数据保护官员——指定,数据保护官的职位和任务

在特定条件下一般数据保护规定 (徳赢中国GDPR)需要一个数据控制器任命数据保护官或DPO。When do you need to foresee such a Data Protection Officer in your徳赢中国GDPR业务战略,他/她的任务是什么等等。

While it's recommended to have someone who is responsible forpersonal data protection(和gdp徳赢中国r合规性)以及一般数据保护,the Data Protection Officer is only mandatory in three circumstances.

徳赢中国gdpr合规性-您需要数据保护官或dpo-何时何地以何种方式

When do you need a Data Protection Officer under the 徳赢中国GDPR?

You need a Data Protection Officer in following cases:

  • The processing (of personal data) is done by public authorities or a public body,with an exception for courts and independent judicial authorities.
  • 处理过程由处理器完成,处理器定期系统地观察“数据主体”。(EU residents)大规模的。
  • 处理涉及特定的“特殊”数据类别(which are defined in the 徳赢中国GDPR),再次大规模地,因为处理这些特殊类型的个人数据是您核心业务的一部分。有关犯罪和定罪的数据包含在这里。

数据保护官的技能和任务

由此产生的一个挑战是,尽管在下面的资源列表中有一些尝试将一些数字放在上面,但文本并没有说明“大规模”的确切含义。

不过,请注意:GDPR提案中的数字在最终文本中不存在。徳赢中国所以,you don't need a DPO when you employ over 250 people nor when your process over 5,000 personal records (even if you will find resources or presentations that say so).

徳赢中国gdpr合规性-何时需要数据保护官以及DPO的职责、任务和技能

根据GDPR文本徳赢中国,正如在《欧盟官方杂志》上发表的那样,the Data Protection Officer must:

  • 具备数据保护方面的专业知识,法律和实践,including the 徳赢中国GDPR obviously.
  • 帮助数据控制器或数据处理器通过监督内部遵守GDPR(数据控制者和处理者还需要协助数据保护官员履行其职责)。徳赢中国
  • 能够独立完成自己的职责和任务(尽管数据控制器可以使用它们,在德国,数据保护官员已经受雇了一段时间)。

在非法律事务中:在三种特定情况下,您只需要一个DPO。If you are an organization that falls under one or more of these three,您可以任命一名外部数据保护官或公司内部的人员。

此外,the DPO does not need to be a full-time job so they can be employees with other tasks as well (as long as there are no conflicts of interest).

然而,when they are performing duties in the scope of their role as DPO,they must be enabled to work independently whereby reporting is done directly to top management.我们是否需要补充一点,DPO受保密和保密的约束?

There is also a duty of registration of the DPO with the European Data Protection Supervisor. The data protection officer,当然,如果有一个,also needs to be consulted and involved in case aData Protection Impact Assessment or DPIA是必要的。

最后但并非最不重要,a DPO can work for several organizations but at the same time he/she is the Single Point of Contact for the organization(s).

The Data Protection Officer and the number of employees

注意:一个经常犯的错误涉及员工少于250人的组织。已作出修订,已发表的文本在两个场合提及这些公司:

引言(独奏曲13):“考虑到微观的具体情况,中小企业,本条例包括对雇员少于250人的组织在记录保存方面的减损。In addition,工会机构和机构,以及会员国及其监督机构,are encouraged to take account of the specific needs of micro,中小企业在本条例的适用范围。The notion of micro,中小企业应借鉴委员会建议2003/361/EC附件第2条。”

在GD徳赢中国PR第30条中,关于处理活动的记录 (关于维护处理活动记录和代表控制者进行的所有类型处理活动记录)the data protection officer is mentioned as a possible responsible for these records of processing activities ("where applicable").

然而,正文清楚地表明第1款和第2款(注:第30条第2款)所指的义务不适用于雇佣人数少于250人的企业或组织。除非其进行的处理可能会对数据主体的权利和自由造成风险,处理不是偶然的,or the processing includes special categories of data如第9(1)条所述,或与第10条所述刑事定罪和犯罪有关的个人资料。

  • 上述第9条涉及与数据主体高度个人特征相关的个人数据(例如种族,宗教,工会会员,genetic data,性取向等等)。
  • 上述第10条,as Article 30 already says,有关刑事定罪和犯罪的数据。

条款中没有关于拥有数据保护官员的义务的任何规定,提到了员工人数。

In other words: beware as it's the nature of data processed and nature of the organization with regards to data processing activities that comes first in the DPO duty context as mentioned andthe exceptions for organizations with less than 205 employees in general are not absolute.

Articles regarding the Data Protection Officer

The official text of the 徳赢中国GDPR contains several more articles where the role of the Data Protection Officer is mentioned.这在整个文本中发生,因为DPO的职责和DPO可能涉及的情况是很多的。

在关于民进党的主要gdpr文章徳赢中国中,然而,are 徳赢中国GDPR Articles 37,38和39,其中,分别处理数据保护官员的任命,数据保护官的职位和任务。

Data protection officer designation

徳赢中国GDPR Article 37 sums up the beforementioned conditions under which a controller and processor have to designate a data protection officer and states that a group of undertakings can appoint one data protection officer.

第37条进一步提及指定DPO的依据,例如数据保护法律和实践的专业性和专家知识。如果控制者或处理者是公共机构,也有关于DPO的规定,之前提到的DPO可以是工作人员的事实也存在。

An additional important element to remember – and that responds to,among others,若干数据主体权利和可能要求DPO的若干场合,数据保护官员的联系方式是否需要公布并传达给监管机构.

数据保护官职位

徳赢中国GDPR Article 38 looks a bit deeper at the position,更准确地说,数据保护官的参与和“授权”。

由控制器和处理器来确保数据保护人员参与到适当和及时的(重要!)way in all issues regarding personal data protection.

在第38条中,支持,提到了个人数据和个人数据处理操作的资源和访问。In other words: he/she must be able to do his/her job.此外,数据保护官必须能够维护工作所需的专家知识。

Further,Article 38 contains rules that must protect the data protection officer from inappropriate interference,建立报告行(directly to top management),要求保密,使他/她也能做其他事情,如前所述,只要不产生利益冲突。

数据保护官任务

Finally,徳赢中国GDPR第39条总结了数据保护官的任务。或者更好:它总结了数据保护官员至少拥有的任务。

These include the duty to inform and advice the controller or processor and the staff that conducts个人数据处理运营部和监督GDPR合规性的职责,徳赢中国work with the supervisory authority,作为该监督机构的联络点,在事先协商的情况下(徳赢中国GDPR Article 36)并在数据保护影响评估或DPIA是必需的。

Top image: Shutterstock – Copy右边: 吉尔萨克–所有其他图像均为其各自提及的所有者的财产。