Berliner Beauftragte für Datenschutz und Informationsfreiheit (Allemagne), Rapport Annuel 2021
L’autorité berlinoise de protection des données a annoncé avoir sanctionné une clinique pour avoir nommé son directeur comme DPO.
Dans son rapport annuel, l’autorité berlinoise de protection des données a rappelé le principe selon lequel « un délégué à la protection des données peut assumer d’autres tâches et obligations, mais l’entreprise doit veiller à ce que les autres tâches et obligations du délégué n’entraînent pas de conflit d’intérêts ».
Dans le cas d’espèce, le directeur d’une clinique, qui était également l’un des associés, a été nommé par la clinique comme DPO. Devant, d’une part, prendre des décisions stratégiques et opérationnelles sur les traitements de données dans le cadre de ses fonctions de direction, et, d’autre part, contrôler le respect du droit de la protection des données dans le cadre de ses fonctions de DPO, l’autorité de contrôle a estimé que ce double rôle était constitutif d’une situation de conflit d’intérêts.
Cette situation était accentuée par le fait que les patients et collaborateurs étaient dissuadés de poser des questions relatives au traitement des données à caractère personnel à une personne qui est à la fois DPO et directeur de la clinique.
Bien que ne précisant pas la sanction, l’autorité de contrôle, consciente des situations dans lesquelles les entreprises ne disposent pas des ressources humaines ayant les connaissances adéquates en matière de droit à la protection des données personnelles, a rappelé qu’il était possible de former un collaborateur, de recruter un collaborateur ou d’engager un DPO externalisé.
Lien vers le rapport annuel : ici