Une société sanctionnée car son Délégué à la Protection des Données n’était pas en mesure de contrôler le respect du RGPD

Notes et références

1. ↑Le nom de la société n’a pas été communiqué par la Commission, mais son activité principale semble être en lien avec les banques et les établissements de crédit.
2. ↑Un Délégué à la Protection des Données intervient dans toutes les phases de la réalisation d’un traitement de données personnelles. Ses missions précises sont détaillées dans l’article « Qu’est ce qu’un Délégué à la Protection des Données et quelles sont ses missions ? ».
3. ↑Le RGPD demande que le Délégué à la Protection des Données « soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » (source : RGPD, article 38-1). La Commission a cependant constaté que le DPD de la société participait uniquement de façon ponctuelle aux réunions, alors que de nombreuses données personnelles étaient traitées.
4. ↑Le RGPD demande que le DPD fasse « directement rapport au niveau le plus élevé de la direction » de la société (source : RGPD, article 38-3). La Commission a cependant constaté que le DPD faisait partie d’un département de la société, sans lien direct avec la direction. Voir « Comment choisir un Délégué à la Protection des Données ? ».
5. ↑Le RGPD demande que le DPD « contrôle le respect du [RGPD], […] du droit de l’Union ou du droit des États membres en matière de protection des données » (source : RGPD, article 39-1-b). La Commission a cependant constaté qu’aucun plan de contrôle n’était réalisé et que le DPD ne pouvait donc pas s’assurer de la conformité du traitement au RGPD.
6. ↑Le RGPD demande, lorsque des données à caractère personnel sont collectées, que les coordonnées du Délégué à la Protection des Données soient publiées (source : RGPD, article 37-7). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».