REGISTER DER TÄTIGKEITEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN: WIE KANN MAN DIE VORSCHRIFTEN EINHALTEN?
Die neues datenschutzgesetz (nLPD) am 1. September 2023 in Kraft treten. Sie wird von einer neuen Datenschutzverordnung (DSGVO) begleitet.
Laut demArtikel 12müssen Unternehmen, die mehr als 250 Personen beschäftigen, ein Register erstellen. In diesem Verzeichnis werden die verschiedenen Arten von personenbezogenen Daten, die verarbeitet werden, aufgeführt.
Inhalt des Registers.
Dieses Register muss unter anderem folgende Informationen enthalten:
- Identität des für die Verarbeitung Verantwortlichen
- Zweck der Verarbeitung
- Beschreibung der Kategorien der betroffenen Personen und der Kategorien der verarbeiteten personenbezogenen Daten
- Kategorien von Empfängern
- die Aufbewahrungsfrist oder die Kriterien für die Bestimmung der Aufbewahrungsfrist
- Sicherheitsmaßnahmen zum Schutz der Daten
- die Länder, in denen die Daten gespeichert werden, und die Sicherheitsgarantien
Inhalt des Registers.
Dieses Register muss unter anderem folgende Informationen enthalten:
- Identität des für die Verarbeitung Verantwortlichen
- Zweck der Verarbeitung
- Beschreibung der Kategorien der betroffenen Personen und der Kategorien der verarbeiteten personenbezogenen Daten
- Kategorien von Empfängern
- die Aufbewahrungsfrist oder die Kriterien für die Bestimmung der Aufbewahrungsfrist
- Sicherheitsmaßnahmen zum Schutz der Daten
- die Länder, in denen die Daten gespeichert werden, und die Sicherheitsgarantien
In der Praxis: Wie soll man vorgehen, wo soll man anfangen?
Bei der Erstellung dieses Registers müssen alle Abteilungen Ihrer Organisation einbezogen werden. Denn jede Abteilung Ihrer Organisation verarbeitet mit Sicherheit personenbezogene Daten. Es handelt sich also um einen unternehmensübergreifenden Ansatz für Ihr gesamtes Unternehmen.
Dieses Register enthält nicht die Daten selbst. Es enthält die Kategorien der Daten. So wird beispielsweise erwähnt, dass man z. B. die Namen der Teilnehmer einer Schulung sammelt, aber die Namen selbst werden nicht in das Register aufgenommen. Das Register der Tätigkeiten zur Verarbeitung personenbezogener Daten kann mit dem Inventar der thematischen Abteilungen einer Bibliothek verglichen werden. Allerdings ohne den Inhalt der Bücher!
Schritte und Kommunikation
Der erste Schritt wäre, die Abteilungsleiter und/oder Prozessführer über die Neuerungen zu informieren. Hierzu können Sie Dokumente verwenden, die auf Bundesebene angeboten werden, wie z. B. die Dokumente auf der Website des Eidgenössischer Datenschutzbeauftragter.
Anschließend sollte jeder Verantwortliche dieses Register mit Inhalten füllen. Er muss darin die Daten eintragen, die in seinem Prozess verarbeitet werden.
In der Praxis bedeutet die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, dass Sie Beziehungen zu anderen Elementen Ihrer Organisation herstellen müssen. Zum Beispiel mit den Informationssystemen, die zur Speicherung der Daten verwendet werden, der Liste der Abteilungen, den betroffenen Prozessen, der Liste der für die Verarbeitung Verantwortlichen und so weiter. Ohne ein geeignetes Werkzeug (mit einer einfachen Tabellenkalkulation vom Typ Excel) kann es kompliziert werden, dies zu dokumentieren.
Ein geeignetes Werkzeug verwenden
Aus diesem Grund haben wir in SIRIS+ das Modul "Data Management" entwickelt. Es ermöglicht Ihnen, Ihr Register einfach zu erstellen. Und es mit den Prozessen, den Abteilungen Ihrer Organisation zu integrieren.
Brauchen Sie eine kurze, effiziente und pragmatische Begleitung, die Ihnen bei der Einhaltung der Vorschriften hilft? Sie können uns mithilfe des nachstehenden Formulars kontaktieren.
