INFORMATIONEN

Wozu dient ein Datenverarbeitungsregister?

Das Register der Verarbeitungstätigkeiten, wie es in Artikel 30 der DSGVO festgelegt ist, ermöglicht es der Organisation, alle Datenverarbeitungsvorgänge zu definieren. Jedes Unternehmen muss auch in der Lage sein zu erklären, was es mit den ihm zugewiesenen personenbezogenen Daten macht.

Datenverarbeitungsregister: ein wichtiges Kontrollinstrument

Das Datenverarbeitungsregister ist ein Dokument, das die Bewertung und Klassifizierung aller von einem Unternehmen erhobenen personenbezogenen Daten ermöglicht. Dieses Dokument muss die Realität der angewandten Verfahren widerspiegeln:

  • Die zahlreichen an der Datenverarbeitung beteiligten Parteien: Leiter, Unterauftragnehmer, Mitverwalter usw.
  • Die verschiedenen Arten von Daten, die verarbeitet werden;
  • Wozu werden die Daten erhoben, wer kann sie nutzen und an wen werden sie übermittelt?
  • Wie lange diese Daten gespeichert wurden;
  • Wie die Informationen geschützt werden.
  • Neben der Verpflichtung zur Führung eines Registers gemäß Artikel 30 der Datenschutz-Grundverordnung ist das Datenverarbeitungsregister ein Verwaltungsinstrument und ein Nachweis für die Einhaltung der Datenschutz-Grundverordnung. Dieses Register ermöglicht es einer Organisation, die Verarbeitung von Daten zu erfassen und sich dabei die wesentlichen Fragen zu stellen, nämlich:

  • Sind die Daten ausreichend geschützt?
  • Brauche ich diese Daten für meine Tätigkeit?
  • Ist es sinnvoll, diese Daten so lange aufzubewahren?
  • Die Entwicklung eines regelmäßig aktualisierten Datenverarbeitungsregisters ermöglicht es daher jedem von der DSGVO betroffenen Unternehmen, die sich aus dieser Gesetzgebung ergebenden Risiken zu erkennen, aber auch zu priorisieren. Die Einrichtung eines solchen Registers ist daher notwendig, um einen Aktionsplan zu erstellen, der die Datenverarbeitung in Übereinstimmung mit den DSGVO-Sicherheitsvorschriften bringt.

    Für wen ist das Datenverarbeitungsregister von Bedeutung?

    Die Datenverarbeitung ist für alle öffentlichen und privaten Stellen, die personenbezogene Daten europäischer Bürger verarbeiten, unabhängig von ihrer Größe obligatorisch.

    Die Organisationen, die befugt sind, personenbezogene Daten im Auftrag einer anderen Organisation zu verarbeiten (z. B. Unterauftragnehmer wie IT-Dienstleister, Kommunikationsunternehmen, Marketingagenturen usw.), müssen ebenfalls Aufzeichnungen über ihre Tätigkeiten führen.

    Das Register des für die Datenverarbeitung Verantwortlichen

    Das Register der für die Datenverarbeitung Verantwortlichen muss alle Verarbeitungen personenbezogener Daten enthalten, die nur von der betreffenden Organisation durchgeführt werden. Vorzugsweise sollte für jeden Vorgang ein Protokollblatt erstellt werden. Dieses Register muss den Namen und die Kontaktdaten der betreffenden Organisation enthalten, aber auch die ihres Vertreters, es sei denn, die Organisation befindet sich in der Europäischen Union. Der Name des Datenschutzbeauftragten muss ebenfalls in diesem Register erscheinen.

    Außerdem muss das Registerblatt mindestens die folgenden Kriterien für jede Verarbeitungstätigkeit enthalten:

  • Name und Kontaktinformationen des gemeinsam für die Verarbeitung Verantwortlichen, falls zutreffend;
  • Zweck(e), für den/die die Informationen gesammelt wurden;
  • Welche Arten von Personen sind an der Datenerhebung beteiligt (Kunden, Interessenten, Mitarbeiter usw.)?
  • Auflistung der verschiedenen Arten von personenbezogenen Daten: Name, Bankdaten, Standortdaten, Kontaktdaten, familiäre oder wirtschaftliche Situation usw.);
  • Kategorien von Empfängern, an die personenbezogene Daten weitergegeben wurden oder werden, einschließlich der von Ihnen beauftragten Subunternehmer;
  • Alle Übermittlungen personenbezogener Daten in ein anderes Land oder an eine ausländische Stelle. In einigen Ausnahmefällen müssen Sie auch die für diese Übermittlungen gegebenen Zusicherungen dokumentieren;
  • Beachten Sie die Fristen, die für die Löschung jeder Art von personenbezogenen Daten vorgesehen sind: ihre Aufbewahrungsfrist oder die Nichtberücksichtigung der Bedingungen für die Festlegung der letzteren.
  • Das Register des Unterauftragnehmers

    Das Verarbeitungsverzeichnis des Unterauftragnehmers muss alle Arten von Datenverarbeitungstätigkeiten enthalten, die im Auftrag der Kunden durchgeführt werden.

    Dieser sollte für jede Art von Maßnahme, die für einen Kunden durchgeführt wird, mindestens die folgenden Elemente enthalten:

  • Name und Kontaktdaten jedes Kunden und des für die Verarbeitung Verantwortlichen, für den Sie die Daten verarbeiten sollen;
  • Name und Kontaktinformationen aller Unterauftragnehmer, die Sie einsetzen;
  • Die verschiedenen Arten der Datenanalyse, die im Auftrag Ihrer Kunden durchgeführt werden;
  • Übermittlung von personenbezogenen Daten an ein anderes Land oder eine ausländische Organisation;
  • Gegebenenfalls eine allgemeine Übersicht über die zum Schutz der Daten getroffenen Sicherheitsmaßnahmen (technisch und organisatorisch).
  • Schließlich ist es möglich, ein Protokoll der Datenverarbeitungstätigkeiten zu erstellen und einen Überblick darüber zu erhalten, was Sie mit den personenbezogenen Daten tun. Artikel 30 der DSGVO schreibt vor, dass alle Daten, wie angegeben, aufgezeichnet werden müssen. Sie können dies als Leitfaden verwenden, um sicherzustellen, dass Sie die DSGVO einhalten.