Comment démontrer la conformité à l'article 36 du RGPD

Consultation préalable

Demander demo

groupe,de,heureux,collègues,discutant,dans,la,salle,de,conférence

RGPD Article 36 souligne l'obligation pour une organisation de consulter une « autorité de contrôle » avant de procéder à une AIPD (voir article 35), afin de mieux protéger les droits et libertés des personnes concernées tout au long de l'opération de traitement.

Article 36 du RGPD Texte juridique

Version RGPD de l'UE

Consultation préalable

  1. Le responsable du traitement consulte l'autorité de contrôle avant le traitement lorsqu'une analyse d'impact sur la protection des données au titre de l'article 35 indique que le traitement entraînerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer ce risque.

  2. Lorsque l'autorité de contrôle estime que le traitement envisagé visé au paragraphe 1 enfreindrait le présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle doit, dans un délai maximum de huit semaines suivant la réception la demande de consultation, fournir des conseils écrits au responsable du traitement et, le cas échéant, au sous-traitant, et peut utiliser l'un de ses pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, compte tenu de la complexité du traitement envisagé. . L'autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant, d'une telle prolongation dans un délai d'un mois à compter de la réception de la demande de consultation, en indiquant les raisons du retard. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu les informations qu'elle a demandées aux fins de la consultation.

  3. Lors de la consultation de l'autorité de contrôle conformément au paragraphe 1, le responsable du traitement fournit à l'autorité de contrôle :

    • (a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints du traitement et des sous-traitants impliqués dans le traitement, notamment pour le traitement au sein d'un groupe d'entreprises ;

    • (b) les finalités et les moyens du traitement envisagé ;

    • (c) les mesures et garanties prévues pour protéger les droits et libertés des personnes concernées en vertu du présent règlement ;

    • (d) le cas échéant, les coordonnées du délégué à la protection des données ;

    • e) l'analyse d'impact sur la protection des données prévue à l'article 35; et

    • f) toute autre information demandée par l'autorité de contrôle.

  4. Les États membres consultent l'autorité de contrôle lors de l'élaboration d'une proposition de mesure législative à adopter par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui concerne le traitement.

  5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent et obtiennent l'autorisation préalable de l'autorité de contrôle en ce qui concerne le traitement effectué par un responsable du traitement pour l'exécution d'une mission effectuée par le responsable du traitement dans l'intérêt public, y compris le traitement en relation avec à la protection sociale et à la santé publique.

Version du RGPD au Royaume-Uni

Consultation préalable

  1. Le responsable du traitement consulte le commissaire avant le traitement lorsqu'une analyse d'impact relative à la protection des données au titre de l'article 35 indique que le traitement entraînerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer ce risque.

  2. Lorsque le commissaire estime que le traitement envisagé visé au paragraphe 1 enfreindrait le présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, le commissaire, dans un délai maximum de huit semaines suivant la réception de la demande pour la consultation, donne des conseils écrits au responsable du traitement et, le cas échéant, au sous-traitant, et peut utiliser l'un de ses pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, compte tenu de la complexité du traitement envisagé. Le commissaire informe le responsable du traitement et, le cas échéant, le sous-traitant, d'une telle prolongation dans un délai d'un mois à compter de la réception de la demande de consultation, en indiquant les raisons du retard. Ces délais peuvent être suspendus jusqu'à ce que le commissaire ait obtenu les renseignements qu'il a demandés aux fins de la consultation.

  3. Lors de la consultation du commissaire conformément au paragraphe 1, le responsable du traitement fournit à l'autorité de contrôle :

    • (a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints du traitement et des sous-traitants impliqués dans le traitement, notamment pour le traitement au sein d'un groupe d'entreprises ;

    • (b) les finalités et les moyens du traitement envisagé ;

    • (c) les mesures et garanties prévues pour protéger les droits et libertés des personnes concernées en vertu du présent règlement ;

    • (d) le cas échéant, les coordonnées du délégué à la protection des données ;

    • e) l'analyse d'impact sur la protection des données prévue à l'article 35; et

    • f) toute autre information demandée par l'autorité de contrôle.

  4. L'autorité compétente doit consulter le commissaire lors de la préparation d'une proposition de mesure législative à adopter par le Parlement, l'Assemblée nationale du Pays de Galles, le Parlement écossais ou l'Assemblée d'Irlande du Nord, ou d'une mesure réglementaire fondée sur une telle mesure législative. qui concerne le traitement.

