Gå til forsiden til Vejledning om databeskyttelse for initiativtagere
Vejledning om databeskyttelse – Spørgsmål 7
Hvordan skal man udarbejde et databehandlingsregister?
Gælder for scenarie 2 (repræsentanten fungerer som eneste dataansvarlige), undtagen ved brug af Kommissionens filudvekslingstjeneste.
Det er lovpligtigt at føre register, navnlig når følsomme oplysninger behandles.
Et register over databehandlingsaktiviteter er et skriftligt dokument, der først og fremmest skal indeholde:
- navn og kontaktoplysninger på den dataansvarlige samt en eventuel databeskyttelsesansvarlig
- kategorier af registrerede personer og kategorier af behandlede personoplysninger
- formålet med behandlingen og henvisninger til det pågældende borgerinitiativ
- navnene på modtagerne af personoplysningerne, dvs. dem, som oplysningerne er blevet eller vil blive videregivet til (her: kun de relevante myndigheder i EU-landene, der er ansvarlige for kontrol og godkendelse af støttetilkendegivelser)
- datoer for og metoder til dataoverførsel
- de planlagte frister for at slette dataene
- en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger såsom kryptering, mulighed for gendannelse af data, test og beskyttelse af fortrolighed, dataintegritet, tilgængelighed og robusthed, fysisk sikkerhed (se spørgsmål om sikkerhed i forbindelse med underskriftindsamling på papir, indsamling via et individuelt onlineindsamlingssystem og indsendelse af de indsamlede støttetilkendegivelser til EU-landene til kontrol.
BEMÆRK:
Der er ikke krav om et særskilt register over databehandlingsaktiviteter, der udføres under fælles dataansvar med Kommissionen, da den type aktiviteter allerede er omfattet af det register over databehandlingsaktiviteter, som Kommissionen udarbejder (se scenarie 1), og brug af Kommissionens dokumentudvekslingstjeneste i scenarie 2. Borgerinitiativets dokumentation/websted skal angive link til Kommissionens register.
Henvisninger:
