¿Cuándo es obligatorio un delegado de protección de datos?

En casi todas las empresas se tratan datos personales. El tratamiento de estos datos está sujeto a obligaciones especiales que, en algunos casos, incluyen el nombramiento de un responsable de la protección de datos. Pero ¿cuándo Responsable de protección de datos obligatorio? ¿Qué posibilidades hay de cumplir tal obligación?

Obligación de designar un responsable de la protección de datos

El artículo 37 del RGPD y el artículo 38 de la BDSG imponen al responsable del tratamiento la obligación de nombrar a un delegado de protección de datos en determinados casos. Si se cumplen los requisitos establecidos en la ley, es obligatorio nombrar a un responsable de la protección de datos. Todos los demás responsables del tratamiento son libres de nombrar a un delegado de protección de datos.

Requisitos

En El RGPD exige que el responsable del tratamiento designe a un delegado de protección de datos comprometido,

• si el tratamiento lo lleva a cabo una autoridad u organismo público (no se incluyen los tribunales en el contexto de sus actividades judiciales) o
• cuando la actividad principal implique operaciones de tratamiento que, por su naturaleza, alcance o fines, requieran un control a gran escala de forma periódica y sistemática o
• si, como parte de la actividad principal, datos de categoría especial con arreglo al art. 9 GDPR o datos sobre condenas e infracciones penales (art. 10 del RGPD).

Así pues, el RGPD establece un marco bastante estrecho en el que el nombramiento de un delegado de protección de datos es realmente obligatorio. El objetivo es cubrir los ámbitos en los que se tratan datos especialmente sensibles o de especial amplitud. datos personales procesarse.

Sin embargo, la BDSG amplía estos requisitos, de modo que el ámbito de aplicación de la obligación no es tan reducido después de todo. Según el artículo 38 de la BDSG, la designación también es obligatoria en Alemania,

• si, por regla general, al menos 20 personas participan de forma permanente en el tratamiento automatizado datos personales están empleados o independientemente del número de personas que se dediquen a la transformación
• si se llevan a cabo operaciones de tratamiento Evaluación de impacto de la protección de datos están sujetas al artículo 35 del GDPR o
• cuando datos personales tratados con fines de transmisión, transmisión anonimizada o con fines de estudios de mercado o de opinión.

Sin embargo, el umbral de 20 personas empleadas no es tan claro como parece a primera vista:

El umbral de 20 personas debe alcanzarse "por regla general". Esto significa que se tiene en cuenta el número de personas que participan en el tratamiento automatizado durante un periodo de un año. datos personales se emplean o cuántos se emplearán en el marco de una previsión.

Las personas también deben estar empleadas "de forma continua", lo que significa que la tarea es realizada por estas personas de forma regular. No es necesario que el tratamiento de datos personales sea la tarea principal o el núcleo de la actividad de la persona. Basta con que el tratamiento de los datos personales tenga lugar en el contexto de la actividad específica. Basta con que la persona esté conectada a un sistema de comunicación como Outlook o tenga acceso a los directorios de direcciones propios de la empresa. Al examinar si se ha superado el valor umbral, se incluye a los empleados que no tienen más competencias que la visualización de datos personales.

Esto significa que algunas empresas en Alemania están sujetas a la obligación de nombrar un responsable de la protección de datos que puede que ni siquiera lo sepan. La no designación de un delegado de protección de datos se considera ahora una infracción formal media, que suele costar entre 20.000 y 30.000 euros (dependiendo del volumen de negocio) en multas.

¿Oficial de protección de datos interno o externo?

La empresa no puede nombrar a un empleado para que ocupe un puesto de directivo además de su trabajo normal en la empresa. Nombrar a un responsable de la protección de datossino también a una persona externa con esta tarea.

Si se elige a un empleado interno, tendrá que recibir mucha formación. Además, tienen que recibir formación periódicamente y, por tanto, incurren en costes adicionales con menos mano de obra para las tareas reales. Debido a este esfuerzo, el puesto suele ser muy impopular entre los empleados. Además, a menudo es difícil para el personal interno mantener una visión de conjunto de toda la empresa y así poder desempeñar sus funciones con eficacia. Un empleado interno debe ser imparcial y no puede controlarse a sí mismo; los empleados de TI o los empleados con responsabilidad de personal o de división, así como todos los empleados en puestos de dirección y los empleados con órganos corporativos ya están excluidos de esto.

Si, por el contrario, eliges un consultor externo, puedes confiar en su experiencia certificada y no tienes que preocuparte por la formación adicional. Además, los honorarios fijos facilitan la estimación del trabajo adicional y lo mantienen dentro de unos límites. El sitio Responsable externo de protección de datos suele tener una mejor visión de conjunto y mantiene la neutralidad.

Sin embargo, cuál es la mejor alternativa para una empresa debe decidirse caso por caso.

¿Son necesarios varios responsables de protección de datos?

En principio, es posible nombrar un responsable común de la protección de datos para varios organismos que estén bajo la misma dirección.

De conformidad con el artículo 37 II, las empresas pueden designar a un responsable de la protección de datos conjunto del grupo. Encontrará más información al respecto aquí.

Según el Art. 37 III, lo mismo se aplica a las autoridades y organismos públicos si ello es posible de acuerdo con la estructura organizativa.

PREGUNTAS FRECUENTES

P: ¿Cuándo es necesario un delegado de protección de datos?

A: A De conformidad con el RGPD, el responsable de la protección de datos es exigida a un determinado número de empleados o para determinados tipos de operaciones de tratamiento de datos.

P: ¿Cuándo debe nombrarse un delegado de protección de datos?

R: Debe nombrarse un responsable de la protección de datos si en una empresa se tratan datos personales con regularidad, independientemente del tamaño de la empresa.

P: ¿Cuáles son las tareas del responsable de protección de datos de una empresa?

R: El El responsable de la protección de datos de la empresa es responsable, entre otras cosas, de supervisar responsable de garantizar el cumplimiento de la normativa sobre protección de datos, asesorar a los empleados y cooperar con las autoridades de control.

P: ¿Cuándo se amenaza con multas en relación con el responsable de la protección de datos?

R: Pueden imponerse multas por infracciones del Reglamento General de Protección de Datos (RGPD), especialmente si no se ha designado un delegado de protección de datos o si Normativa sobre protección de datos fue violada.

P: ¿Es obligatorio por ley nombrar un delegado de protección de datos?

R: Sí, en determinados casos el nombramiento de un Responsable de protección de datos por ley garantizar la protección de datos en una empresa.

P: ¿Qué operaciones de tratamiento de datos requieren el nombramiento de un delegado de protección de datos?

R: Los tipos especiales de tratamiento de datos, como los datos sanitarios o la información sobre condenas penales, pueden requerir el nombramiento de un delegado de protección de datos.

P: ¿Cuál es el cargo y las funciones de un delegado de protección de datos?

R: El responsable de la protección de datos ocupa un puesto independiente en la empresa y es responsable de supervisar la protección de datos, la Formación de los empleados y cooperación con las autoridades.

P: ¿Cuándo es obligatorio un delegado de protección de datos?

A: A Según el RGPD, el responsable de la protección de datos es es necesario si en una empresa se tratan datos personales de forma regular y sistemática. Los criterios exactos para determinar cuándo es necesaria la designación de un delegado de protección de datos se establecen en la BDSG.

P: ¿Cuándo hay que nombrar a un delegado de protección de datos?

R: Una empresa debe nombrar a un delegado de protección de datos si el tratamiento de datos implica datos especialmente sensibles o si es necesario debido a la naturaleza, el alcance o los fines del tratamiento de datos.

P: ¿Cuáles son las funciones del delegado de protección de datos de la empresa?

R: El responsable de protección de datos de la empresa se encarga de supervisar el cumplimiento de la normativa sobre protección de datos, organizar cursos de formación dentro de la empresa, responder a las consultas de los interesados y actuar como punto de contacto con las autoridades de control.

P: ¿En qué casos es necesario nombrar un delegado de protección de datos?

R: Una empresa está obligada a nombrar a un responsable de la protección de datos si procesa de forma regular y sistemática datos personales o si así lo exige la ley.

P: ¿Qué multas pueden imponerse por infringir la normativa de protección de datos en relación con un delegado de protección de datos?

R: En caso de infracción de la la normativa sobre protección de datos puede dar lugar a multas elevadas. en particular si no se nombra a un responsable de la protección de datos, aunque sea necesario.

P: ¿Qué papel desempeña el RGPD en el nombramiento de un delegado de protección de datos?

R: El RGPD establece los requisitos para el nombramiento de un delegado de protección de datos y regula las responsabilidades y obligaciones del delegado de protección de datos. Obligaciones en materia de protección de datos personales.