Découvrez nos solutions sans obligation d’achat
Le concept de contrôleur de la protection des données existe depuis de nombreuses années, mais en Europe, il a été introduit par le règlement général sur la protection des données (RGPD) et fait désormais partie, dans la plupart des cas, de la nouvelle loi sur la protection des données de l’Union européenne, qui entre en vigueur en mai 2018. [Sources : 12,4]
Si une organisation est obligée par le GDPR de nommer un délégué à la protection des données (GDPR), elle peut nommer un délégué à la protection des données externe, un employé nommé délégué à la protection des données interne et un non-GDPR pour remettre la conformité de la protection des données. Les entreprises qui n’ont pas besoin de nommer un délégué à la protection des données peuvent embaucher ou nommer d’autres employés pour effectuer des tâches liées à la protection des données. D’autres choisissent de ne pas nommer de délégué à la protection des données et décident elles-mêmes de nommer ou non un nouveau délégué à la protection des données ou un responsable de la conformité des données. [Sources : 1,15,3,12]
Il faut montrer ce qu’est un DPO, comment déterminer celui dont vous avez besoin et mettre tout cela en place en un rien de temps. Avant de décider de nommer un délégué à la protection des données et de trouver le meilleur candidat, vous devez rédiger un protocole de nomination que vous pourrez utiliser sur le site web de l’entreprise ou dans les politiques et procédures de confidentialité de l’entreprise. [Sources : 5,14]
Le délégué à la protection des données (RGPD) est la personne de contact centrale de l’organisation et est responsable de la protection des données de l’entreprise et des données de vos employés. Cet article servira de compréhension de haut niveau du rôle du DPO, car il traite de la manière de recruter les meilleurs DPO et de ce dont l’organisation ou l’entité juridique a besoin pour les nommer. Vous devez également disposer d’une politique et de procédures de protection de la vie privée et d’une politique de confidentialité des données. Sources : 13,10]
La personne nommée au rôle de contrôleur de la protection des données doit avoir une expérience significative en matière de protection des données et bien connaître et comprendre les exigences du GDPR afin d’accomplir efficacement cette tâche. L’article 37 exige que le délégué à la protection des données ait au moins deux ans d’expérience dans le domaine de la sécurité des informations et de la protection des données. Le GDPR ne contient pas de liste spécifique de déclarations de protection des données, mais il exige que les délégués à la protection des données aient accès à une base de données contenant les données de leurs employés et les données des employés de l’entreprise, bien qu’il ne leur fournisse pas de listes spécifiques de données de référence. Sources : 11,6,19]
Un autre élément important à prendre en compte et auquel il faut répondre est la nécessité de publier les coordonnées du délégué à la protection des données et de les communiquer à l’autorité de contrôle. Il peut s’agir du délégué à la protection des données de l’autorité de contrôle ou, bien sûr, de celui qui fait l’objet du contrôle. En outre, comme dans tout autre État membre, un contrôleur de la protection des données doit être consulté et impliqué dans toute évaluation d’impact sur la protection des données qui s’avère nécessaire. Sources : 0,0]
Bien que vous ne soyez pas tenu de désigner officiellement un délégué à la protection des données en vertu du GDPR, il peut être utile de désigner de manière informelle une personne ou une entreprise responsable de la conformité à la protection des données. Si vous n’êtes pas sûr que l’entreprise soit légalement obligée de nommer un délégué à la protection des données et / ou un responsable GDPR, vous devez demander conseil à un expert indépendant du GDPR. [Sources : 17,1]
Il convient de noter que les organisations qui ne désignent pas de délégué à la protection des données doivent fournir des preuves expliquant pourquoi elles n’ont pas besoin de désigner un délégué à la protection des données. Une entreprise qui n’embauche pas, ne nomme pas ou ne renvoie pas un délégué à la protection des données doit être en mesure de démontrer pourquoi elle n’a pas besoin de nommer un délégué à la protection des données. Les organisations qui n « ont pas installé ou nommé un DPD ne doivent pas avoir été en mesure de démontrer que leurs employés sont responsables de la protection des données de leurs clients. Sources : 6,11,11]
Un contrôleur de la protection des données (GDPR) doit être impliqué dans toutes les questions de droit et de pratique de la protection des données, car il lui incombe de veiller au respect du GDPR. La nomination d’un contrôleur de la protection des données n’est peut-être pas nécessaire, mais il devrait être responsable non seulement de la conformité aux règles, mais aussi du contrôle régulier et du respect des obligations prévues par le GDPR, a déclaré la Commission européenne. Un OPD peut également contribuer à assurer la conformité en conseillant les employés sur les questions pertinentes de sécurité des données et en sensibilisant l’entreprise. Sources : 16,7,16]
Un délégué à la protection des données est généralement une personne chargée de veiller à ce que l’entreprise et ses activités commerciales soient compatibles avec toutes les lois et réglementations sur la protection des données et est généralement un spécialiste avéré dans le domaine de la sécurité des données connu sous le nom de GDPR. Il existe un certain nombre d’exigences pour la formation de contrôleur de la protection des données, mais il doit avoir au moins deux ans d’expérience en droit des données et en réglementation de la protection des données. Bien que les références précises ne soient pas énoncées dans le GDPR, les contrôleurs de la protection des données sont censés avoir une bonne compréhension de la loi, des règlements et des exigences de conformité des lois européennes sur la protection des données. Sources : 18,8,2,9]
Sources :
- [0] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
- 1] : https://www.crippspg.co.uk/gdpr-hub/internal-compliance/appointing-data-protection-officer-dpo/
- 2] : https://www.wsiworld.com/blog/responsibilities-of-a-controller-processor-and-data-protection-officer-according-to-gdpr
- [3] : https://dpnetwork.org.uk/data-protection-officers-should-we-appoint-a-dpo/
- [4] : https://www.gartner.com/smarterwithgartner/how-to-appoint-a-data-protection-officer/
- [5] : https://www.privacypolicies.com/blog/gdpr-dpo-appointment-letter/
- [6] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
- [7] : https://seersco.com/articles/data-protection-officer/
- [8] : https://spinbackup.com/blog/the-role-of-data-protection-officer-in-gdpr-compliance/
- [9] : https://www.infosectrain.com/blog/how-to-become-a-data-protection-officer/
- [10] : https://gdpr.eu/data-protection-officer/
- [11] : https://www.hipaajournal.com/gdpr-role-of-the-data-protection-officer/
- [12] : https://gdpr-info.eu/issues/data-protection-officer/
- [13] : https://blog.rsisecurity.com/do-i-need-to-appoint-a-data-protection-officer/
- [14] : https://www.termsfeed.com/blog/gdpr-appointment-dpo-letter/
- [15] : https://www.whitecase.com/publications/alert/new-eu-guidelines-data-protection-officers
- [16] : https://hjsolicitors.co.uk/article/does-my-business-need-a-data-protection-officer/
- [17] : https://www.compliancehome.com/gdpr-representative-vs-dpo/
- [18] : https://kefron.com/blog/gdpr-role-data-protection-officer/
- [19] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance