修订后的DPA将要求数据控制者在处理数据主体的个人数据时进行DPIA。高风险、大规模处理敏感个人数据的公司将被要求进行风险评估。
加工活动登记册 (RoPA)
nLPD 将要求数据控制者和数据处理者维护处理活动的记录。然而,员工人数少于 250 人的公司无需维护 RoPA。
第三方处理要求
关于第三方处理,新的 DPA 要 RCS欧洲数据 求公司披露并证明个人数据处理的合理性。第三方在处理数据主体的个人数据时必须征得数据主体的同意。
跨境数据传输要求
如果数据控制者打算在国际范围内传输其个人数据,则需要通知数据主体。此外,数据控制者需要指定其数据打算传输到的国家/地区。
数据主体的权利
知情权
nLPD 要求公司以透明的方式告知数据主体个人数据的收集和处理的目的。根据 nLPD,如果数据收集和处理活动未明确定义,则数据主体有权了解控制者何时收集其个人数据以及处理的目的。
访问权
nLPD 赋予数据主体访问其个人数据的权利以及接收正在处理的个人数据副本的权利。数据主体还可以向控制者询问个人数据的背景信息,例如其来源或来源、数据处理的目的、正在处理的个人数据的详细信息以及其个人数据的受益人。