爱尔兰数据保护机构关于数据处理活动记录的指

来源:那一片数据星辰

文章摘要
摘要 爱尔兰数据保护机构DPC出具了《关于GDPR第30条规定数据处理活动记录(RoPA)的指南》,将2022年初向公共部门和私营部门关于数据处理活动记录的执法活动,在审查后对检查结果进行了分析,并提
摘要
爱尔兰数据保护机构DPC出具了《关于GDPR第30条规定数据处理活动记录(RoPA)的指南》,将2022年初向公共部门和私营部门关于数据处理活动记录的执法活动,在审查后对检查结果进行了分析,并提供了建议和不建议做的行为指导,协助数据控制者履行GDPR第30条的义务。
笔者持续关注Privacy by Design,保持数据处理活动记录可以认为是一个企业推行Privacy by Design的一项良好的流程实践。保持动态的数据处理活动记录,首先是一项流程性控制措施,组织对于其所收集和处理的数据以及相应风险有足够的了解,是证明其履行相关义务的依据;其次是企业保障用户权利实现,进行风险识别和采取相应的组织和技术措施的事实基础。
本文将对该指南进行核心要点的梳理,便于大家理解并参考适用。
数据处理活动记录的法律要求
GDPR第30(1)条规定,所有处理个人数据的组织,无论是作为数据控制者还是作为其代表,都应保持其负责的数据处理活动记录。第30(1)条规定,该记录必须包含以下所有内容:
a) 控制者和(如适用)联合控制者、控制者的代表和数据保护官( DPO )的姓名和联系方式;
b) 处理的目的;
⮚ 即该组织为什么要使用有关的个人数据,如为了工资管理的目的。
c) 对数据主体的类别和个人数据的类别的描述 ;
⮚ 例如,一个组织的雇员和客户都是数据主体类别的示例。
⮚ 个人数据的类别包括联系信息、过往工作履历和雇员的健康记录。
d) 个人数据已经或将要披露给哪些类别的接收者,包括第三国或国际组织的接收者;
⮚ 比如包括为处理内部的人力资源问题而分包的外包人力资源公司。
e) 在适用的情况下,将个人数据转移到第三国或国际组织,包括确定该第三国或国际组织。
如果是第49条第1款第二项所述的转移 ,则记录适当保障措施;
f) 在可能的情况下,设想的删除不同类别数据的时间限制;
⮚ 这可能取决于组织,并可能由法规、 内部政策、行业准则或所有三者的组合来确定。
g) 在可能的情况下,对第32条第1款中提到的技术和组织安全措施进行一般性描述 ;
⮚ 这可能包括加密、访问控制和员工培训。
极表现。未来技术发展以AI为导向,积极发展人工智能。
GDPR第30(2)条详细规定了数据处理者或其代表必须保存的处理记录。这包括处理者的代表必须保持代表控制者进行的所有类别的处理活动的记录,其中包括:
a) 处理者的名称和联系方式,以及处理者所代表的每个控制者的名称和联系方式,以及在可适用的情况下,控制者或处理者的代表,以及数据保护官员的名称和联系方式 ;
b) 代表每个控制者处理的个人数据类型;
c) 在可适用的情况下,向第三国或国际组织转移个人数据,包括确定该第三国或国际组织,如果是第49(1)条第二项所述的转移,则记录适当的保障措施 ;
d)在可能的情况下,对第32条第1款中提到的技术和组织安全措施进行一般性描述。
GDPR第30(3)条要求控制者以 "书面形式,包括电子形式 "保存第30条规定的记录。
GDPR第30(4)条要求控制者根据要求向数据保护机构提供记录。
实施数据处理活动记录的建议项
01 参照组织内的不同职能,对数据处理活动进行分解
RoPA应根据组织内不同的业务单位或职能,如人力资源、财务或营销,进行明确的细分和细化。这有助于确保在填写 RoPA 时不会意外地遗漏任何处理活动。建议通过在整体 RoPA文件或系统中为每个业务单位创建单独的表格或电子表格来实现。
建议各组织应进行数据映射工作,以明确组织持有的数据和位置。整个组织的相关单 位均应参与这一过程,以再次确保没有遗漏。
⮚ 例如,控制者可以从一个普通的业务职能开始, 如人力资源部门。这个业务职能部门可能有几个不同的处理目的,每个目的涉及不同类别的个人(例如雇员、承包商和实习生),每个数据主体有几个类别的个人数据(例如健康和安全信息、病假、工资详情)。
⮚ 建议处理者从他们为之处理数据的每个控制者开始,然后是他们为每个控制者处理的不同类别的个人数据。
02 将RoPA作为一种工具,以证明遵守GDPR第5条规定的可归责性原则
RoPA应确保包括详细和有意义的信息。这意味着RoPA应该对每一类数据主体、个人数据类别或处理活动进行具体的详细说明。
例如,保留期可能因有关数据的类别而不同,RoPA应反映每个具体类别的保留期。
03 RoPA应当包括相关的额外信息
数据保护机构在本次执法行动中发现,许多组织在其RoPA中包括了第30条中没有明确列出的相关的额外信息,例如:
• 第6条数据处理的法律依据
• 第9条处理特殊类别数据的法律依据
• 在特定的处理活动中是否发生了违规行为
• 列出第三国转移时依据的转移机制
• 组织可能对每项处理活动进行的风险评级
虽然包括这些信息是有帮助的,但绝不应忽视第30条规定的具体规定信息。建议各组织具体说明哪些信息是第30条规定的,哪些信息是作为 "相关的额外信息 "列入的。这是为了帮助不同的业务领域和员工输入RoPA时,以便新的读者能够清楚地看到哪些信息是强制性的,哪些信息是作为额外的补充信息添加到RoPA中。
