第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)
众所周知,无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR,第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力,第一份第29条工作组的指导意见——《对第2016/679号条例(GDPR)下同意的解释指南》的中文翻译前期已推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来。
译者前言
GDPR第30条第4款规定,控制者或者处理者(及其代表)应当按照监管机构的要求提供处理活动的记录。欧洲各国数据保护局都非常重视数据处理活动中的“记录”工作,甚至将其视为企业认真对待隐私之非常重要的一步。为什么对处理活动的记录和保存如此重要呢?
首先对数据处理活动进行记录,相当于企业建立了用户个人信息安全清单,知道企业的数据从哪些途径获得,又做了哪些手段的处理(比如是否做了脱敏,是否做了去标识化,是否做了加密,又是否做了标签化分类)?数据在流转的过程中去向了哪些部门,是保存在了组织的服务器还是受托方服务器?用户是否对其数据进行访问,还是被用户要求删除了,是被要求提供了副本,还是已经被更正或者被撤回同意后予以销毁?某些数据是否有传输到下游企业抑或者是流转到了境外?这些数据的动态变化,如果没有相应的记录,企业便无法准确跟踪和监控数据的流动路径,无法掌握数据流转全生命周期每一环节上的状态是否正常、数据是否受污染被篡改被窃取以及是否符合合规要求。
其次,企业在面对监管机构检查时,可以拿出自己对数据处理活动的记录册来展示已经实施了合规措施并严格遵照合规要求履行相关义务的手段。企业有责任和义务向监管机构和公众证明自己已经建构了完整的用户隐私保障机制并且恪守承诺遵守隐私政策与用户协议中批露的规程处理用户数据。直白说,企业的一举一动都需要有据可查。否则,即使企业做了再多工作,如何拿出证据来表明自己已经尽了最大努力去践行法规、政策的要求?企业合规义务与举证义务需要相互配合,相得益彰,这正是GDPR和我国个人信息安全规范语境下“归责原则”(Accountability)所要求的两个方面。
除此以外,对数据处理活动进行记录,也是对数据质量进行有效管理的方法之一。盘点和整合对企业具有核心竞争力并产生价值的数据资源,从而构建企业的数据资产非常关键。如果没有记录,将可能出现数据管理混乱,数据质量层次不齐,数据的收集、使用、传输、存储、共享等全生命周期各环节的规划存在不合理现象,难以建立全面、准确、完整地反映企业运营状况的数据地图,也无法在企业内部按照一个清晰有效的协调机制获得各部门的配合与支持,更无法辨别哪些是历史遗留的数据“包袱”哪些可以变成数据“金矿”,也无法最终转化为可变现的数据资产。
纵使记录工作是GDPR的强制义务,GDPR引言第13条和正文第30条第5款均规定:对数据处理活动的记录保存义务并不适用于雇佣少于250人企业或组织,除非该处理可能会(a)对数据主体的权利和自由造成风险;(b)或者该处理不是偶然的;(c)或者处理包括第9条第(1)款中所述的特殊类别数据或与第10条中所述的刑事定罪和犯罪有关的个人信息。
29条工作组《根据GDPR第30条第5款关于减轻处理活动保存记录义务的立场文件》再次解释和澄清了上述三种例外情形,并认为任何一类情况的单独发生都会触发对处理活动进行记录。
译者作为从事数据合规的中国律师,认为在我国,对处理活动进行记录亦是一种非常有用的手段,它有助于控制者或处理者对个人权利进行处理的风险进行事实评估。我国《个人信息安全规范》对个人信息的处理活动也有要求控制者进行记录与保存,虽然该义务没有被单独列为一个条目,但已经涵盖在每一环节(收集、使用、委托处理、共享、转让、公开披露、安全事件发生及应急处理以及审计情况)的控制者具体义务中。对于中小企业记录处理活动可以提供何等便利性,29条工作组的做法具有一定的参考意义。这份指南的翻译与分享也是希望和业界同行交流。因为水平所限,译文难免有不准确或错误之处,欢迎大家指正(请发邮件至mengjie@glo.com.cn)。
孟洁
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点