|
<< Click to Display Table of Contents >> GDPR |
  
|
|
<< Click to Display Table of Contents >> GDPR |
|
Bosch est tenu de répondre aux exigences du Règlement Général sur la Protection des Données (GPPR) s'il prend effet le 25 mai 2018 (pour plus de détails : http://www.eugdpr.org/).
Par voie de conséquence, les sites web de Bosch procèderont à des remises à niveau pour répondre aux exigences du GDPR.
En vertu de la GDPR, la notification de violation deviendra obligatoire dans tous les États membres lorsqu'une violation de données est susceptible de "donner lieu à un risque pour les droits et libertés des individus". Cela doit être fait dans les 72 heures à compter de la première prise de connaissance de la violation. Les instances chargées du traitement des données seront également tenues d'aviser leurs clients, les responsables de traitement, "dans les meilleurs délais" dès qu'ils auront connaissance de la violation des données.
Une partie des droits élargis des personnes concernées décrits par le GDPR réside dans le droit pour les personnes concernées d'obtenir du responsable de traitement des données la confirmation de savoir si oui ou non des données personnelles les concernant sont traitées, à quel endroit et dans quel but. En outre le responsable de traitement devra fournir gratuitement une copie des données personnelles, en format électronique. Ce changement est un passage spectaculaire à la transparence des données et à l'autonomisation des personnes concernées.
Également connu sous le terme d'effacement des données, le droit à l'oubli autorise la personne concernée par les données à exiger que le responsable de traitement des données efface ses données personnelles, cesse la diffusion des données, et fasse potentiellement arrêter le traitement des données par des tierces parties. Les conditions du droit à l'oubli, mentionnées à l'article 17, incluent l'effacement lorsque les données ne sont plus pertinentes à des fins de traitement originales, ou lorsque la personne révoque son consentement. Il convient également de noter que ce droit oblige les responsables de traitement à comparer les droits des sujets à "l'intérêt public de disposer de ces données" lors de l'examen de ces demandes.
Le GDPR introduit la portabilité des données - à savoir le droit pour les personnes concernées de recevoir les données personnelles les concernant et qu'elles ont précédemment fournies, dans un "format couramment utilisé et lisible par machine" et de transmettre ces données à un autre contrôleur.
La protection de la vie privée dès la conception en tant que concept, existe depuis des années déjà, mais ne devient qu'à partir de maintenant partie intégrante d'une exigence légale avec le GDPR. Fondamentalement, la protection de la vie privée dès la conception appelle à l'inclusion de la protection des données dès le début de la conception des systèmes, plutôt qu'à son implémentation. Plus précisément - "le responsable de traitement doit.. mettre en œuvre des mesures techniques et organisationnelles appropriées.. d'une manière efficace.. afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées". Article 23 demande aux contrôleurs de conserver et de traiter uniquement les données absolument nécessaires à l'accomplissement de leurs tâches (minimisation des données), ainsi que de limiter l'accès aux données à caractère personnel à ceux qui ont besoin d'interagir sur le traitement.
Actuellement, les responsables de traitement sont tenus de notifier leurs activités de traitement des données aux RPD locaux, ce qui, pour les sociétés multinationales, peut être un cauchemar bureaucratique avec la plupart des États membres ayant des exigences de notification différentes. En vertu du GDPR, il ne sera pas nécessaire de soumettre des notifications/enregistrements au RPD local relatifs aux activités de traitement des données, ni de notifier/obtenir l'approbation des transferts en fonction des clauses types de contrat (CCM). Au lieu de cela, il existera diverses exigences de tenue de dossiers internes, comme expliqué de façon détaillée ci-dessous, et la nomination d'un RPD ne sera obligatoire que pour les responsables de traitement et les transformateurs dont les activités de base consistent en des opérations de traitement nécessitant un suivi régulier et systématique de surveillance des personnes concernées à grande échelle, de catégories spéciales de données ou de données relatives aux condamnations et aux infractions pénales. Parmi d'autres points essentiels, le DPO :
•Doit être nommé sur la base de ses qualités professionnelles et en particulier, d'une réelle expertise en matière de législation et de pratiques relatives à la protection des données
•Peut être un membre du personnel ou un prestataire de services externe
•Toutes les possibilités de contact doivent être fournies au DPA concerné
•Doit disposer de moyens appropriés pour accomplir pleinement ses tâches et maintenir son expertise
•Doit rapporter directement au plus haut niveau du management
•Ne doit assumer aucune autre tâche susceptible de créer un conflit d'intérêts