GDPR: вести каталог обработки - вам нужно знать, что

GDPR требует, чтобы почти каждая компания создала каталог обработки. Мы суммировали здесь то, что вам нужно знать.

GDPR: Кто должен вести каталог обработки?

ВВПР четко не сформулирован по всем пунктам. В некоторых областях есть место для интерпретации.

• Согласно пункту 5 статьи 30 GDPR, компаниям с числом занятых менее 250 человек фактически не нужно вести каталог обработки. Однако это утверждение ограничено исключениями.
• Если вы обрабатываете персональные данные чаще, чем «время от времени», вы должны хранить такой каталог, даже если в компании всего несколько сотрудников. Тем не менее, закон не уточняет, что именно означает «изредка».
• Компании также обязаны поддерживать каталог, если данные являются особенно конфиденциальными. Это относится, например, к данным о здоровье или обвинительным приговорам. Например, врачи или адвокаты страдают.
• Если данные представляют угрозу для прав и свобод субъектов данных, вы также должны хранить каталог обработки. Это имеет место, например, с оценками и профилированием.
• Например, если вы ведете базу данных о поставщиках или клиентах или управляете данными сотрудников, закон о защите данных обязывает вас поддерживать каталог обработки.
• Поэтому вы можете предположить, что освобождение от требования к документации применяется очень редко.
• Кстати, мы подробно объясняем, что такое Общее положение о защите данных, в другом практическом совете.

Защита данных: это должно включать каталог обработки GDPR

В статье 30 ГДПР указаны минимальные требования, которым должен соответствовать каталог обработки.

• Прежде всего, каталог должен содержать имя и контактные данные ответственного лица.
• Кроме того, должна быть указана цель обработки и должны быть описаны категории субъектов данных и категории персональных данных.
• Категории получателей, которым раскрываются личные данные, также должны быть указаны.
• Кроме того, каталог обработки должен сообщать о сроках удаления отдельных категорий данных.
• Если возможно, требование к документации также включает описание организационных и технических мер, которые используются для сбора данных.
• Вы можете найти шаблон для создания каталога обработки, например, в профессиональной ассоциации специалистов по защите данных в Германии.

Чтобы вы, как оператор веб-сайта, знали, что вам нужно учитывать, вы найдете контрольный список GDPR в нашем следующем практическом совете.