« 官邸 知的財産戦略本部 パブコメ 「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」 | Main | B7 東京サミット共同提言 »

2023.04.24

アイルランド データ保護局 GDPR第30条 取扱活動の記録についてのガイダンス

こんにちは、丸山満彦です。

アイルランドのデータ保護局が、GDPR第30条 取扱活動の記録についてのガイダンスを公表していますね。。。

⚫︎ An Coimisiún um Chosaint Sonraí

・2023.04 Records of Processing (Article 30) Guidance

Records of Processing (Article 30) Guidance 取扱活動の記録(第30条)のガイダンス
Article 30 of the General Data Protection Regulation (GDPR) requires Data Controllers to maintain a Record of Processing Activities (RoPA) under their responsibility. Article 30 GDPR prescribes the information the records must contain and states that controllers and processors must be in a position to provide such records to the Data Protection Commission (DPC) on request. The Records of Processing Activities (RoPA), as a measure to demonstrate compliance, is one of the means by which Data Controllers demonstrate and implement the principle of accountability as set out in Article 5(2) GDPR. A well drafted RoPA will demonstrate to the DPC that a Data Controller is aware of, and has considered the purpose of, all processing activities taking place within the organisation. 一般データ保護規則(GDPR)第30条は、データ管理者がその責任の下で取扱活動の記録(RoPA)を維持することを求めている。GDPR第30条では、記録が含まなければならない情報を規定し、管理者および処理者は、要求に応じてデータ保護委員会(DPC)に当該記録を提供できる状態になければならないとされている。コンプライアンスを実証する手段としての取扱活動記録(RoPA)は、データ管理者がGDPR第5条(2)に定める説明責任の原則を実証し、実施する手段の1つである。よく練られたRoPAは、データ管理者が組織内で行われるすべての処理活動の目的を認識し、検討していることをDPCに示すものである。
This guidance should assist controllers with compliance with Article 30 of the GDPR. このガイダンスは、GDPR第30条を遵守する管理者の助けとなるだろう。

 

・[PDF] Guidance Note: Records of Processing Activities (RoPA) under Article 30 GDPR

20230424-55049

 

Contents  目次 
Introduction  はじめに 
Article 30 - What is required  第30条 要求されること
 • Article 30(1)  ・第30条第1項
 • Article 30(2) ・第30条第2項
 • Article 30(3) ・第30条(3)
 • Article 30(4) ・第30条第4項
 Exemptions to Article 30: Small and Medium Enterprises  第30条の適用除外 中小企業 
Record of Processing Activities: 'Dos and Don'ts'  取扱活動の記録: 「やるべきこと、やってはいけないこと」
'Dos' for Organisations  組織のための「やるべきこと」。
 Break down the RoPA with reference to the different functions within the organisation   組織内のさまざまな機能を参照してRoPAを分解する。
 Use the RoPA as a tool to demonstrate compliance with the Accountability principle as set out in Article 5 GDPR   GDPR第5条に定めるアカウンタビリティ原則の遵守を証明するツールとしてRoPAを使用する。
 include relevant extra information as appropriate   適宜、関連する追加情報を含む 
 Gain buy-in across the organisation   組織全体の賛同を得る 
 Maintain a living document   生きた文書を維持する 
'Don'ts' for orgnanisation  組織にとっての「やってはいけない」こと 
 Neglect to update the RoPA   RoPAの更新を怠る
 Don't cut corners with detail and granularity   詳細と粒度の手抜きをしないこと 
 Don't maintain a RoPA that is not self-explanatory   自明でないRoPAを維持しないこと 
RoPAs for Smaller Organisations  小規模な組織のためのRoPA 
Records of Processing Activities Examples  取扱活動の記録例 
INTRODUCTION  はじめに 
Article 30 of the General Data Protection Regulation (GDPR) requires Data Controllers to maintain a Record of Processing Activities (RoPA) under their responsibility. The GDPR also requires Data Processors to maintain a record of all categories of processing activities carried out on behalf of each Data Controller they work with. Article 30 GDPR prescribes the information the records must contain and states that controllers and processors must be in a position to provide such records to the Data Protection Commission (DPC) on request. The Records of Processing Activities (RoPA), as a measure to demonstrate compliance, is one of the means by which Data Controllers demonstrate and implement the principle of accountability as set out in Article 5(2) GDPR. A  well drafted RoPA will demonstrate to the DPC that a Data Controller is aware of, and has considered the purpose of, all processing activities taking place within the organisation. The RoPA should also demonstrate that the Data Controller has considered the implications of the processing of the personal data, the specific and limited personal data required for each activity, and the particularities of managing the security and retention of the personal data to be processed.  一般データ保護規則(GDPR)第30条では、データ管理者がその責任の下で取扱活動の記録(RoPA)を維持することを求めている。また、GDPRは、データ取扱者に対し、連携する各データ管理者に代わって実施されるすべてのカテゴリーの取扱活動の記録を保持するよう求めている。GDPR第30条では、記録が含むべき情報を規定し、管理者と取扱者は、要求に応じてデータ保護委員会(DPC)に当該記録を提供できる状態になければならない。コンプライアンスを実証する手段としての取扱活動記録(RoPA)は、データ管理者がGDPR第5条(2)に定める説明責任の原則を実証し、実施する手段の1つである。よく練られたRoPAは、データ管理者が組織内で行われるすべての取扱活動の目的を認識し、検討していることをDPCに示すものである。また、RoPAは、データ管理者が個人データの取扱の意味、各活動に必要な特定かつ限定された個人データ、取扱される個人データのセキュリティと保持を管理する特殊性を考慮したことを示す必要がある。
By way of other legislation on Records of Processing Activities, Article 24 of the Law Enforcement Directive (LED) and Section 81 of the Data Protection Act 2018 also require the maintenance of records of processing activities carried out under the LED, and prescribe the specific information such records must contain.   取扱活動の記録に関する他の法律により、法執行指令(LED)の第24条およびデータ保護法2018の第81条も、LEDの下で実施される取扱活動の記録の維持を要求し、当該記録が含むべき特定の情報を規定している。 
Article 57 GDPR details the ‘tasks’ to be performed by the DPC in relation to the GDPR. These tasks include creating awareness with data controllers and processors of their obligations. The DPC is also tasked with monitoring and enforcing the application of the GDPR. It was with these obligations in mind  that in early 2022 the DPC conducted a ‘sweep’ of the Records of Processing Activities of thirty organisation, across both the public and private sectors, to identify common issues arising and possible shortcomings in respect of the drafting and maintenance of RoPAs held by organisations. As part of the sweep, the DPC requested that organisations of various sizes, in both the public and private sector, send their RoPA to the DPC for review . As a result of the sweep, the findings made on examination of the RoPAs and the analysis of those findings, the DPC has drafted the below guidance. This guidance has been drafted to assist organisations in complying with their Article 30 obligations. Particular emphasis is placed on the positive practices identified over the course of the sweep.  GDPR第57条は、GDPRに関連してDPCが行うべき「タスク」を詳述している。これらの任務には、データ管理者および取扱者の義務に関する認識を高めることが含まれる。また、DPCは、GDPRの適用を監視し、実施することも任務としている。このような義務を念頭に置いて、DPCは2022年初頭、官民を問わず30組織の取扱活動記録の「掃討」を行い、組織が保有するRoPAの起草と維持に関して生じる共通の問題や考えられる欠点を特定したのである。この調査の一環として、DPCは、官民を問わず様々な規模の組織に対し、RoPAをDPCに送付し、レビューしてもらうよう要請した。掃討作戦の結果、RoPAを調査した結果、DPCは以下のガイダンスを起草した。このガイダンスは、組織が第30条の義務を遵守することを支援するために作成されたものである。特に、調査期間中に確認されたポジティブな慣行に重点を置いている。
Shortcomings which were identified have also been highlighted, to assist organisations as to ‘What Not to Do’.   また、「やってはいけないこと」として組織を支援するために、識別された欠点も強調されている。 
Article 30 - What is required  第30条 要求されること
Article 30 of the GDPR places an obligation on controllers and processors to have in place within their organisations a detailed record which accurately identifies the activities the organisation carries out which use personal data. Failure to identify all relevant processing activities may result in personal data being processed in a way that is not in compliance with the GDPR. It may also mean that appropriate technical and organisational measures to protect the personal data being controlled or processed by an organisation are not put in place.  GDPR第30条は、管理者と取扱者に対し、個人データを使用する組織の活動を正確に特定する詳細な記録を組織内に設置する義務を課している。関連するすべての取扱活動を特定できない場合、GDPRに準拠しない方法で個人データが取扱される可能性がある。また、組織が管理または取扱する個人データを保護するための適切な技術的および組織的な措置が講じられていないことを意味する場合もある。
• Article 30(1) GDPR provides that all organisations that process personal data, either as a data controller or as their representative, shall maintain a record of the processing activities under its responsibility.  Article 30(1) prescribes that this record must contain all of the following:  ・第30条1項GDPRは、データ管理者またはその代理人として個人データを取扱するすべての組織が、その責任の下で取扱活動の記録を保持することを規定している。 第30条(1)は、この記録には以下のすべてを含まなければならないと規定している: 
a) The name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the Data Protection Officer (DPO);  a) 管理者、場合によっては共同管理者、管理者の代表者及びデータ保護責任者(DPO)の氏名及び連絡先; 
b) The purposes of the processing;  b) 取扱の目的; 
Ø Why the organisation is using the personal data in question, for example,  for the purposes of payroll management.  Ø 組織が当該個人データを使用する理由、例えば、給与管理の目的など。
c) A description of the categories of data subjects and of the categories of personal data;  c) データ主体のカテゴリおよび個人データのカテゴリの説明; 
Ø For example, both employees and clients of an organisation are examples of categories of data subjects .  Ø 例えば、組織の従業員と顧客の両方が、データ主体のカテゴリーの例である。
Ø Categories of personal data include contact details, previous employment history, and the health records of employees.  Ø 個人データのカテゴリーには、連絡先の詳細、過去の職歴、従業員の健康記録などがある。
d) The categories of recipients to whom the personal data have been, or will be disclosed, including recipients in third countries or international organisations;  d) 個人データが開示された、または開示される予定の受領者(第三国または国際機関の受領者を含む)の分類; 
Ø By way of example, this would include an external HR company subcontracted to deal with an internal HR matter.  Ø 例として、社内の人事問題に対処するために下請けされた外部の人事会社が含まれる。
e) Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;   e) 該当する場合、第三国または国際組織への個人データの移転(当該第三国または国際組織の特定、および第49条(1)第2項に言及する移転の場合、適切な保護措置の文書化を含む); 
Ø This would include the transfer of information to an international organisation such as an international NGO or to a processor based outside of the European Economic Area (EEA).  Ø これには、国際NGOなどの国際組織や欧州経済領域(EEA)外に拠点を置く取扱業者への情報の移転が含まれる。
f) Where possible, the envisaged time limits for erasure of the different categories of data;  f) 可能な場合、異なる種類のデータの消去のための想定される期限; 
Ø This is likely to be organisation dependant and may be set by statute, internal policies, industry guidelines or a combination of all three.  Ø これは組織に依存する可能性が高く、法令、内部方針、業界ガイドライン、またはこれら 3 つの組み合わせによって設定される可能性がある。
g) Where possible, a general description of the technical and organisational security measures referred to in Article 32(1);  g) 可能であれば、第32条(1)で言及された技術的及び組織的なセキュリティ対策の一般的な説明書; 
Ø This may include, for example, the encryption of records, access controls and staff training.   Ø これには、例えば、記録の暗号化、アクセス制御、スタッフのトレーニングが含まれる。 
• Article 30(2) GDPR details the records of processing which must be maintained by data processors or their representatives. This includes that a processor’s representative must maintain a record of all categories of processing activities carried out on behalf of a controller, containing;  ・GDPR第30条(2)では、データ取扱者またはその代理人が維持しなければならない取扱の記録について詳述している。これには、取扱者の代理人は、管理者に代わって実施されるすべてのカテゴリーの取扱活動について、以下を含む記録を維持しなければならないことが含まれる; 
a) The name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller’s or the processor’s representative, and the data protection officer;  a) 取扱者または取扱者、および取扱者が代行する各管理者の名前と連絡先、および該当する場合は管理者または取扱者の代表者、データ保護責任者の名前; 
b) The categories of processing carried out on behalf of each controller;  b) 各管理者に代わって実施される取扱のカテゴリー; 
c) Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;  c) 該当する場合、第三国または国際機関への個人データの移転。当該第三国または国際機関の特定、および第49条第1項第2号に言及する移転の場合、適切な保護措置の文書化を含む; 
Where possible, a general description of the technical and organisational security measures referred to in Article 32(1).  可能な場合、第32条(1)で言及された技術的及び組織的なセキュリティ対策の一般的な説明。
• Article 30(3) GDPR requires the controller to maintain the records prescribed by Article 30 ‘in writing, including in electronic form’.    ・GDPR第30条(3)は、管理者に対し、第30条に規定される記録を「電子形式を含む書面で」維持することを要求している。  
• Article 30(4) GDPR requires the controller to make the record available to the supervisory authority (the DPC) on request.   ・GDPR第30条(4)は、管理者に、要求に応じて監督当局(DPC)が記録を利用できるようにすることを要求している。 
Exemptions to Article 30: Small and Medium Enterprises  第30条の適用除外 中小企業 
• Article 30(5) GDPR provides for certain circumstances where the obligations set out in Article 30(1)-30(4) GDPR do not apply. A derogation, or exemption, to the obligations applies in circumstances where an organisation employs fewer than 250 persons. However this derogation does not apply to processing which constitutes any of the following:  ・GDPR第30条5項は、GDPR第30条(1)~(4)に定める義務が適用されない特定の状況について規定している。組織が250人未満の従業員を雇用している場合、この義務の免除が適用される。ただし、この免除は、以下のいずれかに該当する取扱には適用されない: 
a) Processing that is likely to result in a risk (and not just a high risk) to the rights and freedoms of data subjects. By way of example, this would include the processing of mortgage applications, the use of artificial intelligence, and the tracking of an individual’s location.  a) データ主体の権利と自由に対するリスク(高いリスクだけではない)をもたらす可能性のある取扱。例として、住宅ローン申請の取扱、人工知能の使用、個人の位置情報の追跡などが挙げられる。
b) Processing that is not occasional, such as HR  or pay related processing for employees or  b) 臨時ではない取扱、例えば、従業員の人事や給与に関する取扱や 
c) Processing that includes special categories of data or personal data relating to criminal convictions and offences. This would include Garda vetting, trade union membership, or biometric data processing.  c) 特別な種類のデータ、または犯罪歴および犯罪に関連する個人データを含む取扱。これには、Garda の審査、労働組合への加入、またはバイオメトリックデータ取扱などが含まれる。
