Comment démontrer la conformité à l'article 28 du RGPD

Version du RGPD au Royaume-Uni

Processeur

1. Lorsque le traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait appel uniquement à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits des personnes. la personne concernée.
2. Le sous-traitant ne peut engager un autre sous-traitant sans autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informera le responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable la possibilité de s'opposer à ces modifications.
3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique de droit interne, qui lie le sous-traitant à l'égard du responsable du traitement et qui définit l'objet et la durée du traitement, la nature et la finalité du traitement. , le type de données personnelles et les catégories de personnes concernées ainsi que les obligations et les droits du responsable du traitement. Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :
• (a) traite les données personnelles uniquement sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si le droit national auquel le sous-traitant est soumis l'exige ; dans un tel cas, le sous-traitant informe le responsable du traitement de cette obligation légale avant le traitement, à moins que cette loi n'interdise de telles informations pour des raisons importantes d'intérêt public.
• (b) Garantit que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
• (c) Prend toutes les mesures requises en vertu de l’article 32.
• (d) Respecte les conditions visées aux paragraphes 2 et 4 pour engager un autre sous-traitant.
• (e) Compte tenu de la nature du traitement, assiste le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir l'obligation du responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée énoncées au chapitre III. .
• (f) Aide le responsable du traitement à assurer le respect des obligations prévues aux articles 32 à 36 en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.
• (g) Au choix du responsable du traitement, supprime ou restitue toutes les données personnelles au responsable du traitement après la fin de la fourniture de services liés au traitement, et supprime les copies existantes, sauf si le droit national exige le stockage des données personnelles.
• (h) Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent article et permettre et contribuer aux audits, y compris les inspections, menés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement.
   
  En ce qui concerne le premier alinéa, point h), le sous-traitant informe immédiatement le responsable du traitement s'il estime qu'une instruction enfreint le présent règlement ou une autre législation nationale relative aux obligations en matière de protection des données.
4. Lorsqu'un sous-traitant engage un autre sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations de protection des données que celles énoncées dans le contrat ou tout autre acte juridique entre le responsable du traitement et le sous-traitant, telles que visées au paragraphe 3, lui sont imposées. autre sous-traitant par le biais d'un contrat ou d'un autre acte juridique en vertu du droit national, fournissant notamment des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial reste entièrement responsable envers le responsable du traitement de l'exécution des obligations de cet autre sous-traitant.
5. L'adhésion d'un sous-traitant à un code de conduite approuvé tel que visé à l'article 40 ou à un mécanisme de certification approuvé tel que visé à l'article 42 peut être utilisée comme un élément permettant de démontrer des garanties suffisantes telles que visées aux paragraphes 1 et 4 du présent article. .
6. Sans préjudice d'un contrat individuel entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur des clauses contractuelles types visées au paragraphe 8 du présent article, y compris lorsqu'ils font partie d'une certification accordée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.
7. Le commissaire peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article.
8. Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 est rédigé par écrit, y compris sous forme électronique.
9. Sans préjudice des articles 82, 83 et 84, si un sous-traitant enfreint le présent règlement en déterminant les finalités et les moyens du traitement, le sous-traitant est considéré comme responsable du traitement pour ce traitement.

Commentaire technique

L'article 28 du RGPD traite de 8 domaines constitutifs qui régissent la manière dont les activités de traitement des données peuvent être sous-traitées à des prestataires de services tiers :

1. Les exigences minimales nécessaires pour faire appel à un fournisseur de services.
2. Engagement ultérieur d'autres sous-traitants, une fois que le fournisseur de services a été engagé.
3. La nécessité d’un contrat écrit juridiquement contraignant.
4. Sous-traitance (sous-traitance).
5. Codes de bonne conduite.
6. Clauses contractuelles.
7. Exigences de forme.
8. Conséquences juridiques suite à une rupture de contrat.

Clause 27701 de la norme ISO 5.2.1 (Comprendre l'organisation et son contexte) et article 28 du RGPD de l'UE

Dans cette section, nous parlons des articles 28 (10), 28 (5) et 28 (6) du RGPD.

Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.

L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.

Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.

Ceci comprend :

1. Examiner les lois, réglementations ou « décisions judiciaires » en vigueur en matière de protection de la vie privée.
2. Tenir compte de l'ensemble unique d'exigences de l'organisation liées au type de produits et de services qu'elle vend, ainsi que des documents, politiques et procédures de gouvernance spécifiques à l'entreprise.
3. Tous les facteurs administratifs, y compris la gestion quotidienne de l'entreprise.
4. Accords avec des tiers ou contrats de service susceptibles d'avoir un impact sur les informations personnelles et la protection de la vie privée.

