Articolo 30 del GDPR: Quali sono i requisiti?

Articolo 30 GDPR
Categorie:

Creazione di un registro delle attività di trattamento

Le aziende utilizzano diverse cifre chiave per analizzare il loro sviluppo in aree quali Marketingvendite, successo dei clienti, risorse umane, finanza o IT. La creazione di un Registro delle attività di trattamento può razionalizzare e combinare tutti questi sforzi. Tutte le aziende sono tenute a fornire informazioni nella loro politica sulla privacy in merito agli scopi per i quali Dati personali dei vostri clienti e di altri soggetti interessati. Il registro delle attività di trattamento fornisce un'eccellente panoramica delle attività dei singoli reparti, dei processi della vostra azienda e del trattamento dei dati personali.

L'articolo 30 obbliga ogni azienda che agisce in qualità di responsabile del trattamento dei dati nell'ambito del GDPR è attivo, un simbolo "Registro delle attività di trattamento" (VVT) in forma scritta (anche elettronica). Il VVT fornisce una panoramica completa del Elaborazione dei dati personali all'interno dell'azienda. I responsabili del trattamento devono inoltre tenere una DPIA dei processi che eseguono per conto dei loro clienti. La DPIA illustra il come e il perché del trattamento dei dati. Il VVT deve Autorità di vigilanza essere presentato su richiesta.

 

Articolo 30 del GDPR: Cosa si intende esattamente per "attività di trattamento"?

Il termine "attività di trattamento" viene utilizzato nella GDPR solo insufficientemente definiti. Può quindi non essere chiaro cosa sia soggetto a documentazione e a quale livello di dettaglio. In generale, la GDPR l'obbligo di documentare le singole fasi del processo in cui Dati personali dei dipendenti, dei clienti o di altri soggetti interessati. Lo stesso vale per la base giuridica e le finalità del trattamento dei dati.

Articolo 30 GDPR: Il registro delle attività di trattamento

Articolo 30 GDPR definisce il contenuto del registro delle attività di trattamento. Oltre al nome e ai dati di contatto dell'azienda e dell'eventuale responsabile della protezione dei dati, per ogni attività di trattamento devono essere fornite le seguenti informazioni Elaborazione i dati personali sono documentati:

  • Scopo del Elaborazione - Perché e per quale motivo si usa Dati personali?
  • Categorie di soggetti interessati - dipendenti, clienti, ecc.
  • Categorie di dati personali - dati di contatto, finanziari e personali, Dati sulla salute ecc.
  • Categorie di destinatari - A chi vengono comunicati i dati?
  • Informazioni sui destinatari al di fuori dell'UE/SEE
  • Periodi di cancellazione
  • Descrizione delle misure di sicurezza tecniche e organizzative / misure di protezione

È necessaria una base giuridica per tutti i trattamenti dei dati. È assolutamente utile registrarla nella vostra DPA. In caso di trattamento dei dati basato sull'articolo 6, paragrafo 1, lettera f). GDPR dovete anche documentare i rispettivi interessi legittimi perseguiti dal responsabile del trattamento o da terzi.  

Articolo 30 GDPR: Esempi di attività di trattamento

Esempi per il Elaborazione dei dati dei dipendenti possono essere i seguenti:

L'uso di software o dispositivi speciali con cui vengono raccolti, elaborati o utilizzati i dati dei dipendenti (ad esempio, sistemi per l'e-recruiting, per la contabilità delle retribuzioni, per la registrazione delle presenze, per l'elaborazione digitale dei dati). Fascicolo personalecontrolli elettronici dell'accesso, Sorveglianza video).

 

Articolo 30 del GDPR: Che impatto ha sulla mia azienda?

Articolo 30 GDPR stabilisce che tutte le aziende con più di 250 dipendenti devono avere una Registro delle attività di trattamento deve essere conservato. Su richiesta, deve essere presentato al supervisore per la revisione.

Prima che un'azienda inizi a creare una DPA, deve innanzitutto analizzare quali categorie di dati personali tratta, dove sono conservati e come i dati fluiscono all'interno e all'esterno dell'azienda. Questo costituisce anche la base per la conformità agli altri requisiti della legge. GDPRcome l'articolo 6 (definizione di una base giuridica per la Elaborazione), l'articolo 7 (Condizioni e requisiti per l'ottenimento di un Consenso) e l'articolo 13 (Obbligo di informazione).

 

Articolo 30 GDPR: Esistono modelli di VVT?

