Ho bisogno di un registro di trattamento?

In generale, ogni organizzazione dovrebbe tenere un registro delle proprie attività di trattamento. Questo è un inventario di tutte le operazioni di trattamento e può aiutarti a formulare ipotesi corrette sulle tue responsabilità ai sensi del GDPR e sui possibili rischi.
Ciascuna di queste operazioni di trattamento deve essere descritta nel registro con le seguenti informazioni:

  • lo scopo del trattamento (ad es. fidelizzazione del cliente);
  • le categorie dei dati trattati (ad esempio, per le buste paga: cognome, nome, data di nascita, stipendio, ecc.);
  • chi ha accesso ai dati (i destinatari — ad esempio: il dipartimento incaricato del reclutamento, il servizio informatico, il management, il  gestore dei fornitori di servizi, i soci...);
  • se applicabile, le informazioni relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE);
  • ove possibile, il periodo di conservazione dei dati (il periodo per il quale i dati sono utili dal punto di vista operativo e della necessità di archiviazione);
  • ove possibile, una descrizione generale delle misure di sicurezza.

La registrazione delle attività di trattamento rientra sotto la responsabilità del responsabile dell'organizzazione.
Tale registrazione deve essere a disposizione dell'Autorità per la protezione dei dati del paese SEE in cui opera, se richiesto.

Non è necessario per le imprese/organizzazioni che impiegano meno di 250 persone menzionare attività puramente occasionali nei loro registri (ad esempio, i dati elaborati per eventi una tantum come l'apertura di un negozio).

 

Per maggiori informazioni: