Découvrez nos solutions sans obligation d’achat
Le Conseil européen de la protection des données a publié un nouveau rapport sur la législation en matière de protection des données qui pourrait vous être utile dans le cadre du débat actuel sur les exigences légales relatives aux contrôleurs de la protection des données. Sources : 10]
Les organisations doivent obligatoirement nommer un contrôleur de la protection des données (DPD) qui opérera sous trois conditions : l’organisation est une autorité publique, elle est engagée dans le suivi systématique des individus et traite des données personnelles sensibles à grande échelle. En tant qu’exigence obligatoire, un contrôleur de la protection des données (« DPD ») sera nommé dans les organisations qui traitent des données ou des personnes concernées à grande échelle. Il convient de noter qu’une organisation qui ne désigne pas le DPD doit fournir des preuves expliquant pourquoi elle n’a pas besoin de le désigner ou de l’engager. Si une organisation effectue ou doit effectuer la collecte, le traitement, le stockage, l’analyse, la gestion ou la gestion de données sensibles, ou s’il s’agit d’autorités publiques, elle doit également désigner un « contrôleur de la protection des données » (DPD). Si l’organisation nomme un DPO, elle doit être légalement obligée de le faire dans l’une des conditions suivantes. [Sources : 6,16,15,0]
Pour qu’un contrôleur de la protection des données soit requis par la loi, l’organisation doit s’assurer qu’elle dispose d’un personnel et de ressources suffisants pour répondre aux exigences de la loi européenne sur la protection des données. [Sources : 3]
Si les délégués à la protection des données peuvent être employés par les contrôleurs, ils peuvent également être employés par les responsables du traitement. Veillez à ce qu’ils s’acquittent de leurs tâches et de leurs fonctions de manière indépendante ; ils doivent coopérer avec le marketing, les ressources humaines et le droit, ainsi qu’avec d’autres unités organisationnelles impliquées dans le traitement des données personnelles. L’idéal est que vous ayez votre propre délégué à la protection des données, qui est responsable de vos mesures de protection des données, telles que la collecte, le traitement et l’administration des données personnelles. Sources : 17,14,2]
Si votre organisation fait partie d’un groupe, vous pouvez nommer un seul délégué à la protection des données qui est accessible à et pour l’organisation. Si votre organisation fait partie d’un ou de plusieurs de ces trois groupes, vous pouvez désigner un délégué à la protection des données externe ou une personne extérieure à l’entreprise. Sources : 8,14]
Si cela est exigé par le GDPR, le fait de ne pas nommer un délégué à la protection des données pourrait être considéré comme une violation des règles de protection des données et pourrait être sanctionné par une amende. Bien que la nomination d’un délégué à la protection des données ne soit obligatoire que dans certaines circonstances, ces circonstances peuvent être mentionnées dans le règlement. Sources : 5,16]
Vous pouvez avoir la possibilité de nommer un délégué à la protection des données pour assurer la conformité avec le GDPR. L’article 37 exige qu’un contrôleur de la protection des données ait accès à une liste spécifique de références pour son travail. Bien que le GDPR ne contienne pas de liste spécifique pour les références du délégué à la protection des données, il exige que celui-ci ait au moins deux ans d’expérience dans le domaine de la sécurité et de la protection des données, ainsi qu’un certain nombre d’heures de formation et d’expérience. La DG PRP ne contient pas de listes spécifiques des références des DPO, et n’exige pas non plus qu’ils aient une formation, une expérience ou une connaissance spécifique du droit européen des données et des règles de protection des données. Sources : 9,0,13]
La section 47 de la loi permet à une organisation de nommer un délégué à la protection des données dans certaines circonstances. Sources : 10]
La loi allemande sur la protection des données exige que les organisations comptant dix employés ou plus qui traitent des données personnelles de façon permanente désignent un délégué à la protection des données. Sources : 7]
Si les activités principales de l’organisation commerciale sont dans une large mesure liées au traitement de catégories spécifiques de données, il est nécessaire d’avoir un délégué à la protection des données pour le traitement et la gestion des données. La responsabilité du délégué à la protection des données réside dans la définition des données personnelles qui représentent l’entreprise », déclare Hans-Heinz Schmitt, directeur général du Préposé fédéral à la protection des données. Indépendamment, le contrôleur de la protection des données s’assure que l’organisation applique correctement les lois protégeant les données personnelles. Il effectue des évaluations internes de la protection des données, se tient au courant des lois et des pratiques en matière de protection des données, veille à ce que les autres questions liées à la protection des données soient à jour et, entre autres, s’assure que les droits personnels de tous les employés sont respectés. Sources : 17,4,12,18]
S’il n’y a personne, le contrôleur de la protection des données doit bien sûr être consulté et impliqué si une évaluation d’impact sur la protection des données (EIPD) est nécessaire. Sources : 14]
Des protocoles doivent être établis pour garantir que le contrôleur de la protection des données se conforme au GDPR. La nomination d’un contrôleur de la protection des données doit inclure toutes les dispositions pertinentes en matière de protection des données et doit connaître les exigences juridiques pertinentes pour la protection des données personnelles en vertu de la législation européenne sur la protection des données. Sources : 11,5]
Le contrôleur de la protection des données a un certain nombre de tâches et de responsabilités qui doivent être remplies d’une manière compatible avec les règles du GDPR. Il doit être en mesure de faire son travail sans subir de pression de la part d’autres personnes de l’entreprise pour faire les choses d’une certaine manière. [Sources : 17,1]
Sources:
[0] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
[1] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/
[2] : https://dataprivacymanager.net/who-is-a-data-protection-officer-roles-and-responsibilites/
[3] : https://medium.com/golden-data/what-is-a-data-protection-officer-under-eu-law-9fe9c5dd9d17
[4] : https://searchdatamanagement.techtarget.com/feature/Data-protection-officer-responsibilities-and-role-importance
[5] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/germany
[6] : https://www.pwc.com/us/en/services/consulting/cybersecurity-privacy-forensics/library/data-protection-officer-10-considerations.html
[7] : https://www.itgovernance.co.uk/data-protection-officer-dpo-under-the-gdpr
[8] : https://dataprivacymanager.net/does-my-company-or-business-appoint-a-data-protection-officer-dpo/
[9] : https://www.wordstream.com/blog/ws/2017/09/28/eu-gdpr
[10] : https://www.odpa.gg/information-hub/organisations/data-protection-officers/
[11] : https://hjsolicitors.co.uk/article/does-my-business-need-a-data-protection-officer/
[12] : https://cybersecurityguide.org/careers/data-protection-officer/
[13] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
[14] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
[15] : https://seersco.com/articles/data-protection-officer/
[16] : https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/
[17] : https://www.websitepolicies.com/blog/data-protection-officer
[18] : https://www.investopedia.com/terms/d/data-protection-officer-dpo.asp