GDPR: Fenntartja a feldolgozó könyvtárat - ezt tudnia kell
A GDPR szinte minden vállalat megköveteli a feldolgozási könyvtár létrehozását. Itt összefoglaltuk, mit kell tudni.
GDPR: Kinek kell tartania a feldolgozó könyvtárat?
A GDPR nincs pontosan megfogalmazva minden pontban. Egyes területek értelmezési lehetőséget biztosítanak.
- A GDPR 30. cikke (5) bekezdésének értelmében a 250nél kevesebb alkalmazottat foglalkoztató vállalatoknak nem kell ténylegesen vezetniük a feldolgozási könyvtárat. Ezt az állítást azonban kivételek korlátozzák.
- Ha a személyes adatokat nem csak "alkalmanként" kezeli, akkor ilyen könyvtárat kell vezetnie, még akkor is, ha a vállalat csak néhány alkalmazottal rendelkezik. A törvény azonban nem részletezi pontosan, hogy mit jelent „időnként”.
- A cégeknek a könyvtárat is fenntartaniuk kell, ha az adatok különösen érzékenyek. Ez a helyzet például az egészségügyi adatokkal vagy a büntetőítéletekkel kapcsolatban. Például az orvosokat vagy az ügyvédeket érinti.
- Ha az adatok veszélyeztetik az érintettek jogait és szabadságait, akkor a feldolgozási könyvtárat is vezetnie kell. Ilyen például az értékelések és a profilozás.
- Például, ha egy beszállítót vagy ügyfél-adatbázist tart fenn, vagy az alkalmazottak adatait kezeli, az adatvédelmi törvény kötelezi a feldolgozó könyvtárakat.
- Ezért feltételezheti, hogy a dokumentációs követelmény alóli mentesség csak nagyon ritkán alkalmazandó.
- Mellesleg részletesen kifejtjük, mi az általános adatvédelmi rendelet egy másik gyakorlati tippben.
Adatvédelem: Ennek tartalmaznia kell a GDPR feldolgozási könyvtárat
A GDPR 30. cikke meghatározza azokat a minimumkövetelményeket, amelyeknek a feldolgozási könyvtárnak meg kell felelnie.
- Mindenekelőtt a könyvtárnak tartalmaznia kell a felelős személy nevét és elérhetőségét.
- Ezenkívül meg kell határozni a feldolgozás célját, és meg kell határozni az érintettek kategóriáit és a személyes adatok kategóriáit.
- A címzettek kategóriáit szintén fel kell sorolni.
- Ezenkívül a feldolgozási könyvtárnak tájékoztatnia kell az egyes adatkategóriák törlésének határidejéről.
- Ha lehetséges, a dokumentációs követelmény tartalmazza az adatgyűjtéshez használt szervezeti és technikai intézkedések leírását.
- Megtalálhatja a feldolgozási könyvtár létrehozására szolgáló sablont például a németországi adatvédelmi tisztviselők szakmai szövetségén.
Ahhoz, hogy Ön, mint weboldal üzemeltető, tudja, mit kell figyelembe vennie, a következő gyakorlati tippben megtalálja a GDPR ellenőrző listát.