Desde a introdução do Regulamento Geral de Proteção de Dados (GDPR) em 2018, as empresas tiveram que se adaptar a muitas inovações em proteção de dados. Isso inclui a introdução de um registro de atividades de processamento (ROPA). É um dos documentos mais importantes que uma empresa deve criar para cumprir com requisitos de proteção de dados e cumprir a obrigação de prestação de contas do artigo 5 do GDPR.

O GDPR requer que as empresas mantenham documentação escrita e uma visão geral de todos os processos automatizados ou manuais envolvendo processamento de dados pessoais (Art. 30 GDPR). Mas o que está por trás disto, e quem deve manter tal diretório? A que você tem que prestar atenção? Mostraremos a você como deve ser um registro de atividades de processamento e forneceremos dicas úteis para uma implementação compatível com a GDPR!

Você precisa de apoio ou tem perguntas sobre o tópico de um diretório de processamento? Nossa equipe composta por especialistas em direito de proteção de dados, TI e segurança, terá prazer em apoiá-lo na implementação dos regulamentos de proteção de dados. Entre em contato diretamente para uma consulta inicial sem compromisso.

Os fatos mais importantes em resumo

  • Como regra, as empresas deve manter um registro das atividades de processamento.
  • A criação de um envolve muito esforço inicialmente, mas facilita o tratamento de dados pessoais na empresa a longo prazo. O registro fornece uma visão geral abrangente do processamento de dados pessoais e operações individuais de processamento.
  • Tal registro também facilita análise e avaliação de risco dos processos individuais, uma vez que cada um deles é dividido em detalhes.
  • Deve ser tomado um cuidado especial ao transferir dados pessoais para um terceiro país para evitar a violação das normas legais. Também aqui, um registro de processamento ajuda, pois mostra quais processos representam um risco significativo.

Registro das atividades de processamento

Arte. 30 GDPR obriga a manter escrita (também em formato eletrônico) documentação e visões gerais de todos os processos que trabalham com dados pessoais. Isso significa que todo processamento de dados sensíveis deve ser listado e discriminado neste registro.

Além disso, detalhes essenciais do processamento de dados devem ser documentados ali, tais como categorias de processamento, os sujeitos dos dados, a finalidade do processamento e as categorias de destinatários.

Este registro de processamento também serve para inspeção por parte da autoridade fiscalizadora competente. As operações de processamento relevantes devem ser colocadas à sua disposição mediante solicitação. Para as empresas, faz sentido criar e manter tal registro com muito cuidado para demonstrar que existe uma boa gestão de proteção de dados.

Caso contrário, há sempre um risco que surgirão conflitos com o autoridade supervisora, ou a empresa será até processada por violando as diretrizes de proteção de dados.

Quem deve manter um registro das atividades de processamento? 

Toda empresa que emprega mais de 250 pessoas deve manter tal registro. Além disso, há o seguinte exceções que também obriga as empresas com menos de 250 funcionários a manter um diretório de processamento:

  1. o processamento envolve riscos para os direitos e liberdades dos sujeitos dos dados.
  2. a empresa realiza operações regulares de processamento.
  3. o processamento envolve categorias especiais de dados, tais como dados de saúde, informações sobre religião, ou opiniões políticas.

É bom saber: Quase sempre, uma dessas exceções se aplica. Se pelo menos porque a maioria das empresas mantém um arquivo pessoal no qual os dados muito pessoais dos funcionários são armazenados, modificados ou apagados regularmente. Como resultado, quase todas as empresas deve manter tal registro. 

Quais são as penalidades por não manter um registro das atividades de processamento?

Se a autoridade supervisora não puder receber um ROPA mediante solicitação, porque a empresa faz não manter um, primeiro vai perguntar por quê. Em caso de dúvida, a empresa terá uma opinião diferente sobre se ela se enquadra na obrigação de manter um registro. A conseqüência, em alguns casos, é um processo dispendioso e demorado disputa legal.

Na maioria dos casos, a autoridade exigir a empresa para manter um registro de processamento. No caso de uma violação desta exigência ou se for evidente que um registro teve que ser mantido, não desprezível. multas estão ameaçados, mas condenações penais também são possíveis. Estes são medidos pelo faturamento da respectiva empresa e não devem ser subestimados.

s vezes, a autoridade permite que as empresas apresentem um registro de atividades de processamento dentro de 2 a 3 semanas.

É bom saber: Você nunca deve contar com a boa vontade das autoridades com sua empresa. É, portanto, aconselhável evitar uma disputa e criar imediatamente um ROPA.

Quem tem acesso ao registro de atividades de processamento?

Tal registro de atividades de processamento não é público, portanto não há ameaça de divulgação através da transmissão de segredos empresariais e comerciais. O diretório não é acessível a todos. Mesmo os titulares dos dados, que em princípio têm o direito de solicitar informações sobre o uso de seus dados, não têm acesso a este registro. Também não precisa ser tornado acessível a eles.

