- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全合规GDPR--11--GDPR中的第30条和第49条,包括:处理活动的记录、特殊情形下的克减等重要条款解析,适合进行安全合规审计及进行信息安全制度培训。
安全合规/GDPR--11--GDPR 中的第30条和第49条
《为什么是第30条和第49条?
第30条为《处理活动的记录》,这就意味着你要符合GDPR合规,那就要准
备
xx材料xx材料xx材料…… !!!
第49条为《特殊情形下的克减》,这就意味着允许你在特殊情况下,做出本来
不能做的事。
所以,以下两条是认证GDPR合规接触最多,最复杂,最让人去解读的条例。
以上均为个人在认证GDPR合规过程中的感想,并不代表任何官方意见
————————————————
第 30 条 处理活动的记录
1、每个控制者—— 以及如果有的话——每个控制者的代表,都应当保持其所负责的
处理活动的记录。这种记录应当包含所有如下信息:
(a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、
详细联系方式;
(b)处理的目的;
1
(c.)对数据主体的类型以及个人数据的类型的描述;
(d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收
者—— 的类型;
(e)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国或
国际组织的记录,以及在第 49(1)条第二分段所提到转移的情形中, 对适当保障措施
的记录;
(f)如果适用的话,擦除不同种数据类型的预计期限;
(g)如果适用的话,对第 32(1)条所规定的技术性与组织性安全措施的一般性描述。
2.每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处
理都应当保持保存一份记录,包含如下信息:
(a)处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者以及——
如果有的话——控制者或处理者的代表、数据保护官;
(b)代表每个控制者进行处理的类型;
(c.)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国
或国际组织的记录,以及在第 49(1)条第二分段所提到转移的情形中,对适当保障措
施的记录;
(d)如果有的话,对第 32(1)条所规定的技术性和组织性安全措施的一般性描述。
3、第 1 段和第 2 段所规定的记录应当是书面的,包括以电子形式作出的书面记录。
4 、基于监管机构的要求,控制者或处理者以及——在有的情况下——控制者或处理
者的代表,应当提供可获取的记录。
5、第 1 和第 2 段所规定的责任不适用于雇员少于 250 人的经济主体或组织,除非其
进行的处理不是偶尔性的,而且可能会对数据主体的权利与自由带来风险,或者其处
理包含了第 9(1)条规定的特定种类的数据或第 10 条规定的和刑事犯罪和违法相关的
个人数据。。
2
第 49 条 特殊情形下的克减
1、如果不存在根据第 45(3)而做出的充足保护认定或根据第 46 条而制定的适当安全
措施——包括约束性公司规则,将个人数据转移到第三国或国际机构,只有满足如下
情形之一才能进行:
(a)数据主体被明确告知,不存在充足保护或适当的安全措施,预期的数据转移存在风
险,但之后数据主体仍然明确表示同意预期的数据转移;
(b)转移对于履行数据主体与控制者之间的合同,或者履行数据主体在签订契约前所提
出要求是必要的;
(c.)控制者和另一自然人或法人之间签订或履行合同时,转移对于实现数据主体的利
益是必要的;
(d)转移对于实现公共利益是必要的;
(e)转移对于确立、行使或辩护法律性主张是必要的;
(f)当数据主体基于身体性或法律性原因无法表达同意,为了保护数据主体或其他人的
关键利益是必要的;
(g)转移是根据登记册而进行的——这种登记册是欧盟法或成员国法律为了向具有正当
利益的一般性公众或个人提供咨询。但是,只有满足欧盟法或成员国法对咨询所规定
必要条件,此类个案中的转移才能进行克减。
当转移无法基于第 45 或第 46 条,包括基于约束性公司规则的条款的规定而进行,
且从(a)点到(g)的克减条件都不符合,将数据转移到第三国或国际组织,这只有在转
移满足如下条件时才可以:转移是非重复性的;关乎很小一部分数据主体的权利;对于
实现控制者压倒性的正当利益是必要的,并且不会违 反数据主体的有限性的利益或
权利与自由;控制者已经对围绕数据传输的情形进行评估,而且基于这种评估对个人
数据保护采取了合适的安全保障。控制者除了提供第 13 条和第 14 条所规定的信息
之外,应当将转移和追求的压倒性正当
您可能关注的文档
- 新兴技术或增加网络安全系统性风险.docx
- 安全合规GDPR --10--GDPR高风险处理类别.pdf
- 安全合规GDPR--6--通用数据保护条例简介(GDPR简介).pdf
- 安全合规GDPR--7--为实现GDPR合规要求企业需要怎么做?.pdf
- 安全合规GDPR--8--GDPR条例中的术语定义.pdf
- 安全合规GDPR--13--关于PTA、PIA、DPIA风险评估.pdf
- 安全合规ISO--1--ISO 27000信息安全管理体系介绍.pdf
- 安全合规ISO--2--ISO 27001介绍.pdf
- 安全合规ISO--3--ISO 27001介绍(附录).pdf
- 安全合规ISO--4--ISO 27000体系内部审核员技能总结.pdf
文档评论(0)