• The occurrence of any one of these forms of processing triggers the obligation to maintain a Record of Processing Activities, however this obligation is only in respect of the particular type of processing that does not fall within the scope of the derogation.  For further information on the applicability of Article 30 GDPR, the DPC refers Data Controllers and Processors to the Article 29 Working Party position paper on Article 30(5) which has been endorsed by the European Data Protection Board. This position paper is available here.  ・これらの取扱形態のいずれかが発生した場合、取扱活動の記録を保持する義務が生じるが、この義務は、適用除外の範囲に含まれない特定の種類の取扱に関してのみ生じる。 GDPR第30条の適用に関する詳細については、DPCはデータ管理者および取扱者に、欧州データ保護委員会によって承認された第30条5項に関する29条作業部会のポジションペーパーを参照している。このポジションペーパーは、ここで入手可能である。
Record of Processing Activities: 'Dos and Don'ts'  取扱活動の記録: 「やるべきこと、やってはいけないこと」
'Dos' for Organisations  組織のための「やるべきこと」。
Break down the RoPA with reference to the different functions within the organisation  組織内のさまざまな機能を参照してRoPAを分解する。
RoPAs should be clearly broken down and detailed according to the different business units or functions within an organisation, such as HR, finance or marketing. This helps ensure that no processing activities are accidentally omitted when completing the RoPA.  It is suggested that this can be achieved by creating separate tables or spreadsheets for each business unit within an overall RoPA document or system.   RoPAは、人事、財務、マーケティングなど、組織内の異なるビジネスユニットや機能に応じて明確に分解し、詳細に記述する必要がある。これにより、RoPAの記入時に取扱活動が誤って省略されることがないようにすることができます。 これは、RoPA 文書またはシステム全体の中で、各ビジネスユニットごとに個別の表またはスプレッ ドシートを作成することによって達成できることが示唆される。 
•  It is advised that a data mapping exercise should be done by organisations to clarify what data organisations hold and where. Relevant units across the organisation should be involved in this process to again ensure that nothing is omitted.  ・組織がどのようなデータをどこで保有しているかを明確にするために、組織でデータマッピングを実施することが推奨される。このプロセスには、組織内の関連部門が参加し、漏れがないことを再度確認する必要がある。
Ø For example, controllers could start with a common business function such as HR. This business function is likely to have several different purposes for processing, with each purpose involving different categories of individuals (for example employees, contractors and interns) and with each individual having several categories of personal data (such as health and safety information, sick leave, payroll details).  Ø 例えば、管理者は、HRのような共通のビジネス機能から始めることができる。この業務機能には、複数の異なる取扱目的があり、それぞれの目的には異なる個人区分(従業員、契約社員、インターンなど)が含まれ、各個人には複数の個人区分(健康・安全情報、病気休暇、給与明細など)があると思われる。
Ø It is recommended that processors start with each controller they are processing data for, and then the breakdown of the different categories of personal data they are processing for each controller.  Ø 取扱者は、まず自分がデータ取扱をしている管理者ごとに、次に各管理者のために取扱している個人データの異なるカテゴリの内訳を説明することを推奨する。
By way of example of good practice, although the DPC is not saying a RoPA should be done in this matter, in the sweep conducted by the DPC it found that some organisations include every business area of the organisation in the RoPA to ensure accuracy and to ensure that no unit or function is omitted. This was the case even if some business areas conducted no processing of personal data. By way of a further example of good practice, although not suitable for every organisation, the DPC found that some organisations appear to find it beneficial to break the RoPA down by various different business locations, where more than one office or branch of the organisation exists.   グッドプラクティスの例として、DPCはこの件に関してRoPAを行うべきとは言っていませんが、DPCが行った調査では、正確性を確保し、単位や機能の漏れがないように、組織のすべてのビジネスエリアをRoPAに含めている組織があることがわかった。これは、たとえ個人データの取扱を行わないビジネスエリアがあったとしても同様である。また、すべての組織に当てはまるわけではないが、グッドプラクティスの一例として、DPCは、組織の事務所や支店が複数ある場合、RoPAをさまざまな事業所ごとに分けることが有益であると考える組織があることを発見した。 
Use the RoPA as a tool to demonstrate compliance with the Accountability  説明責任への準拠を証明するツールとしてRoPAを使用する。
principle as set out in Article 5 GDPR  GDPR第5条に規定される原則 
RoPAs should ensure to include granular and meaningful information. This means that RoPAs should go into specific detail for each category of data subject, category of personal data or processing activity.  RoPAは、粒状で意味のある情報を含むことを保証すべきである。つまり、RoPAは、データ主体のカテゴリー、個人データのカテゴリー、取扱活動ごとに具体的に詳しく説明する必要がある。
•  For example, retention periods are likely to differ depending on the category of data in question and the RoPA should reflect the retention period for each specific category.  ・例えば、保持期間は問題のあるデータのカテゴリーによって異なる可能性が高く、RoPAは特定のカテゴリーごとの保持期間を反映する必要がある。
Include relevant extra information as appropriate  適宜、関連する追加情報を含める 
The DPC identified in the sweep that many organisations include in their RoPA helpful extra information not explicitly listed in Article 30, for example:  DPCは、多くの組織がRoPAに、第30条に明示的に記載されていない有用な追加情報を含めていることを一斉に確認した: 例えば
• The Article 6 legal basis for processing  ・取扱の第6条法的根拠
• The Article 9 basis for the processing of special category data  ・特別なカテゴリーデータの取扱に関する第9条の根拠
• Whether a breach has occurred in respect of a particular processing activity  ・特定の取扱活動に関して違反が発生したかどうか
• The transfer mechanism relied upon when listing third country transfers, and  ・第三国転送をリストアップする際に依拠した転送メカニズムおよび
• Risk ratings the organisation may have assigned to each processing activity.  ・組織が各取扱活動に割り当てた可能性のあるリスク評価。
While including this information is helpful, the specific prescribed information as set out in Article 30 should never be overlooked.   このような情報を含めることは有益であるが、第30条に規定された特定の規定情報を決して見逃してはならない。 
It is advised that organisations specifically state which information has been prescribed by Article 30, and which information has been included as a ‘helpful extra’. This is to assist if different business areas and employees are inputting into the RoPA so that it will be obvious to a new reader which information is mandatory, and which information has been added to the RoPA as an additional extra. It is strongly advised that the prescribed information as detailed in Article 30 should not be buried or difficult to find in the RoPA document, or in any other document that an organisation may be using to satisfy the Article 30 requirements. For further information on this, see point three of the ‘Don’ts’ list below.  組織は、第30条で規定された情報と、「役に立つ追加情報」として含まれる情報を具体的に記載することを推奨する。これは、異なる事業分野や従業員がRoPAに入力する場合、どの情報が必須で、どの情報が追加事項としてRoPAに追加されたかが、初めて読む人にとって明白になるようにするためである。RoPA文書や、組織が第30条の要件を満たすために使用している他の文書において、第30条に詳述されている所定の情報が埋もれていたり、見つけにくかったりしないようにすることが強く推奨される。これに関する詳細は、以下の「してはいけないこと」リストのポイント3を参照すること。
Gain buy-in across the organisation  組織全体の賛同を得る 
The RoPA is an obligation which the data controller as a whole should be responsible for. It is recommended that the responsibility for completing the RoPA should not rest solely with the DPO. If it is solely an organisation’s DPO preparing and maintaining the RoPA there is the potential  processing activities may be missed, or that the RoPA will become a tick box compliance exercise. The DPC would suggest that the process can be led by the DPO with different areas of the organisation feeding into the process. There are different ways organisations can successfully gain buy-in from different areas of their organisation when completing the RoPA. The following are a number of suggestions of how to do so:  RoPAは、データ管理者全体が責任を持つべき義務である。RoPAを完成させる責任をDPOだけに負わせないことが推奨される。組織のDPOのみがRoPAを作成・管理する場合、取扱活動が見逃される可能性があり、またRoPAがチェックボックス式のコンプライアンスになる可能性がある。DPCは、このプロセスをDPOが主導し、組織のさまざまな領域がプロセスに参加することを提案する。RoPAを完了する際に、組織が組織のさまざまな領域から賛同を得るには、さまざまな方法がある。以下は、その方法に関するいくつかの提案である: 
• An organisation could internally set specific RoPA review dates, and request all sections of the organisation participate in the review. It may be helpful to be strategic in scheduling this review date at a time where there is likely to be capacity within the organisation to give the task of reviewing the RoPA due attention, for example, not in a busy period such as the run up to Christmas. ・組織内で特定のRoPAレビュー日を設定し、組織内のすべてのセクションがレビューに参加するように要求することができる。例えば、クリスマス前のような忙しい時期ではなく、組織内でRoPAのレビュー作業に十分な注意を払えるキャパシティがありそうな時期に、このレビュー日を戦略的に設定することが有効かもしれない。
• The DPC found that some organisations find it helpful to include definitions, or guidance and explanation sections in the RoPA document which can be used for reference, for example setting out typical examples of processing activities, categories or recipients, for that particular organisation. This helps members of the organisation who may not work closely with data protection issues to accurately provide the information required for the RoPA. ・DPCは、RoPA文書に、例えば、特定の組織における取扱活動、カテゴリー、または受領者の典型的な例を示すなど、参照に使用できる定義、またはガイダンスと説明のセクションを含めることが有益であると考える組織があることを発見した。これにより、データ保護の問題に密接に関与していない組織のメンバーが、RoPA に必要な情報を正確に提供することができる。
• Organisations should specifically set out the process owners- that is, who within each business function is responsible for maintaining the information required by Article 30 and who is responsible for centrally collating the document. ・組織は、プロセスの所有者、すなわち、各業務機能の誰が第30条で要求される情報の維持に責任を持ち、誰がその文書を集中的に照合する責任を持つかを明確に定めるべきである。
• Drop down menus can be used to ensure that a uniform, cohesive RoPA document is maintained. However free text fields should also be included for each processing activity to record nuanced information that may only be relevant to one particular processing activity. ・ドロップダウンメニューは、統一されたまとまりのあるRoPA文書が維持されるように使用することができる。しかし、特定の取扱活動にのみ関連する可能性のある微妙な情報を記録するために、取扱活動ごとにフリーテキストフィールドも含めるべきである。
Maintain a living document  生きた文書を維持する 
The RoPA should be a living, dynamic, document, which is continuously updated to reflect the current position of the organisation at all times with regard to their processing of personal data. To achieve this the following steps are recommended;  RoPAは、生きた、動的な、文書であるべきであり、個人データの取扱に関する組織の現在の立場を常に反映するように継続的に更新される。これを達成するために、以下のステップを推奨する; 
• To this end, it is likely an electronic (rather than paper based) RoPA will be more suitable for the majority of organisations, so that it can be edited and saved easily. ・そのためには、編集や保存が簡単にできるように、(紙ベースではなく)電子版のRoPAが大多数の組織に適していると思われる。
• As part of employee training, business units should be aware that new products or services that require the processing of personal data should be added to the RoPA as they are rolled out. ・従業員教育の一環として、事業部門は、個人データの取扱を必要とする新しい製品またはサービスが展開される際に、RoPAに追加する必要があることを認識する必要がある。
• It is recommended that processing activities no longer taking place are marked as such or removed from the live RoPA. However, maintenance of an archive of ・もはや行われていない取扱活動は、そのようにマークされるか、ライブのRoPAから削除されることが推奨される。ただし、個人情報のアーカイブを維持することは
obsolete processing activities should be kept for accountability purposes if removal is the preferred option within the organisation.  組織内で削除が好ましい選択肢である場合、廃止された取扱活動は、説明責任のために保管されるべきである。
‘Don’ts’ for Organisations  組織にとっての「やってはいけない」こと 
Neglect to update the RoPA  RoPAの更新を怠る
As stated in the ‘Dos’ section above, the RoPA should be maintained as a living and dynamic  document. The DPC found that in the course of the sweep conducted some organisations found it challenging to provide a copy of their RoPA within the ten day period requested by the DPC. Some organisations did not meet the deadline given. As stated above, the RoPA should be maintained sufficiently such that it is ‘ready to go’ at any time.  上記の「やってはいけないこと」のセクションで述べたように、RoPAは生きた動的な文書として維持されるべきである。DPCが実施した調査の過程で、DPCが要求した10日以内にRoPAのコピーを提供することが困難な組織があることが判明した。また、期限を守らない組織もあった。上記のように、RoPAはいつでも「すぐに使える」ように十分な整備が必要である。
• The obligation under Article 30 is to ‘maintain’ a record of processing and ‘make the record available to the supervisory authority on request’; therefore, the DPC advises that ten days should be sufficient notice for any organisation in all circumstances. ・第30条に基づく義務は、取扱の記録を「維持」し、「要求に応じて監督当局に記録を提供する」ことである。したがって、DPCは、あらゆる状況において、どの組織にとっても10日間が十分な通知となるはずだとアドバイスしている。
• Organisations should note that the DPC may carry out similar compliance sweeps in the future. The DPC may also request the RoPA from a controller as part of other regulatory activities being carried out, including but not limited to, breach notification management, complaint handling, Inquiries and investigations. ・組織は、DPCが将来的に同様のコンプライアンス・スイープを実施する可能性があることに留意する必要がある。また、DPCは、違反通知管理、苦情取扱、照会および調査など、実施中の他の規制活動の一環として、管理者にRoPAを要求する場合がある。
• Failure to have such documentation to hand could be considered as non-compliance with the GDPR. ・このような文書が手元にない場合、GDPRの不遵守とみなされる可能性がある。
Ø It should be noted that providing the DPC with RoPA templates or a ‘sample’ of the RoPA is not sufficient, as the requirement under Article 30 is to make the actual RoPA maintained available to the supervisory authority on request. Ø 第30条の要件は、維持されている実際のRoPAを監督当局の要求に応じて利用可能にすることであるため、DPCにRoPAテンプレートまたはRoPAの「サンプル」を提供するだけでは十分ではないことに留意する必要がある。
• RoPAs should not refer to out of date or expired information, for example referring to the Privacy Shield as the mechanism for the transfer of personal data to the US. ・RoPAは、例えば、米国への個人データ移転の仕組みとしてプライバシーシールドに言及するなど、古くなった情報や期限切れの情報を参照すべきではない。
Don’t cut corners with detail and granularity  詳細と粒度の手抜きをしないこと 
The DPC identified as part of its sweep that some organisations’ RoPAs are not adequately detailed or granular. By way of examples drawn from RoPAs received:  DPCは、その調査の一環として、一部の組織のRoPAが十分に詳細でないことを確認した。受け取ったRoPAから抜粋した例を挙げる: 
• In response to the requirement to list ‘categories of personal data’ the DPC received responses to this category which stated ‘personal data’, ‘personally identifiable information’ and ‘responses to questions’. These responses are unequivocally not sufficient in terms of describing what information is actually collected by an organisation and needed to be significantly further particularised.  ・個人データの種類」を記載するという要求に対して、DPCは「個人データ」「個人を特定できる情報」「質問に対する回答」と記載された回答を受け取った。これらの回答は、組織で実際に収集される情報を記述するという点では明らかに不十分であり、さらに大幅に特定する必要があった。
• In response to the requirement to list ‘technical and organisational security measures’ an organisation stated ‘measures are in place that ensure appropriate security’ or ‘appropriate security’. Again this detail is insufficient. The GDPR states that where possible, a general description of the technical and organisational security measures in place in an organisation should be included. The DPC has noticed a trend that technical and organisational security measures are often not described in detail in many organisations’ RoPAs.  It is recommended that organisations should give a general description of what technical and organisational measures are in place in their RoPA. ・技術的および組織的なセキュリティ対策」を記載するという要求に対して、ある組織は「適切なセキュリティを確保するための対策が講じられている」あるいは「適切なセキュリティ」と述べている。この詳細もまた不十分である。GDPRは、可能な限り、組織で実施されている技術的および組織的なセキュリティ対策の一般的な説明を含めるべきであると述べている。DPCは、多くの組織のRoPAにおいて、技術的および組織的なセキュリティ対策が詳細に記述されていないことが多いという傾向に気付きました。 組織は、RoPAにおいて、どのような技術的・組織的な対策がとられているか、一般的な説明を行うことが推奨される。
Don’t maintain RoPA that is not self-explanatory  自明でないRoPAを維持しないこと 
In order to be fit for purpose, the RoPA provided to the DPC needs to be a complete, self-contained document clearly listing all information as required by Article 30. RoPAs must be self-explanatory.  目的に適合するためには、DPCに提供されるRoPAは、第30条で要求されるすべての情報を明確に記載した完全で自己完結した文書である必要がある。RoPAは、自明でなければならない。
Recital 82 GDPR states:  GDPRの解説82には、次のように記載されている: 
…in order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations.  ...本規則の遵守を証明するために、管理者または取扱者は、その責任の下で取扱活動の記録を保持する必要がある。各管理者および取扱者は、監督当局に協力し、要求に応じてこれらの記録を監督当局に提供し、取扱業務の監視に役立つようにする義務がある。
The following practices should be avoided:  以下の慣行は避けるべきである: 
• Hyperlinking documents into the RoPA, as a response to a requirement to list information, that are not accessible when clicked on. For example, hyperlinking a retention schedule which when clicked on is not available to the DPC as it is stored on an internal company drive. Stating 'in accordance with the retention policy' or 'solicitors’ retention schedule' but not elaborating on what these documents actually stipulate in terms of retention periods. ・情報一覧の要求への対応として、クリックしてもアクセスできない文書をRoPAにハイパーリンクすること。例えば、保持スケジュールをハイパーリンクし、クリックすると社内のドライブに保存されるため、DPCが利用できないようにする。保管方針に従って」または「弁護士の保管スケジュール」と記載しながら、これらの文書が保管期間に関して実際に何を規定しているのかを詳しく説明しない。
Ø This makes the RoPA deficient and or unfit for purpose as the DPC cannot rely on the RoPA to gain insight into the processing activities of the particular organisation where such information is unavailable. Ø この場合、DPCはRoPAに依拠して、特定の組織の取扱活動を把握することができず、そのような情報が入手できないため、RoPAに欠陥があり、または目的に適さない。
• Rather than having a complete RoPA document, hyperlinking or referring to a number of different documents or sources to satisfy the Article 30 requirements. The RoPA should not be prohibitively confusing as this goes against the purpose of the document to assist the DPC in carrying out its functions. ・完全なRoPA文書を作成するよりも、ハイパーリンクを張ったり、多くの異なる文書や情報源を参照したりして、第30条の要件を満たす方がよい。DPCの機能遂行を支援するという文書の目的に反するため、RoPAは法外に混乱するものであってはならない。
Ø If there is no base RoPA document and a piecemeal approach is taken, there is also the risk that processing activities may be overlooked. The RoPA should not just be a ‘catch all’ document that refers to other documents; all processing activities should be recorded in sufficient detail. Ø ベースとなるRoPA文書がなく、断片的なアプローチが取られる場合、取扱活動が見落とされるリスクもある。RoPAは、他の文書に言及する「キャッチオール」文書であってはならず、すべての取扱活動が十分詳細に記録されなければならない。
• The DPC should not have difficulty accessing the prescribed information set out in Article 30 GDPR; it should not be left wondering if it has exhausted all available sources of information and should not have to try to reconcile discrepancies between various pieces of information set out in different locations. No personal data should be kept by an organisation ‘just in case’. For example, one organisation indicated in their RoPA that they processed the passport information of staff for use in their organisational structure chart, as passport information was used by the HR function. ・DPCは、GDPR第30条に規定された所定の情報にアクセスすることが困難であってはならず、利用可能な情報源をすべて使い果たしたかどうか疑問に思ったり、異なる場所に記載された様々な情報間の不一致を調整しようとする必要はないはずである。個人データは、「万が一」のために組織で保管されるべきではない。例えば、ある組織はRoPAの中で、組織構造図に使用するために職員のパスポート情報を取扱していることを示したが、これはパスポート情報が人事機能で使用されるためである。
• Using acronyms that are undefined, which may be common terms within the organisation in question but which do not have an obvious meaning to the DPC. As stated, drafters should be mindful that the DPC as an external reader needs to be able to fully comprehend the document. ・定義されていない略語を使用する。当該組織では一般的な用語かもしれないが、DPCにとっては明白な意味を持たないものである。このように、起草者は、外部の読者であるDPCが文書を完全に理解できる必要があることに留意する必要がある。
• If an organisation is unable to document its RoPA it calls into question its understanding of the purposes for which personal data is processed and retained by the organisation, and the ways in which such data is processed. ・組織がRoPAを文書化できない場合、組織による個人データの取扱および保持の目的、ならびにそのようなデータの取扱方法についての理解が疑われることになります。
RoPAs for Smaller Organisations  小規模な組織のためのRoPA 
As set out above, smaller organisations may not be required to maintain a full RoPA due to the size of the organisation. However, most organisations will need to record processing activities such as HR and payroll functions. For small organisations it may be that a simple spreadsheet is sufficient to maintain the RoPA. For larger or more complex organisations, the data controller may opt to use a relational database or one of the many RoPA tools available from third party data protection service providers. Whatever method used, the RoPA should be a standalone record that the DPC can request and view in a readable format. If an organisation is using software to record its RoPA a report should be able to be easily generated if it is asked for.  上記のように、小規模な組織は、組織の規模により、完全なRoPAを維持する必要がない場合がある。しかし、ほとんどの組織では、人事や給与計算などの取扱活動を記録する必要がある。小規模な組織の場合、RoPAの管理は簡単なスプレッドシートで十分かもしれない。大規模またはより複雑な組織の場合、データ管理者は、リレーショナルデータベースまたは第三者のデータ保護サービスプロバイダーが提供する多くのRoPAツールのいずれかを使用することを選ぶことができます。どのような方法を用いるにせよ、RoPAは、DPCが要求し、読みやすい形式で閲覧できる独立した記録であるべきである。組織がソフトウェアを使ってRoPAを記録している場合、要求があれば簡単に報告書を作成することができるはずである。
The maintenance of a RoPA by a small organisation should not be a burdensome exercise. Having a RoPA will allow a small organisation to map and understand all of the personal data it is processing and for what reasons. A RoPA, as well as being a compliance and risk management tool, will assist a data controller in identifying personal data processing that may not be necessary, and may help in demonstrating to data subjects a commitment to best practice data protection policies and procedures.  小規模な組織がRoPAを維持することは、負担の大きい行為であってはならない。RoPAを持つことで、小規模な組織でも、どのような理由でどのような個人データを取扱しているのか、マッピングして理解することができます。RoPAは、コンプライアンスおよびリスク管理ツールであるだけでなく、データ管理者が必要でない個人データ取扱を特定するのに役立ち、データ保護方針および手順のベストプラクティスへの取り組みをデータ主体に示すのに役立つかもしれない。
Records of Processing Activities Examples  取扱活動の記録例 
The above guidance, and the examples given, have been informed by the RoPAs provided to the DPC in its RoPA sweep conducted in early 2022.   上記のガイダンス、および例示した内容は、2022年初頭に実施したRoPA掃討戦でDPCに提供されたRoPAによってもたらされたものである。 
A number of examples of poor RoPA practice were received amongst the records. One organisation that responded to the sweep provided the DPC with several Data Protection Impact Assessments (DPIAs), claiming that these documents met the requirements of Article 30 of the GDPR. The DPC does not agree with this argument. The RoPA is a standalone record, a compliance tool that the DPC should be able to rely on to provide an accurate view of data processing taking place within an organisation. The accountability obligation lies with the organisation concerned and the information required under Article 30 should be presented to the supervisory authority in a manner that facilitates a demonstration of compliance and assists the supervisory authority in the performance of its functions, as required under Article 31. Expecting the DPC to review a large number of separate documents in order to try to find the information required under Article 30 is not acceptable. In addition, not every processing activity would have, or require, a DPIA.  記録の中には、RoPAの実践が不十分な事例が数多く含まれていた。掃討に応じたある組織は、DPCに複数のデータ保護影響評価(DPIA)を提供し、これらの文書がGDPR第30条の要件を満たしていると主張した。DPCはこの主張には同意していません。RoPAは独立した記録であり、組織内で行われているデータ取扱を正確に把握するために、DPCが信頼できるコンプライアンスツールである。説明責任は当該組織にあり、第30条に基づき要求される情報は、第31条に基づき要求されるように、コンプライアンスの実証を容易にし、監督当局の機能遂行を支援する方法で、監督当局に提示されるべきである。第30条で要求される情報を見つけようとするために、DPCが多数の個別の文書を確認することを期待することは、容認できない。さらに、すべての取扱活動がDPIAを実施するわけではなく、また必要とするわけでもない。
The DPC received many good examples of detail in respect of Article 30(1)(b) and (c); the purposes for processing and personal data categories requirements. One organisation utilised a relational database system to group processing activities by business units and teams. The organisation was able to present the information as and when required in a spreadsheet format. While it is impractical to provide a full example of a RoPA within this guidance, below, at Approach A and Approach B, are two possible layouts using a spreadsheet programme. Approach C is a RoPA that would not be of sufficient detail. Table A is a table of the information required, with examples of suggested detail and examples of insufficient detail. DPCは、第30条(1)(b)および(c)、すなわち取扱目的および個人データ分類の要件について、詳細な説明を行う良い例を数多く受け取りました。ある組織では、リレーショナルデータベースシステムを利用して、取扱活動をビジネスユニットやチームごとにグループ化していました。この組織は、必要な時に必要な情報をスプレッドシート形式で提示することができました。このガイダンスの中でRoPAの完全な例を示すことは現実的ではないが、以下、アプローチAとアプローチBに、表計算プログラムを使った2つの可能なレイアウトを示す。アプローチCは、十分な詳細が得られないRoPAである。表Aは、必要な情報の表であり、推奨される詳細の例と不十分な詳細の例である。

 

 

 


個人情報法保護委員会のウェブページには、GDPR関連の情報が多数ありますよね。。。

 

⚫︎ 個人情報保護委員会 - 国際関係 - 諸外国・地域の法制度

・EU(外国制度) GDPR(General Data Protection Regulation:一般データ保護規則)

 

 

こんにちは、丸山満彦です。

アイルアンドのデータ保護局が、GDPR第30条の取扱活動の記録についてのガイダンスを公表していますね。。。

 

⚫︎ An Coimisiún um Chosaint Sonraí

・2023.04 Records of Processing (Article 30) Guidance

Records of Processing (Article 30) Guidance 取扱活動の記録(第30条)のガイダンス
Article 30 of the General Data Protection Regulation (GDPR) requires Data Controllers to maintain a Record of Processing Activities (RoPA) under their responsibility. Article 30 GDPR prescribes the information the records must contain and states that controllers and processors must be in a position to provide such records to the Data Protection Commission (DPC) on request. The Records of Processing Activities (RoPA), as a measure to demonstrate compliance, is one of the means by which Data Controllers demonstrate and implement the principle of accountability as set out in Article 5(2) GDPR. A well drafted RoPA will demonstrate to the DPC that a Data Controller is aware of, and has considered the purpose of, all processing activities taking place within the organisation. 一般データ保護規則(GDPR)第30条は、データ管理者がその責任の下で取扱活動の記録(RoPA)を維持することを求めている。GDPR第30条では、記録が含まなければならない情報を規定し、管理者および処理者は、要求に応じてデータ保護委員会(DPC)に当該記録を提供できる状態になければならないとされている。コンプライアンスを実証する手段としての取扱活動記録(RoPA)は、データ管理者がGDPR第5条(2)に定める説明責任の原則を実証し、実施する手段の1つである。よく練られたRoPAは、データ管理者が組織内で行われるすべての処理活動の目的を認識し、検討していることをDPCに示すものである。
This guidance should assist controllers with compliance with Article 30 of the GDPR. このガイダンスは、GDPR第30条を遵守する管理者の助けとなるだろう。

・[PDF]

20230424-55049

 

 

Contents  目次 
Introduction  はじめに 
Article 30 - What is required  第30条 要求されること
 • Article 30(1)   ・第30条第1項
 • Article 30(2)  ・第30条第2項
 • Article 30(3)  ・第30条(3)
 • Article 30(4)  ・第30条第4項
 Exemptions to Article 30: Small and Medium Enterprises   第30条の適用除外 中小企業 
Record of Processing Activities: 'Dos and Don'ts'  取扱活動の記録: 「やるべきこと、やってはいけないこと」
'Dos' for Organisations  組織のための「やるべきこと」。
 Break down the RoPA with reference to the different functions within the organisation  組織内のさまざまな機能を参照してRoPAを分解する。
 Use the RoPA as a tool to demonstrate compliance with the Accountability principle as set out in Article 5 GDPR   GDPR第5条に定めるアカウンタビリティ原則の遵守を証明するツールとしてRoPAを使用する。
 include relevant extra information as appropriate   適宜、関連する追加情報を含む 
 Gain buy-in across the organisation   組織全体の賛同を得る 
 Maintain a living document   生きた文書を維持する 
'Don'ts' for orgnanisation  組織にとっての「やってはいけない」こと 
 Neglect to update the RoPA   RoPAの更新を怠る
 Don't cut corners with detail and granularity   詳細と粒度の手抜きをしないこと 
 Don't maintain a RoPA that is not self-explanatory   自明でないRoPAを維持しないこと 
RoPAs for Smaller Organisations  小規模な組織のためのRoPA 
Records of Processing Activities Examples  取扱活動の記録例 
INTRODUCTION  はじめに 
Article 30 of the General Data Protection Regulation (GDPR) requires Data Controllers to maintain a Record of Processing Activities (RoPA) under their responsibility. The GDPR also requires Data Processors to maintain a record of all categories of processing activities carried out on behalf of each Data Controller they work with. Article 30 GDPR prescribes the information the records must contain and states that controllers and processors must be in a position to provide such records to the Data Protection Commission (DPC) on request. The Records of Processing Activities (RoPA), as a measure to demonstrate compliance, is one of the means by which Data Controllers demonstrate and implement the principle of accountability as set out in Article 5(2) GDPR. A  well drafted RoPA will demonstrate to the DPC that a Data Controller is aware of, and has considered the purpose of, all processing activities taking place within the organisation. The RoPA should also demonstrate that the Data Controller has considered the implications of the processing of the personal data, the specific and limited personal data required for each activity, and the particularities of managing the security and retention of the personal data to be processed.  一般データ保護規則(GDPR)第30条では、データ管理者がその責任の下で取扱活動の記録(RoPA)を維持することを求めている。また、GDPRは、データ取扱者に対し、連携する各データ管理者に代わって実施されるすべてのカテゴリーの取扱活動の記録を保持するよう求めている。GDPR第30条では、記録が含むべき情報を規定し、管理者と取扱者は、要求に応じてデータ保護委員会(DPC)に当該記録を提供できる状態になければならない。コンプライアンスを実証する手段としての取扱活動記録(RoPA)は、データ管理者がGDPR第5条(2)に定める説明責任の原則を実証し、実施する手段の1つである。よく練られたRoPAは、データ管理者が組織内で行われるすべての取扱活動の目的を認識し、検討していることをDPCに示すものである。また、RoPAは、データ管理者が個人データの取扱の意味、各活動に必要な特定かつ限定された個人データ、取扱される個人データのセキュリティと保持を管理する特殊性を考慮したことを示す必要がある。
By way of other legislation on Records of Processing Activities, Article 24 of the Law Enforcement Directive (LED) and Section 81 of the Data Protection Act 2018 also require the maintenance of records of processing activities carried out under the LED, and prescribe the specific information such records must contain.   取扱活動の記録に関する他の法律により、法執行指令(LED)の第24条およびデータ保護法2018の第81条も、LEDの下で実施される取扱活動の記録の維持を要求し、当該記録が含むべき特定の情報を規定している。 
Article 57 GDPR details the ‘tasks’ to be performed by the DPC in relation to the GDPR. These tasks include creating awareness with data controllers and processors of their obligations. The DPC is also tasked with monitoring and enforcing the application of the GDPR. It was with these obligations in mind  that in early 2022 the DPC conducted a ‘sweep’ of the Records of Processing Activities of thirty organisation, across both the public and private sectors, to identify common issues arising and possible shortcomings in respect of the drafting and maintenance of RoPAs held by organisations. As part of the sweep, the DPC requested that organisations of various sizes, in both the public and private sector, send their RoPA to the DPC for review . As a result of the sweep, the findings made on examination of the RoPAs and the analysis of those findings, the DPC has drafted the below guidance. This guidance has been drafted to assist organisations in complying with their Article 30 obligations. Particular emphasis is placed on the positive practices identified over the course of the sweep.  GDPR第57条は、GDPRに関連してDPCが行うべき「タスク」を詳述している。これらの任務には、データ管理者および取扱者の義務に関する認識を高めることが含まれる。また、DPCは、GDPRの適用を監視し、実施することも任務としている。このような義務を念頭に置いて、DPCは2022年初頭、官民を問わず30組織の取扱活動記録の「掃討」を行い、組織が保有するRoPAの起草と維持に関して生じる共通の問題や考えられる欠点を特定したのである。この調査の一環として、DPCは、官民を問わず様々な規模の組織に対し、RoPAをDPCに送付し、レビューしてもらうよう要請した。掃討作戦の結果、RoPAを調査した結果、DPCは以下のガイダンスを起草した。このガイダンスは、組織が第30条の義務を遵守することを支援するために作成されたものである。特に、調査期間中に確認されたポジティブな慣行に重点を置いている。
Shortcomings which were identified have also been highlighted, to assist organisations as to ‘What Not to Do’.   また、「やってはいけないこと」として組織を支援するために、識別された欠点も強調されている。 
Article 30 - What is required  第30条 要求されること
Article 30 of the GDPR places an obligation on controllers and processors to have in place within their organisations a detailed record which accurately identifies the activities the organisation carries out which use personal data. Failure to identify all relevant processing activities may result in personal data being processed in a way that is not in compliance with the GDPR. It may also mean that appropriate technical and organisational measures to protect the personal data being controlled or processed by an organisation are not put in place.  GDPR第30条は、管理者と取扱者に対し、個人データを使用する組織の活動を正確に特定する詳細な記録を組織内に設置する義務を課している。関連するすべての取扱活動を特定できない場合、GDPRに準拠しない方法で個人データが取扱される可能性がある。また、組織が管理または取扱する個人データを保護するための適切な技術的および組織的な措置が講じられていないことを意味する場合もある。
• Article 30(1) GDPR provides that all organisations that process personal data, either as a data controller or as their representative, shall maintain a record of the processing activities under its responsibility.  Article 30(1) prescribes that this record must contain all of the following:  ・第30条1項GDPRは、データ管理者またはその代理人として個人データを取扱するすべての組織が、その責任の下で取扱活動の記録を保持することを規定している。 第30条(1)は、この記録には以下のすべてを含まなければならないと規定している: 
a) The name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the Data Protection Officer (DPO);  a) 管理者、場合によっては共同管理者、管理者の代表者及びデータ保護責任者(DPO)の氏名及び連絡先; 
b) The purposes of the processing;  b) 取扱の目的; 
Ø Why the organisation is using the personal data in question, for example,  for the purposes of payroll management.  Ø 組織が当該個人データを使用する理由、例えば、給与管理の目的など。
c) A description of the categories of data subjects and of the categories of personal data;  c) データ主体のカテゴリおよび個人データのカテゴリの説明; 
Ø For example, both employees and clients of an organisation are examples of categories of data subjects .  Ø 例えば、組織の従業員と顧客の両方が、データ主体のカテゴリーの例である。
Ø Categories of personal data include contact details, previous employment history, and the health records of employees.  Ø 個人データのカテゴリーには、連絡先の詳細、過去の職歴、従業員の健康記録などがある。
d) The categories of recipients to whom the personal data have been, or will be disclosed, including recipients in third countries or international organisations;  d) 個人データが開示された、または開示される予定の受領者(第三国または国際機関の受領者を含む)の分類; 
Ø By way of example, this would include an external HR company subcontracted to deal with an internal HR matter.  Ø 例として、社内の人事問題に対処するために下請けされた外部の人事会社が含まれる。
e) Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;   e) 該当する場合、第三国または国際組織への個人データの移転(当該第三国または国際組織の特定、および第49条(1)第2項に言及する移転の場合、適切な保護措置の文書化を含む); 
Ø This would include the transfer of information to an international organisation such as an international NGO or to a processor based outside of the European Economic Area (EEA).  Ø これには、国際NGOなどの国際組織や欧州経済領域(EEA)外に拠点を置く取扱業者への情報の移転が含まれる。
f) Where possible, the envisaged time limits for erasure of the different categories of data;  f) 可能な場合、異なる種類のデータの消去のための想定される期限; 
Ø This is likely to be organisation dependant and may be set by statute, internal policies, industry guidelines or a combination of all three.  Ø これは組織に依存する可能性が高く、法令、内部方針、業界ガイドライン、またはこれら 3 つの組み合わせによって設定される可能性がある。
g) Where possible, a general description of the technical and organisational security measures referred to in Article 32(1);  g) 可能であれば、第32条(1)で言及された技術的及び組織的なセキュリティ対策の一般的な説明書; 
Ø This may include, for example, the encryption of records, access controls and staff training.   Ø これには、例えば、記録の暗号化、アクセス制御、スタッフのトレーニングが含まれる。 
• Article 30(2) GDPR details the records of processing which must be maintained by data processors or their representatives. This includes that a processor’s representative must maintain a record of all categories of processing activities carried out on behalf of a controller, containing;  ・GDPR第30条(2)では、データ取扱者またはその代理人が維持しなければならない取扱の記録について詳述している。これには、取扱者の代理人は、管理者に代わって実施されるすべてのカテゴリーの取扱活動について、以下を含む記録を維持しなければならないことが含まれる; 
a) The name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller’s or the processor’s representative, and the data protection officer;  a) 取扱者または取扱者、および取扱者が代行する各管理者の名前と連絡先、および該当する場合は管理者または取扱者の代表者、データ保護責任者の名前; 
b) The categories of processing carried out on behalf of each controller;  b) 各管理者に代わって実施される取扱のカテゴリー; 
c) Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;  c) 該当する場合、第三国または国際機関への個人データの移転。当該第三国または国際機関の特定、および第49条第1項第2号に言及する移転の場合、適切な保護措置の文書化を含む; 
Where possible, a general description of the technical and organisational security measures referred to in Article 32(1).  可能な場合、第32条(1)で言及された技術的及び組織的なセキュリティ対策の一般的な説明。
• Article 30(3) GDPR requires the controller to maintain the records prescribed by Article 30 ‘in writing, including in electronic form’.    ・GDPR第30条(3)は、管理者に対し、第30条に規定される記録を「電子形式を含む書面で」維持することを要求している。  
• Article 30(4) GDPR requires the controller to make the record available to the supervisory authority (the DPC) on request.   ・GDPR第30条(4)は、管理者に、要求に応じて監督当局(DPC)が記録を利用できるようにすることを要求している。 
Exemptions to Article 30: Small and Medium Enterprises  第30条の適用除外 中小企業 
• Article 30(5) GDPR provides for certain circumstances where the obligations set out in Article 30(1)-30(4) GDPR do not apply. A derogation, or exemption, to the obligations applies in circumstances where an organisation employs fewer than 250 persons. However this derogation does not apply to processing which constitutes any of the following:  ・GDPR第30条5項は、GDPR第30条(1)~(4)に定める義務が適用されない特定の状況について規定している。組織が250人未満の従業員を雇用している場合、この義務の免除が適用される。ただし、この免除は、以下のいずれかに該当する取扱には適用されない: 
a) Processing that is likely to result in a risk (and not just a high risk) to the rights and freedoms of data subjects. By way of example, this would include the processing of mortgage applications, the use of artificial intelligence, and the tracking of an individual’s location.  a) データ主体の権利と自由に対するリスク(高いリスクだけではない)をもたらす可能性のある取扱。例として、住宅ローン申請の取扱、人工知能の使用、個人の位置情報の追跡などが挙げられる。
b) Processing that is not occasional, such as HR  or pay related processing for employees or  b) 臨時ではない取扱、例えば、従業員の人事や給与に関する取扱や 
c) Processing that includes special categories of data or personal data relating to criminal convictions and offences. This would include Garda vetting, trade union membership, or biometric data processing.  c) 特別な種類のデータ、または犯罪歴および犯罪に関連する個人データを含む取扱。これには、Garda の審査、労働組合への加入、またはバイオメトリックデータ取扱などが含まれる。
