Harici veri koruma görevlisi ve yardımcısı


Eğer şirketiniz kişisel verileri düzenli olarak işliyorsa, GDPR'nin 37. maddesince bir veri koruma görevlisine ihtiyaç duymaktadır. Ayrıca, § 38 BDSG'ye göre, şirketinizde en az 20 kişi sürekli olarak kişisel verilerin otomatik olarak işlenmesiyle uğraşmakta ise şirketiniz veri koruma görevlisine ihtiyaç duyacaktır.

Size bu hizmetler için harici bir veri koruma görevlisi tahsis edebiliriz. Harici veri koruma görevlilerimiz, veri koruma ve ilgili uzmanlık alanlarında uzman olan kişiler ve size birinci sınıf destek sunarlar. Aşağıdaki hizmetler, diğer hizmetlerin yanı sıra, harici
veri koruma görevlilerimizden birinin yapabileceklerini içermektedir:

  • Yasal veri koruma gerekliliklerine uygunluk konusunda danışmanlık
  • İşletmenizi ve iş uygulamalarınızı etkileyebilecek veri koruma gelişmeleri hakkında bilgi ve bilgilendirme
  • Veri koruma gerekliliklerine uyumun izlenmesi ve kontrol edilmesi
  • Ekonomik ve ticari çıkarlarınızı en üst düzeye çıkarabilecek veri koruma stratejilerinin geliştirilmesi
  • Veri koruma uyumluluğunun teşvik edilmesi
  • 20.000.000€ veya bir önceki mali yılda dünya çapında elde edilen yıllık cironun %4'ü ne kadar para cezalarına karşı koruma
  • Kişisel verilerin işlenmesiyle ilgili risklerin tespit edilmesi, değerlendirilmesi ve ortadan kaldırılması veya en aza indirilmesi
  • Veri koruma denetimlerinin yürütülmesi ve gerekli önlemlerin ortak
    hazırlanması
  • Madde 35 GDPR uyarınca veri koruma etki değerlendirmelerinin uygulanması ve yürütülmesi ile ilgili danışmanlık
  • Madde 5 paragraf 2 GDPR´ye uygun olarak veri koruma belgelerine destek verilmesi ve veri koruma sorumlusunun hesap verebilirliğinin sağlanması
  • Veri koruma sözleşmelerinin, metinlerinin, formlarının ve şablonlarının veri sorumlusunun branşına göre taslağı yapılması ve bunların iş koşullarına uyarlanması
  • İşleme dizinlerinin oluşturulması ve bakımı için desteklenmesi
  • Operasyonel veri korumasının tasarımı ve koordinasyonu
  • Süreç odaklı bir veri koruma yönetimi oluşturması
  • Operasyonel süreçlere ve koşullara uyarlanmış bir veri koruma organizasyonunun tanıtılması
  • Mevcut yazılımın veri koruma değerlendirmesi ve veri koruma ile ilgili yeni yazılımın tanıtımının desteklenmesi
  • Veri Koruma gerekliliklerinin en iyi şekilde uygulanması için işlevsel veri koruma süreçlerinin tasarımı
  • Denetim otoriteleri ile yazışmaların yürütülmesi Veri koruma konularında denetim otoriteleri için ilk başvurulacak yer olabilmesi

Daha fazla bilgi alabilmek için bizimle iletişime geçebilirsiniz. Size olabildiğince hızlı dönüş sağlanacaktır.

NOTOS Xperts - externer Datenschutzbeauftragter - Frequently Asked Questions (FAQ)

What does the data protection officer do?

The data protection officer is responsible for ensuring compliance with data protection law within an organization, e.g., a company or association. He or she has the necessary expertise to inform the management and employees about the requirements of data protection law and to raise their awareness in this regard. In addition, he or she assists in the lawful design of data processing and the documentation of processes. The data protection officer thus works towards general data protection compliance and minimizes the risk of fines.

When does my company need a data protection officer?

According to the law, there are two basic cases in which the appointment of a data protection officer is mandatory. According to Art. 37 (1) GDPR, a data protection officer is initially required

  • if the processing is carried out by a public authority or public body
  • if the core activity of an organization is to carry out processing operations which require extensive regular and systematic monitoring of data subjects
  • if the core activity of an organization consists of processing special categories of personal data (such as doctors, laboratories, hospitals, pharmaceutical companies) or personal data relating to criminal convictions and offenses (such as criminal law firms, correctional institutions).

In addition to these three standard examples, the appointment of a data protection officer is mandatory under § 38 BDSG (German national data protection law) if an organization employs at least 20 people on a permanent basis to process personal data.
CAUTION: The fact that an organization does not need a data protection officer under the law does not mean that it does not have to comply with data protection law. This is a dangerous fallacy that unfortunately still occurs in practice.

Is a data protection officer or data protection coordinator recommended for my company?

Whether a data protection officer or a data protection coordinator is recommended for your company depends on the existence of a data protection organization, the obligation to appoint a data protection officer, and the actual scope of data processing. If your company already has a data protection officer, it may make sense to hire a data protection coordinator to assist you. Experience shows that the theoretical framework for data protection issues is often designed, but practical implementation is lacking. For example, a deletion concept is put on paper, but the actual deletion of personal data does not take place or is slow due to a lack of resources.

NOTOS Xperts recommends the appointment of a data protection officer if your company regularly processes personal data and lacks the necessary resources, both in terms of expertise and personnel, to deal with data protection requirements. This is where a data protection officer can provide active support.
IMPORTANT: Managing directors and authorized officers cannot (may not) simultaneously perform the function of data protection officer, as this may result in conflicts of interest. Certain managerial positions, for example in the areas of IT, marketing, sales or human resources, cannot be data protection officers either.

What are the advantages of an external data protection officer from NOTOS Xperts?

NOTOS Xperts' external data protection officers draw on a wealth of experience generated through their consulting practice with clients of various sizes and from different industries and business sectors. Their activities are service-oriented and tailored to the needs of their clients. They have an extensive pool of ready-made samples, templates and blueprints at their disposal, so that no time needs to be spent on the initial preparation of the required documents. NOTOS Xperts' external data protection officers quickly identify the need for action under data protection law and work towards general data protection compliance.

What is the best way to achieve data protection compliance for my company?

In our experience, the best approach is a three-stage process: First, we conduct an audit that covers all areas of the company and identifies the need for action under data protection law. Following this, we prioritize the need for action according to their urgency and work through them. In the third stage, we then concentrate on establishing a functioning data protection system. With this holistic approach, we work toward achieving data protection compliance for your company. As your external data protection officer, we are available to you promptly and professionally for all data protection-related issues, including ad hoc inquiries in particular.

Was macht der Datenschutzbeauftragte?

Der Datenschutzbeauftragte kümmert sich um die Einhaltung des Datenschutzrechts innerhalb einer Organisation, bspw. einem Unternehmen oder Verein. Er besitzt die erforderliche Fachkunde, um die Leitung und die Mitarbeiter über die Vorgaben des Datenschutzrechts zu informieren und sie diesbezüglich zu sensibilisieren. Zudem unterstützt er bei der rechtmäßigen Gestaltung von Datenverarbeitungen und der Dokumentation der Prozesse. Der Datenschutzbeauftragte wirkt demnach auf eine allgemeine Datenschutz-Compliance hin und minimiert das Bußgeldrisiko.

Wann braucht mein Unternehmen einen Datenschutzbeauftragten?

Es gibt nach dem Gesetz zwei grundsätzliche Fälle, nach denen die Benennung eines Datenschutzbeauftragten verpflichtend ist. Ein Datenschutzbeauftragter ist nach Art. 37 Abs. 1 DSGVO zunächst dann erforderlich

  • wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird
  • wenn die Kerntätigkeit einer Organisation darin besteht, Verarbeitungen durchzuführen, die umfangreiche regelmäßige und systematische Überwachungen von betroffenen Personen erforderlich machen
  • wenn die Kerntätigkeit einer Organisation in der Verarbeitung von besonderen Kategorien personenbezogener Daten (etwa Ärzte, Labore, Krankenhäuser, Pharma-Unternehmen) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (etwa Anwaltskanzleien für Strafrecht,  Justizvollzugsanstalten) besteht.

Zusätzlich zu diesen drei Regelbeispielen ist die Benennung eines Datenschutzbeauftragten nach § 38 BDSG verpflichtend, wenn eine Organisation mind. 20 Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt. ACHTUNG: Dass eine Organisation nach dem Gesetz keinen Datenschutzbeauftragten benötigt, bedeutet nicht, dass es das Datenschutzrecht nicht einhalten müsste. Dies ist ein gefährlicher Trugschluss, der in der Praxis leider immer noch vorkommt.

Ist für mein Unternehmen ein Datenschutzbeauftragter oder ein Datenschutzkoordinator empfohlen?

Ob für Ihr Unternehmen ein Datenschutzbeauftragter oder ein Datenschutzkoordinator empfohlen ist, hängt vom Bestehen einer Datenschutzorganisation, von der Pflicht zur Benennung eines Datenschutzbeauftragten sowie vom tatsächlichen Umfang der Datenverarbeitung ab. Wenn Ihr Unternehmen bereits einen Datenschutzbeauftragten hat, kann es sinnvoll sein, zur Unterstützung einen Datenschutzkoordinator zu beauftragen. Erfahrungsgemäß wird der theoretische Rahmen für Datenschutz-Themen häufig konzipiert, es hapert allerdings an der praktischen Umsetzung. So wird ein Löschkonzept zwar aufs Papier gebracht, aber die eigentliche Löschung von personenbezogenen Daten findet aufgrund mangelnder Ressourcen nicht statt oder läuft nur schleppend.

Einen Datenschutzbeauftragten, sofern noch nicht vorhanden und abgesehen von den gesetzlichen Benennungspflichten, empfiehlt NOTOS Xperts dann, wenn Ihr Unternehmen regelmäßig personenbezogene Daten verarbeitet und es sowohl fachlich als auch personell an den erforderlichen Ressourcen fehlt, um sich mit den datenschutzrechtlichen Vorgaben auseinanderzusetzen. Hier kann ein Datenschutzbeauftragter tatkräftig unterstützen. WICHTIG: Geschäftsführer und Prokuristen können (dürfen) nicht gleichzeitig die Funktion des Datenschutzbeauftragten übernehmen, da dies Interessenkollisionen mit sich bringen kann. Bestimmte leitende Funktionen, etwa aus den Bereichen IT,  Marketing, Vertrieb oder Personal können ebenfalls kein Datenschutzbeauftragter sein.

Was sind die Vorteile eines externen Datenschutzbeauftragten von NOTOS Xperts?

Die externen Datenschutzbeauftragten von NOTOS Xperts greifen auf einen umfangreichen Erfahrungsschatz zurück, den sie aufgrund ihrer Beratungspraxis bei Mandanten in unterschiedlichen Größen und aus verschiedenen Branchen und Geschäftsfeldern generiert haben. Ihre Aktivitäten sind dienstleistungsorientiert und auf die Bedürfnisse ihrer Mandanten zugeschnitten. Sie verfügen über einen umfangreichen Pool an vorgefertigten Mustern, Vorlagen und Templates, sodass für die initiale Erstellung der erforderlichen Unterlagen keine Zeit aufgewendet werden muss. Die externen Datenschutzbeauftragten von NOTOS Xperts ermitteln zügig den datenschutzrechtlichen Handlungsbedarf und arbeiten auf eine generelle Datenschutz-Compliance hin.

Wie gehe ich am besten vor, um für mein Unternehmen eine Datenschutz-Compliance zu erreichen?

Nach unserer Erfahrung ist die beste Vorgehensweise dreistufig: Zunächst führen wir ein Audit durch, das alle Bereiche des Unternehmens erfasst und die datenschutzrechtlichen Handlungsnotwendigkeiten herausarbeitet. Daran anknüpfend priorisieren wir die Handlungsnotwendigkeiten ihrer Dringlichkeit nach und arbeiten sie ab. In der dritten Stufe konzentrieren wir uns sodann um die Etablierung eines funktionsfähigen Datenschutz-Regelbetriebs. Mit diesem holistischen Ansatz arbeiten wir darauf hin, für Ihr Unternehmen eine Datenschutz-Compliance zu erreichen. Als Ihr externer Datenschutzbeauftragter stehen wir Ihnen zeitnah und professionell für alle datenschutzrechtlichen Themen, insbesondere auch ad hoc-Anfragen, professionell zur Verfügung.

 

Muhatapınız:

Jens Engelhardt

Managing Partner

Avukat
BT hukuku uzman avukat
Telif hakkı ve medya hukuku uzman avukat
Endüstriyel mülkiyet koruma uzman avukat
Veri koruma görevlileri için yeterlik

Muhatapınız:

Erdem Durmuş

Harici veri koruma görevlisi

CIPP/E
ISO 27001
Veri koruma görevlileri için yeterlik
GPM'den temel proje yönetimi sertifikası