1. Requisitos para um externo responsável pela protecção de dados
Externo responsável pela proteção de dados, como a interna, que deve ser selecionada de acordo com os requisitos estabelecidos no Art. 37 Par. 5, 39 DS-GVO: com Base nesses regulamentos legais, ele já deve ter as qualificações profissionais e os conhecimentos técnicos necessários para cumprir as tarefas que, no momento da sua nomeação, ter, qual o nível de conhecimento exigido deve ser, basicamente, determinado pelo âmbito do processamento de dados pela pessoa responsável e a necessidade de protecção dos dados pessoais tratados.
Experiência prática adquirida com antecedência, conhecimento técnico, formação e educação contínua e a prova de especial protecção de dados de treinamento podem ser necessários. Os candidatos também devem ser esperado para ter qualificações para que eles possam entender o por vezes tecnicamente complexo de processos. Além disso, ele deve ter (pelo menos o básico) conhecimento jurídico, a fim de ser capaz de compreender o grande número de regulamentos, que resultam em Geral de Proteção de Dados Regulamento, o cionais de Regulamento e com a legislação nacional e ser capaz de aplicar os juízos que tenham sido feitos .
2. Mínimo Deveres do encarregado da Protecção de Dados
O mínimo atribuições do encarregado da protecção de dados resultado do Art. 39 DS-GVO, segundo o qual as tarefas podem ser especificadas ou expandida pelo emprego ou contrato de serviço celebrados com ele.
Uma das principais tarefas da protecção de dados externos oficial é trabalhar para o cumprimento de todos (proteção de dados) regulamentos pela pessoa responsável ou o processador e seus funcionários (por meio de informações e aconselhamento), Art. 39 (1) aceso. um GDPR. Para esta finalidade, ele deve ser instruído nos processos de processamento de dados, programas de software, bem como na tecnologia de computador utilizado. Eles devem ser verificados regularmente por ele na seguinte. Além disso, o externo responsável pela proteção de dados deve garantir que as pessoas que lidam com dados pessoais estão familiarizados com os regulamentos de proteção de dados e o seu dever de cuidado. Isso deve ser feito como parte do treinamento regular e (possivelmente repetido) formação contínua.
Um DPO verifica regularmente as medidas técnicas e organizacionais da empresa, desde que esta tarefa tem sido contratualmente atribuídos a ele pela pessoa responsável ou o processador. Para esta finalidade, pelo menos, controle de acesso, controle de entrada, controle de acesso, controle de transferência, controle de entrada, a fim de controle e da disponibilidade de controle devem ser verificadas. Ele também realiza auditorias regulares.
Geralmente ele também monitora os processos automatizados utilizados na empresa, que ele muitas vezes comentários como parte da proteção de dados de avaliação de impacto para garantir que os direitos das pessoas afetadas são adequadamente protegidas e que eles estão suficientemente informados. Isso parece urgente e necessário, com respeito ao direito à informação, o direito de rectificação, o direito de eliminação, o direito à restrição de processamento, o direito à portabilidade dos dados, o direito de oposição, mas também para responder a pedidos de informação.
Além disso, muitas vezes ele cuida da gestão do procedimento regista, embora deva ser notado que não há nenhuma obrigação legal de fazê-lo. Além disso, o DPO poderia ser contratualmente obrigado a desenvolver uma proteção de dados manual, com as necessárias conceitos, diretrizes, orientações e informações sobre o empregado.
Interno ou externo responsável pela proteção de dados deve representar também a pessoa responsável ou o processador em seus negócios, como uma pessoa de contato com a autoridade de supervisão. No entanto, deve ser salientado que a parte externa responsável pela proteção de dados, geralmente, não pode ter qualquer autoridade para tomada de decisões; esta encontra-se unicamente com a pessoa responsável e, portanto, geralmente com a gestão da empresa do seu cliente.
3. Compromisso / término de um responsável pela protecção de dados
Um DPO deve ser nomeados nos casos do Artigo 37 GDPR ou Artigo 38 BDSG nova versão. A designação deve ser feita por escrito; de Acordo com o Art. 37 Par. 7 DS-GVO, ele deve ser publicada e conhecida para a autoridade de supervisão (obrigação de notificação). A designação de certificado deve conter a assinatura do DPO e do responsável da gestão.
A protecção de dados externos oficial não está sujeito às instruções recebidas da gestão da empresa em seu campo de atividade, de acordo com o § 38, parágrafo 3 BDSG nova versão. Ele pode agir livremente, dentro dos limites legais. Por esta razão, deve ser considerada antecipadamente até que ponto um colaborador interno pode trabalhar de forma independente: Em princípio, ele pode assumir outras tarefas e funções na empresa, Seção 38 (6) sentença 1 BDSG; no entanto, ele não deve ter qualquer outra posição em que poderia comprometer a sua autoridade de decisão (e.g. de RH ou de gestão de TI, administração geral, etc.).
De acordo com o § 38, parágrafo 4 BDSG nova versão, uma demissão do DPO só é admissível na respectiva aplicação do § 626 do código civil. Sua relação de emprego só pode ser terminada se existem fatos que permitem a rescisão sem aviso prévio por uma boa causa. Uma vez que a atividade terminou, rescisão durante o ano seguinte não é permitido, a menos que haja boa causa que justifique a rescisão da relação de emprego sem aviso prévio. A questão de em que medida este direito de continuidade no emprego pode ser transferido para o externo responsável pela proteção de dados não foi finalmente esclarecido. A possibilidade de rescisão para uma pessoa que está trabalhando como parte de uma relação de emprego, portanto, poderia ser baseada em Seção 621 BGB ou Secção 627 do código civil. Alternativamente, uma análoga aplicação do § 626 BGB seria concebível. Este último poderia fazer sentido e, provavelmente, se mais próximo que o legislador quer.
4. Interno ou externo DPO?
Isso levanta a questão de se a função de encarregado da protecção de dados deve ser preenchido por um interno ou externo pessoa. Embora, como já mencionado, a cooperação com um funcionário interno pode executar regularmente harmoniosamente devido ao pessoal familiaridade e o conhecimento já existente da empresa e as estruturas associadas, por um lado, há o perigo de, como pode ser visto na prática, que simplesmente inteira áreas de responsabilidade são "esquecidos" ou, por outro lado, o risco de se ter que o candidato não tem qualquer conhecimento técnico ou competências legais. No entanto, as razões mais importantes contra a eleição de um funcionário interno são da sua responsabilidade, e o fato de que o externo encarregado da protecção de dados pode ser terminado mais rapidamente (o que provavelmente irá continuar a aplicar-se o GDPR se aplica). Enquanto o interno DPO só é responsável para a empresa do ponto de vista do empregado, a responsabilidade, a protecção de dados externos oficial regularmente é responsável, de acordo com as Seções 280, 611 BGB e a Seção 823 BGB.
Dependendo do controlador de processador objectivos, os melhores argumentos para a escolha de um interno ou externo DPO. Um bom argumento para o provedor de serviço externo, é que elas geralmente tratam de protecção de dados, em tempo integral.
