RGPD L’article 30 exige que les organisations tiennent des registres adéquats (essentiellement des comptes écrits) de toutes les activités liées au traitement.
Cette obligation représente l’expression de plusieurs principes de traitement des données :
Registres des activités de traitement
- Chaque responsable du traitement et, le cas échéant, son représentant, tient un registre des traitements effectués sous sa responsabilité. Ce dossier contient toutes les informations suivantes :
- Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données.
- Les finalités du traitement.
- Une description des catégories de personnes concernées et des catégories de données personnelles.
- Les catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales.
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, la documentation des personnes appropriées. garanties.
- Lorsque cela est possible, les délais prévus pour l'effacement des différentes catégories de données.
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.
- Chaque sous-traitant et, le cas échéant, son représentant doit tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement, contenant :
- Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du représentant du responsable du traitement ou du sous-traitant et du délégué à la protection des données.
- Les catégories de traitements effectués pour le compte de chaque responsable du traitement.
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, la documentation des personnes appropriées. garanties.
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.
- Les enregistrements visés aux paragraphes 1 et 2 sont établis par écrit, y compris sous forme électronique.
- Le responsable du traitement ou le sous-traitant et, le cas échéant, le représentant du responsable du traitement ou du sous-traitant, mettent le dossier à la disposition de l'autorité de contrôle sur demande.
- Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à un organisme employant moins de 250 personnes, sauf si le traitement qu'elle effectue est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées, le traitement n'est pas occasionnel. , ou le traitement comprend des catégories particulières de données visées à l'article 9, paragraphe 1, ou des données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
Registres des activités de traitement
- Chaque responsable du traitement et, le cas échéant, son représentant, tient un registre des traitements effectués sous sa responsabilité. Ce dossier contient toutes les informations suivantes :
- Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données.
- Les finalités du traitement.
- Une description des catégories de personnes concernées et des catégories de données personnelles.
- Les catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales.
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, la documentation des personnes appropriées. garanties.
- Lorsque cela est possible, les délais prévus pour l'effacement des différentes catégories de données.
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1, ou, le cas échéant, des mesures de sécurité visées à l'article 28, paragraphe 3, de la loi de 2018.
- Chaque sous-traitant et, le cas échéant, son représentant doit tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement, contenant :
- Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du représentant du responsable du traitement ou du sous-traitant et du délégué à la protection des données.
- Les catégories de traitements effectués pour le compte de chaque responsable du traitement.
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, la documentation des personnes appropriées. garanties.
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1. Ou, le cas échéant, les mesures de sécurité visées à l’article 28(3) de la loi de 2018.
- Les enregistrements visés aux paragraphes 1 et 2 sont établis par écrit, y compris sous forme électronique.
- Le responsable du traitement ou le sous-traitant et, le cas échéant, son représentant ou son représentant, mettent le dossier à la disposition du commissaire, sur demande.
- Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à un organisme employant moins de 250 personnes, sauf si le traitement qu'elle effectue est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées, le traitement n'est pas occasionnel. , ou le traitement comprend des catégories particulières de données visées à l'article 9, paragraphe 1, ou des données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10.
L’article 30 du RGPD aborde quatre domaines clés de la tenue d’un dossier :
L'article 30 décrit également les exceptions qui s'appliquent à l'un des domaines ci-dessus – notamment celui toute organisation employant moins de 250 personnes n'est pas obligée de tenir des registres de traitement, sauf lorsque les droits et libertés des personnes concernées ne sont « pas occasionnels » ou que l'organisation traite des « catégories particulières » de données ou des données criminelles.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.
Ce faisant, les organisations devraient :
Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.
Les organisations doivent se conformer aux exigences légales, statutaires, réglementaires et contractuelles lorsque :
Les organisations doivent suivre des procédures qui leur permettent de identifier, analyser ainsi que comprendre obligations législatives et réglementaires – en particulier celles qui concernent la protection de la vie privée et les informations personnelles – partout où elles opèrent.
Les organisations doivent être continuellement conscientes de leurs obligations en matière de protection de la vie privée lorsqu’elles concluent de nouveaux accords avec des tiers, des fournisseurs et des sous-traitants.
Lors du déploiement de méthodes de chiffrement pour renforcer la protection de la vie privée et sauvegarder les informations personnelles, les organisations doivent :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides
Dans cette section, nous parlons des articles 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) et 30 (5)
Les organisations doivent conserver un ensemble complet d’enregistrements qui soutiennent leurs actions et obligations en tant que processeur de PII.
Les enregistrements (également appelés « listes d'inventaire ») doivent avoir un propriétaire délégué et peuvent inclure :
De temps en temps, il peut être nécessaire de transférer des informations personnelles entre deux juridictions distinctes. Lorsque cela se produit, les organisations doivent justifier et documenter la nécessité de le faire.
Les règles réglementaires et juridiques régionales varient en fonction de l'origine des données et de l'endroit où elles seront transférées.
Les organisations doivent prendre en compte toutes les lois, cadres et réglementations pertinents chaque fois qu'elles ont besoin de transférer des données entre juridictions, y compris le recours à une autorité de contrôle désignée.
Les organisations doivent conserver une liste documentée des pays et des organisations vers lesquels elles pourraient potentiellement transférer leurs informations personnelles, dans des circonstances raisonnables.
Une fois qu'elles ont formulé une liste, les organisations doivent mettre les informations à la disposition de leurs clients, y compris toutes les opérations PII sous-traitées (voir ISO 27701 Clause 7.5.1).
Dans certaines circonstances – en particulier dans le cas d'enquêtes criminelles – les lois sur la confidentialité peuvent empêcher l'organisation de révéler à l'avance l'identité des pays et des organisations de destination (voir ISO 27701, clauses 8.5.4 et 8.5.5).
Il est d'une importance vitale que les organisations conservent un enregistrement précis des transferts d'informations personnelles vers des organisations tierces.
Les organisations doivent être en mesure d'enregistrer les informations personnelles qui ont été modifiées de quelque manière que ce soit (conformément aux obligations et objectifs des responsables du traitement) ou les transferts requis avant de donner suite à une demande du mandant des informations personnelles visant à modifier ou à effacer les informations personnelles.
Les enregistrements doivent être soumis à une période de conservation proportionnelle et doivent être soumis à des règles de minimisation des données qui ne renvoient que ce qui est nécessaire pour atteindre un objectif spécifique.
Les organisations doivent enregistrer toute divulgation de renseignements personnels à des tiers, y compris les trois éléments d'information suivants :
Il est courant de divulguer des informations personnelles pour diverses raisons, tout au long des opérations de traitement des informations d'une organisation.
Des journaux doivent être établis pour les divulgations effectuées dans le cadre de pratiques commerciales normales et pour toute circonstance particulière qui survient (par exemple, enquêtes réglementaires ou juridiques).
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Dans cette section, nous parlons des articles 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) et 30 (5) du RGPD.
Les organisations doivent conserver des enregistrements précis et à jour qui leur permettent, à tout moment, de prouver le respect de toute obligation contractuelle liée au traitement des informations personnelles.
Selon la juridiction, les dossiers peuvent devoir inclure :
Les organisations doivent mettre en place des plans concrets qui régissent la façon dont les informations personnelles peuvent être revenu, transféré or disposé et mettre toutes ces politiques à la disposition du client.
Il existe différents scénarios qui nécessitent la suppression des informations personnelles, notamment (mais sans s'y limiter) :
Les organisations doivent fournir des assurances catégoriques que toutes les informations personnelles qui ne sont plus nécessaires seront détruites conformément à la législation en vigueur ou aux directives régionales.
Toutes les politiques d'élimination doivent être disponibles pour le client sur demande et doivent couvrir la période dont les organisations disposent pour détruire les informations personnelles, une fois le contrat résilié.
Les organisations doivent conserver une liste précise et à jour de tous les pays ou organisations vers lesquels les informations personnelles peuvent potentiellement être transférées.
Les clients doivent pouvoir consulter à tout moment une liste des pays et organisations destinataires potentiels, y compris un journal de tous les pays impliqués dans la sous-traitance des informations personnelles (voir ISO 27701, clause 8.5.1).
Dans certaines circonstances, les organisations ne seront pas toujours en mesure de divulguer à l’avance l’origine des demandes de transfert – notamment en cas de procédure pénale. Ceci est inévitable et le maintien de l'intégrité d'une opération d'application de la loi devrait être la priorité de l'organisation (voir ISO 27701, clauses 7.5.1, 8.5.4 et 8.5.5).
Les organisations doivent enregistrer méticuleusement tous les cas où elles doivent divulguer des informations personnelles à un tiers.
Chaque fois que des informations personnelles sont divulguées – que ce soit dans le cadre de routines commerciales standard ou dans des circonstances particulières, telles qu'un processus juridique ou réglementaire en cours – les organisations doivent enregistrer ce qui a été divulgué, le destinataire et la raison sous-jacente de cette divulgation.
Article RGPD | Article ISO 27701 | Contrôles ISO 27002 |
---|---|---|
Article 30 (2)(d) du RGPD de l’UE | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
Article 30 (2)(d) du RGPD de l’UE | 6.15.1.1 | 5.20 |
RGPD de l’UE, articles 30 (1)(a) à 30 (5) | 7.2.8 | Aucun |
Article 30 (1)(e) du RGPD de l’UE | 7.5.1 | Aucun |
Article 30 (1)(e) du RGPD de l’UE | 7.5.2 7.5.1 8.5.4 8.5.5 | Aucun |
Article 30 (1)(e) du RGPD de l’UE | 7.5.3 | Aucun |
Article 30 (1)(d) du RGPD de l’UE | 7.5.4 | Aucun |
RGPD de l’UE, articles 30 (2)(a) à 30 (5) | 8.2.6 | Aucun |
Article 30 (1)(f) du RGPD de l’UE | 8.4.2 | Aucun |
Article 30 (2)(c) du RGPD de l’UE | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | Aucun |
Article 30 (1)(d) du RGPD de l’UE | 8.5.3 | Aucun |
ISMS.online vous aide à démontrer un niveau de protection qui dépasse le « raisonnable » dans un emplacement sécurisé et toujours disponible.
Nous faisons du mappage de données une tâche simple. En ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement, vous pouvez facilement tout enregistrer et consulter.
Si le pire arrive, vous serez prêt.
Grâce à nos outils, vous pouvez planifier, communiquer, documenter et tirer des leçons de chaque violation.
En savoir plus par réserver une démo de 30 minutes.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Demander un devis