Der Bedarf an DPO (Data protection officer)

Seit Anfang 2018 spricht man immer mehr über die neue Datenschutzverordnung (GDPR), sowie auch darüber, wie viel neue Rechte, Pflichten und Einschränkungen dieselbe für jeden einführt der personenbezogene Daten erhebt und verarbeitet (noch Verantwortlicher personenbezogener Daten genannt).

 

Real sind die Veränderungen nicht wenig, doch sind sie auch nicht so aufschreckend viel mit Rücksicht auf das Niveau des Unternehmens in Bulgarien (hauptsächlich Klein- und Mittelunternehmen).

Eine der Haupteinführungen, die die Verordnung regelt, ist die Einführung der Figur DPO (data protection officer) – Datenschutzbeamter.

Für euch als Verantwortliche personenbezogener Daten ist es wichtig zu wissen, ob ihr zur Einstellung einer solchen Person verpflichtet seid:

Gemäß der Verordnung ist die DPO-Einstellung verbindlich, nur wenn:

die Datenverarbeitung durch öffentliche Strukturen und Organe vorgenommen wird, sowie auch wenn regelmäßig, systematisch und umfangreich personenbezogene Daten verarbeitet werden oder spezifische Daten (Angaben über die Gesundheit, Strafurteile, Verstöße usw.) verarbeitet werden.

Weil in der Verordnung keine Bestimmung der umfangrechen Verarbeitung personenbezogener Angaben gegeben ist, sollen wir das Bulgarische Gesetz anwenden, laut dem umfangreiche Verarbeitung personenbezogener Daten dann angenommen wird, wenn ihr personenbezogene Daten einer besonders großen Gruppe natürlicher Personen verarbeitet – mehr als 1 000 000. Wenn sich diese Ziffer bis zum 25.05.2018 nicht ändert, bedeutet das, dass ein ziemlich kleiner Teil der Gesellschaften in Bulgarien zur DPO-Einstellung verpflichtet werden.

Ungeachtet der Tatsache, dass die Einstellung einer solchen Figur nicht immer verbindliche Bedingung für die Einhaltung der Verordnung ist, sollt ihr im Klaren sein, dass ihr Fehlen euch und eure Gesellschaft bei der Erfüllung all ihrer Verpflichtungen erschweren würden, die mit der Verordnung eingeführt sind. Nämlich aus diesem Grund ist es sehr für euch empfehlenswert, eine derartige Person bei eurer Gesellschaft zu beschäftigen/zu bestellen.

Die Hauptrolle des Datenschutzbeamten ist die Gewährleistung, dass eure Gesellschaft die personenbezogenen Daten eurer Angestellten, Kunden, Lieferanten und anderer Personen (noch Subjekten von Daten genannt) in Übereinstimmung mit den anwendbaren Regeln über den Datenschutz verarbeitet.

Die Hauptplichten und -befugnisse, die ihm die Verordnung gewährt, sind:

  1. euch über alle euren Pflichten zu informieren, die durch die Verordnung und die Gesetze im Inland hervorgerufen sind;
  2. zu überwachen und zu prüfen, ob eure Gesellschaft die Verordnung und die Gesetze im Inland einhält;
  3. periodische Schulungen eurer Angestellten durchzuführen, die Zugang zu personenbezogenen Daten haben;
  4. mit der Kommission für den Schutz der personenbezogenen Daten zu korrespondieren und zusammenzuarbeiten.

Das Ziel der neueingeführten Figur ist es, euch beim Zurechtkommen mit einigen der wichtigsten Anforderungen zu unterstützen, die mit der Verordnung eingeführt sind, und zwar:

  1. dass ihr und eure Gesellschaften maximal kleine Mage von Daten verarbeiten (nur die für die entsprechende Tätigkeit notwendige),
  2. dass die Daten für maximal kurze Dauer aufbewahrt werden und der Zugang zu den Daten maximal eingeschränkt ist.

Damit diese Anforderungen erfüllt werden, ist es erforderlich, dass jemand, der mit den Anforderungen der Verordnung detailliert bekanntgemacht ist, einschätzt, welche Daten für eure Tätigkeit wichtig sind, wie lange sie laut Vertrag, dem Gesetz oder der Zustimmung, erteilt von der Person, die die Daten vorgelegt hat, aufbewahrt werden sollen, sowie auch welche Personen Zugang zu diesen Daten haben dürfen. Hierher kommt die Rolle des Datenschutzbeamten, der euch Antwort auf alle Fragen geben wird und die Einhaltung der Anforderungen der Verordnung sichern wird.

 

Der Gesetzgeber war im Klaren, dass nicht jede Gesellschaft imstande ist, einen derartigen Angestellten zu beschäftigen, und hier hat die Verordnung eine gute Alternative von DPO eingeführt, und nämlich die externen Berater und die Rechtanwälte. Nach Vornahme einer Einschätzung über die von euch und eurer Gesellschaft verarbeiteten Daten können sie euch helfen, eure Gesellschaft an die mit der Verordnung eingeführten Änderungen anzupassen, ohne dass die Einstellung einer ähnlichen Figur als euer Angestellter notwendig ist.

Für den Fall, dass Sie sich entscheiden, eine solche Person zu beschäftigen oder einzustellen, ist es für euch wichtig, sicher zu sein, dass dieselbe zur Erfüllung all ihrer Pflichten kompetent ist, was durch Zertifikate und Bescheinigungen über durchgeführte Bildungen und Lehrgänge nachgewiesen wird. Ihr müsst sicher sein, dass die Person im Detail mit den Anforderungen der Verordnung und den Praktiken des inländischen Rechts bekanntgemacht ist. Die Kommission zum Schutz der personenbezogenen Daten hat das Engagement angenommen, obligatorische Schulungen und Zertifizierung der Personen zu organisieren, die eine solche Position bekleiden möchten.

 

Für den Fall, dass ihr Unterstützung bei der Einschätzung, ob ihr eine derartige Person bei eurer Gesellschaft einstellen müsst und beziehungsweise ob ihr mit den Anforderungen der Verordnung auch ohne sie zurechtkommen würdet, werden wir uns freuen, wenn ihr euch an uns wendet.

 

Dimitar Yanev