Les violations du RGPD sanctionnées par des amendes sont généralement commises par des employés. Il est donc très important d’accroître la sensibilisation en termes de processus sensibles du droit de la protection des données et de leur fournir les connaissances nécessaires pour pouvoir se conformer aux nouvelles exigences.
Le RGPD exige-t-il que les employés soient formés à la protection des données ?
Selon le RGPD, il n’y a pas d’obligation explicite de former les employés à la protection des données. De même, il ne contient pas d’obligation d’exiger des employés au début de leur travail le secret des données. Cependant, différents règlements du RGPD imposent aux entreprises des obligations indirectes de former leurs employés en conséquence. Bien que l’absence de formation rgpd ne puisse pas en soi être sanctionnée par des amendes, les violations de la protection des données résultant de l’absence d’une telle formation le peuvent.
Les articles 33 et 34 du RGPD prévoient des obligations de signalement pour les entreprises envers les autorités de contrôle et les personnes concernées si la violation entraîne un risque élevé de violation des droits et libertés des personnes physiques. La violation de ces obligations de signalement est passible d’une amende en vertu du RGPD. Les entreprises peuvent effectivement prendre en compte cette obligation de signalement, mais seulement si leurs employés sont formés à reconnaître la violation des règles et à évaluer l’existence d’un risque élevé de violation des droits et libertés des personnes physiques.
En particulier, si l’activité principale d’une entreprise consiste à traiter de manière extensive des données personnelles, particulièrement sensibles. Pour en savoir plus sur la formation rgpd, consultez cet article.
L’article 7 du RGPD mentionne également d’autres cas dans lesquels une telle nomination est nécessaire, par exemple dans le cadre du suivi systématique des personnes ou de certaines activités administratives. L’article 37, paragraphe 4 contient une clause dite d’ouverture au moyen de laquelle les législateurs nationaux peuvent préciser les obligations de commande des délégués à la protection des données.
Aujourd’hui, cela s’applique à un grand nombre d’entreprises. En particulier, un délégué à la protection des données doit être nommé s’il existe un cas qui nécessiterait une évaluation d’impact sur la protection des données conformément au RGPD. C’est notamment le cas avec des données très sensibles ou d’autres risques importants pour les droits de la personne concernée. Contrairement aux autres cas, il n’est plus pertinent pour l’obligation de commande que plus de 10 employés traitent des données personnelles.
Conformément à l’art. 39 du RGPD, le commissaire à la protection des données doit informer les » employés effectuant des opérations de traitement » de leurs obligations en matière de protection des données en vertu du RGPD. Dans certaines circonstances, les violations du délégué à la protection des données peuvent également être attribuées à l’entreprise et donc être sanctionnées, particulièrement si l’entreprise ne remplit pas suffisamment son obligation au titre de l’art. 38 du RGPD de soutenir le délégué à la protection des données dans l’exercice de ses fonctions.
Quelles divisions doivent être formées au droit de la protection des données ?
En plus du délégué à la protection des données lui-même, le service informatique revêt une importance particulière, car il doit mettre en œuvre les exigences du RGPD, notamment en ce qui concerne les principes d’économie des données et les paramètres techniques favorables à la protection des données (la vie privée dès la conception, la vie privée par défaut). Il en va de même pour les développeurs de produits.
En outre, tous les employés devraient avoir des connaissances de base en matière de droit de la protection des données. En effet, non seulement les conseillers à la clientèle et les consultants, mais en principe tous les employés peuvent être impliqués dans le traitement des données personnelles. Il est important de former séparément le service RH et le comité d’entreprise afin de garantir le respect des réglementations internes en matière de protection des données.
Quelles informations doivent être enseignées dans le cadre d’un cours de formation des employés ?
D’abord, il convient d’enseigner une compréhension de base des « données personnelles », du « traitement » et des « droits et libertés des personnes physiques ». Quand de tels processus ont-ils lieu ? Pourquoi ces processus sont-ils particulièrement dignes de protection ?
Les principes de base les plus importants du droit de la protection des données devraient ensuite être présentés. Il s’agit par exemple des principes de l’économie des données, de la transparence et des obligations d’information.
En outre, les directives relatives au traitement licite des données doivent être exposées, à savoir le principe d’interdiction avec la réserve de la permission par le consentement et la mise en balance des intérêts.
Enfin, la spécificité du traitement des données selon le RGPD par rapport à l’ancienne situation juridique doit être abordée.