Больше
Навигация
第一章 總則 (1-4)
第 1 條. 主旨與立法目的第 2 條. 實體適用範圍第 3 條. 領土適用範圍第 4 條. 定義
第二章 原則 (5-11)
第 5 條. 個人資料處理原則第 6 條. 處理之合法性第七條. 同意條件第 8 條. 涉及資訊社會服務適用兒童同意之條件第 9 條. 特殊類型之個人資料處理第 10 條. 涉及前科及犯罪之個人資料處理第 11 條. 不須識別之處理
第三章 資料主體之權利 (12-23)
第 12 條. 資料主體為行使其權利之透明資訊、溝通及管道第 13 條. 蒐集資料主體之個人資料時所提供之資訊第 14 條. 尚未自資料主體取得個人資料時所應提供之資訊第 15 條. 資料主體之接近使用權第 16 條. 更正權第 17 條. 刪除權(「被遺忘權」)第 18 條. 限制處理權第 19 條. 關於更正或刪除個人資料或限制處理之通知義務第 20 條. 資料可攜性權利第 21 條. 拒絕權第 22 條. 個人化之自動決策,包括建檔第 23 條. 限制
第四章 控管者及處理者 (24-43)
第 24 條. 主旨與立法目的第 25 條. 設計及預設之資料保護第 26 條. 共同控管者第 27 條. 非設立於歐盟境內控管者或處理者之代表第 28 條. 處理者第 29 條. 控管者或處理者之處理權限
第 30 條. 處理活動之紀錄
第 31 條. 與監管機關之合作第 32 條. 處理之安全第 33 條. 向監管機關進行個人資料侵害之通報第 34 條. 向資料主體為個人資料侵害之溝通第 35 條. 資料保護影響評估第 36 條. 事前諮詢第 37 條. 資料保護員之指定第 38 條. 資料保護員之職位第 39 條. 資料保護員之職務第 40 條. 行為守則第 41 條. 經核准之行為守則之監管第 42 條. 認證第 43 條. 認證機構
第五章 個人資料移轉至第三國或國際組織 (44-50)
第 44 條. 移轉之一般原則第 45 條. 基於充足程度保護決定之移轉第 46 條. 須遵守適當保護措施之移轉第 47 條. 有拘束力之企業守則第 48 條. 未獲歐盟法授權之移轉或揭露第 49 條. 特定情形下之例外第 50 條. 個人資料保護之國際合作
第六章 獨立監管機關 (51-59)
第 51 條. 監管機關第 52 條. 獨立第 53 條. 監管機關成員之一般條款第 54 條. 監管機關設立之規則第 55 條. 權限第 56 條. 領導監管機關之權限第 57 條. 職務第 58 條. 權力第 59 條. 活動報告
第七章 合作及一致性 (60-70)
第 60 條. 領導監管機關與其他相關監管機關間之合作第 61 條. 互助第 62 條. 監管機關之聯合作業第 63 條. 一致性機制第 64 條. 委員會之意見第 65 條. 委員會之爭議解決第 66 條. 緊急程序第 67 條. 資訊交換第 68 條. 歐洲資料保護委員會第 69 條. 獨立性第 70 條. 委員會之任務第 71 條. 報告第 72 條. 程序第 73 條. 主席第 74 條. 主席之任務第 75 條. 秘書處第 76 條. 保密性
第 8 章 救濟、義務及處罰 (77-84)
第 77 條. 向監管機關提出申訴之權利第 78 條. 對監管機關提起有效司法救濟之權利第 79 條. 對於控管者或處理者提出有效司法救濟之權利第 80 條. 資料主體之代表第 81 條. 停止訴訟程序第 82 條. 賠償請求權及義務第 83 條. 裁處行政罰鍰之一般要件第 84 條. 罰則
第九章 特殊處理情況之規範 (85-91)
第 85 條. 處理與言論及資訊自由第 86 條. 官方文件之處理與公眾接近使用第 87 條. 國民身分證字號之處理第 88 條. 僱傭關係下之處理第 89 條. 為實現公共利益、科學或歷史研究目的或統計目的所為 處理之保護措施及例外規定第 90 條. 保密義務第 91 條. 教會及宗教組織現存之資料保護規定
第十章 授權法及施行法 (92-93)
第 92 條. 授權之行使第 93 條. 執委會之程序
第十一章 最終條款 (94-95)
第 94 條. 歐盟指令第 95/46/EU 號之廢止第 95 條. 與歐盟指令第 2002/58/EC 號之關係第 96 條. 與已締結之協議之關係第 97 條. 執委會報告第 98 條. 對其他資料保護歐盟法案之審查第 99 條. 生效及適用
GDPR > 第 30 條. 處理活動之紀錄
Скачать в PDF

