数据保护法规要求公司维护处理活动登记册(VVT)。必须为每个公司单独创建目录,并列出所有涉及个人数据的处理活动。
在实践中,VVT给企业带来三大挑战:
存在性
如果主管监管机构跟进,公司必须能够出示其 VVT。否则,您将面临被罚款的风险。 VVT是公司内部数据保护管理的重要组成部分。
完整性
文件的结构和设计可以不拘泥于任何形式,但文件中不能缺少广泛的具体信息。
及时性
VVT 的创建并不是一次性的事情。如果业务流程发生变化或添加新流程,则必须更新文档。
维护处理活动登记册的原因
维护 VVT 的义务源自 GDPR 第 30 条。如果主管监 RCS 数据罗马尼亚 督机构进行数据保护检查,可以使用 VVT 来很好地概述处理活动、其范围和影响。
此外,该文件还为公司本身服务。 VVT 有助于明确数据保护培训的范围和内容。它也是充分尊重受影响者的权利的有用工具,例如在提出信息请求时。
附记:处理活动的含义
在开始创建VVT之前,必须了解公司中存在的所有处理活动。这些是处理个人数据的操作。 GDPR列出了以下示例:查询、比较、调整、阅读、提供、记录、收集、安排、组织、存储、修改、传播、链接、使用和传输个人数据。
因此,为了获得完整的概述,建议进行彻底的分析,详细检查公司的各个组织领域。这些业务领域包括人力资源、销售和服务。
VVT的结构
一般的建议是将VVT分成两个区域。
1. 区域:姓名和联系方式
首先,列出负责决定单个数据处理操作的人员。这可能是一个人,但根据情况,可能还需要列出几个人,甚至是几个公司。
如果已任命数据保护官(无论是内部还是外部),也必须列出该人员。或者,如果没有订购义务,建议指定一个内部联系人/部门来进行数据保护查询。