Le RGPD exige que l’organisme aide son.sa délégué.e en lui fournissant l’accès aux données à caractère personnel et aux opérations de traitement, en mettant à sa disposition les ressources nécessaires pour exercer ses missions, et en lui permettant d’entretenir ses connaissances spécialisées. Au plus les traitements sont complexes et/ou sensibles, au plus il convient d’offrir des ressources au délégué.
À cet égard, l’organisme doit notamment prévoir ce qui suit :
- Le soutien actif de la fonction du délégué par ses supérieurs hiérarchiques ;
- L’associer en temps utile, et dès le départ d’un nouveau projet, à toutes les questions relatives à la protection des données à caractère personnel ;
- Un temps suffisant à l’exercice de ses missions de délégué ;
- Le soutien adéquat en termes de ressources financières, d’infrastructures (locaux, installations, équipements) et, si nécessaire, de personnel ;
- La communication officielle de la désignation du délégué à l’ensemble du personnel ainsi qu’à l’Autorité de contrôle (notification à l’APD) afin de veiller à ce que présence et coordonnées du DPO soient connues ;
- L’accès requis aux autres services au sein de l’organisation (ressources humaines, service juridique, informatique, etc.) de sorte que le délégué reçoive le soutien, la contribution et les informations essentiels de ces autres services ;
- La formation continue : le délégué doit avoir la possibilité de maintenir ses connaissances à jour en ce qui concerne les évolutions dans le domaine de la protection des données ;
- L’assurance que l’avis du délégué soit toujours dûment pris en considération. A titre de bonne pratique, le “G29” recommande de consigner les raisons pour lesquelles l’avis du délégué n’a pas été suivi ;
- L’indépendance et l’autonomie du délégué dans l’exercice de ses missions de DPO.