Inspektor ochrony danych

W prawie europejskim The Delegat Ochrony Danych (w skrócie DPD lub inspektora na inspektora ochrony danych ) jest osobą odpowiedzialną za ochronę danych osobowych w organizacji.

Europejskie rozporządzenie weszło w życie 25 maja 2018 r. Od 1 czerwca 2019 r. Obowiązuje nowe brzmienie ustawy o ochronie danych osobowych z dnia 6 stycznia 1978 r., Która określa zasady ochrony danych. Europejskie rozporządzenie obowiązuje na poziomie europejskim i stanowi, że firmy prowadzące działalność w zakresie danych osobowych muszą być kontrolowane przez specjalnie wyznaczonego do tego celu inspektora ochrony danych . Artykuł 37 rozporządzenia europejskiego ustanawia przepisy dotyczące inspektora ochrony danych, na mocy których zainteresowane firmy muszą wypełniać swoje zobowiązania prawne.

Misje

Jego główne zadania to z jednej strony informowanie i doradzanie swojej organizacji, az drugiej strony kontrola stosowania tekstów prawnych i wewnętrznych przepisów dotyczących danych osobowych. Pełni rolę punktu kontaktowego między swoją organizacją a krajowym organem nadzorczym, takim jak CNIL .

Wyznaczenie inspektora ochrony danych jest czasami obowiązkowe. Delegat może być członkiem organizacji, której doradza lub pracować jako konsultant zewnętrzny. Można je również udostępniać , gdy ten sam delegat jest wyznaczany przez kilka struktur. W każdym przypadku delegatowi należy zapewnić środki do wykonywania swojej misji i zdolność do niezależnego działania.

Na poziomie europejskim inspektor ochrony danych jest osobą odpowiedzialną za przestrzeganie europejskiego rozporządzenia o ochronie danych osobowych (RODO) w organizacji.

Terminologia

Profesjonalna ochrona danych osobowych są aktualnie wyznaczony pod nazwami Beauftragter für Datenschutz w Niemczech , Personuppgiftsombude w Szwecji , functionaris voor de gegevensbescherming w Holandii , Personas datu aizsardzības specialista w Litwie , Isikuandmete kaitse eest vastutav ISIK w Estonii , chargé Data Protection Officer w Luksemburgu , Inspektor ochrony danych w Belgii , Datenschutzberater / responsile della protezione dei dati w Szwajcarii, Rapprezentant ta'data personali na Malcie , Belső adatvédelmi fele lős na Węgrzech , Dohľad nad ochranou osobných údajov na Słowacji oraz odpowiedzialny za seguridad w Hiszpanii .

Inspektorzy ochrony danych są formalnie i oficjalnie mianowani w Krajowej Komisji ds. Informatyki i Wolności ( CNIL ). Ich dane kontaktowe są podane do wiadomości publicznej na data.gouv.fr platformie .

Roczne sprawozdanie CNIL za 2015 r. Wskazuje, że 4 321 Korespondentów ds. Ochrony Danych zostało powołanych do Komisji przez 16 406 administratorów danych, prywatnych lub publicznych. W swoim raporcie rocznym za 2018 r. „CNIL w skrócie” CNIL wskazuje, że 39 500 organizacji wyznaczyło delegata, który reprezentuje 16 000 delegatów ds. Ochrony danych. Oczekuje się, że do końca 2019 roku liczba ta przekroczy 21000.

W ramach przejścia na nowe przepisy, Francuskie Stowarzyszenie Korespondentów ds.Ochrony Danych Osobowych (AFCDP), stowarzyszenie zrzeszające we Francji specjalistów w dziedzinie IT Compliance i Wolności oraz Ochrony Danych Osobowych , zażądało należy zapewnić klauzulę „ dziadka ”,   która umożliwiłaby tym CIL, które sobie tego życzyły i które spełniły nowe wymagania, potwierdzenie ich funkcji jako IOD, w celu wykorzystania już wykonanej pracy i zapewnienia możliwie najszerszego rozpowszechnienia duch prawa. Sekretarz generalny CNIL w styczniu 2017 r. Oświadczył publicznie na konferencji, która zgromadziła czterysta CIL: „Jesteśmy całkowicie zainteresowani tym, aby większość z was została zatwierdzona jako DPO”.

Oznaczenie zgodnie z RODO

Przed regulacją europejską powołanie korespondenta IT nie było obowiązkiem prawnym. Zgodnie z rozporządzeniem europejskim oznaczenie może mieć formę niepisaną. Przedsiębiorca powołuje Inspektora Ochrony Danych zgodnie z przepisami i zobowiązuje się do niezwłocznego poinformowania organu nadzorczego oraz opublikowania danych kontaktowych przedstawiciela. Alternatywnie przedsiębiorcy mogą wybrać korporacyjnego inspektora ochrony danych, pod warunkiem, że są łatwo osiągalni z dowolnego oddziału. Ta opcja jest szczególnie korzystna dla firm w całej UE z wieloma biurami, ponieważ eliminuje potrzebę posiadania wielu kontaktów, zapewniając większą przejrzystość i bezpieczeństwo przetwarzania i zarządzania.

Zewnętrzne zlecenie niekoniecznie jest konieczne, jeśli istnieje wewnętrzny inspektor ochrony danych z odpowiednimi kwalifikacjami. Najbardziej odpowiednia metoda zależy od kształtu i rozmiaru przedsiębiorstwa, a także od obciążenia DPO.

Korzyści z powołania inspektora ochrony danych

Wyznaczenie osoby odpowiedzialnej za zgodność z ustawą o ochronie danych i przyszłymi przepisami ogólnego rozporządzenia o ochronie danych ma zatem kilka zalet:

• Wzmocnienie pewności prawa: wyznaczenie inspektora ochrony danych umożliwia określenie punktu odniesienia dla kwestii ochrony danych osobowych i jest zintegrowane z nowymi praktykami zarządzania pod względem zgodności. Skutkuje to zmniejszeniem ryzyka sporów umownych, administracyjnych i sądowych.
• Wzmocnienie bezpieczeństwa IT: IOD doradza organizacji w zakresie nowych sposobów wykorzystania danych. Pozwala uniknąć strategicznych błędów przy uruchamianiu nowych usług lub produktów, a co za tym idzie optymalizować inwestycje, politykę archiwizacji i outsourcingu oraz wewnętrzne procedury związane z bezpieczeństwem informacji.
• Wektor zaufania wśród interesariuszy: ustanowienie inspektora ochrony danych w 2018 r. Prawdopodobnie zapewni osoby spoza organizacji (klienci, obywatele, dostawcy, studenci, potencjalni partnerzy itp.) I personel wewnętrzny co do gwarancji udzielonych osobie gromadzenie i przetwarzanie danych osobowych .

Jest również dowodem zaangażowania etycznego i obywatelskiego oraz narzędziem wzmacniania dziedzictwa informacyjnego.

Zajęcia

Funkcje

Funkcję inspektora ochrony danych zdefiniowano w ogólnym rozporządzeniu o ochronie danych (RODO) 2016/679 z dnia 27 kwietnia 2016 r., Głównie w motywie 97 oraz w sekcji 4. Powołanie inspektora ochrony danych jest obowiązkowe dla każdego organizacja spełniająca jedno z poniższych kryteriów:

• organ ten jest organem publicznym lub organem publicznym, z wyjątkiem sądów wykonujących swoje funkcje sądowe;
• podstawowa działalność organizacji obejmuje zabiegi wymagające regularnego i systematycznego monitorowania na dużą skalę osób, których to dotyczy;
• podstawowa działalność organizacji polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne do celów identyfikacyjnych, dane dotyczące zdrowia, dane dotyczące życie seksualne lub orientacja seksualna, wyroki skazujące, przestępstwa).

