RGPD L'article 24 est la première section du RGPD qui traite des obligations générales du responsable du traitement, qui sont décrites plus en détail dans les articles suivants.
Le changement de ton, passant d'une conformité passive à l'utilisation d'un langage obligatoire, est une caractéristique de la législation RGPD et donne le ton sur la manière dont les contrôleurs sont censés se comporter ultérieurement dans la législation.
Responsabilité du responsable du traitement
- Compte tenu de la nature, de l'étendue, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et mises à jour si nécessaire.
- Lorsqu'elles sont proportionnées par rapport aux activités de traitement, les mesures visées au paragraphe 1 incluent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
- Le respect des codes de conduite approuvés visés à l'article 40 ou des mécanismes de certification approuvés visés à l'article 42 peut être utilisé comme élément permettant de démontrer le respect des obligations du responsable du traitement.
Responsabilité du responsable du traitement
- Compte tenu de la nature, de l'étendue, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et mises à jour si nécessaire.
- Lorsqu'elles sont proportionnées par rapport aux activités de traitement, les mesures visées au paragraphe 1 incluent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
- Le respect des codes de conduite approuvés visés à l'article 40 ou des mécanismes de certification approuvés visés à l'article 42 peut être utilisé comme élément permettant de démontrer le respect des obligations du responsable du traitement.
Le RGPD ne définit pas réellement ce qu'est une mesure technique, ce qui a semé une certaine confusion parmi les organisations qui ont du mal à comprendre quelles sont leurs obligations. En tant que tel, la plupart des autorités juridiques ont défini le terme « mesure » comme toute action qu'une organisation peut entreprendre, ce qui la rend conforme.
Compte tenu de la portée large du terme « mesure », afin de déterminer comment assurer la conformité, les organisations devraient se soumettre à une évaluation approfondie des risques qui prend en compte les nature, portée ainsi que but de ses activités de traitement.
En outre, les organisations doivent être continuellement conscientes du droit à la liberté individuelle, ainsi que des risques opérationnels.
En règle générale, plus le traitement est risqué, plus le nombre de preuves requis est important. Les organisations doivent se préoccuper de collecter des preuves physiques et numériques prouvant qu’elles sont une organisation conforme et respectueuse de la loi.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.
Ceci comprend :
La gestion des dossiers englobe quatre domaines clés :
Les organisations devraient :
L'ISO préconise une approche double face de la protection de la vie privée au sein des organisations, qui comprend :
Les deux types de politiques peuvent être soit combinés en un seul document, soit séparés selon le bon vouloir de l’organisation.
Les politiques doivent être diffusées à tous les membres du personnel concernés (et au personnel externe, le cas échéant), afin de garantir le respect continu des exigences internes et externes en matière de protection de la vie privée.
Il convient de demander à toute personne recevant une politique de confirmer, de préférence par écrit, qu'elle comprend ce qui lui est demandé et qu'elle est prête à s'y conformer.
Les politiques doivent être revues lorsque des modifications sont apportées à :
La haute direction doit établir une politique de protection de la vie privée de haut niveau (ainsi que d'autres politiques spécifiques à un sujet) qui décrit clairement les processus et les mesures pratiques qui seront prises afin de protéger les informations personnelles.
Les politiques organisationnelles de protection de la vie privée doivent contenir des informations provenant de et rester pertinentes pour :
Les politiques de protection de la vie privée doivent définir les éléments suivants de l'organisation :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides
Les enregistrements (également appelés « listes d'inventaire ») doivent avoir un propriétaire délégué et peuvent inclure :
Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
---|---|---|
Article 24 (3) du RGPD de l’UE | ISO 27701 5.2.1 | Aucun |
Article 24 (2) du RGPD de l’UE | ISO 27701 6.15.1.3 | Aucun |
Article 24 (2) du RGPD de l’UE | ISO 27701 6.2.1.1 | Aucun |
Article 24 (1) du RGPD de l’UE | ISO 27701 7.2.8 | Aucun |
ISMS.online vous propose une solution complète RGPD.
Nous fournissons un environnement prédéfini pour vous permettre de décrire et de démontrer votre approche de la protection de vos données clients européennes et britanniques, qui s'intègre parfaitement dans votre système de gestion.
La plateforme ISMS.online dispose de conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour démontrer votre approche du RGPD sont considérablement réduits.
Vous avez 30 minutes ? Apprenez-en davantage en réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo