Register der Bearbeitungstätigkeiten
Gemäss Artikel 30 GIDA, führt der kantonale Datenschutz- und Öffentlichkeitsbeauftragte ein Register der Bearbeitungstätigkeiten, das den Behörden zur Verfügung steht. Die Behörden müssen ihre Register der Bearbeitungstätigkeiten über dieses Register vervollständigen und alle Änderungen melden. Das Register ist öffentlich, so dass es für jedermann frei zugänglich ist. Die Funktion zur Einsichtnahme in Register wird zugänglich, sobald mehrere Register von Behörden ausgefüllt wurden.
Mit diesem Tool kann jede Person die Namen und Beschreibungen der Bearbeitungen, die Personendaten enthalten, die von den Behörden bearbeitet werden, sowie den Verantwortlichen für die Datenbearbeitung in Erfahrung bringen.
Das Register enthält für jede Bearbeitungstätigkeit Informationen über:
- die Identität und die Kontaktangaben des Verantwortlichen für die Datenbearbeitung;
- die gesetzliche Grundlage für die Bearbeitung;
- den Bearbeitungszweck;
- die betroffenen Personen oder die Kategorien der betroffenen Personen;
- die bearbeiteten Personendaten oder Kategorien bearbeiteter Personendaten;
- die Empfänger oder die Kategorien der Empfänger von Personendaten, wenn eine Bekanntgabe von Personendaten vorgesehen ist, einschliesslich der Empfänger in Drittländern oder internationalen Organisationen;
- die Aufbewahrungsdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; die Massnahmen zur Gewährleistung der Sicherheit von Personendaten.
Die Erstellung und Führung des Registers der Bearbeitungstätigkeiten ermöglicht es, die Risiken im Hinblick auf das GIDA zu identifizieren und zu hierarchisieren. Dieser wesentliche Schritt ermöglicht es den Behörden, einen Aktionsplan abzuleiten, der die Einhaltung der Datenschutzbestimmungen bei der Datenbearbeitung sicherstellt.
In diesem Zusammenhang wurde eine Anwendung entwickelt, die von den Behörden als Instrument zur Erfassung, Aktualisierung oder Löschung ihrer Meldungen von Bearbeitungstätigkeiten verwendet werden kann. Daher ist die Nutzung dieser Plattform für die gesetzliche Meldung der Register der Bearbeitungstätigkeiten an den Datenschutzbeauftragten im Sinne von Artikel 30 GIDA zwingend. Es steht den Behörden frei, andere Instrumente für die Führung ihres Registers der Bearbeitungstätigkeiten zu verwenden, aber es ist ebenfalls möglich, dies mit dieser Anwendung zu machen. Mit dieser Lösung möchte der Datenschutzbeauftragte den Behörden einen Mehrwert bieten, indem er ihnen eine einheitliche Lösung zur Verfügung stellt, die auch die Übersetzung eines grossen Teils ihrer Datenbearbeitungsregister ins Französische oder Deutsche ermöglicht.