GDPR: Поддържайте директорията за обработка - трябва да знаете това
GDPR изисква почти всяка компания да създаде директория за обработка. Тук сме обобщили това, което трябва да знаете.
GDPR: Кой трябва да поддържа директория за обработка?
GDPR не е ясно формулиран във всички точки. Някои области позволяват място за интерпретация.
- Според член 30, параграф 5 от GDPR, компаниите с по-малко от 250 служители всъщност не трябва да водят директория за обработка. Това твърдение обаче е ограничено от изключения.
- Ако обработвате лични данни повече от "от време на време", трябва да поддържате такава директория, дори ако компанията има само няколко служители. Законът обаче не уточнява какво точно означава „от време на време“.
- От компаниите се изисква също да поддържат директорията, ако данните са особено чувствителни. Такъв е случаят например със здравни данни или с наказателни присъди. Например са засегнати лекари или адвокати.
- Ако данните представляват риск за правата и свободите на субектите на данни, вие също трябва да поддържате директория за обработка. Такъв е случаят например с оценки и профилиране.
- Например, ако поддържате база данни на доставчици или клиенти или управлявате данни за служители, законът за защита на данните ви задължава да поддържате директория за обработка.
- Следователно можете да приемете, че освобождаването от изискването за документация се прилага много рядко.
- Между другото, ние обясняваме подробно какво представлява Общият регламент за защита на данните в друг практически съвет.
Защита на данните: Това трябва да включва директорията за обработка на GDPR
Член 30 от GDPR определя минималните изисквания, на които трябва да отговаря директория за обработка.
- На първо място, директорията трябва да съдържа името и данните за контакт на отговорното лице.
- Освен това трябва да се посочи целта на обработването и да се опишат категориите на субектите на данни и категориите лични данни.
- Категориите получатели, на които са разкрити личните данни, също трябва да бъдат изброени.
- В допълнение директорията за обработка трябва да информира за крайните срокове за изтриване на отделните категории данни.
- Ако е възможно, изискването за документация включва също описание на организационните и техническите мерки, които се използват за събиране на данните.
- Можете да намерите шаблон за създаване на директория за обработка например в професионалната асоциация на служителите за защита на данните в Германия.
Така че вие като оператор на уебсайт знаете какво трябва да вземете предвид, в следващия ни практичен съвет ще намерите контролен списък за GDPR.