Article 30 du RGPD : Quelles sont les exigences ?

Article 30 du GDPR
Catégories :

Établissement d'un registre des activités de traitement

Les entreprises utilisent différents indicateurs pour évaluer leur développement dans des domaines tels que Marketing, les ventes, la réussite des clients, les ressources humaines, les finances ou l'informatique. La création d'un Registre des activités de traitement peut rationaliser et relier tous ces efforts. Toutes les entreprises sont censées indiquer dans leur déclaration de protection des données à quelles fins elles utilisent les données. données à caractère personnel de leurs clients et d'autres personnes concernées. Le registre des activités de traitement offre une excellente vue d'ensemble des activités des différents services, des processus de votre entreprise et du traitement des données à caractère personnel.

L'article 30 oblige toute entreprise agissant en tant que responsable de la protection des données dans le champ d'application de la RGPD est un "Registre des activités de traitement" (VVT) sous forme écrite (également : électronique). Le VVT offre un aperçu complet de la Traitement données à caractère personnel dans l'entreprise. Les sous-traitants doivent également tenir un VVT sur les processus qu'ils exécutent pour le compte de leurs clients. Le VVT indique le comment et le pourquoi du traitement des données. Le VVT doit être remis au Autorité de surveillance être présentés sur demande.

 

Article 30 RGPDQu'est-ce qu'une "activité de traitement" ?

Le terme "activité de traitement" est utilisé dans la RGPD ne sont pas suffisamment définies. Il peut donc y avoir un manque de clarté sur ce qui doit être documenté et à quel niveau de détail. En général, la RGPD l'exigence de documenter les différentes étapes du processus, dans lesquelles données à caractère personnel des employés, des clients ou d'autres personnes concernées. Il en va de même pour la base juridique et les finalités de chaque traitement de données.

Article 30 RGPD: Le Registre des activités de traitement  

Article 30 RGPD définit le contenu du registre des activités de traitement. Outre le nom et les coordonnées de l'entreprise et du délégué à la protection des données, s'il y en a un, les informations suivantes doivent être fournies pour chaque Traitement des données à caractère personnel sont documentées :

  • But de la Traitement - Pourquoi et dans quel but utilisez-vous données à caractère personnel?
  • Catégories de personnes concernées - employés, clients, etc.
  • Catégories de données à caractère personnel - Données de contact, financières, Données de santé etc.
  • Catégories de destinataires - À qui les données sont-elles divulguées ?
  • Informations sur les destinataires en dehors de l'UE/EEE
  • Délais de suppression
  • Description des mesures de sécurité / de protection techniques et organisationnelles

Pour chaque traitement de données, vous avez besoin d'une base juridique. Il est absolument utile de la mentionner également dans votre VVT. Dans le cas d'un traitement de données sur la base de l'article 6, paragraphe 1, point f), la base juridique est la suivante RGPD vous devez également documenter les intérêts légitimes respectifs poursuivis par le responsable du traitement ou par un tiers.  

Article 30 RGPDExemples d'activités de traitement

Exemples de Traitement des données des salariés peuvent être les suivantes :

L'utilisation de logiciels ou d'appareils spécifiques pour collecter, traiter ou utiliser les données des employés (par exemple, les systèmes de recrutement en ligne, de gestion des salaires, de gestion du temps, les systèmes numériques de gestion de l'information, etc. Dossier personnel, contrôles d'accès électroniques, Vidéosurveillance).

 

Article 30 RGPDQuel est son impact sur mon entreprise ?

Article 30 RGPD impose à toutes les entreprises de plus de 250 salariés un Registre des activités de traitement doivent tenir un registre. Sur demande, il doit être présenté à la surveillance pour vérification.

Avant qu'une entreprise ne commence à élaborer un VVT, elle doit d'abord analyser les catégories de données à caractère personnel qu'elle traite, l'endroit où les données sont stockées et la manière dont les flux de données se présentent à l'intérieur et à l'extérieur de l'entreprise. Cela constitue également la base du respect des autres exigences de la directive sur la protection des données. RGPDLes dispositions de l'article 6 (définition d'une base juridique pour la collecte de données) sont applicables. Traitement), l'article 7 (conditions et exigences pour l'obtention d'une Consentement) et l'article 13 (Obligations d'information).

 

Article 30 RGPDExiste-t-il des modèles pour un VVT ?

Il existe de nombreux modèles de VVT disponibles en ligne. Des logiciels spécialisés comme 2B Advice PrIME contiennent des catalogues ou des modèles qui vous aident à remplir l'obligation de documentation en créant des enquêtes en ligne auxquelles il est facile de répondre et qui peuvent être transmises aux responsables techniques concernés.

