background preloader

Professionnels : comment répondre à une demande de droit d’accès

Une personne peut vous demander : l’accès à l’information sur le traitement éventuel de données la concernant (« avez-vous des données me concernant ? Pour quoi faire ? Combien de temps les conservez-vous ? Êtes-vous sûr de l’identité de la personne qui exerce sa demande ? Si nécessaire, demandez sur quelles données portent la demande Il arrive que certaines demandes concernent l’ensemble des données traitées par un organisme. Il vous faudra revenir vers elle dans un délai maximum d’un mois (voir « Les délais pour répondre à une demande »). Vérifiez que la demande ne concerne pas un tiers Lorsque vous recevez une demande de droit d’accès, vous devez vérifier qu’il s’exerce dans le respect du droit des tiers. De même, le droit d’accès ne peut porter atteinte au secret des affaires ou à la propriété intellectuelle (droit d’auteur protégeant le logiciel par exemple). Répondez à la demande en respectant les délais Peut-on refuser de répondre à un droit d’accès ? Related:  RGPDCNILLa Culture comme data-identité

Limiter la conservation des données Le principe de durée de conservation définie et limitée La durée de conservation doit être définie par le responsable du fichier, sauf si un texte impose une durée précise. Cette durée va dépendre de la nature des données et des objectifs poursuivis. Exemples de durées de conservation : Dans le cas d'un dispositif de vidéosurveillance poursuivant un objectif de sécurité des biens et des personnes, la conservation des images ne peut excéder 1 mois.Les données relatives à gestion de la paie ou au contrôle des horaires des salariés peuvent être conservées pendant 5 ans.Les données figurant dans un dossier médical doivent être conservées 10 ans à compter de la consolidation du dommage.La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées. Par exemple, lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement.

Biométrie au travail illégale : sanction de 10.000 euros La société ASSISTANCE CENTRE D’APPEL est spécialisée dans la télésurveillance d’ascenseurs et de parkings. Lors d’un contrôle dans ses locaux fin 2016, la CNIL a constaté que la société avait mis en place un dispositif de pointage biométrique (par recueil de l’empreinte digitale) à des fins de contrôle des horaires des salariés, sans autorisation préalable. Elle a également constaté qu’un dispositif d’enregistrement des appels téléphoniques fonctionnait sans que les salariés et les interlocuteurs n’en soient informés. Enfin, il a été constaté que les postes de travail n’étaient pas suffisamment sécurisés par des mots de passe robustes ou un verrouillage automatique. Malgré plusieurs échanges avec la société, un second contrôle effectué dans les locaux début 2018 a révélé que certains manquements persistaient. Une procédure de sanction a été engagée.

RGPD : Salariés et cadres, comment faire valoir votre droit d’accès à vos données personnelles ? Maître Frédéric Chhum, Avocat et Marion Simone, Elève-avocate. A la fin du présent article, nous proposons, pour les salariés, deux lettres-types de demande de droit d’accès à vos données personnelles. 1) Étendue du droit d’accès aux données personnelles pour les salariés (art 15 RGPD et article 70-19 de la loi du 20 juin 2018). L’article 4 du RGPD définit « les données à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable. [3] Aux termes de l’article 4 du RGPD est réputée être une personne physique identifiable, toute personne qui peut être identifiée : directement : o nom, prénom, o image, o vidéo indirectement : o numéro d’identification, o données de localisation, o des données de connexion de son poste de travail (dès lors qu’elles permettent d’identifier le salarié, par exemple, les connexions à une boîte mail professionnelle nominative) Ainsi, un salarié a droit d’accéder aux données relatives à : son recrutement ; son historique de carrière ; sa rémunération ; son dossier disciplinaire.

The right of access in GDPR: What are the debates? – Open Rights Group The right of access to personal information, codified in Article 15 of GDPR, is one of the key elements of the European data protection framework, enabling the exercise of other rights and providing for the fundamental “right to data”. This right is set to expand, as GDPR removes several practical barriers to its exercise, such as the payment of fees. This new situation presents some potential challenges, particularly for organisations implementing automated tools to support the exercise of the right. Third parties The use of third parties for subject access requests (SARs) is fairly common, for example solicitors acting on behalf of their clients. The removal of the associated fees in GDPR will almost certainly trigger a huge increase in the use of bulk third party SARs as part of a growing contestation of data practices. Many of the tools we discuss in the report facilitate SARs in ways that do not require the third party to make the request. Coordination of subject access requests

