GDPR: Udržujte adresář zpracování - to musíte vědět
GDPR vyžaduje, aby téměř každá společnost vytvořila adresář pro zpracování. Shrnuli jsme zde, co potřebujete vědět.
GDPR: Kdo musí vést zpracovávací adresář?
GDPR není jasně formulován ve všech bodech. Některé oblasti umožňují prostor pro interpretaci.
- Podle čl. 30 odst. 5 GDPR nemusí společnosti s méně než 250 zaměstnanci ve skutečnosti vést zpracovávací adresář. Toto tvrzení je však omezeno výjimkami.
- Pokud zpracováváte osobní údaje více než „příležitostně“, musíte takový adresář uchovávat, i když společnost má jen několik zaměstnanců. Zákon však neupřesňuje, co přesně „občas“ znamená.
- Společnosti jsou také povinny udržovat adresář, pokud jsou data zvláště citlivá. To je například případ zdravotních údajů nebo odsouzení za trestný čin. Jsou ovlivněny například lékaři nebo právníci.
- Pokud data představují riziko pro práva a svobody subjektů údajů, musíte také vést zpracovávací adresář. To je například případ hodnocení a profilování.
- Pokud například spravujete databázi dodavatelů nebo zákazníků nebo spravujete údaje o zaměstnancích, zákon o ochraně dat vás zavazuje k tomu, abyste vedli zpracovávací adresář.
- Lze tedy předpokládat, že výjimka z požadavku na dokumentaci platí jen zřídka.
- Mimochodem podrobně vysvětlíme, co je obecné nařízení o ochraně údajů v jiném praktickém tipu.
Ochrana dat: Musí obsahovat adresář pro zpracování GDPR
Článek 30 GDPR stanoví minimální požadavky, které musí zpracovatelský adresář splňovat.
- Především musí adresář obsahovat jméno a kontaktní údaje odpovědné osoby.
- Kromě toho musí být uveden účel zpracování a musí být popsány kategorie subjektů údajů a kategorie osobních údajů.
- Musí být rovněž uvedeny kategorie příjemců, kterým jsou osobní údaje sděleny.
- Kromě toho musí zpracovatelský adresář informovat o lhůtách pro odstranění jednotlivých kategorií dat.
- Pokud je to možné, zahrnuje požadavek na dokumentaci také popis organizačních a technických opatření, která se používají ke shromažďování údajů.
- Šablonu pro vytvoření adresáře pro zpracování najdete například u profesního sdružení úředníků pro ochranu údajů v Německu.
Aby jste jako provozovatel webových stránek věděli, co musíte zvážit, najdete kontrolní seznam GDPR v našem dalším praktickém tipu.