Par exemple, un questionnaire VVT pourrait poser ces questions :

- Pourquoi traitez-vous données à caractère personnel?

- Quelles sont les données que vous traitez ?

- Quels types ou catégories de données traitez-vous ?

- Combien de temps conservez-vous les données / quand supprimez-vous ces données ?

- Quelles sont les mesures que vous mettez en œuvre pour protéger ces données ?

- Avec quels tiers ou fournisseurs partagez-vous ces données ?

Ces questions devraient être traitées par chaque service interne et par chaque division qui traite les données des employés ou des clients.

 

Liste de contrôle Article 30 RGPD: Comment relever le défi

Avant qu'une entreprise puisse commencer à élaborer un VVT, elle doit d'abord analyser les catégories de données à caractère personnel qu'elle traite, l'endroit où les données sont stockées et la manière dont les flux de données se présentent à l'intérieur et à l'extérieur de l'entreprise. Cela constitue également la base du respect des autres exigences de la directive sur la protection des données. RGPDLes dispositions de l'article 6 (définition d'une base juridique pour la collecte de données) sont applicables. Traitement), l'article 7 (conditions et exigences pour l'obtention d'une Consentement) et l'article 13 (Obligations d'information).

1. développez un questionnaire standard pour les Analyse d'impact sur la protection des données

2. établissez des directives et des procédures uniformes pour les exigences importantes telles que les obligations d'effacement ou les mesures techniques et organisationnelles fixe

3. définir des seuils de risque afin d'identifier les domaines à améliorer

4. vérifier que tous les traitements de données ont une base juridique valable

5. mettre à jour votre déclaration de confidentialité en conséquence

6. entretenir régulièrement le VVT électronique

Ce sont là quelques-unes des premières étapes pour mettre une entreprise sur la voie de la conformité en matière de protection des données. D'autres facteurs peuvent être des audits de prestataires de services ou la mise en place de formations pour les employés afin de réduire le risque d'une Panne de données de minimiser les risques.

Article 30 RGPD: Que risque-t-on en cas de non-respect ?

Les autorités de contrôle ont le pouvoir d'infliger des amendes importantes aux responsables des Traitement responsable du traitement ou du sous-traitant. Des amendes peuvent être infligées pour toute une série d'infractions, par exemple pour le non-respect de l'article 30 RGPD. Dans ce cas, les amendes peuvent aller jusqu'à 10.000.000 € ou jusqu'à deux pour cent du chiffre d'affaires mondial de l'année précédente, le montant le plus élevé étant retenu.

La nouvelle réglementation californienne du CPRA est-elle compatible avec l'article 30 de la Convention européenne des droits de l'homme ? RGPD comparer ?

Une des dispositions les plus ambitieuses du CPRA, 1798.185(a)(15), est similaire à l'article 30 RGPD dans la mesure où elle exige des entreprises qu'elles réalisent des audits annuels de cybersécurité et des évaluations "périodiques" des risques lorsque les "Traitement données à caractère personnel des consommateurs par l'entreprise présente un risque important pour les Vie privée ou la sécurité des consommateurs". Pour déterminer si la Traitement "un risque significatif", l'OCRC identifie deux facteurs à prendre en compte. Premièrement, la taille et la complexité de l'entreprise ; deuxièmement, la nature et l'étendue des activités de traitement.

La principale différence est que le CPRA exige également qu'une entreprise fournisse régulièrement à l'Agence californienne de protection de la vie privée (California Privacy Protection Agency, CPPA) une évaluation des risques liés à ses activités. Traitement de données à caractère personnel.

Considérations finales : Que devez-vous faire ensuite en ce qui concerne l'article 30 RGPD faire ?

Si vous êtes basé en Europe, si vous vous développez en Europe, si vous acquérez une entreprise en Europe ou si vous fusionnez avec une entreprise en Europe et que vous souhaitez passer de la création et de la maintenance de votre VVT à partir de modèles Excel ou autres à un système de gestion intégré et conforme à la protection des données, 2B Advice peut vous aider. Notre logiciel robuste 2B Advice PrIME a été développé en Allemagne, au cœur de la culture de la protection des données. 2B Advice PrIME a été conçu pour répondre aux exigences les plus strictes en matière de RGPD et des autorités de surveillance européennes.

Prenez rendez-vous dès aujourd'hui pour un entretien de conseil.

Sources :
ico.org.uk
iapp.org
leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV&sectionNum=1798.185.

Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages