合规程序是出了名的苛刻, 以及欧盟通用数据保护条例(GDPR)合规计划也不例外. My 最近 杂志 article 强调了组织在试图满足GDPR要求时可能遇到的一些挑战,并介绍了组织可以采取的一系列步骤,以帮助他们完成GDPR合规之旅.
可以说, 其中一个重要的第一步是建立和维护组织所进行的处理活动的记录.1 这将有助于理解:
- 处理的个人资料类别
- 正在进行的处理的类别
- 个人数据在整个组织生态系统中的外部和内部流动
- 与处理相关的关键责任
- 与处理相关的风险
GDPR第30条要求组织, 控制器或处理器, 必须保存其负责的加工活动的适当记录. 因此, 如果您的组织对其负责的个人数据进行某些操作或一系列操作,则必须保存记录. 这可能包括收集客户人口统计信息, 记录员工个人信息或其他类型的操作.
你的记录必须是书面的, 包括电子表格, 并应监管机构的要求提供.
出于这些原因, 你的记录应该是最新的, 在任何时候都是完整和准确的,并以一种适合审查的形式.
如果你的组织雇员少于250人,保留记录的义务可能不适用. 但是,如果您的处理活动:
- 是否可能对数据主体的权利和自由造成风险. 因此, 如果您的客户记录存储在云服务提供商处, 例如, 这种形式的处理可能被视为一种风险.
- 不是偶然的. 这可能意味着一旦你的处理不是随机的或罕见的, 然后需要一个处理活动的记录.
- 包括特殊类别的数据, 例如显示种族或民族出身的个人资料, 政治观点, 宗教或哲学信仰, 或第9(1)条所指的其他特殊类别.
- 包括与第10条所述的刑事定罪和罪行有关的个人资料.
基于上述, 您的组织最好谨慎行事,并维护其处理活动的记录.
与记录细节相关的义务在控制者和处理者之间是不同的. 然而,其中常见的是维护的要求:
- 描述为尽量减少处理风险而采取的技术和组织安全措施
- 有关将个人资料转移至第三国或国际组织的详情
- 您所在组织的名称和联系方式, 或者其代表, 还有你的数据保护官
了解您的处理活动的范围将极大地帮助您的组织向前推进其GDPR合规计划.
请阅读柯兰•巴克莱最近的著作 杂志 文章:
“GDPR合规之路:克服合规障碍,” ISACA杂志, 2019年第1卷.
1 本文假设组织属于GDPR的范围. 要进一步讨论GDPR的范围,请 请看我的 杂志 article.
