Fehap - длъжностно лице по защита на данните (DPO), крайъгълен камък на GDPR

Служителят по защита на данните, вече по-известен с инициалите DPO (съответстващ на служителя за защита на данните), със сигурност е най-емблематичното устройство на новия общ регламент за защита на данните (GDPR).

данните

DPO наистина е основно устройство на GDPR [ii], което трябва да бъде приложено от 25 май 2018 г.

В кои случаи ESPIC имат задължението да назначат DPO? Каква ще бъде прецизната му функция? Какви ще бъдат мисиите му? Кой профил да избера? Можем ли да възложим тази функция на външни изпълнители? Толкова много въпроси, на които ще се опитаме да отговорим в следващите редове.

Защо GDPR предвижда определянето на DPO ?

Трябва да се има предвид, че докато GDPR представлява значително укрепване на вече съществуващите правила за защита на личните данни, той преди всичко упражнява силна промяна на парадигмата в начина, по който тези правила ще се прилагат. Защитата на данните, която преди е била обект на априорен контрол чрез формалности с CNIL, се трансформира в последващ контрол , по-общо, режим на отчетност, при който организациите ще отговарят за спазването им. От утре заведенията ще могат да обосноват съответствието си по форма и по същество с правилата и принципите на този нов регламент . GDPR прави DPO един от основните инструменти на тази нова система за съответствие.

В кои случаи DPO е задължително ?

Назначаването на DPO е задължително в три случая, и по-специално в следното: ако основните дейности на администратора или процесора се състоят от мащабна обработка на специални категории данни (...).

Следователно частните здравни и медико-социални заведения са ясно засегнати от критерия за широкомащабна обработка на специални категории данни, в случая здравни данни.

По отношение на понятието мащаб, GDPR взема примера на деветдесет и първото си съображение за болнична обработка на данни за пациенти като част от нормалния ход на бизнеса. За разлика от това, обработката на данни от същото естество, но от практикуващ лекар в индивидуално качество, няма да представлява мащабна обработка.

Назначаването на DPO е приложимо за обекта, действащ като администратор, но също и като обработващ . Не забравяйте, че администраторът се определя от GDPR [ii], като лицето или орган, който определя целите и средствата за обработка. Процесорът се дефинира като лицето или тялото, което обработва данни от името на контролера. И накрая, не забравяйте, че обработването на лични данни е чисто законна концепция, въртяща се около край (цел), независимо от използваната технология (софтуер, база данни и т.н.).

Ще могат ли няколко заведения да определят едно DPO ?

Няколко заведения, които са членове на една и съща група, една и съща асоциация или една и съща професионална организация, могат да назначат една и съща DPO при условие, че тя е в съответствие с изискването на GDPR лесно достъпна от всяко място на установяване.

Каква е ролята на DPO ?

DPO по същество има контролна и консултативна функция, но няма решение . Заведението остава изцяло отговорно за спазването му. Следователно DPO няма да носи лична отговорност в случай на несъответствие чрез установяване на изисквания за защита на данните.

Той трябва да е независим. Той не може да получава указания от ръководството относно изпълнението на задълженията. Той не може да бъде уволнен или санкциониран за изпълнение на задълженията си. Имайте предвид, че той няма статут на защитен служител по смисъла на разпоредбите на трудовия кодекс.