Cum se tine evidenta activitatii de prelucrare

Raspuns: Fiecare operator trebuie sa pastreze evidenta activitatilor de prelucrare desfasurate sub responsabilitatea lui si in numele lui, evidente care trebuie sa cuprinda informatiile prevazute de art. 30 alin. (1) lit. (a)-(g) si, respectiv, alin. (2) lit. (a)-(d) RGPD.

Aceasta evidenta este necesara intrucat autoritatea de supraveghere poate sa ceara oricand acces la ea (art. 30 alin. 4 RGDP).

Trebuie precizat ca obligatiile privind tinerea evidentei prelucrarilor de date cu caracter personal nu se aplica organizatiilor cu mai putin de 250 de angajati, cf. art. 30 alin. (5) RGPD. Atentie, aceasta prevedere este reglementata cu titlu de regula. Exceptiile de la regula sunt reglementate foarte larg, atat de larga incat in realitate nici organizatiile mici nu se pot sustrage de la indeplinirea acestei obligatii.

Iata exceptiile, adica situatiile in care evidenta este obligatorie si pentru organizatiile mici:
- prelucrarea este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate;
- prelucrarea nu este ocazionala;
- prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnari penale si infractiuni, astfel cum se mentioneaza la articolul 10 din RGPD.

Punctual, sucursala trebuie nu sa tina o evidenta proprie a prelucrari datelor cu caracter personal, avand in vedere ca nu are personalitate juridica proprie operator fiind entitatea care stabileste scopurile si mijloacele prelucrarilor, ceea ce inttodeauna se face la nivelul societatii mama, nu al sucursalei. Trebuie sa tinem seama si ca GDPR permite desemnarea unui singur responsabil cu protectia datelor pe mai multe intreprinderi cu sau fara personalitate juridica. Pana la urma sucursalele sunt dezmembraminte fara personalitate juridica ale societatilor si se inregistreaza, inainte de inceperea activitatii lor, in registrul comertului din judetul in care vor functiona, dar ele sunt dependente de activitatea societatii mama, in sensul ca nu ar putea functiona in lipsa ei.

Concluzie: este suficienta tinerea unei singure evidente prelucrarilor de date doar pentru societatea mama, nu si pe sucursale. De asemenea, nu este nevoie sa fie tinuta la nivelul fiecarui copartiment, ci doar la nivel de societate. In ceea ce priveste forma, nu exista o dorma prestabilita, insa ea trebuie sa contina datele prevazute la art. 30 din Regulamentul General privind protectia datelor.