安全合规/GDPR--11--GDPR中的第30条和第49条
为什么是第30条和第49条?
第30条为《处理活动的记录》,这就意味着你要符合GDPR合规,那就要准备xx材料xx材料xx材料……!!!
第49条为《特殊情形下的克减》,这就意味着允许你在特殊情况下,做出本来不能做的事。
所以,以下两条是认证GDPR合规接触最多,最复杂,最让人去解读的条例。
以上均为个人在认证GDPR合规过程中的感想,并不代表任何官方意见
第 30 条 处理活动的记录
1、每个控制者——以及如果有的话——每个控制者的代表,都应当保持其所负责的处理活动的记录。这种记录应当包含所有如下信息:
(a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、详细联系方式;
(b)处理的目的;
(c.)对数据主体的类型以及个人数据的类型的描述;
(d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收者——的类型;
(e)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国或国际组织的记录,以及在第 49(1)条第二分段所提到转移的情形中, 对适当保障措施的记录;
(f)如果适用的话,擦除不同种数据类型的预计期限;
(g)如果适用的话,对第 32(1)条所规定的技术性与组织性安全措施的一般性描述。
2.每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处理都应当保持保存一份记录,包含如下信息:
(a)处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者以及——如果有的话——控制者或处理者的代表、数据保护官;
(b)代表每个控制者进行处理的类型;
(c.)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国或国际组织的记录,以及在第 49(1)条第二分段所提到转移的情形中,对适当保障措施的记录;
(d)如果有的话,对第 32(1)条所规定的技术性和组织性安全措施的一般性描述。
3、第 1 段和第 2 段所规定的记录应当是书面的,包括以电子形式作出的书面记录。
4、基于监管机构的要求,控制者或处理者以及——在有的情况下——控制者或处理者的代表,应当提供可获取的记录。
5、第 1 和第 2 段所规定的责任不适用于雇员少于 250 人的经济主体或组织,除非其进行的处理不是偶尔性的,而且可能会对数据主体的权利与自由带来风险,或者其处理包含了第 9(1)条规定的特定种类的数据或第 10 条规定的和刑事犯罪和违法相关的个人数据。
第 49 条 特殊情形下的克减
1、如果不存在根据第 45(3)而做出的充足保护认定或根据第 46 条而制定的适当安全措施——包括约束性公司规则,将个人数据转移到第三国或国际机构,只有满足如下情形之一才能进行:
(a)数据主体被明确告知,不存在充足保护或适当的安全措施,预期的数据转移存在风险,但之后数据主体仍然明确表示同意预期的数据转移;
(b)转移对于履行数据主体与控制者之间的合同,或者履行数据主体在签订契约前所提出要求是必要的;
(c.)控制者和另一自然人或法人之间签订或履行合同时,转移对于实现数据主体的利益是必要的;
(d)转移对于实现公共利益是必要的;
(e)转移对于确立、行使或辩护法律性主张是必要的;
(f)当数据主体基于身体性或法律性原因无法表达同意,为了保护数据主体或其他人的关键利益是必要的;
(g)转移是根据登记册而进行的——这种登记册是欧盟法或成员国法律为了向具有正当利益的一般性公众或个人提供咨询。但是,只有满足欧盟法或成员国法对咨询所规定必要条件,此类个案中的转移才能进行克减。
当转移无法基于第 45 或第 46 条,包括基于约束性公司规则的条款的规定而进行,且从(a)点到(g)的克减条件都不符合,将数据转移到第三国或国际组织,这只有在转移满足如下条件时才可以:转移是非重复性的;关乎很小一部分数据主体的权利;对于实现控制者压倒性的正当利益是必要的,并且不会违 反数据主体的有限性的利益或权利与自由;控制者已经对围绕数据传输的情形进行评估,而且基于这种评估对个人数据保护采取了合适的安全保障。控制者除了提供第 13 条和第 14 条所规定的信息之外,应当将转移和追求的压倒性正当利益告知数据主体。
2、符合第 1 段(g)点的转移不应当包括登记册里的全部个人数据或所有类型的个人数据。当登记册是为了给具有正当利益的人提供咨询的,只有那些人提出要求,或者那些人是接收者的情形才能进行转移。
3、对于公共机构在行使其公共权力时的活动,第 1 段的(a)(b)(c)点以及第 1 段的第二分段不适用。
4、第 1 段(d)点规定的公共利益应当为欧盟或成员国为控制者所制定的法律所确认。
5、如果不存在充足保护的认定,欧盟或成员国的法律可以基于公共利益而明确做出限制,限制将个人数据转移到第三国或国际组织的特定类型。成员国应当将此类条款告知欧盟委员会。
6、控制者或处理者应当在第 30 条规定的档案中记录本条第 1 段第二分段所规定的评估以及合适的安全措施。