最新文章

·中国企业如何落实记录义务个人
·ldquo瑞rdquo意创新打
·被国外称为81式AK不经意的魔改
·暖心携程旅游CFO化身疫区ldquo
·美国申请加拿大旅游签证不到一
·天商bull疫情防控五一能旅游吗

推荐文章

  • 没有推荐文章

    • 热点文章

  • 没有热点文章
    • 所在的位置: 境外旅游 >> 境外旅游图片 >> 中国企业如何落实记录义务个人信息保护法

    中国企业如何落实记录义务个人信息保护法

    中国企业走出去的数据合规系列(一):如何分析GDPR是否适用:判断思路与步骤

    中国企业走出去的数据合规系列(二)——GDPR是否适用:典型案例速问速答

    中国企业走出去的数据合规系列(三):涉及欧盟跨境数据传输的判定思路与建议

    中国企业走出去的数据合规系列(四):细说欧盟数据保护官

    中国企业走出去的数据合规系列(五):细说欧盟境内代表人

    导言

    《个人信息保护法》第五十五条规定,个人信息处理者仅对特定的个人信息处理情况进行记录。而欧盟《通用数据保护条例》(又称“GDPR”)第三十条将处理活动的记录义务作为所有数据控制者和处理者及其代表人的普遍义务。

    事实上,记录处理活动是一个非常有用的合规手段,不仅有助于企业及时评估处理活动对个人权利的风险,建立、实施适当的数据合规体系来保护个人数据,还有助于企业向监管机构证明其实施并履行了有关数据保护的法律规定。

    然而GDPR与《个人信息保护法》项下的“记录义务”的概念内涵和范围并不一致,这导致中国企业出海欧洲时,履行记录义务时应当分别满足中国和欧盟数据保护相关法律的不同要求。本文结合《个人信息保护法》及其相关规定、GDPR的规定、年月GDPR第二十九条工作组(“WP9”)发布的《关于根据GDPR第三十条第(5)款处理活动记录义务的减损立场文件》(PositionpaperonthederogationsfromtheobligationtomaintainrecordsofprocessingactivitiespursuanttoArticle30(5)GDPR)、法国数据保护机构建议、比利时数据保护机关决定,针对“记录义务”的适用条件、责任主体、记录形式、记录内容、记录保存、记录的更新、违反记录义务的法律后果予以对比梳理,以期为中国企业出海欧洲建立跨境数据合规体系,关于如何分别落实中国和欧盟的记录义务予以指引。

    一、中国企业如何落实《个人信息保护法》规定的记录义务

    (一)何种情况下企业应当履行记录义务

    根据《个人信息保护法》第五十五条规定,“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录”。可见个人信息处理者仅针对特定的个人信息处理活动。《个人信息保护法》第五十五条列举了应当记录处理活动的情形:

    (一)处理敏感个人信息;

    (二)利用个人信息进行自动化决策;

    (三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

    (四)向境外提供个人信息;

    (五)其他对个人权益有重大影响的个人信息处理活动

    简而言之,个人信息处理者并非在任何情况下均承担记录义务,仅在《个人信息保护法》第55条列举的五种情形下应当承担记录的法定义务。但是实践中,我们推荐企业在能够承担的成本范围内,对除上述五种情形以外的其他数据处理活动,也根据实际情况对数据处理活动进行记录并保存,主要原因如下:

    1、符合《个人信息保护法》的责任原则

    《个人信息保护法》第九条规定,个人信息处理者应当对其个人信息处理活动负责。记录可以作为企业符合“责任原则”的手段,通过记录个人信息处理活动的方式对个人信息处理活动负责。

    、证明个人信息处理活动的合法性

    对个人信息处理活动的记录有助于证明个人信息处理活动符合法律、行政法规的要求,换言之,企业可以通过向监管机关提交个人信息处理活动的记录,来证明处理行为的合法性。

    3、有助于履行个人信息泄露等安全事故的补救和通知义务

    在发生个人信息泄露等安全事件时,对个人信息处理活动信息的记录可以有助于快速发现原因,立即采取相应的补救措施,查找相关责任人。另外,个人信息处理活动的记录也为日后避免类似情况出现提供了借鉴。

    (二)记录的责任主体

    承担记录义务的责任主体通常是个人信息处理者,但个人信息处理的受托人也可因其“协助个人信息处理者履行本法规定的义务”的要求(《个人信息保护法》第五十九条),成为实际实施记录动作的主体。

    (三)记录的形式和内容

    1、记录的形式

    《个人信息保护法》第五十五条并未对个人信息处理情况的记录义务明确要求,但根据《个人信息保护法》第六十三条[1]个人信息处理有义务协助、配合相关部门查阅复制相关资料的规定,我们可以认为记录应当以书面形式(可以采取纸质形式,也可以采取电子形式),否则无法依据法律规定加以保存,并在监管机关要求查阅复制时提供。

    、记录的内容

    《个人信息保护法》并未规定个人信息处理者对个人信息处理情况的记录应当包含哪些信息。但在《个人信息保护法》颁布前的国家标准《信息安全技术个人信息安全规范》(GB/T--00)第11.3条个人信息处理活动记录中有相关规定可以供企业参考:

    “个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括:

    a)所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得);

    b)根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;

    c)与个人信息处理活动各环节相关的信息系统、组织或人员。”

    需要提示的是,《个人信息保护法》出台后,国家标准中不符合法律规定将会被修改或删除,企业应当时时


    转载请注明:http://www.aierlanlan.com/cyrz/174.html

  • 上一篇文章:
    •   
  • 下一篇文章: 没有了