RGPD Article 39 décrit l'ensemble minimum de tâches qu'un DPD doit accomplir pour être considéré comme efficace, y compris ses obligations envers la loi et son interaction avec les autorités gouvernementales.
Tâches du délégué à la protection des données
- Le délégué à la protection des données aura au moins les tâches suivantes :
- (a) informer et conseiller le responsable du traitement ou le sous-traitant et les employés qui effectuent le traitement de leurs obligations en vertu du présent règlement et d'autres dispositions de l'Union ou des États membres en matière de protection des données ;
- (b) contrôler le respect du présent règlement, des autres dispositions de l'Union ou des États membres en matière de protection des données et des politiques du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris l'attribution des responsabilités, la sensibilisation et la formation du personnel. intervenant dans les opérations de traitement et les audits y afférents ;
- c) fournir, sur demande, des conseils concernant l'analyse d'impact relative à la protection des données et surveiller ses performances conformément à l'article 35;
- d) coopérer avec l'autorité de contrôle;
- (e) servir de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et procéder à des consultations, le cas échéant, sur toute autre question.
- Le délégué à la protection des données doit, dans l'exercice de ses missions, tenir dûment compte du risque lié aux opérations de traitement, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement.
Tâches du délégué à la protection des données
- Le délégué à la protection des données aura au moins les tâches suivantes :
- (a) informer et conseiller le responsable du traitement ou le sous-traitant et les employés qui effectuent le traitement de leurs obligations en vertu du présent règlement et d'autres lois nationales relatives à la protection des données ;
- (b) contrôler le respect du présent règlement, des autres lois nationales relatives à la protection des données et des politiques du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris l'attribution des responsabilités, la sensibilisation et la formation du personnel concerné. dans les opérations de traitement, et les audits y afférents ;
- c) fournir, sur demande, des conseils concernant l'analyse d'impact relative à la protection des données et surveiller ses performances conformément à l'article 35;
- (d) coopérer avec le commissaire ;
- (e) agir en tant que point de contact du commissaire pour les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et procéder à des consultations, le cas échéant, sur toute autre question.
- Le délégué à la protection des données doit, dans l'exercice de ses missions, tenir dûment compte du risque lié aux opérations de traitement, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement.
Les DPD doivent non seulement informer et conseiller les organisations sur les activités de traitement, mais également contrôler le respect de toute législation en vigueur.
Le DPO désigné par une organisation a également un rôle central à jouer chaque fois qu'il est nécessaire de réaliser une analyse d'impact sur la protection des données (DPIA).
Il est important de noter que même si le rôle d'un DPO est étroitement lié aux principes de confidentialité, il est toujours en mesure de demander des conseils et des conseils aux autorités réglementaires et juridiques.
Dans cette section, nous parlons des articles 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)
Les DPD doivent être suffisamment qualifiés pour effectuer des tâches liées à la protection de la vie privée et doivent bénéficier d’un soutien continu afin de maintenir un niveau de compétence acceptable.
L'ISO reconnaît que chaque organisation est unique dans la manière dont elle traite l'information. Les domaines de responsabilité ci-dessus doivent être accompagnés de directives spécifiques au site et à l'installation qui prennent en compte les facteurs du monde réel affectant les opérations de traitement des informations personnelles d'une organisation.
Les organisations doivent désigner une personne que les clients (et les autorités externes) peuvent utiliser comme point de contact dédié pour toutes les questions liées aux informations personnelles (voir ISO 27701 7.3.2), à savoir un DPD.
En outre, les organisations devraient déléguer la responsabilité à une ou plusieurs personnes pour construire un système organisationnel. programme de gouvernance de la confidentialité qui renforce le respect des lois et réglementations locales et nationales sur les informations personnelles.
En règle générale, les organisations doivent mettre en œuvre des programmes de formation périodiques (y compris pendant la phase d'intégration) qui s'alignent spécifiquement sur leurs propres politiques générales et spécifiques de protection de la vie privée et sur les exigences liées au PIMS.
Les formats de formation peuvent inclure :
Le personnel ayant un rôle spécialisé à jouer dans la protection de la vie privée – par exemple le personnel de maintenance des TIC – devrait bénéficier de plans de formation spécialisés prenant en compte le rôle essentiel qu'il joue dans la protection des informations personnelles.
Les plans/sessions de formation doivent se conclure par une évaluation qui fournit à l’organisation une vue descendante des niveaux de compétence employé par employé.
Pour compléter la formation sur le lieu de travail, les organisations devraient également déployer des programmes de sensibilisation à la protection de la vie privée qui fournissent au personnel une gamme de supports servant de points d'information sur le thème des informations personnelles et de la protection de la vie privée au sein de l'organisation.
Les programmes de sensibilisation peuvent inclure :
Les efforts de sensibilisation doivent être axés sur :
Les informations personnelles doivent être traitées comme un sujet à part entière dans les programmes de formation sur la protection de la vie privée.
Le personnel doit être pleinement conscient des conséquences juridiques, commerciales, de réputation et disciplinaires spécifiques qui résultent du détournement et/ou de la mauvaise gestion des informations personnelles.
| Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
|---|---|---|
| RGPD de l’UE, articles 39 (1)(a) à 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
| Article 39 (1)(b) du RGPD de l’UE | ISO 27701 6.4.2.2 | Aucun |
Soutenir des décisions commerciales plus larges. En regroupant toutes vos données au même endroit, conçu pour la collaboration, vous serez mieux équipé pour prendre les bonnes décisions.
Gardez une longueur d'avance sur le changement. Les risques ne sont pas statiques, vos outils doivent donc pouvoir s'adapter. Gérez sans effort les menaces et les opportunités à l’aide d’un outil intégré et dynamique qui simplifie l’identification, l’évaluation et le traitement des risques sur une base continue.
En savoir plus par planifier une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
