A Elenco di elaborazione (anche Registro delle attività di trattamento, VVT) serve a dimostrare la conformità alla protezione dei dati e la TrasparenzaLa directory deve essere utilizzata per Autorità di vigilanza riconoscere rapidamente se un'azienda lavora in conformità con le norme sulla protezione dei dati. Di seguito forniamo risposte pratiche alle domande più importanti su Elenco di elaborazione.
Che cos'è una directory di elaborazione?
A Elenco di elaborazione è una panoramica scritta di tutti i processi di un'azienda in cui Dati personali sono trattati. Ai sensi dell'articolo 30 GDPR contiene informazioni essenziali su tutti i trattamenti dei dati, quali finalità, categorie di soggetti e dati, destinatari, ecc. e deve essere presentato integralmente all'autorità di controllo della protezione dei dati su richiesta.
Chi ha bisogno di una directory di elaborazione?
In linea di principio, ogni azienda e ogni responsabile Luogo che Dati personali elaborato, un Elenco di elaborazione così come ogni processore (fornitore di servizi). Il GDPR si applica a tutti i responsabili e gli incaricati del trattamento nell'UE (o con trattamenti di dati relativi all'UE), indipendentemente dal settore o dalle dimensioni. Anche le imprese individuali o le associazioni devono mantenere un VVT se non trattano i dati solo su base puramente occasionale. Dati personali processo, cosa che al giorno d'oggi avviene quasi sempre.
Eccezioni: Il GDPR prevede alcune ristrette eccezioni per le aziende con meno di 250 dipendenti, all'art. 30, comma 5. No Elenco di elaborazione è richiesto come eccezione, se tutte le condizioni sono soddisfatte:
- Occasionale Elaborazione: Il trattamento dei dati avviene solo occasionalmente, cioè non regolarmente nell'ambito dell'attività quotidiana (un criterio che difficilmente si applica nella pratica, poiché anche le piccole imprese trattano regolarmente i dati dei clienti, dei dipendenti o i dati del sito web).
- Nessun rischio per Parti interessate: Il Elaborazione non presenta rischi per i diritti e le libertà degli interessati (difficile da garantire nella pratica).
- Nessun dato sensibile: Non vengono trattate categorie particolari di dati personali ai sensi dell'art. 9 (1) GDPR. GDPR (es. Dati sulla salute) e nessun dato sulle condanne penali ai sensi dell'Art. 10 GDPR elaborato.
Attenzione: Questa regola di eccezione si applica come non mai. Dopo tutto, anche la gestione di un archivio clienti, di un elenco di dipendenti, di un sito web con un modulo di contatto o di una contabilità delle retribuzioni implica un'attività regolare. Elaborazione dati personali. In pratica, quindi anche le piccole aziende a Elenco di elaborazione soprattutto perché è un requisito centrale dell'obbligo di rendicontazione previsto dal GDPR. Le autorità di vigilanza considerano il VVT come Focus della recensione: Se manca o è incompleto, c'è il rischio di gravi conseguenze.
Quando deve essere creata una directory di elaborazione?
L'obbligo di redigere la relazione sussiste sin dall'inizio dell'attività dell'azienda, Dati personali da elaborare. Con l'entrata in vigore del GDPR Il 25 maggio 2018, il Elenco di elaborazione per responsabile sono obbligatori. In termini pratici, ciò significa Una voce corrispondente dovrebbe essere inserita nel VVT prima della registrazione o almeno contemporaneamente all'inizio della nuova elaborazione dei dati. Un'azienda dovrebbe quindi al più tardi all'inizio della sua attività o all'introduzione di un nuovo processo (ad esempio un nuovo sistema CRM, una nuova amministrazione dei dipendenti) creare la directory e da quel momento in poi gestire e aggiornare continuamente.
Il Documentazione mosto In corso essere mantenuti: Le voci obsolete devono essere rimosse e le nuove operazioni di trattamento aggiunte tempestivamente. L'elenco deve essere sempre aggiornato, poiché l'autorità non concede lunghi ritardi in caso di audit. Si aspetta che un corrente Elenco di elaborazione è sempre disponibile. A prescindere dall'obbligo di legge, è nell'interesse di ogni azienda mantenere un VVT fin dall'inizio: Fornisce una panoramica di tutti i trattamenti dei dati e dimostra la conformità al GDPR alle autorità di vigilanza o in caso di reclami.
Quali sono le attività di trattamento ai sensi del GDPR?
