GDPR stanowi, że przedsiębiorcy muszą prowadzić rejestr czynności przetwarzania (IR) (art. 30 GDPR). W tej drugiej części dotyczącej VVT dowiesz się, jak musi wyglądać treść VVT.
Czytaj tutaj Część 1 serii VVT o obowiązku prowadzenia VVT.
Jak zbudowany jest VVT?
Obowiązek prowadzenia VVT jest określony w art. 30 GDPR. Rejestr stanowi rdzeń każdego systemu zarządzania ochroną danych (DMS) i umożliwia przegląd wszystkich operacji przetwarzania mających miejsce w firmie.
W tym celu VVT zawiera z grubsza dwie części: Z jednej strony podstawowe dane, takie jak nazwa i dane kontaktowe administratora lub podmiotu przetwarzającego, a z drugiej strony poszczególne czynności przetwarzania. Obowiązkowa treść dla katalogu podmiotu przetwarzającego jest nieco mniejsza (art. 30 II GDPR) niż dla administratora (art. 30 I GDPR). Wynika to przede wszystkim z faktu, że są one związane z instrukcją. Więcej na temat rozróżnienia pomiędzy administratorem danych a procesorem można dowiedzieć się na stronie tutaj.
Jak stworzyć VVT?
Niezależnie od tego, czy jesteś kontrolerem, czy procesorem: Możesz stworzyć swój VVT w tych trzech prostych krokach.
Krok 1: Dane podstawowe w VVT
Katalog zawiera najpierw podstawowe dane o osobie, która tworzy VVT.
Osoba odpowiedzialna podaje tu swoje imię i nazwisko oraz dane kontaktowe, a także dane swoich przedstawicieli. Jeżeli odpowiedzialna jest więcej niż jedna osoba, informacje te należy podać dla wszystkich osób odpowiedzialnych. Jeżeli. Obowiązek powołania inspektora ochrony danychPodaje się również nazwisko i dane kontaktowe osoby zainteresowanej.
Oprócz własnej nazwy i danych kontaktowych przetwarzający musi również podać nazwę odpowiedniego zleceniodawcy oraz, w stosownych przypadkach, swojego inspektora ochrony danych.
Etap 2: Działania związane z przetwarzaniem w VVT
Po drugie, katalog zawiera listę wszystkich czynności przetwarzania, które mają miejsce. Operacje przetwarzania są zdefiniowane w art. 4 nr 2 GDPR. Przede wszystkim autor katalogu musi mieć świadomość, jakie operacje przetwarzania występują w jakich obszarach jego firmy. Należy również wziąć pod uwagę, jakie oprogramowanie jest używane i w jakim zakresie przetwarza dane osobowe. Dla zachowania przejrzystości VVT może być również podzielony na grupy nadrzędne.
Najpóźniej od tego kroku warto skonsultować się z inspektorem ochrony danych. Szczególnie a Zewnętrzny inspektor ochrony danych może mieć lepszy wgląd we wszystko, co się tu dzieje z zewnątrz.
Krok 3: Określenie czynności przetwarzania
Poszczególnym czynnościom przetwarzania muszą również towarzyszyć odpowiednie szczegóły określone w art. 30 GDPR.
Administrator danych musi określić: Cele przetwarzania, kategorie osób, których dane dotyczą, dane i odbiorców, informacje o przekazywaniu do państw trzecich, jeśli dotyczy, okresy usuwania/utrzymywania, środki techniczno-organizacyjne (TOM). W celu uzyskania tych szczegółów można również odnieść się do już istniejących dokumentów, takich jak przegląd TOM (koncepcja bezpieczeństwa), ocena wpływu ochrony danych, koncepcja ochrony lub usuwania danych.
Przetwarzający musi jedynie wskazać kategorie operacji przetwarzania, które wykonuje w imieniu odpowiedniego administratora. Ponadto do jego VVT nie obowiązują żadne okresy usuwania danych.
Co jeszcze należy wziąć pod uwagę
VVT musi być prowadzone w formie pisemnej. Do tego celu wystarczająca jest również forma elektroniczna. Obowiązek ujawnienia istnieje tylko wtedy, gdy wymaga tego organ nadzorczy. VVT może być wykorzystywany wewnętrznie jako pomoc w przypadku wniosków o udzielenie informacji ze strony osób dotkniętych chorobą.
VVT musi być aktualne i regularnie aktualizowane przez autora. Wskazane jest wprowadzanie zmian w taki sposób, aby można je było śledzić przez jakiś czas po ich wprowadzeniu.
Dla wzorowego VVT sensowne jest powołanie inspektora ochrony danych. Oferujemy się jako zewnętrzny inspektor ochrony danych. Zapraszamy do kontaktu z nami również w innych sprawach związanych z ochroną danych osobowych! Nasz zespół ekspertów chętnie pomoże Ci w znalezieniu indywidualnego rozwiązania.