Obligations des services responsables
Un service est un service responsable s'il détermine pour son propre compte les finalités et les moyens du traitement des données à caractère personnel auquel il procède.
Lorsque plusieurs services définissent des finalités ou des moyens différents pour une opération de traitement donnée, chaque service sera considéré comme un service responsable de l'opération de traitement pour laquelle il a défini des finalités ou des moyens.
Lorsque les finalités et les moyens sont déterminés conjointement par plusieurs services, ces services seront conjointement considérés comme services responsables de l'opération de traitement.
En tant que service responsable, vous devez vous assurer que le traitement des données personnelles qui a lieu sous votre responsabilité est conforme à la CO 11.
En pratique, cela signifie que:
- Vous devez vous assurer que
- les principes de base du traitement des données sont respectés
- il existe une base légale valide
- une exception applicable est présente dans le cas où vous devez traiter des données personnelles sensibles
- Vous documentez le traitement dans un registre des opérations de traitement (RoPO) et que vous publiez l'avis de confidentialité correspondant sur des formulaires, des pages Web, etc. afin que les personnes concernées puissent facilement trouver ces informations.
- Vous effectuez une évaluation de l'impact sur la confidentialité des données, le cas échéant.
- Vous appliquez l'approche de confidentialité des données dès la conception et par défaut lorsque vous consevez ou revisez des opérations de traitement, et documentez en détail les considérations de protection de données qui ont été prises en compte dans ce contexte.
- Vous traitez les demandes des personnes qui demandent à exercer leurs droits de personne concernée.
- Vous prenez les mesures nécessaires pour notifier les violations de la sécurité des données, en collaboration avec l'ODP.