Que doit savoir faire un délégué à la protection des données (DPD) ?
Il y a quelques années, le règlement général sur la protection des données (RGPD) est entrée en vigueur. Dans le cadre de cette loi, de nombreuses nouvelles règles ont été introduites, notamment celle qui exige la désignation d'un délégué à la protection des données (DPD) par l'entreprise.
Cette réglementation vise à garantir qu'un niveau élevé de qualité de protection des données à caractère personnel est fourni par le responsable du traitement ou le sous-traitant.
Une entreprise a le choix de recourir à un service interne ou délégué à la protection des données externe de nommer.
Le DPD interne est choisi et désigné par la direction.
Quelles sont les tâches d'un délégué à la protection des données selon le RGPD ?
Le terme "délégué à la protection des données" (DPD) vous est certainement familier ou vous en avez déjà entendu parler. Mais quelles sont les fonctions et les tâches qui vont de pair avec ce rôle dans l'entreprise ? Protection des données qui en est à l'origine ? Votre propre entreprise a-t-elle besoin d'un délégué à la protection des données ?
Dans cet article, nous vous indiquons quand vous avez besoin d'un délégué à la protection des données et quelles sont les obligations et les tâches d'un délégué (d'entreprise) à la protection des données selon la loi. RGPD a.
Quand un délégué à la protection des données est-il nécessaire ?
Le RGPD indique à l'article 37 les conditions dans lesquelles le Responsable ou le sous-traitant a l'obligation de désigner un délégué à la protection des données. Le législateur allemand a défini cette obligation dans le § 38 Loi fédérale sur la protection des données (BDSG) nouvelle version.
Par exemple, un délégué à la protection des données doit en principe être désigné si votre entreprise compte au moins 20 personnes travaillant en permanence avec le traitement automatisé des données. Traitement Vous avez donc au moins 20 employés qui sont en contact avec des données à caractère personnel.
Si vous ne vous êtes pas encore penché sur les conditions de désignation d'un délégué à la protection des données, nous vous conseillons vivement d'en vérifier la nécessité.
Tâches des délégués à la protection des données selon le RGPD et la BDSG dans l'entreprise
Le délégué à la protection des données est une personne responsable de la protection des données. Il doit garantir la protection des données à caractère personnel en respectant les règles pertinentes en matière de protection des données.
Cela ne signifie pas pour autant que le délégué à la protection des données doit s'occuper de manière autonome de l'ensemble de la protection des données au sein de l'entreprise. Il est autorisé à déléguer des tâches et à contrôler le respect des règles de protection des données. L'essentiel est qu'il assume la responsabilité du respect des règles de protection des données.
Le délégué à la protection des données lui-même ne doit pas nécessairement être un employé de l'entreprise. Il est possible de désigner aussi bien un délégué à la protection des données interne à l'entreprise qu'un délégué externe, issu d'un prestataire de services compétent. Les tâches des délégués externes à la protection des données selon RGPD et BDSG ne diffèrent pas.
L'article 39 du RGPD définit plus précisément ce qui fait partie des tâches d'un délégué à la protection des données (au sein de l'entreprise) :
- Le délégué à la protection des données veille au respect des dispositions relatives à la protection des données, notamment celles du RGPD et de la BDSG.
Il établit et tient à jour le Registre de traitementL'équipe de protection des données de la Commission européenne est chargée de rechercher et de résoudre les causes des incidents liés à la protection des données et d'effectuer des contrôles de protection des données. - Le délégué à la protection des données conseille le responsable / le sous-traitant sur toutes les questions relatives à la protection des données et l'aide à mettre en œuvre les exigences légales en matière de protection des données.
Il élabore par exemple des directives, conseille sur les analyses d'impact relatives à la protection des données et surveille leur mise en œuvre conformément à l'article 35 du RGPD. - Le délégué à la protection des données est l'interlocuteur pour toutes les questions, aussi bien pour l'employeur que pour les employés ou le Comité d'entreprise. Les personnes externes, telles que les clients, les partenaires contractuels ou les fournisseurs, peuvent également s'adresser au délégué à la protection des données pour lui poser des questions.
- De même, le délégué à la protection des données sensibilise à la protection des données. Il intervient par exemple dans les formations des collaborateurs pour leur apprendre à gérer correctement les données personnelles dans leur travail quotidien.
- Le délégué à la protection des données coopère également avec les autorités de surveillance. Il est le point de contact pour les autorités de surveillance en ce qui concerne toutes les questions relatives à la protection des données.
