La politique de confidentialité est le document public qui explique comment votre projet traite les données personnelles et comment il applique les principes de protection des données, conformément aux articles 12-14 du RGPD. Toutes les personnes concernées doivent avoir accès à cette politique de confidentialité. Elle doit être documentée.
Un modèle non officiel, mais recommandable, se trouve ici : https://gdpr.eu/wp-content/uploads/2019/01/Our-Company-Privacy-Policy.pdf.
Liste de contrôle. Politique de confidentialité
- Contactez le bureau/personne qui tient les registres de traitement pour votre organisation.
- Si nécessaire, votre délégué à la protection des données peut vous aider à établir le contact.
- Informez-les dès le début que vous avez l’intention de traiter des données à caractère personnel.
- Votre activité de transformation doit être inscrite dans les registres avant le début de la transformation.
- Suivez leurs instructions concernant
- les informations que vous devez fournir pour les registres de traitement,
- le moment où vous devez envoyer des mises à jour de ces informations.
Documentation supplémentaire relative à une seule activité de traitement.
Les éléments suivants doivent être documentés :
- Une évaluation afin de déterminer si l’activité de traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques.
- Une analyse d’impact sur la protection des données lorsque l’évaluation ci-dessus donne un résultat positif.
- La consultation éventuelle de l’autorité de contrôle compétente avant le traitement.
- Les exigences et tests d’acceptation pour l’achat et/ou le développement du logiciel, du matériel et de l’infrastructure employés.
- La mise en œuvre de mesures techniques et organisationnelles.
- Les tests, évaluations et analyses régulières de l’efficacité des mesures techniques et organisationnelles.
- Les exigences et tests d’acceptation pour la sélection des sous-traitants.
- Les contrats stipulés avec les sous-traitants.
- Les inspections et audits éventuels du sous-traitant.
- Les méthodes de collecte du consentement.
- Les démonstrations de l’expression individuelle du consentement.
- Les informations fournies aux personnes concernées.
- La mise en œuvre des droits des personnes concernées.
- Le traitement effectif des droits des personnes concernées.
- Les notifications éventuelles de violation à l’autorité de contrôle compétente.
- La communication éventuelle des violations de données à la personne concernée.
- Toute autre communication avec l’autorité de contrôle compétente.
|