Documentatieplicht
Documentatieplicht verwerkingsverantwoordelijke: Elke verwerkingsverantwoordelijke (en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke) houdt een register van de verwerkingsactiviteitenbij die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens: a. de naam en de contactgegevens verantwoordelijke en eventueel gezamenlijke verantwoordelijken en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming; b. de verwerkingsdoeleinden; c. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; d. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; e. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; f. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; g. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Documentatieplicht verwerker: De verwerker, (en, in voorkomend geval, de vertegenwoordiger van de verwerker) houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens: a. de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming; b. de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd; c. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; d. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
NB: Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. NB: Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker (en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker) het register ter beschikking van de toezichthoudende autoriteit. NB: De verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, , of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten betreft.
Section |
---|
Column |
---|
| Bepalingen :
Expand |
---|
| Artikel 30:
Register van de verwerkingsactiviteiten 1.Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens: a)de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming; b) de verwerkingsdoeleinden; c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1. 2.De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens: a) de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming; b) de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd; c) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; d) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1. 3.Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. 4.Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit. 5.De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft. |
|
|
Section |
---|
Column |
---|
| Overwegingen
Expand |
---|
title | Originele tekst overwegingen |
---|
| Overweging 82: Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Elke verwerkingsverantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.
|
|
|
Section |
---|
Column |
---|
| Wbp :De Wbp kent een verplichting om bepaalde verwerkingen te melden bij de toezichthouder (Autoriteit Persoonsgegevens). Dat hoeft bij de AVG niet langer, maar de verplichting om een registratie bij te houden is gebleven en uitgebreid. Alleen hoeft deze pas op verzoek van de toezichthouder ter beschikking worden gesteld.
Expand |
---|
| Artikel 27: 1 Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt gemeld. 2 Een niet geautomatiseerde verwerking van persoonsgegevens, die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan een voorafgaand onderzoek. 3 De verantwoordelijke meldt de verwerking alvorens daarmee te beginnen bij het College of bij de functionaris. Artikel 28: 1 De melding behelst een opgave van: a. de naam en het adres van de verantwoordelijke; b. het doel of de doeleinden van de verwerking; c. een beschrijving van de categorieën van betrokkenen en van de gegevens of categorieën van gegevens die daarop betrekking hebben; d. de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt; e. de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie; f. een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om, ter toepassing van artikel 13 en 14, de beveiliging van de verwerking te waarborgen. 2 De melding behelst het doel of de doeleinden waarvoor de gegevens of de categorieën van gegevens zijn of worden verzameld. 3 Een wijziging in de naam of het adres van de verantwoordelijke wordt binnen een week gemeld. Wijzigingen in de opgave die betrekking hebben op de onderdelen b tot en met f van het eerste lid, worden telkens binnen een jaar na de voorafgaande melding gemeld voor zover zij blijken van meer dan incidentele aard te zijn. 4 Een verwerking die afwijkt van hetgeen overeenkomstig het eerste lid, onder b tot en met f, is gemeld, wordt vastgelegd en bewaard gedurende ten minste drie jaren. 5 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze waarop de melding dient te geschieden. |
|
|
|