GDPR: Mantener el directorio de procesamiento: debe saber que
El RGPD requiere que casi todas las empresas creen un directorio de procesamiento. Hemos resumido aquí lo que necesita saber.
GDPR: ¿Quién tiene que mantener un directorio de procesamiento?
El GDPR no está claramente formulado en todos los puntos. Algunas áreas dejan espacio para la interpretación.
- Según el artículo 30, párrafo 5, del RGPD, las empresas con menos de 250 empleados no tienen que mantener un directorio de procesamiento. Sin embargo, esta declaración está limitada por excepciones.
- Si procesa datos personales más que "ocasionalmente", debe mantener dicho directorio, incluso si la empresa tiene solo unos pocos empleados. Sin embargo, la ley no explica exactamente qué significa "ocasionalmente".
- Las empresas también deben mantener el directorio si los datos son particularmente confidenciales. Este es el caso, por ejemplo, con datos de salud o condenas penales. Por ejemplo, los médicos o abogados se ven afectados.
- Si los datos representan un riesgo para los derechos y libertades de los interesados, también debe mantener un directorio de procesamiento. Este es el caso, por ejemplo, con evaluaciones y perfiles.
- Por ejemplo, si mantiene una base de datos de proveedores o clientes o administra datos de empleados, la ley de protección de datos lo obliga a mantener un directorio de procesamiento.
- Por lo tanto, puede suponer que la exención del requisito de documentación solo se aplica muy raramente.
- Por cierto, explicamos en detalle qué es el Reglamento general de protección de datos en otro consejo práctico.
Protección de datos: debe incluir el directorio de procesamiento GDPR
El artículo 30 del RGPD especifica los requisitos mínimos que debe cumplir un directorio de procesamiento.
- En primer lugar, el directorio debe contener el nombre y los datos de contacto de la persona responsable.
- Además, se debe indicar el propósito del procesamiento y se deben describir las categorías de los interesados y las categorías de datos personales.
- También se deben enumerar las categorías de destinatarios a quienes se divulgan los datos personales.
- Además, el directorio de procesamiento debe informar sobre los plazos para eliminar las categorías de datos individuales.
- Si es posible, el requisito de documentación también incluye una descripción de las medidas organizativas y técnicas que se utilizan para recopilar los datos.
- Puede encontrar una plantilla para crear el directorio de procesamiento en la asociación profesional de oficiales de protección de datos en Alemania, por ejemplo.
Para que usted, como operador del sitio web, sepa lo que debe considerar, encontrará una lista de verificación de GDPR en nuestro próximo consejo práctico.