Dans quels cas un organisme doit-il obligatoirement désigner un DPO?
La désignation d’un DPO est obligatoire pour :
- Les autorités ou les organismes publics,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par les membres du G29.
Quelles sont les missions du DPO?
- la rédaction d’une politique interne de protection des données
- mener un assessment général
- établir, dans certains cas, une analyse d’impact en matière de données à caractère personnel (Data Privacy Impact Assessment, DPIA)
- la mise en place et le respect du principe de « Privacy by Design»
- la mise en place et le respect du principe de « Privacy by Default »
- l’organisation de programmes de formation et de sensibilisation nécessaires
- la tenue d’un registre des activités de traitement de données à caractère personnel
- la détermination et le respect des exigences en matière de sécurisation des données;
- les contraintes à respecter en cas de recours à la sous-traitance
- la notification des incidents relatifs à la vie privée
- la mise en place des procédures détaillées expliquant comment investiguer et informer à temps les personnes concernées en cas d’incident
DPO à temps partagé - DPO as-a-service
Le DPO à Temps Partagé est une solution pratique et économique pour les organisations ne disposant pas de l’expertise et des connaissances requises en matière de protection des données pour remplir leurs obligations de protection des données en vertu du règlement général sur la protection des données (GDPR).
En externalisant les tâches et les devoirs du DPO auprès d’ ITaaSC (www.itaasc.com) , vous avez accès à des conseils d’experts qui vous aident à répondre aux exigences de conformité du GDPR tout en restant concentré sur vos activités principales.