Comment démontrer la conformité à l'article 13 du RGPD

Version du RGPD au Royaume-Uni

Article 13 : Informations à fournir en cas de collecte de données personnelles auprès de la personne concernée

1. Lorsque des données personnelles relatives à une personne concernée sont collectées auprès de la personne concernée, le responsable du traitement doit, au moment où les données personnelles sont obtenues, fournir à la personne concernée toutes les informations suivantes :
• L'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
• Les coordonnées du délégué à la protection des données, le cas échéant ;
• Les finalités du traitement auxquelles sont destinées les données personnelles ainsi que la base juridique du traitement ;
• Lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
• Les destinataires ou catégories de destinataires des données personnelles, le cas échéant ;
• Le cas échéant, le fait que le responsable du traitement ait l'intention de transférer des données personnelles vers un pays tiers ou une organisation internationale et l'existence ou l'absence de réglementations d'adéquation pertinentes en vertu de l'article 17A de la loi de 2018, ou dans le cas de transferts visés à l'article 46 ou 47. , ou à l'article 49, paragraphe 1, deuxième alinéa, une référence aux garanties appropriées ou appropriées et aux moyens permettant d'en obtenir une copie ou à l'endroit où elles ont été mises à disposition.
2. Outre les informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations supplémentaires suivantes, nécessaires pour garantir un traitement équitable et transparent :
• La durée pendant laquelle les données personnelles seront conservées, ou si cela n'est pas possible, les critères utilisés pour déterminer cette durée ;
• L'existence du droit de demander au responsable du traitement l'accès et la rectification ou l'effacement des données personnelles ou la limitation du traitement concernant la personne concernée ou de s'opposer au traitement ainsi que le droit à la portabilité des données ;
• Lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans affecter la licéité du traitement fondé sur le consentement avant son retrait ;
• Le droit de déposer une plainte auprès du commissaire ;
• Si la fourniture de données personnelles est une exigence légale ou contractuelle, ou une exigence nécessaire pour conclure un contrat, ainsi que si la personne concernée est obligée de fournir les données personnelles et les conséquences possibles d'un défaut de fourniture de ces données ;
• L'existence d'une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que sur l'importance et les conséquences envisagées d'un tel traitement. pour la personne concernée.
3. Lorsque le responsable du traitement a l'intention de traiter ultérieurement les données à caractère personnel dans un but autre que celui pour lequel les données à caractère personnel ont été collectées, le responsable du traitement fournit à la personne concernée, avant ce traitement ultérieur, des informations sur cette autre finalité et toute autre information pertinente comme indiqué au paragraphe 2.
4. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque et dans la mesure où la personne concernée dispose déjà des informations.

Commentaire technique

Les organisations doivent rendre les informations suivantes disponibles au point de collecte, le cas échéant (par exemple, virements internationaux) :

1. L'identité de leur délégué à la protection des données.
2. Coordonnées de leur délégué à la protection des données.
3. Le but et la base juridique de la collecte des données.
4. Tout intérêt légitime.
5. L'identité des destinataires.
6. Transferts internationaux de données, y compris les détails du pays et les garanties.

Obligations d'information au moment de l'obtention des données personnelles

Conformément aux orientations décrites à l’article 13, les organisations doivent également fournir les informations suivantes :

• Détails de la durée de conservation des données.
• Les spécificités des droits de la personne concernée, en vertu de la loi sur la protection des données.
• Informations sur la manière de retirer le consentement.
• Comment déposer une plainte.
• Source des données obtenues.
• Toute exigence contractuelle ou statutaire.
• Détails des processus de prise de décision automatisés.

RGPD de l'UE Articles 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)( c), (2)(d), (2)(e), (3), (4) et ISO 27701, clause 7.3.2

Détermination des informations pour les principaux PII

Les organisations doivent définir un ensemble détaillé d'exigences qui régissent comment et quand les informations doivent être fournies aux responsables des PII.

Voici quelques exemples:

• La finalité sous-jacente des données collectées et traitées.
• Détails du contact.
• Comment et où les informations personnelles ont été obtenues.
• Exigences contractuelles et/ou statutaires.
• Comment le consentement peut-il être retiré.
• Transferts de données personnelles.
• Comment déposer une plainte.
• Comment l'organisation prend des décisions sur le traitement des informations personnelles.
• Délais de conservation des informations.

