1. Wymagania do zewnętrznego pracownika odpowiedzialnego za ochronę danych
Zewnętrzny pracownik ochrony danych, jak i wewnętrzny, musi być wybrany zgodnie z wymaganiami zawartymi w p. 5 § 37, 39 DS-ГВО: na podstawie tych przepisów, powinien już posiadać kwalifikacji zawodowych i niezbędne specjalistyczną wiedzę, niezbędne do wykonywania zadań w momencie jego przeznaczenia, przy czym wymagany poziom wiedzy powinien w zasadzie być określona ilością danych uŝytkownika i koniecznością ochrony przetwarzanych danych osobowych.
Może być konieczne podgląd praktyczne doświadczenie, wiedza techniczna, szkolenia i edukacja, a także potwierdzenie specjalnego szkolenia w zakresie ochrony danych. Należy również spodziewać się, że kandydaci będą mieć IT-kwalifikacje, aby mogli zrozumieć czasami technicznie skomplikowane procesy. Ponadto, musi on mieć (przynajmniej podstawową) prawnych zrozumieniem, aby móc zrozumieć duża liczba aktów prawnych, wynikających z Ogólnego regulaminu ochrony danych osobowych, Rozporządzenia ePrivacy i prawa krajowego, a także umieć zastosować wydanych decyzji .
2. Minimalne obowiązki pracownika w zakresie ochrony danych
Minimalne zadania pracownika ochrony danych wynikają z art. 39 DS-ГВО, zgodnie z którą zadania mogą być rafinowane lub rozszerzone zawartą z nim umową o pracę lub służbowym umową.
Jednym z głównych zadań zewnętrznego pracownika ochrony danych jest praca za przestrzeganie wszystkich zasad (ochrona danych) osobą odpowiedzialną lub przez procesor i jego pracowników (za pomocą informacji i konsultacji), artykuł 39 (1) lit. GDPR. Do tego musi być poinstruowany o procesach przetwarzania danych programowo, a także o stosowanych technologiach komputerowych. Muszą być regularnie sprawdzane im w przyszłości. Oprócz tego, zewnętrzny pracownik ochrony danych powinien zapewnić, aby osoby przetwarzające dane osobowe, zostały zaznajomione z przepisami dotyczącymi ochrony danych i ich obowiązkami opieki. To musi być zrobione w ramach regularnego uczenia się i (być może ponownie) dalszego uczenia się.
BE regularnie sprawdza techniczne i organizacyjne działania firmy, pod warunkiem, że to zadanie zostało powierzone mu na podstawie umowy osobą odpowiedzialną lub refinera. Aby to zrobić, należy sprawdzić, co najmniej, kontrola dostępu, kontrola wejścia, kontrola dostępu, kontrola transmisji, kontrola wejścia, kontrola zamówień i kontrola dostępności. On również prowadzi regularne audyty.
Zwykle kontroluje również zautomatyzowane procesy stosowane w firmie, które często rewiduje w ramach oceny oddziaływania na ochronę danych, aby upewnić się, że prawa osób dotkniętych chorobą odpowiednio zabezpieczone i że są wystarczająco poinformowani. To jest bardzo konieczne w odniesieniu do prawa do informacji, prawo do poprawiania, prawo do usuwania, prawa do ograniczenia traktowania, prawa przenoszenia danych, prawa do sprzeciwu, a także odpowiadać na wnioski o udzielenie informacji.
Ponadto, jest on często dba o zarządzaniu zapisów procedur, choć należy zauważyć, że to również nie jest prawnym obowiązkiem. Ponadto inspektor ochrony danych może być zobowiązany na podstawie umowy opracować podręcznik ochronie danych osobowych z wymaganymi pojęciami, zasadami, wytycznymi i informacjami o pracownikach.
Pracownik w wewnętrznej lub zewnętrznej ochronie danych powinien również stanowić osoba odpowiedzialna lub obsługi danych w jego sprawach jako osoby kontaktowej w надзорном organie. Należy jednak pamiętać, że zewnętrzny specjalista ds. ochrony danych, jak zwykle, nie może mieć żadnych uprawnień do podejmowania decyzji; to spoczywa wyłącznie na właścicielu twarzy i, w konsekwencji, zwykle w instrukcji firmy klienta.
