Имам ли нужда от регистър на дейностите по обработване?
Най-общо казано, всяка организация трябва да води регистър на своите дейности по обработване. Това е списък на всички операции по обработване и може да ви помогне да направите правилни предположения за вашите отговорности съгласно ОРЗД и възможните рискове.
Всяка от тези операции по обработване трябва да бъде описана в регистъра със следната информация:
- целта на обработката (напр. лоялност на клиентите);
- категориите обработвани данни (напр. за заплати: име, собствено име, дата на раждане, заплата и т.н.);
- кой има достъп до данните (получателите — напр.: отделът, отговарящ за набирането на персонал, служителите, предоставящи ИТ услуги, ръководството, доставчиците на услуги, партньорите и т.н.);
- когато е приложимо, информация, свързана с предаване на лични данни извън Европейското икономическо пространство (ЕИП),
- когато е възможно, периодът на съхранение (периодът, за който данните са полезни от оперативна гледна точка и от гледна точка на архивирането).
- когато е възможно, общо описание на мерките за сигурност.
Регистърът на дейностите по обработване е отговорност на ръководителя на Вашата организация.
Този запис трябва да бъде на разположение на органа за защита на данните на държавата от ЕИП, в която работите, ако това бъде поискано.
Не се изисква организациите, в които работят по-малко от 250 души, да споменават в своите регистри чисто случайни дейности (напр. данни, обработвани за еднократни събития, като например откриване на магазин).
Повече информация: