Der DSB von Developing Inc. erstellt ein Repository, in dem die Dokumentation über die Verarbeitung archiviert wird. Die Unterlagen werden lokal auf den Servern von Developing Inc. gespeichert. Die Speicherarchitektur von Developing Inc. ist redundant, um die Geschäftskontinuität zu gewährleisten, und der Inhalt der Server wird regelmäßig gesichert.
Die Entwickler ermitteln die folgenden zwingend vorgeschriebenen Unterlagen:
Unterlagen: Checkliste | ||
Geeignete Datenschutzvorkehrungen | ✓ | Trifft zu |
Datenschutzhinweis | ✓ | Trifft zu |
Datenspeicherungserklärung | ✓ | Trifft zu |
Datenspeicherungsplan | ✓ | Trifft zu |
Verzeichnis von Verarbeitungstätigkeiten (ggf.) | ✓ | Trifft zu (siehe unten) |
Einwilligungserklärung (ggf.) | ✓ | Trifft zu (Einwilligung als Rechtsgrundlage) |
Datenverarbeitungsvertrag mit Lieferanten | ✗ | Trifft nicht zu (keine Lieferanten mit Zugang zu personenbezogenen Daten) |
Datenschutz-Folgenabschätzung | ✓ | Trifft zu (siehe Abschnitt 4.2.5) |
Vertragsklauseln für die Übermittlung personenbezogener Daten (falls zutreffend) | ✗ | Trifft nicht zu (keine Übermittlung) |
Benennung eines EU-Vertreters (ggf.) | ✗ | Trifft nicht zu (Sitz von Developing Inc. mit Sitz ist in der Europäischen Union) |
Verfahren zur Reaktion auf und Meldung von Datenschutzverletzungen | ✓ | Trifft zu |
Verzeichnis der Datenschutzverletzungen | ✗ | Trifft nicht zu (keine Datenschutzverletzung aufgetreten) |
Meldungsformular von Datenschutzverletzungen an die Aufsichtsbehörde | ✗ | Trifft nicht zu (keine Datenschutzverletzung aufgetreten) |
Formular zur Benachrichtigung der von einer Datenschutzverletzung betroffenen Person | ✗ | Trifft nicht zu (keine Datenschutzverletzung aufgetreten) |
In diesem Szenario verfügt die Design Inc. über ein Verzeichnis der Verarbeitungstätigkeiten. Obwohl es sich um ein kleines Unternehmen mit weniger als 250 Mitarbeitern handelt, werden die Mitarbeiter betreffende Daten verarbeitet (z. B. Gehaltsabrechnung, Organisation von Betriebsausflügen usw.). Developing Inc. hat keine eigene Vorlage für das Verzeichnis der Verarbeitungstätigkeiten erstellt und die von der französischen Aufsichtsbehörde bereitgestellte Vorlage übernommen[1].
Quellenangaben
1Die Vorlage istabrufbarunter: Commision Nationale Informatique & Libertés, Record of Processing Activities, August 2019, https://www.cnil.fr/en/record-processing-activities. ↑