3. Przydział / zwolnienie pracownika ochrony danych
DPO musi być nazwany w przypadkach artykułu 37 GDPR lub artykułu 38 BDSG nowej wersji. Wskazówka powinna być sporządzona w formie pisemnej; zgodnie z artykułem 37 pkt 7 DS-ГВО, musi być opublikowane i podane do wiadomości organu nadzoru (obowiązek powiadomić). Certyfikat przeznaczenia musi zawierać podpis DPO i podpis przewodnika osoby odpowiedzialnej.
Pracownik ochrony danych zewnętrznych nie przestrzega instrukcji kierownictwa firmy w swojej dziedzinie działalności, zgodnie z § 38 pkt 3 BDSG nowa redakcja. Może on swobodnie działać w ramach prawa. Właśnie z tego powodu należy wcześniej rozważyć o tym, w jakim stopniu wewnętrzny pracownik może pracować niezależnie: w zasadzie, może wykonywać inne zadania i obowiązki w firmie, rozdział 38 (6) propozycja 1 BDSG; jednak nie powinien zajmować żadnego innego stanowiska, które mogą wpływać na jej uprawnienia do podejmowania decyzji (np. zarządzanie personelem lub IT, ogólne itp).
Zgodnie z § 38 paragrafu 4 nowej wersji BDSG, zwolnienia DPO jest dozwolone tylko przy odpowiednim zastosowaniu § 626 BGB. Jego stosunki pracy mogą być rozwiązane tylko wtedy, jeżeli istnieją fakty, które pozwalają rozwiązać je bez uprzedniego powiadomienia bez powodu. Po zaprzestaniu działalności zwolnienie w ciągu następnego roku nie są dozwolone, jeśli nie ma dobrych powodów, uzasadniających rozwiązanie stosunku pracy bez uprzedniego powiadomienia. Pytanie o to, w jakim stopniu prawo to na kontynuowanie pracy może być przekazana zewnętrznego pracownika ochrony danych, w końcu nie прояснен. W ten sposób, możliwość zwolnienia zewnętrznego osoby pracującej w ramach stosunku pracy, może opierać się albo na dziale 621 BGB, albo na dziale 627 BGB. Alternatywnie możliwe byłoby podobne zastosowanie § 626 BGB. To ostatnie może mieć sens i chyba najbliżej tego, czego chce ustawodawca.
4. Wewnętrzny lub zewnętrzny BE?
W związku z tym pojawia się pytanie o to, czy pełnić rolę pracownika ochrony danych wewnętrznego lub zewnętrznego twarz. Chociaż, jak już wspomniano, współpraca z wewnętrznym pracownik może regularnie przebiegać harmonijnie dzięki osobistego zapoznania się i już istniejących wiedzy na temat firmy i jej struktur, z jednej strony, istnieje niebezpieczeństwo, jak to widać w praktyce, że po prostu "pomijane z rodzaju" całe strefy odpowiedzialności lub, z drugiej strony, istnieje ryzyko, że kandydatowi brakuje lub wiedzy technicznej, albo prawnych umiejętności. Jednak najważniejszymi przyczynami przeciwko wybory wewnętrznego pracownika są jego odpowiedzialność i fakt, że zewnętrzny pracownik ochrony danych może być zwolniony szybciej (co prawdopodobnie nadal będzie obowiązywać, jeśli stosuje się GDPR). Podczas gdy wewnętrzny inspektor ochrony danych jest odpowiedzialny przed firmą tylko z punktu widzenia odpowiedzialności pracowników, zewnętrzny pracownik ochrony danych regularnie ponosi odpowiedzialność zgodnie z sekcjami 280, 611 BGB i 823 BGB.
W zależności od celów kontrolera lub cpu najlepszymi argumentami są wybór wewnętrznego lub zewnętrznego DPO. Dobrym argumentem na rzecz zewnętrznego dostawcy usług jest to, że zazwyczaj zajmuje się ochroną danych w pełnym wymiarze.
