Le Bureau du commissaire à l'information (ICO) a élargi ses directives sur la section « Base légale du traitement » du Règlement Général de Protection des Données (GDPR).
«Base légale pour Traitement »fournit des informations sur la manière dont les données personnelles doivent être traitées et comment le consentement doit être obtenu – si tant est que vous soyez effectivement tenu d’obtenir le consentement.
Jetons un coup d'œil aux directives mises à jour sur le RGPD publié par l'OIC.
L'article 6, paragraphe 1, point f) du RGPD stipule que vous pouvez légalement traiter des données sans obtenir le consentement en utilisant intérêt légitime. Voici comment l'ICO décrit son utilisation dans le cadre du RGPD :
« Le RGPD mentionne spécifiquement l'utilisation des données des clients ou des salariés, le marketing, la prévention de la fraude, les transferts intra-groupe ou la sécurité informatique comme intérêts légitimes potentiels, mais cette liste n'est pas exhaustive. Il indique également que vous avez un intérêt légitime à divulguer des informations sur d'éventuels actes criminels ou sur la sécurité menaces contre les autorités.
L'ICO continue en disant que le traitement des données doit être une manière ciblée et proportionnée d’atteindre votre objectif. Cela signifie qu’on ne peut pas s’appuyer sur des intérêts légitimes s’il existe un autre moyen raisonnable et moins intrusif d’obtenir le même résultat. »
Quels ajouts ont été apportés à la base de l’intérêt légitime ?
La ICO dit que la base légale de l’intérêt légitime est « essentiellement » la même que la condition de l’annexe 2 de la loi sur la protection des données (DPA) de 1998.
Les modifications apportées concernent principalement :
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
La nécessité de documenter votre processus décisionnel est probablement le changement le plus important par rapport à la situation actuelle. Protection des données Acte. Les preuves et la piste d'audit que vous conservez, comme dans un système de gestion de la sécurité de l'information, vous permettra de démontrer facilement votre conformité.
L’intérêt légitime peut inclure le traitement de données sans obtenir le consentement s’il est considéré comme présentant un bénéfice plus large pour la société.
Plus de poids a été accordé à protéger ces données. De plus, en vertu du RGPD, les autorités publiques seront plus limitées en matière d'intérêt légitime, pour lequel la base juridique de la « tâche publique » doit être prise en compte.
Le Bureau du commissaire à l'information décrit les données de catégorie spéciale comme étant particulièrement sensibles et pouvant présenter « des risques plus importants pour les droits et libertés fondamentaux d'une personne ». Cela signifie qu'il nécessite plus de protection. L'ICO répertorie les éléments suivants comme exemples de données de catégories spéciales.
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
Outre l'actuelle loi sur la protection des données de 1998, les données génétiques et biométriques ont désormais été ajoutées au nouveau règlement. Les données génétiques concernent des caractéristiques génétiques héritées ou acquises. Ces informations donneront une indication sur la santé et la physiologie d'un individu et les informations qui en résultent sont ce que nous appelons des données biométriques.
De plus, la catégorie spéciale la section de données n'inclut plus les données personnelles données traitées sur les infractions pénales et les condamnations – ceci est désormais couvert séparément à l’article 10, Données sur les infractions pénales.
Les données sur les infractions pénales comprennent, sans toutefois s'y limiter, des informations sur les infractions, les allégations, les procédures, les condamnations et les mesures de sécurité associées.
« Traitements de données à caractère personnel relatifs aux condamnations pénales et aux délits ou liés mesures de sécurité fondé sur l'article 6, paragraphe 1, n'est effectué que sous le contrôle d'une autorité publique ou lorsque le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre prévoyant des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne sera tenu que sous le contrôle de l'autorité officielle.
L’article 10 du RGPD stipule que vous ne pouvez « tenir un registre complet des condamnations pénales que si vous le faites sous le contrôle d’une autorité officielle ».
De plus, comme mentionné précédemment, les données sur les infractions pénales ont été retirées de la section des données sur les catégories spéciales.
Avec plus des mises à jour restent à venir sur le RGPD, restez à l'écoute pour connaître les annonces du Bureau du commissaire à l'information.
Téléchargez votre guide gratuit
pour rationaliser votre Infosec
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup