RGPD signifie RGPD – Avez-vous établi votre plan SAR ?

Le RGPD de l’UE sera adopté par le Royaume-Uni indépendamment du Brexit, il est donc nécessaire d’agir dès maintenant. Pour les entreprises qui réfléchissent de manière responsable à la manière dont elles répondront aux exigences de ce règlement européen, les demandes d'accès par sujet (SAR) feront sans aucun doute partie de leurs considérations.

En vertu du nouveau RGPD de l'UE, les organisations doivent répondre aux DOS « sans retard injustifié et au plus tard dans un délai d'un mois ». Il s’agit d’un délai plus court que celui prévu par le DPA existant, qui prévoit 40 jours. Ce qui est peut-être encore plus exigeant est que des informations supplémentaires doivent également être fournies aux demandeurs en plus de leurs données personnelles. Cela comprend, lorsque cela est possible, des détails sur « la période envisagée pour laquelle le données à caractère personnel seront stockés ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période ».

Des informations complémentaires sont également nécessaires pour expliquer les droits des demandeurs de demander la rectification ou l'effacement de leurs données, de s'opposer aux activités de traitement, ainsi que leur droit de déposer des réclamations auprès de autorités chargées de la protection des données. Les organisations devront identifier d'où elles proviennent des données personnelles des demandeurs dans les cas où elles n'ont pas été collectées directement auprès de l'individu. Les demandeurs auront également le droit d’obtenir des détails sur les garanties appliquées lorsque leurs données sont transférées en dehors de l’Espace économique européen.

Selon Le Bureau du commissaire à l'information (ICO) Rapport annuel pour l'exercice 2015/16*, 42% de cles préoccupations soulevées avec eux étaient centrées sur le SAR. Cela met en évidence les difficultés déjà rencontrées par les organisations à se conformer aux réglementations existantes, moins onéreuses. Cela indique que les organisations ont encore du chemin à parcourir pour répondre aux attentes des clients, du personnel et des régulateurs !

Le Plan d'

Sous les ICO Se préparer à la Règlement Général de Protection des Données (RGPD) – 12 étapes à suivre dès maintenant**, le 5ème décrit la nécessité de procédures et d'un plan sur la manière dont une organisation gérera les SAR.

Compte tenu des nouvelles exigences, il est important que le personnel soit suffisamment formé pour identifier ce qui constitue une demande et le processus de traitement de celle-ci. Attendre des jours avant que le processus ne démarre et que les données soient récupérées des systèmes sera risqué étant donné que les amendes seront probablement élevées. plus rigide sous le RGPD.

• Établissez comment vous allez gérer votre projet RGPD avec une visibilité claire de tout le travail à accomplir pour réaliser et conformité des preuves.
• Convenez en interne de politiques qui décrivent vos procédures et processus pragmatiques.
• Identifiez qui doit être formé et comment allez-vous montrer que la formation a eu lieu.
• Entreprendre examen et évaluation des facteurs relatifs à la vie privée.
• Identifier et traiter les informations, les risques physiques et législatifs en matière de vie privée.
• Établir une méthode d'attribution des SAR aux personnes formées, ainsi que des délais et des alertes, tout en conservant la visibilité et les rapports de gestion.

Ainsi, le RGPD pourrait poser un problème important risque pour les organisations et un plan pour y remédier Les SAR et tous les autres aspects des exigences sont nécessaires :

• Assurez-vous qu’ils disposent d’un flux de travail clair à suivre pour qu’ils puissent suivre leur travail.
• Donnez-leur la possibilité d'accéder rapidement aux modèles de réponses à version contrôlée avec une formulation standardisée (fournissant les détails supplémentaires qui doivent être divulgués avec les données du demandeur)
• Équipez le personnel d’outils pour demander facilement et efficacement aux autres membres de l’équipe d’effectuer leur part du processus.
• Intégrez votre travail RGPD dans votre projet plus large ISMS ou sécurité de l’information 
• Démontrer une gouvernance efficace à un régulateur en cas d’enquête.

Sans aucun doute, les régulateurs rechercheront également une position forte pour démontrer la sécurité des données personnelles par les responsables du traitement et les sous-traitants. C'est pourquoi notre solution logicielle, ISMS.online, comprend tous les outils et cadres permettant de gérer la conformité au RGPD et la sécurité des informations conformément aux exigences de la norme ISO 27001.

Rapport annuel et états financiers du commissaire à l'information 2015-16

Guide du Règlement Général sur la Protection des Données (RGPD)