Steg att följa när CNIL begär förklaringar om behandlingen av personuppgifter: risker och rekommendationer
När ett företag får ett brev från National Commission for Information Technology and Liberties (CNIL) som begär förklaringar om dess praxis när det gäller behandling av personuppgifter, står det inför en känslig situation som kräver en snabb, rigorös och uppfyller kraven i General Data Protection Regulation (GDPR). Ett otillräckligt svar kan faktiskt leda till allvarliga konsekvenser, inklusive administrativa sanktioner på upp till 20 miljoner euro eller 4 % av den globala årliga omsättningen (artikel 83 i GDPR). Den här artikeln undersöker stegen att följa när man ställs inför ett sådant brev, de risker som är involverade, möjligheten att skicka in en dataskyddskonsekvensbedömning (DPIA) samt de tre nyckelelementen att tillhandahålla i svaret för att undvika en tvist.
1. Steg att följa som svar på ett brev från CNIL
CNIL, som tillsynsmyndighet med ansvar för att se till att dataskyddslagar efterlevs, kan skicka ett brev till företag för att få information om den behandling av personuppgifter som de utför. Detta brev kan ha olika motiv: ett klagomål från en individ, en planerad inspektion eller en verifiering kopplad till en rapport. Oavsett orsakerna är det viktigt att behandla förfrågan seriöst och snabbt.
har. Analysera noggrant innehållet i posten
Det första steget är att noggrant läsa igenom ansökningsformuläret. CNIL. Brevet kan begära specifik information om viss databehandling, motiveringen av deras rättsliga grund, de säkerhetsåtgärder som vidtagits eller till och med detaljer om interna förfaranden som möjliggör utövande av rättigheter av de berörda personerna. Det är viktigt att tydligt förstå vad som förväntas, de angivna svarstiderna och de dokument som ska tillhandahållas.
b. Skapa en komplett fil för att svara på begäran
Efter att ha identifierat den begärda informationen ska en fullständig och dokumenterad fil sammanställas. Denna fil måste innehålla:
- Databehandlingsregistret (artikel 30 i GDPR): detta dokument listar den behandling som utförs av företaget, syftena med denna behandling, de kategorier av data som behandlas, de rättsliga grunderna som används och eventuella inblandade underleverantörer.
- Intern dataskyddspolicy : de gör det möjligt att visa att företaget har genomfört organisatoriska åtgärder för att följa principerna för dataskydd (minimering, begränsning av lagring, säkerhet, etc.).
- Antagna tekniska och organisatoriska åtgärder att garantera datasäkerhet, i enlighet med artikel 32 i GDPR, såsom kryptering, pseudonymisering, åtkomstkontroll och procedurer för hantering av säkerhetsincidenter.
c. Rådfråga dataskyddsombudet (DPO)
Om företaget har utsett en dataskyddsombud (DPO) är det absolut nödvändigt att involvera honom eller henne i processen att svara på CNIL. DPO spelar en nyckelroll i
bistånd med organisatorisk efterlevnad och i att sköta relationerna med tillsynsmyndigheten. Dess uppdrag inkluderar att övervaka databehandling, öka medarbetarnas medvetenhet och ge råd om svar på förfrågningar från myndigheter. Dess samråd är därför en garanti för god tro och omsorg i samband med dialogen med CNIL.
2. Risker i händelse av bristande efterlevnad eller otillräckligt svar
Ett otillräckligt svar eller bristande svar på en begäran om förklaringar från CNIL kan resultera i olika risker för företaget, allt från ekonomiska sanktioner till begränsningar av databehandling.
har. Risk för administrativa sanktioner
Artikel 83 i GDPR föreskriver administrativa böter som står i proportion till överträdelsens allvar. Brott mot grundläggande dataskyddsprinciper, registrerades rättigheter eller säkerhetsskyldigheter kan resultera i böter på upp till 20 miljoner euro eller 4 % av företagets globala årliga omsättning, varvid det högsta beloppet behålls.