第 30 條 GDPR. 處理活動之紀錄

1. 任一控管者及控管者代表(如適用)應維護其負責之處理活動紀 錄。該紀錄應包含下列所有資訊:

(a) 控管者以及共同控管者(如適用)、控管者代表及資料保護員之 名稱及聯絡方式;

(b) 處理目的;

(c) 資料主體類型及個人資料類別之描述;

(d) 個人資料已對其或將對其揭露之接收者類型,包括第三國或國際 組織之接收者;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(d) GDPR:

7.5.4 Записи о раскрытии ПИИ третьим лицам

Средство управления

Организация должна регистрировать раскрытие ПИИ третьим сторонам, включая информацию о том, какая информация ПИИ была раскрыта, кому и в какое время.

Руководство по внедрению

ПИИ может быть раскрыта в ходе обычной работы. Эти раскрытия должны быть зарегистрированы.


для доступа к полному тексту

(e) 將個人資料移轉至第三國或國際組織(如適用),包括指明該第 三國或國際組織,且若係第 49 條第 1 項第 2 款所定之移轉者,適當 保護措施之書面文件;

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(e) GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).


для доступа к полному тексту

Связанные статьи

(f) 刪除不同類別之個人資料之預設時間上限(如可能);

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(1)(f) GDPR:

8.2.4 Возврат, передача или распоряжение ПИИ

Средство управления

Организация должна обеспечить возможность возврата, передачи и / или утилизации ПИИ безопасным способом. Она также должна сделать свою политику доступной для клиента.

Руководство по внедрению

В какой-то момент времени, может потребоваться избавление от ПИИ каким-либо образом, что может включать в себя возврат ПИИ клиенту, передачу его другой организации или контроллеру ПИИ (например, в результате слияния), удаление или иное уничтожение, де-идентификация или архивирование.


для доступа к полному тексту

(g) 第 32 條第 1 項所定科技化且有組織之安全措施之概述(如可 能);

Связанные статьи
Связанные статьи

2. 各處理者及處理者代表(如適用)應維護代表控管者所進行之所 有類別處理活動之紀錄,包括:

(a) 各控管者及代各控管者進行處理之一個或多個處理者及該各控管 者或處理者代表(如適用)及資料保護員之名稱及聯絡方式;

(b) 各控管者之代表所進行之處理類型;

(c) 將個人資料移轉至第三國或國際組織(如適用),包括指明該第 三國或國際組織,且若係第 49 條第 1 項第 2 款所定之移轉者,適當 保護措施之書面文件;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30(2)(c) GDPR:

8.5.2 Страны и организации, в которые ПИИ может передаваться

Средство управления

Организация должна указать и задокументировать страны и международные организации, в которые ПИИ могут передаваться.

Руководство по внедрению

Идентификационные данные стран и международных организаций, в которые ПИИ могут передаваться в ходе обычной работы, должны быть доведены до сведения клиентов.


для доступа к полному тексту

(d) 第 32 條第 1 項所定科技化且有組織之安全措施之概述(如可 能);

ISO 27701 Связанные статьи
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.

Here is the relevant paragraph to article 30(2)(d) GDPR:

6.12.1.2 Addressing security within supplier agreements

Implementation guidance

The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).


для доступа к полному тексту

Связанные статьи

3. 第 1 項及第 2 項所定紀錄應以書面為之,包括電子形式。

4. 控管者或處理者及控管者或處理者代表(如適用)應依監管機關之 要求提供紀錄。

5. 第 1 項及第 2 項所定義務不適用於員工人數低於 250 人以下之企 業或組織,除非其所為之處理會造成資料主體權利及自由之風險、非 偶然性之處理、或其處理包括第 9條第 1項所定特殊類型之個人資料、 或為第 10 條所定涉及前科及犯罪之個人資料。

Руководство и прецедентное право Связанные статьи
Руководство и прецедентное право Связанные статьи
通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Статья 30 довольно проста и дает нам очень прямые указания о том, какой документ должен быть создан и какая информация в нем должна быть. Часто достаточно создать обычную таблицу Excel, если количество ваших обработок не так велико. Однако если вы видите, что простая таблица уже недостаточно читабельна или не очень хорошо масштабируется, то для Реестра существуют также специализированные программные решения.

