GDPR: Tenir à jour le répertoire de traitement - vous devez savoir que
Le RGPD exige que presque toutes les entreprises créent un répertoire de traitement. Nous avons résumé ici ce que vous devez savoir.
GDPR: Qui doit conserver un répertoire de traitement?
Le RGPD n'est pas clairement formulé sur tous les points. Certaines zones laissent place à l'interprétation.
- Conformément à l'article 30, paragraphe 5, du RGPD, les entreprises de moins de 250 employés n'ont en fait pas à tenir de répertoire de traitement. Cependant, cette déclaration est limitée par des exceptions.
- Si vous traitez les données personnelles plus qu'occasionnellement, vous devez conserver un tel annuaire, même si l'entreprise ne compte que quelques employés. Cependant, la loi ne précise pas exactement ce que signifie «occasionnellement».
- Les entreprises sont également tenues de maintenir l'annuaire si les données sont particulièrement sensibles. C'est le cas, par exemple, des données de santé ou des condamnations pénales. Par exemple, les médecins ou les avocats sont concernés.
- Si les données présentent un risque pour les droits et libertés des personnes concernées, vous devez également tenir un répertoire de traitement. C'est le cas, par exemple, des évaluations et du profilage.
- Par exemple, si vous gérez une base de données de fournisseurs ou de clients ou gérez des données d'employés, la loi sur la protection des données vous oblige à tenir un répertoire de traitement.
- Vous pouvez donc supposer que l'exemption de l'obligation de documentation ne s'applique que très rarement.
- À propos, nous expliquons en détail ce qu'est le règlement général sur la protection des données dans un autre conseil pratique.
Protection des données: cela doit inclure le répertoire de traitement GDPR
L'article 30 du RGPD précise les exigences minimales qu'un répertoire de traitement doit respecter.
- Tout d'abord, l'annuaire doit contenir le nom et les coordonnées de la personne responsable.
- En outre, la finalité du traitement doit être indiquée et les catégories de personnes concernées et les catégories de données personnelles doivent être décrites.
- Les catégories de destinataires auxquels les données personnelles sont divulguées doivent également être répertoriées.
- De plus, le répertoire de traitement doit informer sur les délais de suppression des catégories de données individuelles.
- Si possible, l'exigence de documentation comprend également une description des mesures organisationnelles et techniques utilisées pour collecter les données.
- Vous pouvez trouver un modèle pour créer le répertoire de traitement auprès de l'association professionnelle des délégués à la protection des données en Allemagne, par exemple.
Pour que vous, en tant qu'exploitant du site Web, sachiez ce que vous devez prendre en considération, vous trouverez une liste de contrôle du RGPD dans notre prochain conseil pratique.