Comment démontrer la conformité à l'article 14 du RGPD

Version du RGPD au Royaume-Uni

Informations à fournir lorsque les données personnelles n'ont pas été obtenues auprès de la personne concernée

1. Lorsque des données personnelles n'ont pas été obtenues auprès de la personne concernée, le responsable du traitement fournit à la personne concernée les informations suivantes :
• L'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
• Les coordonnées du délégué à la protection des données, le cas échéant ;
• Les finalités du traitement auxquelles sont destinées les données personnelles ainsi que la base juridique du traitement ;
• Les catégories de données personnelles concernées ;
• Les destinataires ou catégories de destinataires des données personnelles, le cas échéant ;
• Le cas échéant, le responsable du traitement a l'intention de transférer des données personnelles à un destinataire dans un pays tiers ou une organisation internationale et l'existence ou l'absence de réglementations d'adéquation pertinentes en vertu de l'article 17A de la loi de 2018, ou dans le cas de transferts visés à l'article 46 ou 47, ou le deuxième alinéa de l'article 49, paragraphe 1, référence aux garanties appropriées ou appropriées et aux moyens d'en obtenir une copie ou à l'endroit où elles ont été mises à disposition.
2. Outre les informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes, nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée :
• La durée pendant laquelle les données personnelles seront conservées, ou si cela n'est pas possible, les critères utilisés pour déterminer cette durée ;
• Lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
• L'existence du droit de demander au responsable du traitement l'accès, la rectification ou l'effacement des données personnelles ou la limitation du traitement concernant la personne concernée et de s'opposer au traitement ainsi que le droit à la portabilité des données ;
• Lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans affecter la licéité du traitement fondé sur le consentement avant son retrait;
• Le droit de déposer une plainte auprès du commissaire ;
• De quelle source proviennent les données personnelles et, le cas échéant, si elles proviennent de sources accessibles au public ;
• L'existence d'une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que sur l'importance et les conséquences envisagées d'un tel traitement. pour la personne concernée.
3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2 :
• Dans un délai raisonnable après l'obtention des données personnelles, mais au plus tard dans un délai d'un mois, compte tenu des circonstances particulières dans lesquelles les données personnelles sont traitées ;
• Si les données personnelles doivent être utilisées pour la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne concernée ; ou
• Si une transmission à un autre destinataire est envisagée, au plus tard lors de la première transmission des données personnelles.
4. Lorsque le responsable du traitement a l'intention de traiter ultérieurement les données à caractère personnel dans un but autre que celui pour lequel les données à caractère personnel ont été obtenues, le responsable du traitement fournit à la personne concernée, avant ce traitement ultérieur, des informations sur cette autre finalité et toute autre information pertinente comme indiqué au paragraphe 2.
5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où :
• La personne concernée dispose déjà des informations ;
• La fourniture de ces informations s'avère impossible ou impliquerait un effort disproportionné, notamment pour un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de nuire gravement à la réalisation des objectifs de ce traitement. Dans de tels cas, le responsable du traitement prend les mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, notamment en rendant les informations accessibles au public ;
• L'obtention ou la divulgation est expressément prévue par le droit interne, qui prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée ; ou
• Lorsque les données personnelles doivent rester confidentielles sous réserve d’une obligation de secret professionnel réglementée par le droit interne, y compris une obligation légale de secret.

Commentaire technique

Les organisations doivent rendre disponibles les informations suivantes après la collecte des données du sujet :

1. L'identité de leur délégué à la protection des données.
2. Coordonnées de leur délégué à la protection des données.
3. Le but et la base juridique de la collecte des données.
4. Les catégories de données personnelles qui ont été obtenues indirectement.
5. Tout intérêt légitime.
6. L'identité des destinataires.
7. Transferts internationaux de données, y compris les détails du pays et les garanties.

Obligations d'information au moment de l'obtention des données personnelles

En plus des informations ci-dessus, l'organisation doit également fournir :

1. Détails de la durée de conservation des données ;
2. Les spécificités des droits de la personne concernée, en vertu de la loi sur la protection des données ;
3. Informations sur la manière de retirer le consentement ;
4. Comment déposer une plainte ;
5. Toute exigence contractuelle ou statutaire ;
6. Détails des processus de prise de décision automatisés.

Délais pour lesquels les informations sur le traitement doivent être fournies

• Scénario 1 – Données personnelles collectées avec sans intention contacter la personne concernée ou divulguer les données à un tiers
• Délai de contact – Un mois
• Scénario 2 – Données personnelles collectées avec une intention contacter la personne concernée
• Délai de contact – Deux mois
• Données personnelles collectées avec une intention de les divulguer à un tiers
• Délai de contact – Deux mois

Article 14 du RGPD de l'UE et clause 27701 de la norme ISO 7.3.2

Cette section fait référence aux articles 14 (1) (a), 14 (1) (b), 14 (1) (c), 14 (1) (d), 14 (1) (e) et 14 (1) du RGPD. f), 14 (2)(b), 14 (2)(e), 14 (2)(f), 14 (3)(a), 14 (3)(b), 14 (3)(c) , 14 (4), 14 (5)(a), 14 (5)(b), 14 (5)(c), 14 (5)(d)

Voir les directives ISO 27701, clause 7.3.2, dans l'article 13.

Article 14 (2)(d) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.4

Voir les directives ISO 27701, clause 7.3.4, dans l'article 13.

Article 14 (2)(c) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.5

Voir les directives ISO 27701, clause 7.3.5, dans l'article 13.

Article 14 (2)(c) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.6

Voir les directives ISO 27701, clause 7.3.6, dans l'article 13.

Article 14 (2)(g) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.10

Voir les directives ISO 27701, clause 7.3.10, dans l'article 13.

Article 14 (2)(a) du RGPD de l'UE et clause 27701 de la norme ISO 7.4.7

Voir les directives ISO 27701, clause 7.4.7, dans l'article 13.

Prise en charge des contrôles de la norme ISO 27701

Comment ISMS.online vous aide

Nous fournissons un environnement prédéfini pour vous permettre de décrire et de démontrer votre approche de la protection de vos données clients européennes et britanniques, qui s'intègre parfaitement dans votre système de gestion.

C'est pourquoi nous avons créé une banque de risques intégrée et une gamme d'autres outils pratiques qui vous aideront à chaque étape du processus d'évaluation et de gestion des risques. Quelles que soient les normes ou réglementations en matière de confidentialité sur lesquelles vous travaillez, vous devrez montrer dans quelle mesure vous gérez les demandes de droits des personnes concernées (DRR). Notre espace RRC sécurisé conserve tout cela au même endroit, en le soutenant avec des rapports et des informations automatisés.

En savoir plus par réserver une démo de 30 minutes.