1. Kraven för att en extern data protection officer
En extern data protection officer, som en inre, skall väljas med hänsyn till de krav som fastställs i Artikel 37 Punkt. 5, 39 DS-GVO: Baserat på dessa rättsliga förordningar, måste han redan har den kompetens och nödvändiga specialistkunskaper som krävs för att uppfylla de uppgifter som vid tidpunkten för hans utnämning har, genom vilken nivå av kunskap som krävs bör i princip bestämmas av omfattningen av data bearbetning av den person som är ansvarig och behovet av att skydda de personuppgifter som behandlas.
Praktiska erfarenheter som vunnits i förväg, teknisk kunskap, utbildning och ytterligare utbildning och bevis på särskild dataskydd utbildning kan krävas. Kandidaterna bör också förväntas ha DEN kvalifikationer, så att de kan förstå det ibland tekniskt komplexa processer. Dessutom bör han har (åtminstone en grundläggande) juridisk förståelse för att kunna förstå det stora antalet bestämmelser som resultatet från den Allmänna uppgiftsskyddsförordningen, den integritet och elektronisk kommunikation Förordning och nationell lagstiftning och för att kunna tillämpa de domar som har gjorts .
2. Miniminivåer av Data Protection Officer
Det minimum av uppgifter i data protection officer resultat från Art 39 DS-GVO, där uppgifter kan anges eller expanderat genom anställning eller avtal som ingåtts med honom.
En av de primära uppgifterna för externa data protection officer är att arbeta för att alla (data protection) bestämmelser av ansvarig person eller processor och hans medarbetare (med hjälp av information och rådgivning), Artikel 39 (1) lyser. en GDPR. För detta ändamål har han att vara insatt i de processer av databehandling program samt i dator-tekniken som används. De bör kontrolleras regelbundet av honom i det följande. Dessutom externa data protection officer måste se till att personer som hanterar personuppgifter görs förtrogna med de regler om dataskydd och deras skyldighet att ta hand om. Detta bör göras som en del av regelbunden träning och (eventuellt upprepas ytterligare utbildning.
Ett UPPGIFTSSKYDDSOMBUD regelbundet kontrollerar den tekniska och organisatoriska åtgärder för bolaget, förutsatt att denna uppgift har varit att, genom avtal, som tilldelas honom av ansvarig person eller processor. För detta ändamål, åtminstone för åtkomstkontroll, inlägg, åtkomstkontroll, överföra kontroll, kontroll, för kontroll och tillgänglighet kontroll måste kontrolleras. Han genomför också regelbundna revisioner.
Han brukar även övervaka automatiserade processer som används i företaget, som han ofta recensioner som en del av de uppgifter som skydd konsekvensanalys för att se till att de drabbades rättigheter skyddas på ett tillfredsställande sätt och att de är tillräckligt informerade. Detta verkar snarast som är nödvändiga med beaktande av rätten till information, rätten till rättelse, rätten till radering, rätt till begränsning av behandlingen, rätten att överföra data, rätt att göra invändningar, men också för att svara på förfrågningar om information.
Dessutom är han ofta den som tar hand om hanteringen av förfarandet register, även om det bör noteras att det inte finns någon juridisk skyldighet att göra det heller. Dessutom DPO kan vara avtalsenligt som krävs för att utveckla ett skydd för manuell med nödvändiga begrepp, riktlinjer, riktlinjer och information om de anställda.
Den interna eller externa data protection officer måste också representera den person som är ansvarig eller processor i sina frågor som en person med tillsynsmyndigheten. Det bör dock påpekas att den externa data protection officer i allmänhet inte har någon beslutsfattande myndighet; i detta ligger helt och hållet med den person som är ansvarig och därmed oftast med bolagets ledning av hans klient.
3. Tillsättning / uppsägning av ett uppgiftsskyddsombud
Ett UPPGIFTSSKYDDSOMBUD måste namnges i fall av Artikel 37 GDPR eller Artikel 38 BDSG nya versionen. Beteckningen bör vara skriftlig, Enligt Artikel 37 Punkt. 7 DS-GVO, det måste offentliggöras och göras kända för att tillsynsmyndigheten (anmälningsskyldighet). Beteckningen intyget bör innehålla både undertecknandet av DPO och av ansvarig person: s ledning.
Den externa data protection officer, är inte underkastade de instruktioner för bolagets förvaltning inom sitt verksamhetsområde enligt § 38 punkt 3 BDSG nya versionen. Han kan agera fritt inom lagliga gränser. Just därför att det bör övervägas att i förväg vilken utsträckning en intern anställd kan arbeta oberoende av varandra: I princip, kan han ta på sig andra uppgifter och skyldigheter i bolaget, Avsnitt 38 (6) meningen 1 BDSG, men han skulle inte inneha någon annan befattning som kan påverka hans beslutsfattande myndighet (exempelvis HR eller IT-management, management, etc.).
Enligt § 38 punkt 4 BDSG nya versionen, en uppsägning av DPO är endast tillåten i motsvarande tillämpning av § 626 BGB. Hans anställningsförhållande kan bara sägas upp om det finns fakta som gör att uppsägning utan förvarning för en god sak. När verksamheten har upphört, uppsägning under det kommande året, inte är tillåtet, såvida det inte finns goda skäl som skulle kunna motivera en uppsägning av anställningsförhållandet utan uppsägningstid. Frågan om i vilken utsträckning rätten till fortsatt anställning kan överföras till externa data protection officer har inte varit slutligen förtydligas. Möjligheten till uppsägning för att en extern person som arbetar som en del av ett anställningsförhållande kan därför grundas antingen på Avsnitt 621 BGB eller Avsnitt 627 BGB. Alternativt en analog tillämpning av § 626 BGB skulle vara tänkbart. Det sistnämnda kan vara meningsfullt och förmodligen kommer närmast på att vad lagstiftaren vill.
4. Intern eller extern DPO?
Detta väcker frågan om den roll ett uppgiftsskyddsombud, som ska fyllas i av en intern eller en extern person. Samtidigt har, som redan nämnts, i samarbete med en intern anställd regelbundet kan köra på ett harmoniskt sätt på grund av personlig kännedom och redan existerande kunskap om bolaget och tillhörande strukturer, å ena sidan finns det en risk, som kan ses i praktiken, att helt enkelt hela ansvarsområde är "förbisett" eller, å andra sidan, risken är att stå för att den sökande saknar antingen teknisk expertis eller juridisk kompetens. Men den viktigaste skäl mot valet av en intern anställd är deras ansvar och det faktum att den externa data protection officer kan avslutas snabbare (som troligen kommer att fortsätta att gälla om GDPR gäller). Medan den inre DPO är endast ansvarig för att företaget ur synvinkel av de anställdas ansvar, externa data protection officer är regelbundet ansvarig enligt § § 280, 611 BGB och § 823 BGB.
Beroende på den registeransvarige eller registerföraren mål, bättre argument antingen för att välja en intern eller en extern DPO. Ett bra argument för den externa tjänsteleverantören är att de oftast handlar om skydd av personuppgifter på heltid.