b. Risk för formellt meddelande eller föreläggande för efterlevnad
Om CNIL anser att databehandlingen inte uppfyller kraven i GDPR kan den skicka företaget en formell underrättelse att följa inom en viss tidsram. I avsaknad av legalisering kan myndigheten vidta tvångsåtgärder såsom föreläggande om att upphöra med behandlingen eller begränsa dess syften.
c. Avstängning av databehandling
I de allvarligaste fallen kan CNIL beordra att bearbetningsverksamheten tillfälligt eller permanent avbryts, vilket avsevärt kan påverka företagets verksamhet. Ett e-handelsföretag skulle till exempel kunna hindras från att använda sina kunddatabaser, vilket direkt skulle skada dess intäkter.
3. Skicka in en AIPD: när och varför?
AIPD (Data Protection Impact Assessment) är en riskbedömning för rättigheter och friheter för personer som berörs av behandlingen av data. Det krävs när behandlingen utgör en hög risk, särskilt i följande fall:
- Storskalig profilering ;
- Systematisk övervakning av ett område som är tillgängligt för allmänheten ;
- Bearbetning av speciella kategorier av data i stor skala (känsliga uppgifter, hälsouppgifter etc.).
Om AIPD har utförts för den berörda behandlingen, rekommenderas att den skickas till CNIL som svar på brevet. Detta visar att företaget har bedömt riskerna uppströms och vidtagit lämpliga åtgärder för att mildra dem (artiklarna 35 och 36 i GDPR). Om ingen AIPD har utförts ska det motiveras varför behandlingen inte innebar en hög risk som motiverar en sådan analys.
4. De tre väsentliga delarna att tillhandahålla i svaret för att undvika rättstvister
Ett adekvat svar till CNIL måste innehålla specifik information för att visa företagets efterlevnad och undvika eskalering till rättstvister. Här är de tre nyckelelementen att tillhandahålla:
har. Beskriv de efterlevnadsåtgärder som vidtagits
Det är viktigt att visa att företaget respekterar de grundläggande principerna i GDPR (artikel 5), i synnerhet laglighet, transparens, begränsning av syften och dataminimering. Detta inkluderar:
- De rättsliga grundernas motivering som behandlingen baseras på (artikel 6 i GDPR).
- Tillhandahållande av information till registrerade om behandlingen av deras uppgifter, inklusive deras rättigheter till åtkomst, rättelse, opposition och radering (artiklarna 12 till 22 i GDPR).
b. Förklara de säkerhetsåtgärder som vidtagits för att skydda data
Artikel 32 i GDPR kräver att företag implementerar lämpliga säkerhetsåtgärder baserat på de risker som är förknippade med behandlingen. I svaret till CNIL är det lämpligt att:
- Detaljera de tekniska och organisatoriska åtgärderna såsom åtkomstkontroll, datakryptering och incidenthanteringsprocedurer.
- Motivera säkerhetsval i samband med AIPD, om den har genomförts, eller med riskbedömningen.
c. Överför AIPD eller motivera dess frånvaro
Om behandlingen innebär höga risker kan tillhandahållande av en DPIA visa att företaget har vidtagit nödvändiga försiktighetsåtgärder. I de fall en DPIA inte krävdes är det väsentligt att förklara skälen till att behandlingen inte innebar tillräckliga risker för att kräva en sådan analys (artiklarna 35 och 36).
Kort sagt, svaret på ett brev från CNIL måste förberedas med största noggrannhet och tillhandahålla exakt och motiverad information för att visa företagets efterlevnad. Insynsförfaranden, samarbete med uppgiftsskyddsombudet och fullständig dokumentation av de åtgärder som vidtagits utgör väsentliga delar för att minska riskerna för sanktioner och stärka förtroendet för tillsynsmyndigheten.
Ett välargumenterat svar med stöd av relevanta dokument kan vara tillräckligt för att övertyga CNIL om företagets goda tro och undvika kostsamma rättstvister.