GDPR: onderhoud de verwerkingsdirectory - u moet dat weten
De AVG vereist dat bijna elk bedrijf een verwerkingsmap maakt. We hebben hier samengevat wat u moet weten.
GDPR: Wie moet een verwerkingsmap bijhouden?
De AVG is niet op alle punten duidelijk geformuleerd. Sommige gebieden bieden ruimte voor interpretatie.
- Volgens artikel 30, lid 5 van de AVG hoeven bedrijven met minder dan 250 werknemers eigenlijk geen verwerkingsgids bij te houden. Deze verklaring is echter beperkt door uitzonderingen.
- Als u persoonsgegevens meer dan "incidenteel" verwerkt, moet u een dergelijke map bijhouden, zelfs als het bedrijf slechts enkele werknemers heeft. De wet gaat echter niet nader in op wat "incidenteel" betekent.
- Bedrijven moeten ook de map bijhouden als de gegevens bijzonder gevoelig zijn. Dit is bijvoorbeeld het geval bij gezondheidsgegevens of strafrechtelijke veroordelingen. Artsen of advocaten worden bijvoorbeeld getroffen.
- Als de gegevens een risico vormen voor de rechten en vrijheden van de betrokkenen, moet u ook een verwerkingsdirectory bijhouden. Dit is bijvoorbeeld het geval bij evaluaties en profilering.
- Als u bijvoorbeeld een leveranciers- of klantendatabase onderhoudt of gegevens van werknemers beheert, verplicht de wetgeving inzake gegevensbescherming u om een verwerkingsdirectory bij te houden.
- U kunt er daarom van uitgaan dat de vrijstelling van de documentatieplicht slechts zeer zelden van toepassing is.
- We leggen trouwens in detail uit wat de Algemene Verordening Gegevensbescherming is in een andere praktische tip.
Gegevensbescherming: dit moet de GDPR-verwerkingsmap omvatten
Artikel 30 van de AVG specificeert de minimale vereisten waaraan een verwerkingsdirectory moet voldoen.
- Allereerst moet de map de naam en contactgegevens van de verantwoordelijke persoon bevatten.
- Bovendien moet het doel van de verwerking worden vermeld en moeten de categorieën van de betrokkenen en de categorieën van persoonlijke gegevens worden beschreven.
- De categorieën ontvangers aan wie de persoonsgegevens worden verstrekt, moeten ook worden vermeld.
- Bovendien moet de verwerkingsdirectory informatie geven over de deadlines voor het verwijderen van de afzonderlijke gegevenscategorieën.
- Indien mogelijk omvat de documentatie-eis ook een beschrijving van de organisatorische en technische maatregelen die worden gebruikt om de gegevens te verzamelen.
- U kunt bijvoorbeeld een sjabloon vinden voor het maken van de verwerkingsdirectory bij de beroepsvereniging van functionarissen voor gegevensbescherming in Duitsland.
Zodat u als website-exploitant weet waar u rekening mee moet houden, vindt u een GDPR-checklist in onze volgende praktische tip.