DSGVO Artikel 30 verpflichtet Organisationen, angemessene Aufzeichnungen (im Wesentlichen schriftliche Berichte) über alle verarbeitungsbezogenen Aktivitäten zu führen.
Diese Verpflichtung ist Ausdruck mehrerer Grundsätze der Datenverarbeitung:
Aufzeichnungen über Verarbeitungstätigkeiten
- Jeder Verantwortliche und gegebenenfalls sein Vertreter müssen ein Verzeichnis der Verarbeitungstätigkeiten unter seiner Verantwortung führen. Diese Aufzeichnung muss alle folgenden Informationen enthalten:
- Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen und des Datenschutzbeauftragten.
- Die Zwecke der Verarbeitung.
- Eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten.
- Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen.
- Gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz XNUMX, der Dokumentation geeigneter Daten Schutzmaßnahmen.
- Sofern möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.
- Sofern möglich, eine allgemeine Beschreibung der in Artikel 32 Absatz 1 genannten technischen und organisatorischen Sicherheitsmaßnahmen.
- Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter müssen ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führen, die im Auftrag eines Verantwortlichen durchgeführt werden und Folgendes enthalten:
- Name und Kontaktdaten des oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Namen der Auftragsverarbeiter handelt, sowie gegebenenfalls des Verantwortlichen oder des Vertreters des Auftragsverarbeiters und des Datenschutzbeauftragten.
- Die Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitung.
- Gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz XNUMX, der Dokumentation geeigneter Daten Schutzmaßnahmen.
- Sofern möglich, eine allgemeine Beschreibung der in Artikel 32 Absatz 1 genannten technischen und organisatorischen Sicherheitsmaßnahmen.
- Die in den Absätzen 1 und 2 genannten Aufzeichnungen erfolgen schriftlich, auch in elektronischer Form.
- Der Verantwortliche oder der Auftragsverarbeiter und gegebenenfalls sein Vertreter oder sein Vertreter stellen die Aufzeichnungen der Aufsichtsbehörde auf Anfrage zur Verfügung.
- Die in den Absätzen 1 und 2 genannten Verpflichtungen gelten nicht für ein Unternehmen oder eine Organisation, die weniger als 250 Personen beschäftigt, es sei denn, die von ihnen durchgeführte Verarbeitung birgt voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen und die Verarbeitung erfolgt nicht gelegentlich oder die Verarbeitung umfasst besondere Kategorien von Daten im Sinne von Artikel 9 Absatz 1 oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten im Sinne von Artikel 10.
Buchen Sie ein 30-minütiges Gespräch mit uns und wir zeigen Ihnen wie
Aufzeichnungen über Verarbeitungstätigkeiten
- Jeder Verantwortliche und gegebenenfalls sein Vertreter müssen ein Verzeichnis der Verarbeitungstätigkeiten unter seiner Verantwortung führen. Diese Aufzeichnung muss alle folgenden Informationen enthalten:
- Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen und des Datenschutzbeauftragten.
- Die Zwecke der Verarbeitung.
- Eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten.
- Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen.
- Gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz XNUMX, der Dokumentation geeigneter Daten Schutzmaßnahmen.
- Sofern möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.
- Sofern möglich, eine allgemeine Beschreibung der in Artikel 32 Absatz 1 genannten technischen und organisatorischen Sicherheitsmaßnahmen oder gegebenenfalls der in Abschnitt 28 Absatz 3 des Gesetzes von 2018 genannten Sicherheitsmaßnahmen.
- Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter müssen ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führen, die im Auftrag eines Verantwortlichen durchgeführt werden und Folgendes enthalten:
- Name und Kontaktdaten des oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Namen der Auftragsverarbeiter handelt, sowie gegebenenfalls des Verantwortlichen oder des Vertreters des Auftragsverarbeiters und des Datenschutzbeauftragten.
- Die Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitung.
- Gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz XNUMX, der Dokumentation geeigneter Daten Schutzmaßnahmen.
- Sofern möglich, eine allgemeine Beschreibung der in Artikel 32 Absatz 1 genannten technischen und organisatorischen Sicherheitsmaßnahmen. Oder gegebenenfalls die in Abschnitt 28 Absatz 3 des Gesetzes von 2018 genannten Sicherheitsmaßnahmen.
- Die in den Absätzen 1 und 2 genannten Aufzeichnungen erfolgen schriftlich, auch in elektronischer Form.
- Der Verantwortliche oder der Auftragsverarbeiter und gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen dem Datenschutzbeauftragten auf Anfrage die Aufzeichnungen zur Verfügung.
