安全合规/GDPR--20--GDPR中处理活动的记录和特殊情形下的克减
为什么是第30条和第49条?
第30条为处理活动的记录,这就意味着你要符合GDPR合规,就要对所有处理活动做好记录工作,也就是说要准备xx材料xx材料xx材料……!!!
第49条为特殊情形下的克减,这就意味着允许你在特殊情况下,你可以做常规情况不能做的事情,并且不会收到惩罚或减轻惩罚力度。
所以,以下两条是认证GDPR合规接触最多,最复杂,也是最值得去解读的条例。
以上均为个人在认证GDPR合规过程中的感想,不代表官方意见
第 30 条 处理活动的记录
1、每个控制者——以及如果有的话——每个控制者的代表,都应当保持其所负责的处理活动的记录。这种记录应当包含所有如下信息:
(a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、详细联系方式;
(b)处理的目的;
(c.)对数据主体的类型以及个人数据的类型的描述;
(d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收者——的类型;
(e)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国或国际组织的记录,以及在第 49(1)条第二分段所提到转移的情形中, 对适当保障措施的记录;
(f)如果适用的话,擦除不同种数据类型的预计期限;
(g)如果适用的话,对第 32(1)条所规定的技术性与组织性安全措施的一般性描述。
2.每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处理都应当保持保存一份记录,包含如下信息:
(a)处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者以及——如果有的话——控制者或处理者的代表、数据保护官;
(b)代表每个控制者进行处理的类型;
(c.)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国或国际组织的记录,以及在第 49(1)条第二分段所提到转移的情形中,对适当保障措施的记录;
(d)如果有的话,对第 32(1)条所规定的技术性和组织性安全措施的一般性描述。
3、第 1 段和第 2 段所规定的记录应当是书面的,包括以电子形式作出的书面记录。
4、基于监管机构的要求,控制者或处理者以及——在有的情况下——控制者或处理者的代表,应当提供可获取的记录。
5、第 1 和第 2 段所规定的责任不适用于雇员少于 250 人的经济主体或组织,除非其进行的处理不是偶尔性的,而且可能会对数据主体的权利与自由带来风险,或者其处理包含了第 9(1)条规定的特定种类的数据或第 10 条规定的和刑事犯罪和违法相关的个人数据。
第 49 条 特殊情形下的克减
1、如果不存在根据第 45(3)而做出的充足保护认定或根据第 46 条而制定的适当安全措施——包括约束性公司规则,将个人数据转移到第三国或国际机构,只有满足如下情形之一才能进行:
(a)数据主体被明确告知,不存在充足保护或适当的安全措施,预期的数据转移存在风险,但之后数据主体仍然明确表示同意预期的数据转移;
(b)转移对于履行数据主体与控制者之间的合同,或者履行数据主体在签订契约前所提出要求是必要的;
(c.)控制者和另一自然人或法人之间签订或履行合同时,转移对于实现数据主体的利益是必要的;
(d)转移对于实现公共利益是必要的;
(e)转移对于确立、行使或辩护法律性主张是必要的;
(f)当数据主体基于身体性或法律性原因无法表达同意,为了保护数据主体或其他人的关键利益是必要的;
(g)转移是根据登记册而进行的——这种登记册是欧盟法或成员国法律为了向具有正当利益的一般性公众或个人提供咨询。但是,只有满足欧盟法或成员国法对咨询所规定必要条件,此类个案中的转移才能进行克减。
当转移无法基于第 45 或第 46 条,包括基于约束性公司规则的条款的规定而进行,且从(a)点到(g)的克减条件都不符合,将数据转移到第三国或国际组织,这只有在转移满足如下条件时才可以:转移是非重复性的;关乎很小一部分数据主体的权利;对于实现控制者压倒性的正当利益是必要的,并且不会违 反数据主体的有限性的利益或权利与自由;控制者已经对围绕数据传输的情形进行评估,而且基于这种评估对个人数据保护采取了合适的安全保障。控制者除了提供第 13 条和第 14 条所规定的信息之外,应当将转移和追求的压倒性正当利益告知数据主体。
2、符合第 1 段(g)点的转移不应当包括登记册里的全部个人数据或所有类型的个人数据。当登记册是为了给具有正当利益的人提供咨询的,只有那些人提出要求,或者那些人是接收者的情形才能进行转移。
3、对于公共机构在行使其公共权力时的活动,第 1 段的(a)(b)(c)点以及第 1 段的第二分段不适用。
4、第 1 段(d)点规定的公共利益应当为欧盟或成员国为控制者所制定的法律所确认。
5、如果不存在充足保护的认定,欧盟或成员国的法律可以基于公共利益而明确做出限制,限制将个人数据转移到第三国或国际组织的特定类型。成员国应当将此类条款告知欧盟委员会。
6、控制者或处理者应当在第 30 条规定的档案中记录本条第 1 段第二分段所规定的评估以及合适的安全措施。
安全合规/GDPR--20--GDPR中处理活动的记录和特殊情形下的克减相关推荐
- mysql配置合规检测,使用MySQL中的视图维护HIPAA合规性
问题 我们有一个大型的Web应用程序,用于存储和显示与HIPAA相关的敏感数据.我们目前正在研究提高HIPAA法规遵从性并降低违规风险的方法. 当前,有几种功能和报告不能根据登录人员的权限正确限制客户 ...
