Verzeichnis von Verarbeitungstätigkeiten (VVT)
§ 13. (1) Die Verantwortlichen und die Auftragsverarbeiter haben für jede Datenverarbeitung ein schriftliches Verzeichnis der dafür vorhandenen Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen. Der Hauptverband hat dafür im Rahmen seiner Zuständigkeit zur Schaffung einheitlicher Formulare (§ 31 Abs. 4 Z 6 ASVG) Muster aufzulegen.
(2) Das Verzeichnis der Verarbeitungstätigkeiten hat jedenfalls folgende Angaben zu enthalten:
| | | | | | | | | | |
1. | den Namen und die Kontaktdaten des Verantwortlichen (sowie – falls vorhanden – die verfahrensverantwortliche Abteilung), und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, gegebenenfalls des Vertreters des Verantwortlichen, sowie des Datenschutzbeauftragten (Art. 30 Abs. 1 lit. a DSGVO); |
2. | die Zwecke der Verarbeitung (z. B. Versicherungsdatenverwaltung, Beitragseinhebung, Leistungserbringung, Leistungsverrechnung, Forderungseinbringung, Personalverwaltung, Verwaltungskörperorganisation, Gesundheitsförderungsprojekte nach § 459e ASVG, Vollziehung von Strukturplänen nach § 84a Abs. 1 ASVG); |
3. | bei Verantwortlichen eine Zusammenstellung jener Datenverarbeitungen die gemeinsam mit anderen Verantwortlichen erfolgt (Art. 26 DSGVO); |
4. | bei Verantwortlichen die Beschreibung der Datenkategorien betroffener Personenkreise und der Kategorien personenbezogener Daten (= Datenarten), bei Auftragsverarbeitern die Kategorien von Verarbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden; |
5. | bei Verantwortlichen die Kategorien von Empfängern (einschließlich Empfänger in Drittländern oder internationalen Organisationen), bei Auftragsverarbeitern nur – falls überhaupt gegeben – Empfänger in Drittländern oder internationalen Organisationen; für Datenübermittlungen im Rahmen von Amtshilfe (Art. 22 B-VG) ist auf die allgemeine Amtshilfeverpflichtung, nicht jedoch auf die Namen aller Amtshilfeberechtigten Institutionen zu verweisen. Die betroffene Person selbst sowie eigene MitarbeiterInnen sind nicht namentlich als Empfänger anzuführen. |
6. | bei Verantwortlichen wenn möglich: die Löschungsfristen der verschiedenen Datenkategorien und |
7. | wenn möglich: die Beschreibung technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO |
(3) Die Verantwortlichen und die Auftragsverarbeiter haben das Verzeichnis der Verarbeitungstätigkeiten nach Abs. 2 im Internet auf der jeweiligen Website zu veröffentlichen. Diese Verpflichtung dient der Erfüllung der Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen.
(4) Änderungen und Löschungen von Datenverarbeitungen im Verzeichnis der Verarbeitungstätigkeiten, die im Rahmen eines Standardproduktes (§ 2 Z 6 REDV 2006) vorzunehmen sind, sind durch den Standardprodukt-Dienstleister (§ 5 Abs. 2 Z 1 und 5 REDV 2006) als Auftragsverarbeiter durchzuführen, bzw. für den Fall, dass dieser nicht Verantwortlicher einzelner Datenarten sein sollte, auch als Muster zu erstellen. In jenen Fällen, in denen der Standardprodukt-Dienstleister nicht für die Entwicklung der jeweiligen Datenverarbeitung verantwortlich ist, hat der jeweilige Produktverantwortliche das VVT-Muster zu erstellen. Das geänderte Verzeichnis bzw. das Muster ist von den Standardprodukt-Dienstleistern als Vorlage an die betroffenen Sozialversicherungsträger weiterzuleiten. Von sonstigen Änderungen (sowie auch Löschungen) von Datenverarbeitungen im Verzeichnis der Verarbeitungstätigkeiten hat der Verantwortliche – soweit dafür Auftragsverarbeiter vorhanden sind – die Auftragsverarbeiter unverzüglich zu verständigen.
(5) Bei gemeinsamen Datenverarbeitungen hat der jeweilige Zuständige (§ 5Abs. 1 Z 1 lit. c) das Verzeichnis zu der betreffenden Verarbeitungstätigkeit zu erstellen sowie Änderungsmeldungen und Löschungen darin vorzunehmen bzw. vorzubereiten. Dieses Verzeichnis hat auch die jeweiligen (unmittelbar beauftragten) Auftragsverarbeiter zu umfassen und dieses ist von ihm auf dem in Abs. 5 genannten Weg an die betroffenen Sozialversicherungsträger bzw. Auftragsverarbeiter weiterzuleiten.
(6) Das Verzeichnis von Verarbeitungstätigkeiten ist nach der erstmaligen Erstellung auf Basis einer umfassenden Datenerhebung laufend – oder zumindest einmal jährlich – zu aktualisieren. Als Grundlage und weitere Detaillierung des Verzeichnisses der Verarbeitungstätigkeiten ist im Rahmen der Aufzeichnungen der jeweiligen IT-Organisation/Abteilung eine Übersicht über die jeweiligen Verarbeitungen (z. B. IT-MAP) zu führen. Diese Unterlagen sind laufend auf Aktualität zu prüfen und entsprechend aktuell zu halten.
(7) Jeder Verantwortliche, seine Auftragsverarbeiter oder gegebenenfalls deren Vertreter haben der Datenschutzbehörde auf deren Anfrage das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung zu stellen.