1. Eisen voor een externe functionaris voor de gegevensbescherming
Een externe functionaris voor de gegevensbescherming, zoals de interne moeten worden geselecteerd op basis van de eisen, bedoeld in Art. 37 Para. 5, 39 DS-GVO: op Basis van deze wettelijke bepalingen, hij moet al over de professionele kwalificaties en de benodigde specialistische kennis is vereist om de taken te vervullen op het ogenblik van zijn benoeming hebben, waarbij het niveau van de vereiste kennis moet in principe worden bepaald door de omvang van de verwerking van gegevens door de verantwoordelijke en de noodzaak voor bescherming van de persoonlijke gegevens die worden verwerkt.
Praktische ervaring die is opgedaan in de voorverkoop, technische kennis, opleiding en bijscholing en een bewijs van de bijzondere bescherming van de gegevens opleiding nodig. Kandidaten moeten ook worden verwacht dat HET de kwalificaties, zodat ze kunnen begrijpen van de soms technisch complexe processen. Bovendien, hij moet hebben (ten minste een basic) juridische begrip om te kunnen begrijpen van het grote aantal regelingen die het gevolg zijn van de Algemene Verordening gegevensbescherming, de ePrivacy-Verordening en de nationale wetgeving en kunnen toepassen van de beslissingen die zijn gemaakt .
2. De minimale Taken van de Functionaris voor gegevensbescherming
De minimale taken van de functionaris voor gegevensbescherming resultaat van Art. 39 DS-GVO, waarbij de taken kunnen worden opgegeven of uitgebreid door de arbeidsovereenkomst of de service-overeenkomst afgesloten met hem.
Een van de primaire taken van de externe functionaris voor de gegevensbescherming is om te werken aan de naleving van alle (bescherming van gegevens) voorschriften door de verantwoordelijke of de bewerker en zijn medewerkers (door middel van informatie en advies), Art. 39 (1) lit. een GDPR. Voor dit doel is hij te worden geïnstrueerd in de processen van de verwerking van gegevens software programma ' s evenals in de computer-technologie gebruikt. Ze moeten regelmatig worden gecontroleerd door hem in het volgende. Daarnaast is de externe functionaris voor de gegevensbescherming moet ervoor zorgen dat personen die omgaan met persoonlijke gegevens worden vertrouwd gemaakt met de wet bescherming persoonsgegevens en van hun zorgplicht. Dit dient gedaan te worden als onderdeel van de reguliere opleiding en (eventueel herhaalde) voor verdere opleiding.
Een FUNCTIONARIS controleert regelmatig de technische en organisatorische maatregelen van de vennootschap, op voorwaarde dat dit een taak is contractueel aan hem toegewezen door de verantwoordelijke of de verwerker. Voor dit doel, ten minste access control entry control, access control, transfer control input-regelaar, om de controle en de beschikbaarheid van de controle moet worden gecontroleerd. Ook verricht hij regelmatig audits.
Hij meestal ook toezicht op de geautomatiseerde processen van de onderneming, die hij vaak reviews als onderdeel van de privacyeffectbeoordeling om ervoor te zorgen dat de rechten van de betrokkenen zijn voldoende beschermd zijn en dat zij voldoende geïnformeerd zijn. Dit lijkt dringend noodzakelijk is met betrekking tot het recht op informatie, het recht op rectificatie, het recht op uitwissing van gegevens, het recht om de beperking van de verwerking, het recht om de draagbaarheid van gegevens, het recht om een object, maar ook om te reageren op verzoeken om informatie.
Bovendien neemt hij vaak de zorg van het beheer van de procedure registers, hoewel opgemerkt moet worden dat er geen wettelijke verplichting om dit te doen, hetzij. Daarnaast is de DPO kan contractueel worden verplicht om het ontwikkelen van een data protection handmatig met de nodige concepten, richtlijnen, richtlijnen en gegevens van een werknemer.
De interne of externe functionaris voor de gegevensbescherming moet vertegenwoordigen ook de verantwoordelijke persoon of de processor in zijn zaken als contactpersoon met de toezichthoudende autoriteit. Er moet echter op worden gewezen dat de externe functionaris voor gegevensbescherming over het algemeen kan het geen beslissingsbevoegdheid; dit ligt uitsluitend bij de persoon die verantwoordelijk is en dus meestal met het management van het bedrijf van zijn cliënt.
