GDPR: Vedlikeholde behandlingsregister - du må vite det
GDPR krever at nesten alle selskaper oppretter en prosessorkatalog. Vi har oppsummert det du trenger å vite.
GDPR: Hvem må føre en prosesskatalog?
GDPR er ikke tydelig formulert i alle punkter. Noen områder gir rom for tolkning.
- I henhold til artikkel 30 paragraf 5 GDPR, trenger ikke selskaper med mindre enn 250 ansatte faktisk å føre en prosessorkatalog. Denne uttalelsen er imidlertid begrenset av unntak.
- Hvis du behandler personopplysninger mer enn "av og til", må du føre en slik katalog, selv om selskapet bare har noen få ansatte. Loven utdyper imidlertid ikke nøyaktig hva "tidvis" betyr.
- Bedrifter er også pålagt å opprettholde katalogen hvis dataene er spesielt sensitive. Dette er for eksempel tilfelle med helsedata eller straffedom. For eksempel blir leger eller advokater rammet.
- Hvis dataene utgjør en risiko for de registrertes rettigheter og friheter, må du også føre en behandlingsregister. Dette er for eksempel tilfelle med evalueringer og profilering.
- For eksempel, hvis du opprettholder en leverandør eller en kundedatabase eller administrerer ansattdata, forplikter databeskyttelsesloven deg å opprettholde en behandlingsmappe.
- Du kan derfor anta at unntaket fra dokumentasjonskravet bare gjelder svært sjelden.
- For øvrig forklarer vi detaljert hva den generelle databeskyttelsesforordningen er i et annet praktisk tips.
Databeskyttelse: Dette må inkludere GDPR-behandlingsmappen
Artikkel 30 i GDPR spesifiserer minimumskravene som en behandlingsregister må oppfylle.
- Først av alt må katalogen inneholde navn og kontaktinformasjon til den ansvarlige.
- I tillegg må formålet med behandlingen angis og kategoriene til de registrerte og kategoriene personopplysninger må beskrives.
- Kategoriene av mottakere som personopplysningene blir gitt til, må også være oppført.
- I tillegg må behandlingsregisteret informere om fristene for å slette de enkelte datakategoriene.
- Om mulig inneholder dokumentasjonskravet også en beskrivelse av organisatoriske og tekniske tiltak som brukes for å samle inn dataene.
- Du kan finne en mal for å opprette behandlingsmappen hos den profesjonelle foreningen for databeskyttelsesansvarlige i Tyskland, for eksempel.
For at du som nettstedoperatør vet hva du trenger å vurdere, finner du en GDPR-sjekkliste i vårt neste praktiske tips.