文章分类
有关数据隐私和保护的法律仅与为强制合规而采取的措施一样好。为了加强对企业的问责,GDPR 第 30 条引入了关于公司如何维护处理活动记录 (RoPA) 的新规则。
- 什么是 RoPA?
- 您熟悉最新的 GDPR 要求吗?
- 您的组织如何确保合规性?
我们将在此博客等中深入探讨所有这些问题。
什么是 RoPA?
GDPR 引入了新的条款和规则,为全球数据隐私设定了标准。 RoPA 只是确保企业遵守法规标准的一种方式。根据第 30 条,“每个控制者以及在适用的情况下,控制者的代表应保存其负责的处理活动的记录。”
将您的 RoPA 视为数据处理实践的快照。它是一个概述您企业所有数据处理活动的文档。处理活动的一些示例包括处理个人数据的 HR、营销或第三方活动。
虽然 GDPR 对大多数企业的法律要求保留处理活动的记录,但它也是自我审核的有用工具。维护和理解这些记录对于公司寻求识别处理风险至关重要。一旦你知道了风险,你就可以制定一个计划来减轻它们。
关于 RoPA 的常见问题解答:您需要了解的有关 GDPR 处理活动记录的所有信息
如果您想知道 RoPA 的含义,GDPR 可以回答您的所有问题。要消除任何混淆,请参阅第 30 条。处理活动记录指南将帮助您遵守当局的规定并在客户之间建立信任。
数据隐私合规新手?从这里开始:企业数据隐私 - 简介
谁需要维护 RoPA?
所有拥有超过 250 名员工的企业都必须保留处理活动的记录。您雇用的员工少于 250 人吗?不要停止阅读。
如果出现以下情况,您仍然需要维护 RoPA:
- 您的处理可能会对数据主体的权利和自由造成风险。
- 您经常处理数据。
- 您处理特殊类别的个人数据,包括种族、性别、性取向、宗教等。
- 您处理与刑事定罪和犯罪有关的个人数据。
使用这些基准,几乎每个组织都需要保留 RoPA。
格式化 RoPA 的最佳方法是什么?
GDPR 第 30 条要求书面记录,包括以电子形式编写的记录。电子记录是理想的,因为它们允许企业轻松添加、删除或修改信息。许多公司选择使用 Microsoft Excel 来维护他们的 RoPA。
不确定如何格式化您的报告?法国监管机构 Commission Nationale Informatique & Libertés 发布了 ODS 格式的 RoPA 示例。
RoPA 应包括哪些信息?
GDPR 在第 30 条中列出了维护 RoPA 的所有要求。数据控制者保存的处理活动记录应包括:
- 数据控制者的姓名和联系方式。
- 处理数据的目的。
- 数据主体的类别和个人数据的类型。
- 数据接收者的类别,包括已经收到用户数据的人和将来会收到用户数据的人。
- 将数据传输到第三国或国际组织。
- 擦除不同类别数据的时间限制。
- 技术和组织安全措施的一般描述。
此外,数据处理者必须代表为控制者处理的所有数据维护记录。该 RoPA 应包括:
- 每个处理者的姓名和联系方式,以及聘请他们处理数据的每个控制者的姓名和联系方式。
- 代表每个控制者执行的处理类别。
- 将数据传输到第三国或国际组织。
- 技术和组织安全措施的一般描述。
RoPA 应该易于阅读和简洁。不要用额外的信息混淆报告。
我应该多久更新一次记录?
为了遵守 GDPR 标准,您的组织必须使您的 RoPA 保持最新状态。每当您处理信息的程序发生变化时,您都应该更新您的处理活动记录。
您的企业可能会发现任命一名数据保护官 (DPO) 来领导您的 RoPA 程序很有帮助。这样做可以防止重复工作和意外遗漏。
谁需要查看记录?
第 30 条规定,法律要求保留 RoPA 的所有组织都应准备好应要求将记录提交给监管机构。在审计或数据泄露之后,监管机构可能会要求您提交额外的证据。其他信息可能包括同意记录、隐私政策、合同和其他相关数据。
使用数据发现跟踪您的 RoPA
维护您控制和处理的数据的可靠和准确记录是满足 RoPA 的 GDPR 要求的关键。在大多数组织中,信息分布在数十或数百个系统中,这使得数据映射几乎是不可能的任务。
Osano 的数据发现平台可检测、分类并将搜索功能应用于您在每个系统中的用户数据。这个由人工智能和机器学习驱动的平台可准确分类 70 多种个人身份信息 (PII),以节省时间并消除人为错误。立即注册演示或免费试用,了解 Data Discovery 如何简化合规性。
- 登录 发表评论