GDPR: onderhoud de verwerkingsdirectory - u moet dat weten

De AVG vereist dat bijna elk bedrijf een verwerkingsmap maakt. We hebben hier samengevat wat u moet weten.

GDPR: Wie moet een verwerkingsmap bijhouden?

De AVG is niet op alle punten duidelijk geformuleerd. Sommige gebieden bieden ruimte voor interpretatie.

• Volgens artikel 30, lid 5 van de AVG hoeven bedrijven met minder dan 250 werknemers eigenlijk geen verwerkingsgids bij te houden. Deze verklaring is echter beperkt door uitzonderingen.
• Als u persoonsgegevens meer dan "incidenteel" verwerkt, moet u een dergelijke map bijhouden, zelfs als het bedrijf slechts enkele werknemers heeft. De wet gaat echter niet nader in op wat "incidenteel" betekent.
• Bedrijven moeten ook de map bijhouden als de gegevens bijzonder gevoelig zijn. Dit is bijvoorbeeld het geval bij gezondheidsgegevens of strafrechtelijke veroordelingen. Artsen of advocaten worden bijvoorbeeld getroffen.
• Als de gegevens een risico vormen voor de rechten en vrijheden van de betrokkenen, moet u ook een verwerkingsdirectory bijhouden. Dit is bijvoorbeeld het geval bij evaluaties en profilering.
• Als u bijvoorbeeld een leveranciers- of klantendatabase onderhoudt of gegevens van werknemers beheert, verplicht de wetgeving inzake gegevensbescherming u om een ​​verwerkingsdirectory bij te houden.
• U kunt er daarom van uitgaan dat de vrijstelling van de documentatieplicht slechts zeer zelden van toepassing is.
• We leggen trouwens in detail uit wat de Algemene Verordening Gegevensbescherming is in een andere praktische tip.

Gegevensbescherming: dit moet de GDPR-verwerkingsmap omvatten

Artikel 30 van de AVG specificeert de minimale vereisten waaraan een verwerkingsdirectory moet voldoen.

• Allereerst moet de map de naam en contactgegevens van de verantwoordelijke persoon bevatten.
• Bovendien moet het doel van de verwerking worden vermeld en moeten de categorieën van de betrokkenen en de categorieën van persoonlijke gegevens worden beschreven.
• De categorieën ontvangers aan wie de persoonsgegevens worden verstrekt, moeten ook worden vermeld.
• Bovendien moet de verwerkingsdirectory informatie geven over de deadlines voor het verwijderen van de afzonderlijke gegevenscategorieën.
• Indien mogelijk omvat de documentatie-eis ook een beschrijving van de organisatorische en technische maatregelen die worden gebruikt om de gegevens te verzamelen.
• U kunt bijvoorbeeld een sjabloon vinden voor het maken van de verwerkingsdirectory bij de beroepsvereniging van functionarissen voor gegevensbescherming in Duitsland.

Zodat u als website-exploitant weet waar u rekening mee moet houden, vindt u een GDPR-checklist in onze volgende praktische tip.