Fehap - responsabilul cu protecția datelor (DPO), piatra de temelie a GDPR

Responsabilul cu protecția datelor, deja mai cunoscut de inițialele DPO (corespunzător responsabilului cu protecția datelor), este cu siguranță cel mai emblematic dispozitiv al noului regulament general privind protecția datelor (GDPR).

protecția

RPD este într-adevăr un dispozitiv esențial al GDPR [ii] care trebuie implementat începând cu 25 mai 2018.

În ce cazuri ESPIC-urile au obligația de a numi un RPD? Care va fi funcția sa precisă? Care vor fi misiunile sale? Ce profil alegeți? Putem externaliza această funcție? La atâtea întrebări la care vom încerca să răspundem în rândurile următoare.

De ce GDPR prevede desemnarea unui DPO ?

Trebuie avut în vedere faptul că, deși GDPR constituie o consolidare semnificativă a normelor deja existente pentru protecția datelor cu caracter personal, acesta operează mai presus de toate o schimbare puternică de paradigmă în modul în care aceste reguli vor fi aplicate. Protecția datelor supusă anterior controlului a priori prin formalități cu CNIL este transformată în control a posteriori , mai general, un regim de responsabilitate în cadrul căruia organizațiile vor fi responsabile pentru conformitatea lor. Începând de mâine, depinde de unități să își poată justifica conformitatea în formă și substanță cu regulile și principiile acestui nou regulament. . GDPR face din DPO unul dintre instrumentele majore ale acestui nou sistem de conformitate.

În ce cazuri este obligatoriu RPD ?

Numirea unui RPD este obligatorie în trei cazuri și în special în următoarele: dacă activitățile de bază ale operatorului sau ale procesatorului constau în prelucrarea pe scară largă a categoriilor speciale de date (...).

Astfel, unitățile private de sănătate și medico-sociale sunt în mod clar preocupate de criteriul prelucrării pe scară largă a unor categorii speciale de date, în acest caz datele de sănătate.

În ceea ce privește noțiunea de scară largă, GDPR ia exemplul celui de-al nouăsprezecelea și al nouăzeci și primul său recital de prelucrare a datelor despre pacienți de către un spital ca parte a cursului normal al activității. Pe de altă parte, prelucrarea datelor de aceeași natură, dar de către un medic practicant în calitate individuală, nu va constitui prelucrare pe scară largă.

Numirea unui RPD se aplică unității care acționează ca operator, dar și ca procesator . Amintiți-vă că operatorul este definit de GDPR [ii], ca persoana sau organismul care determină scopurile și mijloacele de prelucrare. Procesorul este definit ca persoana sau organismul care procesează date în numele operatorului. În cele din urmă, amintiți-vă că prelucrarea datelor cu caracter personal este un concept pur legal care se învârte în jurul unui scop (un obiectiv), indiferent de tehnologia (software, bază de date etc.) utilizată.

Mai multe unități vor putea desemna o singură DPO ?

Mai multe unități care sunt membre ale aceluiași grup, ale aceleiași asociații sau ale aceleiași organizații profesionale pot numi același RPD cu condiția ca, conform cerinței GDPR, să fie ușor accesibil din fiecare loc de stabilire.

Care este rolul RPD ?

RPD are în esență o funcție de control și consultanță, dar nu are decizie . Unitatea rămâne pe deplin responsabilă pentru conformitatea sa. Prin urmare, RPD nu va fi responsabil personal în cazul nerespectării prin stabilirea cerințelor de protecție a datelor.

El trebuie să fie independent. El nu poate primi instrucțiuni din partea conducerii cu privire la îndeplinirea atribuțiilor. Nu poate fi demis sau sancționat pentru îndeplinirea atribuțiilor sale. Rețineți că nu are statutul de salariat protejat în sensul prevederilor codului muncii.