Pourquoi nommer un DPD ?

La nomination d’un délégué à la protection des données apparaît dans de nombreux articles, donc il faut commencé à faire des recherches et à préparer au GDPR. J’ai mentionné l’importance de nommer le délégué à la protection des données d’une entreprise du groupe ou d’une entreprise comptant un grand nombre d’employés, à condition que cette personne soit facilement accessible. Lorsque vous nommez un DPOO pour votre groupe ou votre entreprise, il est important d’inclure une disposition détaillant comment vous pouvez contacter le DPOO afin de vous assurer qu’il est accessible à votre entreprise. Sources : 15,6,13]

Si votre organisation n’a pas besoin ou souhaite nommer un délégué à la protection des données, il est recommander qu’elle en documente les raisons. Vous devriez soumettre une lettre de D-POO de votre choix à l’autorité de protection des données de l’Union européenne (UE) ou à votre autorité locale de protection des données. [Sources : 12,16]

Le GDPR exige que les organisations qui en disposent participent aux analyses d’impact sur la protection des données qui sont réalisées lorsqu’un nouveau traitement a lieu. Comme son nom l’indique, il ne suffit pas de désigner le DPOO si nécessaire ; l’organisation doit remplir tous les aspects des dispositions régissant le rôle du DPOO. Le DPI doit être pleinement impliqué dans toutes les questions relatives à la protection des données à caractère personnel. Sources : 10,7]

Certaines organisations ont conclu que, en cas de nécessité absolue, aucun délégué à la protection des données ne devrait être nommé. Cela a incité certaines entreprises à reconsidérer leur approche et elles devront déterminer si elles ont vraiment besoin de nommer un délégué à la protection des données. Si c’est le cas, toutefois, l’entreprise doit encore préciser si elle embauchera ou nommera un autre DPD à l’avenir. Sources : 8,7,20]

D’autres ont décidé de ne pas nommer de délégué à la protection des données, mais ont clairement indiqué qu’il n’était pas nécessaire d’avoir un délégué à la protection des données dans leur organisation. Sources : 20]

D’autres, qui ne pensent pas avoir nécessairement besoin de nommer un délégué à la protection des données, prévoient tout de même de le faire afin d’établir une relation centrale et positive avec le régulateur. Cependant, sachez que même si vous choisissez le GDPR de votre choix, vous devez vous conformer aux exigences du GDPR, ce qui est essentiel pour certaines organisations qui nomment un GDPR. Les organisations qui ont nommé ou ne sont pas obligées de nommer des D-PO en vertu du GDPR doivent donc examiner attentivement ce que le maintien de ce rôle signifie en vigueur. Réfléchissez au travail qui est effectué en l’absence d’un délégué à la protection des données actuellement nommé et au travail que vous aurez dans votre organisation après l’avoir nommé. Sources : 4,12,0,22]

Si votre entreprise répond à la définition du DPO requis, il faut recommander la nomination d’un DPO. Si le GDPR ne prévoit aucune obligation de nommer un CPO ou un D-PO, vous pouvez trouver utile de nommer un DPO sur une base volontaire, tant que vous n’y êtes pas obligé. Sources : 19,1]

Si un employé existant est désigné comme contrôleur de la protection des données, il peut en désigner un autre, pour autant que ses fonctions professionnelles soient compatibles avec celles d’un contrôleur de la protection des données et n’entraînent pas de conflit d’intérêts. Plus important encore, les professions et les devoirs du DPo nouvellement nommé sont pleinement compatibles avec ceux du DPo, de sorte qu’ils n’entraînent pas de conflits d’intérêts, mais surtout, ils Non seulement cela, mais leurs devoirs professionnels en tant que DO sont pleinement conformes à leurs devoirs en tant que CPO en vertu du GDPR. [Sources : 11,2]

Si un employé a l’expérience nécessaire et que la nomination d’un délégué à la protection des données n’entre pas en conflit avec d’autres responsabilités, il a de bonnes chances d’être transféré à un autre délégué à la protection des données. [Sources : 5]

