RGPD Article 36 souligne l'obligation pour une organisation de consulter une « autorité de contrôle » avant de procéder à une AIPD (voir article 35), afin de mieux protéger les droits et libertés des personnes concernées tout au long de l'opération de traitement.
Consultation préalable
- Le responsable du traitement consulte l'autorité de contrôle avant le traitement lorsqu'une analyse d'impact sur la protection des données au titre de l'article 35 indique que le traitement entraînerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer ce risque.
- Lorsque l'autorité de contrôle estime que le traitement envisagé visé au paragraphe 1 enfreindrait le présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle doit, dans un délai maximum de huit semaines suivant la réception la demande de consultation, fournir des conseils écrits au responsable du traitement et, le cas échéant, au sous-traitant, et peut utiliser l'un de ses pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, compte tenu de la complexité du traitement envisagé. . L'autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant, d'une telle prolongation dans un délai d'un mois à compter de la réception de la demande de consultation, en indiquant les raisons du retard. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu les informations qu'elle a demandées aux fins de la consultation.
- Lors de la consultation de l'autorité de contrôle conformément au paragraphe 1, le responsable du traitement fournit à l'autorité de contrôle :
- (a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints du traitement et des sous-traitants impliqués dans le traitement, notamment pour le traitement au sein d'un groupe d'entreprises ;
- (b) les finalités et les moyens du traitement envisagé ;
- (c) les mesures et garanties prévues pour protéger les droits et libertés des personnes concernées en vertu du présent règlement ;
- (d) le cas échéant, les coordonnées du délégué à la protection des données ;
- e) l'analyse d'impact sur la protection des données prévue à l'article 35; et
- f) toute autre information demandée par l'autorité de contrôle.
- Les États membres consultent l'autorité de contrôle lors de l'élaboration d'une proposition de mesure législative à adopter par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui concerne le traitement.
- Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent et obtiennent l'autorisation préalable de l'autorité de contrôle en ce qui concerne le traitement effectué par un responsable du traitement pour l'exécution d'une mission effectuée par le responsable du traitement dans l'intérêt public, y compris le traitement en relation avec à la protection sociale et à la santé publique.
Consultation préalable
- Le responsable du traitement consulte le commissaire avant le traitement lorsqu'une analyse d'impact relative à la protection des données au titre de l'article 35 indique que le traitement entraînerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer ce risque.
- Lorsque le commissaire estime que le traitement envisagé visé au paragraphe 1 enfreindrait le présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, le commissaire, dans un délai maximum de huit semaines suivant la réception de la demande pour la consultation, donne des conseils écrits au responsable du traitement et, le cas échéant, au sous-traitant, et peut utiliser l'un de ses pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, compte tenu de la complexité du traitement envisagé. Le commissaire informe le responsable du traitement et, le cas échéant, le sous-traitant, d'une telle prolongation dans un délai d'un mois à compter de la réception de la demande de consultation, en indiquant les raisons du retard. Ces délais peuvent être suspendus jusqu'à ce que le commissaire ait obtenu les renseignements qu'il a demandés aux fins de la consultation.
- Lors de la consultation du commissaire conformément au paragraphe 1, le responsable du traitement fournit à l'autorité de contrôle :
- (a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints du traitement et des sous-traitants impliqués dans le traitement, notamment pour le traitement au sein d'un groupe d'entreprises ;
- (b) les finalités et les moyens du traitement envisagé ;
- (c) les mesures et garanties prévues pour protéger les droits et libertés des personnes concernées en vertu du présent règlement ;
- (d) le cas échéant, les coordonnées du délégué à la protection des données ;
- e) l'analyse d'impact sur la protection des données prévue à l'article 35; et
- f) toute autre information demandée par l'autorité de contrôle.
- L'autorité compétente doit consulter le commissaire lors de la préparation d'une proposition de mesure législative à adopter par le Parlement, l'Assemblée nationale du Pays de Galles, le Parlement écossais ou l'Assemblée d'Irlande du Nord, ou d'une mesure réglementaire fondée sur une telle mesure législative. qui concerne le traitement.