Il termine attività di elaborazione si riferisce fondamentalmente a qualsiasi attività o processo nell'azienda che Dati personali comprende. Il GDPR definito "Elaborazione" molto ampia: dalla raccolta e conservazione alla cancellazione dei dati. Ciò significa che tutti i processi che comportano il trattamento di dati personali sono da considerarsi come trattamento di dati. Ad esempio, la raccolta dei dati dei clienti, la gestione di un database dei fornitori, la gestione dei file dei dipendenti o l'uso di Sorveglianza video.
Un'attività di trattamento ai sensi dell'elenco raggruppa tutte le operazioni di trattamento correlate per uno scopo specifico. Ciò significa che le singole fasi di elaborazione dei dati vengono riassunte in un unico processo, a condizione che servano allo stesso scopo. Ad esempio, l'amministrazione del personale nel suo complesso può essere documentata come un'unica attività di elaborazione (con i sottoprocessi di reclutamento, buste paga, amministrazione delle ferie, ecc. Nelle aziende più grandi, si procederà a una suddivisione più dettagliata, come ad esempio attività di elaborazione separate per la gestione dei candidati, l'amministrazione dei dipendenti e la contabilità dei salari. Il fattore decisivo è la Scopo del trattamentoTutti i processi che hanno uno scopo comune costituiscono un'attività di trattamento nell'elenco. Inoltre, possono esistere attività di trattamento che l'azienda come processore per Terza parte svolge. Anche questi devono essere elencati nel proprio VVT.
Che aspetto ha una directory di elaborazione?
Per il Elenco di elaborazione non esiste un requisito formale rigoroso. Ad esempio, può essere conservato sotto forma di tabella, documento Word, elenco Excel o in un programma software. È importante che tutte le informazioni obbligatorie richieste dalla legge ai sensi dell'art. 30 GDPR sono inclusi e l'elenco è di per sé comprensibile. Il Autorità di vigilanza deve essere in grado di controllare il documento senza dover fare domande. Per motivi pratici si raccomanda un modulo digitale e ricercabile.
Quali informazioni devono essere incluse nel VVT?
Contenuto il registro deve contenere almeno le seguenti informazioni per ogni attività di trattamento:
- Nome e dati di contatto della persona responsabile (Azienda) e, se del caso, il responsabile della protezione dei dati. Nel caso dei trasformatori, devono invece essere citati il contraente e tutti i clienti (committenti).
- Scopo del Elaborazione. A che scopo vengono trattati i dati? (ad es. amministrazione del personale, servizio clienti, invii pubblicitari)
- Descrizione delle categorie di persone interessate e dei dati personali. In altre parole, quali gruppi di persone (clienti, dipendenti, fornitori, ecc.) e quali categorie di dati (ad es. dati di contatto, dati contrattuali), Dati sulla salute ecc.) vengono elaborati.
- Categorie di destinatari. Chi riceve i dati? (internamente, ad esempio i dipartimenti, esternamente, ad esempio i consulenti fiscali, i fornitori di servizi informatici, le autorità).
- Trasferimenti verso paesi terzi. Se i dati vengono trasferiti al di fuori dell'UE, è necessario indicarlo, incluso le corrispondenti garanzie di cui al capitolo V GDPR (es. Clausole contrattuali standard per i trasferimenti negli Stati Uniti).
- Scadenze previste per il Cancellazione. Ove possibile, devono essere specificati i periodi di conservazione o di cancellazione per le categorie di dati (ad esempio, i dati delle domande vengono cancellati 6 mesi dopo il rifiuto, i documenti contrattuali vengono archiviati per 10 anni dopo la fine dell'anno).
- Descrizione generale delle misure tecniche e organizzative (TOM) per proteggere i dati. Qui un Presentazione completa misure di sicurezza dei dati (ad es. controlli di accesso, restrizioni di accesso), Cifraturaformazione, ecc.), in quanto i concetti dettagliati possono esistere separatamente.
Suggerimento pratico: Un esempio di tabella o modello per un Elenco di elaborazione sono reperibili sui siti web dei Conferenza sulla protezione dei dati o il responsabile della protezione dei dati del vostro Stato. In alternativa offriamo strumenti specializzati come Ailance RoPA Maschere strutturate per tutte le informazioni obbligatorie.
Suggerimento per il collegamento: Informazioni della Conferenza sulla protezione dei dati sul registro delle attività di trattamento, art. 30 GDPR
Qual è la differenza tra una directory di elaborazione e una directory di procedura?
Oggi i termini sono spesso usati come sinonimi. "Elenco dei processi" è un termine obsoleto che proviene dall'ex Legge federale sulla protezione dei dati (BDSG vecchio) - prima della validità del GDPR le aziende dovevano tenere un cosiddetto registro pubblico delle procedure. In termini di contenuto, tuttavia, si trattava per lo più della stessa cosa: una panoramica delle procedure di trattamento dei dati presso l'organizzazione responsabile. La differenza sta quindi soprattutto nel contesto giuridico: Ai sensi del GDPR si parla del Registro delle attività di trattamento (§ Art. 30 GDPR) e viene utilizzato per la rendicontazione interna all'autorità di vigilanza. In passato, il registro delle procedure era in parte accessibile al pubblico. Secondo la vecchia situazione giuridica responsabile Il titolare del trattamento deve mettere a disposizione di chiunque ne faccia richiesta le informazioni contenute nell'elenco delle procedure. Oggi questo obbligo di pubblicità non esiste più, ma esiste un obbligo di documentazione interna più severo (in caso di violazione possono essere comminate multe). Di conseguenza, esistono nessuna differenza di contenutosolo la terminologia: il Elenco di elaborazione corrisponde a la vecchia cosiddetta directory delle procedure.
Quali sono le sanzioni per la mancata tenuta del registro dei trattamenti?
La tenuta di un registro dei trattamenti è un obbligo di legge. Le aziende che non sono in grado di fornire un elenco o che ne mantengono uno incompleto rischiano multe sostanziali. Ai sensi dell'articolo 83, paragrafo 4, lettera a) GDPR può essere un Violazione con fino a 10 milioni di euro o 2 % del fatturato annuo globale essere penalizzati. È vero che le autorità di vigilanza raramente utilizzano questo quadro per le piccole imprese e tengono conto degli interessi delle PMI (considerando 13). Tuttavia, sono già noti casi in cui sono state imposte sanzioni severe. Ad esempio, in Italia, nel 2021, un'impresa di Fine di 800.000 euro è stato imposto perché una società non ha rispettato alcun Elenco di elaborazione e la gestione dei dati era "caotica". Anche in Germania ci sono già stati avvertimenti e minacce di multe da parte delle autorità statali per la protezione dei dati, in particolare nel caso di audit nel settore sanitario e nei negozi online.
Oltre alle multe, senza VVT c'è anche un rischio maggiore di non avere una prova di esonero in caso di violazione della protezione dei dati. Una gestione pulita Elenco di elaborazione può servire come prova importante, in caso di emergenza, per dimostrare il proprio Conformità occupare.
Creare VVT in digitale: In sicurezza con Ailance ROPA
In pratica, molte aziende iniziano il loro VVT con modelli Excel o Word. Tuttavia, soprattutto per esigenze crescenti, la Utilizzo di un software specializzato nella protezione dei dati. Un esempio è Ailance™ RoPA da 2B Advice: una soluzione software con la quale il Registro delle attività di trattamento confortevole Creare e gestire digitalmente foglie.
Con Ailance™ RoPA, è possibile automatizzare la Elenco di elaborazioneridurre il lavoro manuale e beneficiare di una reportistica intelligente. Il software è stato sviluppato da esperti di protezione dei dati e si adatta in modo flessibile alle esigenze delle singole aziende.
Qui potete trovare maggiori informazioni su Ailance™ RoPA
Esempi dalla pratica: Un responsabile esterno della protezione dei dati si occupa di cinque aziende di medie dimensioni. Invece di gestire cinque elenchi Excel separati, gestisce i VVT in Ailance RoPA su base multicliente, viene avvisato automaticamente delle nuove attività di trattamento e genera la documentazione per l'autorità di controllo con la semplice pressione di un tasto.
Per i responsabili della protezione dei dati che si occupano di più aziende, Ailance RoPA offre anche funzionalità multi-client e funzioni di collaborazione per lavorare in modo efficiente con diversi reparti o partner esterni sul VVT.
Esempio dalla pratica: Un'azienda attiva a livello globale nell'industria automobilistica, con siti di produzione e catene di fornitura in oltre 30 Paesi, deve conformarsi a diversi requisiti e normative legali. Il gruppo conta oggi oltre 1.000 utenti in più di 350 unità operative che lavorano con Ailance™ Ropa. Ben oltre 10.000 operazioni di lavorazione sono controllate automaticamente all'interno del Gruppo.
Conclusione: Che si tratti di una piccola start-up o di una grande azienda, la Elenco di elaborazione è e rimane lo strumento centrale per Protezione dei dati e Trasparenza. Con le basi e gli strumenti spiegati sopra (compresi quelli professionali come Ailance RoPA), le aziende sono al sicuro quando si tratta di ottimizzare le loro Registro delle attività di trattamento Conformi al GDPR, aggiornati ed efficienti. In questo modo, non solo si soddisfano i requisiti di legge, ma si crea anche un sistema interno di Trasparenza sul vostro trattamento dei dati e rafforzare la fiducia di clienti e dipendenti nella protezione dei dati.
German 
English 
Italian 
French