GDPR: säilitage töötlemiskataloog - peate seda teadma
GDPR nõuab peaaegu kõigilt ettevõtetelt töötlemiskataloogi loomist. Oleme siin kokku võtnud, mida peate teadma.
GDPR: Kes peab töötlemiskataloogi pidama?
GDPR pole kõigis punktides selgelt sõnastatud. Mõnes valdkonnas on tõlgendamisruumi.
- GDPR artikli 30 lõike 5 kohaselt ei pea alla 250 töötajaga ettevõtted tegelikult töötlemiskataloogi pidama. Seda väidet piiravad siiski erandid.
- Kui töötlete isikuandmeid rohkem kui "aeg-ajalt", peate sellist kataloogi pidama, isegi kui ettevõttes on ainult mõned töötajad. Seadus ei täpsusta siiski täpselt, mida "aeg-ajalt" tähendab.
- Ettevõtted peavad kataloogi pidama ka siis, kui andmed on eriti tundlikud. See kehtib näiteks terviseandmete või kriminaalkorras süüdimõistvate kohtuotsuste kohta. Mõjutatud on näiteks arstid või juristid.
- Kui andmed ohustavad andmesubjektide õigusi ja vabadusi, peate pidama ka töötlemiskataloogi. See kehtib näiteks hindamiste ja profiilide koostamise kohta.
- Näiteks kui haldate tarnija või kliendi andmebaasi või haldate töötajate andmeid, kohustavad andmekaitseseadused hoidma töötlemiskataloogi.
- Seetõttu võite eeldada, et vabastamine dokumenteerimisnõudest kehtib ainult väga harva.
- Muide, me selgitame üksikasjalikult, milline on andmekaitse üldmäärus teises praktilises näpunäites.
Andmekaitse: see peab sisaldama GDPR-i töötlemiskataloogi
GDPR-i artiklis 30 on määratletud miinimumnõuded, millele töötlemiskataloog peab vastama.
- Esiteks peab kataloog sisaldama vastutava isiku nime ja kontaktandmeid.
- Lisaks tuleb täpsustada töötlemise eesmärk ning kirjeldada andmesubjektide kategooriaid ja isikuandmete kategooriaid.
- Samuti tuleb loetleda nende vastuvõtjate kategooriad, kellele isikuandmeid avalikustatakse.
- Lisaks peab töötlemiskataloog teavitama üksikute andmekategooriate kustutamise tähtaegadest.
- Võimaluse korral sisaldab dokumenteerimisnõue ka andmete kogumiseks kasutatavate organisatsiooniliste ja tehniliste meetmete kirjeldust.
- Töötlemiskataloogi loomiseks mõeldud malli leiate näiteks Saksamaa andmekaitseametnike kutseliidust.
Et teie kui veebisaidi operaator teaksite, mida peate arvestama, leiate meie järgmisest praktilisest näpunäitest GDPR-i kontrollnimekirja.