附记:处理活动的含义
在开始创建VVT之前,必须了解公司中存在的所有处理活动。这些是处理个人数据的操作。 GDPR列出了以下示例:查询、比较、调整、阅读、提供、记录、收集、安排、组织、存储、修改、传播、链接、使用和传输个人数据。
因此,为了获得完整的概述,建议进行彻底的分析,详细检查公司的各个组织领域。这些业务领域包括人力资源、销售和服务。
VVT的结构
1. 区域:姓名和联系方式
首先,列出负责决定单个数据处理操作的人员。这可能是一个人,但根据情况,可能还需要列出几个人,甚至是几个公司。
如果已任命数据保护官(无论是内部还是外部),也必须列出该人员。或者,如果没有订购义务,建议指定一个内部联系人/部门来进行数据保护查询。
2. 区域:加工活动
所有加工活动均列在此区域中。这里有两个方面很重要。首先,记录所有的处理活动至关重要。此外,简单的列表是不够的。相反,必须提供有关处理活动的详细信息。根据 GDPR 第 30 条第 1 款,这些是:
处理目的
数据主体的类别(例如申请人、客户或员工)
个人数据类别(例如地址数据、销售数据或健康数据)
个人数据接收者的类别,包括内部和外部(例如母公司或税务局)
关于向非欧盟国家进行第三国转移的信息
删除期限
技术和组织措施 (TOM) 的描述
处理器的特殊功能
如果一家公司充当处理者,则在处理活动登记册中列出其自身员工和任何数据保护 斯洛文尼亚电报数据 官员的姓名和联系方式是不够的。此外,还需要指定客户及其代表。
考虑更新
一次性创建实际文档并不意味着 VVT 主题永远不再被讨论。一旦与处理个人数据相关的流程发生变化或增加新流程,就可能需要更新 VVT。这种变化最好能由相关部门主动上报,以便立即检查。
当涉及处理活动时,处理者只需列出代表他们进行的处理类别。
有关该主题的问题和答案
如果不实施VVT会有什么后果?
首先,必须明确是否有义务保存处理活动记录。如果确实如此,且不存在 VVT,则负责监督的机构可以处以罚款。罚款数额主要取决于公司的营业额,因此罚款金额可能会相当可观。
该文件必须是打印形式吗?