GDPR合规 | 数据处理记录是必须的吗?小企业也要做吗?
GDPR第30条规定了企业有责任全面了解组织内发生的数据处理活动,也要求企业对这些活动进行相应的记录。但是考虑到不同的企业有大小区别,不少人还会问,小企业也要这样做吗?同时,GDPR数据处理记录,真正实施起来不仅需要很长时间,而且还会涉及到企业内部不同组织之间、不同业务部门的协同工作,又该如何着手履行这项法律义务呢?
事实上,在国外,荷兰和比利时的组织已经熟悉的履行向当地数据保护局通知其数据处理活动的义务了。企业记录数据处理活动,不仅因为它本身是一项法律要求,更重要的作用在于,它可以很好的支持国家的数据治理工作并帮助企业证明对GDPR其他方面的合规性。今天,SCA安全通信联盟结合GDPR官方文档,解读数据控制者、数据处理者以及小企在数据处理记录方面的法律责任,探索如何通过技术操作创建数据处理活动记录,仅供大家参考。
根据GDPR第30条规定:如果企业有250名或更多员工,则必须记录所有处理活动。如果企业是中小型组织,则有豁免权限。数据控制者和数据处理者各自都有自己的数据处理记录义务。那么企业需要记录哪些内容?中小型企业在实际数据处理中应该主要注意哪些事项?企业应该如何建立数据处理记录?SCA安全通信联盟结合GDPR原文探索整理如下:
一、数据控制者
任何数据控制者及其代表(如适用),应维护其负责的处理活动的记录,根据GDPR第30条第1款,企业应该记录以下所有信息:
(a)数据控制者及其共同控制者(如适用)、数据控制者的代表和数据保护官的名称和详细联系方式;
(b)处理的目的;
(c)对数据主体类别和个人数据类别的描述;
(d)个人数据已经或将要其披露的数据接收者类别,包括第三国或国际组织的数据接收者;
(e)将个人数据向第三国或国际组织传输时,包括该第三国或国际组织的名称或身份信息,在本条例第49条第1款第2项规定的传输情形下,适当安保措施的证明文件(如适用);
(f)删除不同类别数据的预计时间上限(如可能);
(g)本条例第32条第1款规定的技术性和组织性保护措施的概述(如可能)。
即,企业数据控制者必须记录以下信息:
企业的名称和联系方式(以及适用时,其他控制人员,企业的代表和企业的数据保护官员的信息);企业处理的目的;个人主体类别和个人数据类别的描述;个人数据接收者的类别。转移到第三国的详细信息,包括记录转移机制的保障措施;保留时间表;企业的技术和组织安全措施的描述。
二、数据处理者
GDPR不仅要求控制者承担数据处理记录的责任,而且还要求所涉及的数据处理者承担更多责任。因此,如果企业是数据处理者或企业中的数据处理者,也应履行这项义务。GDPR第30条第2款对数据处理者的处理活动的记录规定如下:
任何数据处理者及数据处理者的代表(如适用)应维护代表数据控制者所进行的所有类别的处理活动的记录,包括:
(a)一个或多个数据处理者、数据处理者代表其进行数据处理的各个数据控制者,以及该数据控制者或数据处理者的代表(如适用)和数据保护官的名称和详细的联系方式;
(b)代表各个数据控制者进行处理的类别;
(c)将个人数据向第三国或国际组织传输时,包括该第三国或国际组织的名称或身份信息,在本条例第49条第1款第2小段规定的传输情形下,适当安保措施的证明文件(如适用);
(d)本条例第32条第1款规定的技术性和组织性保护措施的概述(如可能)。
即,每个数据处理者都有责任维护代表数据控制者执行的所有类别处理活动的记录,包括:
一个或多个数据处理者以及数据处理者所代表的每个数据控制者的名称和联系方式,以及数据保护官的信息;代表每个数据控制者进行的处理类别;将个人数据转移到第三国或国际组织,包括适当保障的文件;应用技术和组织安全措施的一般描述。
三、关于中小企业
如果企业是中小型组织,根据GDPR第30条第5款:第一款和第二款的义务不适用于员工人数少于250人的企业或组织,但其所进行的处理可能会给数据主体权利和自由带来风险且处理并非偶尔的,或者其处理包括本条例第9条第1款规定的特殊类别的数据或第10条规定的有关刑事和犯罪的个人数据的除外。
即,根据GDPR第30条第(5)款所述,如果处理不太可能对数据主体的权利和自由构成风险,如果没有处理特殊类别的数据,或者如果处理只是偶尔进行,雇员少于250人的公司或机构可以免于保留记录。
但实际上,这种豁免很少适用。
因为除了在解释被认为是“偶然的”时会出现的很多困难之外,在大多数公司的数据会被明确地定期处理,包括网站、网站商店、工资计算或客户关系管理系统的数据处理。企业必须注意的是,记录处理活动的义务是当局检查《数据保护条例》执行情况的重点。
最后提醒企业,如果企业的员工少于250人,需要记录以下处理活动:
不是偶然的;
可能会对个人的权利和自由造成风险的;
涉及处理特殊类别的数据或刑事定罪和犯罪数据。
四、企业应该记录其他什么吗?
