Legea GDPR 2018 actualizata

(1)   Fiecare operator si, dupa caz, reprezentantul acestuia pastreaza o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea lor. Respectiva evidenta cuprinde toate urmatoarele informatii: 
(a) numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor; 
(b) scopurile prelucrarii; 
(c) o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal; 
(d) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale; 
(e) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, in cazul transferurilor mentionate la articolul 49 alineatul (1) al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate; 
(f) acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date; 
(g) acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 32 alineatul (1). 

(2)   Fiecare operator si, dupa caz, persoana imputernicita de operator pastreaza o evidenta a tuturor categoriilor de activitati de prelucrare desfasurate in numele operatorului, care cuprind: 
(a) numele si datele de contact ale persoanei sau persoanelor imputernicite de operator si ale fiecarui operator in numele caruia actioneaza aceasta persoana (aceste persoane), precum si ale reprezentantului operatorului sau al persoanei imputernicite de operator, dupa caz; 
 
(b) categoriile de activitati de prelucrare desfasurate in numele fiecarui operator; 
 
(c) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, in cazul transferurilor prevazute la articolul 49 alineatul (1) al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate; 
 
(d) acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 32 alineatul (1). 
 
(3)   Evidentele mentionate la alineatele (1) si (2) se formuleaza in scris, inclusiv in format electronic. 
 
(4)  Operatorul sau persoana imputernicita de acesta, precum si, dupa caz, reprezentantul operatorului sau al persoanei imputernicite de operator pun evidentele la dispozitia autoritatii de supraveghere, la cererea acesteia. 
 
(5)   Obligatiile mentionate la alineatele 1 si 2 nu se aplica unei intreprinderi sau organizatii cu mai putin de 250 de angajati, cu exceptia cazului in care prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnari penale si infractiuni, astfel cum se mentioneaza la articolul 10.

Capitolul IV – Operatorul si persoana imputernicita de operator