了解数据保护——根据 GDPR 进行处理活动登记 (VVT)
概括
《通用数据保护条例》(GDPR)下的处理活动是指收集、存储、使用、传输、更改、删除或以其他方式自动或非自动使用个人数据的任何过程。
控制者必须根据 GDPR 第 30 条维护处理活动登记册。
此外,数据处理者必须根据《GDPR》第 30(2)条的规定,为代表其进行的数据处理操作准备一个专门的登记册。
该文件可作为对公司各个流程进行评估的证据。
所有负责机构通常都必须制定加工活动登记册(简称 VVT)。从概念上看,处理活动登记似乎是欧洲通用数据保护条例(GDPR)的新构造,但从内容上看,旧的联邦数据保护法中已经存在对负责机构的类似法律要求。在我们的博客文章中,您将了解哪些信息属于根据 GDPR 第 30 条规定的处理活动登记册,以及在哪些情况下负责机构和公司无需创建和维护 VVT。
内容:
GDPR 下的处理操作列表
处理登记册的强制性信息
处理器必须在其处理寄存器中包含哪些信息?
根据 GDPR 通过处理登记册免除记录要求
常问问题
处理目录
GDPR 下的处理操作列表
即使在旧法下,也存在与 VVT 类似的结构,必须由负责机构准备:根据 §§ 4 e S.1, 4g Para. 2 S.1 BDSG-old,必须准备所谓的“概述”。在实践中,在这种情况下,基本上是在谈论一个所谓的程序目录,与 GDPR 下的 VVT 相反,该目录也必须是公开可访问的,参见 BDSG-alt. 第 4 条 g 第 2 款第 2 句,并且特别适用于“所有人”根据要求访问。
然而,2018 年,BDSG 的重要性被 GDPR “取代”了,或者说被取代了。这是因为 GDPR 是欧洲法规,其级别高于德国法律。为此,BDSG进行了修订,并从GDPR出台之初就对其进行了支持,这也是为什么GDPR目前在大多数情况下是决定性因素。
处理活动的清单受 GDPR 第 30 条的管制。据此,所有控制者必须维护其负责的处理活动登记册。 GDPR 第 30 条第 1 款第 2 句 a)至 g)项中的目录规定了该登记册必须包含与所有处理操作有关的哪些信息。例如,这包括处理目的、数据主体类别和接收者类别等信息。值得注意的是,VVT 必须以书面形式记录,也可以采用电子格式记录,参见 GDPR 第 30 条第 3 款。
还应注意的是,控制者或处理者以及(如适用)控制者或处理者的代表必须根据要求向监管机构提供目录,参见 GDPR 第 30 条第 4 款。
信任越多,风险越小。
通过严密的数据保护让您的客户信服,减少审计工作量并降低您的责任。立即计算您的定制价格。
处理登记册的强制性信息
GDPR 第 30 条明确定义了信息控制者必须为每个处理操作在处理活动登记册中提供哪些信息。控制者及其代表(如适用)必须保存其负责的所有处理活动的记录。该列表必须包含以下信息:
控制者的姓名和联系方式,以及(如适用)联合控制者、控制者的代表和任何数据保护官员的姓名和联系方式(GDPR 第 30 (1) (a) 条);
处理的目的(GDPR 第 30 条第 (1) 款 (b) 项);
数据主体类别和个人数据类别的描述(GDPR 第 30 (1) (c) 条);
已经或将要披露个人数据的接收者类别,包括第三国或国际组织的接收者(GDPR 第 30 条第 1 款 d 项);
在适用的情况下,将个人数据传输到第三国或国 菲律宾号码数据 际组织,包括指明有关的第三国或国际组织,以及在《GDPR》第 49 (1) 和 (2) 条所述数据传输的情况下,记录适当的保障措施(《GDPR》第 30 (1) (e) 条);
在可能的情况下,对各类数据的删除设定时间限制(《GDPR》第 30(1)(f) 条);
如果可能的话,根据第 32 条第 1 款(GDPR 第 30 条第 1 款 g)项对技术和组织措施进行一般描述。
某些信息,例如数据保护官员的姓名和联系方式,在处理活动登记册中只能提及一次。
处理器必须在其处理寄存器中包含哪些信息?
此外,值得注意的是,不仅 GDPR 第 4 条第 7 款所指的控制者必须准备处理活动登记册,而且 GDPR 第 4 条第 8 款所指的处理者也必须准备处理活动登记册,参见 GDPR 第 30 条第 2 款。因此,每个处理者及其代表(如适用)必须保存代表控制者执行的所有类别的处理活动的记录,其中包含以下信息:
处理者或处理者们的姓名和联系方式,以及处理者所代表的每个控制者的姓名和联系方式,以及(如适用)控制者或处理者的代表以及任何数据保护官员的姓名和联系方式(GDPR 第 30 (2) (a) 条);
代表每个控制者执行的处理操作的类别(GDPR 第 30 条第 (2) 款 (b) 项);
将个人数据转移至第三国或国际组织,包括指明有关的第三国或国际组织,以及第 49(1)款所述的情况。 2、记录适当的保障措施(GDPR 第 30(2)(c)条);