1. Requisitos para una externa oficial de protección de datos
Externo encargado de protección de datos, como la interna, debe ser seleccionado de acuerdo a los requisitos establecidos en el Arte, 37, Párr. 5, 39 DS-GVO: con Base en estas disposiciones legales, él ya debe tener las cualificaciones profesionales y los conocimientos técnicos necesarios requeridos para cumplir con las tareas en el momento de su nombramiento tiene, por el cual el nivel de conocimiento requerido básicamente debe ser determinado por el ámbito de aplicación del procesamiento de datos por la persona responsable y la necesidad de protección de los datos personales tratados.
La experiencia práctica adquirida por adelantado, el conocimiento técnico, la formación y el perfeccionamiento de la educación y la prueba de la especial protección de datos de entrenamiento pueden ser necesarios. Los candidatos también se debe esperar a tener las cualificaciones, para que puedan comprender el a veces técnicamente complejos procesos. Además, se debe tener (al menos básico) conocimientos jurídicos con el fin de ser capaz de entender la gran cantidad de reglamentos que resulten de la General de Protección de Datos Reglamento, la privacidad de las comunicaciones electrónicas de la Regulación y de la legislación nacional y ser capaz de aplicar los juicios que se han hecho .
2. Mínimo Deberes del Oficial de Protección de Datos
El mínimo de tareas del delegado de protección de datos resultado de Arte, 39 DS-GVO, mediante el cual las tareas se pueden especificar o ampliado por el empleo o contrato de servicios con él.
Una de las tareas principales de los datos externos de protección oficial es trabajar hacia el cumplimiento de todos (protección de datos) reglamento por parte de la persona responsable o del encargado del tratamiento y sus empleados (por medio de información y asesoramiento), Arte, 39 (1) lit. un GDPR. Para este propósito se le indicará que, en los procesos de procesamiento de datos de los programas de software así como en la tecnología informática. Deben ser periódicamente revisados por él en el siguiente. Además, el interventor delegado de protección de datos deben garantizar que las personas que manejan datos de carácter personal se familiarice con la normativa de protección de datos y de su deber de cuidado. Esto debe hacerse como parte de la formación regular y (posiblemente repetidos) formación complementaria.
DPO comprueba regularmente las medidas técnicas y organizativas de la empresa, siempre que esta tarea ha sido contractualmente asignado a él por la persona responsable o del encargado del tratamiento. Para este propósito, al menos de control de acceso, control de entrada, control de acceso, control de transferencia, control de entrada, control de pedidos y control de disponibilidad debe ser comprobada. Él también lleva a cabo auditorías periódicas.
Por lo general también supervisa los procesos automatizados utilizados en la empresa, que con frecuencia se revisa como parte de la protección de datos de evaluación de impacto para asegurar que los derechos de las personas afectadas están adecuadamente protegidos y que son lo suficientemente informado. Esto parece urgente y necesario con respecto al derecho a la información, el derecho a la rectificación, el derecho a la cancelación, el derecho a la restricción de procesamiento, el derecho a la portabilidad de los datos, el derecho a oponerse, sino también para responder a las solicitudes de información.
Además, a menudo se ocupa de la gestión del procedimiento de registros, aunque cabe señalar que no hay ninguna obligación legal de hacerlo. Además, la DPO podría ser contractualmente obligados a desarrollar una protección de datos manual con los conceptos necesarios, directrices, orientaciones y la información de los empleados.
El interno o externo encargado de protección de datos también debe representar a la persona responsable o del encargado del tratamiento en sus asuntos como persona de contacto con la autoridad de control. Sin embargo, cabe señalar que el externo encargado de protección de datos generalmente no tienen ninguna autoridad para tomar decisiones; este se encuentra únicamente con la persona responsable y por lo tanto por lo general con la gestión de la empresa de su cliente.
3. Cita / terminación de un delegado de protección de datos
DPO debe ser nombrado en los casos del Artículo 37 GDPR o en el Artículo 38 de la BDSG nueva versión. La designación debe ser por escrito; Según Arte, 37, Párr. 7 DS-GVO, debe ser publicado y dado a conocer a la autoridad de control (obligación de notificar). La designación de certificado debe contener la firma de la RPD y de la persona responsable de la gestión.
El externo encargado de protección de datos no está sujeto a las instrucciones de la dirección de la empresa en su campo de actividad según el artículo 38 párrafo 3 BDSG nueva versión. Él puede actuar libremente dentro de los límites legales. Por esta razón, se debe considerar de antemano en qué medida un interno empleado puede trabajar de forma independiente: En principio, se puede asumir otras tareas y funciones en la empresa, de la Sección 38 (6) sentencia 1 BDSG; sin embargo, no debe contener cualquier otra posición que podría perjudicar su autoridad para tomar decisiones (por ejemplo, los recursos humanos o de la gestión de IT, gestión general, etc.).
Según el artículo 38 párrafo 4 BDSG nueva versión, de la desestimación de la DPO es sólo permisible en la correspondiente aplicación del artículo 626 del código civil. Su relación de trabajo sólo puede ser resuelto si existen hechos que permiten la terminación sin previo aviso por una buena causa. Una vez que la actividad ha terminado, terminación durante el año siguiente no está permitido a menos que exista una causa que justifique la terminación de la relación de trabajo sin previo aviso. La cuestión de la medida en que este derecho de continuar en el empleo, puede ser trasladado a la externa oficial de protección de datos no ha sido, finalmente, aclaró. La posibilidad de la terminación externa de la persona que está trabajando como parte de una relación de trabajo, por lo tanto, podría basarse tanto en la Sección 621 del código civil o de la Sección 627 del código civil. Alternativamente, un análogo de la aplicación del artículo 626 del código civil sería concebible. Este último podría tener sentido y, probablemente, más se acercan a lo que el legislador quiere.
4. Interno o externo DPO?
Esto plantea la cuestión de si la función de delegado de protección de datos debe ser llenado por un interno o externo de la persona. Mientras que, como ya se ha mencionado, la cooperación con una interna de los empleados con regularidad puede ejecutar armoniosamente debido a la familiaridad personal y los conocimientos ya existentes de la empresa y de las estructuras asociadas, por un lado, existe el peligro, como puede verse en la práctica, que simplemente totalidad de las áreas de responsabilidad son "pasa por alto" o, en el otro lado, el riesgo será asumido que el candidato adolece de falta de conocimientos técnicos o habilidades legales. Sin embargo, las razones más importantes en contra de la elección de una interna de los empleados son de su responsabilidad y el hecho de que el externo encargado de protección de datos puede ser terminado más rápido (que probablemente también se aplicarán también cuando el GDPR se aplica). Mientras que la interna de la DPO es sólo responsabilidad a la empresa desde el punto de vista del empleado, la responsabilidad, el interventor delegado de protección de datos con regularidad es responsable en virtud de los artículos 280, 611 del código civil y de la Sección 823 BGB.
Dependiendo del controlador o procesador de objetivos, los mejores argumentos son para la elección de un interno o externo de la RPD. Un buen argumento para el proveedor de servicios externo es que se ocupan generalmente de protección de datos de tiempo completo.
