Toimenpiteet, joita noudatetaan, kun CNIL pyytää selvitystä henkilötietojen käsittelystä: riskit ja suositukset
Kun yritys saa tietotekniikan ja vapauksien kansalliselta toimikunnalta (CNIL) kirjeen, jossa pyydetään selvitystä henkilötietojen käsittelyä koskevista käytännöistään, se joutuu arkaluontoiseen tilanteeseen, joka vaatii nopeaa, tiukkaa ja viraston vaatimuksia noudattaen. Yleinen tietosuoja-asetus (GDPR). Riittämätön vastaus voi todellakin johtaa vakaviin seurauksiin, mukaan lukien jopa 20 miljoonan euron hallinnolliset seuraamukset tai 4 % maailmanlaajuisesta vuosiliikevaihdosta (GDPR:n artikla 83). Tässä artikkelissa tarkastellaan vaiheita, joita on noudatettava tällaisen kirjeen kohdalla, siihen liittyviä riskejä, mahdollisuutta lähettää tietosuojavaikutusten arviointi (DPIA) sekä kolmea keskeistä seikkaa, jotka on annettava vastauksessa riitojen välttämiseksi.
1. Noudatettavat toimet vastauksena CNIL:n kirjeeseen
CNIL, tietosuojalainsäädännön noudattamisesta vastaavana valvontaviranomaisena, voi lähettää yrityksille kirjeen saadakseen tietoja niiden suorittamasta henkilötietojen käsittelystä. Tällä kirjeellä voi olla erilaisia motiiveja: valitus yksittäiseltä henkilöltä, suunniteltu tarkastus tai ilmoitukseen liittyvä tarkastus. Syistä riippumatta on tärkeää käsitellä pyyntö vakavasti ja nopeasti.
on. Analysoi huolellisesti sähköpostin sisältö
Ensimmäinen askel on lukea hakemuslomake huolellisesti. CNIL. Kirjeessä voidaan pyytää tarkempia tietoja tietystä tietojenkäsittelystä, niiden oikeusperustan perusteluja, turvatoimia tai jopa tietoja sisäiset menettelyt, jotka mahdollistavat oikeuksien käytön asianomaisista ihmisistä. On erittäin tärkeää ymmärtää selvästi, mitä odotetaan, ilmoitetut vastausajat ja toimitettavat asiakirjat.
b. Luo täydellinen tiedosto vastataksesi pyyntöön
Kun pyydetyt tiedot on tunnistettu, on laadittava täydellinen ja dokumentoitu tiedosto. Tämän tiedoston tulee sisältää:
- Tietojenkäsittelyrekisteri (GDPR artikla 30): tässä asiakirjassa luetellaan yrityksen suorittama käsittely, tämän käsittelyn tarkoitukset, käsiteltyjen tietojen luokat, käytetyt oikeusperustat ja mahdolliset mukana olevat alihankkijat.
- Sisäiset tietosuojakäytännöt : niiden avulla voidaan osoittaa, että yritys on toteuttanut organisatorisia toimenpiteitä tietosuojaperiaatteiden (minimointi, säilyttämisen rajoittaminen, turvallisuus jne.) noudattamiseksi.
- Hyväksytyt tekniset ja organisatoriset toimenpiteet takaamaan tietosuojan GDPR:n artiklan 32 mukaisesti, kuten salaus-, pseudonyymis-, kulunvalvonta- ja tietoturvahäiriöiden hallintamenettelyt.
c. Ota yhteyttä tietosuojavastaavaan (DPO)
Jos yritys on nimittänyt tietosuojavastaavan (DPO), on välttämätöntä ottaa hänet mukaan CNIL:lle vastaamiseen. Tietosuojavastaavalla on keskeinen rooli
avustaminen organisaation noudattamisessa ja suhteiden hoitamisessa valvontaviranomaiseen. Sen tehtävänä on valvoa tietojenkäsittelyä, lisätä työntekijöiden tietoisuutta ja neuvoa viranomaisten pyyntöihin vastaamisessa. Sen kuuleminen on näin ollen tae vilpittömästä mielestä ja huolellisuudesta CNIL:n kanssa käytävän vuoropuhelun yhteydessä.
2. Vaatimusten noudattamatta jättämisestä tai riittämättömästä reagoinnista aiheutuvat riskit
Puutteellinen vastaus tai vastauksen puuttuminen CNIL:n selvityspyyntöön voi aiheuttaa yritykselle erilaisia riskejä taloudellisista sanktioista tietojenkäsittelyn rajoituksiin.
on. Hallinnollisten seuraamusten vaara
GDPR:n artiklassa 83 määrätään rikkomuksen vakavuuteen suhteutettuja hallinnollisia sakkoja. Tietosuojan perusperiaatteiden, rekisteröidyn oikeuksien tai turvallisuusvelvoitteiden rikkomisesta voi seurata sakkoja, jotka ovat enintään 20 miljoonaa euroa tai 4 % yrityksen globaalista vuosiliikevaihdosta, joista suurin pidätetään.
