GDPR: Manter diretório de processamento - você precisa saber que
O GDPR exige que quase todas as empresas criem um diretório de processamento. Resumimos aqui o que você precisa saber.
GDPR: Quem precisa manter um diretório de processamento?
O GDPR não está claramente formulado em todos os pontos. Algumas áreas permitem espaço para interpretação.
- De acordo com o artigo 30, parágrafo 5, do GDPR, as empresas com menos de 250 funcionários não precisam, na verdade, manter um diretório de processamento. No entanto, esta declaração é limitada por exceções.
- Se você processar dados pessoais mais do que "ocasionalmente", mantenha esse diretório, mesmo que a empresa tenha apenas alguns funcionários. No entanto, a lei não especifica exatamente o que "ocasionalmente" significa.
- As empresas também são obrigadas a manter o diretório se os dados forem particularmente sensíveis. É o caso, por exemplo, de dados de saúde ou condenações criminais. Por exemplo, médicos ou advogados são afetados.
- Se os dados representam um risco para os direitos e liberdades dos titulares, você também deve manter um diretório de processamento. É o caso, por exemplo, de avaliações e criação de perfil.
- Por exemplo, se você mantém um banco de dados de fornecedores ou clientes ou gerencia dados de funcionários, a lei de proteção de dados obriga a manter um diretório de processamento.
- Portanto, você pode assumir que a isenção do requisito de documentação se aplica apenas muito raramente.
- A propósito, explicamos em detalhes o que é o Regulamento Geral de Proteção de Dados em outra dica prática.
Proteção de dados: isso deve incluir o diretório de processamento GDPR
O artigo 30 do GDPR especifica os requisitos mínimos que um diretório de processamento deve atender.
- Antes de tudo, o diretório deve conter o nome e os detalhes de contato da pessoa responsável.
- Além disso, o objetivo do processamento deve ser declarado e as categorias dos titulares dos dados e as categorias de dados pessoais devem ser descritas.
- As categorias de destinatários aos quais os dados pessoais são divulgados também devem ser listadas.
- Além disso, o diretório de processamento deve informar sobre os prazos para excluir as categorias de dados individuais.
- Se possível, o requisito de documentação também inclui uma descrição das medidas organizacionais e técnicas usadas para coletar os dados.
- Você pode encontrar um modelo para criar o diretório de processamento na associação profissional dos responsáveis pela proteção de dados na Alemanha, por exemplo.
Para que você, como operador do site, saiba o que precisa considerar, encontrará uma lista de verificação do GDPR em nossa próxima dica prática.