• The occurrence of any one of these forms of processing triggers the obligation to maintain a Record of Processing Activities, however this obligation is only in respect of the particular type of processing that does not fall within the scope of the derogation.  For further information on the applicability of Article 30 GDPR, the DPC refers Data Controllers and Processors to the Article 29 Working Party position paper on Article 30(5) which has been endorsed by the European Data Protection Board. This position paper is available here.  ・これらの取扱形態のいずれかが発生した場合、取扱活動の記録を保持する義務が生じるが、この義務は、適用除外の範囲に含まれない特定の種類の取扱に関してのみ生じる。 GDPR第30条の適用に関する詳細については、DPCはデータ管理者および取扱者に、欧州データ保護委員会によって承認された第30条5項に関する29条作業部会のポジションペーパーを参照している。このポジションペーパーは、ここで入手可能である。
Record of Processing Activities: 'Dos and Don'ts'  取扱活動の記録: 「やるべきこと、やってはいけないこと」
'Dos' for Organisations  組織のための「やるべきこと」。
Break down the RoPA with reference to the different functions within the organisation  組織内のさまざまな機能を参照してRoPAを分解する。
RoPAs should be clearly broken down and detailed according to the different business units or functions within an organisation, such as HR, finance or marketing. This helps ensure that no processing activities are accidentally omitted when completing the RoPA.  It is suggested that this can be achieved by creating separate tables or spreadsheets for each business unit within an overall RoPA document or system.   RoPAは、人事、財務、マーケティングなど、組織内の異なるビジネスユニットや機能に応じて明確に分解し、詳細に記述する必要がある。これにより、RoPAの記入時に取扱活動が誤って省略されることがないようにすることができます。 これは、RoPA 文書またはシステム全体の中で、各ビジネスユニットごとに個別の表またはスプレッ ドシートを作成することによって達成できることが示唆される。 
•  It is advised that a data mapping exercise should be done by organisations to clarify what data organisations hold and where. Relevant units across the organisation should be involved in this process to again ensure that nothing is omitted.  ・組織がどのようなデータをどこで保有しているかを明確にするために、組織でデータマッピングを実施することが推奨される。このプロセスには、組織内の関連部門が参加し、漏れがないことを再度確認する必要がある。
Ø For example, controllers could start with a common business function such as HR. This business function is likely to have several different purposes for processing, with each purpose involving different categories of individuals (for example employees, contractors and interns) and with each individual having several categories of personal data (such as health and safety information, sick leave, payroll details).  Ø 例えば、管理者は、HRのような共通のビジネス機能から始めることができる。この業務機能には、複数の異なる取扱目的があり、それぞれの目的には異なる個人区分(従業員、契約社員、インターンなど)が含まれ、各個人には複数の個人区分(健康・安全情報、病気休暇、給与明細など)があると思われる。
Ø It is recommended that processors start with each controller they are processing data for, and then the breakdown of the different categories of personal data they are processing for each controller.  Ø 取扱者は、まず自分がデータ取扱をしている管理者ごとに、次に各管理者のために取扱している個人データの異なるカテゴリの内訳を説明することを推奨する。
By way of example of good practice, although the DPC is not saying a RoPA should be done in this matter, in the sweep conducted by the DPC it found that some organisations include every business area of the organisation in the RoPA to ensure accuracy and to ensure that no unit or function is omitted. This was the case even if some business areas conducted no processing of personal data. By way of a further example of good practice, although not suitable for every organisation, the DPC found that some organisations appear to find it beneficial to break the RoPA down by various different business locations, where more than one office or branch of the organisation exists.   グッドプラクティスの例として、DPCはこの件に関してRoPAを行うべきとは言っていないが、DPCが行った調査では、正確性を確保し、単位や機能の漏れがないように、組織のすべてのビジネスエリアをRoPAに含めている組織があることがわかった。これは、たとえ個人データの取扱を行わないビジネスエリアがあったとしても同様である。また、すべての組織に当てはまるわけではないが、グッドプラクティスの一例として、DPCは、組織の事務所や支店が複数ある場合、RoPAをさまざまな事業所ごとに分けることが有益であると考える組織があることを発見した。 
Use the RoPA as a tool to demonstrate compliance with the Accountability  説明責任への準拠を証明するツールとしてRoPAを使用する。
principle as set out in Article 5 GDPR  GDPR第5条に規定される原則 
RoPAs should ensure to include granular and meaningful information. This means that RoPAs should go into specific detail for each category of data subject, category of personal data or processing activity.  RoPAは、粒状で意味のある情報を含むことを保証すべきである。つまり、RoPAは、データ主体のカテゴリー、個人データのカテゴリー、取扱活動ごとに具体的に詳しく説明する必要がある。
•  For example, retention periods are likely to differ depending on the category of data in question and the RoPA should reflect the retention period for each specific category.  ・例えば、保持期間は問題のあるデータのカテゴリーによって異なる可能性が高く、RoPAは特定のカテゴリーごとの保持期間を反映する必要がある。
Include relevant extra information as appropriate  適宜、関連する追加情報を含める 
The DPC identified in the sweep that many organisations include in their RoPA helpful extra information not explicitly listed in Article 30, for example:  DPCは、多くの組織がRoPAに、第30条に明示的に記載されていない有用な追加情報を含めていることを一斉に確認した: 例えば
• The Article 6 legal basis for processing  ・取扱の第6条法的根拠
• The Article 9 basis for the processing of special category data  ・特別なカテゴリーデータの取扱に関する第9条の根拠
• Whether a breach has occurred in respect of a particular processing activity  ・特定の取扱活動に関して違反が発生したかどうか
• The transfer mechanism relied upon when listing third country transfers, and  ・第三国転送をリストアップする際に依拠した転送メカニズムおよび
• Risk ratings the organisation may have assigned to each processing activity.  ・組織が各取扱活動に割り当てた可能性のあるリスク評価。
While including this information is helpful, the specific prescribed information as set out in Article 30 should never be overlooked.   このような情報を含めることは有益であるが、第30条に規定された特定の規定情報を決して見逃してはならない。 
It is advised that organisations specifically state which information has been prescribed by Article 30, and which information has been included as a ‘helpful extra’. This is to assist if different business areas and employees are inputting into the RoPA so that it will be obvious to a new reader which information is mandatory, and which information has been added to the RoPA as an additional extra. It is strongly advised that the prescribed information as detailed in Article 30 should not be buried or difficult to find in the RoPA document, or in any other document that an organisation may be using to satisfy the Article 30 requirements. For further information on this, see point three of the ‘Don’ts’ list below.  組織は、第30条で規定された情報と、「役に立つ追加情報」として含まれる情報を具体的に記載することを推奨する。これは、異なる事業分野や従業員がRoPAに入力する場合、どの情報が必須で、どの情報が追加事項としてRoPAに追加されたかが、初めて読む人にとって明白になるようにするためである。RoPA文書や、組織が第30条の要件を満たすために使用している他の文書において、第30条に詳述されている所定の情報が埋もれていたり、見つけにくかったりしないようにすることが強く推奨される。これに関する詳細は、以下の「してはいけないこと」リストのポイント3を参照すること。
Gain buy-in across the organisation  組織全体の賛同を得る 
The RoPA is an obligation which the data controller as a whole should be responsible for. It is recommended that the responsibility for completing the RoPA should not rest solely with the DPO. If it is solely an organisation’s DPO preparing and maintaining the RoPA there is the potential  processing activities may be missed, or that the RoPA will become a tick box compliance exercise. The DPC would suggest that the process can be led by the DPO with different areas of the organisation feeding into the process. There are different ways organisations can successfully gain buy-in from different areas of their organisation when completing the RoPA. The following are a number of suggestions of how to do so:  RoPAは、データ管理者全体が責任を持つべき義務である。RoPAを完成させる責任をDPOだけに負わせないことが推奨される。組織のDPOのみがRoPAを作成・管理する場合、取扱活動が見逃される可能性があり、またRoPAがチェックボックス式のコンプライアンスになる可能性がある。DPCは、このプロセスをDPOが主導し、組織のさまざまな領域がプロセスに参加することを提案する。RoPAを完了する際に、組織が組織のさまざまな領域から賛同を得るには、さまざまな方法がある。以下は、その方法に関するいくつかの提案である: 
• An organisation could internally set specific RoPA review dates, and request all sections of the organisation participate in the review. It may be helpful to be strategic in scheduling this review date at a time where there is likely to be capacity within the organisation to give the task of reviewing the RoPA due attention, for example, not in a busy period such as the run up to Christmas. ・組織内で特定のRoPAレビュー日を設定し、組織内のすべてのセクションがレビューに参加するように要求することができる。例えば、クリスマス前のような忙しい時期ではなく、組織内でRoPAのレビュー作業に十分な注意を払えるキャパシティがありそうな時期に、このレビュー日を戦略的に設定することが有効かもしれない。
• The DPC found that some organisations find it helpful to include definitions, or guidance and explanation sections in the RoPA document which can be used for reference, for example setting out typical examples of processing activities, categories or recipients, for that particular organisation. This helps members of the organisation who may not work closely with data protection issues to accurately provide the information required for the RoPA. ・DPCは、RoPA文書に、例えば、特定の組織における取扱活動、カテゴリー、または受領者の典型的な例を示すなど、参照に使用できる定義、またはガイダンスと説明のセクションを含めることが有益であると考える組織があることを発見した。これにより、データ保護の問題に密接に関与していない組織のメンバーが、RoPA に必要な情報を正確に提供することができる。
• Organisations should specifically set out the process owners- that is, who within each business function is responsible for maintaining the information required by Article 30 and who is responsible for centrally collating the document. ・組織は、プロセスの所有者、すなわち、各業務機能の誰が第30条で要求される情報の維持に責任を持ち、誰がその文書を集中的に照合する責任を持つかを明確に定めるべきである。
• Drop down menus can be used to ensure that a uniform, cohesive RoPA document is maintained. However free text fields should also be included for each processing activity to record nuanced information that may only be relevant to one particular processing activity. ・ドロップダウンメニューは、統一されたまとまりのあるRoPA文書が維持されるように使用することができる。しかし、特定の取扱活動にのみ関連する可能性のある微妙な情報を記録するために、取扱活動ごとにフリーテキストフィールドも含めるべきである。
Maintain a living document  生きた文書を維持する 
The RoPA should be a living, dynamic, document, which is continuously updated to reflect the current position of the organisation at all times with regard to their processing of personal data. To achieve this the following steps are recommended;  RoPAは、生きた、動的な、文書であるべきであり、個人データの取扱に関する組織の現在の立場を常に反映するように継続的に更新される。これを達成するために、以下のステップを推奨する; 
• To this end, it is likely an electronic (rather than paper based) RoPA will be more suitable for the majority of organisations, so that it can be edited and saved easily. ・そのためには、編集や保存が簡単にできるように、(紙ベースではなく)電子版のRoPAが大多数の組織に適していると思われる。
• As part of employee training, business units should be aware that new products or services that require the processing of personal data should be added to the RoPA as they are rolled out. ・従業員教育の一環として、事業部門は、個人データの取扱を必要とする新しい製品またはサービスが展開される際に、RoPAに追加する必要があることを認識する必要がある。
• It is recommended that processing activities no longer taking place are marked as such or removed from the live RoPA. However, maintenance of an archive of ・もはや行われていない取扱活動は、そのようにマークされるか、ライブのRoPAから削除されることが推奨される。ただし、個人情報のアーカイブを維持することは
obsolete processing activities should be kept for accountability purposes if removal is the preferred option within the organisation.  組織内で削除が好ましい選択肢である場合、廃止された取扱活動は、説明責任のために保管されるべきである。
‘Don’ts’ for Organisations  組織にとっての「やってはいけない」こと 
Neglect to update the RoPA  RoPAの更新を怠る
As stated in the ‘Dos’ section above, the RoPA should be maintained as a living and dynamic  document. The DPC found that in the course of the sweep conducted some organisations found it challenging to provide a copy of their RoPA within the ten day period requested by the DPC. Some organisations did not meet the deadline given. As stated above, the RoPA should be maintained sufficiently such that it is ‘ready to go’ at any time.  上記の「やってはいけないこと」のセクションで述べたように、RoPAは生きた動的な文書として維持されるべきである。DPCが実施した調査の過程で、DPCが要求した10日以内にRoPAのコピーを提供することが困難な組織があることが判明した。また、期限を守らない組織もあった。上記のように、RoPAはいつでも「すぐに使える」ように十分な整備が必要である。
• The obligation under Article 30 is to ‘maintain’ a record of processing and ‘make the record available to the supervisory authority on request’; therefore, the DPC advises that ten days should be sufficient notice for any organisation in all circumstances. ・第30条に基づく義務は、取扱の記録を「維持」し、「要求に応じて監督当局に記録を提供する」ことである。したがって、DPCは、あらゆる状況において、どの組織にとっても10日間が十分な通知となるはずだとアドバイスしている。
• Organisations should note that the DPC may carry out similar compliance sweeps in the future. The DPC may also request the RoPA from a controller as part of other regulatory activities being carried out, including but not limited to, breach notification management, complaint handling, Inquiries and investigations. ・組織は、DPCが将来的に同様のコンプライアンス・スイープを実施する可能性があることに留意する必要がある。また、DPCは、違反通知管理、苦情取扱、照会および調査など、実施中の他の規制活動の一環として、管理者にRoPAを要求する場合がある。
