4.3 Documentatieplicht
vastleggen
Voor organisaties met meer dan 250 werknemers, wordt het verplicht om een register bij te houden, waarin zij alle verwerkingen van persoonsgegevens moeten vastleggen. Hoe ziet die documentatieplicht er precies uit?
Verplichtingen verantwoordelijke
functionaris
wissen
Volgens de privacywetgeving moet elke verantwoordelijke organisatie een register bijhouden van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvinden. In dit register moeten de volgende gegevens worden vastgelegd:
- de naam en de contactgegevens van de verwerker. Indien van toepassing ook de gegevens van de vertegenwoordiger van de organisatie en van de functionaris voor gegevensbescherming;
- de verwerkingsdoelen;
- een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- de categorieën van ontvangers aan wie de persoonsgegevens eventueel zijn of worden verstrekt;
- als de persoonsgegevens worden doorgegeven aan landen buiten de EU of internationale organisaties de gegevens van die partijen;
- als het mogelijk is, de termijnen waarbinnen de persoonsgegevens moeten worden gewist;
- indien mogelijk een algemene beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen. Deze moeten overeenkomen met de eisen in artikel 32, lid 1.
4.3.1 Register van de verwerker
De verwerker moet een register bijhouden van alle categorieën van verwerkingsactiviteiten, die hij voor de verantwoordelijke organisatie heeft verricht. Dat kan overlappen met het register van de verantwoordelijke.
vertegenwoordigers
In het register van de verwerker moeten de volgende gegevens worden vastgelegd:
- de naam en de contactgegevens van de verwerker en van iedere verwerkingsverantwoordelijke namens wie de verwerker handelt. Indien van toepassing worden ook de gegevens vastgelegd van vertegenwoordigers en van de functionaris voor gegevensbescherming;
- de categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke zijn uitgevoerd;
- als de persoonsgegevens worden doorgegeven aan landen buiten de EU of internationale organisaties de gegevens van die partijen;
- indien mogelijk een algemene beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen. Die moeten overeenkomen met de eisen in artikel 32, lid 1.
4.3.2 Autoriteit Persoonsgegevens
schriftelijk
toezichthouder
Het register moet in schriftelijke vorm, waaronder in elektronische vorm, worden opgesteld. Daarnaast moet het register beschikbaar kunnen worden gesteld aan de toezichthouder – Autoriteit Persoonsgegevens – als deze een verzoek doet om de gegevens in te zien.
Klein kan heel fijn zijn
incidenteel
Het register is niet verplicht voor organisaties, die minder dan 250 medewerkers in dienst hebben, tenzij:
- het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de mensen over wie de gegevens gaan;
- de verwerking niet incidenteel is;
- het om bijzondere persoonsgegevens gaat (zie hoofdstuk 2) of om persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten.
Uitzondering
verwerker
Kleine organisaties moeten er dus niet van uitgaan dat ze geen register hoeven bij te houden. Ze moeten goed uitzoeken of zij niet de ‘uitzondering op de uitzondering’ vormen.
4.3.3 Voorwaarden uitwisseling met derden
Alleen onder voorwaarden mag een organisatie een verwerker inschakelen voor het verwerken van persoonsgegevens. Dat kan bijvoorbeeld zijn om het intranet te beheren of de personeels- of salarisadministratie uit te voeren.
Afdoende garanties
beveiliging
De organisatie mag hierbij uitsluitend een beroep doen op verwerkers, die ‘afdoende garanties’ bieden. Het gaat dan om het toepassen van passende technische en organisatorische maatregelen, oftewel de beveiliging. De verwerker mag op zijn beurt ook geen andere verwerker inzetten zonder voorafgaande schriftelijke toestemming van de verantwoordelijke. In hoofdstuk xx komt de inhoud van een verwerkersovereenkomst aan bod.