欧盟委员会关于简化《通用数据保护条例》(GDPR)下记录保存义务的提案草案

来源:出海互联网法律观察

文章摘要
2025年5月8日,欧洲数据保护监督员(EDPB)和欧洲数据保护监督员(EDPS)回复了民主、司法、法治和消费者保护部门麦格拉思委员在2025年5月6日寄给他们的信件。下文是信件的全文翻译。

2025年5月8日,欧洲数据保护监督员(EDPB)和欧洲数据保护监督员(EDPS)回复了民主、司法、法治和消费者保护部门麦格拉思委员在2025年5月6日寄给他们的信件。下文是信件的全文翻译。该信件涉及欧盟委员会关于简化《通用数据保护条例》(GDPR)下记录保存义务的提案草案(“提案草案”),该草案计划作为2025年5月即将通过的第四项综合法案的一部分。
全文翻译
EDPB和EDPS了解到,欧盟委员会正在考虑提议将GDPR第30(5)条规定的减轻措施扩展到目前适用于员工人数少于250人的企业或组织(包括中小企业)的处理活动记录保存义务,使其涵盖“小型中型资本公司”(SMCs),即员工人数少于500人且年营业额达到一定标准的公司,以及员工人数少于500人的非营利组织等机构。
此外,欧盟委员会考虑修改GDPR第30(5)条,规定如果处理活动“可能对自然人的权利和自由造成高风险”,则减轻措施不适用,现行条款仅提及可能造成风险的处理活动。此外,我们了解到,一些减轻处理活动记录保存义务的例外情况将被取消,特别是删除对偶尔处理活动的相关规定,并且可能还会删除对特殊类别数据处理的相关规定[注:您的信件明确指出“与偶尔处理相关的条件将被删除”,但未明确提及删除以下措辞“除非……处理包括第9(1)条所述的特殊类别数据或第10条所述的与刑事定罪和犯罪相关的个人数据”。然而,我们理解,提案草案的序言旨在缩小与特殊类别数据相关的豁免范围,声明如果处理活动是为了遵守就业、社会保障或社会保护法领域的法律义务,则不旨在限制该减损措施]。
我们还了解到,一条序言将阐明,为遵守就业、社会保障或社会保护法领域的法律义务(根据GDPR第9(2)(b)条)而对特殊类别个人数据进行的处理,无需承担记录这些处理活动的义务。
基于现有信息,并在对具体提案进行全面分析之前,EDPB和EDPS可以对这一有针对性的简化举措表示初步支持,但要牢记这不会影响数据控制者和处理者遵守GDPR其他义务的责任。然而,为了更好地评估提议修改的影响,EDPB和EDPS认为,除其他因素外,了解提案草案中受益于简化措施的公司和组织的数量,以及欧盟委员会通过分析得出的其对个人数据保护的影响,是很有帮助的。这将有助于评估提案草案是否在个人数据保护与员工人数少于500人的组织的利益之间确保了适当且公平的平衡。
鉴于根据GDPR保护数据主体的重要性,以及确保简化措施采取平衡的方法,EDPB和EDPS欢迎这样的规定,即对于“可能存在高风险”的处理活动,无论如何仍需承担记录保存义务。正如您所强调的,EDPB关于数据保护影响评估(DPIA)的指南就“可能造成高风险”的处理概念提供了有用信息。EDPB和EDPS提醒,即使是非常小的公司也可能进行高风险处理,因此保留基于风险的方法非常重要。在这方面,EDPB和EDPS也理解,非偶尔处理和特殊类别个人数据的处理仍可能根据所有相关标准的评估结果造成高风险。
虽然本封信提供了我们的初步反馈,但欧洲数据保护委员会和欧洲数据保护监督员了解到,根据(欧盟)2018/1725号法规第42(2)条,在立法修改草案公布后将进行正式磋商。这也将为我们提供机会,更详细地评论您打算对GDPR第40(1)条和第42(1)条进行的立法修改。

技术驱动法律,专业成就未来