Les délégués à la protection des données sont un élément fondamental des opérations de cybersécurité plus larges de toute organisation.
RGPD Article 37 souligne l'importance de ce rôle et propose des conseils sur la manière dont un DPD doit être nommé, les activités principales de ce rôle et la manière dont ces nominations sont communiquées.
Désignation du délégué à la protection des données
- Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas lorsque :
- (a) le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux agissant en leur qualité judiciaire ;
- (b) les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle ; ou
- (c) les activités principales du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données conformément à l'article 9 et de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10.
- Un groupe d'entreprises peut désigner un délégué à la protection des données unique, à condition qu'un délégué à la protection des données soit facilement accessible depuis chaque établissement.
- Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs de ces autorités ou organismes, en tenant compte de leur structure organisationnelle et de leur taille.
- Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent ou, lorsque le droit de l'Union ou des États membres l'exige, désignent un délégué à la protection des données. Le délégué à la protection des données peut agir pour le compte de ces associations et autres organismes représentant les responsables du traitement ou les sous-traitants.
- Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, notamment, de sa connaissance approfondie de la législation et des pratiques en matière de protection des données et de sa capacité à remplir les tâches visées à l'article 39.
- Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou remplir les tâches sur la base d'un contrat de service.
- Le responsable du traitement ou le sous-traitant publie les coordonnées du délégué à la protection des données et les communique à l'autorité de contrôle.
Désignation du délégué à la protection des données
- Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas lorsque :
- (a) le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux agissant en leur qualité judiciaire ;
- (b) les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle ; ou
- (c) les activités principales du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données conformément à l'article 9 et de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10.
- Un groupe d'entreprises peut désigner un délégué à la protection des données unique, à condition qu'un délégué à la protection des données soit facilement accessible depuis chaque établissement.
- Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs de ces autorités ou organismes, en tenant compte de leur structure organisationnelle et de leur taille.
- Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentatifs des catégories de responsables du traitement ou sous-traitants peuvent désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour le compte de ces associations et autres organismes représentant les responsables du traitement ou les sous-traitants.
- Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, notamment, de sa connaissance approfondie de la législation et des pratiques en matière de protection des données et de sa capacité à remplir les tâches visées à l'article 39.
- Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou remplir les tâches sur la base d'un contrat de service.
- Le responsable du traitement ou le sous-traitant publie les coordonnées du délégué à la protection des données et les communique au commissaire.
Nous sommes économiques et rapides
L'article 37 du RGPD décrit 7 domaines clés que les organisations doivent prendre en considération lors de la nomination et de la gestion des activités d'un Délégué à la protection des données :
Dans cette section, nous parlons des articles 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5) du RGPD. ), 37 (6), 37 (7)
Les organisations doivent définir des rôles et des responsabilités spécifiques aux fonctions individuelles contenues dans leur politique de protection de la vie privée – à la fois leur politique générale et leurs politiques spécifiques à un sujet.
Les personnes ayant des responsabilités spécifiques doivent être suffisamment compétentes pour effectuer des tâches liées à la protection de la vie privée et doivent se voir offrir un soutien continu permettant de maintenir un niveau de compétence acceptable.
Les domaines de responsabilité devraient inclure :
L'ISO reconnaît que chaque organisation est unique dans la manière dont elle traite l'information. Les domaines de responsabilité ci-dessus doivent être accompagnés de directives spécifiques au site et à l'installation qui prennent en compte les facteurs du monde réel affectant les opérations de traitement des informations personnelles d'une organisation.
Toutes les responsabilités et domaines de sécurité ci-dessus doivent être clairement documentés et mis à la disposition de tous les membres du personnel concernés.
Les organisations doivent désigner une personne que les clients (et les autorités externes) peuvent utiliser comme point de contact dédié pour toutes les questions liées aux informations personnelles (voir ISO 27701, clause 7.3.2).
En outre, les organisations doivent déléguer la responsabilité à une ou plusieurs personnes pour élaborer un programme organisationnel de gouvernance de la confidentialité qui renforce le respect des lois et réglementations locales et nationales sur les informations personnelles.
Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
---|---|---|
RGPD de l’UE, articles 37 (1)(a) à 37 (7) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Votre solution complète RGPD.
Notre environnement prédéfini s'intègre parfaitement à votre système de gestion et vous permet de décrire et de démontrer votre approche en matière de protection des données de vos clients européens et britanniques.
Avec ISMS.online, vous pouvez facilement démontrer un niveau de protection de la vie privée qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.
En savoir plus par réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Demander un devis