Зачастую обязанность вести Реестр деятельности по обработке может выглядеть как очередная бюрократическая процедура, которую GDPR требует только для того, чтобы сделать обработку персональных данных более сложной. Однако, мы предлагаем смотреть на это, как на важный инструмент и процесс не только потому что необходимо соответствовать Регламенту, но и для нас самих как для контролеров и/или процессоров.

Вот почему.

При планировании действий по соблюдению Регламента, компании часто склонны отдавать предпочтение внешне заметным шагам, таким как Политика Приватности, содержание баннеров о согласии и т.д. Ведь именно с этим сталкивается «внешний наблюдатель», и субъекты данных в частности. И несмотря на то, что в такой приоритезации много смысла, в стремлении составить идеальный текст Политики Приватности мы можем легко забыть о важности внутренней документации, такой как, например, Реестр деятельности по обработке. В этом случае мы теряем возможность очень простым способом получить четкое и понятное представление о том, какие персональные данные, почему и как обрабатываются в нашей компании. Очевидно, что стремление соблюсти Статью 30 также является большим стимулом для контроллеров и процессоров к созданию и ведению реестра. Но есть еще больше причин, почему GDPR посвящает ему отдельную статью и почему мы, как профессионалы в области приватности, рассматриваем его как полезный инструмент для самих контролеров и процессоров.


для доступа к полному тексту

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 30 GDPR:

7.2.8 Записи, связанные с обработкой ПИИ

Средство управления

Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.

Руководство по внедрению

Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация.


для доступа к полному тексту

Преамбулы

(13) 為確保歐盟境內對於當事人之保護程度一致,並防止差異性阻 礙了歐洲市場內個人資訊的自由流通,本規則有必要為業者(包括微 型及中小型企業)提供具法律確定性及透明度之規範,且為個人提供 在全部會員國境內對於控管者與處理者有相同程度之法律上可執行 的權利、義務及責任,以確保不同會員國之監管機關對於個人資料處 理之一致監控、等效制裁及有效合作。為使歐洲市場正常運作,個人資料於歐盟境內之自由流通不得以保護個人資料處理為由而予以限 制或禁止。慮及微型及中小型企業之具體情況,本規則就員工人數少 於 250 人之組織在記錄保存方面定有排除適用條款。此外,本規則鼓 勵歐盟組織及機構以及會員國及其監管機關,考量微型及中小型企業 在適用本規則時之具體需求。所謂微型及中小型企業之定義,應依據 執委會 2003 年公佈之第 2003/361/EC 號建議書附件第 2 條規定定之 [5]。

[5] Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (C(2003) 1422) (OJ L 124, 20.5.2003, p. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC

(39) 個人資料之任何處理應合法且公正。個人資料之蒐集、利用、 商議或其他處理應向當事人公開,且應及於該個人資料所處理或將處 理之程度。透明原則要求關於個人資料處理之任何資訊或聯繫應方便 取得、易於理解且應以清楚簡易之語言為之。透明原則尤其關注於向 資料主體公開控管者身分、其處理資料之目的及進一步資訊,用以確 保對於相關當事人為公正及透明之個人資料處理,並確保其得確認及 溝通其所被處理之個人資料之權利。當事人應獲告知有關個人資料處 理之風險、規範、保護措施及權利,以及其如何就該等處理行使其權 利。特別是,個人資料處理之特定目的應具明確性及合法性,且應於 蒐集個人資料時告確定。個人資料應適當、相關及限於其所受處理目 的之必要範圍內。尤須確保個人資料之儲存期間係在最小限度範圍內。 個人資料之處理唯有當其處理目的無法經由其他方式合理實現者始 得為之。為確保個人資料未遭留存至超過其所必要之期間,控管者應 設定個人資料銷毀之期限或定期確認之。各種合理措施應被採用以更 正或刪除不正確之個人資料。個人資料之處理應以確保其適當安全性 及保密性之方式為之,包括防止對個人資料及其處理過程所使用設備 之未經授權之接近或使用。

(82) 為證明遵循本規則,控管者或處理者應依其職責保留處理活動 之紀錄。各控管者及處理者應有義務配合監管機關並做成前開紀錄, 並依要求提供之,使處理活動受監控。

Руководство и прецедентное право Оставить комментарий
[js-disqus]