Wat is een register van de verwerkingsactiviteiten?
Een register van de verwerkingsactiviteiten is een document waarin je verwerkingen van verzamelde persoonsgegevens moet bijhouden. De gedachte erachter is dat je op die manier precies kunt aantonen wat je hebt gedaan aan zowel de individuen wiens persoonsgegevens je gebruikt, als aan de controlerende instantie, de Autoriteit Persoonsgegevens.
Wanneer heb je een register verwerkingsactiviteiten nodig?
Je moet een verwerkingsactiviteitenregister hebben:
-
zodra je organisatie 250 personen in dienst heeft
-
als het waarschijnlijk is dat de verwerking van persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen
-
als je je niet incidenteel bezighoudt met de verwerking van persoonsgegevens
-
als je bijzondere categorieën persoonsgegevens verwerkt (bijvoorbeeld medische gegevens, seksuele voorkeur, etnische afkomst, strafbare feiten en politieke of religieuze opvattingen)
Omdat de rechter nog niet heeft bepaald wat er precies moet worden verstaan onder incidenteel bezig zijn met het verwerken van persoonsgegevens is het verstandig om bij twijfel hierover toch een register aan te leggen en bij te houden.
Wat moet er in register verwerkingsactiviteiten staan?
Het register moet de volgende gegevens bevatten:
-
je (bedrijfs)naam en contactgegevens, zoals adres, telefoonnummer en e-mailadres
-
de naam van een contactpersoon met zijn contactgegevens
-
de naam van de Functionaris gegevensbescherming (als je die hebt aangesteld) met zijn contactgegevens
-
de doelen waarvoor je de persoonsgegevens verwerkt (bijvoorbeeld: marketing, salarisadministratie of klantenbestand)
-
de categorieën van betrokkenen van wie je gegevens verwerkt (bijvoorbeeld: klanten, bezoekers of leden)
-
de categorieën van persoonsgegevens die je verzamelt (bijvoorbeeld: adresgegevens, salarisgegevens of gezondheidsgegevens)
-
een beschrijving van de categorieën van ontvangers van persoonsgegevens, onder meer van ontvangers in derde landen of internationale organisaties (bijvoorbeeld marketingbureaus of call centers)
-
een beschrijving van de soorten persoonsgegevens die aan een land buiten de EU of internationale organisatie worden verstrekt, eventueel vergezeld van een modelovereenkomst voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad
-
indien mogelijk na hoeveel tijd een categorie gegevens zal worden gewist
-
indien mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die je hebt genomen
Wanneer heb je verwerkingsregister en privacyverklaring nodig?
Ben je een verwerker die in opdracht van een ander persoonsgegevens verwerkt? Dan heb je ook een verwerkingsregister nodig, waarin je tevens de gegevens van je opdrachtgever(s) moet opnemen.
Een privacyverklaring ten slotte, gebruik je om aan te geven welke persoonsgegevens je verzamelt en op basis van welke wettelijke grondslag.
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.