Modèle de document
Elaborer une fiche de poste pour un DPO
Cette publication est un modèle de fiche de poste pour la mission de DPO. La structure peut utiliser ce modèle de document pour produire sa propre fiche de poste.
Cette publication est particulièrement utile dans le cadre de l'atteinte des prérequis HOP'EN.
Bonjour,
Je lis en page 2/5 du modèle de fiche de poste DPO que "toutes les organisations qui traitent des données personnelles ont l’obligation de nommer un délégué à la protection des données.".
C'est faux dans cette formulation puisque l'Art. 37 du RGPD donne les cas où cette désignation est obligatoire.
Cela étant dit, puisque cette fiche est ici proposée dans le cadre des prérequis HOP'EN, il suffirait d'y introduire quelques mots pour qu'elle devienne correcte, à mon avis.
"toutes les organisations qui traitent des données personnelles ***concernant la santé*** ont l’obligation de nommer un délégué à la protection des données.", faisant ainsi référence au 37.1.c du RGPD.
A vous lire,
cordialement, P. Arnould
Bonjour,
Avec l'aide de Christian Viallon, expert numérique en santé à l'ANAP et DPO, nous apportons la précision suivante :
La remarque formulée est formellement juste. La désignation d'un DPO n'est pas obligatoire pour toute organisation qui traite des données personnelles,
Cependant nous traitons à l'ANAP du cas du numérique en santé. Or, dans le secteurs sanitaire et médico-social, nous traitons notamment des données de santé (voire d'autres données sensibles) et ce à grande échelle c'est à dire pour un grand nombre de patients/usagers et/ou pour des durées de prise en charge longues.
Dans ce cas, le RGPD Article 37 stipule que la désignation d'un DPO est obligatoire lorsque :
"- le traitement est effectué par une autorité publique ou un organisme public ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base du responsable du traitement consistent en un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et à des infractions."
Il n'y a donc aucun doute sur cette obligation confirmée à plusieurs reprises par la CNIL.
La formulation de la fiche de poste est sans doute un peu abrupte, mais présente l'avantage d'éviter toute ambiguïté sur le fait que les structures sanitaires et médico-sociales doivent désigner un DPO.
Merci pour votre vigilance et merci à Christian d'avoir précisé ce point.