Les droits des patients Fermer En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies ou autres traceurs pour réaliser des statistiques de visites et obtenir des informations sur votre parcours de navigation afin d’améliorer nos contenus et votre expérience utilisateur. Pour en savoir plus Exemple d’information pour un dispositif de vidéosurveillance sur les lieux de travail Objet du traitement (finalité et base légale) : La société ABCD dont le siège est situé à CONFIANCE (96 000) – Rue de la Transparence a placé ses locaux sous vidéosurveillance afin d’assurer la sécurité de son personnel et de ses biens. Les images enregistrées dans ce dispositif ne sont pas utilisées à des fins de surveillance du personnel ni de contrôle des horaires. La base légale du traitement est l’intérêt légitime (cf. article 6.1.f) du Règlement européen sur la protection des données). Données et catégories de personnes concernées : Les employés de la société ABCD sont filmés par le dispositif. Destinataires : Les images peuvent être visionnées, en cas d’incident, par le personnel habilité de la société ABCD (à préciser, par exemple le personnel en charge de la sécurité ou des ressources humaines) et par les forces de l’ordre. Durée de conservation : Les images sont conservées un mois. Droits des personnes : Vous pouvez accéder aux données vous concernant ou demander leur effacement.

Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) ANNEXERÉFÉRENTIEL DE CERTIFICATION DES COMPÉTENCES DU DÉLEGUÉ À LA PROTECTION DES DONNÉES (DPO)Catégorie 1. Conditions préalables à remplir par le candidat à la certification Exigence 1.1. Pour pouvoir accéder à la phase d'évaluation, le candidat remplit l'une des conditions préalables suivantes : - justifier d'une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s'agissant de la protection des données personnelles ; ou- justifier d'une expérience professionnelle d'au moins 2 ans ainsi que d'une formation d'au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation. Catégorie 2. Exigence 2.1.

Le droit d'accès : connaître les données qu’un organisme détient sur vous Comment faire concrètement ? Identifier l’organisme à contacter Identifiez l’organisme puis rendez vous sur la page d’information réservée à l’exercice de vos droits sur le site internet de l’organisme (« politique confidentialité », « politique vie privée », « mention légales », etc). Si vous rencontrez des difficultés pour obtenir les coordonnées du délégué à la protection des données ou du responsable, consultez notre fiche pratique. Exercer votre droit d’accès auprès de l’organisme Vous pouvez exercer votre demande de droit d’accès par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.), ou par courrier par exemple. Si nécessaire, utilisez ce modèle de courrier pour lui demander de vous faire parvenir une copie - en langage clair - de l'ensemble des données qu'il possède sur vous. L’accès à ce droit est gratuit. Conserver une copie de vos démarches Vous exercez cette démarche par courrier ? Que faire en cas de refus ou d'absence de réponse ?

Guidance for practitioners who have received a subject-access request Once you have collected together the information we hold about a data subject you must examine it in detail to establish if it should be disclosed. This must be done on a case-by-case basis for each individual piece of information. In some cases you might have to disclose only parts of particular documents. How to blank out exempt and/or irrelevant information When answering a subject access request you may have to blank out parts of a document which are not liable for disclosure. Hard copy documents Print out the document or, if it is a paper record, make a photocopy. Electronic documents Using the highlighter tool, highlight the exempt information in black. Check the data subject Check that the record is actually about the person concerned and not about someone else with the same name. You should only print out documents or emails which are about the person making the subject access request. Screen out duplicate records Obtain consent from staff acting in a private capacity Model letters pack

Dossier médical Le mode de consultation est choisi par le demandeur. La consultation peut se faire sur place ou par envoi de copie. Sur place La consultation peut être faite sur place. Pour les informations détenues par un établissement de santé, si les dispositifs techniques le permettent, la consultation des informations peut être réalisée, pour tout ou partie, par voie électronique. Le demandeur doit être informé du dispositif d'accompagnement médical mis en place au sein des établissements de santé. Les copies remises sont établies sur un support similaire à celui utilisé par le professionnel de santé, l'établissement de santé ou l'hébergeur. Elles peuvent être établies sur papier au choix du demandeur et dans la limite des possibilités techniques du professionnel ou de l'organisme détenteur des informations. Revenir au sommaire de cette partie Par courrier L'accès au dossier peut être réalisé par envoi de copies. Présence d'une tierce personne

RGPD: L’exigence de conservation des données pendant une durée pertinente L’article 6, 5° de la LIL dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Il ressort de ces deux textes que la durée de conservation des données à caractère personnel ne saurait être illimitée. Elle doit être proportionnée à la finalité du traitement. Toute la question est alors de savoir comment déterminer une durée adaptée à la conservation des données à caractère personnel traitées. A l’examen, il apparaît que le législateur a posé un principe assorti de plusieurs dérogations. §1 : Le principe A l’examen, la détermination de la durée de conservation des données à caractère personnel suppose de s’interroger sur quatre points : A) Sur le point de départ de la durée de conservation B) Sur le cycle de conservation des données 2. 2. WordPress:

Related: