Les responsables de traitement ou sous-traitants ont l’obligation de désigner un délégué à la protection des données ( DPO) dans les cas suivants :
-
- les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;
-
- les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle ;
-
- les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
Formalisation des missions du DPO
Il est recommandé de formaliser les missions confiées au DPO au travers d’un document spécifique. Exemples : lettre de mission, avenant au contrat de travail, fiche de poste, contrat de prestation de service pour le DPO externe, etc.
Ce document peut également être l’occasion de définir les modalités de travail du DPO (moyens al- loués, interlocuteurs relais identifiés, fréquence des réunions avec la direction de l’organisme et les services traitant les données, circuit de communication, etc.) en décrivant comment les obligations de l’organisme désignant seront transposées en pratique.
Une lettre de mission adaptée au contexte
Jurisconforme vous propose un modèle générique de lettre de mission, inspiré de celui proposé par la CNIL dans son guide pratique RGPD des délégués à la protection des données. Il doit être adapté aux spécificités du contexte (nature juridique de l’organisme, type d’activité, profil et positionnement du DPO) dans les limites du rôle et des missions du DPO définis par le RGPD.
Téléchargez gratuitement un modèle de lettre de mission remise par l’organisme au DPO en cliquant ci-dessous.