Trinn som skal følges når CNIL ber om forklaringer på behandlingen av personopplysninger: risikoer og anbefalinger
Når et selskap mottar et brev fra den nasjonale kommisjonen for informasjonsteknologi og friheter (CNIL) som ber om forklaringer på sin praksis angående behandling av personopplysninger, står det overfor en ømfintlig situasjon som krever en rask, streng og i samsvar med kravene i General Data Protection Regulation (GDPR). En utilstrekkelig respons kan faktisk føre til alvorlige konsekvenser, inkludert administrative sanksjoner på opptil 20 millioner euro eller 4 % av global årlig omsetning (artikkel 83 i GDPR). Denne artikkelen undersøker trinnene som må følges når du står overfor et slikt brev, risikoene involvert, muligheten til å sende inn en databeskyttelseskonsekvensvurdering (DPIA), samt de tre nøkkelelementene som må gis i svaret for å unngå en tvist.
1. Trinn som skal følges som svar på et brev fra CNIL
CNIL, som tilsynsmyndighet som er ansvarlig for å sikre overholdelse av lover om personvern, kan sende et brev til selskaper for å få informasjon om behandlingen av personopplysninger som de utfører. Dette brevet kan ha ulike motivasjoner: en klage fra en enkeltperson, en planlagt inspeksjon eller en bekreftelse knyttet til en rapport. Uansett årsak, er det viktig å behandle forespørselen seriøst og raskt.
har. Analyser innholdet i e-posten nøye
Det første trinnet er å lese søknadsskjemaet nøye. CNIL. Brevet kan be om spesifikk informasjon om visse databehandlinger, begrunnelsen for deres rettslige grunnlag, sikkerhetstiltakene som er iverksatt, eller til og med detaljer om interne prosedyrer som gjør det mulig å utøve rettigheter av de det gjelder. Det er avgjørende å tydelig forstå hva som forventes, de angitte responstidene og dokumentene som skal leveres.
b. Opprett en komplett fil for å svare på forespørselen
Etter å ha identifisert den forespurte informasjonen, må det utarbeides en fullstendig og dokumentert fil. Denne filen må inneholde:
- Databehandlingsregisteret (artikkel 30 i GDPR): dette dokumentet lister opp behandlingen utført av selskapet, formålene med denne behandlingen, kategoriene av data som behandles, det juridiske grunnlaget som brukes og eventuelle involverte underleverandører.
- Interne retningslinjer for databeskyttelse : de gjør det mulig å demonstrere at selskapet har iverksatt organisatoriske tiltak for å overholde prinsippene for databeskyttelse (minimering, begrensning av oppbevaring, sikkerhet, etc.).
- De tekniske og organisatoriske tiltakene vedtatt for å garantere datasikkerhet, i samsvar med artikkel 32 i GDPR, slik som kryptering, pseudonymisering, tilgangskontroll og prosedyrer for håndtering av sikkerhetshendelser.
c. Rådfør deg med databeskyttelsesansvarlig (DPO)
Hvis selskapet har utnevnt en databeskyttelsesansvarlig (DPO), er det viktig å involvere dem i prosessen med å svare på CNIL. DPO spiller en nøkkelrolle i
bistand til organisatorisk etterlevelse og i håndtering av forhold til tilsynsmyndigheten. Dens oppgave inkluderer å overvåke databehandling, øke bevisstheten til ansatte og gi råd om svar på forespørsler fra myndigheter. Konsultasjonen er derfor en garanti for god tro og aktsomhet i forbindelse med dialog med CNIL.