Toutefois, dans l’environnement commercial actuel, de nombreuses PME peuvent choisir de nommer un délégué à la protection des données dans l’optique des meilleures pratiques. Certaines organisations concluent des contrats pour les tâches du DPD sur la base d’un contrat de service avec une seule entreprise, la partie désignée en externe ayant les mêmes devoirs et responsabilités qu’un DPD désigné en interne. De nombreuses organisations peuvent avoir décidé d’engager des délégués à la protection des données pour plusieurs organisations dans le cadre d’un contrat de service. Au lieu d’engager un DPD dédié pour l’ensemble de leurs services, elles peuvent utiliser un DPD nommé en externe pour un petit nombre d’employés et en partager un pour plusieurs organisations. Sources : 18,14,17,0]

Certaines entreprises pensent qu’elles doivent nommer un délégué à la protection des données alors que ce n’est pas le cas, et certaines entreprises peuvent ne même pas y penser car elles n’ont pas besoin de lui pour se conformer au GDPR. Dans ces circonstances, la nomination d’un responsable de la protection des données pourrait ne pas être une bonne idée, même si vous ne vous contentez pas de le faire, mais il existe également un risque que le défaut de nomination ou de désignation des responsables de la protection des données entraîne des amendes à l’encontre de l’institution si les autorités concluent qu’un responsable de la protection des données doit être nommé pour un rôle spécifique, tel qu’un responsable de la protection des données ou un responsable de la conformité. Le fait de ne pas nommer un RPO (si nécessaire) peut également entraîner une amende potentiellement très élevée, car dans ces circonstances, on peut s’attendre à ce que l’autorité de contrôle dépose d’abord une demande officielle de nomination d’un BPO. Sources : 7,3,0,9].

Sources:

• [0] : https://www.pillsburylaw.com/en/news-and-insights/the-data-protection-officer-internal-appointment-or-outsourced.html
• 1] : https://www.trilateralresearch.com/data-protection-officer-what-is-it-and-most-important-do-you-need-one/
• [2] : https://medium.com/golden-data/what-is-a-data-protection-officer-under-eu-law-9fe9c5dd9d17
• [3] : https://www.worldservicesgroup.com/publications.asp?action=article&artid=9068
• [4] : https://www.pwc.com/us/en/services/consulting/cybersecurity-privacy-forensics/library/data-protection-officer-10-considerations.html
• [5] : https://hjsolicitors.co.uk/article/does-my-business-need-a-data-protection-officer/
• [6] : https://www.datenschutz-notizen.de/is-it-a-duty-to-notify-the-supervisory-authorities-of-the-appointment-of-the-data-protection-officer-under-the-gdpr-4226428/
• [7] : https://www.osborneclarke.com/insights/appointing-a-data-protection-officer-has-your-business-got-its-risk-assessment-right/
• [8] : https://globaldatahub.taylorwessing.com/article/the-compliance-burden-under-the-gdpr-data-protection-officers
• [9] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/
• [10] : https://www.privacycompliancehub.com/gdpr-resources/when-to-appoint-a-data-protection-officer/
• [11] : https://formiti.com/appointing-a-dpo-gdpr-guidelines-companies-should-strictly-follow/
• [12] : https://seersco.com/articles/data-protection-officer/
• [13] : https://hellodpo.com/blog/key-contractual-terms-when-appointing-an-external-dpo/
• [14] : https://www.termsfeed.com/blog/gdpr-appointment-dpo-letter/
• [15] : http://www.ascentor.co.uk/2017/06/gdpr-data-protection-officer-dpo/
• [16] : https://www.privacypolicies.com/blog/gdpr-dpo-appointment-letter/
• [17] : https://www.clarip.com/data-privacy/outsourced-data-protection-officer/
• [18] : https://blog.privacyperfect.com/finding_the_right_dpo
• [19] : https://www.pcg-usa.com/data-protection-officer-dpo-outsourcing
• 20] : https://dpnetwork.org.uk/data-protection-officers-should-we-appoint-a-dpo/
• [21] : https://www.itgovernanceusa.com/the-data-protection-role-(dpo)-sous-le-gdpr
• [22] : http://www.atticustechnology.co.uk/do-you-need-to-appoint-a-data-protection-officer/