Esistono molti modelli di VVT disponibili online. Software specializzati come 2B Advice PrIME contengono cataloghi o modelli che vi aiutano ad adempiere all'obbligo di documentazione, creando sondaggi online di facile risposta che possono essere inoltrati ai responsabili specialistici competenti.

Ad esempio, un questionario sulla VVT potrebbe porre queste domande:

- Perché si elabora Dati personali?

- Di chi sono i dati che trattate?

- Quali tipi o categorie di dati trattate?

- Per quanto tempo conservate i dati / quando li cancellate?

- Quali misure adottate per proteggere questi dati?

- Con quali terze parti o fornitori condividete questi dati?

A queste domande dovrebbero rispondere tutti i reparti interni e le unità aziendali che trattano i dati dei dipendenti o dei clienti.

 

Lista di controllo Articolo 30 GDPR: Come affrontare la sfida

Prima che un'azienda possa iniziare a creare una DPA, deve innanzitutto analizzare quali categorie di dati personali tratta, dove sono conservati e come i dati fluiscono all'interno e all'esterno dell'azienda. Ciò costituisce anche la base per la conformità ad altri requisiti della legge. GDPRcome l'articolo 6 (definizione di una base giuridica per la Elaborazione), l'articolo 7 (Condizioni e requisiti per l'ottenimento di un Consenso) e l'articolo 13 (Obbligo di informazione).

1. sviluppare un questionario standard per la Valutazione dell'impatto sulla protezione dei dati

2. stabilire linee guida e procedure standardizzate per requisiti importanti quali gli obblighi di cancellazione o di Misure tecniche e organizzative ditta

3. stabilire soglie di rischio per identificare le aree da migliorare

4. verificare che tutti i trattamenti dei dati abbiano una base giuridica valida

5. aggiornare di conseguenza la propria informativa sulla privacy

6. effettuare regolarmente la manutenzione del VVT elettronico

Questi sono alcuni dei primi passi per mettere un'azienda sulla strada della conformità alla protezione dei dati. Altri fattori possono essere gli audit dei fornitori di servizi o l'implementazione della formazione dei dipendenti per ridurre al minimo il rischio di violazione dei dati. Violazione dei dati per ridurre al minimo.

Articolo 30 del GDPR: Quali sono le sanzioni per le violazioni?

Le autorità di vigilanza sono autorizzate a comminare multe consistenti ai responsabili della violazione dei diritti umani. Elaborazione responsabili del trattamento o incaricati del trattamento. Le ammende possono essere comminate per una serie di reati, ad esempio per la mancata osservanza dell'articolo 30. GDPR. In questo caso, possono essere comminate multe fino a 10.000.000 di euro o fino al due per cento del fatturato globale dell'anno precedente, a seconda di quale sia il valore più alto.

Il nuovo regolamento californiano CPRA può essere confrontato con l'articolo 30 del GDPR?

Una delle disposizioni di più ampia portata del CPRA, la 1798.185(a)(15), è simile all'articolo 30 GDPR nella misura in cui richiede alle aziende di condurre audit annuali sulla cybersecurity e valutazioni "regolari" del rischio se il "Elaborazione dati personali dei consumatori da parte dell'azienda rappresenta un rischio significativo per la privacy dei consumatori. La privacy o la sicurezza dei consumatori". Nel determinare se il Elaborazione "un rischio significativo", il CPRA identifica due fattori che devono essere presi in considerazione. In primo luogo, le dimensioni e la complessità dell'organizzazione; in secondo luogo, la natura e la portata delle attività di trattamento.

La differenza principale è che il CPRA richiede anche che un'azienda presenti regolarmente una valutazione dei rischi all'Agenzia per la protezione della privacy della California (CPPA) per quanto riguarda il suo Elaborazione dei dati personali.

Riflessioni finali: Cosa fare ora in relazione all'articolo 30 del GDPR?

Se avete sede in Europa, vi state espandendo in Europa, state acquisendo un'azienda in Europa o vi state fondendo con un'azienda in Europa e volete passare dalla creazione e dalla manutenzione del vostro DPA da Excel o da altri modelli a un sistema di gestione integrato e conforme alla protezione dei dati, 2B Advice può supportarvi. Il nostro robusto software 2B Advice PrIME è stato sviluppato in Germania, nel cuore della cultura della protezione dei dati. 2B Advice PrIME è stato progettato per soddisfare i requisiti più severi della normativa sulla privacy. GDPR e le autorità di vigilanza europee.

Fissate una consulenza oggi stesso.

Fonti:
ico.org.uk
iapp.org
leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV&sectionNum=1798.185.

Contattateci
Tag:
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi