1. Coimeádfaidh gach rialaitheoir agus, i gcás inarb infheidhme, ionadaí an rialaitheora taifead de ghníomhaíochtaí próiseála atá faoina chúram. Áireofar an fhaisnéis uile eo a leanas sa taifead sin:
(a) ainm agus sonraí teagmhála an rialaitheora agus, i gcás inarb infheidhme, ainm agus sonraí teagmhála aon rialaitheora chomhpháirtigh, ainm agus sonraí teagmhála ionadaí an rialaitheora agus an oifigigh cosanta sonraí;
(e) i gcás in arb infheidhme, aistrithe sonraí pearsanta go tríú tír nó go heagraíocht idirnáisiúnta, lena n-áirítear an tríú tír nó an eagraíocht idirnáisiúnta sin a ainmniú agus, i gcás aistrithe dá dtagraítear sa dara fomhír d’Airteagal 49(1), na doiciméid maidir le coimircí oiriúnacha;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 30(1)(e) GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
(EN) […]
(EN) Sign in
to read the full text
(EN) 8.4.2 Return, transfer or disposal of PII
Control
The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.
Implementation guidance
At some point in time, PII can need to be disposed of in some manner.
(EN) […]
(EN) Sign in
to read the full text
2. Coimeádfaidh gach próiseálaí agus, i gcás inarb infheidhme, ionadaí an phróiseálaí taifead ar na catagóirí uile gníomhaíochtaí próiseála, ar gníomhaíochtaí iad a dhéantar thar ceann an rialaitheora agus áireofar an méid seo a leanas sa taifead sin:
(a) ainm agus sonraí teagmhála an phróiseálaí nó na bpróiseálaithe agus ainm agus sonraí teagmhála gach rialaitheora ar thar a cheann atá an próiseálaí ag feidhmiú, agus, i gcás inarb infheidhme, ainm agus sonraí teagmhála ionadaí an rialaitheora nó an phróiseálaí, agus an oifigigh cosanta sonraí;
(c) i gcás in arb infheidhme, aistrithe sonraí pearsanta go tríú tír nó go heagraíocht idirnáisiúnta, lena n-áirítear an tríú tír nó an eagraíocht idirnáisiúnta sin a ainmniú agus, i gcás aistrithe dá dtagraítear sa dara fomhír d’Airteagal 49(1), na doiciméid maidir le coimircí oiriúnacha;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 30(2)(c) GDPR:
8.5.2 Countries and international organizations to which PII can be transferred
Control
The organization should specify and document the countries and international organizations to which PII can possibly be transferred.
Implementation guidance
The identities of the countries and international organizations to which PII can possibly be transferred in normal operations should be made available to customers.
(EN) […]
(EN) Sign in
to read the full text
(d) más féidir, cur síos ginearálta ar na bearta teicniúla agus eagraíochtúla dá dtagraítear in Airteagal 32(1).
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.
Here is the relevant paragraph to article 30(2)(d) GDPR:
6.12.1.2 Addressing security within supplier agreements
Implementation guidance
The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).
(EN) […]
(EN) Sign in
to read the full text
3. Is i scríbhinn, lena n-áirítear i bhfoirm leictreonach, a bheidh na taifid dá dtagraítear i mír 1 agus i mír 2.
4. Cuirfidh an rialaitheoir nó an próiseálaí agus, i gcás inarb infheidhme, ionadaí an rialaitheora nó ionadaí an phróiseálaí, an taifead ar fáil don údarás maoirseachta, arna iarraidh sin.
5. Ní bheidh feidhm ag na hoibleagáidí dá dtagraítear i mír 1 agus i mír 2 maidir le fiontar nó le heagraíocht ina bhfostaítear níos lú ná 250 duine ach amháin murar dócha é go ngabhann riosca do chearta agus do shaoirsí na n-ábhar sonraí leis an bpróiseáil a bhíonn ar bun ann, nach ndéantar an phróiseáil go hócáideach, go n-áirítear sa phróiseáil catagóirí speisialta sonraí dá dtagraítear in Airteagal 9(1) nó próiseáil sonraí pearsanta a bhaineann le ciontuithe coiriúla agus cionta dá dtagraítear in Airteagal 10.
