GDPR
>
제30조. 처리 활동의 기록
제30조 GDPR. 처리 활동의 기록
Article 30 GDPR. Records of processing activities
1. 각 컨트롤러와, 해당하는 경우, 그 컨트롤러의 대리인은 본인의 책임 하에 진행되는 처리 활동의 기록을 보존해야 한다. 해당 기록은 다음 각 호의 정보를 포함해야 한다.
1. Each controller and, where applicable, the controller’s representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information:
(a) 컨트롤러와, 해당하는 경우, 공동 컨트롤러, 컨트롤러의 대리인 및 데이터보호담당관의 이름 및 연락처
(a) the name and contact details of the controller and, where applicable, the joint controller, the controller’s representative and the data protection officer;
(c) 정보주체의 범주 및 개인정보의 범주에 대한 설명
(c) a description of the categories of data subjects and of the categories of personal data;
(e) 해당하는 경우, 제3국 및 국제기구의 신원 확인 등, 제3국 또는 국제기구로의 개인정보 이전 및 제49조(1)의 2호에 규정된 이전의 경우에는 적절한 안전조치에 대한 문서
(e) where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;
ISO 27701
Связанные статьи
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30(1)(e) GDPR:
7.5.1 Определить основание для передачи ПИИ между юрисдикциями
Средство управления
Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.
Руководство по внедрению
Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).
…
Войти
для доступа к полному тексту
(f) 가능한 경우, 각기 다른 범주의 정보를 삭제하는 데 예상되는 기한
(f) where possible, the envisaged time limits for erasure of the different categories of data;
ISO 27701
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30(1)(f) GDPR:
8.2.4 Возврат, передача или распоряжение ПИИ
Средство управления
Организация должна обеспечить возможность возврата, передачи и / или утилизации ПИИ безопасным способом. Она также должна сделать свою политику доступной для клиента.
Руководство по внедрению
В какой-то момент времени, может потребоваться избавление от ПИИ каким-либо образом, что может включать в себя возврат ПИИ клиенту, передачу его другой организации или контроллеру ПИИ (например, в результате слияния), удаление или иное уничтожение, де-идентификация или архивирование.
…
Войти
для доступа к полному тексту
2. 각 프로세서, 그리고 해당하는 경우 관련 프로세서의 대리인은 컨트롤러를 대신하여 수행하는 전 범주의 처리활동에 대한 기록을 보존해야 하며, 해당 기록은 다음 각 호의 정보를 포함해야 한다.
2. Each processor and, where applicable, the processor’s representative shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing:
(a) 관련 프로세서(들) 및 프로세서가 대행하는 각 컨트롤러의 이름과 연락처, 그리고 해당하는 경우, 컨트롤러와 프로세서의 대리인 및 데이터보호담당관의 이름과 연락처
(a) the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller’s or the processor’s representative, and the data protection officer;
(b) 각 컨트롤러를 대신하여 수행하는 처리의 범주
(b) the categories of processing carried out on behalf of each controller;
(c) 해당하는 경우, 제3국 및 국제기구의 신원 확인 등, 제3국 또는 국제기구로의 개인정보 이전 및 제49조(1)의 2호에 규정된 이전의 경우에는 적절한 안전조치에 대한 문서
(c) where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;
ISO 27701
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30(2)(c) GDPR:
8.5.2 Страны и организации, в которые ПИИ может передаваться
Средство управления
Организация должна указать и задокументировать страны и международные организации, в которые ПИИ могут передаваться.
Руководство по внедрению
Идентификационные данные стран и международных организаций, в которые ПИИ могут передаваться в ходе обычной работы, должны быть доведены до сведения клиентов.
…
Войти
для доступа к полному тексту
(d) 가능한 경우, 제32조(1)에 규정된 기술 및 관리적 안전조치에 대한 전반적인 설명
(d) where possible, a general description of the technical and organisational security measures referred to in Article 32(1).
ISO 27701
Связанные статьи
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.
Here is the relevant paragraph to article 30(2)(d) GDPR:
6.12.1.2 Addressing security within supplier agreements
Implementation guidance
The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).
…
Войти
для доступа к полному тексту
3. 제1항 및 제2항에 규정된 기록은 전자 양식 등, 서면으로 작성되어야 한다.
3. The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form.
4. 해당 컨트롤러와 프로세서, 그리고 해당하는 경우, 컨트롤러 또는 프로세서의 대리인은 요청이 있을 경우 감독기관에 기록을 제공해야 한다.
4. The controller or the processor and, where applicable, the controller’s or the processor’s representative, shall make the record available to the supervisory authority on request.
5. 제1항 및 제2항에 규정된 의무는 직원 250인 미만의 기업이나 조직에는 적용되지 않는다. 단, 해당 기업이 수행하는 처리가 정보주체의 권리와 자유에 위험을 초래할 것으로 예상되거나, 간헐적이지 않거나, 제9조(1)에 규정된 특정 범주의 개인정보를 포함하거나, 제10조에 규정된 범죄경력 및 범죄행위에 관련된 개인정보를 다루는 경우는 예외로 한다.
5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10.
유럽연합 일반 데이터 보호 규칙(EU GDPR)
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
General Data Protection Regulation (EU GDPR)
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.
Комментарий эксперта
ISO 27701
Преамбулы
Руководство и прецедентное право
Оставить комментарий
Статья 30 довольно проста и дает нам очень прямые указания о том, какой документ должен быть создан и какая информация в нем должна быть. Часто достаточно создать обычную таблицу Excel, если количество ваших обработок не так велико. Однако если вы видите, что простая таблица уже недостаточно читабельна или не очень хорошо масштабируется, то для Реестра существуют также специализированные программные решения.
Зачастую обязанность вести Реестр деятельности по обработке может выглядеть как очередная бюрократическая процедура, которую GDPR требует только для того, чтобы сделать обработку персональных данных более сложной. Однако, мы предлагаем смотреть на это, как на важный инструмент и процесс не только потому что необходимо соответствовать Регламенту, но и для нас самих как для контролеров и/или процессоров.
Вот почему.
При планировании действий по соблюдению Регламента, компании часто склонны отдавать предпочтение внешне заметным шагам, таким как Политика Приватности, содержание баннеров о согласии и т.д. Ведь именно с этим сталкивается «внешний наблюдатель», и субъекты данных в частности. И несмотря на то, что в такой приоритезации много смысла, в стремлении составить идеальный текст Политики Приватности мы можем легко забыть о важности внутренней документации, такой как, например, Реестр деятельности по обработке. В этом случае мы теряем возможность очень простым способом получить четкое и понятное представление о том, какие персональные данные, почему и как обрабатываются в нашей компании. Очевидно, что стремление соблюсти Статью 30 также является большим стимулом для контроллеров и процессоров к созданию и ведению реестра. Но есть еще больше причин, почему GDPR посвящает ему отдельную статью и почему мы, как профессионалы в области приватности, рассматриваем его как полезный инструмент для самих контролеров и процессоров.
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30 GDPR:
7.2.8 Записи, связанные с обработкой ПИИ
Средство управления
Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.
Руководство по внедрению
Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация.
…
Войти
для доступа к полному тексту
(13) 유럽연합 내에서 개인의 보호수준을 일관적으로 보장하고 역내 시장에서 개인정보의 자유로운 이동을 저해하는 회원국 간 차이를 방지하기 위하여, 본 규정은 영세, 중소기업 등 경제인에게 법적 확실성 및 투명성을 제공하고, 회원국의 개인에게는 동일한 수준의 법적으로 집행 가능한 권리를 제공하며, 컨트롤러와 프로세서에게는 의무와 책임을 부여하여 여러 회원국의 감독기관 간 효율적인 협력을 비롯하여 모든 회원국에서 개인정보 처리에 대한 일관적인 모니터링 및 동등한 제재를 보장하여야 한다. 역내시장이 적절하게 작동하기 위해서는 개인정보 처리와 관련한 개인의 보호와 연관된 이유로 유럽연합 내 개인정보의 자유로운 이동이 제한되거나 금지되지 않아야 한다. 영세 및 중소기업의 특정 상황을 고려하여, 본 규정은 기록보존과 관련된 250명 미만의 기관에 대한 적용의 일부제외를 두고 있다. 또한 유럽연합 산하기관 및 기구, 그리고 회원국 및 그 감독기관은 본 규정을 적용할 때 영세 및 중소기업의 특정한 니즈(needs)를 고려하도록 장려된다. 영세 및 중소기업의 개념은 위원회 권고 2003/361/EC에 대한 부록 제2조에 따라야 한다 [5].
