Fonction du délégué à la protection des données
Règlement général sur la protection des données · UE 2016/679
Fonction du délégué à la protection des données
1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
2. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l'article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d'entretenir ses connaissances spécialisées.
3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement.
5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions, conformément au droit de l'Union ou au droit des États membres.
6. Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.
Au Luxembourg, la loi du 1er aout 2018 portant organisation de la CNPD et la mise en œuvre du RGPD confirme la competence exclusive de la CNPD (jamais l'APDL) pour contrôler l'effectivite de la fonction de DPO. La CNPD verifie en priorité l'absence de conflit d'intérêts et le rattachement direct a la direction lors de ses contrôles thematiques. La notification du DPO auprès de la CNPD doit être maintenue à jour des qu'un changement de personne ou de rattachement intervient.
Pratique Luxgap : conservez un dossier de preuve horodate (comptes rendus de comites, organigramme, lettre de mission du DPO precisant l'absence d'instructions) immediatement mobilisable, car la CNPD le réclamé en debut de contrôle.