L'article 28 du RGPD traite de l'externalisation des activités de traitement des données vers des prestataires de services et définit un cadre juridique pour une telle coopération, protégeant les droits des personnes concernées et garantissant le respect.
Processeur
- Lorsque le traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait appel uniquement à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits des personnes. la personne concernée.
- Le sous-traitant ne peut engager un autre sous-traitant sans autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informera le responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable la possibilité de s'opposer à ces modifications.
- Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique relevant du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement et qui définit l'objet et la durée du traitement, la nature et la finalité. du traitement, le type de données personnelles et les catégories de personnes concernées ainsi que les obligations et les droits du responsable du traitement. Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :
- (a) traite les données personnelles uniquement sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union ou de l'État membre auquel le sous-traitant est soumis l'exige ; dans un tel cas, le sous-traitant informe le responsable du traitement de cette obligation légale avant le traitement, à moins que cette loi n'interdise de telles informations pour des raisons importantes d'intérêt public.
- (b) Garantit que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
- (c) Prend toutes les mesures requises en vertu de l’article 32.
- (d) Respecte les conditions visées aux paragraphes 2 et 4 pour engager un autre sous-traitant.
- (e) Compte tenu de la nature du traitement, assiste le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir l'obligation du responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée énoncées au chapitre III. .
- (f) Aide le responsable du traitement à assurer le respect des obligations prévues aux articles 32 à 36 en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.
- (g) Au choix du responsable du traitement, supprime ou restitue toutes les données personnelles au responsable du traitement après la fin de la prestation de services liés au traitement, et supprime les copies existantes, à moins que le droit de l'Union ou des États membres n'exige le stockage des données personnelles.
- (h) Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent article et permettre et contribuer aux audits, y compris les inspections, menés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement.
En ce qui concerne le premier alinéa, point h), le sous-traitant informe immédiatement le responsable du traitement s'il estime qu'une instruction enfreint le présent règlement ou d'autres dispositions de l'Union ou des États membres en matière de protection des données.- Lorsqu'un sous-traitant engage un autre sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations de protection des données que celles énoncées dans le contrat ou tout autre acte juridique entre le responsable du traitement et le sous-traitant, telles que visées au paragraphe 3, lui sont imposées. autre sous-traitant par le biais d'un contrat ou d'un autre acte juridique en vertu du droit de l'Union ou d'un État membre, fournissant notamment des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial reste entièrement responsable envers le responsable du traitement de l'exécution des obligations de cet autre sous-traitant.
- L'adhésion d'un sous-traitant à un code de conduite approuvé tel que visé à l'article 40 ou à un mécanisme de certification approuvé tel que visé à l'article 42 peut être utilisée comme un élément permettant de démontrer des garanties suffisantes telles que visées aux paragraphes 1 et 4 du présent article. .
- Sans préjudice d'un contrat individuel entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur des clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'ils font partie d'une certification accordée au responsable du traitement ou au sous-traitant en application des articles 42 et 43.
- La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe 2.
- Une autorité de contrôle peut adopter des clauses contractuelles types pour les matières visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de cohérence visé à l'article 63.
- Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 est rédigé par écrit, y compris sous forme électronique.
- Sans préjudice des articles 82, 83 et 84, si un sous-traitant enfreint le présent règlement en déterminant les finalités et les moyens du traitement, le sous-traitant est considéré comme responsable du traitement pour ce traitement.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
Processeur
- Lorsque le traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait appel uniquement à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits des personnes. la personne concernée.
- Le sous-traitant ne peut engager un autre sous-traitant sans autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informera le responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable la possibilité de s'opposer à ces modifications.
- Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique de droit interne, qui lie le sous-traitant à l'égard du responsable du traitement et qui définit l'objet et la durée du traitement, la nature et la finalité du traitement. , le type de données personnelles et les catégories de personnes concernées ainsi que les obligations et les droits du responsable du traitement. Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :
- (a) traite les données personnelles uniquement sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si le droit national auquel le sous-traitant est soumis l'exige ; dans un tel cas, le sous-traitant informe le responsable du traitement de cette obligation légale avant le traitement, à moins que cette loi n'interdise de telles informations pour des raisons importantes d'intérêt public.
- (b) Garantit que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
- (c) Prend toutes les mesures requises en vertu de l’article 32.
- (d) Respecte les conditions visées aux paragraphes 2 et 4 pour engager un autre sous-traitant.
- (e) Compte tenu de la nature du traitement, assiste le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir l'obligation du responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée énoncées au chapitre III. .
- (f) Aide le responsable du traitement à assurer le respect des obligations prévues aux articles 32 à 36 en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.
- (g) Au choix du responsable du traitement, supprime ou restitue toutes les données personnelles au responsable du traitement après la fin de la fourniture de services liés au traitement, et supprime les copies existantes, sauf si le droit national exige le stockage des données personnelles.
