Limiter la conservation des données Le principe de durée de conservation définie et limitée La durée de conservation doit être définie par le responsable du fichier, sauf si un texte impose une durée précise. Cette durée va dépendre de la nature des données et des objectifs poursuivis. Exemples de durées de conservation : Dans le cas d'un dispositif de vidéosurveillance poursuivant un objectif de sécurité des biens et des personnes, la conservation des images ne peut excéder 1 mois.Les données relatives à gestion de la paie ou au contrôle des horaires des salariés peuvent être conservées pendant 5 ans.Les données figurant dans un dossier médical doivent être conservées 10 ans à compter de la consolidation du dommage.La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées. Par exemple, lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement.
Biométrie au travail illégale : sanction de 10.000 euros La société ASSISTANCE CENTRE D’APPEL est spécialisée dans la télésurveillance d’ascenseurs et de parkings. Lors d’un contrôle dans ses locaux fin 2016, la CNIL a constaté que la société avait mis en place un dispositif de pointage biométrique (par recueil de l’empreinte digitale) à des fins de contrôle des horaires des salariés, sans autorisation préalable. Elle a également constaté qu’un dispositif d’enregistrement des appels téléphoniques fonctionnait sans que les salariés et les interlocuteurs n’en soient informés. Enfin, il a été constaté que les postes de travail n’étaient pas suffisamment sécurisés par des mots de passe robustes ou un verrouillage automatique. Malgré plusieurs échanges avec la société, un second contrôle effectué dans les locaux début 2018 a révélé que certains manquements persistaient. Une procédure de sanction a été engagée.
RGPD : Salariés et cadres, comment faire valoir votre droit d’accès à vos données personnelles ? Maître Frédéric Chhum, Avocat et Marion Simone, Elève-avocate. A la fin du présent article, nous proposons, pour les salariés, deux lettres-types de demande de droit d’accès à vos données personnelles. 1) Étendue du droit d’accès aux données personnelles pour les salariés (art 15 RGPD et article 70-19 de la loi du 20 juin 2018). L’article 4 du RGPD définit « les données à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable. [3] Aux termes de l’article 4 du RGPD est réputée être une personne physique identifiable, toute personne qui peut être identifiée : directement : o nom, prénom, o image, o vidéo indirectement : o numéro d’identification, o données de localisation, o des données de connexion de son poste de travail (dès lors qu’elles permettent d’identifier le salarié, par exemple, les connexions à une boîte mail professionnelle nominative) Ainsi, un salarié a droit d’accéder aux données relatives à : son recrutement ; son historique de carrière ; sa rémunération ; son dossier disciplinaire.
The right of access in GDPR: What are the debates? – Open Rights Group The right of access to personal information, codified in Article 15 of GDPR, is one of the key elements of the European data protection framework, enabling the exercise of other rights and providing for the fundamental “right to data”. This right is set to expand, as GDPR removes several practical barriers to its exercise, such as the payment of fees. This new situation presents some potential challenges, particularly for organisations implementing automated tools to support the exercise of the right. Third parties The use of third parties for subject access requests (SARs) is fairly common, for example solicitors acting on behalf of their clients. The removal of the associated fees in GDPR will almost certainly trigger a huge increase in the use of bulk third party SARs as part of a growing contestation of data practices. Many of the tools we discuss in the report facilitate SARs in ways that do not require the third party to make the request. Coordination of subject access requests
Les droits des patients Fermer En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies ou autres traceurs pour réaliser des statistiques de visites et obtenir des informations sur votre parcours de navigation afin d’améliorer nos contenus et votre expérience utilisateur. Pour en savoir plus Exemple d’information pour un dispositif de vidéosurveillance sur les lieux de travail Objet du traitement (finalité et base légale) : La société ABCD dont le siège est situé à CONFIANCE (96 000) – Rue de la Transparence a placé ses locaux sous vidéosurveillance vidéosurveillance Les dispositifs dits de « vidéosurveillance » concernent des lieux non ouverts au public (locaux professionnels non ouverts au public comme les bureaux ou les réserves des magasins) et sont soumis aux dispositions de la loi « Informatique et Libertés...> En savoir plus afin d’assurer la sécurité de son personnel et de ses biens. La base légale base légale La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de collecter ou d'utiliser des données personnelles. du traitement est l’intérêt légitime (cf. article 6.1.f) du Règlement européen sur la protection des données). Données et catégories de personnes concernées : Les employés de la société ABCD sont filmés par le dispositif. Destinataires : Durée de conservation : Droits des personnes :
Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) ANNEXERÉFÉRENTIEL DE CERTIFICATION DES COMPÉTENCES DU DÉLEGUÉ À LA PROTECTION DES DONNÉES (DPO)Catégorie 1. Conditions préalables à remplir par le candidat à la certification Exigence 1.1. Pour pouvoir accéder à la phase d'évaluation, le candidat remplit l'une des conditions préalables suivantes : - justifier d'une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s'agissant de la protection des données personnelles ; ou- justifier d'une expérience professionnelle d'au moins 2 ans ainsi que d'une formation d'au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation. Catégorie 2. Exigence 2.1.
