INFORMATIONEN

DSGVO: Aufzeichnungen über Verarbeitungstätigkeiten

Artikel 30 der EU-Verordnung 679/2016 (DSGVO) enthält eine neue Bestimmung über Verzeichnisse von Verarbeitungstätigkeiten, für die der für die Verarbeitung Verantwortliche und, falls benannt, der Verantwortliche für die Datenverarbeitung verantwortlich sind.

Von dem Unternehmen wird erwartet, dass es alle Vorgänge offenlegt, die mit den verarbeiteten Registerdaten durchgeführt werden. Bei der Überprüfung durch die zuständigen Behörden können die Register sowohl in Papierform als auch in digitaler Form geführt und angezeigt werden.

Wer ist für die Erstellung der Register zuständig?

Von Organisationen mit 250 oder mehr Mitarbeitern wird erwartet, dass sie Aufzeichnungen führen; für Organisationen, die weniger Mitarbeiter beschäftigen, ist eine Verpflichtung vorgesehen, wenn die durchgeführte Verarbeitung die Rechte und Freiheiten der betroffenen Personen gefährdet oder besondere Kategorien von betroffenen Personen betrifft (z. B. genetische oder biometrische Daten oder Daten, aus denen die rassische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft usw. hervorgehen).

In diesem Zusammenhang ist es wichtig, darauf hinzuweisen, dass es nicht einfach ist, das Vorhandensein oder Nichtvorhandensein von Risikobehandlungen zu bestimmen, da es viele Variablen gibt, die eine Vorprüfung erforderlich machen, die im Falle kleiner Unternehmen eine größere Belastung darstellt als die Verwaltung der Register selbst.

Warum ist das Behandlungsregister wichtig?

Die folgende Frage wird häufig gestellt: „… aber im Falle einer Überprüfung durch die zuständigen Behörden, welche Elemente sind zu beachten, um die Einhaltung der Rechtsvorschriften nachzuweisen?“

Die Verpflichtung, nachzuweisen, dass Sie die Standardkriterien erfüllt haben, ist ein Recht aus der Datenschutz-Grundverordnung, das bei unsachgemäßer Handhabung ein Grund für die Nichteinhaltung sein kann, eine Quelle von Schwierigkeiten und Peinlichkeiten innerhalb der Organisation.

In diesem Sinne ist das Register der Verarbeitungstätigkeiten ein wichtiges Instrument. Es ermöglicht dem für die Datenverarbeitung Verantwortlichen. Der Verantwortliche ist in der Lage, den Umfang der Verarbeitungen einzugrenzen, indem er alle Elemente, die sie definieren, in einer analytischen und organisierten Weise aufzeichnet.

Theoretisch muss jeder im Register gemeldete Verarbeitungsvorgang anhand einer Reihe von Details identifiziert werden, die sich darauf beziehen:

  • Umfang, Zweck und Kategorien der Verarbeitung;
  • Persönliche Daten;
  • Betroffene Personen;
  • Datenübertragung ins Ausland;
  • Konservierung der getroffenen Maßnahmen;
  • Rechtmäßigkeit der Verarbeitung;
  • Quelle der personenbezogenen Daten;
  • Zustimmung der betroffenen Parteien.
  • Schließlich darf nicht vergessen werden, dass die Verfügbarkeit des Registers für die Behörden selbst eine Form der Vereinfachung der Zusammenarbeit darstellt, da sie den Grad der Durchsetzung genauer beurteilen können.