Le rôle du DPD
Le rôle du DPD, ce qu'il est, qui en a besoin et qui désigne la bonne personne pour ce travail.
TÉLÉCHARGEZ NOTRE EBOOK GRATUIT
Pour Conformité au GDPREn général, la plupart des grandes organisations ont besoin d'un délégué à la protection des données (DPD), mais pas la plupart des petites organisations.
Voici le détail.
Un DPD est obligatoire dans les trois cas suivants :
Tout d'abord, lorsque le responsable du traitement ou du processus, il s'agit d'une autorité ou d'un organisme public ou agissant à chaud.
Deuxièmement, si les activités de cuisine du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui nécessitent un suivi régulier et systématique des personnes concernées à grande échelle.
Et enfin, si les activités principales du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données. Il s'agit donc de données très sensibles telles que les affiliations politiques, les préférences sexuelles ou les données à caractère personnel relatives aux condamnations pénales et aux infractions, conformément à ce qu'il utilise.
Le groupe de travail de l'article 29, qui est le groupe qui crée la Directives GDPR Les activités essentielles peuvent être considérées comme les opérations clés nécessaires pour atteindre les objectifs des responsables du traitement ou des sous-traitants. En fait, nous parlons du traitement des données qui est au cœur de la capacité de l'organisation à fonctionner. Pensez donc à un hôpital ou à une société de sécurité privée qui a besoin de ces données. Maintenant, la grande échelle est un terme vague et c'est à l'autorité compétente de décider. contrôleur des données ou des processus pour déterminer si elle s'applique à eux en fonction de facteurs tels que le nombre de sujets, de documents, la géographie et la durée de l'activité.
Ainsi, des exemples de surveillance à grande échelle sont les moteurs de recherche de nos hôpitaux et les données des clients des compagnies d'assurance. Maintenant, des exemples qui ne constituent pas une surveillance à grande échelle ou le traitement des données par un médecin ou un comptable individuel ou le traitement des données personnelles relatives aux condamnations et aux infractions pénales. Par un avocat individuel.
Donc vous pouvez vraiment résumer les trois types d'organisations qui ont besoin d'une Les OPH en tant que services gouvernementaux. Pensez donc à une autorité municipale. Il convient de noter que le groupe de travail de l'article 29 recommande que les entreprises privées qui exercent des fonctions publiques similaires désignent un DPD. Elles ne sont donc pas à proprement parler un service gouvernemental ou local, mais elles peuvent agir comme tel.
Pensez donc à des organisations comme une association de logement, un fournisseur d'eau ou un fournisseur d'énergie. Deuxièmement, réfléchissez si vos données sont au cœur de votre organisation et à grande échelle. Par exemple, une banque, une société d'analyse web ou un hôpital.
Si les données sont votre source de vie et si elles sont utilisées à grande échelle, vous aurez besoin d'un DPD.
Et enfin, si vous traitez beaucoup de données sensibles, vous connaissez ce que nous appelons les catégories spéciales de données. C'est donc dans ces trois cas que nous aurons besoin d'un DPD.
Maintenant, certaines des choses à noter au DPA peuvent également être obligatoires en vertu des lois de l'État du pays et de tous les régimes de conformité. Au Royaume-Uni, en avril 2017, nous n'avons pas encore entendu parler de ces directives locales pour le Royaume-Uni et les autres pays de l'UE, mais cela ne saurait tarder. Maintenant, si une organisation n'est pas mandatée pour désigner un DPD mais le fait volontairement que les exigences du DPD ou la même chose que si le rôle était requis en premier lieu.
Pour les organisations qui décident qu'elles n'ont pas besoin d'un DPD, le groupe de travail article 29 recommande une analyse interne.
Cette décision est exécutée et documentée afin de démontrer que tous les facteurs relatifs ont été correctement pris en compte. Alors, que fait réellement un DPD ?
Tout d'abord, le DPD n'est pas responsable, donc je le répète. Le DPD n'est pas responsable de la conformité au GDPR.. Ce devoir incombe à l'organisation elle-même. Le DPD est là pour aider l'organisation à maintenir la conformité en matière de protection des données. Ils doivent offrir des conseils d'experts, un soutien, une protection des données, des évaluations d'impact et des audits et servir d'intermédiaire entre les personnes concernées, les organisations, les unités commerciales et l'autorité de contrôle. Désormais, le DPD sera sur le devant de la scène en cas de violation des données et doit avoir une connaissance approfondie de la protection des données de l'organisation. Les coordonnées du DPD doivent également être accessibles au public pour les personnes concernées, par exemple sur une page de politique de confidentialité publique sur le site web, et les employés doivent savoir qui est le DPD et comment entrer en contact avec lui.
C'est essentiel. Aujourd'hui, le DPD est l'interne ou l'autorité en matière d'orientation sur la protection des données pour toutes les activités impliquant des données personnelles. Par conséquent, tout nouveau projet d'architecture, de conception ou de plan qui inclut des données à caractère personnel doit être soumis au DPD à tour de rôle.
La disponibilité du DPD pour toutes les équipes est essentielle.. Tout le monde doit pouvoir s'en emparer. Le site Conseils aux DPD ne doit pas nécessairement être suivie, mais si elle ne l'est pas, il convient d'en documenter explicitement la raison et de procéder à une évaluation des risques.
Le DPD peut siéger dans n'importe quelle unité commerciale où il n'y a pas de conflit d'intérêts et doit avoir un lien direct avec le niveau supérieur de la direction. Le volume de travail requis d'un DPD varie énormément d'une organisation à l'autre. Une petite entreprise peut avoir besoin d'un ou deux jours de travail du DPD par mois. Je sais que cela peut nécessiter un DPD à plein temps, avec un soutien et une équipe importante sous ses ordres.
Un manque de ressources dans le rôle du DPD serait une erreur très imprudente, surtout si le régulateur vient frapper à la porte. Maintenant, il est crucial que le Le DPD doit être un véritable expert du GDPRqu'il s'agisse d'un juriste de formation, d'un responsable de la conformité ou d'un consultant externe. Ils doivent connaître parfaitement le GDPR et savoir comment s'y conformer dans le monde réel. Aucune qualification spécifique n'est requise pour un DPD. Mais en plus d'une connaissance approfondie du GDPR, il doit également posséder de solides compétences en matière de sécurité de l'information, de gestion de projet, de nuances commerciales et organisationnelles pour les règles et procédures administratives.
En résumé, le DPD est votre conseiller expert en matière de GDPR prêt à travailler avec des équipes de projet, à évaluer la conformité. Et heureux de faire face au superviseur ou à l'autorité en cas de violation des données. Le DPD dispose d'un large éventail de compétences et rend compte directement au conseil d'administration.
Pour faciliter vos recherches, vous pouvez télécharger le Modèle de description de poste de DPD ici.