О чём эта статья
Статья 30 — реестр обработки. Обязательный документ, который каждый контролёр (с исключениями) должен вести и предоставлять DPA по запросу.
30(1) — Реестр контролёра
Каждый контролёр (и, если применимо, его представитель) ведёт реестр операций обработки под его ответственностью. Реестр должен содержать:
(a) имя и контактные данные контролёра, совместных контролёров, представителя, DPO; (b) цели обработки; (c) описание категорий субъектов данных и категорий персональных данных; (d) категории получателей, включая получателей в третьих странах; (e) при передаче в третью страну — идентификация страны и документация надлежащих гарантий; (f) где возможно — предполагаемые сроки удаления различных категорий данных; (g) где возможно — общее описание технических и организационных мер безопасности по Art. 32(1).
30(2) — Реестр обработчика
Каждый обработчик ведёт реестр всех категорий обработки от имени контролёра, содержащий:
- контакты обработчика и каждого контролёра, для которого он работает;
- категории обработки;
- передачи в третьи страны;
- общее описание мер безопасности.
30(3) — Форма
Реестры ведутся письменно, в том числе в электронной форме.
30(4) — Доступность для DPA
Контролёр и обработчик предоставляют реестр по запросу надзорного органа.
30(5) — Исключение для малых предприятий
Обязанность не применяется к предприятиям с менее чем 250 работниками, если только:
- обработка вероятно создаёт риск для прав и свобод субъектов,
- обработка не случайна,
- обработка включает особые категории данных или данные о судимостях.
Почему это важно
Реестр обработки — обязательный документ. При проверке DPA первым делом спрашивает: «Покажите ваш Art. 30 record». Его отсутствие — самостоятельное нарушение, штрафуемое до 2% оборота.
Для государственных сайтов исключение для малых предприятий обычно не применяется (категории Art. 9 в большом объёме). Все они обязаны вести реестр.