Verzeichnis „Verantwortlicher"

Erfahren Sie, wie Sie das Verzeichnis "Verantwortlicher" in Dastra verwenden.

Einführung

Artikel 30 der DSGVO sieht spezifische Pflichten für das Verzeichnis des Verantwortlichen für die Verarbeitung personenbezogener Daten und für das Verzeichnis des Auftragsverarbeiters vor. Wenn Ihre Organisation sowohl als Auftragsverarbeiter als auch als Verantwortlicher tätig ist, muss Ihr Verzeichnis daher die beiden Tätigkeitskategorien klar unterscheiden.

In der Praxis empfiehlt die CNIL in diesem Fall, 2 Verzeichnisse zu führen:

eines für die Verarbeitungen personenbezogener Daten, für die Sie selbst verantwortlich sind,
ein weiteres für die Verarbeitungen, die Sie als Auftragsverarbeiter für Ihre Kunden durchführen.

Der Rest dieser Seite behandelt ausschließlich das Verzeichnis "Verantwortlicher".

Das Verzeichnis "Verantwortlicher"

Für jede Verarbeitung enthält das Verzeichnis eines Verantwortlichen mindestens:

gegebenenfalls den Namen und die Kontaktdaten des gemeinsamen Verantwortlichen der durchgeführten Verarbeitung
die Verarbeitungszwecke, das Ziel, für das Sie diese Daten erhoben haben
die Kategorien betroffener Personen (Kunde, Interessent, Mitarbeiter usw.)
die Kategorien personenbezogener Daten (Beispiele: Identität, Familiensituation, wirtschaftliche oder finanzielle Situation, Bankdaten, Verbindungsdaten, Standortdaten usw.)
die Kategorien von Empfängern, denen die personenbezogenen Daten mitgeteilt wurden oder werden, einschließlich der Auftragsverarbeiter, die Sie beauftragen
die Datenübermittlungen in ein Drittland oder an eine internationale Organisation und in bestimmten, sehr besonderen Fällen die für diese Übermittlungen vorgesehenen Garantien
die vorgesehenen Löschfristen für die verschiedenen Datenkategorien, d. h. die Speicherdauer, oder andernfalls die Kriterien zu deren Bestimmung
soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die Sie umsetzen

Die Stakeholder

Die Identität und Kontaktdaten des Verantwortlichen
Die Identität und Kontaktdaten des Datenschutzbeauftragten, falls zutreffend
Die Identität und Kontaktdaten des Vertreters, falls zutreffend
Der oder die gemeinsamen Verantwortlichen, falls zutreffend

Die Verarbeitungszwecke

Alle mit der Tätigkeit verbundenen Verarbeitungszwecke

Die Rechtsgrundlage

Erfüllung einer rechtlichen Verpflichtung
Erfüllung eines Vertrags
Berechtigte Interessen des Verantwortlichen oder eines Dritten
Öffentliches Interesse
Einwilligung
Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person

Das Dateninventar und die betroffenen Personen

Art der betroffenen Personen
Datenkategorien
Löschfristen oder anwendbare Regeln

Die Empfänger und Datenübermittlungen außerhalb des EWR

Identifizierung der Empfänger, einschließlich interner Empfänger (von der Verarbeitung betroffene Abteilung); externer Organisationen (Geschäfts- oder institutionelle Partner); Auftragsverarbeiter (Hosting-Anbieter, Lösungsanbieter); gegebenenfalls die betroffene Person selbst und gemeinsame Verantwortliche
Für jeden Empfänger die Identifizierung der Übermittlungen außerhalb des Europäischen Wirtschaftsraums (EWR) und die verwendeten Rechtsgrundlagen (Verbindliche interne Datenschutzvorschriften bei Übermittlungen außerhalb der EU mit Tochtergesellschaften, Standardvertragsklauseln, als angemessen anerkannte Länder...)

Die Sicherheitsmaßnahmen

Technische und organisatorische Maßnahmen zur Absicherung jeder Datenverarbeitung
Zum Beispiel Datenverschlüsselung, Pseudonymisierung, Zugriffsbeschränkung

Es ist möglich, eine als Verantwortlicher erstellte Verarbeitung in eine als Auftragsverarbeiter erstellte Verarbeitung umzuwandeln und umgekehrt. Die Vorgehensweise ist hier verfügbar

Weiterführende Informationen

Ihr Verzeichnis erstellen

Zuletzt aktualisiert vor 6 Tagen

War das hilfreich?