Обработка данных от имени
Обработка данных по заказу - также называемая обработкой данных по заказу ( ADV ) - в Германии относится к сбору, обработке или использованию личных данных поставщиком услуг от имени ответственного лица. Это регулировалось статьей 11 Федерального закона о защите данных (BDSG) в редакции от 14 августа 2009 г. ( Вестник федеральных законов, 2009 г., стр. 2814 ). BDSG в этой версии и, следовательно, раздел 11, содержащийся в ней, были утрачены с вступлением в силу Европейского общего регламента защиты данных ( GDPR, Регламент (ЕС) 2016/679 ) и статьи 1 Немецкой адаптации и внедрения защиты данных. Закон ЕС (DSAnpUG-EU) ( BGBl. 2017 I p. 2097 ) внес изменения в Федеральный закон о защите данных 25 мая 2018 г. С тех пор статья 28 GDPR регулирует обработку от имени клиента . (Условия обработки данных заказа и обработки данных от имени больше не используются в DS-GVO.) Раздел 80 (обработка социальных данных от имени) Книги 10 Кодекса социального обеспечения был принят законодательным органом Германии в соответствии с требования статьи 28 DS-GVO индивидуализированы.
В следующем тексте описывается обработка данных заказа, поскольку она требовалась по закону и действительна до 25 мая 2018 года.
Спецификации обработки данных заказа
После внесения поправок в Федеральный закон о защите данных в 2009 году требования к порядку обработки данных были указаны законодателем в каталоге из десяти пунктов. Обязательным условием был письменный договор со следующими положениями:
- Предмет и продолжительность договорных отношений
- Объем, тип и цель обработки данных
- Технические и организационные меры, принимаемые подрядчиком
- Удаление, авторизация и блокировка личных данных
- Контрольные права клиента
- Возможные полномочия на субподряд
- Обязанности подрядчика (толерантность и участие в контроле)
- Обязанность сообщать о нарушениях BDSG или контракта
- Право клиента давать инструкции по вопросам, касающимся защиты данных
- Возврат или возможное удаление личных данных по окончании договорных отношений (клиент остается владельцем данных )
Прежде чем можно было заключить договор между сторонами, клиент должен был убедиться, что подрядчик может выполнить технические и организационные меры, требуемые законом.
В зависимости от объема и типа данных, подлежащих обработке, это обязательство по контролю может быть выполнено посредством инспекции на месте, подтверждения наличия значимых сертификатов защиты данных, оценки концепции безопасности ИТ или письменной информации от подрядчика.
Клиент предоставил подрядчику персональные данные для обработки в соответствии с процедурой передачи или передачи, указанной в договоре. При необходимости подрядчик также сам собирал персональные данные. Подрядчик должен был отделить персональные данные, подлежащие обработке, от данных, которые он собирал для других целей или которые он обрабатывал и использовал для других клиентов. После завершения обработки подрядчик снова предоставил результаты клиенту в ранее определенной процедуре.
Дифференциация от передачи функций
Из-за различных правовых последствий обработку данных заказа нужно было отличать от передачи функций. В случае обработки данных от имени клиента ответственность за надлежащую обработку данных остается за клиентом. Передача персональных данных в процессе обработки данных от имени не считается передачей в смысле закона о защите данных. Это привело к юридической привилегии: получатель рассматривался как отдел клиента, переданный на аутсорсинг, и поэтому имел право в той же степени, что и клиент, обрабатывать личные данные.
В отличие от этого, подрядчик сам отвечал за обрабатываемые данные при передаче функций. Поэтому для передачи им личных данных требовалось разрешение или согласие .
В законе не было четких требований по разграничению обработки данных от имени передачи функций. На практике отличительным критерием служили полномочия подрядчика. Обработка данных от имени контракта предполагалась, если подрядчик выполнял только вспомогательные и вспомогательные функции. Признаками этого были отсутствие свободы действий в принятии решений и выполнение инструкций для клиента.
Если же, с другой стороны, подрядчику была передана вся задача или сфера деятельности, то речь шла о передаче функций. Свидетельством этого были собственные полномочия компании по принятию решений и независимое усмотрение при обработке данных. Финансовая заинтересованность в переданных данных также может быть индикатором передачи функций.
Примеры
Примерами отношений обработки данных контракта были:
- Договоры на аутсорсинг расчета заработной платы и расчета заработной платы
- Договоры с поставщиками услуг архивирования
- Контракты с поставщиками услуг по уничтожению документов
- Контракты с колл-центрами или агентствами прямого маркетинга (рассылки, информационные бюллетени, почтовые магазины)
- Контракты с компаниями, предлагающими системы управления персоналом или системы управления клиентами ( CRM )
- Контракты с внешними консультантами и обслуживающими компаниями
- другие контракты на предоставление ИТ-ресурсов (например, предоставление услуг приложений , облачные вычисления , программное обеспечение как услуга , онлайн-хранилище , поставщик платежных услуг ).
веб ссылки
- альтернативный образец общества для защиты данных и безопасности данных eV
Индивидуальные доказательства
- ↑ Thomas Hoeren: Новый BDSG и обработка данных заказа DuD 2010, 688-691
- ↑ Заказать обработку данных . Доктор Нильс Кристиан Haag, доступ к 19 июля 2015 года .
- ↑ Заказать обработку данных и передачу функций. (Больше не доступны в Интернете.) Государственный уполномоченный по защите данных Баден-Вюртемберг, архивируются с оригинала на 24 июня 2015 года ; Проверено 19 июля 2015 года . Информация: ссылка на архив вставлена автоматически и еще не проверена. Проверьте исходную и архивную ссылку в соответствии с инструкциями, а затем удалите это уведомление.
- ↑ Справочное пособие по обработке данных заказа. Государственный уполномоченный по защите данных Нижней Саксонии, 2 декабря 2002, доступ к 19 июля 2015 года .