- (h) Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent article et permettre et contribuer aux audits, y compris les inspections, menés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement.
En ce qui concerne le premier alinéa, point h), le sous-traitant informe immédiatement le responsable du traitement s'il estime qu'une instruction enfreint le présent règlement ou une autre législation nationale relative aux obligations en matière de protection des données.- Lorsqu'un sous-traitant engage un autre sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations de protection des données que celles énoncées dans le contrat ou tout autre acte juridique entre le responsable du traitement et le sous-traitant, telles que visées au paragraphe 3, lui sont imposées. autre sous-traitant par le biais d'un contrat ou d'un autre acte juridique en vertu du droit national, fournissant notamment des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial reste entièrement responsable envers le responsable du traitement de l'exécution des obligations de cet autre sous-traitant.
- L'adhésion d'un sous-traitant à un code de conduite approuvé tel que visé à l'article 40 ou à un mécanisme de certification approuvé tel que visé à l'article 42 peut être utilisée comme un élément permettant de démontrer des garanties suffisantes telles que visées aux paragraphes 1 et 4 du présent article. .
- Sans préjudice d'un contrat individuel entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur des clauses contractuelles types visées au paragraphe 8 du présent article, y compris lorsqu'ils font partie d'une certification accordée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.
- Le commissaire peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article.
- Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 est rédigé par écrit, y compris sous forme électronique.
- Sans préjudice des articles 82, 83 et 84, si un sous-traitant enfreint le présent règlement en déterminant les finalités et les moyens du traitement, le sous-traitant est considéré comme responsable du traitement pour ce traitement.
L'article 28 du RGPD traite de 8 domaines constitutifs qui régissent la manière dont les activités de traitement des données peuvent être sous-traitées à des prestataires de services tiers :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous ne pouvons penser à aucune entreprise dont le service peut rivaliser avec ISMS.online.
Dans cette section, nous parlons des articles 28 (10), 28 (5) et 28 (6) du RGPD.
Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.
L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.
Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.
Ceci comprend :
Dans cette section, nous parlons des articles 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) du RGPD. )(e), (3)(f), (3)(g) et (3)(h)
Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.
Ce faisant, les organisations devraient :
Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides
Dans cette section, nous parlons des articles 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) du RGPD. )(f), (3)(g) et (3)(h)
Les organisations doivent se conformer aux exigences légales, statutaires, réglementaires et contractuelles lorsque :
Les organisations doivent suivre des procédures qui leur permettent de identifier, analyser ainsi que comprendre obligations législatives et réglementaires – en particulier celles qui concernent la protection de la vie privée et les informations personnelles – partout où elles opèrent.
Les organisations doivent être continuellement conscientes de leurs obligations en matière de protection de la vie privée lorsqu’elles concluent de nouveaux accords avec des tiers, des fournisseurs et des sous-traitants.
Lors du déploiement de méthodes de chiffrement pour renforcer la protection de la vie privée et sauvegarder les informations personnelles, les organisations doivent :
Les organisations doivent décrire les détails de tout accord commun de traitement des informations personnelles, accompagné d’un contrôleur des informations personnelles – cela inclut les mesures de protection générales et toutes les exigences de sécurité associées.
Les rôles et responsabilités doivent être clairs et sans ambiguïté, et décrits dans un document juridiquement contraignant (parfois appelé « accord de partage de données »).
Les accords peuvent inclure (entre autres mesures) :
Dans cette section, nous parlons des articles 28 (3)(e) et 28 (3)(f) et 28 (9) du RGPD.
Les contrats clients doivent inclure :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Les contrats doivent inclure des SLA relatifs aux objectifs mutuels et tous les délais associés dans lesquels ils doivent être exécutés.
Les organisations doivent reconnaître leur droit de choisir les méthodes distinctes utilisées pour traiter les informations personnelles, qui permettent d'obtenir légalement ce que le client recherche, mais sans avoir besoin d'obtenir des autorisations granulaires sur la façon dont l'organisation s'y prend au niveau technique.
Les organisations doivent maintenir une compréhension approfondie de la manière dont les instructions peuvent potentiellement entrer en conflit avec la législation applicable ou les obligations réglementaires.
Les infractions se produisent généralement autour de trois facteurs.
Les organisations doivent être en mesure de fournir à leurs clients suffisamment d’informations pour que ceux-ci soient en mesure de remplir leurs obligations à tout moment.
Les informations requises peuvent intégrer un large éventail de fonctions, mais sont généralement liées aux audits internes et au rôle de l'organisation dans leur facilitation par la fourniture d'informations.
Les obligations des responsables du traitement sont régies par trois facteurs :
Les contrats doivent inclure tout d'information or opérations techniques qui permettent à l'organisation de remplir ses obligations en tant que responsable du traitement.
