Статья 30 📖 GDPR. Учет деятельности по обработке

Статья 30 GDPR. Учет деятельности по обработке

Article 30 GDPR. Records of processing activities

1. Каждый контролёр и, если применимо, его представитель ведут реестр деятельности по обработке, за которую ответственны. Такой реестр содержит всю следующую информацию:

1. Each controller and, where applicable, the controller’s representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information:

(а) имя и контактную информацию контролёра и, если применимо, со-контролёра, представителя контролёра и инспектора по защите персональных данных;

(a) the name and contact details of the controller and, where applicable, the joint controller, the controller’s representative and the data protection officer;

(b) цели обработки;

(b) the purposes of the processing;

(c) описание категорий субъектов данных и категорий персональных данных;

(c) a description of the categories of data subjects and of the categories of personal data;

(d) категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международные организации;

(d) the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations;

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(d) GDPR:

7.5.4 Записи о раскрытии ПИИ третьим лицам

Средство управления

Организация должна регистрировать раскрытие ПИИ третьим сторонам, включая информацию о том, какая информация ПИИ была раскрыта, кому и в какое время.

Руководство по внедрению

ПИИ может быть раскрыта в ходе обычной работы. Эти раскрытия должны быть зарегистрированы.

…

Войти
для доступа к полному тексту

(e) если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе статьи 49(1), с документацией соответствующих гарантий;

(e) where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;

ISO 27701 Связи

ISO 27701

Приводим соответствующий параграф к статье 30(1)(e) GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).

…

Войти
для доступа к полному тексту

Связи

Статья 49 GDPR. Отступление от соблюдения обязательств в особых случаях

Article 49 GDPR. Derogations for specific situations

[…]

В случае если передача не может основываться на положениях Статей 45 или 46, в том числе на положениях об обязательных корпоративных правилах, и если не применяются отступления от соблюдения обязательств в особых случаях согласно первому подпараграфу настоящего параграфа, передача персональных данных третьей стране или международной организации может осуществляться только, если передача не носит повторяющийся характер, касается только ограниченного количества субъектов данных, необходима в целях защиты легитимных интересов контролёра, которые не превалируют над интересами или правами и свободами субъектов данных, и контролёр оценил все обстоятельства, связанные с передачей персональных данных, и на основании указанной оценки предусмотрел соответствующие гарантии касательно защиты персональных данных. Контролёр информирует о передаче надзорный орган. В дополнение к предоставлению информации, указанной в Статьях 13 и 14, контролёр информирует субъекта данных о передаче персональных данных и о своих легитимных интересах.

Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.

[…]

(f) если возможно, планируемые сроки удаления различных категорий персональных данных;

(f) where possible, the envisaged time limits for erasure of the different categories of data;

ISO 27701

Приводим соответствующий параграф к статье 30(1)(f) GDPR:

8.2.4 Возврат, передача или распоряжение ПИИ

Средство управления

Организация должна обеспечить возможность возврата, передачи и / или утилизации ПИИ безопасным способом. Она также должна сделать свою политику доступной для клиента.

Руководство по внедрению

В какой-то момент времени, может потребоваться избавление от ПИИ каким-либо образом, что может включать в себя возврат ПИИ клиенту, передачу его другой организации или контроллеру ПИИ (например, в результате слияния), удаление или иное уничтожение, де-идентификация или архивирование.

…

Войти
для доступа к полному тексту

(g) если возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32(1).

(g) where possible, a general description of the technical and organisational security measures referred to in Article 32(1).

Связи

Статья 32 GDPR. Безопасность обработки

Article 32 GDPR. Security of processing

1. Принимая во внимание текущий уровень научно-технического прогресса, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролёр и процессор должны реализовать соответствующие технические и организационные меры для обеспечения уровня безопасности соответствующего данным рискам, включая в частности при необходимости:

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

(a) псевдонимизацию и шифрование персональных данных;

(a) the pseudonymisation and encryption of personal data;

(b) способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

(c) способность своевременно восстанавливать доступность персональных данных в случае возникновения физического или технического инцидента;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

(d) регулярное тестирование, оценку и измерение эффективности технических и организационных мер по обеспечению безопасности обработки.

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

[…]

2. Каждый процессор и, если применимо, представитель процессора ведут реестр всех видов деятельности по обработке, выполняемых от имени контролёра, содержащий следующую информацию:

2. Each processor and, where applicable, the processor’s representative shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing:

(а) имя и контактные данные процессора или процессоров и каждого контролёра, от имени которого работает процессор, и, если применимо, представителя контролёра или процессора и инспектора по защите персональных данных;

(a) the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller’s or the processor’s representative, and the data protection officer;

(b) виды обработки, проведенной от имени каждого контролёра;

(b) the categories of processing carried out on behalf of each controller;

(с) если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе статьи 49(1), с документацией соответствующих гарантий;

(c) where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;

ISO 27701

Приводим соответствующий параграф к статье 30(2)(c) GDPR:

8.5.2 Страны и организации, в которые ПИИ может передаваться

Средство управления

Организация должна указать и задокументировать страны и международные организации, в которые ПИИ могут передаваться.

