Det är standardpraxis och ett juridiskt krav i de flesta organisationer att förvara dokumentation om detaljerna för datadelning och datalagring.
Att dokumentera denna information är ett effektivt sätt att visa att du följer Allmänna dataskyddsförordningen (GDPR) och förstärker att du kan lita på informations- och datasäkerhet.
Även om dokumentationen av bearbetningsaktiviteter är ny under GDPR, om du har registrerat dig hos Information Commissioner's Office enligt Data Protection Act 1998, kommer du att vara bekant med vilken typ av dokumentation de begär.
Ankomsten av GDPR innebär att när en organisation registrerar sig hos ICO kommer de inte längre att behöva tillhandahålla den informationen. De bör helt enkelt göra det tillgängligt för ICO om det efterfrågas. Huvudvikten kommer att ligga på ansvarighet.
Som vi berörde tidigare är dokumentation ett juridiskt krav, men denna goda praxis kan användas på ett antal sätt, inklusive genom att förbättra din verksamhets effektivitet och datastyrning.
Hantering av förfrågningar om tillgång till ämne är görs mycket enklare när du har noggrant dokumenterat personuppgifterna för dina anställda, kunder och leverantörer. När det gäller att granska dina bearbetningsaktiviteter hjälper dokumentationen dig att säkerställa att du bara har relevanta uppgifter.
Om du driver ett litet eller medelstort företag så finns det ett undantag i GDPR. Detta innebär att om du anställer mindre än 250 personer behöver du bara dokumentera databehandlingsaktiviteter som är:
I skrivande stund noterade ICO:
"Artikel 29-arbetsgruppen (WP29) överväger för närvarande omfattningen av undantaget från dokumentation av bearbetningsverksamhet för små och medelstora organisationer.
”WP29 innehåller representanter från dataskyddet myndigheterna i varje EU-medlemsstat. Den antar riktlinjer för att uppfylla kraven i GDPR.
"Om det behövs kommer vi att uppdatera denna vägledning för att återspegla resultatet av WP29:s diskussioner."
Ansvarsskyldighet är huvudprincipen bakom dokumentation, och mycket av GDPR faktiskt. När du tar tag i det bör det bli en andra natur att visa att du följer dina skyldigheter enligt GDPR – särskilt om du kör ett ledningssystem för informationssäkerhet!
En skräddarsydd praktisk session utifrån dina behov och mål
100 % av våra användare uppnår ISO 27001-certifiering första gången