2. Risikoer ved manglende overholdelse eller utilstrekkelig respons
Et utilstrekkelig svar eller manglende svar på en forespørsel om forklaringer fra CNIL kan resultere i ulike risikoer for selskapet, alt fra økonomiske sanksjoner til restriksjoner på databehandling.
har. Risiko for administrative sanksjoner
Artikkel 83 i GDPR gir administrative bøter i forhold til alvorlighetsgraden av bruddet. Brudd på grunnleggende databeskyttelsesprinsipper, registrerte rettigheter eller sikkerhetsforpliktelser kan resultere i bøter på opptil 20 millioner euro eller 4 % av selskapets globale årlige omsetning, det høyeste beløpet beholdes.
b. Risiko for formell varsel eller forføyning for overholdelse
Dersom CNIL mener at databehandlingen ikke er i samsvar med kravene i GDPR, kan den sende selskapet en formell melding å overholde innenfor en bestemt tidsramme. I mangel av regularisering kan myndigheten treffe tvangsmidler som for eksempel pålegg om å stanse behandlingen eller begrense formålet.
c. Suspensjon av databehandling
I de mest alvorlige tilfellene kan CNIL beordre midlertidig eller permanent stans av behandlingsaktiviteter, noe som kan påvirke selskapets aktivitet betydelig. For eksempel kan et e-handelsselskap bli forhindret fra å bruke sine kundedatabaser, noe som direkte vil skade inntektene.
3. Send inn en AIPD: når og hvorfor?
AIPD (Data Protection Impact Assessment) er en risikovurdering for rettigheter og friheter til personer som er berørt av behandlingen av data. Det er nødvendig når behandlingen utgjør en høy risiko, spesielt i følgende tilfeller:
- Storskala profilering ;
- Systematisk overvåking av et område tilgjengelig for allmennheten ;
- Behandling av spesielle kategorier av data i stor skala (sensitive data, helsedata osv.).
Hvis AIPD er utført for den aktuelle behandlingen, anbefales det å sende den til CNIL som svar på brevet. Dette viser at selskapet har vurdert risikoene oppstrøms og iverksatt passende tiltak for å redusere dem (artikkel 35 og 36 i GDPR). Dersom det ikke er utført AIPD, må det begrunnes hvorfor behandlingen ikke ga høy risiko for å begrunne en slik analyse.
4. De tre essensielle elementene å gi i svaret for å unngå rettssaker
Et adekvat svar til CNIL må inneholde spesifikk informasjon for å demonstrere selskapets samsvar og unngå eskalering til rettssaker. Her er de tre nøkkelelementene som skal gis:
har. Beskriv etterlevelsestiltakene som er iverksatt
Det er viktig å demonstrere at selskapet respekterer de grunnleggende prinsippene i GDPR (artikkel 5), spesielt lovlighet, åpenhet, begrensning av formål og dataminimering. Dette inkluderer:
- Begrunnelsen for rettsgrunnlagene som behandlingen er basert på (artikkel 6 i GDPR).
- Utlevering av informasjon til registrerte om behandlingen av deres data, inkludert deres rettigheter til tilgang, retting, motstand og sletting (artikkel 12 til 22 i GDPR).
b. Forklar sikkerhetstiltakene som er vedtatt for å beskytte data
Artikkel 32 i GDPR pålegger selskaper å implementere passende sikkerhetstiltak basert på risikoene forbundet med behandlingen. I svaret til CNIL er det hensiktsmessig å:
- Detaljer de tekniske og organisatoriske tiltakene som tilgangskontroll, datakryptering og hendelseshåndteringsprosedyrer.
- Begrunn sikkerhetsvalg i forbindelse med AIPD, hvis den er utført, eller med risikovurderingen.
c. Send AIPD eller begrunn dets fravær
Hvis behandlingen innebærer høy risiko, kan en DPIA vise at selskapet har tatt nødvendige forholdsregler. I tilfeller der en DPIA ikke var nødvendig, er det viktig å forklare årsakene til at behandlingen ikke ga tilstrekkelig risiko til å kreve en slik analyse (artikkel 35 og 36).
Kort sagt, svaret på et brev fra CNIL må utarbeides med største forsiktighet, og gi presis og begrunnet informasjon for å demonstrere selskapets samsvar. Åpenhetsprosedyrer, samarbeid med DPO og fullstendig dokumentasjon av tiltakene som er iverksatt, utgjør vesentlige elementer for å redusere risikoen for sanksjoner og styrke tilliten til tilsynsmyndigheten.
Et godt argumentert svar støttet av relevante dokumenter kan være nok til å overbevise CNIL om selskapets gode tro og unngå kostbare rettssaker.