Votre structure
Votre structure : Que vous matérialisez une structure de plus ou moins 250 personnes. Ou que sous représentiez une organisation publique ou parapublique. Ou encore, que vous pratiquiez le traitement automatisé et le profilage. Et enfin que vous traitiez des données sensibles. Que vous transfériez des données hors UE. DPO EXTERNE FRANCE est là pour vous accompagner dans votre démarche de conformité au RGPD.
Voici un résumé des différences à retenir selon Votre structure et le type de traitement
Votre structure de moins de 250 salariés
De fait, elles ont dispense de tenir un registre des activités de traitement. Sauf si le traitement présente un risque pour les droits et libertés des personnes, s’il n’est pas occasionnel. Ou s’il porte sur des données sensibles ou relatives à des condamnations pénales.
Votre structure de plus de 250 salariés
Dans les faits, elles doivent tenir un registre des activités de traitement. Elles doivent aussi désigner un délégué à la protection des données (DPO) si elles sont une autorité ou un organisme public. Ou si leurs activités principales exigent un suivi régulier et systématique des personnes à grande échelle. Ou encore si elles traitent à grande échelle des données sensibles ou relatives à des condamnations pénales.
Structures parapubliques
Elles sont considérées comme des structures privées pour l’application du RGPD. Sauf si elles exercent une mission de service public ou sont soumises au contrôle d’une autorité publique.
Structures publiques
En clair, elles doivent respecter les mêmes obligations que les structures privées. Mais elles doivent également désigner un DPO, appliquer les règles d’entreprise contraignantes pour les transferts de données hors UE. Et enfin, se conformer aux lignes directrices du Comité européen de la protection des données.
Structures privées
Elles doivent respecter les principes du RGPD. Egalement, obtenir le consentement des personnes concernées. Mais aussi, informer les personnes de leurs droits, assurer la sécurité des données. Et encore, notifier les violations de données à la CNIL et aux personnes concernées, coopérer avec la CNIL et respecter les codes de conduite et les certifications approuvés.
Traitement de données sensibles
Dans les faits, il s’agit des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques. Ou encore, l’appartenance syndicale, ainsi que les données génétiques, biométriques, de santé ou relatives à la vie sexuelle ou l’orientation sexuelle. Clairement, le traitement de ces données est interdit. Sauf dans certains cas prévus par le RGPD, tels que le consentement explicite de la personne concernée, l’intérêt public dans le domaine de la santé publique. Ou encore de la recherche scientifique, ou la protection des intérêts vitaux de la personne concernée.
Transferts de données hors UE
Obligatoirement, ils sont soumis à des conditions particulières pour assurer un niveau de protection adéquat aux données transférées. De fait, le responsable du traitement doit s’assurer que le pays destinataire dispose d’une décision d’adéquation de la Commission européenne. Ou à défaut, qu’il existe des garanties appropriées telles que des clauses contractuelles types, des règles d’entreprise contraignantes ou des codes de conduite approuvés. Egalement, le responsable du traitement doit informer la personne concernée du transfert et des garanties mises en œuvre.
Traitements automatisés et profilages
De principe, ils sont soumis à des règles spécifiques si le traitement produit des effets juridiques ou affecte significativement la personne concernée. Dans ce cas, le responsable du traitement doit informer la personne de l’existence du traitement, lui donner le droit de demander une intervention humaine. Ou d’exprimer son point de vue ou de contester la décision. Ainsi, le responsable du traitement doit également mettre en œuvre des mesures appropriées pour garantir le respect des droits, libertés et intérêts légitimes de la personne concernée.