This document discusses the role of the Data Protection Officer (DPO) under the General Data Protection Regulation (GDPR). It outlines an agenda with topics on how to choose a DPO, avoid conflicts of interest, formally appoint the DPO, guarantee their independence, involve them in decisions regarding personal data, and inform staff internally. For each topic, it lists questions an organization should consider to ensure they are compliant with the GDPR requirements regarding the DPO. The presentation emphasizes that properly establishing the role of the DPO can help organizations rethink their internal processes to be compliant with privacy regulations.
3. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
4. LE RGPD EST UNE
OPPORTUNITÉ DE
REPENSER LES
PROCESSUS INTERNES !
5. Un petit
résumé ?
TER
R
ITO
R
IA
LSC
O
PE
Non-EUEstablishedO
rganizations
O
ffer goods or ser vices or engaging in
m
onitoring within the EU
.
PER
SO
NA
LD
A
TA SENSITIVED
A
TA
ENFO
R
C
EM
ENT
LA
W
FU
LPR
O
C
ESSING
C
O
NSENT
R
ESPO
NSIB
ILITIESO
FD
A
TAC
O
NTR
O
LLER
SA
NDPR
O
C
ESSO
R
S
R
IG
H
TSO
FD
A
TASU
B
JEC
TS
Transparency
Purpose
Specificationand
M
inim
ization
A
ccess and
R
ectification
A
utom
ated
D
ecision- M
aking
R
ightto D
ata
Portability
R
ightto
Erasure
D
A
TAB
R
EA
C
HNO
TIFIC
A
TIO
N
D
ataProtection
O
fficer (D
PO
)
D
ata
Protectionby
D
esign
INTER
NA
TIO
NA
LD
A
TATR
A
NSFER
D
ataIm
pact
A
ssessm
ent
R
ecordof D
ata
ProcessingA
ctivities
TH
EPLA
YER
S
D
ata
Subjects
D
ataC
ontrollers
D
ata
Processors
Supervisory
A
uthorities
Identified Identifiable
R
acial or
EthnicO
rigin
R
eligious or
Philosophical
B
eliefs
H
ealth
Trade U
nion
M
em
bership Sex
Life
Political
O
pinions
B
iom
etric
D
ata
G
enetic
D
ata
“R
ight not to be subject to a
decision basedsolely on
autom
atedprocessing,
including profiling.”
Apersonal databreachis “abr each of
security leading to the accidental or
unlawful destr uction,loss,alter ation,
unauthorized disclosure of,or access
to,personal datatransm
itted,storedor
otherwise processed.”
C
ollection and processing of per sonal datam
ust
be for “specified,explicit and legitim
ate purposes”
– withconsent of datasubject or necessar y for
C
onsent m
ust be freely
given,specific,
infor m
ed,and
unam
biguous.
M
odel
C
ontractual
C
lauses
Privacy
Shield
B
inding
C
orporate
R
ules
(B
C
R
s)
A
dequate Level of
D
ataProtection
If likely to result in ahighprivacy r isk notify datasubjects
Notify super visory authorities no later
than 72hour s after discovery.
U
pto 20 m
illion euros or 4%of total annual worldwide
turnover . Less serious violations: U
pto 10m
illion
euros or 2%of total annual worldwide turnover.
EUEstablishm
ents
M
aintain adocum
ented
r egister of all activities
involving processing of EU
per sonal data.
built in starting at
the beginning of the
design process
D
esignate D
POif core
activity involves r egular
m
onitoring or processing
large quantities of
per sonal data..
For highr isk
situations
www.teachpr iv acy.com
GDPR
W
orkforce aw
areness trainingbyProf.D
aniel J.Solove
• perform
ance of a contr act
• com
pliance with alegal
obligation
• to pr otect aperson’s
vital interests
• taskin the public
interest
• legitim
ate inter ests
Effective Judicial R
em
edies:
com
pensation for m
ater ial and
non-m
aterial harm
.
Fines
Security
Please askperm
issionto reuse or distribute
7. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
9. Les autres rôles et fonctions
ROLE RGPD INFOSEC
CONSEIL DPO CSI
DPO (RN)
OPÉRATIONNEL CHEF DE PROJET RSSI
10. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
11. COMMENT CHOISIR UN DPO?
SUR LA BASE DE SESCOMPÉTENCES !
VOTRE DPO A-T-IL SUIVI LA FORMATION DE 12 JOURS
(UVCW-TECHNOFUTUR-ICHEC) OU UNE FORMATION
EQUIVALENTE?
ETES-VOUS CAPABLE DE DÉMONTRER QUE VOTRE DPO
(INTERNE OU EXTERNE) A LES QUALITÉS SUFFISANTES
POUR ÊTRE DPO?
UNE DÉCISION MOTIVÉE DE LA DIRECTION A-T-ELLE
ÉTÉ PRISE ET INSÉRÉE DANS LE DOSSIER RGPD?
CETTE DÉCISION PRECISE-T-ELLE BIEN LES RAISONS
DU CHOIX ET NOTAMMENT LA COMPÉTENCE ?
