1. Требования к внешнему сотруднику по защите данных
Внешний сотрудник по защите данных, как и внутренний, должен быть выбран в соответствии с требованиями, изложенными в п. 5 ст. 37, 39 ДС-ГВО: исходя из этих правовых норм, он уже должен обладать профессиональной квалификацией и необходимыми специальными знаниями, необходимыми для выполнения поставленных задач на момент его назначения, причем требуемый уровень знаний должен в основном определяться объемом обработки данных ответственным лицом и необходимостью защиты обрабатываемых персональных данных.
Может потребоваться предварительный практический опыт, технические знания, обучение и дальнейшее образование, а также подтверждение специальной подготовки по защите данных. Следует также ожидать, что кандидаты будут иметь ИТ-квалификацию, чтобы они могли понимать иногда технически сложные процессы. Кроме того, он должен обладать (по крайней мере базовым) юридическим пониманием, чтобы иметь возможность понимать большое количество нормативных актов, вытекающих из Общего регламента защиты данных, Регламента ePrivacy и национального законодательства, а также уметь применять вынесенные решения .
2. Минимальные обязанности сотрудника по защите данных
Минимальные задачи сотрудника по защите данных вытекают из ст. 39 ДС-ГВО, в соответствии с которой задачи могут быть уточнены или расширены заключенным с ним трудовым или служебным договором.
Одной из основных задач внешнего сотрудника по защите данных является работа по соблюдению всех правил (защиты данных) ответственным лицом или обработчиком и его сотрудниками (посредством информации и консультаций), статья 39 (1) лит. GDPR. Для этого он должен быть проинструктирован о процессах обработки данных программными средствами, а также об используемых компьютерных технологиях. Они должны регулярно проверяться им в дальнейшем. Кроме того, внешний сотрудник по защите данных должен обеспечить, чтобы лица, обрабатывающие персональные данные, были ознакомлены с правилами защиты данных и их обязанностями по уходу. Это должно быть сделано в рамках регулярного обучения и (возможно, повторного) дальнейшего обучения.
ДПО регулярно проверяет технические и организационные мероприятия компании при условии, что эта задача была возложена на него по контракту ответственным лицом или переработчиком. Для этого необходимо проверить, по крайней мере, контроль доступа, контроль входа, контроль доступа, контроль передачи, контроль ввода, контроль заказа и контроль доступности. Он также проводит регулярные аудиты.
Обычно он также контролирует автоматизированные процессы, используемые в компании, которые он часто пересматривает в рамках оценки воздействия на защиту данных, чтобы убедиться, что права затронутых лиц должным образом защищены и что они достаточно информированы. Это представляется крайне необходимым в отношении права на информацию, права на исправление, права на удаление, права на ограничение обработки, права на переносимость данных, права возражать, а также отвечать на запросы о предоставлении информации.
Кроме того, он часто заботится об управлении реестрами процедур, хотя следует отметить, что это также не является юридическим обязательством. Кроме того, DPO может быть обязано по контракту разработать руководство по защите данных с необходимыми концепциями, руководящими принципами, руководящими указаниями и информацией о сотрудниках.
Сотрудник по внутренней или внешней защите данных должен также представлять ответственное лицо или обработчика данных в его делах в качестве контактного лица в надзорном органе. Однако следует отметить, что внешний специалист по защите данных, как правило, не может иметь никаких полномочий по принятию решений; это лежит исключительно на ответственном лице и, следовательно, обычно на руководстве компании его клиента.
3. Назначение / увольнение сотрудника по защите данных
DPO должен быть назван в случаях статьи 37 GDPR или статьи 38 BDSG новой версии. Указание должно быть сделано в письменной форме; в соответствии со статьей 37 п. 7 ДС-ГВО, он должен быть опубликован и доведен до сведения надзорного органа (обязанность уведомлять). Сертификат назначения должен содержать как подпись DPO, так и подпись руководства ответственного лица.
Сотрудник по защите внешних данных не подчиняется указаниям руководства компании в своей сфере деятельности в соответствии с § 38 параграфа 3 BDSG новая редакция. Он может свободно действовать в рамках закона. Именно по этой причине следует заранее рассмотреть вопрос о том, в какой степени внутренний сотрудник может работать независимо: в принципе, он может выполнять другие задачи и обязанности в компании, раздел 38 (6) предложение 1 BDSG; однако он не должен занимать какую-либо другую должность, которая может повлиять на его полномочия по принятию решений (например, управление персоналом или ИТ, общее руководство и т.д.).
Согласно § 38 параграфа 4 новой редакции BDSG, увольнение DPO допускается только при соответствующем применении § 626 BGB. Его трудовые отношения могут быть прекращены только в том случае, если имеются факты, позволяющие расторгнуть их без предварительного уведомления по уважительной причине. После прекращения деятельности увольнение в течение следующего года не допускается, если нет веских причин, оправдывающих прекращение трудовых отношений без предварительного уведомления. Вопрос о том, в какой степени это право на продолжение работы может быть передано внешнему сотруднику по защите данных, окончательно не прояснен. Таким образом, возможность увольнения для внешнего лица, работающего в рамках трудовых отношений, может основываться либо на разделе 621 BGB, либо на разделе 627 BGB. В качестве альтернативы было бы возможно аналогичное применение § 626 BGB. Последнее может иметь смысл и, вероятно, ближе всего к тому, чего хочет законодатель.
4. Внутренний или внешний ДПО?
В связи с этим возникает вопрос о том, следует ли выполнять роль сотрудника по защите данных внутреннему или внешнему лицу. Хотя, как уже упоминалось, сотрудничество с внутренним сотрудником может регулярно протекать гармонично благодаря личному знакомству и уже имеющимся знаниям о компании и связанных с ней структурах, с одной стороны, существует опасность, как это видно на практике, что просто “упускаются из виду” целые зоны ответственности или, с другой стороны, существует риск того, что кандидату не хватает либо технических знаний, либо юридических навыков. Однако наиболее важными причинами против избрания внутреннего сотрудника являются его ответственность и тот факт, что внешний сотрудник по защите данных может быть уволен быстрее (что, вероятно, также будет продолжать применяться, если применяется GDPR). В то время как внутренний DPO несет ответственность перед компанией только с точки зрения ответственности сотрудников, внешний сотрудник по защите данных регулярно несет ответственность в соответствии с разделами 280, 611 BGB и 823 BGB.
В зависимости от целей контроллера или процессора лучшими аргументами являются выбор внутреннего или внешнего DPO. Хорошим аргументом в пользу внешнего поставщика услуг является то, что он обычно занимается защитой данных полный рабочий день.
