GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
POGLAVJE IV
Upravljavec in obdelovalec
Oddelek 1
Splošne obveznosti
Člen 30 Evidenca dejavnosti obdelave
1. Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:
|
(a)
|
naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
|
|
(c)
|
opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
|
|
(d)
|
kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
|
|
(e)
|
kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
|
|
(f)
|
kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
|
|
(g)
|
kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).
|
2. Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:
|
(a)
|
naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;
|
|
(b)
|
vrste obdelave, ki se izvaja v imenu posameznega upravljavca;
|
|
(c)
|
kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
|
|
(d)
|
kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).
|
3. Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.
4. Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, nadzornemu organu na zahtevo omogočijo dostop do evidenc.
5. Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.
- kadar 10
- upravljavca 9
- podatkov 8
- člena 6
- obdelovalca 4
- osebnih 4
- obdelave 4
- vključno 4
- opis 3
- podatke 3
- osebni 3
- organizacijo 3
- podatki 3
- mogoče 3
- vrst 3
- predstavnik 3
- obdelovalec 3
- obstaja 3
- izvaja 2
- vrste 2
- organizacije 2
- mednarodne 2
- države 2
- tretje 2
- državo 2
- tretjo 2
- mednarodno 2
- obdelava 2
- identifikacijo 2
- primeru 2
- prenosov 2
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
KAPITEL IV
Verantwortlicher und Auftragsverarbeiter
Abschnitt 1
Allgemeine Pflichten
Artikel 30 Verzeichnis von Verarbeitungstätigkeiten
(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
|
a)
|
den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
|
|
b)
|
die Zwecke der Verarbeitung;
|
|
c)
|
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
|
|
d)
|
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
|
|
e)
|
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
|
|
f)
|
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
|
|
g)
|
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
|
(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
|
a)
|
den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
|
|
b)
|
die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
|
|
c)
|
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
|
|
d)
|
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
|
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.
- oder 12
- verantwortlichen 8
- gegebenenfalls 7
- verarbeitung 6
- sowie 5
- eine 5
- kategorien 5
- artikel 5
- absatz 5
- daten 5
- verzeichnis 5
- organisation 4
- personenbezogenen 4
- auftragsverarbeiter 4
- betreffenden 4
- nicht 4
- auftrag 3
- führen 3
- wenn 3
- möglich 3
- für 3
- vertreter 3
- internationalen 3
- gemäß 3
- einschließlich 3
- beschreibung 3
- auftragsverarbeiters 3
- eines 3
- genannten 3
- geeigneter 2
- datenkategorien 2
- dokumentierung 2
|
