如果公司和机构雇用的员工少于 250 人,则可能免于根据 GDPR 第 30 (1) 条和/或 GDPR 第 30 (2) 条维护处理活动记录的义务,除非
他们进行的处理对数据主体的权利和自由构成风险,或
这种处理不仅仅是偶尔的,
特殊类别的数据按照 GDPR 第 9 (1) 条进行处理,或按照 GDPR 第 10 条的规定处理与刑事定罪和犯罪有关的个人数据。
然而,应谨慎对待这一例外:联邦和州政府的独立数据保护机构 (DSK) 对于这一例外的解释有一些指导方针:
“因此,只要满足上述三组情况中的至少一组,就有义务维护处理活动登记册。由于定期的工资核算,几乎没有任何公司会普遍免除维护此类登记册的义务;可能是完全由税务顾问进行这些活动的公司,也可能是规模较小的协会。此外,在工资单或学生管理中,宗教信仰的表明通常也包括特殊的数据类别。 S. d. GDPR 第 9 条第 1 款。 “不仅偶尔”一词取代了 BDSG 中的“经常”,可以通过 GDPR 第 29 条工作组 (WP 243) 下的数据保护官员指南进行解释。根据第 2.1.4 节,如果至少满足以下特征之一,则适用术语“定期”:在一定时间段内连续发生或者以一定间隔发生、在特定时间重复发生或者重复发生、连续发生或定期发生。
对数据主体的权利和自由构成风险的处理操作可能包括:视频监控、信用评分和欺诈预防程序、员工跟踪(例如使用 GPS)、影响通信内容的处理操作。”
总之,DSK 指出,可以假设 GDPR 第 30 条第 5 款规定的例外情况很少适用,并且在许多情况下有必要创建处理活动登记册。
常问问题
如果没有进行 VVT 或 VVT 不完整,会发生什么情况?
根据 GDPR 第 30 条,违反 VVT 的法律要求 菲律宾号码数据 可能会受到主管监督机构的处罚,罚款最高可达 1000 万欧元,或者对于公司而言,最高可达上一财年全球年营业额总额的 2%,以较高者为准,参见 GDPR 第 83 条第 4 款 a)项。
外部数据保护官可以提供什么帮助?
外部数据保护官协助公司合法合规地实施数据保护。这需要一定程度的专业知识。因此,外部数据保护官员必须具备必要的专业资格,例如学位,但也必须获得实践经验。数据保护官必须充分考虑履行其职责所涉及的风险,如《GDPR》第 39(2) 条所规定的那样。因此,必须确保全面履行 GDPR 第 39 条第 1 款规定的所有任务。为了实现这一点,有必要就数据保护问题进行不断的讨论和定期的培训。外部数据保护官员通常可以依靠一支由多名员工组成的合格团队,他们共同保证提供尽可能最佳的数据保护。具体而言,外部数据保护官帮助根据 GDPR 第 39 条第 1 款 a)项通知和建议控制者或处理者和员工,监控对 GDPR 和其他联盟数据保护法规的遵守情况,并根据 GDPR 第 39 条第 1 款 b)项提高意识和培训员工。此外,控制者可以根据《GDPR》第39条第1款c项的规定提供数据保护影响评估方面的建议,并在与监管机构及相关问题的磋商和沟通方面提供帮助。
此外,外部数据保护官还可以为 VVT 的准备提供支持。无论如何,数据保护官的专业知识和实践经验在这里至关重要。通过向负责人提出明确的问题,可以使处理活动变得可识别和记录。此外,由于员工无需熟悉新材料,因此可以节省大量的时间资源。这可确保不会遗忘或忽略任何活动,或进行错误的记录。此外,外部数据保护官员通常拥有结构良好的数据保护管理系统,可以用于创建并建立高标准。您可以在此处了解如何任命数据保护官的具体信息。