RODO - Règlement sur la protection des données ou Règlement général sur la protection des données, GDPR). Un ensemble de règles conclues par l'Union européenne relatives à la protection des personnes physiques. Concerne le traitement des données personnelles et leur libre circulation. Publié par le Journal officiel de l'Union européenne L 119 le 4 mai 2016. entré en vigueur le 25 mai 2018. applicable à toutes les entités opérant au sein de l'UE, y compris les petites entreprises ainsi que les grandes sociétés multinationales.

Quelles sont les sanctions en cas de non-respect du RODO ?

La sanction maximale est de 20 000 000 €. Les entreprises déloyales doivent payer jusqu'à 4% de leur chiffre d'affaires annuel mondial total de l'année précédente (article 83(5)(a) RODO).

Les employés apprennent le nouveau règlement

Principes généraux du traitement des données :

  • Légalité, transparence et intégrité
  • Limitation de la finalité du traitement
  • Exactitude et minimisation
  • Restrictions de stockage
  • Confidentialité et intégrité
  • Responsabilité

Plan d'entraînement étape par étape :

1.apprendre les concepts suivants :

  • profilage
  • données personnelles et biométriques
  • pseudonymisation
  1. Introduire RODO dans l'organisation :
  • comment commencer ?
  • sur quoi se concentrer ?
  • les priorités des tâches
  • procédures requises
  1. Tâches de base du responsable du traitement et du sous-traitant des données :
  • dispositions et principes juridiques
  • la vie privée dès la conception et par défaut
  • registre des activités et catégories de traitement
  • obligations de fournir des informations
  1. Le rôle du délégué à la protection des données :
  • quelles qualifications il/elle possède
  • la position dans l'entreprise
  1. Droits des personnes en ce qui concerne leurs données :
    • accès, oubli et autres
    • à quoi ressemble une violation de données ? à qui devez-vous signaler les violations ?

Comment le RODO a-t-il changé la réglementation nationale ?

  • La nouvelle loi sur la protection des données du 10 mai 2018 est entrée en vigueur (effective depuis le 25 mai 2018).
  • L'administrateur de la sécurité de l'information (ABI) a été remplacé par l'inspecteur de la protection des données personnelles (IODO).
  • L'institution de l'inspecteur général pour la protection des données personnelles a été supprimée au profit du président de l'Office pour la protection des données personnelles (PUODO)

Qui est concerné par la protection des données ?

Tous les entrepreneurs (y compris les entreprises individuelles) sans distinction de nombre de salariés, de taille ou d'étendue des travaux (article 2 et article 3 du RODO). Sont exclues les activités non couvertes par le droit de l'Union européenne, les personnes exerçant des activités domestiques ou personnelles.

À quelles informations sont-elles liées ?

  • nom
  • adresse résidentielle (lieu)
  • PESEL ou autre numéro d'identification
  • nom de l'email
  • les facteurs définissant l'identité physiologique, physique, génétique, mentale, économique, sociale ou culturelle d'un individu.

Quelles données ne doivent pas être traitées ?

Surtout ceux qui sont protégés, comme :

  • origine raciale
  • santé
  • l'orientation sexuelle
  • données biométriques

L'inspecteur vérifie le respect des procédures

Opérations de base :

  • collection
  • enregistrement
  • aperçu
  • modification
  • l'utilisation de
  • divulgation
  • diffusion
  • partage
  • raccord
  • liaison
  • destruction
  • limiter
  • déménagement

L'article 6 du RODO énumère un certain nombre de circonstances autorisant le traitement de données à caractère personnel.

Le professionnel est tenu d'obtenir le consentement de la personne concernée pour leur traitement ou lorsque cela est nécessaire à l'exécution d'un contrat.

Le responsable du traitement des données peut être une personne morale ou physique qui :

  • met en œuvre des procédures de sécurité
  • déterminer le mode et la finalité de l'acquisition et du traitement
  • définit la portée de
  • met en œuvre les actes juridiques
  • assurer la sécurité
  • évaluer le risque de violation des données
  • prendra en compte le coût des éléments de sécurité

Vous pouvez lire dans le règlement que les sauvegardes peuvent être de nature organisationnelle ou technique. Elles doivent être liées à la portée, à la nature, au contexte et à la finalité du traitement et tenir compte également du risque d'atteinte aux libertés et aux droits des personnes qui ont fourni les données.

Dans la LPD, nous trouvons les lignes directrices suivantes qui peuvent être utilisées par le contrôleur dans des circonstances appropriées :

  • Assurer en permanence l'intégrité, la confidentialité, la disponibilité, la résilience des systèmes et services de traitement - le niveau de sécurité doit être le même.
  • Sauvegarde des données. Capacité à rétablir la disponibilité des données personnelles également en cas d'incident technique ou physique.
  • Cryptage et pseudonymisation - traitement des informations personnelles de manière à ce qu'elles ne puissent être identifiées et attribuées à une personne, sans accès à d'autres informations.
  • Effectuer des tests réguliers, vérifier et mesurer l'efficacité des mesures organisationnelles ou techniques qui garantissent un traitement sécurisé. La sauvegarde est un processus continu, qui fait constamment l'objet d'analyses et d'améliorations.
  • Mesures de sécurité :

organisationnel :

  • instructions de protection
  • permettre uniquement au personnel autorisé
  • et un engagement de confidentialité
  • pratique du nettoyage de l'écran et du bureau
  • la remise des clés aux personnes autorisées
  • l'enregistrement des activités de traitement, sauf pour les entreprises employant moins de 250 personnes

Technique :

  • cryptage des données
  • protection contre les logiciels malveillants
  • sécurité des réseaux informatiques
  • système d'authentification avec la nécessité de saisir un identifiant et un mot de passe d'utilisateur
  • Armoires ou salles pour le stockage d'informations sous forme physique

Il est important de rappeler que la génération de données comporte un risque de violation des libertés ou des droits. Elle n'est pas sporadique, et comprend des données sensibles ou des données relatives à des violations et condamnations légales.

Qui est le délégué à la protection des données et quand est-il nommé ?

Aide les entreprises à se conformer à la réglementation. Fournit des informations sur les obligations liées au RODO pour le processeur ou le contrôleur. En outre, elle coopère avec PUODO. L'obligation de nommer un inspecteur intervient dans certaines situations en vertu de l'article 37 RODO lorsque :

  • "le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux dans l'exercice de leurs fonctions judiciaires ;
  • les activités principales du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, en raison de leur nature, de leur portée ou de leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle ; ou
  • les activités essentielles du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, et des données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10".