Les tâches d'un délégué à la protection des données sont donc multiples et ont augmenté depuis l'introduction du RGPD. Il doit donc disposer des aptitudes professionnelles nécessaires pour pouvoir s'acquitter de ses obligations et de ses tâches de délégué à la protection des données de manière compétente et avisée.
Le délégué à la protection des données n'est pas tenu de suivre des instructions dans son travail. Mais il n'est pas non plus habilité à donner des instructions. Cela signifie que pour la mise en œuvre de ses recommandations, le Responsable ou les sous-traitants sont compétents. Une bonne coopération entre le délégué à la protection des données et la direction est donc essentielle pour une protection efficace des données au sein de l'entreprise.
Tâches en matière de protection contre le licenciement
En tant que DPO désigné, l'employé dispose d'une protection contre le licenciement, qui ne justifie un licenciement qu'en cas de faute grave. Le Responsable veille en outre à mettre à la disposition du DPD tous les moyens nécessaires pour lui permettre d'exercer ses fonctions.
Élection du délégué à la protection des données
Lors du choix entre un délégué à la protection des données interne ou externe, il faut tenir compte du fait qu'un délégué à la protection des données externe n'a aucun penchant pour sa propre entreprise et reste donc neutre, ce qui évite tout conflit d'intérêt dans l'accomplissement des tâches de délégué à la protection des données.
Il existe en outre de nombreux autres avantages à faire appel à un délégué à la protection des données externe. Nous avons énuméré ces avantages dans notre blog 'Quels sont les coûts d'un délégué externe à la protection des données?', en examinant notamment les coûts d'un délégué externe à la protection des données.
Compétences requises
Conformément à RGPD seules les personnes possédant les "compétences requises" doivent être désignées comme DPD. Si les compétences requises ne peuvent pas être remplies, les autorités de contrôle ont le droit de révoquer le DPD.
En règle générale, un délégué externe à la protection des données possède déjà les qualifications requises. Les tâches d'un DPD externe ne sont pas différentes de celles d'un DPD interne. Toutefois, en règle générale, un DPD externe est mieux à même de garantir les compétences requises grâce à sa grande expérience qu'un DPD interne.
Il est essentiel qu'un DPD dispose des connaissances nécessaires. En particulier, il doit avoir des connaissances de base en matière de droit et de pratique de la protection des données, Sécurité informatique ainsi que sur des compétences non techniques, afin d'atteindre les objectifs fixés par la RGPD de remplir les tâches et obligations prescrites d'un délégué à la protection des données.
Il s'agit notamment de conseiller les responsables sur les questions relatives à la protection des données et de soutenir la mise en œuvre de mesures visant à appliquer les exigences légales en matière de protection des données. Le DPD est l'interlocuteur de l'employeur, des employés, du responsable de la protection des données et de la direction. Comité d'entreprise et externes, comme les partenaires contractuels, les clients et les fournisseurs. Il est également le premier contact pour les demandes émanant des autorités de contrôle compétentes et leur étant adressées.
Le délégué à la protection des données devrait également être impliqué dans les activités de formation des employés. L'objectif est d'impliquer les Traitement Les entreprises doivent informer les employés impliqués dans le traitement des données personnelles des exigences générales en matière de protection des données afin de garantir la protection des données.
Le DPD a pour mission principale de conseiller le responsable de la mise en œuvre et de l'application de mesures visant à garantir la conformité aux exigences légales. Traitement des données à caractère personnel. Il convient de noter ici que le DPD n'a qu'un rôle consultatif et n'est pas responsable de la mise en œuvre effective.
Responsable doivent veiller à ce que la mise en œuvre de processus conformes à la protection des données ne soit pas un projet unique, mais nécessite une révision permanente. S'il n'existe pas de concept pour la mise en place de tels processus dans le cadre d'une organisation de protection des données, le DPD devrait être impliqué dans l'élaboration d'un tel concept.
La collecte du registre des activités de traitement peut servir de premier point de repère pour une telle organisation.
Un tel registre aide à organiser des processus conformes à la protection des données et offre une source rapidement accessible pour obtenir les informations nécessaires sur les processus de traitement des données.
Dans le cadre de la mise en place de processus conformes à la protection des données, il convient de toujours tenir compte de la mise en œuvre de paramètres de base et de préférences favorables à la protection des données (Privacy by Design/Default). Ceci, associé à des audits réguliers de la protection des données et à des évaluations des risques, constitue un bon moyen d'agir à l'avenir de manière conforme à la protection des données et d'éviter les risques juridiques liés au non-respect de la protection des données. RGPD de minimiser les risques.
German 
English 
Italian 
French