1. Cerințele pentru un extern cu protecția datelor
Extern responsabil cu protecția datelor, ca și cel intern, trebuie să fie selectate în conformitate cu cerințele prevăzute în Art. 37 Alin. 5, 39 DS-GVO: pe Baza acestor reglementări legale, el trebuie să aibă deja calificările profesionale și necesare cunoștințe de specialitate necesare pentru a îndeplini sarcinile la timp de la numirea sa trebuie, prin care nivelul de cunoștințe necesar ar trebui să fie, practic, determinat de domeniul de prelucrare a datelor de către persoana responsabilă și nevoia de protecție a datelor cu caracter personal prelucrate.
Experiența practică dobândită în avans, suport tehnic, instruire și educație în continuare și dovada speciale de protecție a datelor, poate fi necesară pregătire. Candidații ar trebui să fie, de asemenea, de așteptat să aibă O calificare, astfel încât acestea să poată înțelege uneori din punct de vedere tehnic procese complexe. În plus, el ar trebui să aibă (cel puțin o bază) juridice înțelegere, în scopul de a fi capabil să înțeleagă număr mare de reglementări care decurg din Regulamentul General privind Protecția Datelor, în mediul electronic Regulament și cu legislația națională și să fie capabil să aplice hotărârile care au fost făcute .
2. Minim Sarcinile responsabilului cu Protecția Datelor
Minim sarcinile responsabilului cu protecția datelor rezulta din Art. 39 DS-GVO, prin care sarcinile pot fi specificate sau extins de ocupare a forței de muncă sau contract de prestări servicii încheiat cu el.
Una dintre principalele sarcini de externe, responsabilul cu protecția datelor este de a lucra spre respectarea tuturor (protecția datelor) regulamentele de către persoana responsabilă sau procesor și angajații săi (prin mijloace de informare și consiliere), Art. 39 (1) lit. un RGPD. În acest scop, el este de a fi instruiți în procesele de prelucrare a datelor cu programe software precum și în tehnologia informatică folosită. Acestea ar trebui să fie verificate în mod regulat de el în următoarele. În plus, externe, responsabilul cu protecția datelor trebuie să se asigure că persoanele care se ocupa de date cu caracter personal sunt familiarizați cu reglementările de protecție a datelor și de datoria lor de îngrijire. Acest lucru ar trebui să fie făcut ca o parte din antrenament regulat și (eventual repetate) mai mult de formare.
O RPD verifică în mod regulat măsuri tehnice și organizatorice de companie, cu condiția că această sarcină a fost, prin contract, atribuit lui de către persoana responsabilă sau procesor. Pentru acest scop, cel puțin control acces, intrarea de comandă, control acces, transfer de control, de intrare de control, comandă-control și disponibilitatea de control trebuie să fie verificate. De asemenea, el efectuează audituri periodice.
El, de obicei, de asemenea, monitorizează procese automatizate utilizate în cadrul companiei, care a des clienți ca parte din evaluarea impactului asupra protecției datelor pentru a se asigura că drepturile celor afectați sunt protejate în mod corespunzător și că acestea sunt suficient de informați. Acest lucru pare urgent necesare cu privire la dreptul la informare, dreptul la rectificare, dreptul la ștergerea datelor, dreptul de a restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul de a se opune, dar, de asemenea, să răspundă la solicitările de informații.
În plus, de multe ori el are grijă de gestionarea procedurii de marcat, deși ar trebui remarcat faptul că nu există nici o obligație legală de a face acest lucru. În plus, RPD ar putea fi obligat prin contract să dezvolte o protecție a datelor manual cu conceptelor necesare, ghiduri, linii directoare și informații despre angajați.
Interne sau externe, responsabilul cu protecția datelor trebuie să reprezinte, de asemenea, persoana responsabilă sau de la procesor în afacerile sale ca o persoana de contact cu autoritatea de supraveghere. Cu toate acestea, ar trebui subliniat faptul că externe responsabil cu protecția datelor, în general, nu poate avea nici o autoritate de decizie; aceasta revine exclusiv persoanei responsabile și, astfel, de obicei, cu managementul companiei a clientului său.