Article 13 (3) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.3

Fournir des informations aux responsables des informations personnelles

Toutes les informations doivent être fournies sans erreur et dans un langage facilement compréhensible (par exemple, dépourvu de jargon, pas trop technique) par les personnes ayant la capacité de les lire (voir ISO 27702 clause 7.3.2).

Prise en charge des clauses ISO 27701

• ISO 27701 7.3.2

Article 13 (2)(c) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.4

Fournir un mécanisme pour modifier ou retirer le consentement

Des mécanismes devraient être prévus pour respecter les droits de tout mandant de PII qui cherche à retirer son consentement.

Les canaux de communication doivent refléter ceux qui ont été utilisés par l'organisation pour collecter initialement les données, et les responsables des informations personnelles doivent pouvoir empêcher le responsable du traitement d'effectuer certaines actions.

Les organisations doivent s'engager à publier un délai de réponse pour toute demande de modification ou de retrait de consentement, et toutes ces demandes doivent être soigneusement documentées.

Article 13 (2)(b) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.5

Fournir un mécanisme pour s'opposer au traitement des informations personnelles

Les lois locales et nationales varient selon les juridictions, mais dans l'ensemble, les responsables des informations personnelles doivent conserver la possibilité de soulever des objections sur la manière dont leurs données ont été stockées, traitées ou transférées.

Les organisations devraient :

1. Documentez toutes les exigences légales ou réglementaires liées aux objections soulevées par les responsables des PII.
2. Fournir aux personnes concernées des informations sur la manière dont elles peuvent s'y opposer.

Article 13 (2)(b) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.6

Accès, correction et/ou effacement

Les organisations doivent documenter les procédures qui permettent aux personnes concernées d'exercer trois fonctions de base :

1. Accès leurs données.
2. Correct leurs données.
3. Supprimer leurs données.

Les organisations doivent s'engager à publier un délai de réponse pour toutes les demandes d'accès, de correction ou de suppression, et fournir une raison expliquant pourquoi les corrections ne peuvent pas être appliquées, le cas échéant.

Si les informations personnelles ont été transférées à un tiers, les organisations sont tenues de leur transmettre toute demande et de confirmer l'accusé de réception (voir la clause 27701 de la norme ISO 7.3.7).

Selon la juridiction, diverses règles régionales et nationales peuvent s'appliquer. À ce titre, les organisations doivent maintenir une compréhension approfondie de toutes les lois ou réglementations qui s’appliquent à l’accès, à la correction ou à la suppression des informations personnelles.

Prise en charge des clauses ISO 27701

• ISO 27701 7.3.7

Article 13 (2)(f) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.10

Prise de décision automatisée

Les organisations doivent répondre à toutes les obligations légales envers les responsables des PII liées au traitement automatisé des PII.

Les organisations doivent prendre en compte les différences juridictionnelles dans la prise de décision automatisée concernant les informations personnelles – plus précisément, permettre aux responsables des informations personnelles de s'opposer et de demander une intervention humaine à la place des procédures automatisées.

Article 13 (2)(a) du RGPD de l'UE et clause 27701 de la norme ISO 7.4.7

Les organisations doivent supprimer et/ou éliminer les informations personnelles dont elles n’ont plus besoin ou qui ne remplissent plus un objectif spécifique.

Les organisations doivent fonctionner avec des calendriers de conservation qui décrivent la période exacte pendant laquelle les informations personnelles sont conservées, y compris le respect de toute exigence légale, statutaire ou contractuelle.

Prise en charge des contrôles de la norme ISO 27701

Comment ISMS.online vous aide

ROPA en toute simplicité

Notre solution PIMS simplifie la cartographie des données. Il est facile d'enregistrer et de réviser tout cela, en ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.

Banque de risques intégrée

La gestion des risques est la clé du succès d’un PIMS. C'est pourquoi nous avons créé une banque de risques intégrée et une gamme d'autres outils pratiques qui vous aideront à chaque étape du processus d'évaluation et de gestion des risques.

Espace sécurisé pour la RRC

Quelles que soient les normes ou réglementations en matière de confidentialité sur lesquelles vous travaillez, vous devrez montrer dans quelle mesure vous gérez les demandes de droits des personnes concernées (DRR). Notre espace RRC sécurisé conserve tout cela au même endroit, en le soutenant avec des rapports et des informations automatisés.

En savoir plus par réserver une démo.