Como manter um registro de processamento de dados que esteja em conformidade com o RGPD?

O Regulamento Geral de Proteção de Dados (ou GDPR) entrará em vigor em 25 de maio de 2018 e será aplicado a todos os órgãos públicos e empresas privadas que realizam processamento de dados pessoais em larga escala.

Ele introduz o princípio da responsabilidade, o que significa que cada participante deve ser capaz de demonstrar, a qualquer momento, a conformidade de suas atividades de processamento com os regulamentos aplicáveis, daí a necessidade de manter um registro de processamento. Essa é uma das principais obrigações para o cumprimento do RGPD.

RESUMO :

Ver todos os software Regulamentação Geral de Proteção de Dados (RGPD)

Quem é obrigado a manter um registro de processamento de dados?

Todas as empresas e órgãos públicos com mais de 250 funcionários são afetados pelo RGPD e são obrigados a manter um registro de processamento de dados.

No entanto, as empresas com menos de 250 funcionários também são afetadas e devem elaborar um registro de processamento quando uma das seguintes situações se aplicar:

• O processamento é suscetível de envolver um risco para os direitos e liberdades dos titulares dos dados (processamento que dá origem a discriminação, revelando a origem racial, etc.);
• O processamento é rotineiro (gerenciamento de pessoal (RH), gerenciamento de fornecedores ou gerenciamento de clientes, que não são realizados ocasionalmente);
• O processamento está relacionado a categorias especiais de dados, conhecidas como "dados confidenciais" (dados referentes à origem racial ou étnica, religião ou crença, opinião política ou qualquer outra opinião, saúde, etc.);
• O processamento realizado está relacionado a dados judiciais.

As regulamentações especificam que a ausência de um Data Protection Officer (DPO) não isenta a organização de manter um registro das operações de processamento.

A nova regulamentação também exige que os processadores de dados pessoais mantenham um registro de processamento.

O que deve conter um registro de processamento?

As informações contidas no registro de operações de processamento devem responder às seguintes perguntas: Quem?

• Quem: os dados pessoais do controlador de dados,
• Por que eles estão sendo processados? Essa é uma descrição da finalidade do processamento de dados,
• Quais dados? As várias categorias de titulares de dados e dados processados,
• Onde: isso envolve a localização dos dados e a especificação de seus destinatários,
• Até quando? Os prazos planejados para a destruição devem ser definidos,
• Como? Isso envolve a descrição das medidas de segurança técnicas e organizacionais a serem implementadas para proteger os dados.

Como não há uma lista dos elementos exatos que devem constar em um registro de processamento, é possível adicionar outros elementos complementares, como a necessidade de uma análise de impacto, um registro de violações de dados etc.

Exemplo de um registro de processamento de dados com o CaptainDPO

O CaptainDPO publica uma solução de software SaaS para ajudar os DPOs a gerenciar a conformidade de suas organizações com o RGPD.

• É apresentada uma lista das diversas operações de processamento,
• Os controladores de dados,
• a empresa,
• O status de cada operação de processamento (Em andamento - Em conformidade - Em não conformidade).

O CaptainDPO permitirá que você descubra onde não está em conformidade, para que possa tomar as medidas necessárias criando tarefas e garantindo a conformidade.

Os detalhes de cada tratamento também estão disponíveis:

• Uma descrição geral do tratamento,
• A pessoa responsável pelo processamento,
• A finalidade do processamento,
• As medidas de segurança usadas para proteger os dados,
• A categoria dos dados processados,
• A localização dos dados (no caso de os dados serem transferidos para fora da UE).

O gerenciamento de vários registros agora está integrado ao CaptainDPO para DPOs externos.

Ver todos os software Regulamentação Geral de Proteção de Dados (RGPD)

Penalidades por não conformidade com essa obrigação

O não cumprimento da obrigação de manter um registro das operações de processamento ou de realizar uma avaliação de impacto antes do processamento de dados pessoais pode resultar em penalidades severas.

A multa pode chegar a 2% do faturamento mundial da empresa ou a 10 milhões de euros. O valor mais alto será imposto.