3. Numirea / revocarea unui responsabil cu protecția datelor
Un DPO trebuie să fie numit în cazurile de Articolul 37 RGPD sau Articolul 38 BDSG noua versiune. Denumirea ar trebui să fie în scris; în Conformitate cu Art. 37 Alin. 7 DS-GVO, acesta trebuie să fie publicate și aduse la cunoștința autorității de supraveghere (obligația de a notifica). Denumirea de certificat trebuie să conțină atât semnătura RESPONSABILULUI cu protecția datelor și a persoanei responsabile de management.
Extern responsabil cu protecția datelor nu este supusă instrucțiunile de managementul companiei în domeniul său de activitate, în conformitate cu articolul 38 alineatul 3 BDSG noua versiune. El poate acționa în mod liber, în limitele legale. Pentru acest motiv, ar trebui să fie luate în considerare în prealabil în ce măsură internă angajat poate lucra în mod independent: În principiu, el poate avea și alte sarcini și atribuții în cadrul companiei, articolul 38 alineatul (6) propoziția 1 BDSG; cu toate acestea, el nu ar trebui să dețină orice altă poziție care ar putea afecta autoritatea de decizie (de exemplu, resurse umane sau management, management general, etc.).
În conformitate cu articolul 38 alineatul 4 BDSG nouă versiune, o concediere RPD este permisă doar în aplicarea corespunzătoare a § 626 BGB. Raportul său de muncă poate fi reziliat dacă există fapte care permit rezilierea fără preaviz pentru o cauză bună. După ce activitatea s-a încheiat, rezilierea, în cursul anului următor nu este permisă decât dacă există motive care să justifice încetarea raportului de muncă, fără preaviz. Întrebarea privind măsura în care acest drept a continuat ocuparea forței de muncă pot fi transferate de la externe, responsabilul cu protecția datelor nu a fost clarificat în cele din urmă. Posibilitatea de reziliere pentru o persoană din exterior, care lucrează ca parte a unei relații de muncă ar putea fi, prin urmare, bazate fie pe Secțiunea 621 BGB sau Secțiunea 627 BGB. Alternativ, un analog de aplicare a § 626 BGB-ar fi de conceput. Acesta din urmă ar putea face sens și, probabil, cele mai apropiate de ceea ce legiuitorul vrea.
4. Interne sau externe RPD?
Acest lucru ridică întrebarea dacă rolul de responsabil cu protecția datelor ar trebui să fie completat de către internă sau externă persoană. În timp ce, după cum sa menționat deja, în cooperare cu un intern angajat poate rula în mod regulat armonios datorită personal, familiaritate și cele deja existente, de cunoaștere a companiei și a structurilor asociate, pe de o parte, există pericolul, după cum se poate observa în practică, care pur și simplu întregii zone de responsabilitate sunt "trecute cu vederea" sau, pe de altă parte, riscul este de a fi suportate în care candidatul nu are nici o expertiză tehnică sau juridică a competențelor. Cu toate acestea, cele mai importante motive împotriva alegerilor interne angajat răspunderea lor și faptul că externe, responsabilul cu protecția datelor poate fi reziliat mai rapid (care, probabil, va continua, de asemenea, să se aplice în cazul RGPD se aplică). În timp ce internă DPO este responsabil doar pentru companie din punct de vedere a angajat răspunderea, externe, responsabilul cu protecția datelor în mod regulat și este răspunzător în Secțiunile 280, 611 BGB și Secțiunea 823 BGB.
În funcție de operator sau persoana împuternicită de obiectivele, cu atât mai bine argumentele pentru alegerea internă sau externă RPD. Un bun argument pentru prestatorul extern de servicii este că ei de obicei se ocupe cu protecția datelor full-time.
