网站大量收购闲置独家精品文档,联系QQ:2885784924

安全合规GDPR--11--GDPR中的第30条和第49条.pdf

安全合规GDPR--11--GDPR中的第30条和第49条.pdf

此“司法”领域文档为创作者个人分享资料,不作为权威性指导和指引,仅供参考
  1. 1、本文档共4页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全合规GDPR--11--GDPR中的第30条和第49条,包括:处理活动的记录、特殊情形下的克减等重要条款解析,适合进行安全合规审计及进行信息安全制度培训。

安全合规/GDPR--11--GDPR 中的第30条和第49条 《为什么是第30条和第49条? 第30条为《处理活动的记录》,这就意味着你要符合GDPR合规,那就要准 备 xx材料xx材料xx材料…… !!! 第49条为《特殊情形下的克减》,这就意味着允许你在特殊情况下,做出本来 不能做的事。 所以,以下两条是认证GDPR合规接触最多,最复杂,最让人去解读的条例。 以上均为个人在认证GDPR合规过程中的感想,并不代表任何官方意见 ———————————————— 第 30 条 处理活动的记录 1、每个控制者—— 以及如果有的话——每个控制者的代表,都应当保持其所负责的 处理活动的记录。这种记录应当包含所有如下信息: (a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、 详细联系方式; (b)处理的目的; 1 (c.)对数据主体的类型以及个人数据的类型的描述; (d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收 者—— 的类型; (e)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国或 国际组织的记录,以及在第 49(1)条第二分段所提到转移的情形中, 对适当保障措施 的记录; (f)如果适用的话,擦除不同种数据类型的预计期限; (g)如果适用的话,对第 32(1)条所规定的技术性与组织性安全措施的一般性描述。 2.每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处 理都应当保持保存一份记录,包含如下信息: (a)处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者以及—— 如果有的话——控制者或处理者的代表、数据保护官; (b)代表每个控制者进行处理的类型; (c.)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国 或国际组织的记录,以及在第 49(1)条第二分段所提到转移的情形中,对适当保障措 施的记录; (d)如果有的话,对第 32(1)条所规定的技术性和组织性安全措施的一般性描述。 3、第 1 段和第 2 段所规定的记录应当是书面的,包括以电子形式作出的书面记录。 4 、基于监管机构的要求,控制者或处理者以及——在有的情况下——控制者或处理 者的代表,应当提供可获取的记录。 5、第 1 和第 2 段所规定的责任不适用于雇员少于 250 人的经济主体或组织,除非其 进行的处理不是偶尔性的,而且可能会对数据主体的权利与自由带来风险,或者其处 理包含了第 9(1)条规定的特定种类的数据或第 10 条规定的和刑事犯罪和违法相关的 个人数据。。 2 第 49 条 特殊情形下的克减 1、如果不存在根据第 45(3)而做出的充足保护认定或根据第 46 条而制定的适当安全 措施——包括约束性公司规则,将个人数据转移到第三国或国际机构,只有满足如下 情形之一才能进行: (a)数据主体被明确告知,不存在充足保护或适当的安全措施,预期的数据转移存在风 险,但之后数据主体仍然明确表示同意预期的数据转移; (b)转移对于履行数据主体与控制者之间的合同,或者履行数据主体在签订契约前所提 出要求是必要的; (c.)控制者和另一自然人或法人之间签订或履行合同时,转移对于实现数据主体的利 益是必要的; (d)转移对于实现公共利益是必要的; (e)转移对于确立、行使或辩护法律性主张是必要的; (f)当数据主体基于身体性或法律性原因无法表达同意,为了保护数据主体或其他人的 关键利益是必要的; (g)转移是根据登记册而进行的——这种登记册是欧盟法或成员国法律为了向具有正当 利益的一般性公众或个人提供咨询。但是,只有满足欧盟法或成员国法对咨询所规定 必要条件,此类个案中的转移才能进行克减。 当转移无法基于第 45 或第 46 条,包括基于约束性公司规则的条款的规定而进行, 且从(a)点到(g)的克减条件都不符合,将数据转移到第三国或国际组织,这只有在转 移满足如下条件时才可以:转移是非重复性的;关乎很小一部分数据主体的权利;对于 实现控制者压倒性的正当利益是必要的,并且不会违 反数据主体的有限性的利益或 权利与自由;控制者已经对围绕数据传输的情形进行评估,而且基于这种评估对个人 数据保护采取了合适的安全保障。控制者除了提供第 13 条和第 14 条所规定的信息 之外,应当将转移和追求的压倒性正当

文档评论(0)

伤心的茶叶 + 关注
实名认证
内容提供者

注册信息安全管理员持证人

资深信息安全工程师,数据分析师,大数据架构师,项目经验分享。

领域认证该用户于2023年05月29日上传了注册信息安全管理员

1亿VIP精品文档

相关文档