RGPD L'article 41 fait suite à l'article 40 (codes de conduite) en stipulant que le respect d'un code de conduite doit être surveillé par une autorité appropriée, possédant un domaine d'expertise approprié lié aux pratiques commerciales et aux objectifs de l'organisation.
Les organisations doivent reconnaître l’autorité et les procédures requises des organismes de contrôle et chercher à s’y conformer à tout moment.
Surveillance des codes de conduite approuvés
- Sans préjudice des tâches et des pouvoirs de l'autorité de contrôle compétente en vertu des articles 57 et 58, le contrôle du respect d'un code de conduite conformément à l'article 40 peut être effectué par un organisme disposant d'un niveau d'expertise approprié en ce qui concerne le sujet. -objet du code et est accrédité à cet effet par l'autorité de contrôle compétente.
- Un organisme visé au paragraphe 1 peut être accrédité pour contrôler le respect d'un code de conduite lorsque cet organisme:
- a) a démontré son indépendance et son expertise par rapport à l'objet du code à la satisfaction de l'autorité de contrôle compétente;
- (b) des procédures établies qui lui permettent d'évaluer l'éligibilité des responsables du traitement et des sous-traitants concernés à appliquer le code, de contrôler leur respect de ses dispositions et de réexaminer périodiquement son fonctionnement ;
- (c) des procédures et des structures établies pour traiter les plaintes concernant les violations du code ou la manière dont le code a été, ou est en cours, mis en œuvre par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes pour les personnes concernées et le public. ; et
- d) a démontré à la satisfaction de l'autorité de contrôle compétente que ses tâches et obligations n'entraînent pas de conflit d'intérêts.
- L'autorité de contrôle compétente soumet au conseil, conformément au mécanisme de cohérence visé à l'article 1, le projet de critères d'accréditation d'un organisme visé au paragraphe 63 du présent article.
- Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente et des dispositions du CHAPITRE VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve de garanties appropriées, les mesures appropriées en cas de violation du code par un responsable du traitement. ou sous-traitant, y compris la suspension ou l'exclusion du responsable du traitement ou du sous-traitant concerné du code. Elle informe l'autorité de contrôle compétente de ces mesures et des raisons qui les ont motivées.
- L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus remplies ou si les mesures prises par l'organisme enfreignent le présent règlement.
- Le présent article ne s’applique pas aux traitements effectués par les autorités et organismes publics.
Surveillance des codes de conduite approuvés
- Sans préjudice des tâches et des pouvoirs du commissaire en vertu des articles 57 et 58, le contrôle du respect d'un code de conduite conformément à l'article 40 peut être effectué par un organisme disposant d'un niveau d'expertise approprié en ce qui concerne le sujet. du code et est accrédité à cette fin par le commissaire.
- Un organisme visé au paragraphe 1 peut être accrédité pour contrôler le respect d'un code de conduite lorsque cet organisme:
- a) a démontré à la satisfaction du commissaire son indépendance et son expertise par rapport à l’objet du code;
- (b) des procédures établies qui lui permettent d'évaluer l'éligibilité des responsables du traitement et des sous-traitants concernés à appliquer le code, de contrôler leur respect de ses dispositions et de réexaminer périodiquement son fonctionnement ;
- (c) des procédures et des structures établies pour traiter les plaintes concernant les violations du code ou la manière dont le code a été, ou est en cours, mis en œuvre par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes pour les personnes concernées et le public. ; et
- d) a démontré à la satisfaction du commissaire que ses tâches et fonctions n'entraînent pas de conflit d'intérêts.
- Sans préjudice des tâches et des pouvoirs du commissaire et des dispositions d'un organisme visé au paragraphe 1 du présent article, il prend, sous réserve des garanties appropriées, les mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, y compris la suspension. ou l'exclusion du responsable du traitement ou du sous-traitant concerné du code. Il informe le commissaire de ces mesures et des raisons qui les ont motivées.
- Le commissaire révoque l'accréditation d'un organisme visé au paragraphe 1 si les conditions d'accréditation ne sont pas ou ne sont plus remplies ou lorsque les actions entreprises par l'organisme enfreignent le présent règlement.
- Le présent article ne s’applique pas aux traitements effectués par les autorités et organismes publics.
Nous sommes économiques et rapides
L’article 41 du RGPD traite de l’adéquation et de la fonction de l’organisme de surveillance dans 5 domaines clés :
Dans cette section, nous parlons des articles 41 (1) du RGPD, 41 (2)(a), 41 (2)(b), 41 (2)(c), 41 (2)(d), 41 (3), 41(4), 41(5), 41(6)
Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.
L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.
Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.
Ceci comprend :
Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
---|---|---|
RGPD de l'UE, articles 41 (1) à 41 (6) | ISO 27701 5.2.1 | Aucun |
Soyez conforme au RGPD de l’UE et du Royaume-Uni. Notre environnement prédéfini s'intègre parfaitement à votre système de gestion et vous permet de décrire et de démontrer votre approche en matière de protection des données de vos clients européens et britanniques.
Avec ISMS.online, vous pouvez facilement démontrer un niveau de protection de la vie privée qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.
En savoir plus par réserver une courte démo.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
Demander un devis