Das Register der Verarbeitungstätigkeiten, wie es in Artikel 30 der DSGVO festgelegt ist, ermöglicht es der Organisation, alle Datenverarbeitungsvorgänge zu definieren. Jedes Unternehmen muss auch in der Lage sein zu erklären, was es mit den ihm zugewiesenen personenbezogenen Daten macht.
Datenverarbeitungsregister: ein wichtiges Kontrollinstrument
Das Datenverarbeitungsregister ist ein Dokument, das die Bewertung und Klassifizierung aller von einem Unternehmen erhobenen personenbezogenen Daten ermöglicht. Dieses Dokument muss die Realität der angewandten Verfahren widerspiegeln:
Neben der Verpflichtung zur Führung eines Registers gemäß Artikel 30 der Datenschutz-Grundverordnung ist das Datenverarbeitungsregister ein Verwaltungsinstrument und ein Nachweis für die Einhaltung der Datenschutz-Grundverordnung. Dieses Register ermöglicht es einer Organisation, die Verarbeitung von Daten zu erfassen und sich dabei die wesentlichen Fragen zu stellen, nämlich:
Die Entwicklung eines regelmäßig aktualisierten Datenverarbeitungsregisters ermöglicht es daher jedem von der DSGVO betroffenen Unternehmen, die sich aus dieser Gesetzgebung ergebenden Risiken zu erkennen, aber auch zu priorisieren. Die Einrichtung eines solchen Registers ist daher notwendig, um einen Aktionsplan zu erstellen, der die Datenverarbeitung in Übereinstimmung mit den DSGVO-Sicherheitsvorschriften bringt.
Für wen ist das Datenverarbeitungsregister von Bedeutung?
Die Datenverarbeitung ist für alle öffentlichen und privaten Stellen, die personenbezogene Daten europäischer Bürger verarbeiten, unabhängig von ihrer Größe obligatorisch.
Die Organisationen, die befugt sind, personenbezogene Daten im Auftrag einer anderen Organisation zu verarbeiten (z. B. Unterauftragnehmer wie IT-Dienstleister, Kommunikationsunternehmen, Marketingagenturen usw.), müssen ebenfalls Aufzeichnungen über ihre Tätigkeiten führen.
Das Register des für die Datenverarbeitung Verantwortlichen
Das Register der für die Datenverarbeitung Verantwortlichen muss alle Verarbeitungen personenbezogener Daten enthalten, die nur von der betreffenden Organisation durchgeführt werden. Vorzugsweise sollte für jeden Vorgang ein Protokollblatt erstellt werden. Dieses Register muss den Namen und die Kontaktdaten der betreffenden Organisation enthalten, aber auch die ihres Vertreters, es sei denn, die Organisation befindet sich in der Europäischen Union. Der Name des Datenschutzbeauftragten muss ebenfalls in diesem Register erscheinen.
Außerdem muss das Registerblatt mindestens die folgenden Kriterien für jede Verarbeitungstätigkeit enthalten:
Das Register des Unterauftragnehmers
Das Verarbeitungsverzeichnis des Unterauftragnehmers muss alle Arten von Datenverarbeitungstätigkeiten enthalten, die im Auftrag der Kunden durchgeführt werden.
Dieser sollte für jede Art von Maßnahme, die für einen Kunden durchgeführt wird, mindestens die folgenden Elemente enthalten:
Schließlich ist es möglich, ein Protokoll der Datenverarbeitungstätigkeiten zu erstellen und einen Überblick darüber zu erhalten, was Sie mit den personenbezogenen Daten tun. Artikel 30 der DSGVO schreibt vor, dass alle Daten, wie angegeben, aufgezeichnet werden müssen. Sie können dies als Leitfaden verwenden, um sicherzustellen, dass Sie die DSGVO einhalten.