Pack de lancement 2 registres RGPD

09-1040-00 + 09-1042-00

Nouveau produit

Pack de registres RGPD contenant le registre de traitement des données pour DPO / responsable de traitement ; et le registre de notification de violation CNIL

Plus de détails

36,26 €

-30%

51,80 €

au lieu de 51,80 €

Contenu du pack

Le Règlement Général sur la Protection des Données va entrer en application le 25 mai 2018. Dans le cadre de ce règlement, il est demandé à toutes les entreprises de se munir de 2 registres :

  • Le registre de traitement des données réservé au DPO et au responsable de traitement
  • Le registre de notification des violations (chaque violation du règlement, vol ou perte de données devant être notifié à la CNIL)

Un troisième registre peut-être demandé en fonction de votre activité, il s'agit du registre de traitement des données en tant que sous traitant.

Que dit la loi pour le registre de traitement des données ?

Extrait de l'article 30 paragraphe 1

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

  • a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; ,
  • b) les finalités du traitement;
  • c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
  • d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; ,
  • e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées; ,
  • f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;
  • g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Extrait de l'article 30 paragraphe 4

Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande.

Extrait de l'article 30 paragraphe 5

Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

Que dit la loi pour le registre de notification des violations de données à caractère personnel ?

Extrait de l'article 33 paragraphe 1

En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

Extrait de l'article 33 paragraphe 2

Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Extrait de l'article 33 paragraphe 3

La notification visée au paragraphe 1 doit, à tout le moins:

  • a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  • b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • c) décrire les conséquences probables de la violation de données à caractère personnel;
  • d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Extrait de l'article 33 paragraphe 4

Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

Extrait de l'article 33 paragraphe 5

Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.