Больше
Навигация
KAPITOLA I Všeobecné ustanovenia (1-4)
Článok 1. Predmet úpravy a cieleČlánok 2. Vecná pôsobnosťČlánok 3. Územná pôsobnosťČlánok 4. Vymedzenie pojmov
KAPITOLA II Zásady (5-11)
Článok 5. Zásady spracúvania osobných údajovČlánok 6. Zákonnosť spracúvaniaČlánok 7. Podmienky vyjadrenia súhlasuČlánok 8. Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnostiČlánok 9. Spracúvanie osobitných kategórií osobných údajovČlánok 10. Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupkyČlánok 11. Spracúvanie bez potreby identifikácie
KAPITOLA III Práva dotknutej osoby (12-23)
Článok 12. Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osobyČlánok 13. Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osobyČlánok 14. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osobyČlánok 15. Právo dotknutej osoby na prístup k údajomČlánok 16. Právo na opravuČlánok 17. Právo na vymazanie (právo „na zabudnutie“)Článok 18. Právo na obmedzenie spracúvaniaČlánok 19. Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvaniaČlánok 20. Právo na prenosnosť údajovČlánok 21. Právo namietaťČlánok 22. Automatizované individuálne rozhodovanie vrátane profilovaniaČlánok 23. Obmedzenia
KAPITOLA IV Prevádzkovateľ a sprostredkovateľ (24-43)
Článok 24. Predmet úpravy a cieleČlánok 25. Špecificky navrhnutá a štandardná ochrana údajovČlánok 26. Spoloční prevádzkovateliaČlánok 27. Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v ÚniiČlánok 28. SprostredkovateľČlánok 29. Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa
Článok 30. Záznamy o spracovateľských činnostiach
Článok 31. Spolupráca s dozorným orgánomČlánok 32. Bezpečnosť spracúvaniaČlánok 33. Oznámenie porušenia ochrany osobných údajov dozornému orgánuČlánok 34. Oznámenie porušenia ochrany osobných údajov dotknutej osobeČlánok 35. Posúdenie vplyvu na ochranu údajovČlánok 36. Predchádzajúca konzultáciaČlánok 37. Určenie zodpovednej osobyČlánok 38. Postavenie zodpovednej osobyČlánok 39. Úlohy zodpovednej osobyČlánok 40. Kódexy správaniaČlánok 41. Monitorovanie schválených kódexov správaniaČlánok 42. CertifikáciaČlánok 43. Certifikačné subjekty
KAPITOLA V Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám (44-50)
Článok 44. Všeobecná zásada prenosovČlánok 45. Prenosy na základe rozhodnutia o primeranostiČlánok 46. Prenosy vyžadujúce primerané zárukyČlánok 47. Záväzné vnútropodnikové pravidláČlánok 48. Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľujeČlánok 49. Výnimky pre osobitné situácieČlánok 50. Medzinárodná spolupráca na účely ochrany osobných údajov
KAPITOLA VI Nezávislé dozorné orgány (51-59)
Článok 51. Dozorný orgánČlánok 52. NezávislosťČlánok 53. Všeobecné podmienky týkajúce sa členov dozorného orgánuČlánok 54. Pravidlá zriadenia dozorného orgánuČlánok 55. PríslušnosťČlánok 56. Príslušnosť hlavného dozorného orgánuČlánok 57. ÚlohyČlánok 58. PrávomociČlánok 59. Správy o činnosti
KAPITOLA VII Spolupráca a konzistentnosť (60-70)
Článok 60. Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmiČlánok 61. Vzájomná pomocČlánok 62. Spoločné operácie dozorných orgánovČlánok 63. Mechanizmus konzistentnostiČlánok 64. Stanovisko výboruČlánok 65. Riešenie sporov výboromČlánok 66. Postup pre naliehavé prípadyČlánok 67. Výmena informáciíČlánok 68. Európsky výbor pre ochranu údajovČlánok 69. NezávislosťČlánok 70. Úlohy výboruČlánok 71. SprávyČlánok 72. PostupČlánok 73. PredsedaČlánok 74. Úlohy predseduČlánok 75. SekretariátČlánok 76. Dôvernosť informácií
KAPITOLA VIII Prostriedky nápravy, zodpovednosť a sankcie (77-84)
Článok 77. Právo podať sťažnosť dozornému orgánuČlánok 78. Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánuČlánok 79. Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľoviČlánok 80. Zastupovanie dotknutých osôbČlánok 81. Prerušenie konaniaČlánok 82. Právo na náhradu škody a zodpovednosťČlánok 83. Všeobecné podmienky ukladania správnych pokútČlánok 84. Sankcie
KAPITOLA IX Ustanovenia o osobitných situáciách spracúvania (85-91)
Článok 85. Spracúvanie a sloboda prejavu a právo na informácieČlánok 86. Spracúvanie a prístup verejnosti k úradným dokumentomČlánok 87. Spracúvanie národného identifikačného číslaČlánok 88. Spracúvanie v súvislosti so zamestnanímČlánok 89. Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účelyČlánok 90. Povinnosť zachovávať mlčanlivosťČlánok 91. Existujúce pravidlá ochrany údajov cirkví a náboženských združení
KAPITOLA X Delegované akty a vykonávacie akty (92-93)
Článok 92. Vykonávanie delegovania právomocíČlánok 93. Postup výboru
KAPITOLA XI Záverečné ustanovenia (94-95)
Článok 94. Zrušenie smernice 95/46/ESČlánok 95. Vzťah k smernici 2002/58/ESČlánok 96. Vzťah k dohodám uzavretým v minulostiČlánok 97. Správy KomisieČlánok 98. Preskúmanie iných právnych aktov Únie týkajúcich sa ochrany údajovČlánok 99. Nadobudnutie účinnosti a uplatňovanie
GDPR > Článok 30. Záznamy o spracovateľských činnostiach
Скачать в PDF

Článok 30 GDPR. Záznamy o spracovateľských činnostiach

1. Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie:

a) meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby;

b) účely spracúvania;

c) opis kategórií dotknutých osôb a kategórií osobných údajov;

d) kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(d) GDPR:

7.5.4 Записи о раскрытии ПИИ третьим лицам

Средство управления

Организация должна регистрировать раскрытие ПИИ третьим сторонам, включая информацию о том, какая информация ПИИ была раскрыта, кому и в какое время.

Руководство по внедрению

ПИИ может быть раскрыта в ходе обычной работы. Эти раскрытия должны быть зарегистрированы.


для доступа к полному тексту

e) v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk;

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(e) GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).


для доступа к полному тексту

Связанные статьи

f) podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(f) GDPR:

8.2.4 Возврат, передача или распоряжение ПИИ

Средство управления

Организация должна обеспечить возможность возврата, передачи и / или утилизации ПИИ безопасным способом. Она также должна сделать свою политику доступной для клиента.

Руководство по внедрению

В какой-то момент времени, может потребоваться избавление от ПИИ каким-либо образом, что может включать в себя возврат ПИИ клиенту, передачу его другой организации или контроллеру ПИИ (например, в результате слияния), удаление или иное уничтожение, де-идентификация или архивирование.


для доступа к полному тексту

g) podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.

Связанные статьи
Связанные статьи

2. Každý sprostredkovateľ a v príslušnom prípade zástupca sprostredkovateľa vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú:

a) meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a v príslušnom prípade zástupcu prevádzkovateľa alebo sprostredkovateľa a zodpovednej osoby;

b) kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

c) v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(2)(c) GDPR:

8.5.2 Страны и организации, в которые ПИИ может передаваться

Средство управления

Организация должна указать и задокументировать страны и международные организации, в которые ПИИ могут передаваться.

Руководство по внедрению

Идентификационные данные стран и международных организаций, в которые ПИИ могут передаваться в ходе обычной работы, должны быть доведены до сведения клиентов.


для доступа к полному тексту

d) podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.

ISO 27701 Связанные статьи
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.

