Навигация
GDPR > Airteagal 30. Taifid de ghníomhaíochtaí próiseála
Скачать в PDF

Airteagal 30 RGCS (GDPR). Taifid de ghníomhaíochtaí próiseála

1. Coimeádfaidh gach rialaitheoir agus, i gcás inarb infheidhme, ionadaí an rialaitheora taifead de ghníomhaíochtaí próiseála atá faoina chúram. Áireofar an fhaisnéis uile eo a leanas sa taifead sin:

(a) ainm agus sonraí teagmhála an rialaitheora agus, i gcás inarb infheidhme, ainm agus sonraí teagmhála aon rialaitheora chomhpháirtigh, ainm agus sonraí teagmhála ionadaí an rialaitheora agus an oifigigh cosanta sonraí;

(b) críocha na próiseála;

(c) tuairisc ar na catagóirí ábhar sonraí agus ar na catagóirí sonraí pearsanta;

(d) na catagóirí faighteoirí ar nochtadh na sonraí pearsanta dóibh nó a nochtfar na sonraí pearsanta dóibh, lena n-áirítear faighteoirí i dtríú tíortha nó eagraíochtaí idirnáisiúnta;

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(d) GDPR:

7.5.4 Записи о раскрытии ПИИ третьим лицам

Средство управления

Организация должна регистрировать раскрытие ПИИ третьим сторонам, включая информацию о том, какая информация ПИИ была раскрыта, кому и в какое время.

Руководство по внедрению

ПИИ может быть раскрыта в ходе обычной работы. Эти раскрытия должны быть зарегистрированы.


для доступа к полному тексту

(e) i gcás in arb infheidhme, aistrithe sonraí pearsanta go tríú tír nó go heagraíocht idirnáisiúnta, lena n-áirítear an tríú tír nó an eagraíocht idirnáisiúnta sin a ainmniú agus, i gcás aistrithe dá dtagraítear sa dara fomhír d’Airteagal 49(1), na doiciméid maidir le coimircí oiriúnacha;

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(e) GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).


для доступа к полному тексту

Связанные статьи

(f) más féidir, na teorainneacha ama atá beartaithe chun catagóirí éagsúla sonraí a léirscriosadh;

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(f) GDPR:

8.2.4 Возврат, передача или распоряжение ПИИ

Средство управления

Организация должна обеспечить возможность возврата, передачи и / или утилизации ПИИ безопасным способом. Она также должна сделать свою политику доступной для клиента.

Руководство по внедрению

В какой-то момент времени, может потребоваться избавление от ПИИ каким-либо образом, что может включать в себя возврат ПИИ клиенту, передачу его другой организации или контроллеру ПИИ (например, в результате слияния), удаление или иное уничтожение, де-идентификация или архивирование.


для доступа к полному тексту

(g) más féidir, cur síos ginearálta ar na bearta teicniúla agus eagraíochtúla dá dtagraítear in Airteagal 32(1).

Связанные статьи

2. Coimeádfaidh gach próiseálaí agus, i gcás inarb infheidhme, ionadaí an phróiseálaí taifead ar na catagóirí uile gníomhaíochtaí próiseála, ar gníomhaíochtaí iad a dhéantar thar ceann an rialaitheora agus áireofar an méid seo a leanas sa taifead sin:

(a) ainm agus sonraí teagmhála an phróiseálaí nó na bpróiseálaithe agus ainm agus sonraí teagmhála gach rialaitheora ar thar a cheann atá an próiseálaí ag feidhmiú, agus, i gcás inarb infheidhme, ainm agus sonraí teagmhála ionadaí an rialaitheora nó an phróiseálaí, agus an oifigigh cosanta sonraí;

(b) catagóirí na próiseála a rinneadh thar ceann gach rialaitheora;

(c) i gcás in arb infheidhme, aistrithe sonraí pearsanta go tríú tír nó go heagraíocht idirnáisiúnta, lena n-áirítear an tríú tír nó an eagraíocht idirnáisiúnta sin a ainmniú agus, i gcás aistrithe dá dtagraítear sa dara fomhír d’Airteagal 49(1), na doiciméid maidir le coimircí oiriúnacha;

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(2)(c) GDPR:

8.5.2 Страны и организации, в которые ПИИ может передаваться

Средство управления

Организация должна указать и задокументировать страны и международные организации, в которые ПИИ могут передаваться.

Руководство по внедрению

Идентификационные данные стран и международных организаций, в которые ПИИ могут передаваться в ходе обычной работы, должны быть доведены до сведения клиентов.


для доступа к полному тексту

(d) más féidir, cur síos ginearálta ar na bearta teicniúla agus eagraíochtúla dá dtagraítear in Airteagal 32(1).

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.

Here is the relevant paragraph to article 30(2)(d) GDPR:

6.12.1.2 Addressing security within supplier agreements

Implementation guidance

The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).


для доступа к полному тексту

Связанные статьи

3. Is i scríbhinn, lena n-áirítear i bhfoirm leictreonach, a bheidh na taifid dá dtagraítear i mír 1 agus i mír 2.

4. Cuirfidh an rialaitheoir nó an próiseálaí agus, i gcás inarb infheidhme, ionadaí an rialaitheora nó ionadaí an phróiseálaí, an taifead ar fáil don údarás maoirseachta, arna iarraidh sin.

5. Ní bheidh feidhm ag na hoibleagáidí dá dtagraítear i mír 1 agus i mír 2 maidir le fiontar nó le heagraíocht ina bhfostaítear níos lú ná 250 duine ach amháin murar dócha é go ngabhann riosca do chearta agus do shaoirsí na n-ábhar sonraí leis an bpróiseáil a bhíonn ar bun ann, nach ndéantar an phróiseáil go hócáideach, go n-áirítear sa phróiseáil catagóirí speisialta sonraí dá dtagraítear in Airteagal 9(1) nó próiseáil sonraí pearsanta a bhaineann le ciontuithe coiriúla agus cionta dá dtagraítear in Airteagal 10.

Руководство и прецедентное право Связанные статьи
Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Статья 30 довольно проста и дает нам очень прямые указания о том, какой документ должен быть создан и какая информация в нем должна быть. Часто достаточно создать обычную таблицу Excel, если количество ваших обработок не так велико. Однако если вы видите, что простая таблица уже недостаточно читабельна или не очень хорошо масштабируется, то для Реестра существуют также специализированные программные решения.

Зачастую обязанность вести Реестр деятельности по обработке может выглядеть как очередная бюрократическая процедура, которую GDPR требует только для того, чтобы сделать обработку персональных данных более сложной. Однако, мы предлагаем смотреть на это, как на важный инструмент и процесс не только потому что необходимо соответствовать Регламенту, но и для нас самих как для контролеров и/или процессоров.

Вот почему.

При планировании действий по соблюдению Регламента, компании часто склонны отдавать предпочтение внешне заметным шагам, таким как Политика Приватности, содержание баннеров о согласии и т.д. Ведь именно с этим сталкивается «внешний наблюдатель», и субъекты данных в частности. И несмотря на то, что в такой приоритезации много смысла, в стремлении составить идеальный текст Политики Приватности мы можем легко забыть о важности внутренней документации, такой как, например, Реестр деятельности по обработке. В этом случае мы теряем возможность очень простым способом получить четкое и понятное представление о том, какие персональные данные, почему и как обрабатываются в нашей компании. Очевидно, что стремление соблюсти Статью 30 также является большим стимулом для контроллеров и процессоров к созданию и ведению реестра. Но есть еще больше причин, почему GDPR посвящает ему отдельную статью и почему мы, как профессионалы в области приватности, рассматриваем его как полезный инструмент для самих контролеров и процессоров.


для доступа к полному тексту

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30 GDPR:

7.2.8 Записи, связанные с обработкой ПИИ

Средство управления

Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.

Руководство по внедрению

Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация.


для доступа к полному тексту

Преамбулы

(13) Chun leibhéal comhsheasmhach cosanta a áirithiú do dhaoine nádúrtha ar fud an Aontais agus chun dibhéirseachtaí a chuireann isteach ar shaorshreabhadh sonraí pearsanta laistigh den mhargadh inmheánach a chosc, is gá Rialachán a ghlacadh chun deimhneacht dhlíthiúil agus trédhearcacht a sholáthar d'oibreoirí eacnamaíocha, lena n-áirítear micrifhiontair, fiontair bheaga agus fiontair mheánmhéide, agus chun an leibhéal céanna de chearta atá in-fhorfheidhmithe ó thaobh dlí a sholáthar do dhaoine nádúrtha sna Ballstáit uile, agus oibleagáidí agus freagrachtaí a sholáthar do rialaitheoirí agus do phróiseálaithe, chun faireachán comhsheasmhach ar phróiseáil sonraí pearsanta agus pionóis choibhéiseacha a áirithiú i ngach Ballstát chomh maith le comhar éifeachtach idir údaráis mhaoirseachta na mBallstát éagsúil. Ar mhaithe le feidhmiú cuí an mhargaidh inmheánaigh, ní chuirtear srian le saorghluaiseacht sonraí pearsanta laistigh den Aontas ná ní chuirtear toirmeasc uirthi ar chúiseanna a bhaineann le cosaint daoine nádúrtha i ndáil le sonraí pearsanta a phróiseáil. Chun cás sonrach na micrifhiontar, na bhfiontar beag agus na bhfiontar meánmhéide a chur san áireamh, áirítear sa Rialachán seo maolú maidir le heagraíochtaí a bhfuil níos lú ná 250 fostaí acu i ndáil le coimeád taifead. Ina theannta sin, moltar d'institiúidí agus comhlachtaí an Aontais, agus do na Ballstáit agus dá n-údaráis mhaoirseachta riachtanais shonracha na micrifhiontar, na bhfiontar beag agus na bhfiontar meánmhéide a chur san áireamh agus an Rialachán seo á chur i bhfeidhm. Ba cheart do choincheap na micrifhiontar, na bhfiontar beag agus na bhfiontar meánmhéide spreagadh a fháil ó Airteagal 2 den Iarscríbhinn a ghabhann le Moladh 2003/361/CE ón gCoimisiún (5).

(5) Moladh ón gCoimisiún an 6 Bealtaine 2003 maidir le micrifhiontair, fiontair bheaga agus mheánmhéide a shainmhíniú (C(2003) 1422) (IO L 124, 20.5.2003, lch. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC

(39) Ba cheart aon phróiseáil a dhéantar ar shonraí pearsanta a bheith dleathach agus cothrom. Ba cheart é a bheith trédhearcach do dhaoine nádúrtha go ndéantar sonraí pearsanta a bhaineann leo a bhailiú, a úsáid, a cheadú nó go ndéantar iad a phróiseáil ar bhealach eile agus a mhéid a dhéantar na sonraí a phróiseáil nó a dhéanfar iad a phróiseáil. Ceanglaítear le prionsabal na trédhearcachta go mbeadh sé éasca rochtain a fháil ar aon fhaisnéis agus ar aon chumarsáid a bhaineann le próiseáil na sonraí pearsanta sin agus go mbeadh sé éasca an fhaisnéis sin agus an chumarsáid sin a thuiscint, agus go ndéanfaí teanga shoiléir shimplí a úsáid. Baineann an prionsabal sin, go háirithe, le faisnéis a thugtar do na hábhair sonraí maidir le céannacht an rialaitheora agus le críocha na próiseála agus le faisnéis bhreise chun próiseáil chothrom thrédhearcach a áirithiú i ndáil leis na daoine nádúrtha lena mbaineann agus a gceart dearbhú agus teachtaireacht a fháil i ndáil leis na sonraí pearsanta a bhaineann leo agus atá á bpróiseáil. Ba cheart daoine nádúrtha a chur ar an eolas faoi rioscaí, rialacha, coimircí agus cearta a bhaineann le próiseáil sonraí pearsanta agus faoin mbealach lena gcearta a fheidhmiú i ndáil le próiseáil den sórt sin. Ba cheart, go háirithe, do na críocha sonracha ar chucu a dhéantar sonraí pearsanta a phróiseáil a bheith lánsoiléir agus dlisteanach agus ba cheart iad a chinneadh tráth bhailiú na sonraí pearsanta. Ba cheart na sonraí pearsanta a bheith leordhóthanach, ábhartha agus teoranta don mhéid is gá chun na gcríoch a ndéantar iad a phróiseáil ina leith. Éilítear leis seo, go háirithe, go ndéantar a áirithiú go bhfuil an tréimhse a stóráiltear na sonraí pearsanta lena linn teoranta go dtí íosmhéid dhocht. Níor cheart sonraí pearsanta a phróiseáil ach mura bhféadfaí críoch na próiseála a bhaint amach go réasúnta ar bhealach eile. Chun a áirithiú nach gcoinnítear na sonraí pearsanta níos faide ná mar is gá, ba cheart don rialaitheoir teorainneacha ama a shocrú don léirscriosadh nó chun athbhreithniú tréimhsiúil a dhéanamh. Ba cheart gach beart réasúnta a dhéanamh chun a áirithiú go gceartaítear nó go scriostar sonraí pearsanta míchruinne. Ba cheart sonraí pearsanta a phróiseáil ar bhealach lena n-áirithítear slándáil agus rúndacht iomchuí na sonraí pearsanta, lena n-áirítear chun cosc a chur ar rochtain neamhúdaraithe ar shonraí pearsanta nó ar úsáid neamhúdaraithe sonraí pearsanta agus an trealamh a úsáidtear leis an bpróiseáil a dhéanamh.

(82) Chun comhlíonadh an Rialacháin seo a thaispeáint, ba cheart don rialaitheoir nó don phróiseálaí taifid a choinneáil ar ghníomhaíochtaí próiseála atá faoina chúram. Ba cheart é a bheith d'oibleagáid ar gach rialaitheoir agus próiseálaí comhoibriú leis an údarás maoirseachta agus na taifid sin a chur ar fáil don údarás, arna iarraidh sin dó, le go bhféadfaí é a úsáid chun faireachán a dhéanamh ar na hoibríochtaí próiseála sin.

Руководство и прецедентное право Оставить комментарий
[js-disqus]