Article 25 du RGPD

Responsable du traitement et sous-traitant

Ce que dit le RGPD :

1.  Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2.  Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.

3.  Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Que doit-on en comprendre ?

Des exemples de sanctions dans le cadre de cet article

16700000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Wind Tre Spa
12251601
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Vodafone Italia Spa
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
2520000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Mercadona Sa
2500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Deliveroo Italie Srl
1500000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Edp Comercializadora, Sau
1500000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Edp Energía, Sau
800000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Iliad Italia Spa
200000
Autorité hellénique de protection des données (HDPA)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fournisseur De Services De Télécommunications
200000
Autorité hellénique de protection des données (HDPA)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fournisseur De Services De Télécommunications
130000
Autorité nationale roumaine de contrôle du traitement des données personnelles (ANSPDCP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Unicredit Bank Sa
90000
Autorité de protection des données d'Irlande
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Bureau De Crédit Irlandais Dac
80000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Spa Du Groupe Planet
75000
Médiateur adjoint pour la protection des données
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Parkkipate Oy
55400
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Robinson Tours Ltd. (robinson Tours Idegenforgalmi És Szolgáltató Kft.)
54800
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Deichmann Cipőkereskedelmi Korlátolt Felelősségű Társaságnak
50000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Service À La Famille / Ndpk Nv.
40000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Comune Di Palermo
40000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Aéroport Guglielmo Marconi Di Bologna Spa
28400
Autorité nationale hongroise pour la protection des données et la liberté d'information (NAIH)
Contexte :
Exécution insuffisante des droits des personnes concernées
En cause :
Magyar Telekom Nyrt.
22200
Office national polonais de protection des données personnelles (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Krajowa Szkoła Sądownictwa I Prokuratury
14000
Autorité nationale roumaine de contrôle du traitement des données personnelles (ANSPDCP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Hora Credit Ifn Sa
5113
Commission pour la protection des données personnelles (KZLD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Fournir Des Services De Télécommunication
5000
Autorité hellénique de protection des données (HDPA)
Contexte :
Exécution insuffisante des droits des personnes concernées
En cause :
Kariera Ae
2860
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Entreprise Inconnue

S'inscrire à la newsletter de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre
En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil qui permettent d'améliorer la navigation du site, analyser les statistiques et nous soutenir dans nos efforts marketing. N'hésitez pas à consulter notre Politique de confidentialité pour toute information complémentaire.