Appendice : Accord de traitement des données

Le contrôleur de données doit définir un Accord de traitement des données avec toute personne tierce avec laquelle il partage des données de vidéosurveillance, hormis le partage de multimédia de vidéosurveillance avec les autorités.

Si une entreprise sous-traite toutes ou une parties de ses activités de vidéosurveillance à un tiers (un traitement de données), elle demeure responsable du respect du RGPD en tant que contrôleur de données. Par exemple, les gardes de la sécurité en charge de la surveillance vidéo en direct dans la zone de réception d'une institution travaillant pour une entreprise privée avec laquelle l'institution sous-traite la tâche de la surveillance en direct. Dans ce cas, l'institution doit s'assure que les gardes de la sécurité réalisent leurs activités conformément aux prévisions du RGPD.

Pour un modèle d'exemple d'un accord de traitement des données, voir le modèle Milestone Accord de traitement des données.

Exonération de responsabilité : Le modèle de l'Accord de traitement des données doit être vérifié par le contrôleur de données. Il est responsable de la conformité de ce modèle au RGPD.