Руководство по внедрению

Идентификационные данные стран и международных организаций, в которые ПИИ могут передаваться в ходе обычной работы, должны быть доведены до сведения клиентов.

…

Войти
для доступа к полному тексту

(d) если возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32(1).

(d) where possible, a general description of the technical and organisational security measures referred to in Article 32(1).

ISO 27701 Связи

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.

Here is the relevant paragraph to article 30(2)(d) GDPR:

6.12.1.2 Addressing security within supplier agreements

Implementation guidance

The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).

…

Войти
для доступа к полному тексту

Связи

Статья 32 GDPR. Безопасность обработки

Article 32 GDPR. Security of processing

(a) псевдонимизацию и шифрование персональных данных;

(a) the pseudonymisation and encryption of personal data;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

[…]

3. Реестр, упомянутый в параграфах 1 и 2 должен быть составлен в письменной форме, включая электронную.

3. The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form.

4. Контролёр или процессор и, если применимо, представитель контролёра или процессора, предоставляют реестр в распоряжение надзорного органа по его запросу.

4. The controller or the processor and, where applicable, the controller’s or the processor’s representative, shall make the record available to the supervisory authority on request.

5. Обязательства, указанные в параграфах 1 и 2 не распространяются на предприятия или организации с численностью работников менее 250 человек, за исключением случаев, когда обработка, которую они осуществляют, с большой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, либо когда обработка не носит случайный характер, либо когда обработка включает специальные категории данных, упомянутые в Статье 9(1), или персональные данные, касающиеся судимостей и правонарушений, упомянутые в Статье 10.

5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10.

Офиц. документы и решения Связи

Офиц. документы и решения

(EN)

Document

Article 29 Working Party, Position Paper on the Derogations from the Obligation to Maintain Records of Processing Activities pursuant to Article 30(5) GDPR (2018).

Связи

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

[…]

Статья 10 GDPR. Обработка персональных данных, касающихся судимостей и правонарушений

Article 10 GDPR. Processing of personal data relating to criminal convictions and offences

Обработка персональных данных, касающихся судимостей и правонарушений или относящихся к ним мер по обеспечению безопасности на основании Статьи 6(1), должна осуществляться только под контролем официального органа или, если обработка разрешена правом Союза или государства-члена, которое предусматривает надлежащие гарантии для прав и свобод субъектов данных. Любой исчерпывающий реестр судимостей должен вестись только под контролем официального органа.

Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта ISO 27701 Преамбулы Офиц. документы и решения Оставьте комментарий

Комментарий эксперта

Статья 30 довольно проста и дает нам очень прямые указания о том, какой документ должен быть создан и какая информация в нем должна быть. Часто достаточно создать обычную таблицу Excel, если количество ваших обработок не так велико. Однако если вы видите, что простая таблица уже недостаточно читабельна или не очень хорошо масштабируется, то для Реестра существуют также специализированные программные решения.

Зачастую обязанность вести Реестр деятельности по обработке может выглядеть как очередная бюрократическая процедура, которую GDPR требует только для того, чтобы сделать обработку персональных данных более сложной. Однако, мы предлагаем смотреть на это, как на важный инструмент и процесс не только потому что необходимо соответствовать Регламенту, но и для нас самих как для контролеров и/или процессоров.

Вот почему.

При планировании действий по соблюдению Регламента, компании часто склонны отдавать предпочтение внешне заметным шагам, таким как Политика Приватности, содержание баннеров о согласии и т.д. Ведь именно с этим сталкивается «внешний наблюдатель», и субъекты данных в частности. И несмотря на то, что в такой приоритезации много смысла, в стремлении составить идеальный текст Политики Приватности мы можем легко забыть о важности внутренней документации, такой как, например, Реестр деятельности по обработке. В этом случае мы теряем возможность очень простым способом получить четкое и понятное представление о том, какие персональные данные, почему и как обрабатываются в нашей компании. Очевидно, что стремление соблюсти Статью 30 также является большим стимулом для контроллеров и процессоров к созданию и ведению реестра. Но есть еще больше причин, почему GDPR посвящает ему отдельную статью и почему мы, как профессионалы в области приватности, рассматриваем его как полезный инструмент для самих контролеров и процессоров.

