Wanneer uw organisatie persoonsgegevens verwerkt, dient omtrent deze verwerkingsactiviteiten een register aangelegd te worden. Dit register bevat verplichte gegevens, die door de GDPR worden opgelegd. Welke gegevens hier juist dienen opgenomen te worden is afhankelijk van de rol van uw organisatie, namelijk verwerkingsverantwoordelijke of verwerker.
In het geval dat uw organisatie de verwerkingsverantwoordelijke is, dienen volgende gegevens opgenomen te worden:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
- de verwerkingsdoeleinden;
- een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
- indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, indien de GDPR dit vereist, de documenten inzake de passende waarborgen;
- indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
In het geval dat uw organisatie optreedt als verwerker, dienen volgende gegevens opgenomen te worden in het register:
- de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
- de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
- indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, indien de GDPR dit vereist, de documenten inzake de passende waarborgen;
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Deze registers dienen steeds raadpleegbaar te zijn in uw organisatie. Zo kan de Gegevensbeschermingsautoriteit deze opvragen tijdens een controle. Het is dan ook belangrijk dat u deze opstelt en dat u deze bewaard. Voor de bewaring is het toegestaan dat dit op elektronische wijze gebeurt, maar denk hierbij aan de mogelijkheid dat u bij een probleem met de elektronische drager geen toegang meer krijgt tot deze registers. Daarom kan het aangewezen zijn deze documenten op verschillende wijzen te bewaren, vb. harde schijf, cloud-server, papier,…
Indien u hulp wenst bij het opstellen van deze registers, kan u steeds contact opnemen met ons.