b. Virallisen huomautuksen tai noudattamismääräyksen vaara
Jos CNIL katsoo, että tietojen käsittely ei ole GDPR:n vaatimusten mukaista, se voi lähettää yritykselle virallinen ilmoitus noudattamaan tietyn ajan kuluessa. Jos laillistamista ei tehdä, viranomainen voi ryhtyä pakkokeinoihin, kuten määrätä käsittelyn lopettamiseen tai rajoittaa sen tarkoitusta.
c. Tietojen käsittelyn keskeyttäminen
Vakavimmissa tapauksissa CNIL voi määrätä käsittelytoiminnan väliaikaiseksi tai pysyväksi keskeyttämiseksi, mikä voi vaikuttaa merkittävästi yhtiön toimintaan. Esimerkiksi verkkokauppayritystä voitaisiin estää käyttämästä asiakastietokantojaan, mikä vahingoittaisi suoraan sen tuloja.
3. Lähetä AIPD: milloin ja miksi?
AIPD (Data Protection Impact Assessment) on riskinarviointi henkilöiden oikeudet ja vapaudet, joihin käsittely vaikuttaa tiedoista. Sitä tarvitaan, kun hoitoon liittyy suuri riski, erityisesti seuraavissa tapauksissa:
- Laajamittainen profilointi ;
- Yleisön käytettävissä olevan alueen järjestelmällinen seuranta ;
- Erityisten tietokategorioiden käsittely suuressa mittakaavassa (arkaluonteiset tiedot, terveystiedot jne.).
Jos AIPD on suoritettu kyseiselle käsittelylle, on suositeltavaa lähettää se CNIL:lle vastauksena kirjeeseen. Tämä osoittaa, että yritys on arvioinut riskit alkuvaiheessa ja ottanut käyttöön asianmukaiset toimenpiteet niiden vähentämiseksi (GDPR 35 ja 36 artikla). Jos AIPD:tä ei ole tehty, on perusteltava, miksi hoito ei aiheuttanut suurta riskiä, joka oikeuttaisi tällaisen analyysin.
4. Kolme olennaista seikkaa, jotka on annettava vastauksessa oikeudenkäyntien välttämiseksi
Riittävän vastauksen CNIL:lle on sisällettävä erityisiä tietoja, jotka osoittavat, että yritys noudattaa vaatimuksia ja välttää oikeudenkäyntien kärjistymisen. Tässä on kolme keskeistä elementtiä:
on. Kuvaile käyttöönotetut vaatimustenmukaisuustoimenpiteet
Olennaista on osoittaa, että yritys noudattaa GDPR:n perusperiaatteita (artikla 5), erityisesti laillisuutta, läpinäkyvyyttä, käyttötarkoitusten rajoittamista ja tietojen minimointia. Tämä sisältää:
- Oikeusperustojen perustelut johon käsittely perustuu (GDPR:n artikla 6).
- Tietojen antaminen rekisteröidyille heidän tietojensa käsittelystä, mukaan lukien pääsy-, oikaisu-, vastustus- ja poistamisoikeutensa (GDPR 12–22 artikla).
b. Selitä tietoturvatoimenpiteet, jotka on otettu käyttöön tietojen suojaamiseksi
GDPR:n artikla 32 vaatii yrityksiä toteuttamaan asianmukaisia suojatoimenpiteitä käsittelyyn liittyvien riskien perusteella. Vastauksessaan CNIL:lle on asianmukaista:
- Yksityiskohtaiset tekniset ja organisatoriset toimenpiteet kuten kulunvalvonta, tietojen salaus ja tapausten hallintamenettelyt.
- Perustele tietoturvavalinnat AIPD:n yhteydessä, jos se on tehty, tai riskinarvioinnin yhteydessä.
c. Lähetä AIPD tai perustele sen puuttuminen
Jos käsittelyyn liittyy suuria riskejä, DPIA:n toimittaminen voi osoittaa, että yritys on ryhtynyt tarvittaviin varotoimiin. Tapauksissa, joissa DPIA:ta ei vaadittu, on välttämätöntä selittää syyt, miksi käsittely ei aiheuttanut riittäviä riskejä tällaisen analyysin vaatimiseksi (35 ja 36 artikla).
Lyhyesti sanottuna vastaus CNIL:n kirjeeseen on valmisteltava erittäin huolellisesti ja annettava täsmälliset ja perustellut tiedot osoittamaan, että yritys noudattaa vaatimuksia. Avoimuusmenettelyt, yhteistyö tietosuojavastaavan kanssa ja toteutettujen toimenpiteiden täydellinen dokumentointi ovat olennaisia tekijöitä seuraamusten riskien vähentämiseksi ja valvontaviranomaisen välisen luottamuksen vahvistamiseksi.
Hyvin perusteltu vastaus asiaankuuluvilla asiakirjoilla voi riittää vakuuttamaan CNIL:n yrityksen vilpittömästä mielestä ja välttämään kalliit oikeudenkäynnit.