GDPR: вести каталог обработки - вам нужно знать, что
Видео по теме: (May 2024).
GDPR требует, чтобы почти каждая компания создала каталог обработки. Мы суммировали здесь то, что вам нужно знать.
GDPR: Кто должен вести каталог обработки?
ВВПР четко не сформулирован по всем пунктам. В некоторых областях есть место для интерпретации.
- Согласно пункту 5 статьи 30 GDPR, компаниям с числом занятых менее 250 человек фактически не нужно вести каталог обработки. Однако это утверждение ограничено исключениями.
- Если вы обрабатываете персональные данные чаще, чем «время от времени», вы должны хранить такой каталог, даже если в компании всего несколько сотрудников. Тем не менее, закон не уточняет, что именно означает «изредка».
- Компании также обязаны поддерживать каталог, если данные являются особенно конфиденциальными. Это относится, например, к данным о здоровье или обвинительным приговорам. Например, врачи или адвокаты страдают.
- Если данные представляют угрозу для прав и свобод субъектов данных, вы также должны хранить каталог обработки. Это имеет место, например, с оценками и профилированием.
- Например, если вы ведете базу данных о поставщиках или клиентах или управляете данными сотрудников, закон о защите данных обязывает вас поддерживать каталог обработки.
- Поэтому вы можете предположить, что освобождение от требования к документации применяется очень редко.
- Кстати, мы подробно объясняем, что такое Общее положение о защите данных, в другом практическом совете.
Защита данных: это должно включать каталог обработки GDPR
В статье 30 ГДПР указаны минимальные требования, которым должен соответствовать каталог обработки.
- Прежде всего, каталог должен содержать имя и контактные данные ответственного лица.
- Кроме того, должна быть указана цель обработки и должны быть описаны категории субъектов данных и категории персональных данных.
- Категории получателей, которым раскрываются личные данные, также должны быть указаны.
- Кроме того, каталог обработки должен сообщать о сроках удаления отдельных категорий данных.
- Если возможно, требование к документации также включает описание организационных и технических мер, которые используются для сбора данных.
- Вы можете найти шаблон для создания каталога обработки, например, в профессиональной ассоциации специалистов по защите данных в Германии.
Чтобы вы, как оператор веб-сайта, знали, что вам нужно учитывать, вы найдете контрольный список GDPR в нашем следующем практическом совете.