1. Изисквания към външния работника или служителя за защита на личните данни
Външен отговорник по защита на личните данни, както и на вътрешния, трябва да бъдат избрани в съответствие с изискванията, изложени в sp 5 супени 37, 39 GC-ГВО: въз основа на тези правни норми, той вече трябва да притежава професионална квалификация и необходими специални знания, необходими за изпълнение на поставените задачи в момента на назначаването му, като необходимото ниво на знания трябва основно се определя от обем обработка на данни за отговорното лице и необходимостта от защита на обработените лични данни.
Може да се изисква предварителен опит, техническа експертиза, обучение и по-нататъшно образование, както и потвърждение за специална подготовка по защита на личните данни. Също трябва да се очаква, че кандидатите ще имат ИТ квалификация, така че те да могат да разбират понякога са технически сложни процеси. Освен това, той трябва да притежават (поне базов) юридическо разбиране, за да има възможност за разбиране на голям брой нормативни актове, произтичащи от Общия регламент за защита на данните, Регламента на ePrivacy и националното законодателство, както и да могат да прилагат решения на съдиите .
2. Минимални отговорности на служител по защита на личните данни
Минимални задача на служител по защита на личните данни, произтичащи от чл. 39 GC-ГВО, в съответствие с която задачи могат да бъдат изяснени или разширени сключен с него трудовото или служебното договор.
Една от основните задачи на външния служител по защита на личните данни е да се работи по спазването на всички правила (защита на данните) отговорното лице или обработчиком и служителите (чрез информация и консултации), член 39 (1) свети. GDPR. За това той трябва да бъде проинструктирован за процесите на обработка на данни софтуерни инструменти, както и за използваните компютърни технологии. Те трябва да се проверява редовно им в бъдеще. Освен това, външен отговорник по защита на личните данни трябва да гарантират, че лицата, обработващи лични данни, са запознати с правилата за защита на данни и техните отговорности за грижа. Това трябва да бъде направено в рамките на редовно обучение и (може би отново) по-нататъшно обучение.
ДПО редовно проверява техническите и организационните дейности на дружеството, при условие, че тази задача е била възложена на него по договор отговорното лице или переработчиком. За това трябва да се провери, най-малко, контрол на достъпа, контрол на вход, контрол на достъп, контрол на предаването, контрол на въвеждане, контрол на поръчката и контрол на наличност. Той провежда редовни одити.
Обикновено той и контрол на автоматизирани процеси, използвани в компанията, която той често подлага на ревизия в рамките на оценка на въздействието върху защитата на данните, за да се гарантира, че правата на засегнатите лица адекватно защитени и че те са достатъчно информирани. Това е изключително важно по отношение на правото на информация, правото на коригиране на правата за премахване на правата за ограничаване на обработка, правото на преносимост на данните, правото да възразят, както и отговори на запитвания за предоставяне на информация.
Освен това, той често се грижи за управлението на реестрами процедури, въпреки че трябва да се отбележи, че това също не е юридическо задължение. Освен това, ДЗД може да бъде длъжна по договор за разработване на ръководство за защита на личните данни с необходимите концепции, насоките, ръководни за сведение и информация на работниците и служителите.
Служител на вътрешната или външната защита на личните данни, трябва също да предоставят на отговорното лице или манипулатор на данните в неговите дела като лице за контакт в надзорном орган. Но трябва да се отбележи, че на външен специалист по защита на личните данни, като правило, не може да има никакви правомощия за вземане на решения; тя се основава единствено на едно отговорно лице и, следователно, обикновено на ръководството на компанията на клиента му.
3. Определяне / съкращаване на служител по защита на личните данни
ДЗД трябва да бъде обявен в случаи на член 37 GDPR или член 38 BDSG нова версия. Индикация трябва да бъде направено в писмена форма; в съответствие с член 37 sp 7 GC-ГВО, той трябва да бъде публикуван и доведен до знанието на надзорен орган (задължение за уведомяване). Сертификат дестинация трябва да съдържа подпис на ДЗД, така и подпис на ръководството на отговорното лице.
Служител за защита на външни данни не се подчинява на указанията на ръководството на компанията в своята сфера на дейност в съответствие с § 38 ал. 3 от BDSG нова версия. Той може свободно да действа в рамките на закона. Именно поради тази причина трябва да се помисли за това, в каква степен вътрешен служител може да работи независимо: по принцип, той може да изпълнява и други задачи и отговорности в компанията, в раздел 38 (6) предложение 1 BDSG; въпреки това, той не трябва да заемат друга длъжност, която може да повлияе на неговите правомощия за вземане на решения (например, управление на персонала или на ИТ, управлението и т.н.).
Според § 38 ал. 4 от новата версия на BDSG, освобождаване на ДЗД се допуска само при съответното прилагане на § 626 BGB. Неговите трудови отношения могат да бъдат прекратени само в случай, ако има факти, които позволяват да прекрати договора без предизвестие по основателна причина. След прекратяване на дейността на уволнение в рамките на следващата година не са позволени, освен ако няма основателна причина, да оправдаят прекратяване на трудовото правоотношение без предизвестие. На въпрос за това, в каква степен това е право на продължаване на работата може да бъде отнесен вид на работника или служителя за защита на личните данни, най-накрая не прояснен. Следователно, възможността за съкращения за външни лица, работещи в рамките на трудовите отношения, може да се основава или на раздел 621 BGB, или в раздел 627 BGB. Като алтернатива би било възможно подобно прилагане на § 626 BGB. Последното може да има смисъл и, вероятно, най-близо до това, което иска депутатът.
4. Вътрешен или външен ДПО?
Във връзка с това възниква въпросът за това, дали изпълняват ролята на служител по защита на личните данни вътрешно или външно лице. Въпреки че, както вече бе споменато, сътрудничество с вътрешен служител може редовно да тече хармонично благодарение на личните си връзки и вече наличните знания за компанията и свързаните с нея структури, от една страна, съществува опасност, като това се вижда на практика, че просто "са пропуснати от ума" цели зони на отговорност или, от друга страна, съществува риск, че кандидат не е достатъчно или технически познания, или правни умения. Но най-важни причини срещу избирането на вътрешния служител са негово задължение е и фактът, че външен отговорник по защита на личните данни може да бъде уволнен по-бързо (което вероятно също ще продължи да се прилага, ако се прилага GDPR). Докато вътрешното ДЗД е отговорен пред дружеството само по отношение на отговорността на служителите, външен отговорник по защита на личните данни на редовно носи отговорност в съответствие с раздели 280, 611 BGB и 823 BGB.
В зависимост от целите на контролера или на процесора най-добрите аргументи са избор на вътрешни или външни ДЗД. Добър аргумент в полза на външен доставчик на услуги е, че той обикновено се занимава защита на личните данни на пълен работен ден.