4A. Au paragraphe 4, « l'autorité compétente » désigne : (a) en ce qui concerne une mesure législative adoptée par le Parlement, ou une mesure réglementaire basée sur une telle mesure législative, le secrétaire d'État ; (b) en ce qui concerne une mesure législative adoptée par l'Assemblée nationale du Pays de Galles, ou une mesure réglementaire basée sur une telle mesure législative, les ministres gallois ; (c) en ce qui concerne une mesure législative adoptée par le Parlement écossais, ou une mesure réglementaire basée sur une telle mesure législative, les ministres écossais ; (d) en ce qui concerne une mesure législative adoptée par l'Assemblée d'Irlande du Nord, ou une mesure réglementaire basée sur une telle mesure législative, le département d'Irlande du Nord compétent.- Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent et obtiennent l'autorisation préalable de l'autorité de contrôle en ce qui concerne le traitement effectué par un responsable du traitement pour l'exécution d'une mission effectuée par le responsable du traitement dans l'intérêt public, y compris le traitement en relation avec à la protection sociale et à la santé publique.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup
Dans cette section, nous parlons des articles 36 (1), 36 (2), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(d), du RGPD. 36 (3)(e), 36 (5)(f) et XNUMX (XNUMX)
Les informations personnelles et la protection de la vie privée peuvent potentiellement avoir un impact sur un grand nombre d'employés, d'utilisateurs et de clients, tant en interne qu'en externe.
Les organisations doivent acquérir une solide compréhension des besoins de tout personnel concerné et de ce que l'ISO considère comme des « parties intéressées ».
Besoin de l'organisation d'établir et de documenter :
Les organisations doivent également prendre en compte toutes les obligations légales, réglementaires ou contractuelles, ainsi que les exigences pratiques et opérationnelles.
Lors de la mise en œuvre d'un PIMS, les organisations doivent dresser une liste des parties intéressées qui sont soit affectées par un PIMS, soit qui ont un rôle à jouer dans le traitement des informations personnelles.
En ce qui concerne les informations personnelles, une partie intéressée peut être l'une des personnes suivantes (mais sans s'y limiter) :
Il est important de noter que les exigences PII – liées à un PIMS – émanent souvent d'un large éventail de sources, notamment :
Il peut souvent être difficile pour les organismes de gouvernance et de réglementation de confirmer le respect des normes publiées en matière de protection de la vie privée par une organisation, dans son rôle de processeur et de contrôleur de données PII.
En tant que telles, les organisations doivent s'attendre à ce que ces organismes demandent des examens indépendants de tout système de gestion pertinent, afin de satisfaire leurs propres exigences d'audit.
Dans cette section, nous parlons des articles 36 (1) du RGPD, 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)( e), 36 (3)(f) et 36 (5)
Le traitement des informations personnelles est une fonction commerciale à haut risque qui doit être soigneusement évaluée pour garantir l'intégrité, l'authenticité et la légalité des données traitées.
Selon la juridiction, certaines organisations devront se conformer à une liste catégorique de scénarios dans lesquels une évaluation des facteurs relatifs à la vie privée est requise, tels que :
Les organisations doivent établir ce qui constitue une évaluation d’impact adéquate, comprenant (mais sans s’y limiter) :
Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
---|---|---|
RGPD de l'UE, articles 36 (1) à 36 (5) | ISO 27701 5.2.2 | Aucun |
RGPD UE Articles 36 (1), 36 (3)(a), 36)(3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) et 36 (5) | ISO 27701 7.2.5 | Aucun |
Soutenir des décisions commerciales plus larges. Avec toutes vos données centralisées, conçues dans un souci de collaboration, vous serez bien équipé pour prendre les bonnes décisions au bon moment.
Gardez une longueur d'avance sur le changement. Les risques ne sont pas statiques, vos outils doivent donc pouvoir s'adapter. Gérez sans effort les menaces et les opportunités à l’aide d’un outil intégré et dynamique qui simplifie l’identification, l’évaluation et le traitement des risques sur une base continue.
En savoir plus par réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo