欧盟GDPR（又称《通用数据保护条例》）作为数据保护的专门条例，其对数据相关问题进行了较为细致全面的规定。其中，数据处理是数据活动中的重要一环。为了对数据处理进行规定，确保每一次处理行为均有迹可循，数据处理活动的记录自然十分重要。在欧盟GDPR中，用专门的条款对数据处理活动的记录进行了规定。

一、数据处理活动的记录之数据控制者的记录要求

按照欧盟GDPR规定，数据处理活动的记录应由该数据的控制者负责，其应保存所有由其负责的处理活动的相关内容。根据该条例规定，数据处理活动的记录应至少包括以下必备内容。首先是数据控制者的详细信息。数据控制者在这里做广义解释，具体包括负责数据控制的个人或者组织、数据控制者的代表、数据保护官的姓名及详细的联系方式，若存在共同控制者的话，还必须就共同控制者的信息予以列明。其次是该次处理活动的目的。数据处理的目的对处理所应使用的数据范围、处理方式等情形均有重要影响，其目的也在一定程度上决定了该次数据处理活动所应采取的方式，因此必须在处理的活动的记录上予以准确反应。再次，是数据主体的类型，若涉及个人数据，还必须对该个人数据的类型予以描述。数据主体是该待处理数据的最初来源，数据主体类型的确认对数据处理活动的一系列操作同样十分重要。

此外，若为个人数据，需要明确该个人数据被披露给他人或者第三国、其他国际组织的具体信息，该接收者的类型等，这也是保护个人数据安全的有效方式。再者，在可能进行的情况下，数据处理记录中还应明确该个人数据的接收者、控制者，包括通过转移而获得该个人数据的第三方，针对该数据所采取的相应的保障措施。最后，各类数据的储存均非无限期的，数据处理记录中也应将各类数据的预计擦除期限以及相应的安全保障措施一并在记录中列明。

二、数据处理活动的记录之数据处理者的记录要求

除数据控制者外，数据处理者也需要有自己对应的数据处理记录。虽然数据控制者是数据记录的最终负责方，但根据欧盟GDPR规定，数据处理者在可能的情况下，应保存一份至少包含特定信息的记录。首先是数据处理者的具体信息，包括姓名、联系方式、处理者代表、数据保护官，以便在数据处理过程中一旦发现问题能够及时定位到具体个人。第二是数据处理者代表各个控制者进行处理的具体类型，处理类型与需要的数据范围、遵守的相关规定等密不可分。第三部分与数据控制者的要求一致，需要明确该数据向他国或者国际组织、个人转移的具体记录以及相应的保障措施。

三、数据处理活动的记录之处理记录的要求

对于数据处理活动的处理记录而言，除针对数据控制者及处理者的具体要求外，该数据处理活动的处理记录必须满足以书面形式呈现。该书面形式既可以为纸质版本，也可以使用电子形式做出。在数据监管机构需要改活动记录时，控制者以及处理者应及时提供处理活动的记录，以供监管机构及时获取。在监管机构需要数据处理者或者控制者进行配合时，其必须积极配合。

但同时，欧盟GDPR也明确规定，上述一切对于数据处理活动的记录的相关要求均不适用于雇员少于250人的经济主体或者组织，但该经济主体或者组织长期或者专门从事数据处理活动的除外。此外，涉及刑事违反犯罪相关的个人数据，也不在欧盟GDPR排除的范围之内。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。