GDPR: Lois sur la confidentialité des données dans les services financiers

Mon précédent billet de blog traite des raisons de la réglementation et des exigences associées au Département des services financiers de l'État de New York (NYDFS) 23 NYCRR 500. Dans ce blog, je m'adresse au Règlement général sur la protection des données (GDPR) et à tous les autres. les réglementations qui l'accompagnent

Le règlement général sur la protection des données (RPGD) est un règlement de l'Union européenne (UE) sur la protection des données et de la vie privée pour tous les individus au sein de l'Union. Le GDPR vise à donner aux individus le contrôle de leurs données personnelles identifiables et à simplifier l'environnement réglementaire des entreprises internationales en unifiant la réglementation au sein de l'UE. Il est entré en vigueur le 25 mai 2018.

Comment le GDPR permet aux individus de contrôler leurs données:

Champ d'application

Le GDPR s'applique si le responsable du traitement (une organisation qui collecte des données auprès de résidents de l'UE), ou les données processeur (une organisation qui traite des données pour le compte d'un responsable du traitement), ou la personne concernée (personne) est basée dans l'UE. Dans certaines circonstances, le règlement s'applique également aux organisations basées en dehors de l'UE si elles collectent ou traitent des données à caractère personnel d'individus situés à l'intérieur de l'UE.

L – Base de traitement complexe

Les données personnelles d'un individu peuvent ne pas être traité sauf s’il a donné son consentement éclairé ou s’il existe une base légale pour le faire.

Responsabilité et obligation redditionnelle

Il incombe au responsable du traitement de données de démontrer le respect du RGPD en mettant en œuvre des mesures efficaces qui répondent aux principes de la protection des données, même si le traitement est effectué par un processeur de données pour le compte du responsable du traitement.

Protection des données par conception et par défaut

La protection des données doit être intégrée dans le développement de processus d’entreprise pour les produits et services. . Les paramètres de confidentialité doivent être définis par défaut à un niveau élevé et le responsable du traitement doit prendre des mesures techniques et procédurales pour s'assurer que le traitement est conforme au règlement pendant tout le cycle de vie du traitement.

Pseudonymisation

le processus requis lorsque des données personnelles sont stockées, pour transformer les données de telle sorte que les données obtenues ne puissent pas être attribuées à une personne concernée sans l'utilisation d'informations supplémentaires. Un exemple est le cryptage, qui rend les données d'origine incompréhensibles et le processus ne peut pas être inversé sans la clé de décryptage correcte.

Droit d'accès

Les citoyens de l'UE ont le droit d'accéder à leurs données et informations personnelles concernant le traitement de ces données. être en cours de traitement. Le responsable du traitement doit fournir, sur demande, une copie des données réelles et informer la personne concernée des détails du traitement, tels que les finalités du traitement, les personnes avec lesquelles les données sont partagées et la manière dont elle les a acquises. [19659006] Droit à l’effacement

La personne concernée a le droit de demander l’effacement des données à caractère personnel qui les concernent.

Enregistrement des activités de traitement

Les responsables du traitement de l’information doivent conserver des enregistrements des activités de traitement comportant des objectifs de traitement, les catégories concernées. et délais prévus. Les dossiers doivent être mis à la disposition de l'autorité de contrôle sur demande.

Responsable de la protection des données

Un responsable de la protection des données, possédant une connaissance approfondie du droit et des pratiques en matière de protection des données, doit être désigné pour assister le responsable du traitement ou le sous-traitant. dans le contrôle de leur conformité interne avec le règlement.

Violation de données

Le responsable du traitement doit informer l'autorité de contrôle et les particuliers dans les 72 heures suivant avoir eu connaissance d'une violation de données, sauf si cette violation ne risque pas de présenter un risque pour le Droits et libertés des personnes.

Sanctions

Le non-respect de la réglementation peut entraîner une amende pouvant atteindre 20 millions de dollars, soit 4% du chiffre d'affaires mondial réalisé au cours de l'exercice précédent.

Pour des informations sur les lois et réglementations du NYDFS 500 et du RGPP sur le secteur des services financiers, veuillez télécharger notre guide ici ou cliquez ci-dessous.