04 RoPA应当在组织内部得到各部门支持
RoPA是一项义务,数据控制者应作为一个整体负责。建议完成RoPA的责任不应该只由DPO承担。如果仅由一个组织的DPO准备和维护RoPA ,有可能会遗漏处理活动,或者RoPA将成为一个合规清单的事项。数据保护机构建议,这一过程可以由DPO领导,并由组织的不同部门来参与这一过程。在完成RoPA的过程中,组织可以通过不同的方式成功获得组织内不同部门的认同。以下是关于如何做到这一点的一些建议:
• 一个组织可以在内部设定特定的RoPA审查日期,并要求组织的所有部门参与审查。
• 在RoPA文件中加入定义或指导和解释部分是有帮助的,这些部分可以用来参考,例如列出该特定组织的处理活动、类别或接收者的典型例子。
• 组织应具体规定流程负责人-,即每个业务职能部门中谁负责维护第30条要求的信息,谁负责集中整理文件。
• 可使用下拉菜单来确保保持统一、连贯的表述。然而,每个加工活动也应包括自由文本字段,以记录可能只与某个特定加工活动相关的信息。
05 保持实时更新的RoPA
RoPA应该是一个动态的、及时更新的文件,持续更新以反映该组织在处理个人数据方面的当前状况。为实现这一目标,建议采取以下步骤;
• 应定期审查RoPA并进行任何必要的更新。
• 为此,电子版的RoPA可能更适合大多数组织,这样可以方便编辑和保存。
• 作为员工培训的一部分,业务部门应意识到,需要处理个人数据的新产品或服务在发布时应被添加到RoPA中。
• 建议将不再进行的处理活动标记出来,或从当前的RoPA 中删除。如果删除是组织内的首选方案,则应保留过时的处理活动,以免未来被追究责任。
实施数据处理活动的禁止事项
01 不持续更新RoPA
RoPA应作为一份动态的、及时更新的文件来维护。 数据保护机构发现在此次执法活动过程中,一些组织发现在数据保护机构要求的10天期限内提供其RoPA的副本具有挑战性。一些组织没有在规定的期限内完成。如上所述,RoPA应得到充分的维护,使其在任何时候都能 "随时可用"。
• 第30条规定的义务是 "保持 "处理记录,并 "应要求向数据保护机构提供记录" ;因此,数据保护机构建议,在任何情况下,10天应该是对任何组织来说属于充分的通知。
• 各组织应注意,数据保护机构可能在未来进行类似的合规性检查。数据保护机构也可能要求控制者提供RoPA,作为正在进行的其他监管活动的一部分,包括但不限于泄露通知管理、合规质询和调查。
• 如果没有这些文件,可被视为不符合GDPR的规定。
⮚ 应该注意的是,向数据保护机构提供 RoPA 模板或 RoPA 的 "样本 "是不够的,因为第30 条的要求是根据要求向数据保护机构提供实际的 RoPA。
• RoPA不应提及过时或过期的信息 ,例如提及隐私盾作为向美国转移个人数据的合法性机制。
02 不要在细节和颗粒度上偷工减料
数据保护机构在执法活动中发现,一些组织的RoPA不够详细或细化。通过从所收到的RoPA中提取的例子:
• 针对列出 "个人数据类别 "的要求,数据保护机构收到了对这一类别的答复,其中包括 "个人数据" 、"可识别的个人身份"和 "对问题的回答"。这些回答在描述一个组织实际收集的信息方面显然是不够的,需要进一步具体化。
• 在回应列出 "技术和组织安全措施 "的要求时,一个组织表示 "已采取确保适当安全的 措施 "或 "适当的安全"。GDPR规定在可适用的情况下,应包括对一个组织的技术和组织安全措施的一般描述。数据保护机构注意到一个趋势,即许多组织的 RoPA 中往往没有详细的描述技术和组织安全措施。建议各组织应在其RoPA中对现有的技术和组织措施进行一般性描述。
03 不要维护无法自我解释的RoPA
为了达到目的,提供给数据保护机构的RoPA需要是一份完整的、自成一体的文件,明确列出第30条所要求的所有信息。RoPA必须是足以自我解释的。
• 作为对信息提供要求的回复,不要在RoPA内使用超链接到另一个文件但点击后无法访问。例如,集成保留政策的表,当点击时,数据保护机构无法获得,因为它存储在公司的内部驱动器上。或者陈述 "根据保留政策 "或 "法律规定的保留时间表" ,但没有详细说明这些文件在保 留期限方面的实际规定。
⮚ 这使得RoPA有缺陷,或不适合于目的,因为在无法获得此类信息的情况下 ,数据保护机构不能依靠RoPA来深入了解组织的处理活动。
• 通过超链接或引用一些不同的文件或来源来满足第30条的要求,而未提供一份完整的RoPA。RoPA不应过于混乱,因为这有悖于该文件协助数据保护机构履行其职能的目的。
⮚ 如果没有基础的 RoPA 文件,而采取零敲碎打的方式,也有可能忽略处理活动。RoPA不应该只是一个提及其他文件的所谓“完整”的文件;所有的处理活动都应该被充分详细地记录。
• 使用未定义的缩略语,这些缩略语可能是有关组织内的常用术语,但对数据保护机构来说却没有明显的含义。如前所述,起草者应注意,作为外部读者的数据保护机构需要能够完全理解文件。
数据处理活动记录的正反举例
01 良好完成的举例

02 信息不足的举例

技术驱动法律,专业成就未来