W innych przypadkach organizacje mogą dobrowolnie wyznaczyć inspektora ochrony danych. Inspektora ochrony danych można podzielić między kilka organizacji. Inspektor ochrony danych może być pracownikiem lub wykonywać swoje obowiązki na podstawie umowy o świadczenie usług.

Misje

Główne zadania inspektora ochrony danych są następujące (art. 39):

• Informowanie i podnoszenie świadomości, upowszechnianie kultury „Informatyki i wolności”: Inspektor Ochrony Danych prowadzi lub zarządza działaniami mającymi na celu uświadomienie kierownictwu i pracownikom zasad, których należy przestrzegać w zakresie ochrony danych osobowych;
• Zapewnienie zgodności z ramami prawnymi: Inspektor Ochrony Danych niezależnie monitoruje zgodność z rozporządzeniem europejskim (RODO), innymi przepisami prawa unijnego lub prawa państw członkowskich oraz regulaminami wewnętrznymi jego organizacji dotyczącymi ochrony danych osobowych. Jego analizy i porady obejmują podwykonawców i usługodawców biorących udział w przetwarzaniu na podstawie decyzji administratora. W szczególności jest ściśle powiązany z następującymi tematami: EIVP (badanie wpływu na prywatność), „Privacy by Design” (rozpatrywanie wpływu na prywatność na etapie projektowania) oraz powiadamianie o naruszeniach danych i komunikacji z zainteresowanymi. Należy się z nim skonsultować przed wdrożeniem nowego leczenia lub istotną modyfikacją trwającego leczenia i może przekazać wszelkie zalecenia Administratorowi.
• Poinformuj i uczyń odpowiedzialnym, w razie potrzeby ostrzegaj swojego administratora: Inspektor ochrony danych natychmiast informuje administratora o każdym ryzyku, że inicjatywy personelu operacyjnego lub nieprzestrzeganie jego zaleceń spowodowałyby organizację i jej liderów. W tym celu może skierować dowolne zalecenia do Administratora i przedstawić wnioski o arbitraż (to Administrator danych ponosi odpowiedzialność za wdrożenie postępowania pomimo zaleceń IOD).
• Analiza, badanie, audyt, kontrola: Inspektor Ochrony Danych prowadzi, organizuje lub zarządza, w sposób kontrolowany i niezależny, wszelkie działania umożliwiające ocenę stopnia zgodności organizacji, w celu podkreślenia wszelkich możliwych niezgodności. (powaga, możliwe skutki dla zainteresowanych osób, pochodzenie, odpowiedzialność itp.), w celu sprawdzenia zgodności z ramami prawnymi lub prawidłowego stosowania procedur, metod lub instrukcji związanych z ochroną danych osobowych.
• Ustanowienie i prowadzenie dokumentacji w ramach „Odpowiedzialności”: Inspektor Ochrony Danych tworzy i prowadzi dokumentację dotyczącą przetwarzania danych osobowych (w tym rejestr przetwarzania), na odpowiedzialność Administratora danych. Przetwarzanie („Odpowiedzialność”) i zapewnia jej dostęp do organ nadzorczy.
• Medytuj z zainteresowanymi osobami: Inspektor ochrony danych przyjmuje skargi od osób, których dotyczą operacje przetwarzania, do których został wyznaczony, i zapewnia poszanowanie praw osób fizycznych. Traktuje te skargi bezstronnie lub wdraża odpowiednie procedury, aby zapewnić ich właściwe rozpatrzenie.
• Współpraca z organem nadzorczym: inspektor ochrony danych jest uprzywilejowanym punktem kontaktowym dla organu nadzorczego, z którym komunikuje się w sposób całkowicie niezależny w sprawach związanych z przetwarzaniem prowadzonym przez podmiot, w art.36 RODO iw razie potrzeby przeprowadzić konsultacje na inny temat.

Profile

Obecni inspektorzy ochrony danych mają bardzo niejednorodne profile.

Badanie przeprowadzone na zlecenie CNIL z okazji dziesiątej rocznicy zawodu korespondenta IT i wolności w październiku 2015 roku wykazało, że 47% praktyków odbyło szkolenie techniczne (IT), a następnie osoby po wykształceniu prawniczym. Podobne badanie, przeprowadzone w 2012 r. Przez AFCDP, wykazało, że pozostałe CIL przeszły wstępne badania dotyczące jakości, zarządzania ryzykiem, kontroli zarządzania i zarządzania zasobami ludzkimi.

Ta różnorodność utrzymuje się w obrębie inspektorów ochrony danych, ponieważ badanie przeprowadzone w 2019 r. Przez Generalne Przedstawicielstwo ds.Zatrudnienia i Szkolenia Zawodowego (DGEFIP) pokazuje zrównoważony rozkład między prawnikami (31,1%), IT (34, 9%) i innymi (34%). Zróżnicowanie to występuje w różnych sektorach, przy wzroście profilu prawnego, co potwierdzają badania przeprowadzone w latach 2011-2019 przez sieć SupDPO  : w 2019 r. Było to 38% inspektorów ochrony danych o profilach prawnych, 41 % inspektorów ochrony danych z profilami prawnymi, profil informatyczny.

Chociaż nie jest to obowiązkowe, istnieją certyfikaty, aby zostać inspektorem ochrony danych. W dniu 20 września 2018 r. CNIL przyjęła dwa standardy certyfikacji umiejętności inspektora ochrony danych:

• System odniesienia do certyfikacji, określający warunki dopuszczalności wniosków oraz wykaz 17 umiejętności i know-how, które mają być certyfikowanym inspektorem ochrony danych.
• Wzorzec akredytacji, określający kryteria mające zastosowanie do organizacji, które chcą uzyskać upoważnienie CNIL, w celu poświadczenia umiejętności inspektora ochrony danych na podstawie wzorca certyfikacji.

Do zawodu dedykowane są również kursy szkolnictwa wyższego, takie jak specjalizacje magisterskie i dyplomy uniwersyteckie.

Wynagrodzenie

W "Prywatność Profesjonalisty - Rola, funkcje i Salary Survey 2011" Badanie przeprowadzone przez IAPP ( International Association of Privacy profesjonalistów ) wskazuje, że pracownicy ochrony prywatności US zarobić więcej niż $ +300.000  rocznie 1% z nich, między 200 000  $ i 300 000  $ rocznie do 5% między nimi, od 150 000  $ do 200 000  $ za 13% i od 100 000  $ do 150 000  $ do 37%.

Badanie „Privacy Professional's - Role, Function and Salary Survey 2011” IAPP Canada wskazuje, że kanadyjska profesjonalna ochrona prywatności zarabia od 100 000  $ do 200 000  $ rocznie w sektorze prywatnym (plus premia) oraz od 75 000  $ do 150 000  $ rocznie w sektorze publicznym.

Badanie „Prywatność specjalistów - badanie roli, funkcji i wynagrodzeń 2010” IAPP Europe mówi, że europejscy specjaliści zarabiają od 150 000  $ do 200 000  $ rocznie do 9%, od 100 000  $ do 150 000  $ za 26%. i od 50 000  $ do 100 000  $ do 49%. Ponadto 30% tych specjalistów również otrzymuje opcje na akcje i 60% premii.

Według badania przeprowadzonego przez AFCDP w 2012 r., Średnia pensja CIL wynosiła 47 000  euro brutto rocznie.

Główne zmiany w odniesieniu do korespondenta IT i swobód

Inspektor ochrony danych będąc ewolucją oddelegowanego do ochrony danych osobowych dyrektywy 95/46 / WE , zachowano wiele cech, takich jak jego niezależność, możliwość wykonywania zadań w niepełnym wymiarze godzin, fakt, że musi pozostają wolne od konfliktów interesów, ich bezpośredniego powiązania z administratorem danych lub organem decyzyjnym, roli pośrednika w CNIL , braku osobistej odpowiedzialności. Prawdopodobne jest również, że Inspektor Ochrony Danych będzie kontynuował zadania CIL: przygotowywanie akt formalnych w CNIL do przetwarzania bez formalności, opracowanie polityki ochrony danych osobowych , zapoznanie personelu z przepisami prawa, opracowanie oraz kontrola stosowania określonych kodeksów postępowania.

Główne zmiany inspektora ochrony danych w porównaniu z korespondentem IT i aktualnymi wolnościami to:

• Z opcjonalnego, Delegat staje się obowiązkowy w kilku przypadkach;
• Podwykonawcy, jeśli spełnią kryteria, również będą musieli go wyznaczyć;
• Dane kontaktowe Delegata zostaną podane do wiadomości publicznej;
• Grupom biznesowym łatwiej będzie wyznaczyć inspektora ochrony danych, który będzie dla nich wspólny;
• Administratorzy danych będą mieli pełną swobodę w powoływaniu Delegata spoza organizacji, podczas gdy taka możliwość była oferowana tylko organizacjom z mniej niż pięćdziesięcioma pracownikami mającymi dostęp do danych (zewnętrzni IOD muszą wykupić ubezpieczenie od odpowiedzialności zawodowej).

Inne zmiany nie są wyraźnie wymienione w rozporządzeniu, ale wynikają z jego przepisów. W związku z tym inspektor ochrony danych:

• zapewnić, aby w odniesieniu do najbardziej wrażliwych operacji przetwarzania przeprowadzano i regularnie aktualizowano analizy ryzyka i oceny skutków dla zainteresowanych osób;
• zapewnia nowy obowiązek rozliczalności wynikający z ogólnego rozporządzenia o ochronie danych, który wymaga wykazania zgodności poprzez dostarczenie organowi nadzorczemu na jego żądanie dowodów (dokumentacja, procedury i procesy, plan kontroli wewnętrznej, inwentaryzacja ryzyk, wyniki audytów) i podjęte w związku z tym działania naprawcze);
• zapewnia, że ​​organ powiadamia CNIL, gdy jest to konieczne, o naruszeniach przetwarzania danych osobowych, a nawet informuje osoby, których dane dotyczą, o tym, że naruszenie może spowodować wysokie ryzyko dla praw i wolności osoby fizycznej.

Sankcje w przypadku naruszenia RODO

Jak dotąd nałożono maksymalną karę w wysokości 50 000 euro za umyślne lub wynikające z zaniedbania niepowołanie inspektora ochrony danych. Od 25 maja 2018 roku kara wzrośnie do 2% całkowitego rocznego obrotu do 10 milionów euro. Organ nadzorczy zastrzega sobie prawo do nałożenia wyższej kary. Inspektorzy ochrony danych muszą wykazywać się różnymi kwalifikacjami i być przygotowani do dostosowywania się do zmian w technologii informacyjnej. Niezbędne są dalsze kształcenie i wiedza prawnicza. Osoby, które nie wchodzą w skład rady nadzorczej ani kierownictwa firmy, są inspektorami ochrony danych. Nawet jeśli połączenie jest dozwolone, konstelacja ta może prowadzić do stronniczości i utrudniać przestrzeganie podstawowego rozporządzenia o ochronie danych.

Biura informacji kredytowej i firmy zajmujące się przetwarzaniem danych powinny, wraz z wejściem w życie OVDS UE, podlegać kontroli inspektora ochrony danych, zapewniając tym samym integralność i kompetencje w zakresie zarządzania danymi. Niedopełnienie tego obowiązku skutkować będzie znacznymi karami dla zainteresowanej firmy.

RODO wprowadza nowe wymagania dotyczące zwolnienia i rozwiązania stosunku pracy z Inspektorem Ochrony Danych dla organów publicznych i organizacji prywatnych. DPO podlegają szczególnej ochronie przed zwolnieniem, obowiązkowi zachowania poufności oraz prawu do odmowy składania zeznań.

Bibliografia

• Inspektor ochrony danych. Nowa pozycja w firmie , Bruksela, edycje Bruylant, kolekcja Minilex, edycja III, 2020.
• Zbiorowy, inspektor ochrony danych: znacznie więcej niż praca , wydanie AFCDP, Paryż, 2015, 574 s. ( ISBN  978-2-9552430-0-8 )
• Guillaume Desgens-Pasanau, Le Correspondant Informatique et Libertés , wydania Lexis Nexis, zbiór „Droit & Professionnels”, 2013, 374 s. ( ISBN  978-2711018864 )

Uwagi i odniesienia

1. „  RGPD - Artykuł 37 - Wyznaczenie inspektora ochrony danych  ” , na colibri-dpo.com (dostęp: 22 września 2020 r. )
2. Analiza porównawcza inspektorów ochrony danych , CEDPO, 2012
3. CNIL zbiór danych o organizacjach, które wyznaczyły inspektora ochrony danych (DPD / DPO)
4. Raport roczny CNIL za 2015 rok
5. CNIL w skrócie 2019
6. „  RGPD - Considerant 97  ” , na colibri-dpo.com (dostęp 22 września 2020 r. )
7. „  RGPD - Section 4  ” , na colibri-dpo.com (dostęp 22 września 2020 r. )
8. „  RGPD - Artykuł 39 - Misje inspektora ochrony danych  ” , na colibri-dpo.com (dostęp 22 września 2020 r. )
9. „  RGPD - Artykuł 36 - Wcześniejsze konsultacje  ” , na colibri-dpo.com (dostęp: 22 września 2020 r. )
10. „  CNIL: A Zawód przyszłości  ” , na cnil.fr ,13 października 2015 r(dostęp 25 kwietnia 2016 )
11. Wyniki ankiety „Wdrożenie ogólnego rozporządzenia o ochronie danych”, luty-kwiecień 2019
12. Artykuł i wyniki badania sieci inspektorów ochrony danych ds. Szkolnictwa wyższego, badań naukowych i innowacji w 2019 r
13. „  Certyfikacja umiejętności IOD: CNIL przyjmuje dwa standardy | CNIL  ” , na www.cnil.fr (przeglądano 22 września 2020 r. )
14. Artykuł „Cztery pytania dotyczące pracy… inspektora ochrony danych” z 7 marca 2020 r
15. Przegląd szkoleń przeprowadzonych przez sieć SupDPO w ramach partnerstwa między CNIL i CPU
16. „  Prywatność: Ankieta dotycząca ról, funkcji i wynagrodzeń 2011  ” , na iapp.org ,14 lutego 2012(dostęp 25 kwietnia 2016 )
17. „  Ankieta dotycząca ról, funkcji i wynagrodzeń specjalisty ds. Prywatności 2011  ” , na iapp.org ,14 lutego 2012(dostęp 25 kwietnia 2016 )
18. „  Badanie ról, funkcji i wynagrodzeń specjalisty ds. Ochrony danych 2010  ” , na iapp.org ,14 lutego 2012(dostęp 25 kwietnia 2016 )

Zobacz też

Powiązane artykuły

• Ustawa o ochronie danych
• Dane osobiste
• Anonimowość w Internecie
• Korespondent IT i wolności
• Karty prawa do cyfrowego zapomnienia
• AFCDP Francuskie Stowarzyszenie Korespondentów ds. Ochrony Danych Osobowych
• RODO (rozporządzenie leżące u podstaw DPD / DPO)
• PIA (metoda i narzędzie komputerowe)

Linki zewnętrzne

• Sekcja CNIL "  Inspektor ochrony danych (IOD)  "
• Strona francuskiego stowarzyszenia korespondentów ds. Ochrony danych osobowych
• CEDPO, Konfederacja Europejskich Organizacji Ochrony Danych
• „  Inspektor ochrony danych  ” , Komisja Europejska - Komisja Europejska (konsultowano się 9 czerwca 2018 r. )