REGISTRUL DE ACTIVITĂȚI DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
Conform Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestora (Regulamentul General privind Protecția Datelor – GDPR), [Nume Companie/Organizație] menține următorul registru al activităților de prelucrare a datelor cu caracter personal.
1. Datele de identificare ale operatorului de date
- Numele operatorului de date: [__________]
- Adresa sediului: [__________]
- Numărul de înregistrare la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP): [__________]
- DPO (Data Protection Officer): [__________]
- Date de contact ale DPO: [__________]
2. Descrierea activităților de prelucrare a datelor
| Nr. Crt. | Denumirea activității de prelucrare | Scopul prelucrării | Categorii de date prelucrate | Categorii de persoane vizate | Temeiul juridic al prelucrării | Destinatarii datelor | Termenul de păstrare |
|---|---|---|---|---|---|---|---|
| 1 | Prelucrarea datelor clienților pentru procesarea comenzilor | Gestionarea comenzilor, facturarea, livrarea produselor și servicii | Nume, prenume, adresă, telefon, adresă de email, detalii de plată | Clienți persoane fizice și juridice | Executarea unui contract, consimțământ (acolo unde este cazul) | Terți furnizori de servicii de livrare, procesatori de plăți | 5 ani de la încheierea relației comerciale |
| 2 | Prelucrarea datelor angajaților pentru salarizare | Calcularea și plata salariilor, gestionarea relațiilor de muncă | Nume, prenume, CNP, adresa de domiciliu, detalii bancare | Angajați | Executarea unui contract de muncă, obligație legală | Autorități fiscale, case de asigurări | 10 ani după încetarea contractului de muncă |
| 3 | Prelucrarea datelor pentru marketing direct | Promovarea produselor și serviciilor, trimiterea de oferte și reclame | Nume, prenume, adresă de email, număr de telefon | Clienți existenți, potențiali clienți | Consimțământul persoanei vizate, interesul legitim | Agenții de publicitate, furnizori de platforme email marketing | 2 ani de la obținerea consimțământului |
3. Descrierea măsurilor tehnice și organizatorice implementate
Pentru a proteja datele cu caracter personal prelucrate, [Nume Companie/Organizație] a implementat o serie de măsuri tehnice și organizatorice, incluzând dar fără a se limita la:
- Măsuri tehnice:
- Criptarea datelor sensibile, atât în tranzit, cât și în repaus.
- Controlul accesului la sistemele de prelucrare a datelor prin autentificare dublă și permisiuni restricționate pe roluri.
- Backup-uri regulate pentru protecția datelor împotriva pierderii accidentale.
- Monitorizarea continuă a infrastructurii IT pentru detectarea activităților suspecte.
- Măsuri organizatorice:
- Politici interne de protecție a datelor și confidențialitate, periodic revizuite și actualizate.
- Instruirea continuă a angajaților cu privire la protecția datelor cu caracter personal.
- Audituri interne și externe pentru verificarea conformității cu cerințele GDPR.
- Mecanisme pentru gestionarea drepturilor persoanelor vizate (acces, rectificare, ștergere).
4. Transferuri internaționale de date
În cadrul activităților de prelucrare, [Nume Companie/Organizație] poate efectua transferuri internaționale de date către țări din afacerea Uniunii Europene, în conformitate cu prevederile GDPR, pe baza unor mecanisme adecvate de protecție a datelor (ex. Clauze Standard de Protecție a Datelor, decizii de adecvare).
5. Drepturile persoanelor vizate
Conform GDPR, persoanele vizate au următoarele drepturi:
- Dreptul de acces: Persoanele vizate pot solicita informații privind datele lor prelucrate.
- Dreptul la rectificare: Persoanele vizate pot solicita corectarea datelor inexacte.
- Dreptul la ștergere: Persoanele vizate pot solicita ștergerea datelor lor, în anumite condiții.
- Dreptul la portabilitatea datelor: Persoanele vizate pot solicita transferul datelor lor către un alt operator.
- Dreptul de opoziție: Persoanele vizate pot obiecta la prelucrarea datelor lor în anumite situații.
Persoanele vizate pot exercita aceste drepturi contactând [Nume Companie/Organizație] la datele de contact ale DPO specificate mai sus.
6. Analiza impactului asupra protecției datelor (DPIA)
Pentru activitățile de prelucrare care implică un risc ridicat pentru drepturile și libertățile persoanelor fizice, [Nume Companie/Organizație] efectuează o analiză a impactului asupra protecției datelor (DPIA), conform cerințelor GDPR. Analizele sunt revizuite periodic pentru a asigura un nivel adecvat de protecție a datelor.
7. Modificări ale registrului
Orice modificare adusă activităților de prelucrare a datelor personale va fi reflectată în mod corespunzător în acest registru și va fi actualizată periodic. Ultima revizuire a acestui registru a fost efectuată la data de: [__________].
Acesta este un exemplu generic de registru al activităților de prelucrare a datelor personale conform cerințelor GDPR. În funcție de specificul fiecărei organizații, datele și activitățile de prelucrare trebuie ajustate pentru a reflecta cu exactitate practica reală a operatorului de date.