Register van verwerkingen
Leer wat een register van de verwerkingsactiviteiten is.
Last updated
Leer wat een register van de verwerkingsactiviteiten is.
Last updated
Het register van de verwerkingsactiviteiten brengt alle verwerkingen van persoonsgegevens op een duidelijke en gestructureerde manier in kaart en vormt het uitgangspunt voor de controles van de Autoriteit Persoonsgegevens
Het register is vastgelegd in artikel 30 van de AVG. Het helpt bij het documenteren van de naleving.
Als inventarisatie- en analysedocument moet het de realiteit van uw gegevensverwerking weerspiegelen en u in staat stellen om nauwkeurig vast te stellen :
de Stakeholders (vertegenwoordiger, Verwerkers, Verwerkingsverantwoordelijken, etc.) die betrokken zijn bij de gegevensverwerking,
de categorieën gegevensverwerking,
waarvoor de gegevens worden gebruikt** (wat u ermee doet), wie toegang heeft tot de gegevens en aan wie ze worden meegedeeld,
hoe lang u uw gegevens bewaart,
hoe veilig ze zijn.
Het register is verplicht gesteld door [artikel 30 van de AVG] (https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679). Naast het voldoen aan de verplichting van artikel 30 van de AVG, is het register een hulpmiddel voor het controleren en aantonen van uw naleving van de AVG.
Het stelt u in staat om uw gegevensverwerking te documenteren en uzelf de juiste vragen te stellen: heb ik deze gegevens echt nodig voor mijn verwerking? Heeft het zin om alle gegevens zo lang te bewaren? Zijn de gegevens voldoende beschermd? En ga zo maar door.
Het opstellen en bijwerken van een gegevensbeschermingsplan biedt de mogelijkheid om de risico's met betrekking tot de AVG te identificeren en te prioriteren. Met deze essentiële stap kunt u een actieplan opstellen om ervoor te zorgen dat uw Verwerking voldoet aan de regels voor gegevensbescherming.
Alle bedrijven die persoonsgegevens van Europese burgers verwerken, moeten een register bijhouden.
Voor bedrijven met minder dan 250 werknemers geldt een uitzondering voor het bijhouden van registers. Zij hoeven alleen de volgende gegevensverwerking te registreren:
niet-incidentele verwerkingen (bijv. salarisbeheer, klanten-/prospect- en leveranciersbeheer, enz;)
Verwerkingen die waarschijnlijk een risico inhouden voor de rechten en vrijheden van personen (bijv. geolocatiesystemen, videobewaking, enz.)
Verwerking van gevoelige gegevens (bijv. gezondheidsgegevens, strafbare feiten, enz.).
In de praktijk is deze uitzondering dus beperkt tot zeer specifieke gevallen van Verwerking die incidenteel en niet-routinematig worden uitgevoerd, zoals een communicatiecampagne ter gelegenheid van de opening van een nieuwe vestiging, op voorwaarde dat deze verwerking geen risico inhoudt voor de betrokkenen. Als er twijfel bestaat of deze vrijstelling van toepassing is op een Verwerking, raadt de CNIL u aan deze in uw register op te nemen.
Artikel 30 van de AVG bevat specifieke verplichtingen voor het register van de verwerkingsverantwoordelijke van persoonsgegevens en voor het register van de verwerker. Als uw organisatie zowel als verwerker als als verwerkingsverantwoordelijke optreedt, moet uw register duidelijk onderscheid maken tussen de twee categorieën activiteiten.
In de praktijk raadt de Gegevensbeschermingsautoriteit aan om in dit geval 2 registers bij te houden:.
één voor de gegevensverwerking waarvoor u zelf verantwoordelijk bent,
een ander voor verwerkingen die u als subcontractant namens uw klanten uitvoert.
Voor elke Verwerking vermeldt het register van de Verwerkingsverantwoordelijke ten minste :
indien van toepassing, de naam en contactgegevens van de gezamenlijk verantwoordelijke voor de verwerking die wordt uitgevoerd
de doeleinden van de verwerking, het doel waarvoor u de gegevens hebt verzameld
de categorieën betrokkenen (klant, prospect, werknemer, enz.)
de persoonlijke gegevens (voorbeelden: identiteit, familie, economische of financiële situatie, bankgegevens, verbindingsgegevens, locatiegegevens, enz.)
de categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden meegedeeld, Begrepen de Verwerkers die u gebruikt
de doorgifte van persoonsgegevens naar een derde land of naar een internationale organisatie en, in bepaalde zeer specifieke gevallen, de garanties die voor dergelijke doorgiften worden gegeven;
de termijnen die zijn vastgesteld voor het wissen van de verschillende categorieën gegevens, d.w.z. de bewaartermijn, of anders de criteria voor het bepalen daarvan
voor zover mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u toepast.
[Een "Verwerkingsverantwoordelijke" in Dastra]
De identiteit en contactgegevens van de Verwerkingsverantwoordelijke.
De identiteit en contactgegevens van de functionaris voor gegevensbescherming, indien van toepassing.
De identiteit en contactgegevens van de vertegenwoordiger, indien van toepassing
De gezamenlijke verwerkingsverantwoordelijke(n), indien van toepassing.
Alle doeleinden die verband houden met de activiteit van de Verwerking.
Nakoming van een wettelijke verplichting
Uitvoering van een contract
Gerechtvaardigd belang van het bedrijf of een derde
Algemeen belang
Toestemming
Bescherming van de vitale belangen van de betrokkene of een andere persoon.
Type betrokkenen
Categorieën van gegevens
Termijnen voor het wissen van gegevens of toepasselijke regel
Identificatie van ontvangers inclusief interne ontvangers (afdeling betrokken bij de Verwerking); externe organen (commerciële of institutionele partners); subcontractanten (host, solution provider); betrokkene indien van toepassing en gezamenlijk verantwoordelijken voor de verwerking
Voor elke ontvanger, identificatie van doorgiften buiten de Europese Economische Ruimte (EER) en de gebruikte juridische instrumenten (bindende bedrijfsregels in geval van doorgiften buiten de EU met dochterondernemingen, standaard contractuele clausules, land erkend als adequaat, enz.)
Technische en organisatorische maatregelen ter beveiliging van elke gegevensverwerking
Bijvoorbeeld gegevensversleuteling, pseudonimisering, toegangsbeperking, enz.
Elke subcontractant moet een minder uitgebreid register invullen;
Dit bevat:
de contactgegevens van de subcontractant, hun vertegenwoordiger indien van toepassing en hun DPO
de gegevens van alle Verwerkingsverantwoordelijken namens wie de subcontractant optreedt (meestal de klanten)
de categorieën gegevensverwerking
ontvangers
doorgiften buiten de EER
beveiligingsmaatregelen.
[Een "onderaannemer" verwerking in Dastra]