Имам ли нужда от регистър на дейностите по обработване?

Най-общо казано, всяка организация трябва да води регистър на своите дейности по обработване. Това е списък на всички операции по обработване и може да ви помогне да направите правилни предположения за вашите отговорности съгласно ОРЗД и възможните рискове.
Всяка от тези операции по обработване трябва да бъде описана в регистъра със следната информация:

  • целта на обработката (напр. лоялност на клиентите);
  • категориите обработвани данни (напр. за заплати: име, собствено име, дата на раждане, заплата и т.н.);
  • кой има достъп до данните (получателите — напр.: отделът, отговарящ за набирането на персонал, служителите, предоставящи  ИТ услуги, ръководството, доставчиците на услуги, партньорите и т.н.);
  • когато е приложимо, информация, свързана с предаване на лични данни извън Европейското икономическо пространство (ЕИП),
  • когато е възможно, периодът на съхранение (периодът, за който данните са полезни от оперативна гледна точка и от гледна точка на архивирането).
  • когато е възможно, общо описание на мерките за сигурност.

Регистърът на дейностите по обработване е отговорност на ръководителя на Вашата организация.
Този запис трябва да бъде на разположение на органа за защита на данните на държавата от ЕИП, в която работите, ако това бъде поискано.


Не се изисква организациите, в които работят по-малко от 250 души, да споменават в своите регистри чисто случайни дейности (напр. данни, обработвани за еднократни събития, като например откриване на магазин).
 

 

Повече информация: