Mijn GDPR dossier
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire.
Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Votre dossier devra notamment comporter les éléments suivants :
- L'information :
- Les coordonnées du responsable de traitement et de son éventuel Délégué à la Protection des Données (DPO)
- La politique vie privée de l’entreprise
- Les politiques internes propres à l’entreprise
- Le registre des traitements : Celui-ci comprendra à minima les informations suivantes :
- les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
- les catégories de données traitées,
- à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
- combien de temps vous les conservez,
- comment elles sont sécurisées.
- Les contrats qui définissent les rôles et les responsabilités des acteurs
- Les contrats avec les sous-traitants
- Les contrats avec les collaborateurs
- Les procédures internes en cas de violations de données
- Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
A. Voorstelling bedrijf
Grootte van het bedrijf
Sector
Details
A. Voorstelling bedrijf
DPO (Data Protection Officer of functionaris gegevensbescherming)
| Ja | Nee | ? | |
|---|---|---|---|
| De verwerkingsverantwoordelijke beschikt over een Data Protection Officer (DPO). Dit kan iemand van het bedrijf zelf of een externe persoon zijn. |
B. Bewustmaking (“Awareness”)/Aansprakelijkheid (“Accountability”)
Avez-vous des collaborateurs salariés ?
Wat is het bewustzijnsniveau van uw bedrijf?
| Ja | Nee | |
|---|---|---|
| Heeft de verwerkingsverantwoordelijke zijn voltallige personeel geïnformeerd over de nieuwe eisen van de GDPR (bewustmakingscampagne/"awareness campaign")? Deze informatie kan via e-mail, tijdens een vergadering of op een andere manier gecommuniceerd zijn. Om conform te worden is de hulp van het bedrijf nodig en is een goede bewustmaking essentieel. |
B. Bewustmaking (“Awareness”)/Aansprakelijkheid (“Accountability”)
Avez-vous un site web accessible au public?
Avez-vous un site e-commerce ?
Présence sur les réseaux sociaux ?
Avez-vous une application mobile ?
Wat is het bewustzijnsniveau van uw bedrijf?
| Ja | Nee | ? | |
|---|---|---|---|
| De verwerkingsverantwoordelijke beschikt over een Privacyverklaring/Privacybeleid/Privacyclausule die gemakkelijk toegankelijk is voor het publiek. Dit document is gemakkelijk te begrijpen voor de lezer. Het is opgesteld in een duidelijke taal en is nagekeken door een jurist, een advocaat of een andere persoon met de juiste juridische vaardigheden. | |||
| Récoltez-vous des données personnelles en ligne ? |
C. Verzamelen van persoonsgegevens
C. Verzamelen van persoonsgegevens
| Ja | Nee | ? | |
|---|---|---|---|
| De verwerkingsverantwoordelijke heeft een audit laten uitvoeren om de gegevensstromen in kaart te brengen en hij beschikt al over een duidelijk en compleet overzicht van alle gegevens die hij gebruikt of heeft gebruikt. Concreet betekent dit dat de verantwoordelijke weet waar zijn gegevens zich bevinden, welke gegevens het zijn, waarom ze worden verzameld, wie toegang heeft tot de gegevens, enz. | |||
| De verwerkingsverantwoordelijke heeft een intern beleid opgesteld om er zeker van te zijn dat de verzamelde gegevens adequaat, nodig en niet overdreven zijn ten opzichte van de doeleinden die worden nagestreefd door de verwerkingen. | |||
| De verwerkingsverantwoordelijke heeft een beleid opgesteld rond gegevensbewaring met het doel de persoonsgegevens die niet meer nodig zijn regelmatig te verwijderen. |
D. Juridische basis/Grondslag
D. Juridische basis/Grondslag
| Ja | Nee | ? | |
|---|---|---|---|
