Ein Verzeichnis von Verarbeitungstätigkeiten, früher Verfahrensverzeichnis, ist wie eine Dokumentation, in der sämtliche Geschäftsprozesse und Verfahren aufgelistet werden, in denen sich personenbezogene Daten wiederfinden (Art. 30 DSGVO).
Der 1. Absatz des Artikels nennt die Inhalte eines Verzeichnisses. Name und Kontaktdaten des Verantwortlichen oder eines Vertreters sowie gegebenenfalls des Datenschutzbeauftragten sind verpflichtet. Sowohl die Zwecke der Verarbeitung, die Kategorien betroffener Personen und personenbezogener Daten, als auch die Kategorien von Empfängern sind ebenfalls unwiderruflich. Darüber hinaus sollten Löschfristen, Datenübermittlung ins Drittland und eine Beschreibung der technischen und organisatorischen Maßnahmen berücksichtigt werden.
Bei einem Verzeichnis von Verarbeitungstätigkeiten ist darauf zu achten, dass dieses schriftlich geführt wird und jederzeit, auf Anfrage, der Aufsichtsbehörde vorzulegen ist.
Beispiele für eine Verarbeitungstätigkeit können sein:
- Zeiterfassungssysteme
- digitale Personalakte
- Bewerbungsmanagement
- Social Media Auftritte
- Videoüberwachung