查看原文
其他

第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

孟洁 网安寻路人 2020-02-26

众所周知,无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR,第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力,第一份第29条工作组的指导意见——《对第2016/679号条例(GDPR)下同意的解释指南》的中文翻译前期已推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来。




译者前言

 

GDPR第30条第4款规定,控制者或者处理者(及其代表)应当按照监管机构的要求提供处理活动的记录。欧洲各国数据保护局都非常重视数据处理活动中的“记录”工作,甚至将其视为企业认真对待隐私之非常重要的一步。为什么对处理活动的记录和保存如此重要呢?


首先对数据处理活动进行记录,相当于企业建立了用户个人信息安全清单,知道企业的数据从哪些途径获得,又做了哪些手段的处理(比如是否做了脱敏,是否做了去标识化,是否做了加密,又是否做了标签化分类)?数据在流转的过程中去向了哪些部门,是保存在了组织的服务器还是受托方服务器?用户是否对其数据进行访问,还是被用户要求删除了,是被要求提供了副本,还是已经被更正或者被撤回同意后予以销毁?某些数据是否有传输到下游企业抑或者是流转到了境外?这些数据的动态变化,如果没有相应的记录,企业便无法准确跟踪和监控数据的流动路径,无法掌握数据流转全生命周期每一环节上的状态是否正常、数据是否受污染被篡改被窃取以及是否符合合规要求。


其次,企业在面对监管机构检查时,可以拿出自己对数据处理活动的记录册来展示已经实施了合规措施并严格遵照合规要求履行相关义务的手段。企业有责任和义务向监管机构和公众证明自己已经建构了完整的用户隐私保障机制并且恪守承诺遵守隐私政策与用户协议中批露的规程处理用户数据。直白说,企业的一举一动都需要有据可查。否则,即使企业做了再多工作,如何拿出证据来表明自己已经尽了最大努力去践行法规、政策的要求?企业合规义务与举证义务需要相互配合,相得益彰,这正是GDPR和我国个人信息安全规范语境下“归责原则”(Accountability)所要求的两个方面。


除此以外,对数据处理活动进行记录,也是对数据质量进行有效管理的方法之一。盘点和整合对企业具有核心竞争力并产生价值的数据资源,从而构建企业的数据资产非常关键。如果没有记录,将可能出现数据管理混乱,数据质量层次不齐,数据的收集、使用、传输、存储、共享等全生命周期各环节的规划存在不合理现象,难以建立全面、准确、完整地反映企业运营状况的数据地图,也无法在企业内部按照一个清晰有效的协调机制获得各部门的配合与支持,更无法辨别哪些是历史遗留的数据“包袱”哪些可以变成数据“金矿”,也无法最终转化为可变现的数据资产。


纵使记录工作是GDPR的强制义务,GDPR引言第13条和正文第30条第5款均规定:对数据处理活动的记录保存义务并不适用于雇佣少于250人企业或组织,除非该处理可能会(a)对数据主体的权利和自由造成风险;(b)或者该处理不是偶然的;(c)或者处理包括第9条第(1)款中所述的特殊类别数据或与第10条中所述的刑事定罪和犯罪有关的个人信息。


29条工作组《根据GDPR第30条第5款关于减轻处理活动保存记录义务的立场文件》再次解释和澄清了上述三种例外情形,并认为任何一类情况的单独发生都会触发对处理活动进行记录。


译者作为从事数据合规的中国律师,认为在我国,对处理活动进行记录亦是一种非常有用的手段,它有助于控制者或处理者对个人权利进行处理的风险进行事实评估。我国《个人信息安全规范》对个人信息的处理活动也有要求控制者进行记录与保存,虽然该义务没有被单独列为一个条目,但已经涵盖在每一环节(收集、使用、委托处理、共享、转让、公开披露、安全事件发生及应急处理以及审计情况)的控制者具体义务中。对于中小企业记录处理活动可以提供何等便利性,29条工作组的做法具有一定的参考意义。这份指南的翻译与分享也是希望和业界同行交流。因为水平所限,译文难免有不准确或错误之处,欢迎大家指正(请发邮件至mengjie@glo.com.cn)。


                                                                                                                   孟洁





关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)


Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存