Here is the relevant paragraph to article 30(2)(d) GDPR:

6.12.1.2 Addressing security within supplier agreements

Implementation guidance

The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).


для доступа к полному тексту

Связанные статьи

3. Záznamy uvedené v odsekoch 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby.

4. Prevádzkovateľ alebo sprostredkovateľ a v príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa na požiadanie sprístupnia záznamy dozornému orgánu.

5. Povinnosti uvedené v odsekoch 1 a 2 sa nevzťahujú na podnik alebo organizáciu, ktorá zamestnáva menej ako 250 osôb, pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky podľa článku 10.

Руководство и прецедентное право Связанные статьи
Руководство и прецедентное право Связанные статьи
Všeobecné nariadenie o ochrane údajov (GDPR)

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Статья 30 довольно проста и дает нам очень прямые указания о том, какой документ должен быть создан и какая информация в нем должна быть. Часто достаточно создать обычную таблицу Excel, если количество ваших обработок не так велико. Однако если вы видите, что простая таблица уже недостаточно читабельна или не очень хорошо масштабируется, то для Реестра существуют также специализированные программные решения.

Зачастую обязанность вести Реестр деятельности по обработке может выглядеть как очередная бюрократическая процедура, которую GDPR требует только для того, чтобы сделать обработку персональных данных более сложной. Однако, мы предлагаем смотреть на это, как на важный инструмент и процесс не только потому что необходимо соответствовать Регламенту, но и для нас самих как для контролеров и/или процессоров.

Вот почему.

При планировании действий по соблюдению Регламента, компании часто склонны отдавать предпочтение внешне заметным шагам, таким как Политика Приватности, содержание баннеров о согласии и т.д. Ведь именно с этим сталкивается «внешний наблюдатель», и субъекты данных в частности. И несмотря на то, что в такой приоритезации много смысла, в стремлении составить идеальный текст Политики Приватности мы можем легко забыть о важности внутренней документации, такой как, например, Реестр деятельности по обработке. В этом случае мы теряем возможность очень простым способом получить четкое и понятное представление о том, какие персональные данные, почему и как обрабатываются в нашей компании. Очевидно, что стремление соблюсти Статью 30 также является большим стимулом для контроллеров и процессоров к созданию и ведению реестра. Но есть еще больше причин, почему GDPR посвящает ему отдельную статью и почему мы, как профессионалы в области приватности, рассматриваем его как полезный инструмент для самих контролеров и процессоров.


для доступа к полному тексту

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30 GDPR:

7.2.8 Записи, связанные с обработкой ПИИ

Средство управления

Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.

Руководство по внедрению

Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация.


для доступа к полному тексту

Преамбулы

(13) S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov. Riadne fungovanie vnútorného trhu si vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov. S cieľom zohľadniť osobitnú situáciu mikropodnikov a malých a stredných podnikov toto nariadenie obsahuje výnimku pre organizácie s menej ako 250 zamestnancami, pokiaľ ide o vedenie záznamov. Okrem toho sa inštitúcie a orgány Únie a členské štáty a ich dozorné orgány nabádajú k tomu, aby pri uplatňovaní tohto nariadenia zohľadňovali osobitné potreby mikropodnikov a malých a stredných podnikov. Pokiaľ ide o vymedzenie pojmu mikropodniky a malé a stredné podniky, malo by sa vychádzať z článku 2 prílohy k odporúčaniu Komisie 2003/361/ES (5).

(5) Odporúčanie Komisie zo 6. mája 2003 o definícii mikropodnikov a malých a stredných podnikov (C(2003) 1422) (Ú. v. EÚ L 124, 20.5.2003, s. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC

(39) Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov. Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

(82) Na účely preukázania súladu s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední. Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný spolupracovať s dozorným orgánom a na požiadanie mu poskytnúť tieto záznamy, aby mohli slúžiť na monitorovanie týchto spracovateľských operácií.

Руководство и прецедентное право Оставить комментарий
[js-disqus]