3. Afspraak / beëindiging van een data protection officer
Een DPO moet worden benoemd in de gevallen van Artikel 37 GDPR of Artikel 38 BDSG nieuwe versie. De aanwijzing geschiedt schriftelijk; Volgens Art. 37 Para. 7 DS-GVO, het moet gepubliceerd worden en bekend gemaakt aan de toezichthoudende instantie (mededelingsplicht). De aanwijzing certificaat dient te bevatten van zowel de handtekening van de FUNCTIONARIS voor gegevensbescherming en die van de verantwoordelijke persoon van het management.
De externe functionaris voor de gegevensbescherming is niet onderworpen aan de instructies van het management van de onderneming in zijn veld van activiteit volgens § 38 lid 3 BDSG nieuwe versie. Hij vrij kan handelen binnen de wettelijke grenzen. Om deze reden, moet worden beschouwd als van te voren in welke mate een interne medewerker kan zelfstandig werken: In principe kan hij op andere taken in de onderneming, artikel 38, lid 6) zin 1 BDSG; hij moet echter niet te houden en elke andere plaats dat kan afbreuk doen aan zijn besluitvorming autoriteit (bijvoorbeeld een HR-afdeling of HET management, algemeen management, etc.).
Volgens § 38 lid 4 BDSG nieuwe versie, een ontslag van de DPO is alleen toegestaan in de overeenkomstige toepassing van § 626 BGB. Zijn arbeidsverhouding kan slechts worden beëindigd als er feiten dat beëindiging zonder voorafgaande kennisgeving voor het goede doel. Zodra de activiteit is beëindigd, beëindiging tijdens het volgende jaar is niet toegestaan, tenzij er een goede reden die rechtvaardigt dat de ontbinding van de arbeidsovereenkomst zonder voorafgaande kennisgeving. De vraag van de mate waarin dit recht van voortzetting van het dienstverband kan worden overgedragen aan de externe functionaris voor de gegevensbescherming is niet definitief beantwoord. De mogelijkheid van opzegging voor een externe persoon die werkzaam is als onderdeel van een arbeidsrelatie kan dan ook worden gebaseerd op Sectie 621 BGB of artikel 627 BGB. U kunt ook een analoge toepassing van § 626 BGB denkbaar zou zijn. De laatste kan zinvol is en waarschijnlijk komt het dichtst bij wat de wetgever wil.
4. Interne of externe FUNCTIONARIS?
Dit leidt tot de vraag of de rol van functionaris voor de gegevensbescherming moet worden ingevuld door een interne of een externe persoon. Terwijl, zoals reeds vermeld, de samenwerking met een interne medewerker kan regelmatig uitvoeren harmonieus door de persoonlijke bekendheid en de reeds bestaande kennis van het bedrijf en de bijbehorende bouwwerken, aan de ene kant is er het gevaar, zoals kan worden gezien in de praktijk, dat is gewoon hele gebieden van verantwoordelijkheid zijn "vergeten" of, aan de andere kant, het risico is voor rekening van de kandidaat ontbreekt, hetzij van technische expertise of juridische vaardigheden. Echter, de meest belangrijke redenen tegen de verkiezing van een interne medewerker zijn hun aansprakelijkheid en het feit dat de externe functionaris voor de gegevensbescherming kan worden beëindigd sneller (die waarschijnlijk ook van toepassing blijven indien de GDPR van toepassing is). Terwijl de interne DPO is slechts aansprakelijk voor de vennootschap vanuit het oogpunt van de aansprakelijkheid van werknemers, de externe functionaris voor gegevensbescherming wordt regelmatig gesteld krachtens de artikelen 280, 611 BGB en Sectie 823 BGB.
Afhankelijk van de voor de verwerking verantwoordelijke of de verwerker van de doelstellingen van de betere argumenten zijn voor de keuze van een interne of externe FUNCTIONARIS. Een goed argument voor de externe service provider is dat ze meestal met de bescherming van de gegevens full-time.
