Сотрудник по защите данных (Общие правила защиты данных)

Сотрудник по защите данных в разговорной речи имеет два разных значения. С одной стороны, различные органы по надзору за защитой данных называются (государственными) должностными лицами по защите данных. Тем не менее, Общий регламент по защите данных (GDPR) означает под этим словом офицера по защите данных компании , который является лицом, назначенным компанией и отвечающим за мониторинг соблюдения руководящих принципов защиты данных.

фон

Общий регламент по защите данных вступил в силу 25 мая 2018 года. Непосредственно применимо постановление было дополнено положениями Бундестага 27 апреля 2017 года в корректировке данных по защите и реализации (Закон DSAnpUG). В Бюллетене федеральных законов № 44 от 12 мая 2017 г. говорится об адаптации закона о защите данных к Регламенту ЕС 2016/679, т.е. GDPR, а также о реализации Директивы (ЕС) 2016/680 в Адаптации к защите данных и Закон о реализации ЕС / DSnpUG был одобрен после утверждения, опубликованного Федеральным президентом. Помимо других законодательных поправок, BDSG был полностью пересмотрен одновременно с дополнением к GDPR.

GDPR предусматривает, что компаниям может потребоваться назначить внутреннего или внешнего сотрудника по защите данных в качестве « контролера » для обработки данных . Статья 37 (1) GDPR регулирует обязанность назначать сотрудника по защите данных, в соответствии с которым заинтересованные компании должны соблюдать юридическое обязательство. Задачи сотрудника по защите данных определены в статье 39 GDPR, а также в разделе 7 BDSG (новый).

Требование к назначению и процесс назначения

Требование к обозначению

И GDPR, и BDSG знают причины, по которым необходимо назначить сотрудника по защите данных. Национальные правила не должны отставать от GDPR, а должны дополнять и ужесточать их.

Согласно GDPR

Должностное лицо по защите данных должно быть назначено в сфере государственного управления, если обработка осуществляется государственным органом или властью. Исключается обработка судами в их судебной деятельности.

Назначение сотрудника по защите данных в частном секторе зависит от того, включает ли основная деятельность компании регулярную и систематическую обработку персональных данных. Критерии для этого:

  • Степень обработки, измеряемая количеством сотрудников, занимающихся обработкой данных в компании, объемом данных и типом записей данных, периодом и регулярностью обработки данных, а также географическим диапазоном обработки данных;
  • цели обработки;
  • тип обработки.

В качестве альтернативы обширная обработка персональных данных, относящихся к особым категориям данных, таким как Б. Связанные со здоровьем, политические или религиозные данные, причина требования об именовании.

Требование сотрудника по защите данных не зависит от формы хранения данных. Поэтому не имеет значения, доступны ли конфиденциальные данные в виде файлов или магнитофонных записей, видео, фотографий или рентгеновских снимков, обрабатываются и оцениваются.

Согласно BDSG

В Германии в §§ 5, 6 и 38 BDSG требования к назначению и увольнению сотрудников по защите данных государственных и негосударственных органов устанавливаются законом. Все органы власти и другие государственные органы, такие как B. Компании публичного права должны без исключения назначать сотрудников по защите данных. То же самое касается институтов исследования рынка и общественного мнения . Для частного сектора регламент предусматривает, что назначение сотрудника по защите данных возможно только для компаний с 20 или более людьми, которые обычно постоянно задействованы в автоматизированной обработке данных, и в том случае, если требуется оценка воздействия на защиту данных, т. Е. особенно при наличии конфиденциальных данных - обязательно.

Процесс именования

В соответствии с GDPR достаточно устного наименования. Тем не менее, предприниматель обязан предоставить контактные данные сотрудника по защите данных в письменной форме в компетентный орган и опубликовать их.

Выбор сотрудника по защите данных

Сотрудником по защите данных может быть назначен внутренний сотрудник или внешний подрядчик. Какой вариант подходит больше, зависит от типа и размера компании, а также от загруженности сотрудника по защите данных. Однако уйти от внутреннего сотрудника по защите данных труднее, поскольку он может потерять свою должность, только подав уведомление без уведомления . Корпорации могут выбрать сотрудника по защите данных группы при условии, что с ним легко связаться из любого филиала. Затем он выполняет функции внутреннего сотрудника по защите данных для своего работодателя и внешнего сотрудника по защите данных для других частей группы. Этот вариант особенно выгоден для корпораций по всему ЕС с несколькими филиалами, поскольку позволяет избежать разных контактных лиц и, таким образом, обеспечивает большую прозрачность и безопасность при обработке и администрировании данных.