    4A. Au paragraphe 4, « l'autorité compétente » désigne : (a) en ce qui concerne une mesure législative adoptée par le Parlement, ou une mesure réglementaire basée sur une telle mesure législative, le secrétaire d'État ; (b) en ce qui concerne une mesure législative adoptée par l'Assemblée nationale du Pays de Galles, ou une mesure réglementaire basée sur une telle mesure législative, les ministres gallois ; (c) en ce qui concerne une mesure législative adoptée par le Parlement écossais, ou une mesure réglementaire basée sur une telle mesure législative, les ministres écossais ; (d) en ce qui concerne une mesure législative adoptée par l'Assemblée d'Irlande du Nord, ou une mesure réglementaire basée sur une telle mesure législative, le département d'Irlande du Nord compétent.

  5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent et obtiennent l'autorisation préalable de l'autorité de contrôle en ce qui concerne le traitement effectué par un responsable du traitement pour l'exécution d'une mission effectuée par le responsable du traitement dans l'intérêt public, y compris le traitement en relation avec à la protection sociale et à la santé publique.
Aller au sujet

100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup

Commencez votre voyage aujourd'hui
Réservez votre démo

Clause 27701 de la norme ISO 5.2.2 (Comprendre les besoins et les attentes des parties intéressées) et article 36 du RGPD de l'UE

Dans cette section, nous parlons des articles 36 (1), 36 (2), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(d), du RGPD. 36 (3)(e), 36 (5)(f) et XNUMX (XNUMX)

Les informations personnelles et la protection de la vie privée peuvent potentiellement avoir un impact sur un grand nombre d'employés, d'utilisateurs et de clients, tant en interne qu'en externe.

Les organisations doivent acquérir une solide compréhension des besoins de tout personnel concerné et de ce que l'ISO considère comme des « parties intéressées ».

Besoin de l'organisation d'établir et de documenter :

  • Toute « partie intéressée » pertinente pour le sujet plus large de la protection de la vie privée.

  • Quelles sont les exigences uniques de ces personnes dans le cadre d'un PIMS.

Les organisations doivent également prendre en compte toutes les obligations légales, réglementaires ou contractuelles, ainsi que les exigences pratiques et opérationnelles.

Lors de la mise en œuvre d'un PIMS, les organisations doivent dresser une liste des parties intéressées qui sont soit affectées par un PIMS, soit qui ont un rôle à jouer dans le traitement des informations personnelles.

En ce qui concerne les informations personnelles, une partie intéressée peut être l'une des personnes suivantes (mais sans s'y limiter) :

  • Un employé.

  • Un client.

  • Autorités réglementaires, judiciaires ou de contrôle.

  • Autres contrôleurs et processeurs PII.

Il est important de noter que les exigences PII – liées à un PIMS – émanent souvent d'un large éventail de sources, notamment :

  • Processus et objectifs internes.

  • Organismes gouvernementaux et/ou réglementaires.

  • Obligations contractuelles avec des organismes tiers.

Il peut souvent être difficile pour les organismes de gouvernance et de réglementation de confirmer le respect des normes publiées en matière de protection de la vie privée par une organisation, dans son rôle de processeur et de contrôleur de données PII.

En tant que telles, les organisations doivent s'attendre à ce que ces organismes demandent des examens indépendants de tout système de gestion pertinent, afin de satisfaire leurs propres exigences d'audit.

ISO 27701, clause 7.2.5 (évaluation de l'impact sur la vie privée) et article 36 du RGPD de l'UE

Dans cette section, nous parlons des articles 36 (1) du RGPD, 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)( e), 36 (3)(f) et 36 (5)

Le traitement des informations personnelles est une fonction commerciale à haut risque qui doit être soigneusement évaluée pour garantir l'intégrité, l'authenticité et la légalité des données traitées.

Selon la juridiction, certaines organisations devront se conformer à une liste catégorique de scénarios dans lesquels une évaluation des facteurs relatifs à la vie privée est requise, tels que :

  1. Prise de décision automatisée.

  2. Traitement au niveau de l'entreprise des catégories PII spéciales.

  3. Surveillance de grands espaces publics.

Les organisations doivent établir ce qui constitue une évaluation d’impact adéquate, comprenant (mais sans s’y limiter) :

  • Quel type de données personnelles est stocké.

  • Où il est stocké.

  • Où il peut être déplacé.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
RGPD de l'UE, articles 36 (1) à 36 (5)ISO 27701 5.2.2Aucun
RGPD UE Articles 36 (1), 36 (3)(a), 36)(3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) et 36 (5)ISO 27701 7.2.5Aucun

Comment l'aide d'ISMS.online

Soutenir des décisions commerciales plus larges. Avec toutes vos données centralisées, conçues dans un souci de collaboration, vous serez bien équipé pour prendre les bonnes décisions au bon moment.

Gardez une longueur d'avance sur le changement. Les risques ne sont pas statiques, vos outils doivent donc pouvoir s'adapter. Gérez sans effort les menaces et les opportunités à l’aide d’un outil intégré et dynamique qui simplifie l’identification, l’évaluation et le traitement des risques sur une base continue.

En savoir plus par réserver une démo.

Voir notre plateforme
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage