Tietosuojavastaava (yleinen tietosuoja-asetus)

Tietosuojavastaavalla on kaksi eri merkitystä puhekielessä. Toisaalta useisiin tietosuojavalvontaviranomaisiin viitataan (valtion) tietosuojavastaavina. Kuitenkin yleinen tietosuoja-asetus (GDPR) tarkoittaa, että sanaan yhtiö tietosuojavaltuutettu, joka on nimeämä yritys, joka on vastuussa sen valvomisesta, tietosuojan ohjeita.

tausta

Yleinen tietosuoja-asetus tuli voimaan 25. toukokuuta 2018. Suoraan sovellettavaa asetusta täydennettiin Saksan liittopäivien 27. huhtikuuta 2017 antamilla säännöksillä tietosuojasäädöksistä (DSAnpUG). Liittovaltion virallisessa lehdessä nro 44 12. toukokuuta 2017 annettiin tietosuojalain mukauttaminen asetukseen EU 2016/679, toisin sanoen GDPR, sekä direktiivin (EU) 2016/680 täytäntöönpano tietosuojasopeutuksessa ja Täytäntöönpanolaki EU / DSnpUG hyväksyttiin liittovaltion presidentin julkaiseman hyväksynnän jälkeen. Muiden lainsäädäntömuutosten lisäksi BDSG: tä tarkistettiin kokonaan samanaikaisesti GDPR: n täydennyksenä.

GDPR: n mukaan yritysten on ehkä nimettävä sisäinen tai ulkoinen tietosuojavastaava " rekisterinpitäjäksi " tietojen käsittelyä varten . GDPR: n 37 artiklan 1 kohdassa säännellään tietosuojavastaavan nimittämisvelvollisuutta, jonka mukaan asianomaisten yritysten on noudatettava lakisääteistä velvoitetta. Tietosuojavastaavan tehtävät määritellään GDPR: n 39 artiklassa ja myös BDSG : n 7 jaksossa (uusi).

Nimeämisvaatimus ja nimeämisprosessi

Nimeämisvaatimus

Sekä GDPR että BDSG tietävät syyt, joiden vuoksi tietosuojavastaavan nimittäminen on välttämätöntä. Kansalliset säännökset eivät saa olla jäljessä GDPR: stä, mutta täydentävät ja kiristävät niitä.

GDPR: n mukaan

Valtionhallinnolle on nimettävä tietosuojavastaava, jos käsittelyn suorittaa julkinen elin tai viranomainen. Tuomioistuinten suorittama käsittely oikeudellisessa toiminnassa on suljettu pois.

Se, onko tietosuojavastaava nimitettävä yksityiselle sektorille, riippuu siitä, sisältääkö yrityksen ydintoiminta henkilötietojen säännöllisen ja järjestelmällisen käsittelyn. Kriteerit tälle ovat:

Käsittelyn laajuus mitattuna yrityksen tietojenkäsittelijöiden lukumäärällä, tietojen määrällä ja tietuetyypillä, tietojenkäsittelyn ajanjaksolla ja säännöllisyydellä sekä tietojenkäsittelyn maantieteellisellä alueella;
käsittelyn tarkoitukset;
käsittelyn tyyppi.

Vaihtoehtoisesti henkilötietojen laaja käsittely erityisiin tietoryhmiin , kuten B. terveydelliset, poliittiset tai uskonnolliset tiedot, syy nimeämisvaatimukselle.

Tietosuojavastaavan vaatimus ei riipu tietojen tallennuksen muodosta. Siksi ei ole merkitystä, ovatko arkaluontoiset tiedot saatavilla tiedostoina tai nauhoituksina, videoina, valokuvina tai röntgensäteinä ja käsitelläänkö ja arvioidaanko niitä.

BDSG: n mukaan

Saksassa BDSG: n 5, 6 ja 38 §: ssä säädetään julkisten ja muiden kuin julkisten laitosten tietosuojavastaavien nimeämistä ja erottamista koskevista vaatimuksista. Kaikki viranomaiset ja muut julkiset elimet, kuten B. Julkisoikeudellisten yhtiöiden on nimettävä tietosuojavastaava poikkeuksetta. Sama koskee markkina- ja mielipidetutkimuslaitoksia . Yksityisen sektorin osalta asetuksessa säädetään, että tietosuojavastaavan nimittäminen on mahdollista vain yrityksille, joissa on vähintään 20 henkilöä ja jotka ovat yleensä jatkuvasti mukana automatisoidussa tietojenkäsittelyssä, ja siinä tapauksessa, että tarvitaan tietosuojavaikutusten arviointi - ts. varsinkin kun arkaluonteisia tietoja on saatavilla - on pakollinen.

Nimeämisprosessi

Suullinen nimeäminen riittää GDPR: n mukaan. Yrittäjän on kuitenkin toimitettava tietosuojavastaavan yhteystiedot kirjallisesti toimivaltaiselle viranomaiselle ja julkaistava ne.

Tietosuojavastaavan valinta

Joko sisäinen työntekijä tai ulkopuolinen urakoitsija voidaan nimittää tietosuojavastaavaksi. Mikä valinta on sopivampi, riippuu yrityksen tyypistä ja koosta sekä tietosuojavastaavan työmäärästä. Sisäisestä tietosuojavastaavasta eroaminen on kuitenkin vaikeampi, koska hän voi menettää asemansa vain ilmoittamalla siitä etukäteen . Yritykset voivat valita ryhmän tietosuojavastaavan, jos hän on tavoitettavissa helposti jokaisesta toimipisteestä. Sitten hän on työnantajansa sisäinen tietosuojavastaava ja ryhmän muiden osien ulkoinen tietosuojavastaava. Tämä vaihtoehto on erityisen edullinen EU: n laajuisille yrityksille, joilla on useita sivukonttoreita, koska sillä vältetään erilaiset yhteyshenkilöt ja varmistetaan siten avoimuus ja turvallisuus tietojenkäsittelyssä ja hallinnossa.

Tietosuojavastaava voi samalla täyttää muita velvoitteita, jos tämä ei aiheuta eturistiriitoja. Tämä eturistiriita voi esiintyä esimerkiksi seuraavissa tapauksissa:

Johto, pomo ja omistaja sekä heidän valtuutetut allekirjoittajansa,
Alistetut tehtävät, joilla on johtotehtäviä ja päätöksentekovalta tietojenkäsittelyn (IT) tarkoitusten ja keinojen määrittelystä,
Oikeudellisen osaston työntekijät, jotka edustavat myös yritystä tuomioistuimessa,
Turvallisuus- tai rahanpesupäällikkö
Osastopäälliköt ja heidän työntekijänsä, jos he käsittelevät henkilötietoja itse, esimerkiksi IT-alalla, henkilöstöalalla, mutta myös markkinoinnissa tai myynnissä,
Perhesuhteet tietosuojavastaavan ja vastuuhenkilön välillä.

Velvollisuudet, oikeudet ja pätevyys

tehtäviä

GDPR: n 39 artiklan 1 kohdassa määritellään tietosuojavastaavan vähimmäistehtävät:

Tietosuojavastaava tiedottaa ja neuvoo hänet nimittäneelle yritykselle ja sen työntekijöille kaikista sovellettavista tietosuojamääräyksistä ja pyynnöstä tietosuojavaikutusten arvioinnista .
Hän seuraa tietosuojamääräysten noudattamista ja strategiaa, jolla henkilötietoja suojataan.
Hän työskentelee valvontaviranomaisten kanssa ja on heidän yhteyshenkilönsä yrityksessä.

Euroopan tietosuojavaltuutettu , joka on kaikkien eurooppalaisten sääntelyviranomaisten ääni, määrittelee tietosuojavastaavan oikeudelliset velvoitteet siten, että tämän pitäisi olla luottamuksellinen yhteyspiste uhreille. Sitä vastoin vastaava henkilö kuin kurinpito esimies on vastuussa varten tosiasiallinen täytäntöönpano tietosuojavaatimuksista.

oikein

Voidakseen työskennellä puolueettomasti tietosuojavastaaviin sovelletaan erityistä suojaa irtisanomisilta , luottamuksellisuusvelvollisuudelta ja oikeudelta kieltäytyä todistamasta . Suoja irtisanomista vastaan koskee vain sisäisiä tietosuojavastaavia. Sinulla ei ole oikeutta antaa ohjeita johdolle, mutta he eivät myöskään voi neuvoa sinua.

Pätevyys ja laitteet

Tietosuojavastaava nimetään yleisen tietosuoja-asetuksen 37 artiklan 5 kohdan mukaisesti "ammatillisen pätevyytensä ja erityisesti tietosuojalainsäädännön ja tietosuojakäytännön alan erityistietojen perusteella sekä kykynsä perusteella suorittaa 39 artiklassa määritellyt tehtävät. ”Hänen pitäisi myös pystyä suorittamaan tässä tehtävässä olevat tehtävät. Ammatillinen yhdistys tietosuojavaltuutetuista Saksassa (BVD) jakaa tarvittavaa asiantuntemusta sen vapaaehtoinen sitoumuksen aloilla lain , tieto- ja viestintäteknologian ja organisaatiota ja prosesseja. Sinulla on oltava ammatillinen pätevyys ainakin yhdellä osa-alueella ja vankka erikoisosaaminen muilla alueilla. BVD: n jäsenet sitoutuvat myös hankkimaan vähintään kahden vuoden työkokemuksen jollakin näistä aloista ja tunnustetun tietosuojavastaavan pätevyyden (sertifikaatti).

GDPR: n 38 artiklan 2 kohdan mukaan vastuuhenkilön on annettava tietosuojavastaavalle tarvittavat resurssit tehtäviensä suorittamiseen, mukaan lukien ylläpitää erikoistietoja ja antaa hänelle pääsy henkilötietoihin ja käsittelytoimiin.

Rikkomukset seuraamuksista

Nimityksen laiminlyönti velvoitteesta huolimatta johtaa asianomaiselle yritykselle ankariin sakkoihin. GDPR: n mukaan sakot ovat enintään 10 miljoonaa euroa tai 2% maailman vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi.

nettilinkit

Wikisanakirja: Tietosuojavastaava - selitykset merkityksille, sanan alkuperälle, synonyymeille, käännöksille

Yksittäiset todisteet

↑ Uusi tietosuojalaki (BDSG-uusi): Liittovaltion tietosuojalaki on eurooppalaistettu - computerwoche.de. Haettu 29. marraskuuta 2017 .
↑ DSGVO / BDSG: n uuden version mukainen tietosuojavastaavan vaatimus. Pääsy 25. heinäkuuta 2018 .
↑ Nina Diercks, Christian Frerix Tobias Hinderks: tietosuojavastaavaan, etenkin EU: n yleisen tietosuoja-asetus (GDPR) - Osa 8 EU GDPR . Julkaisussa: diercks digital right blog . ( diercks-digital-recht.de [käytetty 5. helmikuuta 2019]).
↑ Sisäinen vs. ulkoinen tietosuojavastaava | Tietosuoja-asiantuntija . Julkaisussa: Datenschützexperte.de . ( datenschützexperte.de [käytetty 29. marraskuuta 2017]).
↑ Tietosuojasta ja tiedonvapaudesta vastaava valtion komissaari Baden-Württemberg (toim.): 34. tietosuojatoimintakertomus . S. 28–29 ( datenschutz.de [PDF]).
↑ Kannanotto EU: n toimielinten ja elinten tietosuojavastaavien roolista. Julkaisussa: https://edps.europa.eu . Euroopan tietosuojavaltuutettu, käyty 5. helmikuuta 2019 .
^ BvD Berufsbild Edition, 4. tietosuojavastaavien ammattiliitto Saksassa, käyty 5. helmikuuta 2019 .
↑ GDD-Praxishilfe_DS-GVO_1.pdf - GDD eV Käytetty 29. marraskuuta 2017 (englanti).

[1] Uusi tietosuojalaki (BDSG-uusi): Liittovaltion tietosuojalaki on eurooppalaistettu - computerwoche.de. Haettu 29. marraskuuta 2017 .

[2] DSGVO / BDSG: n uuden version mukainen tietosuojavastaavan vaatimus. Pääsy 25. heinäkuuta 2018 .

[3] Nina Diercks, Christian Frerix Tobias Hinderks: tietosuojavastaavaan, etenkin EU: n yleisen tietosuoja-asetus (GDPR) - Osa 8 EU GDPR . Julkaisussa: diercks digital right blog . ( diercks-digital-recht.de [käytetty 5. helmikuuta 2019]).

[4] Sisäinen vs. ulkoinen tietosuojavastaava | Tietosuoja-asiantuntija . Julkaisussa: Datenschützexperte.de . ( datenschützexperte.de [käytetty 29. marraskuuta 2017]).

[5] Tietosuojasta ja tiedonvapaudesta vastaava valtion komissaari Baden-Württemberg (toim.): 34. tietosuojatoimintakertomus . S. 28–29 ( datenschutz.de [PDF]).

[6] Kannanotto EU: n toimielinten ja elinten tietosuojavastaavien roolista. Julkaisussa: https://edps.europa.eu . Euroopan tietosuojavaltuutettu, käyty 5. helmikuuta 2019 .

[7] BvD Berufsbild Edition, 4. tietosuojavastaavien ammattiliitto Saksassa, käyty 5. helmikuuta 2019 .

[8] GDD-Praxishilfe_DS-GVO_1.pdf - GDD eV Käytetty 29. marraskuuta 2017 (englanti).

Languages