- Die in den Absätzen 1 und 2 genannten Verpflichtungen gelten nicht für ein Unternehmen oder eine Organisation, die weniger als 250 Personen beschäftigt, es sei denn, die von ihnen durchgeführte Verarbeitung birgt voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen und die Verarbeitung erfolgt nicht gelegentlich oder die Verarbeitung umfasst besondere Kategorien von Daten im Sinne von Artikel 9 Absatz 1 oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten im Sinne von Artikel 10.
Artikel 30 der DSGVO befasst sich mit vier Schlüsselbereichen der Datenpflege:
Artikel 30 beschreibt auch Ausnahmen, die für alle oben genannten Bereiche gelten – insbesondere für diesen Jede Organisation, die weniger als 250 Mitarbeiter beschäftigt, ist nicht verpflichtet, Verarbeitungsaufzeichnungen zu führen, es sei denn, die Rechte und Freiheiten der betroffenen Personen sind „nicht gelegentlich“ oder die Organisation verarbeitet „besondere Kategorien“ von Daten oder strafrechtliche Daten.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Beim Thema Sicherheit innerhalb von Lieferantenbeziehungen sollten Organisationen sicherstellen, dass beide Parteien sich ihrer Verpflichtungen in Bezug auf die Sicherheit von Datenschutzinformationen und untereinander bewusst sind.
Dabei sollten Organisationen:
Organisationen sollten außerdem eine Register der Vereinbarungen, in der alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt sind.
Organisationen sollten die gesetzlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen einhalten, wenn:
Organisationen sollten Verfahren befolgen, die ihnen dies ermöglichen identifizieren, analysieren und verstehen Sie erfüllen gesetzliche und behördliche Verpflichtungen – insbesondere solche, die sich auf den Schutz der Privatsphäre und personenbezogene Daten beziehen – wo auch immer sie tätig sind.
Organisationen sollten sich stets ihrer Datenschutzverpflichtungen bewusst sein, wenn sie neue Vereinbarungen mit Dritten, Lieferanten und Auftragnehmern abschließen.
Beim Einsatz von Verschlüsselungsmethoden zur Verbesserung des Datenschutzes und zum Schutz personenbezogener Daten sollten Unternehmen Folgendes tun:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) und 30 (5)
Organisationen müssen umfassende Aufzeichnungen führen, die ihre Handlungen und Pflichten als PII-Verarbeiter unterstützen.
Datensätze (auch als „Inventarlisten“ bezeichnet) sollten einen delegierten Eigentümer haben und können Folgendes umfassen:
Von Zeit zu Zeit kann es erforderlich sein, personenbezogene Daten zwischen zwei verschiedenen Gerichtsbarkeiten zu übertragen. In diesem Fall sollten Organisationen die Notwendigkeit dafür begründen und dokumentieren.
Die regionalen behördlichen und rechtlichen Vorschriften variieren je nachdem, woher die Daten stammen und wohin sie übertragen werden.
Organisationen sollten alle relevanten Gesetze, Rahmenwerke und Vorschriften berücksichtigen, wann immer sie Daten zwischen Gerichtsbarkeiten übertragen müssen, einschließlich der Nutzung einer benannten Aufsichtsbehörde.
Organisationen sollten eine dokumentierte Liste der Länder und Organisationen führen, an die sie ihre personenbezogenen Daten unter angemessenen Umständen möglicherweise übertragen könnten.
Sobald sie eine Liste erstellt haben, sollten Unternehmen die Informationen ihren Kunden zur Verfügung stellen, einschließlich aller an Subunternehmer vergebenen PII-Vorgänge (siehe ISO 27701 Abschnitt 7.5.1).
Unter bestimmten Umständen – insbesondere bei strafrechtlichen Ermittlungen – können Vertraulichkeitsgesetze die Organisation daran hindern, die Identität von Zielländern und -organisationen im Voraus preiszugeben (siehe ISO 27701, Abschnitte 8.5.4 und 8.5.5).
Es ist von entscheidender Bedeutung, dass Organisationen eine genaue Aufzeichnung der PII-Übermittlungen an Drittorganisationen führen.
Organisationen sollten in der Lage sein, PII aufzuzeichnen, die in irgendeiner Weise geändert wurden (im Einklang mit den Pflichten und Zielen des Verantwortlichen), oder Übertragungen, die erforderlich sind, bevor sie einen Antrag des PII-Auftraggebers auf Änderung oder Löschung der PII umsetzen können.
Aufzeichnungen sollten einer angemessenen Aufbewahrungsfrist und Datenminimierungsregeln unterliegen, die nur das zurückgeben, was zur Erfüllung eines bestimmten Ziels erforderlich ist.
Organisationen sollten jede Offenlegung personenbezogener Daten an Dritte protokollieren, einschließlich der folgenden drei Informationen:
Es ist gängige Praxis, personenbezogene Daten aus verschiedenen Gründen im gesamten Informationsverarbeitungsvorgang einer Organisation offenzulegen.