- 史上最严数据保护条例欧盟GDPR今日生效,你可能需要这版中文全文(下)
第五章 将个人数据转移到第三国或国际组织 第44条 转移的一般性原则 对于正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织,包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织, ...
- 安全合规/GDPR--15--通用数据保护条例-目录索引
中文版翻译太多了,本篇只整理标题,便于后续查阅时索引,因为所有的翻译文档都没有目录! 第一章 一般条款 第一条 主要事项与目标 第二条 适用范围 第三条 地域范围 第四条 定义 第二章 原则 第五条 ...
- 从“数据合规官”到“安全岛”,将数据的安全合规进行到底
关注云报 洞察深一度 2018年5月,号称欧盟史上最严的数据保护法规--<一般数据保护条例>(GDPR)正式生效后,"首席数据保护官"热度直升. 在大数据上升为国家战略 ...
- MySQL上线,检查数据库设计的“十条合规”
点击上方"蓝字" 关注我们,享更多干货! MySQL作为关系型数据库的典型代表,在国内环境里经历风雨磨砺,不断地精进,已经在开发和运维方面,成型了一套的规范.这些规范让了解和使用M ...
- 信息安全等级合规测评
合规,简而言之就是要符合法律.法规.政策及相关规则.标准的约定.在信息安全领域内,等级保护.分级保护.塞班斯法案.计算机安全产品销售许可.密码管理等,是典型的合规性要求. 信息安全合规测评是国家强制要 ...
- 纸质实验记录本难合规,ELN电子实验记录本是必备
纸质实验记录由于管理难度大,"修饰"记录成本低,在中外的药监机构飞行检查中,因"数据完整性(Data Integrity)"约占发生问题的50%,导致药企轻则数 ...
- 农行运营合规管理心得体会_“乘风破浪”的农行合规达人秀来啦
本期热点 "乘风破浪"的农行 合规达人秀来啦 最近<乘风破浪的姐姐>综艺节目大热,播放量一周冲破5个亿,大家纷纷在探讨Pick哪位小姐姐.其实在农行,在我们身边就有这样 ...
- 蚂蚁智能内容合规产品,提供一站式营销合规管控解决方案
随着互联网服务的不断深化,产品营销的形式从传统文本.长图文,增加到短视频.直播等新媒介形态,展现形式愈加丰富的同时,也为营销宣传内容合规审核带来了诸多难题. 如何解决与日俱增的审核量与合规审核人员有限 ...
最新文章
- mongodb 关闭服务 mongod -f /root/mongodb/bin/xx.conf --shutdown
- Nginx基于域名的虚拟主机
- numpy-np.concatenate
- a标签传值乱码问题怎么解?
- liunx中查看安装软件和卸载软件和启动程序
- 围棋选手不到30岁就下坡,最大因素是什么?
- 常见数据结构面试题(2022年最新版)
- Markdown表格——复杂表格
- win10+opencv+VS2015安装教程
- 迅雷下gho文件变成php,window_GhostEXP将Windows新发布的补丁打入GHO文件, Windows每隔一段时间,都会 - phpStudy...
- 数组取第一个元素和最后一个元素
- 真香!一行代码搞定微信支付回调
- 服务器 远程桌面限制IP 与 (虚拟专用网络) 结合的安全策略
- 大家一起来玩游戏-24点(递归)
- 全面质量管理理论中的五个影响产品质量的主要因素
- GitChat · 运维 | 携程运维工作流平台的演进之路
- CCF 201712-4行车路线
- 方法的调用,构造方法,方法的重载
- 谣传“郑州警察被壮汉秒残” 涉事者被拘10日
- 课程预约小程序制作功能介绍