На цій сторінці ми зібрали для вас колекцію практичних шаблонів та інструментів GDPR. Офіційні документи, зразки форм та зрозумілі практичні посібники, посилання на які наведено тут, стануть швидко доступною основою для вашої документації із захисту даних (реєстри, договори про обробку даних, оцінки впливу на захист даних (DPIA), повідомлення для співробітників тощо), якщо ви плануєте пропонувати продукти та послуги в Німеччині або ЄС.

Важлива правова основа

• Повний текст GDPR (включаючи територіальну сферу застосування; актуально для компаній, що не входять до ЄС):
  РЕГЛАМЕНТ (ЄС) 2016/679 (GDPR) — EUR-Lex (DE, PDF)
  Чому: GDPR є правовою основою. Стаття 3 регулює, коли GDPR застосовується також до компаній, що не входять до ЄС (наприклад, пропозиція товарів/послуг в ЄС).

Офіційні короткі довідки та зразки (DSK та наглядові органи)

• DSK — Коротка довідка: «Реєстр видів діяльності з обробки даних» (пояснення та вимоги):
  DSK: Реєстр видів діяльності з обробки даних (dsk_kpnr_1.pdf)
  Пояснює, яку інформацію повинен містити реєстр відповідно до статті 30 GDPR та слугує обов’язковою орієнтацією для наглядових органів.
• DSK — Зразок реєстру для контролерів (DOCX / PDF):
  DSK: Зразок реєстру видів діяльності з обробки даних контролера (201802_ah_muster_verantwortliche.pdf)
  Готовий шаблон для заповнення — ідеальний як відправна точка для вашого внутрішнього реєстру обробки даних.
• DSK — Вказівки / зразки щодо інформування та зобов’язання співробітників:
  DSK: Інформування та зобов’язання співробітників (dsk_kpnr_19.pdf)
  Шаблони та вказівки щодо того, як співробітники повинні бути проінформовані про свої обов’язки та зобов’язані до конфіденційності — важливо для підтвердження технічних та організаційних заходів (TOM) та для навчання співробітників.
• DSK — DPIA (оцінка впливу на захист даних) «Список обов’язкових вимог» (коли DPIA є обов’язковою):
  DSK: Список обов’язкових вимог DPIA (Версія 1.1)
  Містить типові випадки обробки даних (приклади) та допоміжні засоби для прийняття рішень щодо того, коли необхідно проводити DPIA відповідно до статті 35 GDPR.

Посібники від органів влади та практичні посібники

• BfDI — Практична інформація та зразки вказівок (Федеральний уповноважений із захисту даних):
  BfDI — Вказівки та зразки щодо реєстру видів діяльності з обробки даних
  Додаткові практичні поради, зокрема для питань, пов’язаних з федеральним рівнем, та для державних установ.
• IHK / Сторінки палат (легкодоступні практичні пояснення та місцеві зразки):
  IHK Hamburg — Реєстр видів діяльності з обробки даних (пояснення + посилання)
  Короткі, практично орієнтовані контрольні списки для компаній (добре підходять для МСП та для швидкої орієнтації).

Статті, інструкції та приклади шаблонів

• Projekt29 — Довідкова стаття щодо публікації вказівок DSK (практичний коментар та прямі посилання для завантаження):
  Projekt29: DSK публікує вказівки та зразки для реєстру
  Фаховий коментар, який пояснює, як використовувати зразки DSK та де знаходяться офіційні завантаження.
• Практична стаття зі зразком DPIA та прикладами (пояснення + шаблон):
  Köhrer: Оцінка впливу на захист даних з прикладами та зразком/шаблоном
  Легко зрозумілий посібник зі створення DPIA зі зразковою структурою — корисний для заповнення та як доповнення до вказівок DSK.

Як використовувати шаблони — практичні поради

• Почніть зі зразка DSK для реєстру обробки даних та систематично заповнюйте записи для кожної операції обробки (мета, категорії, одержувачі, термін зберігання, TOM). (Див. коротку довідку та зразок DSK вище.)
• Для нових, інтенсивних щодо даних процесів перевірте за списком обов’язкових вимог DPIA, чи потрібна DPIA; у разі сумнівів: проведіть DPIA або проконсультуйтеся з наглядовим органом. (Див. список обов’язкових вимог DPIA.)
• Ретельно перевіряйте договори про обробку даних (AV‑Verträge): стандартні положення, обов’язки щодо підтримки, ведення обліку та видалення. Зразки часто можна знайти у земельних органах із захисту даних (Landes‑LDA), торгово‑промислових палатах (IHK) або у спеціалізованих постачальників (див. IHK та BfDI).
• Зберігайте документацію та докази (навчання, інформування співробітників, впровадження TOM) — це є основою принципу підзвітності (стаття 5 (2) GDPR).

Наша пропозиція

Ми є вашим законним представником із захисту даних у Німеччині: ми беремо на себе призначення відповідно до статті 27/статті 3 GDPR (представництво), створюємо або перевіряємо ваш реєстр видів діяльності з обробки даних, адаптуємо договори про обробку даних, проводимо DPIA або супроводжуємо вас під час перевірок наглядовими органами. З будь‑яких питань щодо захисту даних — від одноразової юридичної перевірки до постійного представництва та супроводу — ми є вашим контактним партнером.