Conseils pour les administrateurs de données personnelles
15Fév, 2022
Conseils pour les administrateurs de données personnelles sur la façon d’appliquer le RGPD – conseils pratiques
Établir une base appropriée pour la collecte et l’utilisation des données personnelles
N’oubliez pas que le consentement n’est pas la seule base qui vous autorise à traiter des données personnelles. Ne l’obtenez pas lorsque vous avez le droit à la collecte et à l’utilisation de données personnelles par la loi, ou lorsque les données sont nécessaires pour conclure un contrat. Une telle action induit vos clients en erreur, car dans de tels cas, leur consentement ne peut être retiré.Respecter l’obligation d’information conformément aux nouvelles règles
N’oubliez pas que le GDPR a introduit des changements importants concernant l’achèvement de la soi-disant obligation d’information. Vous devez maintenant fournir plus d’informations aux personnes concernées. Si vous avez nommé un délégué à la protection des données (DPO), vous devez fournir ses coordonnées. Il vous appartient également d’indiquer la durée pendant laquelle vous conserverez les données. Vous devez également fournir plus d’informations sur les droits des personnes – incl. sur la possibilité de retirer son consentement et le droit d’introduire une réclamation auprès du président de l’Office de protection des données personnelles. N’oubliez pas non plus que lorsque vous collectez ou achetez les données de quelqu’un à des tiers ou à des sources accessibles au public, vous devenez son administrateur et vous devez également remplir l’obligation d’information. Même s’il ne s’agit que d’un numéro de téléphone ou d’une adresse e-mail.Communiquez en toute transparence
N’oubliez pas que le principe de transparence introduit par le RGPD doit être appliqué à toutes les étapes de la communication avec la personne concernée. Elle stipule que toutes les informations et toutes les communications liées au traitement des données personnelles doivent être concises, transparentes et compréhensibles, ainsi que formulées dans un langage clair et simple. Le fait est que ces notes ne doivent pas être écrites par des avocats pour des avocats – comme cela a souvent été le cas auparavant. Ils doivent également être facilement accessibles. Par conséquent, organisez correctement le processus de communication avec les personnes dont vous traitez les données et assurez-vous que les messages et informations qui leur sont adressés sont correctement formulés. Lorsque cela est justifié, utilisez la possibilité d’informations en couches – fournissez d’abord des informations de base et divulguez où voir le reste.Dans toutes les situations, veiller à ce que les droits des personnes soient respectés
N’oubliez pas d’exercer les droits des personnes dont vous traitez les données. Veillez également à cela lorsqu’une entité externe agit en votre nom avec laquelle vous concluez un contrat de délégation du traitement des données personnelles de vos clients. Si, par exemple, il mène des activités de marketing pour vous, assurez-vous qu’il vous informe des objections soulevées ou des demandes de rectification de données. Il convient d’inclure les dispositions pertinentes en la matière dans le contrat que vous concluez avec lui. Vos clients l’apprécieront sûrement.Rappelez-vous que le consentement peut être retiré à tout moment
Le GDPR indique directement que la personne dont vous traitez les données sur la base du consentement peut le retirer à tout moment et cela ne devrait pas avoir de conséquences négatives pour elle (par exemple, une augmentation des frais de services). Il faut presque l’en informer. Assurez-vous qu’il est aussi facile de retirer son consentement que de le donner.Signaler les violations de la protection des données au président du Bureau de la protection des données personnelles et, si nécessaire, informer également les personnes dont les données ont été violées
En cas de violation de la protection des données personnelles (par exemple, fuite, perte ou divulgation accidentelle à une personne non autorisée), en tant qu’administrateur, vous devez sans retard injustifié – si possible, au plus tard 72 heures après avoir constaté la violation – le signaler à le président de l’Office de protection des données personnelles. L’exception est une situation où il est peu probable que l’événement entraîne un risque de violation des droits ou libertés des personnes physiques. Lorsque le risque de violation de ces droits et libertés est élevé, vous devez également aviser les personnes concernées. Fournissez-leur des conseils sur ce qu’il faut faire ensuite, en les aidant à prendre des mesures pour prévenir ou réduire les conséquences négatives de la violation, comme le risque de vol d’identité.Ne créez pas de documentation inutile
Le principe de responsabilité vous oblige à mettre en place des procédures internes pour assurer le respect du RGPD et pouvoir démontrer que vous traitez correctement les données personnelles. N’oubliez pas que pour prouver diverses activités, par exemple l’obtention d’un consentement, vous n’êtes pas toujours obligé de collecter des documents sous forme papier et de recueillir les signatures des personnes qui vous les ont remis. Il peut également être enregistré ou sauvegardé dans le système informatique. Aussi, les procédures adoptées et mises en œuvre par vous et confirmées par les déclarations des employés peuvent constituer une preuve suffisante.Vous avez le droit de profiler, mais n’oubliez pas les limites
Le RGPD n’interdit pas le profilage. Cependant, rappelez-vous que si vous le faites, vous devez en informer la personne concernée et indiquer les conséquences de cette action. Toutefois, lorsque, sur la base d’un profilage, vous prenez des décisions automatisées (sans intervention humaine) qui ont des effets juridiques ou affectent de manière significative une personne, vous devez obtenir son consentement, à moins que cette action ne légitime la nécessité de conclure ou d’exécuter un contrat ou le fait qu’il est autorisé par la législation de l’UE ou d’un État membre.Attention aux arnaqueurs
Effrayer des amendes élevées ou demander le paiement sont des méthodes populaires des fraudeurs qui veulent facilement gagner de l’argent grâce au RGPD ! Soyez vigilant et ne soyez pas dupe ! Lisez plus attentivement la correspondance entrante. Vérifiez par qui il a été envoyé et ce qu’il concerne. S’il doit provenir du Bureau de la protection des données personnelles, vérifiez qu’il contient les éléments requis, par exemple le nom correct du bureau, les adresses correctes, les signatures authentiques et le sceau officiel est original. Exiger que l’inspecteur présente l’autorisation d’inspection et la carte de service. Si vous souhaitez bénéficier du soutien d’entreprises opérant sur le marché, vérifiez leur crédibilité et leur expérience, et choisissez avec soin les formations et les cours sur la protection des données personnelles.
No comment yet! You will be the first to comment.