Больше
Навигация
CHAPITRE I Dispositions générales (1-4)
Article premier. Objet et objectifsArticle 2. Champ d'application matérielArticle 3. Champ d'application territorialArticle 4. Définitions
CHAPITRE II Principes (5-11)
Article 5. Principes relatifs au traitement des données à caractère personnelArticle 6. Licéité du traitementArticle 7. Conditions applicables au consentementArticle 8. Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'informationArticle 9. Traitement portant sur des catégories particulières de données à caractère personnelArticle 10. Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractionsArticle 11. Traitement ne nécessitant pas l'identification
CHAPITRE III Droits de la personne concernée (12-23)
Article 12. Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernéeArticle 13. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernéeArticle 14. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernéeArticle 15. Droit d'accès de la personne concernéeArticle 16. Droit de rectificationArticle 17. Droit à l'effacement («droit à l'oubli»)Article 18. Droit à la limitation du traitementArticle 19. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitementArticle 20. Droit à la portabilité des donnéesArticle 21. Droit d'oppositionArticle 22. Décision individuelle automatisée, y compris le profilageArticle 23. Limitations
CHAPITRE IV Responsable du traitement et sous-traitant (24-43)
Article 24. Objet et objectifs
Article 25. Protection des données dès la conception et protection des données par défautArticle 26. Responsables conjoints du traitementArticle 27. Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'UnionArticle 28. Sous-traitantArticle 29. Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitantArticle 30. Registre des activités de traitementArticle 31. Coopération avec l'autorité de contrôleArticle 32. Sécurité du traitementArticle 33. Notification à l'autorité de contrôle d'une violation de données à caractère personnelArticle 34. Communication à la personne concernée d'une violation de données à caractère personnelArticle 35. Analyse d'impact relative à la protection des donnéesArticle 36. Consultation préalableArticle 37. Désignation du délégué à la protection des donnéesArticle 38. Fonction du délégué à la protection des donnéesArticle 39. Missions du délégué à la protection des donnéesArticle 40. Codes de conduiteArticle 41. Suivi des codes de conduite approuvésArticle 42. CertificationArticle 43. Organismes de certification
CHAPITRE V Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales (44-50)
Article 44. Principe général applicable aux transfertsArticle 45. Transferts fondés sur une décision d'adéquationArticle 46. Transferts moyennant des garanties appropriéesArticle 47. Règles d'entreprise contraignantesArticle 48. Transferts ou divulgations non autorisés par le droit de l'UnionArticle 49. Dérogations pour des situations particulièresArticle 50. Coopération internationale dans le domaine de la protection des données à caractère personnel
CHAPITRE VI Autorités de contrôle indépendantes (51-59)
Article 51. Autorité de contrôleArticle 52. IndépendanceArticle 53. Conditions générales applicables aux membres de l'autorité de contrôleArticle 54. Règles relatives à l'établissement de l'autorité de contrôleArticle 55. CompétenceArticle 56. Compétence de l'autorité de contrôle chef de fileArticle 57. MissionsArticle 58. PouvoirsArticle 59. Rapports d'activité
CHAPITRE VII Coopération et cohérence (60-70)
Article 60. Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernéesArticle 61. Assistance mutuelleArticle 62. Opérations conjointes des autorités de contrôleArticle 63. Mécanisme de contrôle de la cohérenceArticle 64. Avis du comitéArticle 65. Règlement des litiges par le comitéArticle 66. Procédure d'urgenceArticle 67. Échange d'informationsArticle 68. Comité européen de la protection des donnéesArticle 69. IndépendanceArticle 70. Missions du comitéArticle 71. RapportsArticle 72. ProcédureArticle 73. PrésidentArticle 74. Missions du présidentArticle 75. SecrétariatArticle 76. Confidentialité
CHAPITRE VIII Voies de recours, responsabilité et sanctions (77-84)
Article 77. Droit d'introduire une réclamation auprès d'une autorité de contrôleArticle 78. Droit à un recours juridictionnel effectif contre une autorité de contrôleArticle 79. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitantArticle 80. Représentation des personnes concernéesArticle 81. Suspension d'une actionArticle 82. Droit à réparation et responsabilitéArticle 83. Conditions générales pour imposer des amendes administrativesArticle 84. Sanctions
CHAPITRE IX Dispositions relatives à des situations particulières de traitement (85-91)
Article 85. Traitement et liberté d'expression et d'informationArticle 86. Traitement et accès du public aux documents officielsArticle 87. Traitement du numéro d'identification nationalArticle 88. Traitement de données dans le cadre des relations de travailArticle 89. Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiquesArticle 90. Obligations de secretArticle 91. Règles existantes des églises et associations religieuses en matière de protection des données
CHAPITRE X Actes délégués et actes d'exécution (92-93)
Article 92. Exercice de la délégationArticle 93. Comité
CHAPITRE XI Dispositions finales (94-95)
Article 94. Abrogation de la directive 95/46/CEArticle 95. Relation avec la directive 2002/58/CEArticle 96. Relation avec les accords conclus antérieurementArticle 97. Rapports de la CommissionArticle 98. Réexamen d'autres actes juridiques de l'Union relatifs à la protection des donnéesArticle 99. Entrée en vigueur et application
GDPR > Article 24. Objet et objectifs
Скачать в PDF

Article 24 RGPD. Objet et objectifs

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 24(1) GDPR:

7.2.8 Записи, связанные с обработкой ПИИ

Средство управления

Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.

Руководство по внедрению

Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация. Такой перечень может включать в себя:


для доступа к полному тексту

Связанные статьи

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 24(2) GDPR:

6.2.1.1 Политики информационной безопасности

Руководство по внедрению

Либо путем разработки отдельных политик конфиденциальности, либо путем усиления политик информационной безопасности, организация должна подготовить заявление, касающееся поддержки и приверженности достижению соответствия применимому законодательству и / или нормативам в области защиты ПИИ и договорным условиям, согласованным между организацией. и его партнеры, субподрядчики и соответствующие третьи стороны (клиенты, поставщики и т. д.), которые должны четко распределять обязанности между ними.


для доступа к полному тексту

3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 24(3) GDPR:

5.2.1 Понимание организации и ее контекста

Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.


для доступа к полному тексту

Связанные статьи
Règlement général sur la protection des données (RGPD)

Dernière version consolidée (Rectificatif, JO L 127 du 23.5.2018, p. 2 (2016/679)). EUR-Lex — 02016R0679-20160504 — FR

Комментарий эксперта Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

(EN) A controller is a person or an organization that determines the personal data to process and the purposes and means of the processing (Article 4(7)). The definition rightly points to the decision-making capacity of the entity that “decides why and how data will be processed” (ULD Schleswig-Holstein/Wirtschaftsakademie, Opinion of Advocate General).


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
Задать вопрос
Преамбулы

(74) Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

(77) Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(83) Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral.

Руководство и прецедентное право Оставить комментарий
[js-disqus]