• Failure to have such documentation to hand could be considered as non-compliance with the GDPR. ・このような文書が手元にない場合、GDPRの不遵守とみなされる可能性がある。
Ø It should be noted that providing the DPC with RoPA templates or a ‘sample’ of the RoPA is not sufficient, as the requirement under Article 30 is to make the actual RoPA maintained available to the supervisory authority on request. Ø 第30条の要件は、維持されている実際のRoPAを監督当局の要求に応じて利用可能にすることであるため、DPCにRoPAテンプレートまたはRoPAの「サンプル」を提供するだけでは十分ではないことに留意する必要がある。
• RoPAs should not refer to out of date or expired information, for example referring to the Privacy Shield as the mechanism for the transfer of personal data to the US. ・RoPAは、例えば、米国への個人データ移転の仕組みとしてプライバシーシールドに言及するなど、古くなった情報や期限切れの情報を参照すべきではない。
Don’t cut corners with detail and granularity  詳細と粒度の手抜きをしないこと 
The DPC identified as part of its sweep that some organisations’ RoPAs are not adequately detailed or granular. By way of examples drawn from RoPAs received:  DPCは、その調査の一環として、一部の組織のRoPAが十分に詳細でないことを確認した。受け取ったRoPAから抜粋した例を挙げる: 
• In response to the requirement to list ‘categories of personal data’ the DPC received responses to this category which stated ‘personal data’, ‘personally identifiable information’ and ‘responses to questions’. These responses are unequivocally not sufficient in terms of describing what information is actually collected by an organisation and needed to be significantly further particularised.  ・個人データの種類」を記載するという要求に対して、DPCは「個人データ」「個人を特定できる情報」「質問に対する回答」と記載された回答を受け取った。これらの回答は、組織で実際に収集される情報を記述するという点では明らかに不十分であり、さらに大幅に特定する必要があった。
• In response to the requirement to list ‘technical and organisational security measures’ an organisation stated ‘measures are in place that ensure appropriate security’ or ‘appropriate security’. Again this detail is insufficient. The GDPR states that where possible, a general description of the technical and organisational security measures in place in an organisation should be included. The DPC has noticed a trend that technical and organisational security measures are often not described in detail in many organisations’ RoPAs.  It is recommended that organisations should give a general description of what technical and organisational measures are in place in their RoPA. ・技術的および組織的なセキュリティ対策」を記載するという要求に対して、ある組織は「適切なセキュリティを確保するための対策が講じられている」あるいは「適切なセキュリティ」と述べている。この詳細もまた不十分である。GDPRは、可能な限り、組織で実施されている技術的および組織的なセキュリティ対策の一般的な説明を含めるべきであると述べている。DPCは、多くの組織のRoPAにおいて、技術的および組織的なセキュリティ対策が詳細に記述されていないことが多いという傾向に気付きました。 組織は、RoPAにおいて、どのような技術的・組織的な対策がとられているか、一般的な説明を行うことが推奨される。
Don’t maintain RoPA that is not self-explanatory  自明でないRoPAを維持しないこと 
In order to be fit for purpose, the RoPA provided to the DPC needs to be a complete, self-contained document clearly listing all information as required by Article 30. RoPAs must be self-explanatory.  目的に適合するためには、DPCに提供されるRoPAは、第30条で要求されるすべての情報を明確に記載した完全で自己完結した文書である必要がある。RoPAは、自明でなければならない。
Recital 82 GDPR states:  GDPRのレシタル82には、次のように記載されている: 
…in order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations.  ...本規則の遵守を証明するために、管理者または取扱者は、その責任の下で取扱活動の記録を保持する必要がある。各管理者および取扱者は、監督当局に協力し、要求に応じてこれらの記録を監督当局に提供し、取扱業務の監視に役立つようにする義務がある。
The following practices should be avoided:  以下の慣行は避けるべきである: 
• Hyperlinking documents into the RoPA, as a response to a requirement to list information, that are not accessible when clicked on. For example, hyperlinking a retention schedule which when clicked on is not available to the DPC as it is stored on an internal company drive. Stating 'in accordance with the retention policy' or 'solicitors’ retention schedule' but not elaborating on what these documents actually stipulate in terms of retention periods. ・情報一覧の要求への対応として、クリックしてもアクセスできない文書をRoPAにハイパーリンクすること。例えば、保持スケジュールをハイパーリンクし、クリックすると社内のドライブに保存されるため、DPCが利用できないようにする。保管方針に従って」または「弁護士の保管スケジュール」と記載しながら、これらの文書が保管期間に関して実際に何を規定しているのかを詳しく説明しない。
Ø This makes the RoPA deficient and or unfit for purpose as the DPC cannot rely on the RoPA to gain insight into the processing activities of the particular organisation where such information is unavailable. Ø この場合、DPCはRoPAに依拠して、特定の組織の取扱活動を把握することができず、そのような情報が入手できないため、RoPAに欠陥があり、または目的に適さない。
• Rather than having a complete RoPA document, hyperlinking or referring to a number of different documents or sources to satisfy the Article 30 requirements. The RoPA should not be prohibitively confusing as this goes against the purpose of the document to assist the DPC in carrying out its functions. ・完全なRoPA文書を作成するよりも、ハイパーリンクを張ったり、多くの異なる文書や情報源を参照したりして、第30条の要件を満たす方がよい。DPCの機能遂行を支援するという文書の目的に反するため、RoPAは法外に混乱するものであってはならない。
Ø If there is no base RoPA document and a piecemeal approach is taken, there is also the risk that processing activities may be overlooked. The RoPA should not just be a ‘catch all’ document that refers to other documents; all processing activities should be recorded in sufficient detail. Ø ベースとなるRoPA文書がなく、断片的なアプローチが取られる場合、取扱活動が見落とされるリスクもある。RoPAは、他の文書に言及する「キャッチオール」文書であってはならず、すべての取扱活動が十分詳細に記録されなければならない。
• The DPC should not have difficulty accessing the prescribed information set out in Article 30 GDPR; it should not be left wondering if it has exhausted all available sources of information and should not have to try to reconcile discrepancies between various pieces of information set out in different locations. No personal data should be kept by an organisation ‘just in case’. For example, one organisation indicated in their RoPA that they processed the passport information of staff for use in their organisational structure chart, as passport information was used by the HR function. ・DPCは、GDPR第30条に規定された所定の情報にアクセスすることが困難であってはならず、利用可能な情報源をすべて使い果たしたかどうか疑問に思ったり、異なる場所に記載された様々な情報間の不一致を調整しようとする必要はないはずである。個人データは、「万が一」のために組織で保管されるべきではない。例えば、ある組織はRoPAの中で、組織構造図に使用するために職員のパスポート情報を取扱していることを示したが、これはパスポート情報が人事機能で使用されるためである。
• Using acronyms that are undefined, which may be common terms within the organisation in question but which do not have an obvious meaning to the DPC. As stated, drafters should be mindful that the DPC as an external reader needs to be able to fully comprehend the document. ・定義されていない略語を使用する。当該組織では一般的な用語かもしれないが、DPCにとっては明白な意味を持たないものである。このように、起草者は、外部の読者であるDPCが文書を完全に理解できる必要があることに留意する必要がある。
• If an organisation is unable to document its RoPA it calls into question its understanding of the purposes for which personal data is processed and retained by the organisation, and the ways in which such data is processed. ・組織がRoPAを文書化できない場合、組織による個人データの取扱および保持の目的、ならびにそのようなデータの取扱方法についての理解が疑われることになります。
RoPAs for Smaller Organisations  小規模な組織のためのRoPA 
As set out above, smaller organisations may not be required to maintain a full RoPA due to the size of the organisation. However, most organisations will need to record processing activities such as HR and payroll functions. For small organisations it may be that a simple spreadsheet is sufficient to maintain the RoPA. For larger or more complex organisations, the data controller may opt to use a relational database or one of the many RoPA tools available from third party data protection service providers. Whatever method used, the RoPA should be a standalone record that the DPC can request and view in a readable format. If an organisation is using software to record its RoPA a report should be able to be easily generated if it is asked for.  上記のように、小規模な組織は、組織の規模により、完全なRoPAを維持する必要がない場合がある。しかし、ほとんどの組織では、人事や給与計算などの取扱活動を記録する必要がある。小規模な組織の場合、RoPAの管理は簡単なスプレッドシートで十分かもしれない。大規模またはより複雑な組織の場合、データ管理者は、リレーショナルデータベースまたは第三者のデータ保護サービスプロバイダーが提供する多くのRoPAツールのいずれかを使用することを選ぶことができます。どのような方法を用いるにせよ、RoPAは、DPCが要求し、読みやすい形式で閲覧できる独立した記録であるべきである。組織がソフトウェアを使ってRoPAを記録している場合、要求があれば簡単に報告書を作成することができるはずである。
The maintenance of a RoPA by a small organisation should not be a burdensome exercise. Having a RoPA will allow a small organisation to map and understand all of the personal data it is processing and for what reasons. A RoPA, as well as being a compliance and risk management tool, will assist a data controller in identifying personal data processing that may not be necessary, and may help in demonstrating to data subjects a commitment to best practice data protection policies and procedures.  小規模な組織がRoPAを維持することは、負担の大きい行為であってはならない。RoPAを持つことで、小規模な組織でも、どのような理由でどのような個人データを取扱しているのか、マッピングして理解することができます。RoPAは、コンプライアンスおよびリスク管理ツールであるだけでなく、データ管理者が必要でない個人データ取扱を特定するのに役立ち、データ保護方針および手順のベストプラクティスへの取り組みをデータ主体に示すのに役立つかもしれない。
Records of Processing Activities Examples  取扱活動の記録例 
The above guidance, and the examples given, have been informed by the RoPAs provided to the DPC in its RoPA sweep conducted in early 2022.   上記のガイダンス、および例示した内容は、2022年初頭に実施したRoPA掃討戦でDPCに提供されたRoPAによってもたらされたものである。 
A number of examples of poor RoPA practice were received amongst the records. One organisation that responded to the sweep provided the DPC with several Data Protection Impact Assessments (DPIAs), claiming that these documents met the requirements of Article 30 of the GDPR. The DPC does not agree with this argument. The RoPA is a standalone record, a compliance tool that the DPC should be able to rely on to provide an accurate view of data processing taking place within an organisation. The accountability obligation lies with the organisation concerned and the information required under Article 30 should be presented to the supervisory authority in a manner that facilitates a demonstration of compliance and assists the supervisory authority in the performance of its functions, as required under Article 31. Expecting the DPC to review a large number of separate documents in order to try to find the information required under Article 30 is not acceptable. In addition, not every processing activity would have, or require, a DPIA.  記録の中には、RoPAの実践が不十分な事例が数多く含まれていた。掃討に応じたある組織は、DPCに複数のデータ保護影響評価(DPIA)を提供し、これらの文書がGDPR第30条の要件を満たしていると主張した。DPCはこの主張には同意していません。RoPAは独立した記録であり、組織内で行われているデータ取扱を正確に把握するために、DPCが信頼できるコンプライアンスツールである。説明責任は当該組織にあり、第30条に基づき要求される情報は、第31条に基づき要求されるように、コンプライアンスの実証を容易にし、監督当局の機能遂行を支援する方法で、監督当局に提示されるべきである。第30条で要求される情報を見つけようとするために、DPCが多数の個別の文書を確認することを期待することは、容認できない。さらに、すべての取扱活動がDPIAを実施するわけではなく、また必要とするわけでもない。
The DPC received many good examples of detail in respect of Article 30(1)(b) and (c); the purposes for processing and personal data categories requirements. One organisation utilised a relational database system to group processing activities by business units and teams. The organisation was able to present the information as and when required in a spreadsheet format. While it is impractical to provide a full example of a RoPA within this guidance, below, at Approach A and Approach B, are two possible layouts using a spreadsheet programme. Approach C is a RoPA that would not be of sufficient detail. Table A is a table of the information required, with examples of suggested detail and examples of insufficient detail. DPCは、第30条(1)(b)および(c)、すなわち取扱目的および個人データ分類の要件について、詳細な説明を行う良い例を数多く受け取りました。ある組織では、リレーショナルデータベースシステムを利用して、取扱活動をビジネスユニットやチームごとにグループ化していました。この組織は、必要な時に必要な情報をスプレッドシート形式で提示することができました。このガイダンスの中でRoPAの完全な例を示すことは現実的ではないが、以下、アプローチAとアプローチBに、表計算プログラムを使った2つの可能なレイアウトを示す。アプローチCは、十分な詳細が得られないRoPAである。表Aは、必要な情報の表であり、推奨される詳細の例と不十分な詳細の例である。

|

« 官邸 知的財産戦略本部 パブコメ 「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」 | Main | B7 東京サミット共同提言 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 官邸 知的財産戦略本部 パブコメ 「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」 | Main | B7 東京サミット共同提言 »