L’une des plus grandes questions en amont du GDPR, qui entrera en vigueur le 25 mai 2018, est de savoir si les organisations ont besoin d’un contrôleur de la protection des données. Les règles relatives aux conflits d’intérêts s’appliquent à la désignation d’une personne nommée si une organisation caritative n’est pas tenue d’avoir un DPD, mais une organisation peut être tenue de le faire. Pour en avoir un, l’organisme caritatif doit se conformer aux règles et réglementations applicables. Sources : 1,2,16]
Un contrôleur de la protection des données doit être décrit comme une personne qui assume la responsabilité de la conformité à la protection des données et dont le rôle se situe n’importe où dans la structure et les dispositions de gouvernance de l’organisation. Un contrôleur de la protection des données ferait toujours partie de l’équipe, serait le représentant et la personne à contacter pour toutes les questions liées à la protection des données qui pourraient affecter la conformité au GDPR ou à d’autres règles et règlements pertinents. Sources : 0,2]
Découvrez nos solutions sans obligation d’achat
Si un membre de l’équipe de protection des données a des questions ou des préoccupations concernant une demande d’informations sur la conformité au GDPR ou à d’autres règlements pertinents, il sera contacté par les membres de notre équipe de protection des données. Le Contrôleur de la protection des données s’assurera alors que la demande est justifiée avant de répondre, et demandera l’aide du Conseil d’administration et de nos conseillers juridiques si nécessaire. Sources : 7,3,9]
Le contrôleur de la protection des données aidera les associations caritatives à s’assurer que leurs campagnes et la gestion des bénévoles sont conformes aux exigences du GDPR. Sources : 12,4,8]
Un délégué à la protection des données est un expert indépendant chargé de contrôler le respect du GDPR par une organisation. En vertu de l’article 37 du GDPR, un contrôleur de la protection des données est le PDG d’une entreprise qui collecte des données personnelles de citoyens de l’UE. Il appartient à l’entreprise de décider de nommer ou non un délégué à la protection des données, mais conformément aux obligations existantes en vertu de l’article 28 de la DG PR, les entreprises du groupe peuvent nommer un seul délégué à la protection des données pour une seule organisation. Sources : 8,5,10,10]
Un délégué à la protection des données interne est nommé par un employé, un délégué à la protection des données externe par le directeur général de l’organisation ou par un employé senior responsable de la protection des données et de la conformité. Sources : 10]
Pour la plupart des organisations, il sera essentiel de nommer un contrôleur de la protection des données à plein temps. La nomination d’un délégué à la protection des données est nécessaire mais pas réalisable pour toutes les organisations caritatives, car le coût de l’hébergement d’un délégué à la protection des données pourrait coûter aux organisations caritatives jusqu’à 36 000 £ par an. Cet effort pourrait paralyser le bon travail et les réalisations des délégués à la protection des données, qui sont nécessaires pour une variété d’organismes de bienfaisance, notamment les écoles, les hôpitaux, les associations caritatives et les organismes de bienfaisance ayant des fondations caritatives. Sources : 8,13]
L’embauche d’un délégué à la protection des données externe dans le cadre d’un contrat de service est probablement la meilleure option pour les organismes caritatifs. Les organisations à but non lucratif disposant d’un budget plus modeste peuvent préférer consulter une fois un délégué à la protection des données ou rechercher une personne qualifiée dans le domaine de la protection des données et disposée à siéger au conseil consultatif de l’organisation. Sources : 1,17]
Dans certains cas, ce rôle peut être confié à des tiers qui assumeront une certaine responsabilité et représenteront l’organisme dans le cadre des obligations et des demandes en matière de protection des données. Dans d’autres cas, l’organisation pourrait demander de l’aide pour montrer comment elle se conforme à la loi sur la protection des données, par exemple pour les données qu’elle partage avec une autre organisation. Les entreprises peuvent également désigner un délégué à la protection des données pour aider à assurer la conformité à la protection des données, comme le recommande la CNIL, l’autorité française de protection des données. Il existe des obligations légales, mais les organisations caritatives ne devraient pas avoir trop à faire – la loi sur la protection des données exige déjà que les données soient traitées de manière équitable et légale. Sources : 8,10,14,15]
Par exemple, la politique de confidentialité d’une organisation caritative devrait inclure une exigence selon laquelle les employés impliqués dans la collecte de données personnelles ne collectent que le minimum requis. Sources : 6]
Un délégué à la protection des données (DPD), qui peut être désigné par l’entreprise, est chargé de surveiller le traitement des données personnelles, d’informer et de conseiller le personnel qui les traite et de l’informer de ses devoirs. Les tâches du délégué à la protection des données comprennent le respect des lois pertinentes en matière de protection des données, le contrôle de l’utilisation des données par les employés et de leur accès aux données, ainsi que la coopération avec les autorités de contrôle. Lorsqu’un délégué à la protection des données est nommé, ses supérieurs doivent publier ses coordonnées et communiquer régulièrement avec les délégués à la protection des données et les autorités. Il est chargé de contrôler le respect des exigences du GDPR par tous les employés et leur conformité, comme la collecte, le traitement et le stockage des données personnelles. [Sources : 10,11,10,5]
Le contrôleur de la protection des données doit être correctement et rapidement impliqué dans toutes les questions relatives à la protection des données personnelles, telles que la collecte, le traitement et le stockage des données. Sources : 10]
Sources :
- 0] : https://supportingcommunities.org/gdpr
- 1] : https://ep-uk.org/does-my-charity-need-a-data-protection-officer/
- 2] : https://blogs.ncvo.org.uk/2018/04/09/does-my-organisation-need-a-data-protection-officer/
- 3] : https://www.charitiesinstituteireland.ie/data-protection-policy
- [4] : https://www.goodbox.com/2020/11/gdpr-for-charities/
- [5] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
- [6] : https://shop.melearning.co.uk/gdpr-training-charities/
- [7] : https://www.ri.org/data-protection-policy/
- [8] : https://kazient.co.uk/what-is-a-data-protection-officer-and-does-your-charity-need-one/
- [9] : https://www.kingsleynapley.co.uk/insights/blogs/litigation-for-charities-blog/ico-enforcement-action-key-considerations-for-charities-in-the-gdpr-era
- [10] : https://gdpr-info.eu/issues/data-protection-officer/
- [11] : https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_en.htm
- [12] : https://www.wheel.ie/advice-guidance/managing-your-organisation/regulation/data-protection-gdpr
- [13] : https://www.charityconnect.co.uk/post/does-your-charity-need-a-data-protection-officer/2715
- [14] : https://www.nicva.org/data-protection-toolkit/templates/data-protection-policy
- [15] : https://www.theguardian.com/voluntary-sector-network/2017/may/05/gdpr-charities-prepare-eu-data-protection-changes-consent-fundraising
- [16] : https://www.withersworldwide.com/en-gb/insight/charities-data-protection-officers-gdpr-where-are-we-now
- [17] : https://www.boardeffect.com/blog/will-gdpr-affect-nonprofit/