(EN) Article 30 is pretty straightforward and gives us very direct instructions on what document has to be created and what information has to be in it. Often it is enough to create a spreadsheet or a simple Excel table if the number of your processing activities is not so high, but if it doesn’t scale well, there are also specialised software solutions for Register of Processing Activities.
(EN) […]
(EN) Sign in
to read the full text
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 30 GDPR:
7.2.8 Records related to processing PII
Control
The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.
Implementation guidance
A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs. Such an inventory can include:
(EN) […]
(EN) Sign in
to read the full text
(13) Chun leibhéal comhsheasmhach cosanta a áirithiú do dhaoine nádúrtha ar fud an Aontais agus chun dibhéirseachtaí a chuireann isteach ar shaorshreabhadh sonraí pearsanta laistigh den mhargadh inmheánach a chosc, is gá Rialachán a ghlacadh chun deimhneacht dhlíthiúil agus trédhearcacht a sholáthar d'oibreoirí eacnamaíocha, lena n-áirítear micrifhiontair, fiontair bheaga agus fiontair mheánmhéide, agus chun an leibhéal céanna de chearta atá in-fhorfheidhmithe ó thaobh dlí a sholáthar do dhaoine nádúrtha sna Ballstáit uile, agus oibleagáidí agus freagrachtaí a sholáthar do rialaitheoirí agus do phróiseálaithe, chun faireachán comhsheasmhach ar phróiseáil sonraí pearsanta agus pionóis choibhéiseacha a áirithiú i ngach Ballstát chomh maith le comhar éifeachtach idir údaráis mhaoirseachta na mBallstát éagsúil. Ar mhaithe le feidhmiú cuí an mhargaidh inmheánaigh, ní chuirtear srian le saorghluaiseacht sonraí pearsanta laistigh den Aontas ná ní chuirtear toirmeasc uirthi ar chúiseanna a bhaineann le cosaint daoine nádúrtha i ndáil le sonraí pearsanta a phróiseáil. Chun cás sonrach na micrifhiontar, na bhfiontar beag agus na bhfiontar meánmhéide a chur san áireamh, áirítear sa Rialachán seo maolú maidir le heagraíochtaí a bhfuil níos lú ná 250 fostaí acu i ndáil le coimeád taifead. Ina theannta sin, moltar d'institiúidí agus comhlachtaí an Aontais, agus do na Ballstáit agus dá n-údaráis mhaoirseachta riachtanais shonracha na micrifhiontar, na bhfiontar beag agus na bhfiontar meánmhéide a chur san áireamh agus an Rialachán seo á chur i bhfeidhm. Ba cheart do choincheap na micrifhiontar, na bhfiontar beag agus na bhfiontar meánmhéide spreagadh a fháil ó Airteagal 2 den Iarscríbhinn a ghabhann le Moladh 2003/361/CE ón gCoimisiún (5).
