Quels sont les principes de base de GDPR ?
Pour comprendre les exigences du GDPR, il est important de regarder les principes de base du GDPR:
Données personnelles
- acquis et traités d’une manière légale, appropriée et transparente (par exemple, la clarté quant à la façon dont les données personnelles seront utilisées)
- seulement recueillies pour des fins explicites et légitimes bien définies
- limité au minimum requis pour les finalités prévues (et dispositions légales)
- suivi avec précision et maintenu à jour
- pas gardé plus longtemps que nécessaire aux fins prévues (et dispositions légales)
- en prenant des mesures techniques ou organisationnelles appropriées de manière à garantir la sécurité des données personnelles
L’organisation, ou dans la terminologie de GDPR le contrôleur, est responsable du respect des principes de base ci-dessus et peut le démontrer. En d’autre termes l’organisation a une responsabilité.
Comment vous conformez-vous à la responsabilité du GDPR ?
Qui peut présenter les actions et activités suivantes, peut démontrer que son organisation GDPR est conforme:
- Rédaction et tenue à jour d’un registre de données appelé aussi registre des activités de traitement (exigence de documentation interne)
- Traiter uniquement le minimum de données personnelles, en tenant compte des objectifs visés
- Rédaction d’un GDPR conformément à la déclaration de confidentialité (= déclaration décrivant comment l’organisation gère les données personnelles)
- Rédaction d’un GDPR en accord avec la politique interne (pour informer et sensibiliser les employés – en les signant)
- Respect des dispositions du GDPR en obtenant des processeurs de données (par exemple des contrats et des codes de conduite et / ou des certificats)
- Mettre en œuvre des procédures adéquates (y compris en ce qui concerne les droits des personnes concernées, signaler les fuites de données, …)
- Si applicable à l’organisation (y compris en fonction de quelles données personnelles sont traitées et quel traitement a lieu)
- Nommer un délégué à la protection des données
- Exécution de DPIA (si nécessaire)
- Implémenter la confidentialité par conception et par défaut