Clause 27701 de la norme ISO 6.12.1.2 (traitement de la sécurité dans les accords avec les fournisseurs) et article 28 du RGPD de l'UE

Dans cette section, nous parlons des articles 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) du RGPD. )(e), (3)(f), (3)(g) et (3)(h)

Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.

Ce faisant, les organisations devraient :

• Proposez une description claire qui détaille les informations de confidentialité auxquelles il faut accéder et comment ces informations seront accessibles.
• Classer les informations de confidentialité auxquelles il faut accéder conformément à un système de classification accepté (voir ISO 27002 Contrôles 5.10, 5.12 et 5.13).
• Tenir dûment compte du propre système de classification des fournisseurs.
• Classez les droits en quatre domaines principaux – légaux, statutaires, réglementaires et contractuels – avec une description détaillée des obligations par domaine.
• Veiller à ce que chaque partie soit tenue d'adopter une série de contrôles qui surveillent, évaluent et gèrent les niveaux de risque pour la sécurité des informations confidentielles.
• Décrivez la nécessité pour le personnel du fournisseur d'adhérer aux normes de sécurité des informations d'une organisation (voir ISO 27002 Contrôle 5.20).
• Faciliter une compréhension claire de ce qui constitue une utilisation à la fois acceptable et inacceptable des informations confidentielles et des actifs physiques et virtuels de l’une ou l’autre partie.
• Adoptez les contrôles d'autorisation requis pour que le personnel du côté fournisseur puisse accéder ou consulter les informations de confidentialité d'une organisation.
• Tenez compte de ce qui se passe en cas de rupture de contrat ou de non-respect des stipulations individuelles.
• Décrivez une procédure de gestion des incidents, y compris la manière dont les événements majeurs sont communiqués.
• Veiller à ce que le personnel reçoive une formation de sensibilisation à la sécurité.
• (Si le fournisseur est autorisé à faire appel à des sous-traitants), ajoutez des exigences pour garantir que les sous-traitants sont alignés sur le même ensemble de normes de sécurité des informations confidentielles que le fournisseur.
• Réfléchissez à la manière dont le personnel des fournisseurs est sélectionné avant d'interagir avec les informations confidentielles.
• Stipuler la nécessité d'attestations de tiers attestant de la capacité du fournisseur à répondre aux exigences de sécurité des informations confidentielles de l'organisation.
• Avoir le droit contractuel d’auditer les procédures d’un fournisseur.
• Exigez des fournisseurs qu’ils fournissent des rapports détaillant l’efficacité de leurs propres processus et procédures.
• Concentrez-vous sur la prise de mesures pour affecter la résolution rapide et complète de tout défaut ou conflit.
• Veiller à ce que les fournisseurs opèrent avec une politique BUDR adéquate, pour protéger l'intégrité et la disponibilité des informations personnelles et des actifs liés à la confidentialité.
• Exiger une politique de gestion des changements côté fournisseur qui informe l’organisation de tout changement susceptible d’avoir un impact sur la protection de la vie privée.
• Mettez en œuvre des contrôles de sécurité physique proportionnels à la sensibilité des données stockées et traitées.
• (Lorsque les données doivent être transférées), demandez aux fournisseurs de garantir que les données et les actifs sont protégés contre la perte, les dommages ou la corruption.
• Décrivez une liste des mesures à prendre par l'une ou l'autre des parties en cas de résiliation.
• Demandez au fournisseur d'expliquer comment il a l'intention de détruire les informations confidentielles après la résiliation, ou si les données ne sont plus nécessaires.
• Prenez des mesures pour garantir une interruption minimale des activités pendant une période de transfert.

Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

Clause 27701 de la norme ISO 6.15.1.1 (identification de la législation applicable et des exigences contractuelles) et article 28 du RGPD de l'UE

Dans cette section, nous parlons des articles 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) du RGPD. )(f), (3)(g) et (3)(h)

Les organisations doivent se conformer aux exigences légales, statutaires, réglementaires et contractuelles lorsque :

1. Rédaction et/ou modification des procédures de sécurité des informations confidentielles.
2. Catégoriser les informations.
3. Entreprendre des évaluations des risques liés aux activités de sécurité des informations confidentielles.
4. Forger des relations avec les fournisseurs, y compris toutes les obligations contractuelles tout au long de la chaîne d'approvisionnement.

Les organisations doivent suivre des procédures qui leur permettent de identifier, analyser ainsi que comprendre obligations législatives et réglementaires – en particulier celles qui concernent la protection de la vie privée et les informations personnelles – partout où elles opèrent.

Les organisations doivent être continuellement conscientes de leurs obligations en matière de protection de la vie privée lorsqu’elles concluent de nouveaux accords avec des tiers, des fournisseurs et des sous-traitants.

Lors du déploiement de méthodes de chiffrement pour renforcer la protection de la vie privée et sauvegarder les informations personnelles, les organisations doivent :

• Respectez toutes les lois qui régissent l’importation et l’exportation de matériel ou de logiciels susceptibles de remplir une fonction cryptographique.
• Fournir un accès à des informations cryptées en vertu des lois de la juridiction dans laquelle ils opèrent.
• Utilisez trois éléments clés du cryptage :
1. Signatures numériques.
2. Scellés.
3. Certificats numériques.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.20

Clause 27701 de la norme ISO 7.2.6 (Contrats avec les processeurs de données personnelles) et articles 28(3)(e) et 28(9) du RGPD de l'UE.

Les organisations doivent décrire les détails de tout accord commun de traitement des informations personnelles, accompagné d’un contrôleur des informations personnelles – cela inclut les mesures de protection générales et toutes les exigences de sécurité associées.

Les rôles et responsabilités doivent être clairs et sans ambiguïté, et décrits dans un document juridiquement contraignant (parfois appelé « accord de partage de données »).

Les accords peuvent inclure (entre autres mesures) :

• Pourquoi les informations personnelles sont partagées.
• Catégories de données.
• Un aperçu général de l’opération de traitement des informations personnelles.
• Tous les rôles et responsabilités pertinents.
• Comment la sécurité des informations confidentielles doit être régie.
• Quelles mesures doivent être prises en cas de violation de données.
• Comment les informations personnelles doivent être conservées et détruites lorsqu'elles ne sont plus nécessaires.
• Que se passe-t-il lorsque l’une ou l’autre des parties ne respecte pas l’accord ?
• Quelles sont les obligations de chaque partie envers les responsables des PII.
• Quels mécanismes sont en place pour fournir aux responsables des PII les détails applicables de l'accord conjoint.
• Comment les responsables des PII peuvent formuler des demandes officielles et comment formuler et fournir une réponse.
• Points de contact – à la fois en interne et pour les responsables des PII.

Clause 27701 de la norme ISO 8.2.1 (accord client) et article 28 du RGPD de l'UE

Dans cette section, nous parlons des articles 28 (3)(e) et 28 (3)(f) et 28 (9) du RGPD.

Les contrats clients doivent inclure :

• Le concept de « confidentialité dès la conception » (voir ISO 27701, articles 7.4 et 8.4).
• Comment l'organisation entend assurer la sécurité du traitement.
• Comment les violations doivent être signalées, y compris les clients, les donneurs d'ordre et les autorités réglementaires.
• Comment Évaluations des facteurs relatifs à la vie privée sont à traiter.
• Confirmation de l'intention de l'organisation de fournir une assistance aux autorités de protection des informations personnelles.

Prise en charge des clauses ISO 27701

• ISO 27701 7.4
• ISO 27701 8.4

Clause 27701 de la norme ISO 8.2.2 (Objectifs de l'organisation) et article 28 (3)(a) du RGPD de l'UE

Les contrats doivent inclure des SLA relatifs aux objectifs mutuels et tous les délais associés dans lesquels ils doivent être exécutés.

Les organisations doivent reconnaître leur droit de choisir les méthodes distinctes utilisées pour traiter les informations personnelles, qui permettent d'obtenir légalement ce que le client recherche, mais sans avoir besoin d'obtenir des autorisations granulaires sur la façon dont l'organisation s'y prend au niveau technique.

Clause 27701 de la norme ISO 8.2.4 (Instructions en cas de violation) et article 28 (3)(h) du RGPD de l'UE

Les organisations doivent maintenir une compréhension approfondie de la manière dont les instructions peuvent potentiellement entrer en conflit avec la législation applicable ou les obligations réglementaires.

Les infractions se produisent généralement autour de trois facteurs.

1. Comment la technologie est utilisée.
2. La prémisse de l'instruction.
3. Toutes obligations contractuelles.

Clause 27701 de la norme ISO 8.2.5 (Obligations du client) et article 28 (3)(h) du RGPD de l'UE

Les organisations doivent être en mesure de fournir à leurs clients suffisamment d’informations pour que ceux-ci soient en mesure de remplir leurs obligations à tout moment.

Les informations requises peuvent intégrer un large éventail de fonctions, mais sont généralement liées aux audits internes et au rôle de l'organisation dans leur facilitation par la fourniture d'informations.

Clause 27701 de la norme ISO 8.3.1 (Obligations envers les responsables des informations personnelles) et article 28 (3)(h) du RGPD de l'UE

Les obligations des responsables du traitement sont régies par trois facteurs :

1. Législation.
2. Régulation.
3. Contrats

Les contrats doivent inclure tout d'information or opérations techniques qui permettent à l'organisation de remplir ses obligations en tant que responsable du traitement.

Clause 27701 de la norme ISO 8.4.2 (Retour, transfert ou élimination des informations personnelles) et article 28 (3)(g) du RGPD de l'UE

Il existe différents scénarios qui nécessitent la suppression des informations personnelles, notamment (mais sans s'y limiter) :

• Renvoyer les informations personnelles au client.
• Fournir les informations personnelles à une autre organisation.
• Détruire des informations.
• Désidentification.
• Archivage.