作为处理活动记录的一部分,数据处理记录对企业遵守GDPR和英国《数据保护法案》的其他方面可能很有用。因此,企业的数据处理记录文档还应尽可能包括:
隐私声明所需的信息,例如:处理的合法依据;处理的合法利益;个人权利;自动决策的存在,包括分析;个人资料的来源;
同意记录;
控制器 - 处理器合同;
个人资料的位置;
数据保护影响评估报告;
个人数据泄露记录;
根据GDPR处理特殊类别数据或刑事定罪和犯罪数据所需的信息,包括:
“数据保护法”中的处理条件;GDPR处理的合法依据;企业的保留和删除政策记录。
PS:英国《数据保护法案》该法案主要用于:施与补充《一般数据保护条例》(GDPR)中的核心准则;阐明英国法律与某些GDPR法规的不同之处;对英国本国法律进行升级与改进,从而尽可能简单且顺利地完成与GDPR的协调工作以及英国脱离欧洲经济区的工作。关于此法案的更多内容,链接:http://www.ipraction.gov.cn/article/xxgk/gjhz/gjdt/201709/20170900157012.shtml
五、企业应该如何记录数据的加工处理活动?
有什么运营和技术措施?
企业对组织内发生的所有数据处理活动进行记录可能是一个挑战,尤其是当这些类型的处理活动分散在不同的部门或业务单位中进行时。如何最好地协调信息流?记录应该存储在哪里?更重要的是,这些记录应该如何维护和保持最新?下面列出了一些实用的技巧和窍门。
1.参与业务
当数据处理活动发生在企业的组织中时,将在产品、过程、系统、应用程序或项目的开发或设计开始时发挥作用的利益相关者本地化是非常关键的。这些人对数据处理活动有着主要的洞察力,并且对创建和维护数据库具有极高的价值。当企业开始考虑生成这些记录所需的底层流程时,就应该让业务参与进来,同时让他们意识到企业的优势和附加值。
2、设计(并协调)一个具有明确角色和职责的流程
当企业的利益相关者参与其中时,下一步是确定必须获取、检查记录、添加到中央登记册并保持最新的记录的过程。请注意,通过执行隐私影响评估,企业很可能已经获得了大量所需信息。如果有一个现有的支持流程,请探索这个新流程可以在多大程度上协调一致。这将协调所需的工作,并防止企业多做重复的工作。
此外,确保在开发流程时定义了明确的角色和职责,还应考虑收集所需信息的责任,包括将信息存入中央登记册,并在需要时更新登记册中的信息。
最后,不要忘记涉及到的其他权限,例如信息技术、合规、采购和法律,因为它们也可以从信息中获益。考虑采购过程中的合同,这些信息将对达成数据处理协议有很大价值。
3、为记录创建一个中央寄存器。
必须保存的记录,应集中存放。根据特定组织的基础架构,探索如何支持基本流程。企业最好不要简单地在电子表格中“寻求庇护”,而应使用适当的技术或工具。这样,一个集中的系统将提供组织内发生的处理活动的完整概述。当然,在这种情况下,人们必须了解适当的技术措施,例如访问和授权权利(不是每个人都应该被授权更改或改变信息)。
六、对企业来说,
这项义务是一种负担,还是资产?
GDPR的这一要求,需要企业做出长久的努力。除了不遵守记录可能导致高达10,000,000欧元或全球年营业额2%的罚款这一事实之外,考虑到企业组织部分的大量业务,企业需要相关的隐私专业人员,还要探索和实施技术措施,这是一个耗时的过程。
但是,这些记录将提供组织内所有数据处理活动的概述,从而使组织能够掌握正在处理的数据类别、由谁(哪些部门或业务单位)处理以及基于何种目的。这种信息将帮助组织内部建立联系,加入具有相同或等同目标和/或挑战的工作或项目,并且它可以增加对数据处理活动的更多控制。同时这将有助于为企业提供对风险和所需缓解措施的洞察视角,并将不可避免地导致授权组织使用可用的个人数据以有序的方式做更多的事情。
最后,本文由SCA安全通信联盟结合GDPR官方文案翻译整理,转载请注明出处。https://gdpr-info.eu/issues/records-of-processing-activities/