Ogni azienda che immagazzina e usa i dati personali dei clienti è responsabile della sicurezza legalmente conforme di queste informazioni. Spesso, la legge richiede persino la nomina di un responsabile indipendente della protezione dei dati.
La protezione dei dati personali è diventata sempre più importante negli ultimi anni. Oltre ai poteri di controllo statale e di regolamentazione, l'entrata in vigore del regolamento generale sulla protezione dei dati dell'UE (GDPR) ha stabilito che le aziende che trattano i dati personali devono nominare un responsabile della protezione dei dati in alcuni casi. Il ruolo di questo ufficio è quello di monitorare la conformità con tutti i regolamenti relativi alla protezione dei dati e di agire come una persona di contatto per gli interessati. In termini concreti, questo significa che il responsabile della protezione dei dati deve raccogliere informazioni sullo schema sotto il quale l'azienda raccoglie, memorizza e tratta i dati personali. Inoltre, l'informazione e la consultazione all'interno dell'impresa fanno parte dell'area di attività del responsabile della protezione dei dati.
Due disposizioni legali determinanti
Per quanto riguarda la questione di quando un'impresa è obbligata a nominare un responsabile della protezione dei dati, si devono osservare due disposizioni legali. Una è la nuova legge federale sulla protezione dei dati (BDSG), l'altra è il regolamento europeo sulla protezione dei dati (GDPR). Di conseguenza, un responsabile della protezione dei dati deve essere nominato se:
- Almeno 20 dipendenti sono permanentemente coinvolti nel trattamento automatizzato dei dati personali (sezione 38 (1) frase 1 BDSG). Il trattamento dei dati in questo caso comprende già la comunicazione con i clienti via e-mail.
- Nell'azienda vengono raccolti dati che sono soggetti alla cosiddetta "valutazione dell'impatto sulla protezione dei dati" ai sensi dell'art. 35 EU-DSGVO o che vengono trattati su base commerciale per la trasmissione o per ricerche di mercato e di opinione (art. 38 par. 1 frase 2 BDSG).
- L'attività principale dell'azienda interessata consiste nello svolgimento di operazioni di trattamento dei dati che richiedono un monitoraggio completo, permanente e sistematico degli interessati (art. 37 (1) EU GDPR).
È richiesto un alto livello di competenza
Un responsabile della protezione dei dati deve essere coinvolto ogni volta che un'azienda esegue o considera l'esecuzione di valutazioni di impatto relative al trattamento dei dati personali. Le valutazioni d'impatto sono regolarmente richieste quando i dati personali di terzi sono raccolti e c'è un alto rischio per i diritti e le libertà degli interessati come risultato. L'assunto di base qui è che più sensibili sono i dati trattati, più misure di sicurezza devono essere prese. L'incaricato della protezione dei dati deve disporre di competenze sufficienti per adempiere ai suoi compiti in modo adeguato.
L'ultima responsabilità spetta alla direzione dell'azienda
Nonostante il suo importante ruolo, l'incaricato della protezione dei dati non ha in linea di principio alcuna responsabilità personale per il rispetto delle norme sulla protezione dei dati nell'azienda. Piuttosto, la responsabilità di questo è della direzione. Allo stesso tempo, il responsabile della protezione dei dati non può essere punito per le sue attività e azioni che possono essere contro la politica aziendale. Da questo punto di vista, c'è indipendenza giuridica in questo settore.