Respect de la vie privée
Le RGPD exige des entreprises qu’elles prennent les mesures techniques et organisationnelles appropriées pour garantir et démontrer que tout traitement de données personnelles est effectué conformément au RGPD. Cela signifie, entre autres, que les sociétés doivent disposer de certains documents en règle, selon le type d’activités de traitement.
Sur la base de l’audit effectué par nos soins (ou par un tiers), deJuristen peuvent rédiger (ou adapter) les documents nécessaires et développer (ou affiner) les politiques. Cela permettra à votre organisation de démontrer que vous respectez le principe de responsabilité.
En consultation mutuelle, nous discuterons des documents minimums requis pour votre entreprise, de ce qui peut y être ajouté et du processus à suivre pour obtenir un résultat aussi efficace que possible.
Charte de la vie privée (ou charte de protection des données)
Il s’agit d’un document interne sur la manière dont l’organisation traite les données à caractère personnel. Les sujets suivants sont développés en détail : une description des catégories de données à caractère personnel, une description des finalités du traitement, sur quelle base juridique l’organisation fonde son traitement, quels sont les droits des personnes concernées (et comment les personnes concernées peuvent exercer ces droits), s’il existe des destinataires des données à caractère personnel.
Avec vous, nous discuterons et déterminerons quelles informations doivent être incluses dans la charte de la vie privée.
Registre de traitement
Un registre de traitement est un aperçu de tous les flux de données, des processus de traitement et de la sécurité des données à caractère personnel.
Le registre donne un aperçu des aspects suivants :
- Les données à caractère personnel traitées ;
- les processus de traitement au sein de votre entreprise ;
- un aperçu de la sécurité des données ;
- le transfert de données à caractère personnel ;
- les délais de conservation des données à caractère personnel.
Ce registre fournira à votre organisation la preuve que vous respectez les règles relatives à la protection de la vie privée.
Convention de traitement
Au moment où votre organisation fait traiter des données à caractère personnel par une autre partie (ou votre organisation traite des données à caractère personnel au nom d’une autre partie), une convention de traitement doit être conclue. Une convention de sous-traitance précise des questions telles que l’objet, la durée du traitement, la nature et la finalité, le type de données à caractère personnel et les catégories de personnes concernées, les droits et obligations des parties (en matière de responsabilité, de droit d’audit et de signalement d’une violation des données).
Accord de transfert entre deux responsables indépendants du traitement des données
Au moyen d’un accord de transfert, un responsable de données peut partager des données à caractère personnel avec d’autres responsables de données à certaines fins convenues. Cet accord impose un certain nombre de restrictions à l’utilisation des données personnelles partagées, ainsi qu’un ensemble d’obligations visant à garantir que les deux parties respectent leurs obligations au titre du RGPD.
Politique de conservation des données
L’objectif de cette politique est de fournir des directives claires sur la manière dont votre organisation et vos employés doivent conserver les données générées ou reçues dans le cadre de leurs activités. Elle fixe également les normes de protection appropriée des données stockées et de destruction des données à l’expiration de la période de conservation.
Formulaire de consentement
Ce document garantit que votre organisation, dans la mesure où votre organisation invoquerait l’autorisation comme base juridique, obtient correctement l’autorisation. La personne concernée sera informée des finalités du traitement, de la nature du traitement, des délais de conservation des données et du fait que la personne concernée peut retirer son consentement à tout moment.
Charte de la vie privée
Dès que votre organisation traite des données à caractère personnel via le site web, il est important que les personnes concernées soient tenues informées des données à caractère personnel que votre organisation utilise, pour quoi et pourquoi. Il est également important que les personnes concernées soient informées de leurs droits légaux concernant le traitement des données à caractère personnel et de la manière dont elles peuvent exercer ces droits.
Ces sujets sont exposés dans une déclaration de vie privée et publiés sur le site web de votre organisation, afin que celle-ci puisse montrer à des tiers comment vous traitez les données à caractère personnel.
Politique des cookies
Une politique des cookies fournit des informations claires et détaillées sur l’utilisation des cookies et des technologies connexes.
L’objectif principal d’une déclaration sur les cookies est d’informer les utilisateurs sur les types de cookies présents sur votre site web et sur les données personnelles stockées par les cookies.
En outre, une politique des cookies garantit – en combinaison avec un popup ou une bannière – que la personne concernée peut donner son consentement explicite concernant le placement de certains cookies.
Procédure de signalement des violations de données (plan d’action contre les violations de données)
Une violation de données peut être préjudiciable à la fois à votre organisation et aux personnes concernées. Il est donc important de disposer d’une procédure claire pour traiter les violations de données, afin de garantir qu’il soit rapidement remédié à une violation de données, qu’elle fasse l’objet d’une enquête appropriée, que l’autorité de contrôle et les personnes concernées soient informées et que des mesures appropriées soient prises pour éviter que de telles violations de données ne se reproduisent.
Une procédure en cas de violation de données décrit les étapes que votre organisation doit suivre depuis le signalement interne initial jusqu’à la mise en œuvre finale des mesures préventives. En outre, le document est fourni avec un registre des violations de données, dans lequel tous les détails de la violation de données sont enregistrés.
Une procédure en cas de violation des données garantit que si une violation des données se produit, votre organisation n’a pas à réfléchir à ce qui doit être fait exactement. Après tout, votre organisation doit consacrer toute son énergie à résoudre et à signaler la violation des données. Il est logique d’avoir un plan d’action pour signaler les violations de données afin que tout soit en ordre au moment où une violation de données se produit. Un plan d’action contre les atteintes à la protection des données comprend les points suivants :
- Les personnes nécessaires pour s’impliquer ;
- les informations qui doivent être collectées ;
- l’évaluation de la question de savoir si la violation des données a des conséquences graves pour la personne concernée ;
- si un rapport doit être fait à l’Autorité de surveillance et/ou à la personne concernée et/ou à d’autres organismes.
Politique en matière de droits des personnes concernées
Le RGPD contient un certain nombre de droits applicables aux personnes concernées, notamment le droit d’information, d’accès, de rectification, le droit dit d’oubli, le droit de limitation et d’opposition au traitement des données personnelles, le droit à la portabilité des données et d’autres droits relatifs à la prise de décision automatisée et au profilage.
Les organisations doivent généralement répondre rapidement aux demandes des personnes concernées d’exercer ces droits essentiels, généralement dans un délai d’un mois, et doivent le faire gratuitement (sauf exceptions limitées). Il est important que les personnes concernées connaissent et comprennent leurs droits.
Une déclaration ou une charte de vie privée résume généralement les droits, mais il peut être souhaitable de donner des détails sur les droits et la manière dont votre organisation peut les exercer.