Comment démontrer la conformité à l'article 12 du RGPD

Version du RGPD au Royaume-Uni

1. Le responsable du traitement prend les mesures appropriées pour fournir à la personne concernée toute information visée aux articles 13 et 14 et toute communication au titre des articles 15 à 22 et 34 relative au traitement sous une forme concise, transparente, intelligible et facilement accessible, en utilisant des moyens clairs et clairs. langue, notamment pour toute information adressée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens, y compris, le cas échéant, par des moyens électroniques. À la demande de la personne concernée, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit prouvée par d'autres moyens.
2. Le responsable du traitement facilite l'exercice des droits des personnes concernées en vertu des articles 15 à 22. Dans les cas visés à l'article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer ses droits en vertu des articles 15 à 22, sauf si le responsable du traitement démontre qu'il n'est pas en mesure d'identifier la personne concernée.
3. Le responsable du traitement fournit à la personne concernée des informations sur les suites données à une demande au titre des articles 15 à 22, sans retard indu et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre des demandes. Le responsable du traitement informe la personne concernée de toute prolongation dans un délai d'un mois à compter de la réception de la demande, en lui indiquant les raisons du retard. . Lorsque la personne concernée formule la demande par voie électronique, les informations sont fournies par voie électronique lorsque cela est possible, sauf demande contraire de la personne concernée.
4. Si le responsable du traitement ne donne pas suite à la demande de la personne concernée, il informe la personne concernée sans délai et au plus tard dans le mois suivant la réception de la demande des raisons de son inaction et de la possibilité de déposer une plainte. déposer une plainte auprès d'une autorité de contrôle, le commissaire, et solliciter un recours judiciaire.
5. Les informations fournies au titre des articles 13 et 14 ainsi que toute communication et toute action entreprise au titre des articles 15 à 22 et 34 seront fournies gratuitement. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut soit :
• Facturer des frais raisonnables tenant compte des frais administratifs liés à la fourniture des informations ou de la communication ou à la prise des mesures demandées ; ou
• Refusez de donner suite à la demande.

Il appartient au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6. Sans préjudice de l'article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique qui fait la demande visée aux articles 15 à 21, le responsable du traitement peut demander la fourniture d'informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.
• [6A. Le commissaire peut publier (et modifier ou retirer)
• (a) Des icônes standardisées à utiliser en combinaison avec les informations fournies aux personnes concernées en vertu des articles 13 et 14 ;
• (b) Un avis indiquant que d'autres personnes peuvent publier (et modifier ou retirer) ces icônes, à condition que les icônes satisfassent aux exigences spécifiées dans l'avis quant aux informations à présenter par les icônes et aux procédures de fourniture des icônes.
• 6B. Le commissaire ne doit pas publier d'icônes ou d'avis en vertu du paragraphe 6A à moins d'être convaincu (le cas échéant) que les icônes donnent un aperçu significatif du traitement prévu d'une manière facilement visible, intelligible et clairement lisible ou que l'avis donnera lieu à des icônes qui le feront. .]
7. Si des icônes standardisées sont publiées comme décrit au paragraphe 6A (et ne sont pas retirées), les informations à fournir aux personnes concernées conformément aux articles 13 et 14 peuvent être fournies en combinaison avec les icônes. Lorsque les icônes sont présentées électroniquement, elles doivent être lisibles par machine.

Commentaire technique

Qualité des informations fournies

Les informations fournies par le responsable du traitement au commettant doivent être :

1. Concis.
2. Transparent.
3. Intelligible.
4. Facile d'accès.
5. Facilement compris.
6. Dans le format approprié.

Faciliter les droits de la personne concernée

Bien que le RGPD ne contienne pas d'instructions spécifiques relatives à la manière dont les organisations doivent fournir « des mécanismes pour demander et, le cas échéant, obtenir, gratuitement, notamment, l'accès et la rectification ou l'effacement des données personnelles et l'exercice du droit » s'opposer ».

Délais

La législation omet toute définition précise de ce qui est considéré comme un délai acceptable pour répondre aux demandes. Il appartient plutôt aux organisations d'agir le plus rapidement possible (ou « sans retard excessif ») dans un délai d'un mois – prolongé à deux mois pour les demandes complexes.

Si une organisation n'a pas l'intention de donner suite à une demande, la personne concernée doit être informée des raisons dans un délai d'un mois, ainsi que des informations sur la manière de déposer une plainte.

Article 12 (2) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.1

Détermination et respect des obligations envers les dirigeants de Pii

Les organisations doivent documenter leurs obligations envers les responsables des informations personnelles dans trois domaines clés :

1. Juridique
2. Réglementaire.
3. Entreprise.

Les organisations doivent fournir une documentation transparente et un point de contact désigné aux responsables des PII, afin de faciliter la libre circulation des informations et de ne pas empêcher en aucun cas le responsable des PII d'établir les obligations du responsable du traitement.

Il est important de noter que, pour garantir l'uniformité, tout moyen de contact fourni doit refléter la manière dont l'organisation collecte les informations personnelles – par exemple en fournissant une adresse e-mail ou une PoC, si les données ont été collectées par e-mail, plutôt que de simplement demander à un mandant d'écrire. une lettre.

Articles 12 (1) et (7) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.3

Fournir des informations aux responsables des informations personnelles

Les organisations doivent être en mesure de fournir aux responsables des PII des informations identifiant le responsable du traitement des PII et la manière dont les données sont traitées.

Les organisations doivent faire tout leur possible pour s'assurer qu'elles utilisent un langage accessible qui évite le jargon industriel et transmet les informations dans des termes simples et faciles à comprendre (voir ISO 27702 Clause 7.3.2).

Prise en charge des clauses ISO 27701

• ISO 27701 7.3.2

Articles 12 (3), (4), (5), (6) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.9

Les demandes des responsables des PII doivent être régies par des processus et des contrôles largement compris dans toute l'organisation et répondre aux spécificités de toute exigence législative ou réglementaire, y compris des délais de réponse adéquats.

Les demandes peuvent inclure :

1. Copies de données.
2. Plaintes.
3. Précisions procédurales.

Les organisations sont légalement autorisées à facturer des frais de traitement, mais ceux-ci ne s'appliquent généralement qu'aux demandes de données répétitives ou excessives.

Prise en charge des contrôles de la norme ISO 27701

Comment ISMS.online vous aide

ROPA en toute simplicité

Nous faisons du mappage de données une tâche simple. Il est facile d'enregistrer et de réviser tout cela, en ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.

Modèles d'évaluation

Nous fournissons des modèles faciles à utiliser pour enregistrer les évaluations de confidentialité et d’intérêt légitime.

Un espace sécurisé pour la RRC

Vous devrez montrer dans quelle mesure vous gérez les demandes de droits des personnes concernées (DRR). Notre espace RRC sécurisé conserve tout cela au même endroit, en le soutenant avec des rapports et des informations automatisés.

Gestion des violations

Si le pire arrive, vous serez prêt. Nous facilitons la planification et la communication de votre flux de travail en matière de violation, ainsi que la documentation et les enseignements tirés de chaque incident.

En savoir plus par réserver une démo.