Pouvez-vous m'aider avec mon problème de RGPD?

11

Il s'agit d'une question canonique sur l' interprétation du RGPD tel que discuté sur la méta.

Bien que Server Fault puisse vous aider lorsque vous rencontrez un problème spécifique lors de la mise en œuvre de quelque chose lié à la réglementation, les questions générales sur la conformité au RGPD sont trop larges, nous ne sommes pas des avocats qui pourraient interpréter les problèmes juridiques, et le style Q / A ne permet pas la une discussion approfondie était nécessaire pour connaître tous les détails de votre organisation afin d'être sûr que vous vous conformiez réellement.

J'ai une question concernant le règlement général sur la protection des données (RGPD), le règlement UE 2016/679.

  • Comment se conformer au RGPD?
  • Mon organisation est-elle prête pour le GDPR?
  • Dois-je faire X pour me conformer au RGPD?
  • Le RGPD m'interdit-il de faire Y?
  • Z est-il toujours autorisé par le RGPD?
gdpr 
Esa Jokinen
source
3
Cela semble très bien!
Sven
Je pense que cette question remporte le prix de la question la plus large et sans réponse
Timothy Frew

Réponses:

16

Comme pour la plupart des réglementations, le RGPD n'est pas une liste claire de règles sur ce qu'il faut faire ou ne pas faire. Par conséquent, les questions le concernant sont souvent beaucoup trop larges pour être traitées sur un site de questions / réponses. Il existe de nombreux mythes et simplifications incorrectes autour du règlement, et toute une industrie repose sur la crainte des sanctions imposées par le règlement.

Cette réponse tente de donner un aperçu pratique du sujet. Je ne suis pas avocat, mais je travaille sur ce sujet presque depuis son introduction, d'abord avec une approche de collecte d'informations en attente , et actuellement avec une autre approche pratique, sorte de priorisation et itérative.

Nous ne savons pas (encore) comment le règlement sera interprété par les tribunaux, et de nombreuses entreprises attendent toujours de voir quelles actions d'autres entreprises entreprennent. Étant donné que Server Fault est destiné aux professionnels de l'informatique, nous ne sommes pas des avocats qui pourraient interpréter le règlement et sa relation avec d'autres lois. Même si nous le pouvions, les questions de style Q / A seraient très longues pour avoir toutes les informations détaillées nécessaires pour répondre: la conformité au RGPD n'est pas une question d'actions individuelles, mais une stratégie entière au sein de votre entreprise. Si vous devez poser de telles questions, vous devrez peut-être engager un consultant ou même un avocat. Beaucoup survivront cependant sans un.

Vous devez créer (éventuellement avec quelques conseils juridiques) votre propre stratégie et, sur cette base, décider quelles actions vous effectuez pour vous conformer au RGPD. Lorsque vous essayez d'implémenter ces changements dans un système d'information réel, vous pouvez rencontrer des problèmes techniques sur la façon dont quelque chose doit être réalisé. C'est alors que la question a été réduite à l'étendue de la panne de serveur!

Pour commencer, vous devez savoir à quoi sert le règlement. Il s'agit essentiellement d'un cadre juridique permettant de garantir que les données personnelles sont traitées avec soin pendant toute leur durée de vie, de la collecte à la suppression. L'article 5 du RGPD décrit les principes du traitement des données personnelles, en bref:

  • légalité, équité et transparence
  • limitation de la finalité
  • minimisation des données
  • précision
  • limitation de stockage
  • l'intégrité et la confidentialité.

Le RGPD donne aux personnes concernées, c'est-à-dire aux citoyens, le contrôle de leurs données personnelles et des outils pour s'assurer que ces principes ont été respectés. Ceux-ci incluent le droit d'accéder à ses propres données, de les corriger et de les déplacer, et de les effacer c'est-à-dire le droit à l'oubli (si aucune autre loi n'exige leur conservation). Cela donne également la possibilité de sanctions, et votre entreprise peut avoir besoin de désigner un délégué à la protection des données .

La plupart des principes ont déjà été mis en œuvre dans le droit national (en raison de la directive sur la protection des données 95/46 / CE), ce qui rend le changement assez limité pour les entreprises à l'intérieur de l'UE. Les entreprises en dehors de l'UE peuvent avoir un peu plus à faire si elles traitent les données personnelles des citoyens de l'UE.

Une des principales choses qui changent est la responsabilité , qui est mieux réalisée dans la pratique en documentant soigneusement vos procédures:

  • comment et pourquoi les données personnelles sont collectées
  • ce qui rend le traitement licite (le consentement n'étant qu'une condition de l' article 6 )
  • comment les données sont stockées et traitées
  • qui a accès aux données et comment vous contrôlez et auditez ce
  • s'il est supprimé (automatiquement / pratique standard) lorsque la raison du stockage expire
  • comment vous gérez les risques impliqués, c'est-à-dire l'analyse des risques.

À mon avis, si vous avez soigneusement réfléchi à ces choses, résolu les problèmes et atténué les risques que vous avez découverts, puis documenté tout cela, vous devriez être loin des sanctions - même si vous subissez une intrusion. Il y aura un océan de comportements négligents possibles entre votre situation et le type de comportement qui rend une personne responsable de 20 millions d'euros / 4% des amendes de chiffre d'affaires .

Esa Jokinen
source
Cela devrait être comme avec ou comme .
TRiG
1
C'est une si bonne réponse que j'ai fait un peu de correction sur l'anglais; J'espère que ça va, Esa.
MadHatter
@MadHatter: Merci! Malgré pas totalement sans espoir, je ne suis toujours pas un locuteur natif. :)
Esa Jokinen
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.