GDPR: Vedligeholdelse af forarbejdningskatalog - det skal du vide
GDPR kræver, at næsten alle virksomheder opretter en behandlingsmappe. Vi har her sammenfattet, hvad du har brug for at vide.
GDPR: Hvem skal opbevare en forarbejdningskatalog?
GDPR er ikke klart formuleret i alle punkter. Nogle områder giver plads til fortolkning.
- I henhold til artikel 30, stk. 5 GDPR, er virksomheder med mindre end 250 ansatte faktisk ikke nødt til at føre en forarbejdningskatalog. Denne erklæring er dog begrænset af undtagelser.
- Hvis du behandler personoplysninger mere end "lejlighedsvis", skal du opbevare en sådan mappe, selvom virksomheden kun har få ansatte. Loven uddyber imidlertid ikke nøjagtigt, hvad "lejlighedsvis" betyder.
- Virksomheder er også forpligtet til at vedligeholde kataloget, hvis dataene er særlig følsomme. Dette er f.eks. Tilfældet med sundhedsdata eller strafferetlige overbevisninger. For eksempel påvirkes læger eller advokater.
- Hvis dataene udgør en risiko for de registreredes rettigheder og friheder, skal du også opbevare en behandlingsmappe. Dette er f.eks. Tilfældet med evalueringer og profilering.
- For eksempel, hvis du vedligeholder en leverandør eller en kundedatabase eller administrerer medarbejderdata, forpligter databeskyttelsesloven dig til at vedligeholde en behandlingsmappe.
- Du kan derfor antage, at undtagelsen fra dokumentationskravet kun gælder meget sjældent.
- For øvrig forklarer vi detaljeret, hvad den almindelige databeskyttelsesforordning er i et andet praktisk tip.
Databeskyttelse: Dette skal omfatte GDPR-behandlingsmappen
Artikel 30 i GDPR specificerer de mindstekrav, som en behandlingsmappe skal opfylde.
- Først og fremmest skal kataloget indeholde navn og kontaktoplysninger for den ansvarlige.
- Desuden skal formålet med behandlingen anføres, og kategorien af de registrerede og kategorierne af personlige data skal beskrives.
- De kategorier af modtagere, som de personlige data videregives til, skal også angives.
- Derudover skal behandlingsbiblioteket informere om fristerne for sletning af de enkelte datakategorier.
- Dokumentationskravet inkluderer om muligt også en beskrivelse af de organisatoriske og tekniske foranstaltninger, der bruges til at indsamle dataene.
- Du kan f.eks. Finde en skabelon til oprettelse af behandlingsmappen hos den professionelle sammenslutning af databeskyttelsesansvarlige i Tyskland.
Så du som webstedsoperatør ved, hvad du skal overveje, finder du en GDPR-tjekliste i vores næste praktiske tip.