(13) In order to ensure a consistent level of protection for natural persons throughout the Union and to prevent divergences hampering the free movement of personal data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide natural persons in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective cooperation between the supervisory authorities of different Member States. The proper functioning of the internal market requires that the free movement of personal data within the Union is not restricted or prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping. In addition, the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw from Article 2 of the Annex to Commission Recommendation 2003/361/EC [5].
[5] Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (C(2003) 1422) (OJ L 124, 20.5.2003, p. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC
[5] Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (C(2003) 1422) (OJ L 124, 20.5.2003, p. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC
(39) 모든 개인정보의 처리는 합법적이고 공정해야 한다. 본인과 관련된 개인정보가 수집, 이용, 참조되거나 기타 방식으로 처리된다는 사실, 그리고 그 개인정보가 처리되거나 처리될 범위를 해당 개인에게 투명하게 알려야 한다. 이러한 투명성 원칙은 개인정보 처리와 관련하여 행하는 정보 제공(information) 및 의사소통(communication) 일체가 용이하고 이해하기 쉬우며 명확하고 평이한 언어로 행해지도록 요구한다. 투명성 원칙은 정보주체에게 제공되는 컨트롤러의 신원과 처리 목적에 대한 정보 및 해당 개인에 대한 공정하고 투명한 처리를 보장하기 위한 추가 정보, 그리고 본인에 관해 처리 중인 개인정보를 확인하고 전달받을 수 있는 개인의 권리에 관련된다. 개인은 개인정보 처리와 관련한 위험성, 규칙, 안전징치와 권리 및 그 권리를 행사하는 방식에 대해서 인지할 수 있어야 한다. 특히 개인정보가 처리되는 특정한 목적은 명백하고 적법하여야 하고, 해당 개인정보의 수집 당시에 결정되어야 한다. 개인정보는 처리 목적에 적합하고, 관련되며 그에 필요한 정도로 제한되어야 한다. 이는 특히 개인정보의 보관기관이 최소한으로 제한되도록 요구한다. 개인정보는 처리 목적이 여타 수단에 의해서는 합리적으로 성취될 수 없는 경우에 한하여 처리 될 수 있다. 컨트롤러는 개인정보가 필요 이상으로 보관되지 않도록 기간을 정해 삭제 또는 주기적 검토가 이루어지도록 해야 한다. 모든 적정 조치를 취해 부정확한 개인정보가 수정 또는 삭제되도록 해야 한다. 개인정보는 개인정보 및 그 처리에 사용되는 장비에 무단으로 접근하거나 사용하는 것을 방지하는 등 적절한 안정과 기밀성을 보장하는 방식으로 처리되어야 한다.
(39) Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.
(82) 이 규정의 준수를 입증하기 위해, 컨트롤러 또는 프로세서는 책임을 갖고 처리 활동 기록을 관리해야 한다. 컨트롤러와 프로세서 각각은 감독기관과 협력할 의무를 지녀야 하며, 이러한 처리작업에 대한 모니터링을 하기 위해, 요청 시 해당 자료를 열람가능하게 해야한다.
(82) In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations.
(EN) Information Commissioner’s Office (ICO, Great Britain), Documentation template for controllers
Information Commissioner’s Office (ICO, Great Britain), Documentation template for processors
Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).
Information Commissioner’s Office (ICO, Great Britain), Data sharing: a code of practice (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
[js-disqus]
Url выделенного абзаца скопирован в буфер обмена
Подготовка PDF
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30(1)(d) GDPR:
7.5.4 Записи о раскрытии ПИИ третьим лицам
Средство управления
Организация должна регистрировать раскрытие ПИИ третьим сторонам, включая информацию о том, какая информация ПИИ была раскрыта, кому и в какое время.
Руководство по внедрению
ПИИ может быть раскрыта в ходе обычной работы. Эти раскрытия должны быть зарегистрированы.
…
Войти
для доступа к полному тексту