Somente o responsáveis pela proteção de dados, que também estão envolvidos na elaboração da lista de atividades de processamento e da empresa diretoria executiva e administração, são autorizados a inspecioná-lo. Além disso, como já mencionado, a autoridade fiscalizadora competente deve ser fornecida com o registro de atividades de processamento, mediante solicitação.

Diretório de processamento de dados de acordo com o GDPR

Quase todas as empresas devem manter um registro de atividades de processamento, conforme prescrito pelo legislador no PIBR. Este diretório não é novo; já, no regulamento federal anteriormente aplicável - o Lei Federal de Proteção de Dados (BDSG) - foi necessário um diretório de procedimentos.

O novo registro com algumas mudanças substitui o diretório de procedimentos anterior. O termo atividades de processamento, de acordo com a Arte. 30 GDPR deve ser entendido de forma ampla: Inclui qualquer uso, tais como coleta, armazenamento, exclusão, modificação, fusão, leitura, comparação ou também transmissão de dados pessoais. Todos os processos nos quais os dados pessoais desempenham um papel devem, portanto, ser mencionados e listados no registro de processamento.

Em tal registro, detalhes diferentes devem ser fornecidos, tais como as categorias de tratamento, os dados de contato do responsável pelo tratamento e do responsável pela proteção de dados, o grupo de pessoas em causa, a finalidade do tratamento e os respectivos destinatários dos dados (na medida em que não sejam tratados internamente).

O ideal, informações sobre as medidas técnicas e organizacionais (TOM) também está incluído. Além disso, os períodos de eliminação também devem ser adicionados para esclarecer tudo e cumprir com os períodos de retenção legal.

Tal registro garante o registro das atividades de processamento existentes em uma empresa. Isso é importante para as autoridades supervisoras em suas inspeções e fornece informações dentro da empresa sobre quais processos são realizadas. Ele dá uma melhor visão geral de onde as operações de processamento estão ocorrendo e se elas podem ser otimizadas ou, em caso de dúvida, até mesmo reduzidas para contrapor-se a operações significativas riscos de contratempos de proteção de dados.

Se o exato estruturas de processamento de dados são evidentes, boas gestão da proteção de dados pode ser baseado nisto. Cuidadosamente compilado, tal registro significa apenas um esforço adicional a curto prazo. A longo prazo, torna mais fácil para as empresas cumprir com a proteção de dados e reduz os riscos.

GDPR- criar um registro das atividades de processamento 

Em princípio, as empresas têm a liberdade de criar um registro de atividades de processamento. A GDPR faz não fornecer um formato específico ou um modelo. Também se procura em vão por uma forma correspondente.

No entanto, há algumas exigências sobre o que deve incluir tal registro:

  1. Folha de cobertura: a folha de rosto deve nomear a empresa em questão, seus dados de contato e informações sobre o responsável pela proteção de dados. Deve também mencionar os dados exatos dos responsáveis pelo controle dos dados.
  2. Seção principal: Aqui, as operações exatas dos procedimentos individuais de processamento de dados são listadas, descritas, discriminadas e analisadas. A documentação dos processos separados também deve ser mantida.
  3. Medidas técnicas e organizacionais (TOM): É aqui que são listadas a segurança predial e de TI, regulamentos e instruções de trabalho para funcionários, acordos da empresa e outras medidas organizacionais que garantem o padrão de proteção de dados da empresa. Como estas medidas organizacionais são geralmente documentadas separadamente, elas podem ser simplesmente anexadas ao diretório de processamento.

Que conteúdo deve ter o registro real das atividades de processamento? 

Além da estrutura bruta, alguns requisitos de conteúdo devem ser observados. Estes dizem respeito principalmente à parte principal do diretório, na qual os processos individuais são definidos.

Cada atividade de processamento deve ser descrita em detalhes com base nos seguintes critérios:

  1. objetivo do processamento: deve ser aparente para que finalidade os dados são processados. Por exemplo, o arquivo pessoal ou um registro de paciente podem ser fins legítimos. Além disso, a pessoa responsável pelo processamento deve ser indicada aqui (no caso de arquivos pessoais, por exemplo, os funcionários do departamento de RH).
  2. categorias especiais de dados pessoais: Também é essencial especificar categorias especiais de dados. Este é o tipo de dados coletados, por exemplo, nome e sobrenome, número do seguro social, endereço, ou similares.
  3. sujeitos dos dados: Além disso, devem ser determinadas categorias de sujeitos de dados, ou seja, aqueles cujos dados são aqui processados. Por exemplo, no caso de um arquivo pessoal, estes são os funcionários, em um registro de pacientes, os pacientes.
  4. destinatário dos dados: o destinatário dos dados também deve ser nomeado. O destinatário é qualquer pessoa que possa acessar e visualizar os dados após o seu processamento. No caso de processos internos, estes são os funcionários. Se os dados forem passados a terceiros externos, é, por exemplo, um consultor fiscal ou um escritório de folha de pagamento. É irrelevante se essas pessoas realmente visualizam os dados coletados. A mera possibilidade é suficiente.
  5. períodos de retenção/períodos de retirada: Além disso, devem ser observados os períodos para a eliminação dos dados pessoais e as categorias de processamento correspondentes. No caso de um arquivo pessoal, é lógico que ele seja mantido até a saída do funcionário individual, de forma semelhante aos pacientes ou clientes. Para a eliminação dos dados, a empresa deve manter um conceito de eliminação para regular o que acontece com os dados quando o período de retenção tiver expirado.

Dica: Com a Plataforma de Proteção de Dados Priverion, você pode criar um Registro de Atividades de Processamento em conformidade com a lei de forma clara e descomplicada. Isto documenta todos os processos em sua empresa que utilizam dados pessoais. Ele resume todas as informações legais necessárias e fornece uma visão geral atualizada em todo momento, por exemplo, a finalidade do processamento, sua base legal, as pessoas envolvidas, os responsáveis e todas as informações necessárias para provar a conformidade com as leis de proteção de dados. A ligação inteligente entre os períodos de exclusão e retenção e nosso panorama do sistema permite saber a qualquer momento quais períodos de exclusão e retenção se aplicam a cada sistema (no local e na nuvem).

PEÇA UMA INSTÂNCIA DE TESTE HOJE

Teste nossa solução

Começar

Qual é a função do responsável pela proteção de dados?

É importante notar que, em princípio, o administração é responsável pela criação do registro. O responsável pela proteção de dados aconselha e apóia a empresa ou a gerência em todos os assuntos relacionados à proteção de dados. Isso também inclui o criação e gestão do Registro de Atividades de Processamento.

Primeiro, o responsável pela proteção de dados deve obter um imagem de todos os processos da empresa e obter uma visão geral. O GDPR lhe dá o autoridade para fazer isto. Para registrar cada processo que envolve dados pessoais, o RPD pode entrar em contato com os departamentos individuais e fazer com que eles expliquem como lidam com os dados pessoais.

Ao fazer isso, os responsáveis pela proteção de dados devem solicitar as seguintes indicações:

  • Quais são exatamente as atividades e processos que ocorrem?
  • A quais funcionários são confiadas estas tarefas?
  • Que programas/softwares são utilizados?
  • Quem fornece os dados?
  • A quem os dados são posteriormente encaminhados?

Além disso, o responsável pela proteção de dados pode perguntar aos departamentos individuais para apoio ativo na coleta e preparação de informações sobre os processos. Não é necessário perguntar a cada funcionário individualmente; em vez disso, é suficiente que os departamentos preparem internamente um resumo das atividades e das pessoas responsáveis e o encaminhem ao responsável pela proteção de dados para que ele possa acesse as informações coletadas no diretório de processamento.

O objetivo deste coleta de informações deve ser obter uma visão detalhada do processamento de dados pessoais especiais na empresa e assegurar o completude da ROPA.

Para este fim, também pode ser útil buscar o apoio de um consultor externo e conferir com eles quando da elaboração de um Registro de Atividades de Processamento. Nossos consultores, especializados e com experiência nesta área, conhecem as perguntas a fazer, examinam os processos existentes e estão cientes de problemas que de outra forma poderiam passar despercebidos.

É bom saber: Quando você escolhe um consultor externo, eles já estão onboarded e apropriadamente qualificado. Um olhar objetivo e bem treinado pode fazer a diferença ao criar um Registro de Atividades de Processamento e rever a proteção de dados na empresa.

Conclusão

A criação de um Registro de Atividades de Processamento é demorada; um documento de 100 páginas não é raro. A plataforma Priverion simplifica a criação e a gestão. Uma vez criado, este documento fornece insights essenciais sobre a proteção de dados. Além disso, muitos documentos que se tornarão parte de um Registro de Atividades de Processamento já existem e só precisam ser inseridos.

Durante o processo de criação, alguns erros e riscos geralmente vêm à tona que podem nunca ter sido notados. Trata-se, portanto, de um oportunidade para escrutinar, verificar e, se necessário, "declutter" adequadamente as atividades de processamento da empresa.

Ela permite que os processos sejam otimizado e atualizado. Além disso, as empresas posteriormente sabem exatamente quais dados são processados em sua empresa e quais são talvez supérfluos. Desta forma, o sistema inteiro pode se tornar mais eficiente.

Assim, além de cumprir a obrigação legal de manter tal registro, ele oferece muitos oportunidades e possibilidades. Finalmente, as empresas desenvolvem um sensibilidade para seus processos e possibilidades de otimização no tratamento de dados pessoais.

Você tem mais perguntas sobre proteção de dados, TI, ou segurança? Nossos especialistas estão felizes em ajudar! Nós o apoiaremos a qualquer momento com suas preocupações: Providencie uma inicial sem compromisso reunião.

Artigos relacionados

Reserve uma demonstração

+41 44 586 97 90

hello@priverion.com