| Verzamelt de verwerkingsverantwoordelijke de gegevens op geoorloofde wijze? Heeft hij de juridische basis van al zijn verwerkingsactiviteiten laten controleren (en gedocumenteerd)? NB: De juridische basis van de verwerking is essentieel. Het verzamelen van de gegevens kan gebeuren op basis van een toestemming van de persoon, de uitvoering van een contract, om te voldoen aan een wettelijke verplichting, de opslag van een essentieel belang, voor een opdracht van algemeen belang of voor de verwezenlijking van de rechtmatige belangen van de verwerkingsverantwoordelijke. | |||
| Indien de toestemming van de betrokkene gevraagd wordt, kent de verwerkingsverantwoordelijke dan de manier waarop de toestemming verkregen is en heeft hij daar het bewijs van? | |||
| De verwerkingsverantwoordelijke heeft een systeem waarmee de toestemmingen voortdurend kunnen opgeslagen en beheerd worden. | |||
| Heeft de verwerkingsverantwoordelijke een belangenafweging laten uitvoeren wanneer de juridische basis van de verwerkingsactiviteit zijn rechtmatige belangen zijn? |
H. Specifieke verwerkingen
H. Specifieke verwerkingen
| Ja | Nee | ? | |
|---|---|---|---|
| Verzamelt en verwerkt de verwerkingsverantwoordelijke gevoelige gegevens (zoals gezondheidsgegevens, religieuze overtuiging, seksuele geaardheid, ras of etnische afkomst, politieke overtuiging, lidmaatschap bij een vakbond) of specifieke gegevens (genetische gegevens, gegevens met betrekking tot strafbare feiten, veroordelingen, enz., biometrische gegevens, enz.) in de zin van de GDPR? | |||
| Biedt de website van de verwerkingsverantwoordelijke diensten aan voor kinderen? De GDPR laat aan lidstaten toe om de in aanmerking te nemen leeftijd vast te stellen (zo werd in België bijvoorbeeld de leeftijd van 13 jaar voorgesteld door de Belgische wetgever). |
I. Rechten van de betrokkenen
I. Rechten van de betrokkenen
| Ja | Nee | ? | |
|---|---|---|---|
| Kan de verwerkingsverantwoordelijke vanaf nu voldoen aan alle vragen van de betrokkenen? In het kader van de GDPR hebben de betrokkenen effectief bepaalde rechten met betrekking tot de verwerking van hun gegevens: recht op informatie, recht op inzage en kopiëren van gegevens, recht op rectificatie, recht op verzet, recht op beperking van de verwerking, recht op uitwissing/vergetelheid van gegevens, recht op overdraagbaarheid. | |||
| De verwerkingsverantwoordelijke heeft een procedure opgesteld waarmee continu kan worden geverifieerd of de bijgehouden persoonsgegevens correct en up-to-date zijn. |
E. Beveiliging van de gegevens
E. Beveiliging van de gegevens
| Ja | Nee | ? | |
|---|---|---|---|
| De verwerkingsverantwoordelijke heeft gepaste maatregelen getroffen om de persoonsgegevens te beschermen tegen verlies of diefstal wanneer deze naar een derde worden doorgestuurd. | |||
| Beschikt de verwerkingsverantwoordelijke over maatregelen/een procedure om de beveiligingslekken te melden aan de instanties en/of de betrokkenen? |
F. Onderaannemers
F. Onderaannemers
| Ja | Nee | ? | |
|---|---|---|---|
| De contracten die de verwerkingsverantwoordelijke met de onderaannemers heeft afgesloten, zijn conform de GDPR. Ze zijn dus recent nagekeken en omvatten bepalingen die de relatie omkaderen (doel waarvoor de gegevens gecommuniceerd worden, verantwoordelijkheid van de partijen, enz. | |||
| Verwerkt het bedrijf persoonsgegevens namens en in opdracht van andere bedrijven (het bedrijf treedt dus op als onderaannemer en niet meer als verwerkingsverantwoordelijke)? |
G. Andere contracten
G. Andere contracten
| Ja | Nee | ? | |
|---|---|---|---|
| Heeft de verwerkingsverantwoordelijke al zijn contracten laten nakijken (arbeidsovereenkomst en/of arbeidsreglement, leveranciers, algemene verkoopvoorwaarden, enz.) om te controleren of deze GDPR-conform zijn? |
K. Overdracht buiten de Europese Unie
K. Overdracht buiten de Europese Unie
| Ja | Nee | ? | |
|---|---|---|---|
| Stuurt de verwerkingsverantwoordelijke de verzamelde persoonsgegevens door buiten de EU? |