Bearbeitungs-
Verzeichnis
Verantwortliche und Auftragsbearbeiter haben ein Verzeichnis über ihre Bearbeitungstätigkeiten zu führen.
Das Verzeichnis beinhaltet mindestens folgende Angaben:
- die Identität des Verantwortlichen;
- den Bearbeitungszweck;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
- die Kategorien der Empfängerinnen und Empfänger;
- wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
- wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit;
- falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien.
Unternehmen und andere privatrechtliche Organisationen mit weniger als 250 Mitarbeiterinnen und Mitarbeiter sowie natürliche Personen müssen kein Bearbeitungsverzeichnis führen, ausser eine der folgenden Voraussetzungen ist erfüllt:
- Es werden umfangreich besonders schützenswerte Personendaten bearbeitet.
- Es wird ein Profiling mit hohem Risiko durchgeführt.