Comment démontrer la conformité à l'article 30 du RGPD

Version du RGPD au Royaume-Uni

Registres des activités de traitement

1. Chaque responsable du traitement et, le cas échéant, son représentant, tient un registre des traitements effectués sous sa responsabilité. Ce dossier contient toutes les informations suivantes :
• Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données.
• Les finalités du traitement.
• Une description des catégories de personnes concernées et des catégories de données personnelles.
• Les catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales.
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, la documentation des personnes appropriées. garanties.
• Lorsque cela est possible, les délais prévus pour l'effacement des différentes catégories de données.
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1, ou, le cas échéant, des mesures de sécurité visées à l'article 28, paragraphe 3, de la loi de 2018.
2. Chaque sous-traitant et, le cas échéant, son représentant doit tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement, contenant :
• Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du représentant du responsable du traitement ou du sous-traitant et du délégué à la protection des données.
• Les catégories de traitements effectués pour le compte de chaque responsable du traitement.
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, la documentation des personnes appropriées. garanties.
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1. Ou, le cas échéant, les mesures de sécurité visées à l’article 28(3) de la loi de 2018.
3. Les enregistrements visés aux paragraphes 1 et 2 sont établis par écrit, y compris sous forme électronique.
4. Le responsable du traitement ou le sous-traitant et, le cas échéant, son représentant ou son représentant, mettent le dossier à la disposition du commissaire, sur demande.
5. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à un organisme employant moins de 250 personnes, sauf si le traitement qu'elle effectue est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées, le traitement n'est pas occasionnel. , ou le traitement comprend des catégories particulières de données visées à l'article 9, paragraphe 1, ou des données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10.

Commentaire technique

L’article 30 du RGPD aborde quatre domaines clés de la tenue d’un dossier :

1. Enregistrements des activités de traitement par le responsable du traitement.
2. Enregistrements des activités de traitement par le sous-traitant.
3. Formats d'enregistrement écrit.
4. Les pouvoirs des autorités de contrôle.

L'article 30 décrit également les exceptions qui s'appliquent à l'un des domaines ci-dessus – notamment celui toute organisation employant moins de 250 personnes n'est pas obligée de tenir des registres de traitement, sauf lorsque les droits et libertés des personnes concernées ne sont « pas occasionnels » ou que l'organisation traite des « catégories particulières » de données ou des données criminelles.

Clause 27701 de la norme ISO 6.12.1.2 (traitement de la sécurité dans les accords avec les fournisseurs) et article 30 (2)(d) du RGPD de l'UE

Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.

Ce faisant, les organisations devraient :

• Proposez une description claire qui détaille les informations de confidentialité auxquelles il faut accéder et comment ces informations seront accessibles.
• Classer les informations de confidentialité auxquelles il faut accéder conformément à un système de classification accepté (voir ISO 27002 Contrôles 5.10, 5.12 et 5.13).
• Tenir dûment compte du propre système de classification des fournisseurs.
• Classez les droits en quatre domaines principaux – légaux, statutaires, réglementaires et contractuels – avec une description détaillée des obligations par domaine.
• Veiller à ce que chaque partie soit tenue d'adopter une série de contrôles qui surveillent, évaluent et gèrent les niveaux de risque pour la sécurité des informations confidentielles.
• Décrivez la nécessité pour le personnel du fournisseur d'adhérer aux normes de sécurité des informations d'une organisation (voir ISO 27002 Contrôle 5.20).
• Faciliter une compréhension claire de ce qui constitue une utilisation à la fois acceptable et inacceptable des informations confidentielles et des actifs physiques et virtuels de l’une ou l’autre partie.
• Adoptez les contrôles d'autorisation requis pour que le personnel du côté fournisseur puisse accéder ou consulter les informations de confidentialité d'une organisation.
• Tenez compte de ce qui se passe en cas de rupture de contrat ou de non-respect des stipulations individuelles.
• Décrivez une procédure de gestion des incidents, y compris la manière dont les événements majeurs sont communiqués.
• Veiller à ce que le personnel reçoive une formation de sensibilisation à la sécurité.
• (Si le fournisseur est autorisé à faire appel à des sous-traitants), ajoutez des exigences pour garantir que les sous-traitants sont alignés sur le même ensemble de normes de sécurité des informations confidentielles que le fournisseur.
• Réfléchissez à la manière dont le personnel des fournisseurs est sélectionné avant d'interagir avec les informations confidentielles.
• Stipuler la nécessité d'attestations de tiers attestant de la capacité du fournisseur à répondre aux exigences de sécurité des informations confidentielles de l'organisation.
• Avoir le droit contractuel d’auditer les procédures d’un fournisseur.
• Exigez des fournisseurs qu’ils fournissent des rapports détaillant l’efficacité de leurs propres processus et procédures.
• Concentrez-vous sur la prise de mesures pour affecter la résolution rapide et complète de tout défaut ou conflit.
• Veiller à ce que les fournisseurs opèrent avec une politique BUDR adéquate, pour protéger l'intégrité et la disponibilité des informations personnelles et des actifs liés à la confidentialité.
• Exiger une politique de gestion des changements côté fournisseur qui informe l’organisation de tout changement susceptible d’avoir un impact sur la protection de la vie privée.
• Mettez en œuvre des contrôles de sécurité physique proportionnels à la sensibilité des données stockées et traitées.
• (Lorsque les données doivent être transférées), demandez aux fournisseurs de garantir que les données et les actifs sont protégés contre la perte, les dommages ou la corruption.
• Décrivez une liste des mesures à prendre par l'une ou l'autre des parties en cas de résiliation.
• Demandez au fournisseur d'expliquer comment il a l'intention de détruire les informations confidentielles après la résiliation, ou si les données ne sont plus nécessaires.
• Prenez des mesures pour garantir une interruption minimale des activités pendant une période de transfert.

Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

Clause 27701 de la norme ISO 6.15.1.1 (Identification de la législation applicable et des exigences contractuelles) et article 30 (2)(d) du RGPD de l'UE

Les organisations doivent se conformer aux exigences légales, statutaires, réglementaires et contractuelles lorsque :

• Rédaction et/ou modification des procédures de sécurité des informations confidentielles.
• Catégoriser les informations.
• Entreprendre des évaluations des risques liés aux activités de sécurité des informations confidentielles.
• Forger des relations avec les fournisseurs, y compris toutes les obligations contractuelles tout au long de la chaîne d'approvisionnement.

Les organisations doivent suivre des procédures qui leur permettent de identifier, analyser ainsi que comprendre obligations législatives et réglementaires – en particulier celles qui concernent la protection de la vie privée et les informations personnelles – partout où elles opèrent.

Les organisations doivent être continuellement conscientes de leurs obligations en matière de protection de la vie privée lorsqu’elles concluent de nouveaux accords avec des tiers, des fournisseurs et des sous-traitants.

Lors du déploiement de méthodes de chiffrement pour renforcer la protection de la vie privée et sauvegarder les informations personnelles, les organisations doivent :

• Respectez toutes les lois qui régissent l'importation et l'exportation de matériel ou de logiciels susceptibles de remplir une fonction cryptographique.
• Fournir un accès à des informations cryptées en vertu des lois de la juridiction dans laquelle ils opèrent.
• Utilisez trois éléments clés du cryptage :
1. Signatures numériques.
2. Scellés.
3. Certificats numériques.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.20

Clause 27701 de la norme ISO 7.2.8 (Enregistrements liés au traitement des informations personnelles) et article 30 du RGPD de l'UE

Dans cette section, nous parlons des articles 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) et 30 (5)

Les organisations doivent conserver un ensemble complet d’enregistrements qui soutiennent leurs actions et obligations en tant que processeur de PII.

Les enregistrements (également appelés « listes d'inventaire ») doivent avoir un propriétaire délégué et peuvent inclure :

• Opérationnel – le type spécifique de traitement des informations personnelles en cours.
• Justifications – pourquoi les informations personnelles sont traitées.
• Catégorique – listes de destinataires de PII, y compris les organisations internationales.
• Sécurité – un aperçu de la manière dont les informations personnelles sont protégées.
• Confidentialité – c'est-à-dire un rapport d'évaluation des facteurs relatifs à la vie privée.

Clause 27701 de la norme ISO 7.5.1 (Identifier la base du transfert de données personnelles entre juridictions) et article 30 (1)(e) du RGPD de l'UE.

De temps en temps, il peut être nécessaire de transférer des informations personnelles entre deux juridictions distinctes. Lorsque cela se produit, les organisations doivent justifier et documenter la nécessité de le faire.

Les règles réglementaires et juridiques régionales varient en fonction de l'origine des données et de l'endroit où elles seront transférées.

Les organisations doivent prendre en compte toutes les lois, cadres et réglementations pertinents chaque fois qu'elles ont besoin de transférer des données entre juridictions, y compris le recours à une autorité de contrôle désignée.

Clause 27701 de la norme ISO 7.5.2 (Pays et organisations internationales vers lesquels les informations personnelles peuvent être transférées) et article 30 (1)(e) du RGPD de l'UE.

Les organisations doivent conserver une liste documentée des pays et des organisations vers lesquels elles pourraient potentiellement transférer leurs informations personnelles, dans des circonstances raisonnables.

Une fois qu'elles ont formulé une liste, les organisations doivent mettre les informations à la disposition de leurs clients, y compris toutes les opérations PII sous-traitées (voir ISO 27701 Clause 7.5.1).

Dans certaines circonstances – en particulier dans le cas d'enquêtes criminelles – les lois sur la confidentialité peuvent empêcher l'organisation de révéler à l'avance l'identité des pays et des organisations de destination (voir ISO 27701, clauses 8.5.4 et 8.5.5).

Prise en charge des contrôles ISO 27701

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

Clause 27701 de la norme ISO 7.5.3 (Enregistrements de transfert de données personnelles) et article 30 (1)(e) du RGPD de l'UE

Il est d'une importance vitale que les organisations conservent un enregistrement précis des transferts d'informations personnelles vers des organisations tierces.

Les organisations doivent être en mesure d'enregistrer les informations personnelles qui ont été modifiées de quelque manière que ce soit (conformément aux obligations et objectifs des responsables du traitement) ou les transferts requis avant de donner suite à une demande du mandant des informations personnelles visant à modifier ou à effacer les informations personnelles.

Les enregistrements doivent être soumis à une période de conservation proportionnelle et doivent être soumis à des règles de minimisation des données qui ne renvoient que ce qui est nécessaire pour atteindre un objectif spécifique.

Clause 27701 de la norme ISO 7.5.4 (Enregistrements de divulgation d'informations personnelles à des tiers) et article 30 (1)(d) du RGPD de l'UE.

Les organisations doivent enregistrer toute divulgation de renseignements personnels à des tiers, y compris les trois éléments d'information suivants :

• Ce qui a été divulgué.
• À qui les informations ont-elles été divulguées.
• Quand la divulgation a été faite (date et heure).

Il est courant de divulguer des informations personnelles pour diverses raisons, tout au long des opérations de traitement des informations d'une organisation.

Des journaux doivent être établis pour les divulgations effectuées dans le cadre de pratiques commerciales normales et pour toute circonstance particulière qui survient (par exemple, enquêtes réglementaires ou juridiques).

Clause 27701 de la norme ISO 8.2.6 (Enregistrements liés au traitement des informations personnelles) et article 30 du RGPD de l'UE

Dans cette section, nous parlons des articles 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) et 30 (5) du RGPD.

Les organisations doivent conserver des enregistrements précis et à jour qui leur permettent, à tout moment, de prouver le respect de toute obligation contractuelle liée au traitement des informations personnelles.

Selon la juridiction, les dossiers peuvent devoir inclure :

• Listes catégoriques de traitement, client par client.
• Tout transfert de données vers d'autres pays ou organisations internationales.
• Contrôles techniques de sécurité.

Clause 27701 de la norme ISO 8.4.2 (Retour, transfert ou élimination des informations personnelles) et article 30 (1)(f) du RGPD de l'UE

Les organisations doivent mettre en place des plans concrets qui régissent la façon dont les informations personnelles peuvent être revenu, transféré or disposé et mettre toutes ces politiques à la disposition du client.

• Renvoyer les informations personnelles au client.
• Fournir les informations personnelles à une autre organisation.
• Détruire des informations.
• Désidentification.
• Archivage.

Il existe différents scénarios qui nécessitent la suppression des informations personnelles, notamment (mais sans s'y limiter) :

Les organisations doivent fournir des assurances catégoriques que toutes les informations personnelles qui ne sont plus nécessaires seront détruites conformément à la législation en vigueur ou aux directives régionales.

Toutes les politiques d'élimination doivent être disponibles pour le client sur demande et doivent couvrir la période dont les organisations disposent pour détruire les informations personnelles, une fois le contrat résilié.

Clause 27701 de la norme ISO 8.5.2 (Pays et organisations internationales vers lesquels les informations personnelles peuvent être transférées) et article 30 (2)(c) du RGPD de l'UE.

Les organisations doivent conserver une liste précise et à jour de tous les pays ou organisations vers lesquels les informations personnelles peuvent potentiellement être transférées.

Les clients doivent pouvoir consulter à tout moment une liste des pays et organisations destinataires potentiels, y compris un journal de tous les pays impliqués dans la sous-traitance des informations personnelles (voir ISO 27701, clause 8.5.1).

Dans certaines circonstances, les organisations ne seront pas toujours en mesure de divulguer à l’avance l’origine des demandes de transfert – notamment en cas de procédure pénale. Ceci est inévitable et le maintien de l'intégrité d'une opération d'application de la loi devrait être la priorité de l'organisation (voir ISO 27701, clauses 7.5.1, 8.5.4 et 8.5.5).

Prise en charge des contrôles ISO 27701

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

Clause 27701 de la norme ISO 8.5.3 (Enregistrements de divulgation d'informations personnelles à des tiers) et article 30 (1)(d) du RGPD de l'UE.

Les organisations doivent enregistrer méticuleusement tous les cas où elles doivent divulguer des informations personnelles à un tiers.

Chaque fois que des informations personnelles sont divulguées – que ce soit dans le cadre de routines commerciales standard ou dans des circonstances particulières, telles qu'un processus juridique ou réglementaire en cours – les organisations doivent enregistrer ce qui a été divulgué, le destinataire et la raison sous-jacente de cette divulgation.

Prise en charge des clauses ISO 27701 et des contrôles ISO 27002

Comment ISMS.online vous aide

ISMS.online vous aide à démontrer un niveau de protection qui dépasse le « raisonnable » dans un emplacement sécurisé et toujours disponible.

Nous faisons du mappage de données une tâche simple. En ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement, vous pouvez facilement tout enregistrer et consulter.

Si le pire arrive, vous serez prêt.

Grâce à nos outils, vous pouvez planifier, communiquer, documenter et tirer des leçons de chaque violation.

En savoir plus par réserver une démo de 30 minutes.