Obligația de păstrare a evidenței activităților de prelucrare a datelor cu caracter personal

Prior to the General Data Protection Regulation (GDPR), the procedure for notifying the supervisory authority was designed to ensure disclosure of the purposes and main features of any processing operation for the purpose of verification that the operation is in accordance with the national measures taken under Directive 95/46/EC. With the application of Regulation (EU) 2016/679, controllers are no longer required to notify data processing, however, in order to demonstrate compliance, the controller or processor should maintain records of processing activities under its responsibility. As such, the aim of this study is to analyze the content and limits of this new obligation for those who process personal data, taking into account both the text of Regulation (EU) 2016/679 and the position of the European Data Protection Board.

Anterior Regulamentului general privind protecția datelor (RGPD), notificarea autorităților de supraveghere era destinată să organizeze publicitatea scopurilor și caracteristicilor principale ale prelucrării, pentru ca aceasta să poată controla dacă prelucrarea datelor este în conformitate cu măsurile interne adoptate în temeiul Directivei 95/46/CE. Odată cu aplicarea Regulamentului (UE) 2016/679 operatorii nu mai au obligația notificării prelucrărilor de date, însă, în vederea demonstrării conformității, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidențe ale activităților de prelucrare aflate în responsabilitatea sa. Astfel, acest studiu îşi propune să analizeze conţinutul şi limitele acestei noi obligaţii ce revine celor ce prelucrează date cu caracter personal, având în vedere atât textul Regulamentului (UE) 2016/679, cât şi poziţia Comitetului european pentru protecția datelor.