1. Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:
a) duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
e) kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 30(1)(e) GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
[…]
Sign in
to read the full text
8.4.2 Return, transfer or disposal of PII
Control
The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.
Implementation guidance
At some point in time, PII can need to be disposed of in some manner.
[…]
Sign in
to read the full text
2. Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:
a) duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
c) kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 30(2)(c) GDPR:
8.5.2 Countries and international organizations to which PII can be transferred
Control
The organization should specify and document the countries and international organizations to which PII can possibly be transferred.
Implementation guidance
The identities of the countries and international organizations to which PII can possibly be transferred in normal operations should be made available to customers.
[…]
Sign in
to read the full text
d) kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.
Here is the relevant paragraph to article 30(2)(d) GDPR:
6.12.1.2 Addressing security within supplier agreements
Implementation guidance
The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).
[…]
Sign in
to read the full text
4. Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.
5. 1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 straipsnio 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 straipsnyje.
Article 29 Working Party, Position Paper on the Derogations from the Obligation to Maintain Records of Processing Activities pursuant to Article 30(5) GDPR (2018).
Article 30 is pretty straightforward and gives us very direct instructions on what document has to be created and what information has to be in it. Often it is enough to create a spreadsheet or a simple Excel table if the number of your processing activities is not so high, but if it doesn’t scale well, there are also specialised software solutions for Register of Processing Activities.
[…]
Sign in
to read the full text
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 30 GDPR:
7.2.8 Records related to processing PII
Control
The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.
Implementation guidance
A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs. Such an inventory can include:
[…]
Sign in
to read the full text
(13) siekiant užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje, reikia priimti reglamentą, kuriuo būtų užtikrintas teisinis tikrumas ir skaidrumas ekonominės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, kuriuo fiziniams asmenims visose valstybėse narėse būtų užtikrintos vienodo lygio teisiškai įgyvendinamos teisės, o duomenų valdytojams ir duomenų tvarkytojams būtų nustatytos vienodo lygio prievolės bei atsakomybė, ir kuriuo būtų užtikrinta nuosekli asmens duomenų tvarkymo stebėsena ir lygiavertės sankcijos visose valstybėse narėse, taip pat veiksmingas skirtingų valstybių narių priežiūros institucijų bendradarbiavimas. Tam, kad vidaus rinka veiktų tinkamai, reikia užtikrinti, kad laisvas asmens duomenų judėjimas Sąjungoje nebūtų ribojamas ar draudžiamas dėl priežasčių, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis. Kad būtų atsižvelgta į ypatingą labai mažų, mažųjų ir vidutinių įmonių padėtį, šiame reglamente įrašų laikymo atžvilgiu organizacijoms, kuriose dirba mažiau kaip 250 darbuotojų, numatyta nukrypti leidžianti nuostata. Be to, Sąjungos institucijos ir įstaigos, valstybės narės ir jų priežiūros institucijos raginamos taikant šį reglamentą atsižvelgti į specialius labai mažų, mažųjų ir vidutinių įmonių poreikius. Labai mažų, mažųjų ir vidutinių įmonių sąvoka turėtų būti grindžiama Komisijos rekomendacijos 2003/361/EB [5] priedo 2 straipsniu;
[5] 2003 m. gegužės 6 d. Komisijos rekomendacija dėl labai mažų, mažųjų ir vidutinių įmonių sampratos (C(2003) 1422) (OL L 124, 2003 5 20, p. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC
(39) bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui;
(82) kad įrodytų, jog laikosi šio reglamento, duomenų valdytojas arba duomenų tvarkytojas turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingas, įrašus. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir jos prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas;
Information Commissioner’s Office (ICO, Great Britain), Documentation template for controllers
Information Commissioner’s Office (ICO, Great Britain), Documentation template for processors
Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).
Information Commissioner’s Office (ICO, Great Britain), Data sharing: a code of practice (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 30(1)(d) GDPR:
7.5.4 Records of PII disclosure to third parties
Control
The organization should record disclosures of PII to third parties, including what PII has been disclosed, to whom and at what time.
Implementation guidance
PII can be disclosed during the course of normal operations.
[…]
Sign in
to read the full text