RGPD L'article 34 décrit l'obligation d'une organisation d'informer les personnes concernées d'une violation de données, susceptible d'entraîner un risque important pour leurs droits et libertés en tant qu'individus.
Communication d'une violation de données personnelles à la personne concernée
- Lorsque la violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
- La communication à la personne concernée visée au paragraphe 1 du présent article décrit en langage clair et simple la nature de la violation des données à caractère personnel et contient au moins les informations et les mesures visées aux points (b), (c) et (d). ) de l'article 33, paragraphe 3.
- La communication à la personne concernée visée au paragraphe 1 n'est pas requise si l'une des conditions suivantes est remplie :
- (a) le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, et ces mesures ont été appliquées aux données personnelles concernées par la violation de données personnelles, en particulier celles qui rendent les données personnelles inintelligibles pour toute personne qui n'est pas autorisée à y accéder, comme le cryptage.
- (b) le responsable du traitement a pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser.
- (c) cela impliquerait des efforts disproportionnés. Dans un tel cas, il y aura plutôt une communication publique ou une mesure similaire par laquelle les personnes concernées seront informées de manière tout aussi efficace.
- Si le responsable du traitement n'a pas encore informé la personne concernée de la violation des données à caractère personnel, l'autorité de contrôle, après avoir examiné la probabilité que la violation des données à caractère personnel entraîne un risque élevé, peut l'obliger à le faire ou décider que l'une des conditions mentionnées au paragraphe 3 sont remplies.
Communication d'une violation de données personnelles à la personne concernée
- Lorsque la violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
- La communication à la personne concernée visée au paragraphe 1 du présent article décrit en langage clair et simple la nature de la violation des données à caractère personnel et contient au moins les informations et les mesures visées aux points (b), (c) et (d). ) de l'article 33, paragraphe 3.
- La communication à la personne concernée visée au paragraphe 1 n'est pas requise si l'une des conditions suivantes est remplie :
- (a) le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, et ces mesures ont été appliquées aux données personnelles concernées par la violation de données personnelles, en particulier celles qui rendent les données personnelles inintelligibles pour toute personne qui n'est pas autorisée à y accéder, comme le cryptage.
- (b) le responsable du traitement a pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser.
- (c) cela impliquerait des efforts disproportionnés. Dans un tel cas, il y aura plutôt une communication publique ou une mesure similaire par laquelle les personnes concernées seront informées de manière tout aussi efficace.
- Si le responsable du traitement n'a pas encore informé la personne concernée de la violation des données à caractère personnel, le commissaire, après avoir examiné la probabilité que la violation des données à caractère personnel entraîne un risque élevé, peut lui demander de le faire ou décider que l'une des conditions mentionnées au paragraphe 3 sont remplies.
Demander un devis
L’article 34 du RGPD précise que toutes les violations ne doivent pas être communiquées aux personnes concernées. Toutefois, les organisations devraient communiquer les détails d’une violation lorsqu’elle est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques.
L’article 34 décrit trois domaines principaux sur lesquels se concentrer lors de la communication d’une violation de données :
Les contrôleurs ne sont pas obligés de communiquer une violation dans les trois scénarios suivants :
Dans cette section, nous parlons des articles 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) et 34(4) du RGPD.
Afin de créer une politique de gestion des incidents cohérente et hautement fonctionnelle qui protège la disponibilité et l'intégrité des informations confidentielles lors d'incidents critiques, les organisations doivent :
Le personnel impliqué dans des incidents de sécurité des informations confidentielles doit comprendre :
Lorsqu’il traite des événements liés à la sécurité des informations confidentielles, le personnel doit :
Les activités de reporting doivent être centrées autour de 4 domaines clés :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Dans cette section, nous parlons des articles 34 (2) et 34 (1) du RGPD.
Les organisations doivent s'assurer que les incidents de sécurité des informations confidentielles sont traités par une équipe technique dédiée possédant les compétences et les ressources nécessaires pour parvenir à une résolution rapide (voir ISO 27002 Contrôle 5.24).
Les organisations devraient :
Article RGPD | Article ISO 27701 | Contrôles ISO 27002 |
---|---|---|
RGPD de l'UE, articles 34 (1) à 34 (4) | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
Articles 34 (2) et 34 (1) du RGPD de l’UE | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
Grâce à des conseils intégrés et à notre approche de mise en œuvre « Adopter, Adapt, Add », ISMS.online facilite la démonstration de la conformité au RGPD. Une gamme de fonctionnalités puissantes permettant de gagner du temps sera également à votre disposition.
Grâce à notre plateforme intuitive, vous pouvez atteindre plusieurs objectifs de sécurité et de confidentialité des informations en cartographiant votre travail selon plusieurs normes et cadres.
Si vous avez besoin d'aide ou de conseils pendant votre démarche vers le RGPD, nous pouvons mettre à votre disposition notre équipe d'experts internes ou vous recommander un partenaire de confiance qui peut vous aider.
En savoir plus par réserver une démo.
J'ai suivi la certification ISO 27001 à mes dépens et j'apprécie vraiment le temps que cela nous a permis de gagner pour obtenir la certification ISO 27001.