Demande de renseignements : RGPD Droits des personnes concernées & droit d'accès

RGPD Droits des personnes concernées & droit à l'information

D'après l'expérience d'un commissaire à la protection des données, la demande d'informations au titre de l'article 15 RGPD le droit de la personne concernée le plus fréquemment utilisé dans le RGPD, avec le droit de Suppression (Art. 17 RGPD) ou le droit d'opposition en cas de Publicité (art. 21, al. 2, 3 RGPD).

Le site Droit d'accès présente l'avantage pour le demandeur/la personne concernée de pouvoir obtenir, par une simple demande, la quasi-totalité des informations relatives à la Traitement données à caractère personnel qu'une entreprise détient sur cette personne. La demande d'accès crée pour la personne concernée, en ce qui concerne le traitement des données, les conditions suivantes Transparencequi a été Protection des données après la RGPD veut atteindre.

 Il peut toutefois en résulter des difficultés organisationnelles considérables pour les entreprises. Le premier obstacle est la quantité et la diversité des informations qui doivent être mises à disposition. Le site RGPD prescrit précisément les informations que les concernés personne doit avoir accès à "ses" données :

• les fins de Traitement des données à caractère personnel ;
• les catégories de données traitées (par exemple, nom, date de naissance, hobbies, etc.) ;
• Destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, en particulier si les destinataires sont situés en dehors de l'UE ;
• si possible, la durée prévue de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères de détermination de la durée de conservation ;
• l'existence d'autres Droits des personnes concernéesà savoir le droit de Rectification ou Suppressionle droit à la limitation de l'accès aux données Traitement et le droit d'opposition ;
• le droit de déposer une plainte auprès de la Autorité de surveillance de se plaindre ;
• si les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, toutes les informations disponibles sur l'origine des données ;
• l'existence d'une prise de décision automatisée, y compris Profilage et dans ces cas, des informations significatives sur la logique impliquée derrière le Profilage ainsi que la portée et les effets escomptés de cette mesure pour les concernés personne.

C'est cette combinaison d'exigences légales et de contraintes de temps qui peut faire de la demande d'informations un risque important pour les entreprises.

Une information qui n'est pas fournie à temps ou qui est incomplète peut rapidement amener une personne concernée mécontente à s'adresser à Autorité de surveillance de se plaindre. Dans le pire des cas, cela peut entraîner Amende pour l'entreprise.

Pour ces raisons, une entreprise responsable doit se préparer à l'avance à une demande d'informations.

Dans un premier temps, il convient de créer un point de contact central. Les demandes d'information qui arrivent au mauvais endroit et qui circulent pendant des jours dans l'entreprise peuvent réduire considérablement le temps restant du délai d'un mois. Le délégué à la protection des données est naturellement le mieux placé pour cela. Si aucun délégué à la protection des données n'a été désigné, une autre personne doit s'en charger. Il est bien sûr également important d'informer tous les collègues de l'existence de ce point de contact. Ce point de contact central a également pour mission de vérifier l'identité du demandeur. S'il n'est pas certain que le demandeur est bien celui qu'il prétend être, l'entreprise peut demander des informations supplémentaires. Ce n'est que lorsqu'il est certain qu'il s'agit de la bonne personne qu'il convient de poursuivre.

L'étape suivante consiste à créer un processus qui permette de rassembler toutes les informations nécessaires le plus rapidement possible. Cela peut se faire avec l'aide de collaborateurs qui savent où trouver les informations nécessaires, comme les chefs de service ou les collaborateurs du service informatique. Cette approche mobilise bien entendu des collaborateurs. Selon la complexité de l'infrastructure d'où ces informations doivent être extraites, plusieurs collègues peuvent être occupés pendant des semaines à rassembler les informations nécessaires.

Demande de renseignements sur 2B Advice PrIME

Une autre possibilité est une solution basée sur un logiciel. Pour répondre rapidement à une demande de renseignements et la traiter au sein de l'entreprise, 2B Advice PrIME s'impose. Dans 2B Advice PrIME, les demandes peuvent être centralisées au moyen d'un système de tickets et être créées sous forme de tickets. Pour chaque type de demande de protection des données (accès, suppression, rectification, etc.), un ticket est disponible, Révocation etc.), il est possible de définir et d'enregistrer ses propres workflows. Les processus d'entreprise peuvent ainsi être représentés dans 2B Advice PrIME.

Un workflow attribue aux différents collaborateurs de l'entreprise des mesures qui seront traitées par le collaborateur concerné. L'entreprise garde toujours une vue d'ensemble sur l'état de traitement de la demande d'information et peut intervenir à tout moment si elle se trouve bloquée à un endroit.

Grâce à ce traitement assisté par logiciel, il est toujours possible de documenter toutes les étapes de la demande d'informations. Dans une mesure, il est possible de fixer un délai interne avant lequel les informations doivent être fournies. Grâce à ces délais, le point de contact central peut s'assurer que la demande d'information est également traitée dans le délai légal. Dans 2B Advice PrIME, il existe en outre des fonctions de reporting étendues qui permettent de surveiller les demandes de protection des données. La possibilité de documenter entièrement ce processus vous permet, en cas de litige avec la personne concernée, de prouver que vous avez fait tout ce que la loi exige de vous. Vous répondez ainsi à l'obligation de rendre compte qui incombe aux entreprises en vertu de l'article 5, paragraphe 2, de la loi sur la protection des données. RGPD en matière de protection des données.

Grâce aux fonctions de 2B Advice PrIME, les collaborateurs sont assistés de manière optimale dans le traitement des demandes. Ainsi, les demandes de renseignements sont toujours sous contrôle central et le risque de sanctions est minimisé.

Clôture de la demande de renseignements

Le site Personnes concernées a également le droit, avec son droit d'accès, d'obtenir une copie de ces informations. Toutefois, cela ne doit pas être compris d'une manière qui permette à la personne concernée de "récupérer" toutes les données la concernant. Par exemple, aucune donnée ne peut être communiquée si elle concerne d'autres personnes que le demandeur ou si elle porte sur des secrets commerciaux internes. Pour cette raison également, il doit exister un processus approfondi qui empêche également que des données non autorisées ne parviennent au demandeur.

Une fois que le processus est terminé et que toutes les informations nécessaires ont été rassemblées, la Commission estime qu'elles devraient être fournies au demandeur. Autorité de surveillance de Rhénanie-du-Nord-Westphalie ne peuvent être envoyés que par la poste. Un envoi par e-mail serait trop peu sûr. Toutefois, si vous avez mis en place des mesures garantissant un transfert électronique sécurisé des données, cette voie peut également être autorisée.