I förbundsrepubliken Tyskland, §§ 4f, 4g BDSG för närvarande reglera utnämning och uppgifter i data protection officer. Om det finns en rättslig skyldighet att utse företag ofta fråga sig om position ska fyllas i av en intern anställd eller en extern tjänsteleverantör. Ur synvinkel av opartisk tredje part, de senare är ofta att betraktas som mer oberoende.

Hur är det i medelklassen?

I de flesta fall, de anställda med den kunskap som krävs av lagstiftning om skydd av personuppgifter är endast tillgängliga i stora företag. Företag använder ofta interna jurister som uppfyller de nödvändiga kraven. Dock medelstora företag vanligen inte har sina egna juridiska institutionen. I mindre företag, utnämning av externa data protection officer kan därför löna sig.

Vem kan beställa?

En juridisk person (aktiebolag, aktiebolag, etc.), ett partnerskap inom civilrätten (GbR), en förening (unionen, politiskt parti etc.) eller en fysisk person (arkitekt, läkare, etc.) kan vara skyldig att utse en data protection officer.

När måste man beställa?

En förutsättning för att kravet för att beställa är att personuppgifter behandlas som en del av verksamheten i en organisation. Den första fråga som inställer sig är därför om huruvida personuppgifter behandlas. Om detta är fallet, juridisk skyldighet att utse ett uppgiftsskyddsombud beror på hur många personer är involverade i de pågående bearbetning av dessa data (§4f BDSG).

DE NIO-PERSON RULE

Den rättsliga krav på att utse en data protection officer resultat från § 4f BDSG. Enligt denna bestämmelse, icke-offentliga organ som ständigt sysselsätter fler än nio personer med automatiserad behandling av personuppgifter skall utse en data protection officer.

De nio personer som inte nödvändigtvis måste vara anställda i organisationen. Anställda av externa tjänsteleverantörer (t.ex speditörer, tullkontor, frakt tjänsteleverantörer), frilansare och deras anställda (t ex konsulter) och anställda av tredjeparts-företag (t ex call centers, kredit -, försäkrings-bolag, hantering av kundfordringar företag, factoringföretag, löneberäkning kontor) kan undantas från nio personer -Regel registreras.

I detta avseende, även organisationer som inte har några anställda kan omfattas av den lagstadgade skyldigheten att utse.

DEN RÄTTSLIGA TID

Enligt §4f punkt 1 meningen 1 BDSG, data protection officer måste utses i skrift. Han är beställas inom en månad efter start respektive data protection-relaterad verksamhet, §4f punkt 1 mening 2 BDSG.

1. Är personuppgifter som behandlas?

Om du kan svara ja här, kolla steg 2.

2. Hur många personer är inblandade?

Om det finns fler än 9 personer, steg 3 måste kontrolleras.

3. Är det en automatiserad behandling?

Om så är fallet, det är en skyldighet att beställa.

Kan vi svara på dina frågor?