GDPR: Vedligeholdelse af forarbejdningskatalog - det skal du vide

GDPR kræver, at næsten alle virksomheder opretter en behandlingsmappe. Vi har her sammenfattet, hvad du har brug for at vide.

GDPR: Hvem skal opbevare en forarbejdningskatalog?

GDPR er ikke klart formuleret i alle punkter. Nogle områder giver plads til fortolkning.

• I henhold til artikel 30, stk. 5 GDPR, er virksomheder med mindre end 250 ansatte faktisk ikke nødt til at føre en forarbejdningskatalog. Denne erklæring er dog begrænset af undtagelser.
• Hvis du behandler personoplysninger mere end "lejlighedsvis", skal du opbevare en sådan mappe, selvom virksomheden kun har få ansatte. Loven uddyber imidlertid ikke nøjagtigt, hvad "lejlighedsvis" betyder.
• Virksomheder er også forpligtet til at vedligeholde kataloget, hvis dataene er særlig følsomme. Dette er f.eks. Tilfældet med sundhedsdata eller strafferetlige overbevisninger. For eksempel påvirkes læger eller advokater.
• Hvis dataene udgør en risiko for de registreredes rettigheder og friheder, skal du også opbevare en behandlingsmappe. Dette er f.eks. Tilfældet med evalueringer og profilering.
• For eksempel, hvis du vedligeholder en leverandør eller en kundedatabase eller administrerer medarbejderdata, forpligter databeskyttelsesloven dig til at vedligeholde en behandlingsmappe.
• Du kan derfor antage, at undtagelsen fra dokumentationskravet kun gælder meget sjældent.
• For øvrig forklarer vi detaljeret, hvad den almindelige databeskyttelsesforordning er i et andet praktisk tip.

Databeskyttelse: Dette skal omfatte GDPR-behandlingsmappen

Artikel 30 i GDPR specificerer de mindstekrav, som en behandlingsmappe skal opfylde.

• Først og fremmest skal kataloget indeholde navn og kontaktoplysninger for den ansvarlige.
• Desuden skal formålet med behandlingen anføres, og kategorien af ​​de registrerede og kategorierne af personlige data skal beskrives.
• De kategorier af modtagere, som de personlige data videregives til, skal også angives.
• Derudover skal behandlingsbiblioteket informere om fristerne for sletning af de enkelte datakategorier.
• Dokumentationskravet inkluderer om muligt også en beskrivelse af de organisatoriske og tekniske foranstaltninger, der bruges til at indsamle dataene.
• Du kan f.eks. Finde en skabelon til oprettelse af behandlingsmappen hos den professionelle sammenslutning af databeskyttelsesansvarlige i Tyskland.

Så du som webstedsoperatør ved, hvad du skal overveje, finder du en GDPR-tjekliste i vores næste praktiske tip.