Au vu de ces éléments, une responsabilité personnelle pourrait être engagée si le délégué à la protection des données ne fournit pas de conseils actifs, même s’il a connaissance de faits non conformes, parce que l’entreprise prétend être en conformité avec le GDPR. Les délégués à la protection des données peuvent également avoir des conflits d’intérêts en raison de leur rôle dans la pratique de la protection des données, ce qui signifie que le délégué à la protection des données pourrait potentiellement être placé dans une position vulnérable face à d’autres chefs d’entreprise ou de service qui veulent stocker ou utiliser les données des clients pour des besoins commerciaux susceptibles de violer les exigences en matière de protection des données. Cela signifie qu’il ne doit pas avoir d’obligations ou de responsabilités actuelles incompatibles avec son obligation ou sa responsabilité actuelle, telles que le contrôle du respect des règles d’autres employés, des données personnelles des employés ou des données personnelles des employés. [Sources : 11,8,5]
Découvrez nos solutions sans obligation d’achat
C’est une idée fausse courante que les délégués à la protection des données n’auraient jamais pu connaître le GDPR et toutes les responsabilités qu’il implique. Un délégué à la protection des données (GDPR) est impliqué dans toutes les questions de protection des données et dans la pratique de la protection des données, car il lui incombe de veiller au respect du GDPR. Il doit être impliqué dans toutes les questions de protection des données et ne peut être licencié ou sanctionné pour son rôle. [Sources : 5,2,4]
Si vous avez des questions ou des préoccupations concernant l’utilisation de vos données, vous pouvez contacter directement le délégué à la protection des données de la BMF. Si vous souhaitez faire valoir vos droits, vous devez vous être comporté d’une manière conforme aux exigences de protection des données du RGPD et/ou de la loi sur la protection des données. [Sources : 15,9]
Le délégué à la protection des données peut également vous indiquer comment contacter les autorités si vous souhaitez exercer vos droits. Il peut également vous fournir une copie du rapport du délégué à la protection des données de la FMB sur l’utilisation de vos données. Bien que la nomination d’un délégué à la protection des données ne soit obligatoire que dans certaines circonstances, ces circonstances ne peuvent être mentionnées dans votre demande de nomination. Sources : 6,13]
La loi allemande sur la protection des données exige que les organisations comptant dix employés ou plus qui traitent des données personnelles de façon permanente désignent un délégué à la protection des données. Une organisation qui traite des données ou des personnes concernées à grande échelle doit obligatoirement nommer un délégué à la protection des données (DPD). La même personne peut également être utilisée par des organisations affiliées pour surveiller ensemble la protection des données, car les DPO sont facilement accessibles à toute personne au sein de l’organisation affiliée. Vous pouvez être responsable du traitement des données ou des employés, mais vous n’êtes pas responsable de la protection de vos données. Sources : 10,2,11]
Si vous estimez que le traitement de vos données personnelles viole les dispositions relatives à la protection des données ou que vos droits en la matière sont autrement violés, vous pouvez déposer une plainte auprès de l’autorité de contrôle compétente. Une personne qui estime que ses droits garantis par la loi sur la protection des données à caractère personnel ont été violés peut déposer une demande auprès de l’autorité de protection des données pour faire constater la violation de ces droits.La ou les autorités compétentes en matière de protection des données décrivent les exigences et circonstances légales existantes ainsi que les obligations de signalement volontaire attendues en cas d’infraction. [Sources : 3,15,16,13]
Lorsque des employés soumettent vos données personnelles à l’EEE, ils doivent discuter d’une proposition avec le contrôleur de la protection des données afin de déterminer s’il existe une base juridique pour cette soumission. Le Contrôleur de la protection des données doit également veiller à ce que toute défaillance dans le traitement de vos données privées soit communiquée et documentée, car il existe une jurisprudence dans ce domaine. Sources : 0,5]
Un délégué à la protection des données qui choisit délibérément de ne pas signaler certains défauts à la direction peut se rendre coupable d’une violation de la loi sur la protection des données, voire agir contre vous intentionnellement. Bien qu’il n’existe pas de base juridique pour une plainte contre un contrôleur de la protection des données dans l’EEE, cela pourrait envisager une responsabilité personnelle. Les affaires actuellement traitées en Europe montreront que cela signifie que des responsabilités personnelles peuvent être engagées envers l’employeur. Sources : 5,5,5]
Dans certains cas, le contrôleur de la protection des données peut encore être tenu responsable de la violation de la législation sur la protection des données par son propre service. L’obligation de désigner un délégué à la protection des données ou une personne au sein du service n’a pas encore été expressément réglementée en cas d’infraction. Sources : 1,13]
La fonction implique une grande responsabilité et requiert des compétences explicites, mais la question de savoir si elle peut être considérée comme une « haute fonction » ne fait pas débat. La responsabilité du contrôleur de la protection des données consiste à définir ce que les données personnelles représentent pour l’entreprise », déclare le Dr Jeroen Dijsselbloem, chef du département de la protection des données à la Commission européenne. [Sources : 5,8]
Sources :
- [0] : https://www.imperial.ac.uk/admin-services/secretariat/information-governance/data-protection/our-policy/codes-of-practice/code-of-practice-1—handling-of-personal-data/
- [2] : https://seersco.com/articles/data-protection-officer/
- [3] : https://www.college.police.uk/privacy
- [4] : https://www.linklaters.com/en/insights/data-protected/data-protected—netherlands
- [5] : https://aigine.se/en/data-protection-officers-personally-liable-for-fines/gdpr/
- [6] : https://anklagemyndigheden.dk/en/processing-of-personal-data
- [7] : https://www.government.nl/ministries/ministry-of-justice-and-security/privacy
- [8] : https://searchdatamanagement.techtarget.com/feature/Data-protection-officer-responsibilities-and-role-importance
- [9] : https://census.gov.uk/privacy-and-data-protection
- [10] : https://www.itgovernance.co.uk/data-protection-officer-dpo-under-the-gdpr
- [11] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
- [12] : https://www.springhouselaw.com/knowledge/employee-prosecution-for-data-protection-breaches/
- [13] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/mexico
- [14] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr
- [15] : https://www.bmf.gv.at/en/data-protection.html
- [16] : https://mup.gov.hr/personal-data-protection/124