Question:
Établir le consentement GDPR lorsque la personne n'accède pas elle-même à un système
EvilDr
2018-01-08 18:02:49 UTC
view on stackexchange narkive permalink

Mon entreprise héberge une base de données en ligne permettant aux organisations de gérer les données de formation de leur personnel.

Dans la plupart des cas, les utilisateurs administrateurs (chefs d'équipe / supérieurs hiérarchiques) gèrent les données de leur personnel / équipes. D'une organisation de 500 personnes, par exemple, généralement environ 30 personnes peuvent se connecter et afficher les données de leurs équipes.

J'essaie actuellement de comprendre en quoi le nouveau règlement GDPR concernant le consentement sera pertinent / appliquée:

(32) Le consentement doit être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, éclairée et sans ambiguïté de l'accord de la personne concernée au traitement des données personnelles la concernant ou elle, par exemple par une déclaration écrite, y compris par voie électronique, ou une déclaration orale. Cela peut inclure le fait de cocher une case lors de la visite d'un site Internet, le choix des paramètres techniques des services de la société de l'information ou une autre déclaration ou conduite indiquant clairement dans ce contexte l'acceptation par la personne concernée du traitement proposé de ses données personnelles. Le silence, les cases pré-cochées ou l'inactivité ne doivent donc pas constituer un consentement. Le consentement devrait couvrir toutes les activités de traitement effectuées aux mêmes fins ou aux mêmes fins. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour tous. Si le consentement de la personne concernée doit être donné suite à une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l'utilisation du service pour lequel elle est fournie.

Par conséquent, comment des organisations comme la nôtre peuvent-elles fournir cela de manière réaliste, alors que de nombreuses personnes ne verront pas / n'auront pas accès à leurs propres données? Le consentement est-il toujours nécessaire ici? Ce consentement peut-il être géré par le point de contact central chez le client (en dehors de notre logiciel)?

J'ai examiné plus d'une douzaine de sites fournissant des "conseils", mais chacun a haché à nouveau les mêmes informations génériques cela n'apporte pas assez de clarté.

Un répondre:
dejuknow
2018-01-18 01:13:19 UTC
view on stackexchange narkive permalink

Je crois que dans ce cas, votre entreprise (OrgX) est un processeur de données et l'organisation de votre client (OrgY) est le contrôleur de données.

OrgY est responsable d'établir une base légale pour vous envoyer (OrgX ) les données personnelles de leurs employés. Notez que le consentement n'est que l'une des six bases légales énoncées à l'article 6 (1). Je ne suis pas un expert, mais je pense que l'administrateur d'OrgY peut affirmer qu'il a un intérêt légitime à envoyer les données personnelles de ses employés à des fins de formation. Dans les deux cas, le processeur de données n'est pas responsable de l'établissement de la base légale du traitement.

Bien sûr, les processeurs de données ne sont pas complètement décrochés. Le RGPD décrit les exigences spécifiques pour les processeurs de données (voir le chapitre 4, en particulier l'article 28).

Merci pour cela. Ma diatribe avec l'ensemble du règlement est qu'il est ouvert à une interprétation à une si grande échelle. Comme pour moi, vous avez dû assumer un résultat, mais je suis sûr que l'ICO (l'organisation qui gère le respect de ce règlement au Royaume-Uni) prendrait toujours plaisir à verser une amende si nous nous trompons. J'ai écrit à l'ICO pour plus de clarté et je mettrai à jour ici s'ils répondent.
Oh, et +1 pour votre croyance en la réponse, et pas parce que vous avez écrit "OrgY" * (... rires) *
lol. Je n'ai même pas remarqué cela. Cela me fait penser à toutes les fois où j'ai utilisé OrgX et OrgY.
Je pense que la réponse devrait être acceptée. Le règlement n'est pas si sujet à interprétation. La manière dont il spécifie la relation entre le responsable du traitement et le sous-traitant, et l'obligation du responsable du traitement d'établir la base juridique du traitement, le cloue à peu près.
@EvilDr: Avez-vous déjà reçu une réponse?
@danuker. Nan. Bon travail, je ne retenais pas mon souffle ... Notre solution était qu'une entreprise doit faire du stockage de ses détails une partie de leur capacité à effectuer leur travail (par exemple et cela est explicitement indiqué dans le contrat). Pour les logiciels * optionnels *, je suppose que cela devrait être géré dans un référentiel de * consentement * externe.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...