Il existe différents scénarios qui nécessitent la suppression des informations personnelles, notamment (mais sans s'y limiter) :
Les organisations doivent fournir des assurances catégoriques que toutes les informations personnelles qui ne sont plus nécessaires seront détruites conformément à la législation en vigueur ou aux directives régionales.
Toutes les politiques d'élimination doivent être disponibles pour le client sur demande et doivent couvrir la période dont les organisations disposent pour détruire les informations personnelles, une fois le contrat résilié.
Les organisations doivent rédiger une procédure qui régit la manière dont les responsables des informations personnelles sont informés des demandes juridiquement contraignantes de tiers concernant leurs informations, y compris un délai raisonnable et une stipulation contractuelle décrivant l'ensemble du processus.
Avant tout, les organisations doivent se conformer aux demandes des forces de l'ordre, qui ont le droit d'exiger que le client ne soit informé d'aucune demande et de garantir qu'ils n'enfreignent aucune loi en informant accidentellement ou volontairement le client de la situation.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Toutes les dispositions relatives au recours à des sous-traitants doivent être répertoriées comme telles dans le contrat SLA/client.
Les informations sur les sous-traitants doivent inclure :
Les NDA doivent être rédigées pour divulguer toute information qui représenterait un risque de sécurité accru si elle était exposée publiquement.
Les organisations doivent obtenir l’approbation écrite de leurs clients avant que des informations personnelles ne soient traitées par une organisation tierce.
Les sous-traitants doivent être soumis à un accord contraignant (généralement sous la forme d'un contrat écrit), qui garantit qu'ils comprennent leurs obligations en matière de mise en œuvre des contrôles répertoriés dans l'Annexe B de la norme ISO 27701.
Les contrats doivent prendre en compte divers processus d'évaluation des risques (voir la clause 27701 de la norme ISO 5.4.1.2) et l'ensemble de la portée des opérations de traitement des informations personnelles de l'organisation (voir la clause 27701 de la norme ISO 6.12). Comme ci-dessus, tous les contrôles énumérés à l’Annexe B doivent être respectés, avec toutes les omissions répertoriées, ainsi que les justifications de ce fait.
Chaque fois qu'il est nécessaire de modifier la manière dont l'organisation externalise un élément de son opération de traitement des informations personnelles, les clients doivent être informés des changements suffisamment à l'avance afin de leur donner le temps de remettre en question ou de s'opposer à ces changements.
Les contrats doivent inclure des clauses prévoyant l'autorisation écrite du client pour procéder au changement, avant que les informations personnelles ne soient traitées.
Les organisations peuvent également demander l’approbation de modifications dans le cadre d’accords écrits ad hoc, en dehors de toute clause contractuelle.
Article RGPD | Article ISO 27701 | Contrôles ISO 27002 |
---|---|---|
Article 28 (3)(b) à (3)(h) du RGPD de l’UE | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
Article 28 (1) à (3)(h) du RGPD de l’UE | 6.15.1.1 | 5.20 |
Article 28 (3)(e) et 28 (9) du RGPD de l’UE | 7.2.6 | Aucun |
RGPD de l’UE, articles 28 (3)(e) à 28 (9) | 8.2.1 7.4 8.4 | Aucun |
Article 28 (3)(a) du RGPD de l’UE | 8.2.2 | Aucun |
Article 28 (3)(h) du RGPD de l’UE | 8.2.4 | Aucun |
Article 28 (3)(h) du RGPD de l’UE | 8.2.5 | Aucun |
Article 28 (3)(h) du RGPD de l’UE | 8.3.1 | Aucun |
Article 28 (3)(g) du RGPD de l’UE | 8.4.2 | Aucun |
Article 28 (3)(a) du RGPD de l’UE | 8.5.4 | Aucun |
Articles 28 (2) et 28 (4) du RGPD de l’UE | 8.5.6 8.5.2 8.5.7 | Aucun |
Article 28 (2) et 28 (3)(d) du RGPD de l’UE | 8.5.7 5.4.1.2 6.12 | Aucun |
Article 28 (2) du RGPD de l’UE | 8.4 | Aucun |
Construit selon la norme ISO 27701, aligné sur d'autres réglementations.
Avec la norme ISO 27701, vous pouvez créer un système de gestion des informations confidentielles conforme à la plupart des réglementations en matière de confidentialité. Cela inclut l'UE Règlement Général de Protection des Données, BS 10012 et POPIA d'Afrique du Sud.
Vous pouvez facilement suivre la norme internationale avec notre logiciel simplifié, sécurisé et durable.
La plateforme tout-en-un que nous proposons garantit que votre travail en matière de confidentialité est conforme à la norme ISO 27701 et répond à ses exigences.
En savoir plus par réserver une courte démo de 30 minutes.
Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !