mirror of
https://git.ludikovsky.name/git/gesetze.git
synced 2024-10-05 22:15:28 +02:00
80 lines
3.7 KiB
Markdown
80 lines
3.7 KiB
Markdown
Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten
|
|
-----------------------------------------------------
|
|
|
|
1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein
|
|
Verzeichnis aller Verarbeitungstätigkeiten, die ihrer
|
|
Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche
|
|
folgenden Angaben:
|
|
|
|
a. den Namen und die Kontaktdaten des Verantwortlichen und
|
|
gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des
|
|
Vertreters des Verantwortlichen sowie eines etwaigen
|
|
Datenschutzbeauftragten;
|
|
|
|
b. die Zwecke der Verarbeitung;
|
|
|
|
c. eine Beschreibung der Kategorien betroffener Personen und der
|
|
Kategorien personenbezogener Daten;
|
|
|
|
d. die Kategorien von Empfängern, gegenüber denen die
|
|
personenbezogenen Daten offengelegt worden sind oder noch
|
|
offengelegt werden, einschließlich Empfänger in Drittländern
|
|
oder internationalen Organisationen;
|
|
|
|
e. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein
|
|
Drittland oder an eine internationale Organisation,
|
|
einschließlich der Angabe des betreffenden Drittlands oder der
|
|
betreffenden internationalen Organisation, sowie bei den in
|
|
Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen
|
|
die Dokumentierung geeigneter Garantien;
|
|
|
|
f. wenn möglich, die vorgesehenen Fristen für die Löschung der
|
|
verschiedenen Datenkategorien;
|
|
|
|
g. wenn möglich, eine allgemeine Beschreibung der technischen und
|
|
organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
|
|
|
|
2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen
|
|
ein Verzeichnis zu allen Kategorien von im Auftrag eines
|
|
Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die
|
|
Folgendes enthält:
|
|
|
|
a. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der
|
|
Auftragsverarbeiter und jedes Verantwortlichen, in dessen
|
|
Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls
|
|
des Vertreters des Verantwortlichen oder des
|
|
Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
|
|
|
|
b. die Kategorien von Verarbeitungen, die im Auftrag jedes
|
|
Verantwortlichen durchgeführt werden;
|
|
|
|
c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein
|
|
Drittland oder an eine internationale Organisation,
|
|
einschließlich der Angabe des betreffenden Drittlands oder der
|
|
betreffenden internationalen Organisation, sowie bei den in
|
|
Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen
|
|
die Dokumentierung geeigneter Garantien;
|
|
|
|
d. wenn möglich, eine allgemeine Beschreibung der technischen und
|
|
organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
|
|
|
|
3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu
|
|
führen, was auch in einem elektronischen Format erfolgen kann.
|
|
|
|
4. Der Verantwortliche oder der Auftragsverarbeiter sowie
|
|
gegebenenfalls der Vertreter des Verantwortlichen oder des
|
|
Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis
|
|
auf Anfrage zur Verfügung.
|
|
|
|
5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für
|
|
Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter
|
|
beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht
|
|
ein Risiko für die Rechte und Freiheiten der betroffenen Personen
|
|
birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht
|
|
die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz
|
|
1 bzw. die Verarbeitung von personenbezogenen Daten über
|
|
strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels
|
|
10 einschließt.
|
|
|
|
|