El GDPR exige el registro en muchos lugares. Los datos de registro son un componente importante de las medidas técnicas y organizativas (artículo 32 del RGPD). No obstante, debe tenerse en cuenta que los datos de registro son en sí mismos datos personales y, por tanto, deben protegerse con arreglo a la legislación sobre protección de datos.
Finalidad de los datos de registro
El registro de los datos de registro tiene lugar para poder rastrear quién ha tenido acceso a algo, cuándo, a qué acceso debe regularse. Puede tratarse del acceso a materiales peligrosos, así como a un sistema electrónico con datos sensibles o simplemente el acceso a un edificio con un transpondedor para los empleados.
Si hay incoherencias, puede aclararse rápidamente quién tuvo acceso en último lugar. En la protección de datos, es especialmente importante identificar los accesos no autorizados o las vulnerabilidades.
En el contexto del art. 32 I DSGVO, los datos de registro representan medidas técnico-organizativas para la seguridad del tratamiento. Si se produce una violación de datos de naturaleza física o técnica, puede determinarse quién tuvo acceso en último lugar. A menudo es la clave para restablecer el acceso a los datos personales, por ejemplo si se trata de un descuido de un empleado.
Datos de registro como datos personales
Del hecho de que los datos de registro muestren quién tuvo acceso a qué y cuándo, también se deduce que los datos de registro en sí mismos son datos personales. Por lo tanto, también están sujetos a la protección del GDPR.
Encuesta
El artículo 76 I de la BDSG regula cómo se recopilan los datos de registro. Por consiguiente, en los sistemas de tratamiento automatizados, deben registrarse las operaciones de tratamiento de recogida, modificación, recuperación, divulgación, incluida la transmisión, combinación y supresión. Sin embargo, para la recopilación de datos de registro que contengan los datos enumerados en el artículo 76 I de la BDSG, se requiere una base jurídica, por ejemplo, del GDPR.
Supresión
Estos datos deberán suprimirse al final del año siguiente a su generación (§ 76 IV BDSG). De acuerdo con el principio de limitación de la finalidad, la supresión también se produce antes si la finalidad del tratamiento ya no es aplicable.
Principios para el tratamiento de datos personales
Todos los demás principios del RGPD relativos al tratamiento de datos personales (art. 5 del RGPD) se aplican naturalmente también a los datos de registro. Sólo pueden recogerse los datos necesarios (economía de datos). Además, los datos de registro deben estar siempre protegidos contra pérdida, destrucción, manipulación y acceso no autorizado (integridad y confidencialidad).