…

Войти
для доступа к полному тексту

Автор

Мария Арнст CIPM, TÜV

GDPR консультант

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статье 30 GDPR:

7.2.8 Записи, связанные с обработкой ПИИ

Средство управления

Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.

Руководство по внедрению

Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация.

…

Войти
для доступа к полному тексту

Преамбулы

(13) В целях обеспечения соответствующего уровня защиты физических лиц на территории Союза и предотвращения расхождений, затрудняющих свободное движение персональных данных в пределах внутреннего рынка, Регламент необходим для обеспечения правовой определённости и прозрачности для хозяйствующих субъектов, в том числе микро, малых и средних предприятий, для предоставления физическим лицам во всех государствах-членах одинакового уровня юридически закреплённых прав и обязанностей, а также функциональных обязанностей контролёров и процессоров; обеспечения соответствующего мониторинга обработки персональных данных и равнозначных санкций во всех государствах-членах, равно как и для обеспечения эффективного сотрудничества между надзорными органами различных государств-членов. Надлежащее функционирование внутреннего рынка требует, чтобы свободное движение персональных данных в пределах Евросоюза не ограничивалось или запрещалось по причинам, связанным с защитой физических лиц при обработке персональных данных. Для учёта конкретной ситуации на микро, малых и средних предприятиях, настоящий Регламент предусматривает изъятия в отношении ведения учёта для организаций с менее чем 250 сотрудников. Кроме того, учреждениям и органам Евросоюза, а также государствам-членам и их надзорным органам, рекомендуется учитывать конкретные потребности микро, малых и средних предприятий по применению настоящего Регламента. Понятие микро, малых и средних предприятий должно пониматься исходя из статьи 2 Приложения Рекомендации Комиссии 2003/361/ЕС [5].

(13) In order to ensure a consistent level of protection for natural persons throughout the Union and to prevent divergences hampering the free movement of personal data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide natural persons in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective cooperation between the supervisory authorities of different Member States. The proper functioning of the internal market requires that the free movement of personal data within the Union is not restricted or prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping. In addition, the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw from Article 2 of the Annex to Commission Recommendation 2003/361/EC [5].

_{[5] Рекомендация Европейской Комиссии от 6 мая 2003 г. относительно определения микропредприятий, малых и средних предприятий (C(2003) 1422) (Официальный журнал Европейского союза N L 124, 20.05.2003, стр. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC}

_{[5] Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (C(2003) 1422) (OJ L 124, 20.5.2003, p. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC}

(39) Любая обработка персональных данных должна быть законной и справедливой. До физических лиц должно быть прозрачно донесено то, что их персональные данные собираются, используются, просматриваются или иным образом обрабатываются, а также то, в каком объеме персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любые сведения или сообщения в отношении обработки указанных персональных данных были легкодоступны, понятны и представлены на ясном и простом языке. Этот принцип, в частности, предусматривает необходимость извещения субъектов данных о том, кто является контролёром, о целях обработки данных, а также дополнительное информирование для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сведений об имеющих к ним отношение персональных данных, которые обрабатываются. Физические лица должны быть осведомлены о рисках, правилах, средствах защиты и правах в отношении обработки персональных данных и о том, как реализовать свои права в связи с такой обработкой. В частности, конкретные цели обработки персональных данных, должны быть ясными и законными и должны определяться в момент сбора персональных данных. Персональные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо для целей, с которыми они обрабатываются. Это требует, в частности, обеспечения того, чтобы период, в течение которого персональные данные хранятся, ограничивался строгим минимумом. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть в разумных пределах достигнута иными средствами. Чтобы гарантировать, что персональные данные не будут храниться дольше, чем это необходимо, контролёр должен установить сроки, по истечении которых персональные удаляются или пересматриваются. Необходимо принять все рационально обусловленные меры для того, чтобы обеспечить исправление или удаление неточных персональных данных. Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность этих персональных данных, в том числе для предотвращения несанкционированного доступа к персональным данным или несанкционированного использования персональных данных и оборудования, используемого для обработки.

(39) Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.

(82) Для демонстрации соответствия Регламенту контролёр или процессор должен вести учет деятельности по обработке, за которую он отвечает. Каждый контролёр и процессор обязан сотрудничать с надзорным органом и по запросу предоставлять в его распоряжение указанные учетные сведения в целях мониторинга процесса обработки.

(82) In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations.

Офиц. документы и решения

(EN) Information Commissioner’s Office (ICO, Great Britain), Documentation template for controllers

Information Commissioner’s Office (ICO, Great Britain), Documentation template for processors

Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).

Information Commissioner’s Office (ICO, Great Britain), Data sharing: a code of practice (2020).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).

Оставьте комментарий

Статья 29. Обработка от имени контролёра или процессора

Статья 31. Сотрудничество с надзорным органом