care alcătuiesc conformarea cu GDPR.
Cât despre conținutul și nivelul de detaliu care trebuie să se regăsească pentru fiecare flux de prelucrare în parte, practica ne-a arătat până la acest moment faptul că informațiile trebuie să fie cât mai precise și mai exacte cu atât mai mult cu cât pe parcursul desfășurării activității nu puține au fost situațiile în care operatorul s-a raportat la acest registru pentru a identifica anumite informații, spre exemplu atunci când s-a aflat în situația de a răspunde cererilor persoanelor vizate. În acest sens, recomandările rămân în continuare ca acolo unde operatorul cunoaște informațiile exacte, acestea să fie trecute în mod concret, cum este spre exemplu cazul împuterniciților când operatorul poate să indice exact denumire împuternicitului sau cazul duratei de stocare a datelor și a modalității prin care persoanele vizate sunt informate cu privire la prelucrarea datelor.
Așadar, concluzia pozitivă pe care o putem avea la 2 ani de la GDPR este că operatorii s-au orientat către imaginea de ansamblu și au ales să migreze informațiile pe care le dețin cu privire la activitățile de prelucrare către instrumente menite a le ușura eforturile privind conformarea, dar care au în același timp și capacitatea de a ajuta cu tot ceea ce înseamnă protecția datelor cu caracter personal la nivelul unei companii.
Articol semnat de Raluca Pușcaș, Partner Filip & Company și Alexandra Dunăreanu, Associate Filip & Company