Offenlegungen im Rahmen normaler Geschäftspraktiken sowie etwaige besondere Umstände (z. B. behördliche oder rechtliche Untersuchungen) sollten protokolliert werden.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
In diesem Abschnitt sprechen wir über die Artikel 30 (2) (a), 30 (2) (b), 30 (3), 30 (4) und 30 (5) der DSGVO.
Organisationen sollten genaue und aktuelle Aufzeichnungen führen, die es ihnen ermöglichen, jederzeit die Einhaltung vertraglicher Verpflichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten nachzuweisen.
Abhängig von der Gerichtsbarkeit müssen die Aufzeichnungen möglicherweise Folgendes umfassen:
Organisationen müssen konkrete Pläne haben, die regeln, wie PII sein kann ist zurückgekommen, übertragen or entsorgt alle diese Policen dem Kunden zur Verfügung zu stellen.
Es gibt verschiedene Szenarien, die die Entsorgung personenbezogener Daten erfordern, darunter (aber nicht beschränkt auf):
Organisationen müssen kategorisch zusichern, dass nicht mehr benötigte personenbezogene Daten gemäß den geltenden Gesetzen oder regionalen Richtlinien vernichtet werden.
Alle Entsorgungsrichtlinien sollten dem Kunden auf Anfrage zur Verfügung stehen und den Zeitraum abdecken, den Unternehmen nach Beendigung eines Vertrags zur Vernichtung personenbezogener Daten benötigen.
Organisationen sollten eine genaue und aktuelle Liste aller Länder oder Organisationen führen, in die personenbezogene Daten möglicherweise übertragen werden.
Kunden sollten jederzeit die Möglichkeit haben, eine Liste potenzieller Empfängerländer und -organisationen einzusehen, einschließlich eines Protokolls aller Länder, die an der Vergabe von PII-Unteraufträgen beteiligt sind (siehe ISO 27701 Abschnitt 8.5.1).
Unter bestimmten Umständen können Organisationen nicht immer im Voraus offenlegen, woher Transferanträge stammen – insbesondere bei Strafverfahren. Dies ist unvermeidbar und es sollte die Priorität der Organisation sein, die Integrität einer Strafverfolgungsmaßnahme aufrechtzuerhalten (siehe ISO 27701, Abschnitte 7.5.1, 8.5.4 und 8.5.5).
Organisationen sollten alle Fälle, in denen sie personenbezogene Daten an Dritte weitergeben müssen, sorgfältig protokollieren.
Wann immer personenbezogene Daten offengelegt werden – sei es im Rahmen von Standardgeschäftsabläufen oder unter besonderen Umständen, wie z. B. einem laufenden rechtlichen oder behördlichen Verfahren – sollten Organisationen aufzeichnen, was offengelegt wurde, den Empfänger und den zugrunde liegenden Grund dafür.
DSGVO-Artikel | ISO 27701-Klausel | ISO 27002-Kontrollen |
---|---|---|
EU-DSGVO Artikel 30 Absatz 2 Buchstabe d | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU-DSGVO Artikel 30 Absatz 2 Buchstabe d | 6.15.1.1 | 5.20 |
EU-DSGVO Artikel 30 (1)(a) bis 30 (5) | 7.2.8 | Andere |
EU-DSGVO Artikel 30 (1)(e) | 7.5.1 | Andere |
EU-DSGVO Artikel 30 (1)(e) | 7.5.2 7.5.1 8.5.4 8.5.5 | Andere |
EU-DSGVO Artikel 30 (1)(e) | 7.5.3 | Andere |
EU-DSGVO Artikel 30 Absatz 1 Buchstabe d | 7.5.4 | Andere |
EU-DSGVO Artikel 30 (2)(a) bis 30 (5) | 8.2.6 | Andere |
EU-DSGVO Artikel 30 Absatz 1 Buchstabe f | 8.4.2 | Andere |
EU-DSGVO Artikel 30 Absatz 2 Buchstabe c | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | Andere |
EU-DSGVO Artikel 30 Absatz 1 Buchstabe d | 8.5.3 | Andere |
ISMS.online hilft Ihnen, an einem sicheren, ständig verfügbaren Standort ein Schutzniveau nachzuweisen, das über das „Angemessene“ hinausgeht.
Wir machen die Datenzuordnung zu einer einfachen Aufgabe. Indem Sie die Details Ihrer Organisation zu unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten hinzufügen, können Sie alles ganz einfach aufzeichnen und überprüfen.
Wenn das Schlimmste passiert, sind Sie bereit.
Mit unseren Tools können Sie jeden Verstoß planen, kommunizieren, dokumentieren und daraus lernen.
Erfahren Sie mehr von Buchung einer 30-minütigen Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Fordern Sie ein Angebot an