Le responsable du traitement est la société ou la personne qui a le pouvoir de déterminer le sort de vos données.
Dans de nombreux pays, le « propriétaire » des données est l’entreprise qui les a collectées. Cependant, dans d’autres pays, comme dans l’Union européenne, le « propriétaire » des données peut être une agence gouvernementale ou une autre entité.
Le responsable du traitement des données détermine les décisions concernant les finalités et les procédures quant à la manière et aux raisons pour lesquelles une entreprise/un site Web utilisera les données. Il s'agit généralement du propriétaire ou du gestionnaire du site Web. Si vous avez un site Web, vous devez être En conformité avec la réglementation RGPD. Vous devez prendre des mesures distinctes pour rester en conformité avec les nouvelles réglementations, y compris celles exigées par l'UE.
Le responsable du traitement est la personne ou l'entreprise qui détermine à quelles fins et comment les données seront traitées. Par conséquent, si votre entreprise décide « pourquoi » et « comment » les données doivent être traitées, elle est le responsable du traitement des données.
En tant que responsable du traitement des données, une personne ou une organisation est responsable de garantir que votre traitement est conforme aux Règlement général sur la protection des données (GDPR).
Cela implique de garantir que toutes les données traitées en votre nom sont adéquates, exactes, opportunes et sécurisées.
Obligations des responsables du traitement : vous (les responsables du traitement individuels) devez convenir qui remplira les obligations spécifiques du responsable du traitement par RGPD car chaque responsable du traitement est responsable de la conformité avec toutes les responsabilités du RGPD.
L'article 26 précise que si les parties déterminent conjointement la finalité et les moyens du traitement, elles sont toutes deux considérées comme responsables conjoints du traitement. Le RGPD ne détaille pas davantage ce processus et ne le mentionne qu'en passant dans les articles 30 et 36.
Les clauses de l’article 26 (RGPD) sur le contrôle conjoint sont très courtes, mais elles ont généré beaucoup de discussions et d’incertitudes pour les organisations.
Le concept de contrôle conjoint n’est pas particulièrement nouveau, mais son application post-RGPD dans l’écosystème moderne du traitement des données est complexe. Clarifier la manière dont les parties sont considérées comme responsables conjoints du traitement définit leurs responsabilités respectives en matière de conformité et leur responsabilité partagée à l'égard des individus et protection des données les autorités.
Une entité/organisation peut être un responsable du traitement des données ou un processeur de données, ou les deux. Une même organisation peut être à la fois responsable du traitement et sous-traitant. Par exemple, si notre fournisseur d'analyse gère les données d'un client via ses systèmes, le fournisseur sera le sous-traitant de ces données.
Cependant, le fournisseur d’analyses peut détenir un certain nombre d’autres ensembles de données, qu’il utilise peut-être dans ses outils d’analyse. Si le fournisseur d’analyses est habilité à déterminer la manière dont ces données supplémentaires sont utilisées, il sera le responsable du traitement de ces données.
Vos obligations RGPD dépendront du fait que vous soyez un responsable du traitement, un sous-traitant ou des responsables conjoints du traitement. Il est donc essentiel que vous réfléchissiez attentivement à votre rôle et responsabilités concernant vos activités de traitement de données afin de déterminer si vous êtes un responsable du traitement, un sous-traitant ou des responsables conjoints du traitement.
Même si vous n'êtes pas directement impliqué dans la collecte de données, vous êtes toujours potentiellement responsable du non-respect du RGPD. Il vous incombe donc de vous assurer démontrer la conformité aux exigences du Règlement principes de protection des données.
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
Le règlement général sur la protection des données fait la distinction entre un « contrôleur de données » et un « sous-traitant » au Royaume-Uni.
Cela permet d'identifier que toutes les organisations impliquées dans le traitement des données à caractère personnel ont le même degré de responsabilité. Le RGPD britannique définit ces termes comme suit :
La personne ou l'organisation qui détermine « pourquoi » et « comment » les données personnelles doivent être traitées est appelée le responsable du traitement.
Supposons qu'une entreprise traite des données personnelles pour aider une personne spécifique (comme un employé) à exercer ses fonctions. Dans ce cas, cet employé agit en tant que sous-traitant.
Un « sous-traitant » est toute entreprise ou individu qui traite des données personnelles pour le compte d'un autre. En résumé, ils sont un agent du responsable du traitement des données.
Les six principes fondamentaux du principe général le régime de protection des données est défini à l'article 5 du RGPD britannique contour:
Le premier principe de la vie privée va de soi. Une organisation doit s'assurer que ses pratiques de collecte de données sont légales et ne cachent rien à ses personnes concernées. Pour vous conformer, en tant que responsable du traitement des données, vous devez bien comprendre le RGPD et ses règles de collecte de données. De plus, vous devez publier votre politique de confidentialité indiquant exactement quelles données vous collectez et pourquoi vous les collectez.
Les organisations doivent limiter la quantité de données personnelles qu’elles collectent à ce qui est nécessaire pour atteindre leurs objectifs. Ils doivent également veiller à ce que les données qu’ils collectent soient exactes, à jour et ne soient pas conservées plus longtemps que nécessaire pour atteindre ces objectifs. Un responsable du traitement disposera d’une plus grande latitude si votre traitement est effectué à des fins archivistiques, d’intérêt public, scientifiques, historiques ou statistiques.
Une organisation ne doit traiter que les données personnelles nécessaires pour atteindre son objectif. Cela présente deux avantages importants. En cas de violation de données, un individu n'aura accès qu'à une petite quantité de données. Il est également plus facile de conserver des données exactes.
L'exactitude des données est essentielle à la confidentialité des données. Le RGPD affirme que « toutes les mesures raisonnables » doivent être prises pour corriger, supprimer ou détruire toute donnée qui n’est pas exacte ou complète. Les individus ont le droit de demander que les données inexactes ou incomplètes soient corrigées ou mises à jour dans un délai de 30 jours. Cependant, il peut s'avérer impossible de corriger ou de mettre à jour les données dans d'autres cas, et les données devront peut-être être supprimées.
Toutes les organisations doivent supprimer les données personnelles lorsqu'elles ne sont plus nécessaires. Combien de temps une organisation doit-elle conserver les données clients ? Cela varie selon les secteurs et les raisons pour lesquelles les données sont collectées. Toute organisation qui ne sait pas combien de temps elle doit conserver ses données personnelles devrait consulter un professionnel du droit.
Le RGPD exige que les données personnelles soient sécurisées. Les données doivent être protégées contre la perte, la destruction ou les dommages. Ils doivent également être protégés contre tout traitement non autorisé et contre toute perte accidentelle, par des mesures techniques ou organisationnelles appropriées. Le RGPD est délibérément vague sur ce que les organisations doivent faire, car les meilleures pratiques technologiques et organisationnelles évoluent constamment.
Téléchargez votre guide gratuit
pour rationaliser votre Infosec
La liste de contrôle ci-dessous vous aidera à déterminer quoi faire si vous êtes un responsable du traitement des données.
Votre entreprise a complété une information audit pour savoir où se trouvent les données de votre entreprise.
Votre entreprise a documenté et identifié vos bases juridiques pour le traitement des données.
Le règlement général britannique sur la protection des données fixe des normes très élevées en matière de consentement. Cependant, vous n’avez pas toujours besoin du consentement. Dans certains cas, offrir aux gens un véritable choix et un contrôle sur la manière dont vous utilisez leurs données améliore votre réputation et crée plus de confiance. Le RGPD s'appuie sur la norme de consentement de la loi de 1998 dans plusieurs domaines et contient plus de détails sur ce qui constitue un consentement valide et d'autres bases juridiques pour le traitement des données des personnes.
Vous devez disposer d'une base légale pour traiter les données personnelles d'un mineur. Si vous comptez sur le consentement comme base légale pour le traitement des données et que vous proposez des services en ligne à des enfants, vous devez déployer des efforts raisonnables pour vérifier que toute personne donnant son propre consentement est suffisamment âgée pour le faire. Par conséquent, vous devrez vous assurer que toute personne qui vous donne son consentement est âgée de plus de 13 ans.
Si vous fournissez un service en ligne pour des enfants de moins de 13 ans, vous devez d'abord obtenir le consentement de la personne qui détient la responsabilité parentale à l'égard de l'enfant. Vous devez alors déployer des efforts raisonnables pour vérifier que la personne qui donne son consentement pour l’enfant a bien la responsabilité parentale.
Si vous devez traiter tout type de données pour protéger les intérêts d'une personne, votre entreprise doit documenter les circonstances dans lesquelles cela sera pertinent et informer ces personnes si nécessaire.
Si vous vous fondez sur des intérêts légitimes comme base légale pour le traitement, votre entreprise a démontré qu'elle a pris en compte et protégé les droits et intérêts des individus.
Toutes les organisations ou entreprises qui traitent des informations personnelles doivent payer des frais à l'ICO, sauf si elles en sont exemptées.
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.
Pour être sûr, supposez toujours que tout ce que vous stockez sur un client sont des données personnelles et assurez-vous respecter la loi/Protection des données Agissez lorsqu’il s’agit de stocker et de traiter ces données. Assurez la sécurité du traitement des données personnelles de vos clients, conforme aux réglementations en matière de confidentialité des données et que vous les effacez rapidement lorsqu'ils ne sont plus nécessaires.
Il est essentiel d’envisager la pseudonymisation et/ou le cryptage des données personnelles lorsqu’il s’agit d’une catégorie particulière de données personnelles. Pour ce faire, remplacez les informations d’identification par des « identifiants artificiels ». Cela garantira que les données personnelles restent sécurisées.
Même si elle est mentionnée 15 fois dans le RGPD, la pseudonymisation seule ne suffit pas ; il a ses limites, c'est pourquoi le cryptage est également mentionné dans le RGPD.
Le chiffrement brouille ou code les informations en les remplaçant par autre chose. La pseudonymisation permet à toute personne ayant accès aux données de votre organisation de visualiser cet ensemble de données, le cryptage d'autre part. permet uniquement aux utilisateurs « approuvés » d'accéder l’ensemble complet des données.
Il est possible d'utiliser à la fois la pseudonymisation et le cryptage en même temps ou séparément dans le cadre du RGPD.
Le RGPD britannique vous oblige à désigner un Responsable de la protection des données (DPO). Ce DPO est responsable d'assurer votre organisation est conforme à la nouvelle réglementation. Ils travailleront également avec vous sur toute modification nécessaire à vos procédures de gestion des données.
Les délégués à la protection des données vous aident à contrôler votre conformité aux lois sur la protection des données et à vous fournir des conseils sur les analyses d'impact sur la protection des données (DPIA). Les DPD font également office de point de contact pour les personnes concernées et l'ICO. Un DPO est une personne qui est déjà employée par votre entreprise, ou peut-être quelqu'un qui n'a aucun lien préalable avec votre entreprise.
Le DPD doit être indépendant, expert en protection des données, suffisamment financé et rendre compte au plus haut niveau de direction. Plusieurs organisations peuvent désigner un seul DPD dans certains cas.
Un d' les principes fondamentaux du RGPD britannique sont que vous devez sécuriser le traitement des données personnelles en utilisant des mesures organisationnelles appropriées. C'est le « principe de sécurité ».
Vous devez prendre des mesures raisonnables destinées à garantir la confidentialité, l'intégrité et la disponibilité de vos systèmes et services ainsi que des données personnelles que vous y traitez.
Comme vous pouvez le voir ci-dessus, le pénalités financières car enfreindre le RGPD n’est pas bon marché.
Vous pouvez prendre différentes mesures pour rendre votre entreprise conforme :
Les modalités de travail à distance ou flexibles sont parmi les facteurs les plus importants lors de la recherche d'un emploi. La plupart des employeurs n'ont pas de politique formelle de travail à distance, malgré le nombre croissant d'entreprises proposant des opportunités de travail à distance. Cela vous rend vulnérable.
Toutes les entreprises/organisations devraient mettre en place une solide politique de travail à distance. Cela aidera à orienter le modèle opérationnel de votre entreprise.
Il est également essentiel que les développeurs distants comprennent comment collecter et accéder aux données de manière conforme au RGPD.
Trouvez des moyens de renforcer votre politique de travail à domicile grâce à des séances de formation et de sensibilisation des employés.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