Les organisations doivent fournir des assurances catégoriques que toutes les informations personnelles qui ne sont plus nécessaires seront détruites conformément à la législation en vigueur ou aux directives régionales.

Toutes les politiques d'élimination doivent être disponibles pour le client sur demande et doivent couvrir la période dont les organisations disposent pour détruire les informations personnelles, une fois le contrat résilié.

Clause 27701 de la norme ISO 8.5.4 (Notification des demandes de divulgation d'informations personnelles) et article 28 (3)(a) du RGPD de l'UE.

Les organisations doivent rédiger une procédure qui régit la manière dont les responsables des informations personnelles sont informés des demandes juridiquement contraignantes de tiers concernant leurs informations, y compris un délai raisonnable et une stipulation contractuelle décrivant l'ensemble du processus.

Avant tout, les organisations doivent se conformer aux demandes des forces de l'ordre, qui ont le droit d'exiger que le client ne soit informé d'aucune demande et de garantir qu'ils n'enfreignent aucune loi en informant accidentellement ou volontairement le client de la situation.

Clause 27701 de la norme ISO 8.5.6 (Divulgation des sous-traitants utilisés pour traiter les informations personnelles) et articles 28 (2) et (28) (4) du RGPD de l'UE.

Toutes les dispositions relatives au recours à des sous-traitants doivent être répertoriées comme telles dans le contrat SLA/client.

Les informations sur les sous-traitants doivent inclure :

• Le nom des sous-traitants.
• Tous les pays vers lesquels le sous-traitant est en mesure de transférer des données (voir ISO 27701 Clause 8.5.2), afin que le client puisse informer tous les donneurs d'ordre PII.
• Comment le sous-traitant est censé répondre aux besoins de l'organisation (voir ISO 27701 Clause 8.5.7).

Les NDA doivent être rédigées pour divulguer toute information qui représenterait un risque de sécurité accru si elle était exposée publiquement.

Prise en charge des clauses ISO 27701

• ISO 27701 8.5.2
• ISO 27701 8.5.7

Clause 27701 de la norme ISO 8.5.7 (Engagement d'un sous-traitant pour traiter les informations personnelles) et articles 28 (2) et 28 (3)(d) du RGPD de l'UE.

Les organisations doivent obtenir l’approbation écrite de leurs clients avant que des informations personnelles ne soient traitées par une organisation tierce.

Les sous-traitants doivent être soumis à un accord contraignant (généralement sous la forme d'un contrat écrit), qui garantit qu'ils comprennent leurs obligations en matière de mise en œuvre des contrôles répertoriés dans l'Annexe B de la norme ISO 27701.

Les contrats doivent prendre en compte divers processus d'évaluation des risques (voir la clause 27701 de la norme ISO 5.4.1.2) et l'ensemble de la portée des opérations de traitement des informations personnelles de l'organisation (voir la clause 27701 de la norme ISO 6.12). Comme ci-dessus, tous les contrôles énumérés à l’Annexe B doivent être respectés, avec toutes les omissions répertoriées, ainsi que les justifications de ce fait.

Prise en charge des clauses ISO 27701

• ISO 27701 5.4.1.2
• ISO 27701 6.12

Clause 27701 de la norme ISO 8.4 (Changement de sous-traitant pour traiter les informations personnelles) et article 28 (2) du RGPD de l'UE

Chaque fois qu'il est nécessaire de modifier la manière dont l'organisation externalise un élément de son opération de traitement des informations personnelles, les clients doivent être informés des changements suffisamment à l'avance afin de leur donner le temps de remettre en question ou de s'opposer à ces changements.

Les contrats doivent inclure des clauses prévoyant l'autorisation écrite du client pour procéder au changement, avant que les informations personnelles ne soient traitées.

Les organisations peuvent également demander l’approbation de modifications dans le cadre d’accords écrits ad hoc, en dehors de toute clause contractuelle.

Prise en charge des clauses ISO 27701 et des contrôles ISO 27002

Comment ISMS.online vous aide

Construit selon la norme ISO 27701, aligné sur d'autres réglementations.

Avec la norme ISO 27701, vous pouvez créer un système de gestion des informations confidentielles conforme à la plupart des réglementations en matière de confidentialité. Cela inclut l'UE Règlement Général de Protection des Données, BS 10012 et POPIA d'Afrique du Sud.

Vous pouvez facilement suivre la norme internationale avec notre logiciel simplifié, sécurisé et durable.

La plateforme tout-en-un que nous proposons garantit que votre travail en matière de confidentialité est conforme à la norme ISO 27701 et répond à ses exigences.

En savoir plus par réserver une courte démo de 30 minutes.