UNE RÉPONSE « NON » ENTRAÎNE LA
RESPONSABILITÉ DU CPAS EN TANT QUE
RESPONSABLE DE TRAITEMENT !
12. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
13. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
AVEZ-VOUS TENU COMPTE DES INCOMPATIBILITÉS
DE FONCTION AVEC LA FONCTION DE DPO?
AVEZ-VOUS TENU COMPTE, POUR UN DPO À TEMPS
PARTIEL, DES EVENTUELS CONFLITS D’INTÉRÊTS
AVEC SON AUTRE FONCTION?
AVEZ-VOUS INSÉRÉ VOTRE RAISONNEMENT AU SUJET
DES CONFLITS D’INTÉRÊTS DANS LA DÉCISION
MOTIVEE?
UNE RÉPONSE « NON » ENTRAÎNE LA
RESPONSABILITÉ DU CPAS EN TANT QUE
RESPONSABLE DE TRAITEMENT !
14. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
15. COMMENT ACTER LA DÉCISION DE NOMINATION ?
AVEZ-VOUS PRIS UNE DÉCISION DÛMENT MOTIVÉE
AU SEIN DES ORGANES DE DIRECTION?
AVEZ-VOUS INSÉRÉ UNE COPIE DE CETTE DÉCISION
DANS LE DOSSIER RGPD?
AVEZ-VOUS NOTIFIÉ CETTE DÉCISION À L’APD?
UNE COPIE DE CETTE NOTIFICATION EST-ELLE
INSÉRÉE DANS LE DOSSIER RGPD?
UNE RÉPONSE « NON » ENTRAÎNE LA
RESPONSABILITÉ DU CPAS EN TANT QUE
RESPONSABLE DE TRAITEMENT !
16. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
17. COMMENT GARANTIR L’INDÉPENDANCE DU DPO ?
UN CONTRAT DE TRAVAIL ET/OU UNE DESCRIPTION
DE FONTION ONT-ELLE ÉTÉ RÉDIGÉS POUR LE DPO ?
LE CONTACT AVEC L’APD EST-IL PRÉVU DANS CE
DOCUMENT ?
LE DPO PEUT-IL EFFECTIVEMENT CHOISIR CE QU’IL
CONTRÔLE?
LE DPO RAPPORTE-T-IL A LA PLUS HAUTE AUTORITÉ
HIÉRARCHIQUE ?
LE DPO EST-IL INDÉPENDANT PAR RAPPORT AU
POUVOIR POLITIQUE ?
UNE RÉPONSE « NON » ENTRAÎNE LA
RESPONSABILITÉ DU CPAS EN TANT QUE
RESPONSABLE DE TRAITEMENT !
18. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
19. COMMENT ASSOCIER LE DPO AUX DÉCISIONS CONCERNANT
DES DONNÉES À CARACTÈRE PERSONNEL (DACP) ?
LE DPO EST-IL INFORMÉ DE TOUS LES PROJETS
TOUCHANT AUX DACP ?
LE DPO PARTICIPE-T-IL AU PROCESSUS DE DÉCISION
TOUCHANT À DES DACP ?
L’AVIS DU DPO EST-IL SYSTÉMATIQUEMENT DEMANDÉ
LORS DE PROJETS LIÉS AUX DACP?
LES DÉCISIONS DE LA DIRECTION TIENNENT-ELLES
COMPTE SYSTÉMATIQUEMENT DE L’AVIS DU DPO?
LE DPO PARTICIPE-T-IL AU PRIVACY BY DESIGN?
LE DPO PARTIDIPE-T-IL AUX DPIA ?
UNE RÉPONSE « NON » ENTRAÎNE LA
RESPONSABILITÉ DU CPAS EN TANT QUE
RESPONSABLE DE TRAITEMENT !
20. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
21. COMMENT METTRE EN PLACE L’INFORMATION DU
PERSONNEL ?
LE DPO A-T-IL PU METTRE EN PLACE LA FORMATION
DU PERSONNEL ?
LES DOCUMENTS D’INFORMATION EN MATIÈRE DE
RESSOURCES HUMAINES ONT-ILS ÉTÉ RÉALISÉS ET
COMMUNIQUÉS ?
INFORMATION QUANT AUX DACP
CHARTE INFORMATIQUE
CLAUSES DE CONFIENTIALITÉS
…
UNE RÉPONSE « NON » ENTRAÎNE LA
RESPONSABILITÉ DU CPAS EN TANT QUE
RESPONSABLE DE TRAITEMENT !
22. AGENDA
1. PETIT RAPPEL
2. LE CONTEXTE DU DPO
3. COMMENT CHOISIR LE DPO?
4. COMMENT ÉVITER LES CONFLITS D’INTÉRÊTS?
5. COMMENT ACTER LA DÉCISSION DE NOMINATION?
6. COMMENT GARANTIR SON INDÉPENDANCE ?
7. COMMENT ASSOCIER LE DPO AUX DÉCISIONS ?
8. COMMENT METTRE EN PLACE L’INFORMATION INTERNE ?
9. CONCLUSION
23. LE RGPD EST UNE
OPPORTUNITÉ DE
REPENSER LES
PROCESSUS INTERNES !