数据保护从未面临如此多的挑战。特别是,日常商业实践日益国际化,使得密切关注各个国家的数据保护法规成为必要。除此之外,技术进步也带来了许多陷阱,尤其是在处理在线环境中的数据时。
因此,欧盟委员会决定协调数据保护,并通过《通用数据保护条例》(EU GDPR)建立了一个中心框架。作为一项指令,它构成了数据保护改革的基础,旨在规范成员国境内的数据保护规定。
在德国,公司曾经必须遵守《联邦数据保护法》(BDSG)。自2018年5月25日起,欧盟《通用数据保护条例》(GDPR)根据欧盟议会的决定正式生效。
欧盟GDPR的内容范围很广泛。我们总结了概要中的主要数据保护主题。在本页 面中,我们详细解释了公司必须考虑哪些方面才能实现适当级别的数据保护。我们也会考虑开头的条款。这些允许欧盟成员国使用自己的国家规则来扩展欧盟 GDPR。例如,如果满足某些要求,德国公司仍需任命一名数据保护官。
目录
进一步加工
任命数据保护官
网站合规指南
国际数据传输
认证
责任和损害赔偿权利
扩大责任至外国公司
罚款和制裁
透明度和信息义务
广告和直接营销
删除权(“被遗忘权”)
数据可携权
控制者的责任
隐私友好的默认设置
订单处理和联合控制者
发生数据保护违规时的通知义务
处理安全性
数据保护影响评估
处理的合法性和儿童的同意
1. 进一步加工
目的限制原则适用于个人数据的收集和处理。仅可出于事先确定的目的收集数据。接下来是所谓的初始处理。
公司常常希望将其收集的数据用于其他目的。但由于目的限制,不允许进一步加工。但有一个例外,即目的的延伸。但只有与原始目的兼容才是允许的。因此,在进行任何进一步处理之前,必须检查是否可以且允许扩展目的。
2. 任命数据保护官
自《通用数据保护条例》生效以来,欧洲范围内首次出现了企业必须任命数据保护官的义务。
如果将个人数据处理归类为核心活动,那么它就存在——但前提是范围或目的需要广泛、定期和系统的监控。
如果处理涉及特殊类别的数据,则也有义务指定控制者,这也构成一项核心活动。
每家公司都有义务独立检查、记录并证明是否有必要任命数据保护官。
在审查是否有必要任命数据保护官时,公司应该考虑开头条款的影响。欧盟 GDPR 为欧 台湾电报数据 盟成员国提供了制定有关任命数据保护官的额外国家法规的机会。
德国在法规上保留了现行制度。因此,仍然需要将现行有效的 BDSG nF 第 38 条第 1 款的任命规定应用于德国公司。
如果事实证明没有义务,则应考虑数据保护官的任命是否是自愿的。提出此建议的原因是欧盟 GDPR 带来数据保护法的巨大变化。至少任务范围——特别是在审计、监察和信息义务领域——已经大大扩展。即使不需要任命数据保护官,也会出现许多此类任务。正是在那时,出现了谁应该接任的问题。
该法规还规定了数据保护官办公室的权利和义务。在此背景下,可以观察到根本性的扩张。例如,另一项任务是监控组织内对 GDPR 的遵守情况。这同样适用于监控公司战略和责任分配。额外的监控义务大大扩大了数据保护官的责任,从而也扩大了数据保护官的义务。已经担任数据保护官的员工必须自行决定是否愿意承担这一责任。