(5) Moladh ón gCoimisiún an 6 Bealtaine 2003 maidir le micrifhiontair, fiontair bheaga agus mheánmhéide a shainmhíniú (C(2003) 1422) (IO L 124, 20.5.2003, lch. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC
(39) Ba cheart aon phróiseáil a dhéantar ar shonraí pearsanta a bheith dleathach agus cothrom. Ba cheart é a bheith trédhearcach do dhaoine nádúrtha go ndéantar sonraí pearsanta a bhaineann leo a bhailiú, a úsáid, a cheadú nó go ndéantar iad a phróiseáil ar bhealach eile agus a mhéid a dhéantar na sonraí a phróiseáil nó a dhéanfar iad a phróiseáil. Ceanglaítear le prionsabal na trédhearcachta go mbeadh sé éasca rochtain a fháil ar aon fhaisnéis agus ar aon chumarsáid a bhaineann le próiseáil na sonraí pearsanta sin agus go mbeadh sé éasca an fhaisnéis sin agus an chumarsáid sin a thuiscint, agus go ndéanfaí teanga shoiléir shimplí a úsáid. Baineann an prionsabal sin, go háirithe, le faisnéis a thugtar do na hábhair sonraí maidir le céannacht an rialaitheora agus le críocha na próiseála agus le faisnéis bhreise chun próiseáil chothrom thrédhearcach a áirithiú i ndáil leis na daoine nádúrtha lena mbaineann agus a gceart dearbhú agus teachtaireacht a fháil i ndáil leis na sonraí pearsanta a bhaineann leo agus atá á bpróiseáil. Ba cheart daoine nádúrtha a chur ar an eolas faoi rioscaí, rialacha, coimircí agus cearta a bhaineann le próiseáil sonraí pearsanta agus faoin mbealach lena gcearta a fheidhmiú i ndáil le próiseáil den sórt sin. Ba cheart, go háirithe, do na críocha sonracha ar chucu a dhéantar sonraí pearsanta a phróiseáil a bheith lánsoiléir agus dlisteanach agus ba cheart iad a chinneadh tráth bhailiú na sonraí pearsanta. Ba cheart na sonraí pearsanta a bheith leordhóthanach, ábhartha agus teoranta don mhéid is gá chun na gcríoch a ndéantar iad a phróiseáil ina leith. Éilítear leis seo, go háirithe, go ndéantar a áirithiú go bhfuil an tréimhse a stóráiltear na sonraí pearsanta lena linn teoranta go dtí íosmhéid dhocht. Níor cheart sonraí pearsanta a phróiseáil ach mura bhféadfaí críoch na próiseála a bhaint amach go réasúnta ar bhealach eile. Chun a áirithiú nach gcoinnítear na sonraí pearsanta níos faide ná mar is gá, ba cheart don rialaitheoir teorainneacha ama a shocrú don léirscriosadh nó chun athbhreithniú tréimhsiúil a dhéanamh. Ba cheart gach beart réasúnta a dhéanamh chun a áirithiú go gceartaítear nó go scriostar sonraí pearsanta míchruinne. Ba cheart sonraí pearsanta a phróiseáil ar bhealach lena n-áirithítear slándáil agus rúndacht iomchuí na sonraí pearsanta, lena n-áirítear chun cosc a chur ar rochtain neamhúdaraithe ar shonraí pearsanta nó ar úsáid neamhúdaraithe sonraí pearsanta agus an trealamh a úsáidtear leis an bpróiseáil a dhéanamh.
(82) Chun comhlíonadh an Rialacháin seo a thaispeáint, ba cheart don rialaitheoir nó don phróiseálaí taifid a choinneáil ar ghníomhaíochtaí próiseála atá faoina chúram. Ba cheart é a bheith d'oibleagáid ar gach rialaitheoir agus próiseálaí comhoibriú leis an údarás maoirseachta agus na taifid sin a chur ar fáil don údarás, arna iarraidh sin dó, le go bhféadfaí é a úsáid chun faireachán a dhéanamh ar na hoibríochtaí próiseála sin.
(EN) Information Commissioner’s Office (ICO, Great Britain), Documentation template for controllers
Information Commissioner’s Office (ICO, Great Britain), Documentation template for processors
Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).
Information Commissioner’s Office (ICO, Great Britain), Data sharing: a code of practice (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 30(1)(d) GDPR:
7.5.4 Records of PII disclosure to third parties
Control
The organization should record disclosures of PII to third parties, including what PII has been disclosed, to whom and at what time.
Implementation guidance
PII can be disclosed during the course of normal operations.
(EN) […]
(EN) Sign in
to read the full text