- Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
C'est le responsable du traitement qui doit notifier la fuite à la personne concernée, pas le sous-traitant.
Le sous traitant n'a pas le droit de traiter les données pour autre chose que ce que le responsable de traitement a ordonné (article 28). Il n'a notamment pas le droit de prendre tout seul la décision d'avoir lui même un sous traitant pour la tâche qu'on lui confie.
"détermine les finalités et les moyens du traitement"
C'est le professionnel de santé qui décide :
La personne qui décide de traiter une donnée personnelle est le responsable de traitement dans tous les cas (ou co-responsable)
Le sous traitant met en place les procédés techniques pour réaliser le traitement demandé par le responsable du traitement.
En pratique le professionnel de santé n'a pas les compétences pour comprendre ce que fait le sous traitant ou les obligations du RGPD, l'aversion au changement empêche le changement de sous-traitant et il faut qu'il y ait un meilleur choix. Il n'y a presque aucun risque financier à ne pas respecter le RGPD et à ne pas faire un logiciel qui fonctionne correctement.