Scris de Cristian Raiescu

derogationDerogări de la obligația de a ține evidența activităților de prelucrare în conformitate cu articolul 30 alineatul (5) din GDPR.

Grupul de lucru 29 a examinat obligația, în temeiul articolului 30 din GDPR, ca operatorii și prelucrătorii să țină o evidență a activităților de prelucrare.Acest document stabilește poziția WP29 privind derogarea de la această obligație.Considerentul 13 al GDPR spune:"Pentru a ține seama de situația specifică a microîntreprinderilor și a întreprinderilor mici și mijlocii, prezentul regulament include o derogare pentru organizațiile cu mai puțin de 250 de angajați în ceea ce privește evidența contabilă".Articolul 30 alineatul (5) intră în vigoare la considerentul 13.

Acesta prevede că obligația de a ține evidența activităților de prelucrare nu se aplică "unei întreprinderi sau unei organizații care angajează mai puțin de 250 de persoane, cu excepția cazului în care prelucrarea pe care o desfășoară poate avea ca rezultat o riscul pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date menționate la literaArticolul 9 alineatul (1) sau datele cu caracter personal referitoare la condamnările penale și infracțiunile menționate la articolul 10. "Câteva clarificări privind interpretarea acestei dispoziții par a fi necesare, după cum arată numărul mare de cereri provenind de la companii și primite în ultimele luni de către autoritățile naționale de supraveghere.

 

Derogarea prevăzută la articolul 30 alineatul (5) nu este absolută. Există trei tipuri de procesare la care nu se aplică. Acestea sunt:·

WP29 subliniază că formularea articolului 30 alineatul (5) este clară în ceea ce privește faptul că cele trei tipuri de prelucrare cărora nu li se aplică derogarea sunt alternative ("sau"), iar apariția oricăreia dintre ele determină în mod obligatoriu menținerea înregistrarea activităților de prelucrare.

Prin urmare, deși este înzestrat cu mai puțin de 250 de angajați, operatorii de date sau procesatorii care se află în situația fie că efectuează procesări care ar putea să ducă la risc (nu numai un risc ridicat) la drepturile persoanelor vizate, fie să prelucreze date cu caracter personal în mod ocazional, fie să proceseze categorii speciale a datelor prevăzute la articolul 9 alineatul (1) sau a datelor privind condamnările penale în temeiul articolului 10 sunt obligate să țină evidența activităților de prelucrare.

Cu toate acestea, astfel de organizații trebuie doar să țină evidența activităților de prelucrare pentru tipurile de prelucrare menționate la articolul 30 alineatul (5).

De exemplu, este posibil ca o organizație mică să proceseze în mod regulat date privind angajații săi. Ca urmare, o astfel de prelucrare nu poate fi considerată "ocazională" și, prin urmare, trebuie inclusă în registrul activităților de prelucrare.

Cu toate acestea, alte activități de prelucrare care sunt de fapt "ocazionale" nu trebuie să fie incluse în procesul-verbal al activităților de prelucrare, cu condiția ca acestea să nu ducă la pericolul dreptului și libertăților persoanelor vizate și să nu implice categorii speciale date sau date cu caracter personal referitoare la condamnările penale și infracțiunile.

Proiectul WP29 evidențiază faptul că înregistrarea activităților de prelucrare sunt un mijloc foarte util pentru a sprijini o analiză a implicațiilor oricărei prelucrări, fie că este deja existentă sau planificată. Înregistrarea facilitează evaluarea factuală a riscului activităților de prelucrare efectuate de un controlor sau de către un prelucrător asupra drepturilor persoanelor și identificarea și punerea în aplicare a măsurilor de securitate adecvate pentru protecția datelor cu caracter personal - ambele componente-cheie ale principiului responsabilității conținut în GDPR .

Pentru multe organizații micro, mici și mijlocii, menținerea unei înregistrări a activităților de prelucrare este puțin probabil să constituie o povară deosebit de grea. Cu toate acestea, WP29 recunoaște că articolul 30 reprezintă o nouă cerință administrativă pentru operatorii și procesatorii de date și, prin urmare, încurajează autoritățile naționale de supraveghere să sprijine IMM-urile prin furnizarea de instrumente pentru facilitarea înființării și gestionării înregistrărilor activităților de prelucrare.

De exemplu, o autoritate de supraveghere ar putea să pună la dispoziție pe site-ul său un model simplificat care poate fi utilizat de IMM-uri pentru a ține evidența activităților de prelucrare care nu fac obiectul derogării de la articolul 30 alineatul (5).

 

Sursa: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045