GDPR: Mantieni la directory di elaborazione - devi saperlo
Il GDPR richiede a quasi tutte le aziende di creare una directory di elaborazione. Abbiamo riassunto qui ciò che devi sapere.
GDPR: Chi deve conservare una directory di elaborazione?
Il GDPR non è chiaramente formulato in tutti i punti. Alcune aree lasciano spazio all'interpretazione.
- Secondo l'articolo 30 capoverso 5 GDPR, le società con meno di 250 dipendenti non devono effettivamente tenere una directory di elaborazione. Tuttavia, questa affermazione è limitata da eccezioni.
- Se si elaborano dati personali più che "occasionalmente", è necessario conservare tale directory, anche se la società ha solo pochi dipendenti. Tuttavia, la legge non elabora esattamente cosa significhi "occasionalmente".
- Le aziende sono inoltre tenute a mantenere la directory se i dati sono particolarmente sensibili. Questo è il caso, ad esempio, di dati sanitari o condanne penali. Ad esempio, i medici o gli avvocati sono interessati.
- Se i dati rappresentano un rischio per i diritti e le libertà degli interessati, è inoltre necessario mantenere una directory di elaborazione. Questo è il caso, ad esempio, delle valutazioni e della profilazione.
- Ad esempio, se gestisci un database di fornitori o clienti o gestisci i dati dei dipendenti, la legge sulla protezione dei dati ti obbliga a mantenere una directory di elaborazione.
- Pertanto, si può presumere che l'esenzione dall'obbligo di documentazione si applichi molto raramente.
- A proposito, spieghiamo in dettaglio che cosa è il regolamento generale sulla protezione dei dati in un altro suggerimento pratico.
Protezione dei dati: questo deve includere la directory di elaborazione GDPR
L'articolo 30 del GDPR specifica i requisiti minimi che una directory di elaborazione deve soddisfare.
- Prima di tutto, la directory deve contenere il nome e i dettagli di contatto della persona responsabile.
- Inoltre, deve essere indicato lo scopo del trattamento e devono essere descritte le categorie degli interessati e le categorie di dati personali.
- Devono inoltre essere elencate le categorie di destinatari a cui vengono comunicati i dati personali.
- Inoltre, la directory di elaborazione deve indicare le scadenze per l'eliminazione delle singole categorie di dati.
- Se possibile, l'obbligo di documentazione include anche una descrizione delle misure organizzative e tecniche utilizzate per raccogliere i dati.
- Ad esempio, è possibile trovare un modello per la creazione della directory di elaborazione presso l'associazione professionale dei responsabili della protezione dei dati in Germania.
In modo che tu come gestore del sito web sappia cosa devi considerare, troverai una checklist GDPR nel nostro prossimo consiglio pratico.