Die neue europäische Datenschutz-Grundverordnung (DSGVO), die ab dem 25. Mai 2018 verbindlich vorgeschriebene Einhaltung verlangt, enthält zahlreiche Verpflichtungen und Neuheiten.
Die neue DSGVO beseitigt die Verpflichtung, die spanische Datenschutzaufsichtsbehörde (AEPD) über die Akten zu informieren. Stattdessen wird in bestimmten Fällen eine Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten festgelegt.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Gemäß den Abschnitten 1 und 2 der DSGVO:
- Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.
- Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.
Welche Informationen sollte das Verzeichnis von Verarbeitungsaktivitäten enthalten?
Das Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen muss die folgenden Informationen enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
- die Zwecke der Verarbeitung,
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien,
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Wann ist es erforderlich, ein Verzeichnis von Verarbeitungsaktivitäten zu führen? In welchem Format soll es sein?
Kontaktieren Sie uns, wenn Sie Zweifel bezüglich des Verzeichnisses von Verarbeitungsaktivitäten haben, und wir werden Ihnen helfen!