Ho bisogno di un registro di trattamento?
In generale, ogni organizzazione dovrebbe tenere un registro delle proprie attività di trattamento. Questo è un inventario di tutte le operazioni di trattamento e può aiutarti a formulare ipotesi corrette sulle tue responsabilità ai sensi del GDPR e sui possibili rischi.
Ciascuna di queste operazioni di trattamento deve essere descritta nel registro con le seguenti informazioni:
- lo scopo del trattamento (ad es. fidelizzazione del cliente);
- le categorie dei dati trattati (ad esempio, per le buste paga: cognome, nome, data di nascita, stipendio, ecc.);
- chi ha accesso ai dati (i destinatari — ad esempio: il dipartimento incaricato del reclutamento, il servizio informatico, il management, il gestore dei fornitori di servizi, i soci...);
- se applicabile, le informazioni relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE);
- ove possibile, il periodo di conservazione dei dati (il periodo per il quale i dati sono utili dal punto di vista operativo e della necessità di archiviazione);
- ove possibile, una descrizione generale delle misure di sicurezza.
La registrazione delle attività di trattamento rientra sotto la responsabilità del responsabile dell'organizzazione.
Tale registrazione deve essere a disposizione dell'Autorità per la protezione dei dati del paese SEE in cui opera, se richiesto.
Non è necessario per le imprese/organizzazioni che impiegano meno di 250 persone menzionare attività puramente occasionali nei loro registri (ad esempio, i dati elaborati per eventi una tantum come l'apertura di un negozio).
Per maggiori informazioni: