Wie führt man ein DSGVO-konformes Register der Verarbeitung von Daten?
Die Allgemeine Datenschutzverordnung (oder DSGVO) tritt am 25. Mai 2018 in Kraft und gilt für alle öffentlichen Stellen und privaten Unternehmen, die personenbezogene Daten in großem Umfang verarbeiten.
Sie führt das Prinzip der Rechenschaftspflicht ein. Jeder Akteur muss jederzeit in der Lage sein, die Übereinstimmung seiner Verarbeitungstätigkeiten mit den geltenden Vorschriften nachzuweisen, woraus sich die Notwendigkeit ergibt, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dies ist eine der Hauptpflichten, um die DSGVO einzuhalten.
INHALT:
Wer muss ein Verzeichnis der Verarbeitungstätigkeiten führen?
Alle Unternehmen und Verwaltungen mit mehr als 250 Mitarbeitern sind betroffen und verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten gemäß der DSGVO zu führen.
Allerdings sind auch Unternehmen mit weniger als 250 Beschäftigten betroffen und müssen ein Verarbeitungsverzeichnis erstellen, wenn einer der folgenden Fälle vorliegt:
- Die Verarbeitung birgt wahrscheinlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen (Verarbeitungen, die zu Diskriminierung führen, die Rassenzugehörigkeit offenlegen usw.) ;
- Die Verarbeitung ist üblich (Personalverwaltung (HR), Lieferantenverwaltung oder Kundenverwaltung, die nicht nur gelegentlich erfolgen). ;
- Die durchgeführte Verarbeitung betrifft besondere Kategorien von Daten, die als "sensible Daten" bezeichnet werden (Daten über die rassische oder ethnische Herkunft, Religion oder Weltanschauung, politische oder sonstige Meinungen, Gesundheit usw.) ;
- Die durchgeführte Verarbeitung bezieht sich auf justizielle Daten.
Die Vorschriften stellen klar, dass das Fehlen der Ernennung eines Datenschutzbeauftragten (DSB) die Organisation nicht von der Pflicht entbindet, ein Register der Datenverarbeitungen zu führen.
Die neue Verordnung verpflichtet auch Auftragsverarbeiter von personenbezogenen Daten dazu, ein Register der Verarbeitung zu führen.
Was muss ein Register der Verarbeitungen enthalten?
Die Informationen im Verarbeitungsverzeichnis müssen die Beantwortung folgender Fragen ermöglichen:
- Wer? Wir zielen auf die personenbezogenen Daten des für die Verarbeitung Verantwortlichen ab,
- Warum? Dies läuft auf eine Beschreibung des Zwecks hinaus, zu dem die Daten verarbeitet werden,
- Was ist zu beachten? Es geht um die verschiedenen Kategorien der betroffenen Personen und die verarbeiteten Daten,
- Wo? Hier geht es darum, die Daten zu lokalisieren sowie die Empfänger der Daten zu nennen,
- Bis wann? Die vorgesehenen Fristen für die Vernichtung müssen festgelegt werden,
- Wie soll dies geschehen? Es geht darum, die technischen und organisatorischen Sicherheitsmaßnahmen zu beschreiben, die zum Schutz der Daten ergriffen werden müssen.
Da es keine Liste mit den genauen Elementen gibt, die in einem Verarbeitungsverzeichnis enthalten sein müssen, ist es möglich, weitere ergänzende Elemente hinzuzufügen, wie z. B. die Notwendigkeit einer Folgenabschätzung, die Aufzeichnung von Datenverletzungen etc.
Beispiel eines Verzeichnisses der Datenverarbeitung mit CaptainDPO
CaptainDPO ist eine SaaS-Softwarelösung, die DSBs dabei hilft, die Einhaltung der DSGVO in ihrer Organisation zu verwalten.
- Es wird eine Liste vorgelegt, in der die verschiedenen Verarbeitungen zusammengefasst sind,
- Die Verantwortlichen für die Verarbeitung,
- Das Unternehmen,
- Der Status jeder Verarbeitung (In Bearbeitung - Konform - Nicht konform).
CaptainDPO wird es ermöglichen, zu wissen, wo man nicht konform ist, um die notwendigen Maßnahmen ergreifen zu können, indem man Aufgaben und die Einhaltung der Vorschriften erstellt.
Die Details zu jeder Behandlung sind ebenfalls verfügbar, sie umfassen :
- Die globale Beschreibung der Behandlung,
- Der Verantwortliche für die Verarbeitung,
- Der Zweck der Verarbeitung,
- Die Sicherheitsmaßnahmen zum Schutz der Daten,
- Die Kategorie der verarbeiteten Daten,
- Der Ort, an dem sich die Daten befinden (im Falle einer Datenübermittlung außerhalb der EU).
Die Verwaltung mehrerer Datensätze ist jetzt in CaptainDPO für externe DSBs integriert.
Sanktionen bei Nichteinhaltung der Pflicht
Die Nichteinhaltung der Pflicht, ein Verarbeitungsregister zu führen, oder das Fehlen einer Folgenabschätzung vor der Verarbeitung personenbezogener Daten kann schwere Strafen nach sich ziehen.
Die Höhe der Geldstrafe kann bis zu 2 % des weltweiten Umsatzes des Unternehmens oder bis zu 10 Millionen Euro betragen. Je nachdem, welcher Betrag höher ist, wird er festgesetzt.