Le droit d'accès : connaître les données qu’un organisme détient sur vous Comment faire concrètement ? Identifier l’organisme à contacter Vous pouvez retrouver les coordonnées de l’organisme sur la page d’information réservée à l’exercice de vos droits sur le site internet de l’organisme (« politique confidentialité », « vie privée », « mention légales », etc). Si vous rencontrez des difficultés pour obtenir les coordonnées du délégué à la protection des données ou de l’organisme, consultez notre fiche pratique. Exercer votre droit d’accès auprès de l’organisme Vous pouvez exercer votre demande de droit d’accès par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.), ou par courrier par exemple. Si votre demande est formulée par voie électronique, l’organisme vous répondra par voie électronique, sauf si vous demandez à ce qu’il en soit fait autrement (par exemple par courrier postal). L’exercice de ce droit est gratuit. Conserver une copie de vos démarches Vous exercez cette démarche par courrier ?
Guidance for practitioners who have received a subject-access request Once you have collected together the information we hold about a data subject you must examine it in detail to establish if it should be disclosed. This must be done on a case-by-case basis for each individual piece of information. In some cases you might have to disclose only parts of particular documents. How to blank out exempt and/or irrelevant information When answering a subject access request you may have to blank out parts of a document which are not liable for disclosure. Hard copy documents Print out the document or, if it is a paper record, make a photocopy. Electronic documents Using the highlighter tool, highlight the exempt information in black. Check the data subject Check that the record is actually about the person concerned and not about someone else with the same name. You should only print out documents or emails which are about the person making the subject access request. Screen out duplicate records Obtain consent from staff acting in a private capacity Model letters pack
Dossier médical Destinataires de la demande La demande est adressée : Au professionnel de santé (pour les professionnels libéraux)Ou au directeur de l'établissement détenteur. Modèle de lettres Des modèles de lettres existent : Demander la consultation de son dossier médical Envoi de la demande de consultation du dossier médical Cette demande peut être faite par lettre recommandée avec accusé de réception ou courriel. Votre identité est vérifiée notamment grâce à une carte d'identité ou un passeport. Consultation du dossier médical Le droit d'accès est exercé par vous, titulaire(s) de l'autorité parentale. Si votre enfant mineur le demande, cet accès peut avoir lieu par l'intermédiaire d'un médecin. Modes de consultation du dossier médical Vous choisissez le mode de consultation : sur place ou par envoi de copie. Sur place La consultation peut être faite sur place. Les copies remises sont faites sur le même support que celui utilisé par : Le professionnel de santéL'établissement de santéL'hébergeur. Par courrier À noter
RGPD: L’exigence de conservation des données pendant une durée pertinente L’article 6, 5° de la LIL dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Il ressort de ces deux textes que la durée de conservation des données à caractère personnel ne saurait être illimitée. Elle doit être proportionnée à la finalité du traitement. Toute la question est alors de savoir comment déterminer une durée adaptée à la conservation des données à caractère personnel traitées. A l’examen, il apparaît que le législateur a posé un principe assorti de plusieurs dérogations. §1 : Le principe A l’examen, la détermination de la durée de conservation des données à caractère personnel suppose de s’interroger sur quatre points : A) Sur le point de départ de la durée de conservation B) Sur le cycle de conservation des données 2. 2. WordPress: