Le sous-traitant traite uniquement les données personnelles identifiables pour le compte du contrôleur de données. Le sous-traitant est généralement un tiers externe à l’entreprise.
Dans un contrat ou un autre acte juridique, les devoirs du sous-traitant envers le responsable du traitement doivent être précisés, comme par exemple informer les responsables du traitement de ce qui arrive aux données personnelles une fois qu'un contrat privé est résilié.
Les processeurs de données incluent les machines qui effectuent des opérations sur les données, telles que les calculatrices ou les ordinateurs, et désormais les fournisseurs de services cloud peuvent être étiquetés comme processeurs de données.
Un processeur de données tiers ne possède ni ne contrôle les données qu'il traite. Le sous-traitant ne peut pas modifier la finalité des données ni la manière dont elles sont utilisées.
Les sous-traitants effectuent diverses tâches de traitement de données pour une entreprise, telles que le stockage de données, la récupération de données, la gestion de la paie, les activités de marketing ou la sécurité des données.
Le traitement définit toute opération ou ensemble d'opérations effectuées sur des données personnelles ou des ensembles de données individuelles privées, que ce soit par des moyens automatisés ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la consultation, l'utilisation, la divulgation par transmission, dissémination.
Dans le Règlement général sur la protection des données (GDPR), le responsable du traitement et le sous-traitant ont des responsabilités similaires et, en vertu du RGPD, adhèrent également à des principes similaires. Par rapport au prédécesseur du RGPD, il n’y a pas beaucoup de changement en ce qui concerne ce qu’est un sous-traitant.
Les sous-traitants doivent assister les responsables du traitement dans certaines circonstances, par exemple en cas de notification potentielle d'une violation de données personnelles ou en envisageant une Évaluation de l'impact sur la protection des données (DPIA).
Le responsable du service RH de votre organisation dispose de méthodes pour traiter les données personnelles des candidats et des employés qui doivent être protégées. Il est possible que certaines activités de traitement des données RH soient effectuées par un tiers. Un transformateur est une entreprise vers laquelle vous sous-traiterez.
Votre équipe marketing traite les données personnelles des clients potentiels et des clients existants. Ces derniers sont sous-traitants lorsqu’ils travaillent avec une société ou une agence d’email marketing qui utilise ces données pour des campagnes.
Lorsque vous souhaitez qu'un client potentiel compose un numéro spécifique dans le cadre d'une campagne télévisée, etc., vous avez peut-être externalisé les activités du centre de contact entrant de votre organisation ou utilisé un centre d'appels.
Les personnes concernées sont les personnes qui appellent et le centre de contact devient le sous-traitant.
Le sous-traitant n'est jamais propriétaire des données personnelles. Le responsable du traitement n'est pas propriétaire des données personnelles de ses clients, prospects, salariés ou de toute autre personne. La personne physique est propriétaire des données personnelles.
Si un sous-traitant fait appel à un sous-traitant ultérieur pour faciliter le traitement des données personnelles d'un responsable du traitement, votre sous-traitant doit avoir un contrat écrit avec ce sous-traitant. Un sous-traitant ultérieur est généralement une autre organisation.
Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.
Par exemple, il y a beaucoup d’employés à la brasserie. L'entreprise signe un contrat avec une société de paie pour payer les salaires.
Lorsqu'un employé bénéficie d'une augmentation de salaire ou quitte son poste, la brasserie indique à l'entreprise de paie quand le salaire doit ou ne doit pas être payé.
La brasserie sera le responsable du traitement des données et la société de paie sera le responsable du traitement des données.
Le règlement général sur la protection des données a défini les différents rôles et responsabilités attendus d'un responsable du traitement ou d'un sous-traitant.
Vous pouvez être sûr que vous avez accompli tout ce qui devait être fait de votre part en vous assurant de respecter la loi.
Les sous-traitants ont moins d'indépendance quant aux données qu'ils traitent, mais ils ont des responsabilités légales en vertu de la loi britannique GDPR et sont soumis à la réglementation des autorités.
Si vous êtes un sous-traitant, vous avez certaines responsabilités et obligations, telles que :
Vous devez tenir des registres, maintenir et nommer un délégué à la protection des données pour se conformer à certains RGPD obligations de responsabilité.
L'interdiction du Royaume-Uni de transférer des données personnelles à d'autres personnes est conforme à l'interdiction de l'UE de transférer des données personnelles à d'autres personnes. Vous devez vous assurer que tout transfert en dehors du Royaume-Uni est approuvé par le responsable du traitement et est conforme aux dispositions de transfert du RGPD britannique.
Vous êtes tenu d'aider les autorités à accomplir leurs tâches en coopérant avec elles, comme le Bureau du commissaire à l'information (ICO).
Les responsables du traitement doivent s'assurer qu'ils travaillent avec des sous-traitants qui offrent des garanties quant à leur capacité à traiter les données personnelles et à se conformer au RGPD et à la protection des droits de la personne concernée.
Le RGPD britannique s'applique au traitement des données effectué par des organisations au Royaume-Uni. Cela s'applique aux organisations situées en dehors du Royaume-Uni qui proposent des biens ou des services à des particuliers au Royaume-Uni.
En vertu du RGPD, certaines activités ne sont pas soumises à la loi sur la protection des données, notamment le traitement à des fins de sécurité nationale, le traitement effectué par des personnes uniquement pour des activités personnelles/domestiques et le traitement couvert par le RGPD. Directive d'application de la loi.
La période de transition du Brexit a pris fin en décembre 2020. Les organisations britanniques qui traitent des données personnelles doivent se conformer :
Il existe des différences minimes entre le RGPD britannique et son équivalent européen. La structure de l'UE a été améliorée par le Royaume-Uni et mise en place dans la législation du pays.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Les sous-traitants ont moins d'obligations mais doivent veiller à ne traiter les données personnelles que conformément aux instructions du responsable du traitement.
Les Protection des données Le responsable, que l'entreprise peut avoir désigné, est chargé de superviser la manière dont les données personnelles sont traitées et d'informer et conseiller les employés qui traitent les données personnelles.
Le DPD communique et coopère également avec le Protection des données Autorité (APD).
Votre entreprise est tenue de désigner un DPD lorsque :
Le DPO peut être membre de votre organisation ou être engagé sur la base d'un contrat de service.
Un sous-traitant est une personne physique, une agence, une autorité publique ou tout autre organisme qui détient des données personnelles pour le compte d'un responsable du traitement.
Votre personnel traite les données conformément à vos instructions. Votre équipe n'est pas considérée comme un tiers au sens juridique du terme, et donc tout traitement qu'elle effectue fait partie de l'action d'un responsable du traitement des données.
Si vous faites appel à du personnel, vous n'avez pas de contrat de travail direct avec, par exemple, le personnel de l'agence que l'agence paie. L'agence agit en tant que sous-traitant.
La liste suivante explique les tâches typiques d'un sous-traitant :
Votre équipe marketing collecte les données personnelles des clients potentiels et existants. Lorsque votre organisation travaille avec une société ou une agence d’email marketing qui utilise ces données, ces dernières sont des sous-traitants.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
L'article 5 des principes du RGPD décrit clairement ce à quoi une personne concernée peut s'attendre lors du traitement de ses données personnelles.
Données personnelles identifiables désigne toute information pouvant être utilisée pour identifier un individu. Cela inclut les noms, adresses, numéros de téléphone, détails de carte de crédit, etc.
Ce qui identifie une personne peut être aussi simple qu'un nom ou un numéro, ou cela peut inclure d'autres facteurs tels qu'une adresse de protocole Internet ou un identifiant de cookie.
Si vous pouvez identifier une personne directement à partir des informations que vous traitez, ces informations peuvent être des données personnelles.
Vous devez vous demander si la personne est toujours identifiable si vous ne pouvez pas l’identifier directement. Toutes les ressources raisonnablement susceptibles d'être utilisées pour identifier cette personne doivent être prises en compte, ainsi que les informations que vous traitez.
La prise en compte de divers facteurs, notamment le contenu des données, la ou les finalités pour lesquelles vous les traitez et l'impact probable de ce traitement sur l'individu, est ce que vous devez prendre en compte lorsque vous déterminez si les informations « se rapportent » à un individu. .
Il est possible que les mêmes informations soient personnellement identifiables aux fins d'un contrôleur mais ne soient pas personnellement identifiables aux fins d'un autre contrôleur.
Les informations qui ont été supprimées ou remplacées pour masquer les données restent des données personnelles aux fins du RGPD britannique.
Les informations véritablement anonymes ne sont pas couvertes par le règlement général sur la protection des données du Royaume-Uni.
Les informations qui semblent se rapporter à une personne spécifique restent des données personnelles, car elles se rapportent à cette personne, même si elles ne sont pas exactes.
S'assurer que votre entreprise est conforme au RGPD est crucial. Une excellente façon de commencer consiste à entreprendre un audit des informations et/ou un exercice de cartographie des données pour vous assurer que vous savez quelles données personnelles votre organisation détient et où.
L'entreprise est passible d'amendes si elle ne tient pas de registres des activités de traitement ou ne fournit pas un index complet aux autorités. Ceci est conforme à l’article 83.4.a du règlement RGPD.
Téléchargez votre guide gratuit
pour rationaliser votre Infosec