La conformité à la protection des données est plus sérieuse que jamais pour les entreprises et les violations de données peuvent avoir de graves conséquences. Le 25 mai 2018, le règlement général sur la protection des données (RGPD) a introduit l’obligation pour les organisations de signaler une violation de données personnelles à l’autorité de contrôle compétente si la violation présente un risque pour les personnes concernées. [Sources : 2,16]
Cette disposition permet de prendre des mesures pour remédier à la violation et de se conformer à ses obligations de déclaration en vertu du GDPR britannique. Le considérant 87 du RGPD britannique stipule ce qui suit : Si un incident de sécurité se produit, vous devez établir qu’une violation des données à caractère personnel a eu lieu et, si des mesures ont été prises au cours des derniers mois pour y remédier, reprendre ces mesures, y compris la notification à l’ICO. [Sources : 19,19]
Découvrez nos solutions sans obligation d’achat
Cette obligation va au-delà du cas d’une violation de données personnelles et doit également être réalisée le plus rapidement possible. Il s’agit en effet d’un devoir d’informer la personne concernée dans les plus brefs délais, même si cela ne se produit que quelques jours après l’événement. [Sources : 9,9]
Bien entendu, le respect des règles relatives aux données à caractère personnel ne signifie pas qu’aucune autre conséquence ne surviendra. Vous informerez l’organisme de réglementation compétent de la violation, comme l’exige la loi, et vous notifierez les données enregistrées auprès de l’OIC si vous y êtes tenu par la loi. Si vous signalez une infraction, même par téléphone, il est utile de lire les détails des informations recherchées et la procédure de notification. [Sources : 9,12,6,1]
Si vous avez besoin d’aide pour violer un accord oral, vous pouvez annoncer un poste sur le marché d’UpCounsel. Afin d’obtenir un consentement qui puisse être considéré comme valide en vertu du GDPR, les données doivent être conservées pendant au moins trois ans après la date du consentement. Le consentement d’une personne ne peut pas être illimité, bien qu’il puisse y avoir des situations où il devient évident que le consentement n’est plus valide ou raisonnable ou qu’il viole les principes du traitement des données. Si les données sont collectées dans le cadre de ce modèle de consentement, un citoyen peut retirer son consentement à tout moment. Sources : 7,18,8,15]
Les individus peuvent demander la correction des informations par écrit ou oralement et l’entreprise a un mois pour répondre à la demande. L’entreprise dispose d’un mois pour répondre à la demande. Les particuliers peuvent également demander la correction de ces informations par lettre ou par téléphone. Les personnes peuvent demander la correction des informations par écrit ou oralement. Les entreprises ont un mois pour répondre à la demande et une semaine pour passer un appel ou deux semaines pour envoyer un courriel. Sources : 11,11]
Les particuliers peuvent demander la correction des informations par écrit ou oralement et l’entreprise a un mois pour répondre à la demande. Parties concernées : Lorsque les données sont collectées conformément au GDPR, la réponse orale ou écrite aux demandes de suppression n’est pas incluse dans cette responsabilité. Cela peut être incriminé si la demande ne peut pas être faite sous la forme d’une lettre ou d’un appel téléphonique, ou si vous devez répondre à la demande dans un délai d’une semaine ou de deux semaines à compter de la date de votre demande ou dans un délai de trois semaines à compter de l’expiration du délai de réponse. Les personnes peuvent demander et faire rectifier des informations par écrit, oralement, par téléphone ou par courrier électronique. Les entreprises ont un mois pour répondre à cette demande. Les particuliers peuvent également demander des informations sur la personne concernée par téléphone ou par courrier électronique. Sources : 11,11,11,14]
Informer oralement la personne concernée ou les tiers par écrit : Si une violation de la vie privée se produit après la demande, l’organisation doit cesser d’utiliser la personne. [Sources : 10,13]
En fonction des faits, il se peut que la violation doive être signalée elle-même – mais si rien n’est enregistré, il est peu probable que le GDPR déclenche une divulgation orale. Si une violation de données est susceptible de compromettre vos droits et libertés en tant qu’individu, vous devez appliquer les mêmes règles pour signaler une violation que vous avez vous-même signalée à l’ICO. Selon le GDPR, toute violation susceptible d’entraîner la perte d’informations personnelles telles que le nom, la date de naissance, l’adresse, le numéro de téléphone, l’adresse électronique et d’autres données personnelles doit être signalée. [Sources : 3,17,20]
Si vous recevez une demande orale ou écrite d’un client, celle-ci doit être transmise à votre responsable de la protection des données. Les demandes peuvent être adressées à n’importe quel service de votre organisation, y compris les médias sociaux, ou par écrit. Votre agence de référence doit s’assurer que vous conservez le script de consentement oral en vertu du GDPR, bien que cela puisse être fait en remplissant simplement un formulaire de consentement à partir de votre site Web. Sources : 0,4,5]
Votre responsabilité en cas de violation des données personnelles est évidente, tout comme votre obligation de communication. Vous devez conserver et garder tous les enregistrements des violations de données personnelles, comme l’exige le GDPR, si vous êtes tenu de les signaler. En outre, vous devez conserver tous les éléments de preuve relatifs aux violations de données personnelles afin que l’université puisse conserver une trace de cette violation en vertu du règlement européen sur la protection des données, si nécessaire. Vous devez également conserver ou enregistrer toutes les obligations de notification des violations de données personnelles, comme cela est requis pour la notification. Sources : 19,19,6,9]
Sources :
- 0] : http://hvciderfest.com/gdpr-verbal-consent-script
- 1] : https://www.redscan.com/news/report-personal-data-breaches-gdpr-compliance/
- 2] : https://www.luptonfawcett.com/data-protection-regulation/
- [3] : https://www.norfolkchamber.co.uk/gdpr-conference-%E2%80%93-qa-responses
- [4] : https://cybersmart.co.uk/blog/6-steps-to-deal-with-a-gdpr-subject-access-request-sar/
- [5] : https://www.legalbrokerage.co.uk/team-intranet/general-oversight/general-data-protection-regulation-gdpr/
- [6] : https://www.nottingham.ac.uk/governance/records-and-information-management/data-protection/data-protection-policy.aspx
- [7] : https://www.smartrecruiters.com/resources/gdpr-recruiting/recruitment-gdpr-faq/
- [8] : https://gdpr.eu/gdpr-consent-requirements/
- [9] : https://www.i-scoop.eu/gdpr/personal-data-breach-notification/
- [10] : http://talentbaseinc.com/cook-up-qjyp/right-to-repatriation-gdpr-0dcbb5
- [11] : http://www.makeamusical.org/black-duke-qklfvec/c7f9bf-right-to-repatriation-gdpr
- [12] : https://highintensitybusiness.com/richard-wolff/
- [13] : https://www.which.co.uk/consumer-rights/regulation/data-protection-act-2018-gdpr-a26wg5m7T0FG
- [14] : https://www.esecurityplanet.com/compliance/how-to-comply-with-gdpr/
- [15] : https://www.upcounsel.com/breach-of-verbal-agreement
- [16] : http://www.dataprotection.ie/en/organisations/know-your-obligations/breach-notification
- [17] : https://www.themdu.com/guidance-and-advice/guides/gdpr-data-breaches
- [18] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr
- [19] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/
- [20] : https://www.jrwca.com/news/qa/february-qa/