Сотрудник по защите данных может одновременно выполнять другие обязательства, при условии, что это не приведет к конфликту интересов. Этот конфликт интересов может существовать, например, в следующих случаях:

  • Уровень руководства, начальника и владельца, а также их уполномоченные лица, подписавшие
  • Подчиненные должности с управленческими задачами и полномочиями по принятию решений по определению целей и средств обработки данных (ИТ),
  • Сотрудники юридического отдела, которые также представляют компанию в суде,
  • Сотрудник службы безопасности или отмывания денег,
  • Руководители отделов и их сотрудники, если они обрабатывают персональные данные самостоятельно, например, в ИТ, в сфере персонала, а также в маркетинге или продажах,
  • Семейные связи между сотрудником по защите данных и ответственным лицом.

Обязанности, права и квалификация

задачи

Статья 39 (1) GDPR определяет минимальные задачи сотрудника по защите данных:

  • Сотрудник по защите данных информирует и консультирует компанию, которая назвала его и ее сотрудников, обо всех применимых правилах защиты данных и, по запросу, об оценке воздействия на защиту данных .
  • Он следит за соблюдением правил защиты данных и стратегии защиты личных данных.
  • Он работает с надзорными органами и является их контактным лицом в компании.

В СИЗО , как голос всех европейских регуляторов устанавливают правовые обязательства сотрудника защиты данных таким образом , что это должно быть в качестве конфиденциальной точки контакта для жертв доступно. С другой стороны, лицо, ответственное за дисциплинарную ответственность, несет ответственность за фактическое выполнение требований защиты данных.

верно

Чтобы сотрудники по защите данных могли выполнять свою работу непредвзято, они должны быть защищены от увольнения , соблюдать конфиденциальность и иметь право отказываться от дачи показаний . Защита от увольнения распространяется только на сотрудников службы внутренней защиты данных. Вы не имеете права давать инструкции руководству, но вы также не можете получать от них инструкции.

Квалификация и оборудование

Эта статья или абзац описывает ситуацию в Германии . Помогите мне описать ситуацию в других странах.

Ответственный за защиту данных назначается в соответствии со статьей 37 (5) GDPR «на основании его профессиональной квалификации и, в частности, специальных знаний, которыми он обладает в области законодательства о защите данных и практики защиты данных, а также основание его способности выполнять задачи, указанные в статье 39 ». Он также должен быть в состоянии выполнять задачи, возложенные на эту роль. Профессиональная ассоциация сотрудников по защите данных в Германии (БВД) делит необходимые специальные знания в своем добровольном обязательстве в области права , информационных и коммуникационных технологий и организации и процессов. Вы должны иметь профессиональную квалификацию по крайней мере в одной из областей и солидные специальные знания в других областях. Члены BVD также обязуются иметь не менее двух лет профессионального опыта в одной из областей и признанную квалификацию сотрудника по защите данных (сертификация).

В соответствии со статьей 38, параграф 2 GDPR, ответственное лицо должно предоставить сотруднику по защите данных необходимые ресурсы для выполнения его задач, в том числе: для поддержания специальных знаний и предоставления ему доступа к личным данным и операциям обработки.

Штрафы за нарушения

Неспособность назначить, несмотря на обязательство, ведет к серьезным штрафам для соответствующей компании. GDPR предусматривает штрафы в размере до 10 миллионов евро или 2% от общемирового годового объема продаж, в зависимости от того, что больше.

веб ссылки

Викисловарь: Сотрудник по защите данных  - объяснение значений, происхождения слов, синонимов, переводов

Индивидуальные доказательства

  1. Новый закон о защите данных (BDSG-new): Федеральный закон о защите данных европеизирован - computerwoche.de. Проверено 29 ноября 2017 года .
  2. Требование сотрудника защиты данных в соответствии с DSGVO / ФЗЗИ новую версию. Accessed 25 июля 2018 года .
  3. Нина Диркс, Кристиан Фрерикс, Тобиас Хиндеркс: Сотрудник по защите данных, особенно в отношении Общего регламента ЕС по защите данных (GDPR) - часть 8 GDPR ЕС . В: diercks digital right blog . ( diercks-digital-recht.de [доступ 5 февраля 2019 г.]).
  4. Внутреннее и внешнее DPO | Эксперт по защите данных . В: Datenschützexperte.de . ( datenschützexperte.de [доступ 29 ноября 2017 г.]).
  5. Государственный комиссар по защите данных и свободе информации Баден-Вюртемберг (ред.): 34-й отчет о деятельности по защите данных . С. 28–29 ( datenschutz.de [PDF]).
  6. Позиционный документ о роли сотрудников по защите данных в учреждениях и органах ЕС. В: https://edps.europa.eu . СИЗО, доступ к 5 февраля 2019 года .
  7. ^ BvD Berufsbild Издание четвёртое профессиональная ассоциация сотрудников по защите данных в Германии, доступ к 5 февраля 2019 года .
  8. GDD-Praxishilfe_DS-GVO_1.pdf - GDD eV Доступно 29 ноября 2017 г. (на английском языке).