1. Krav til en ekstern data protection officer
En ekstern data protection officer, som det indre, der skal vælges i henhold til de krav, der er fastsat i Artikel 37, Stk. 5, 39 DS-GVO: Baseret på disse retlige bestemmelser, skal han allerede har de faglige kvalifikationer og den nødvendige specialviden, der kræves for at opfylde de opgaver, der på tidspunktet for hans udnævnelse har, hvorved niveauet af viden, der kræves, bør stort set være bestemt af omfanget af den behandling af oplysninger som den person, der er ansvarlig, og behovet for beskyttelse af de personoplysninger, der behandles.
Praktiske erfaring, der er opnået i forvejen, teknisk viden, uddannelse og videregående uddannelse og bevis for en særlig beskyttelse af personoplysninger uddannelse kan være påkrævet. Kandidater bør også forventes at have IT-kvalifikationer, så de kan forstå de til tider teknisk komplekse processer. Hertil kommer, at han skal have (mindst en grundlæggende) juridiske forståelse for at være i stand til at forstå det store antal love som følge af Generel Forordning om databeskyttelse, den privatlivets fred-lovgivningen og den nationale lovgivning, og at være i stand til at anvende de domme, der er lavet .
2. Minimum Opgaver Data Protection Officer
Den mindste opgaver data protection officer resultat fra Artikel 39 DS-GVO, hvorved de opgaver, der kan angives eller udvidet ved ansættelse og kontrakt, som er indgået med ham.
En af de primære opgaver for den eksterne data protection officer, er at arbejde hen imod overholdelse af alle (beskyttelse af data) bestemmelser af den person, der er ansvarlig, eller den processor og hans medarbejdere (ved hjælp af information og rådgivning), Artikel 39 (1) lyser. en GDPR. Til dette formål, det er at blive undervist i de processer, der er af edb-programmer samt i computer teknologi, der anvendes. De bør regelmæssigt kontrolleres af ham i det følgende. Hertil kommer, at de eksterne data protection officer, der skal sikre, at personer, som behandler personlige data, der er gjort bekendt med de regler om databeskyttelse og deres omsorgspligt. Dette bør ske som en del af regelmæssig træning og (eventuelt gentages) yderligere uddannelse.
En DPO ' en regelmæssigt kontrollerer den tekniske og organisatoriske foranstaltninger for virksomheden, forudsat at denne opgave har været kontraktligt har fået tildelt af den person, der er ansvarlig, eller processoren. Til dette formål, skal mindst adgangskontrol, post kontrol, adgangskontrol, overførsel af kontrol, input kontrol, orden, kontrol og tilgængelighed kontrol skal kontrolleres. Han udfører også regelmæssige revisioner.
Han plejer også overvåger automatiserede processer, der anvendes i virksomheden, som han ofte anmeldelser som en del af den konsekvensanalyse vedrørende databeskyttelse, til at sikre, at de berørte personers rettigheder er beskyttet tilstrækkeligt, og at de er tilstrækkeligt informerede. Dette synes tvingende nødvendigt med hensyn til retten til information, ret til berigtigelse, retten til sletning, retten til begrænsning af behandling, retten til data overførsel, ret til at gøre indsigelse, men også til at reagere på anmodninger om oplysninger.
Desuden, at han ofte tager sig af ledelsen af den procedure, der registrerer, selv om det skal bemærkes, at der ikke er nogen juridisk forpligtelse til at gøre det enten. Hertil kommer, at den DATABESKYTTELSESANSVARLIGE kan være kontraktligt forpligtet til at udvikle en data protection manual med de nødvendige begreber, retningslinjer, retningslinjer og information.
Den interne eller eksterne data protection officer skal også repræsentere den person, der er ansvarlig, eller den processor i hans anliggender som en kontaktperson med tilsynsmyndigheden. Det bør dog bemærkes, at de eksterne data protection officer, der generelt ikke har nogen besluttende myndighed; denne påhviler alene den person, der er ansvarlig og dermed normalt med virksomhedens håndtering af hans klient.
3. Ansættelse / opsigelse af en data protection officer
En DPO ' en skal være navngivet i tilfælde af Artikel 37 GDPR eller Artikel 38 BDSG nye version. Udpegning skal ske skriftligt i Henhold til Artikel 37, Stk. 7 DS-GVO, det skal offentliggøres og gøres kendt til tilsynsmyndigheden (anmeldelsespligt). Betegnelsen certifikat skal indeholde både signatur DPO ' en, og at der af den ansvarlige ledelse.
De eksterne data protection officer, ikke er underlagt instruktioner med virksomhedens ledelse inden for hans aktivitet i henhold til § 38, stk 3 BDSG nye version. Han kan handle frit inden for lovens grænser. Af denne grund, bør det overvejes på forhånd, i hvilket omfang en intern medarbejder, der kan arbejde selvstændigt: I princippet, kan han påtage sig andre opgaver og pligter i selskabet, Afsnit 38 (6) sætning 1 BDSG; men han skal ikke holde andre position, der kunne svække hans besluttende myndighed (fx HR eller IT-ledelse, osv.).
I henhold til § 38, punkt 4, BDSG nye version, en afskedigelse DPO ' en er kun tilladt i de tilsvarende anvendelse af § 626 BGB. Ansættelsesforholdet kan kun opsiges, hvis der er forhold, der giver opsigelse uden varsel for en god sag. Når aktiviteten er afsluttet, afslutning i løbet af de følgende år er ikke tilladt, medmindre der er god sag, som kunne begrunde en opsigelse af ansættelsesforholdet uden varsel. Spørgsmålet om, i hvilket omfang denne ret fortsat beskæftigelse, kan overføres til den eksterne data protection officer, der ikke er blevet endeligt afklaret. Muligheden for opsigelse for en ekstern person, der arbejder som en del af et ansættelsesforhold, kunne derfor være baseret enten på Afsnit 621 BGB eller § 627 BGB. Alternativt, en analog anvendelse af § 626 BGB ville være muligt. Sidstnævnte kan give mening, og formentlig kommer tættest på, hvad lovgiver ønsker.
4. Interne eller eksterne DPO ' en?
Dette rejser spørgsmålet om, hvorvidt den rolle data protection officer skal besættes af en intern eller en ekstern person. Mens der, som allerede nævnt, i samarbejde med en intern medarbejder, der regelmæssigt kan køre harmonisk skyldes, at det personlige kendskab og den allerede eksisterende viden om virksomheden og de associerede strukturer på den ene side er der den fare, som det kan ses i praksis, at du hele områder af ansvar er "overset" eller, på den anden side er risikoen for at blive båret, at den kandidat, der enten mangler teknisk ekspertise eller juridiske kompetencer. Men det mest vigtige grunde mod valg af en intern medarbejder er deres ansvar, og det faktum, at de eksterne data protection officer kan afsluttes hurtigere (der vil sandsynligvis også fortsætte med at gælde, hvis GDPR gælder). Mens den interne DPO ' en er kun ansvarlig over for virksomheden fra det synspunkt af medarbejder ansvar, de eksterne data protection officer, der er regelmæssigt ansvarlig i henhold til § 280, 611 BGB og § 823 BGB.
Afhængigt af den registeransvarlige eller processor mål, jo bedre argumenter enten for at vælge en intern eller en ekstern DPO ' en. Et godt argument for, at den eksterne udbyder er, at de normalt beskæftiger sig med databeskyttelse på fuld tid.
