Registrieren
Registrieren
Zurück zu den Nachrichten

Etwa mit der Figur des für die Behandlung Verantwortlichen in den Beschwerdekanälen.

„Artikel 5 des Gesetzes 2/2023 vom 20. Februar, das den Schutz von Personen, die Verstöße gegen Vorschriften melden, und die Korruptionsbekämpfung regelt, besagt, dass das Verwaltungsorgan oder Leitungsorgan jeder juristischen Person oder Einrichtung gesetzlich dazu verpflichtet ist.“
  • Nachrichten

Dieser Artikel ist das Ergebnis der in der Sitzung geführten Debatte: „Arbeits- und Datenschutzfragen im Gesetz 2/2023 vom 20. Februar zum Schutz des Informantene"

Artikel 5 des Gesetzes 2/2023 vom 20. Februar, das den Schutz von Personen regelt, die Verstöße gegen Vorschriften melden, und die Korruptionsbekämpfung besagt, dass die Verwaltungsorgan oder Leitungsorgan jeder gesetzlich vorgeschriebenen Entität oder Einrichtung, zusätzlich zur Verantwortung für die Implementierung des internen Informationssystems, hat den Status eines Verantwortlichen für die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Bestimmungen der Vorschriften zum Schutz personenbezogener Daten. Es handelt sich also um eine Zuschreibung ehemaliges Legem des Status des Datenverantwortlichen.

Es ist nicht umsonst, sich daran zu erinnern, dass diese Zahl durch die Datenschutz-Grundverordnung mit sehr genauen Konturen definiert wird. „Verantwortlicher für die Behandlung“ oder „Verantwortlicher“: die natürliche oder juristische Person, Behörde, Dienststelle oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Behandlung entscheidet; Wenn das Recht der Union oder der Mitgliedstaaten die Zwecke und Mittel der Verarbeitung bestimmt, können der Verantwortliche oder die spezifischen Kriterien für seine Bestellung durch das Recht der Union oder der Mitgliedstaaten festgelegt werden;

Einerseits gibt es eine Rollenzuschreibung materieller Natur, die auf der Identifizierung der Entität oder des Subjekts mit wesentlicher Entscheidungsfähigkeit. Andererseits kann das Gesetz, wenn es diese Entscheidungen trifft, es auch einem bestimmten Subjekt zuordnen Zustand des Verantwortlichen. Dies ist kein kontroverses Thema. Fraglich wird sein, ob die Wahl des Gesetzgebers richtig ist. Bei vielen Gelegenheiten haben wir trotz der Freiheit, die uns die Wissenschaft gewährt, Laborlösungen kritisiert. Und das liegt zweifellos daran, dass es aus verschiedenen Gründen ineffizient oder problematisch werden kann.

Der erste und einfachste Weg führt uns zurück zum materiellen Ansatz. Das Gesetz definiert nicht nur die Ziele und Mittel, es fördert auch a bestimmtes Managementmodell. In Artikel 8 wird bei der Regelung der Benennung und der Aufgaben der für das interne Informationssystem verantwortlichen Person die Person oder das Kollegialorgan festgelegt, die auf der Grundlage einer Unabhängigkeitsstatut ordentliche Managemententscheidungen trifft. Gesetz, das durch die Zuweisung des Status eines Datenverantwortlichen keineswegs berührt, sondern bereichert worden wäre. Und das aus vielen verschiedenen Gründen.

Der erste seit dem Transparenz und Zuverlässigkeit des Systems sowie seine Zugänglichkeit. Angesichts der Bedeutung seiner Entscheidung wird es normalerweise so sein Der Beschwerdeführer prüft sorgfältig die rechtlichen Informationen einschließlich der Datenschutzrichtlinien: Was werden Sie verstehen, wenn Sie lesen, dass die für die Behandlung verantwortliche Person ein „Vorstand“ ist, gegenüber dem Sie jede Art von Kommunikation anstoßen? Der Anrufer erhielt keine Datenschutzbescheinigung von der AEPD und konnte verstehen, dass das „Informationssystem“, das seine Identität schützen sollte, von denjenigen gesteuert wird, die er anzeigen wollte. Wenn ja, würde niemand, der bei klarem Verstand ist, eine Beschwerde einreichen. Und obwohl bestätigt wird, dass der „gesunde Menschenverstand“ wenig rechtlichen oder rationalen Wert hat, lohnt es sich, sich in die Lage der Menschen zu versetzen, wenn er reguliert wird, die diese dogmatischen Feinheiten nicht bemerken.

Noch absurder ist die Notwendigkeit, eine Reihe von Compliance-Maßnahmen zu entwickeln, die die Integrität des Informationssystems gewährleisten sollen. Keine einzige Datenschutzregel weist darauf hin, dass der Zugriff auf ein Informationssystem von der Stelle, der der Status des Datenverantwortlichen zuerkannt wird, verweigert werden kann. und das ist das Hauptkonsequenz dieser Rechtskonstruktion. Keines der Vorstandsmitglieder oder die Personen in Ihrem Team sollten Zugriff auf das Informationssystem haben. Und das wirft ein Paradox wenn gemäß Artikel 36.4 LOPDGDD die für den Datenschutz beauftragte Person „die Verwaltungs- und Leitungsorgane der verantwortlichen Person“ über einen möglichen Verstoß gegen dieses Informationssystem informiert. Der DPD trifft keine Entscheidungen, er überwacht nur, und der Verantwortliche muss die Probleme untersuchen und beheben. Diese Aktion kann den Zugriff auf das Informationssystem und seine Informationen beinhalten. Durch die technische Entscheidung, die das Gesetz vorsieht, wird die Entscheidungsbefugnis über die Datenverarbeitung einer Stelle übertragen, der unter bestimmten Bedingungen der Zugang zu Informationen untersagt werden sollte.

La Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist nicht nur eine juristische Laboraufgabe. Es erfordert die Kenntnis oder zumindest die Nachahmung der Managementprozesse, selbst wenn es sich um ein Designmodell handelt, funktioniert es nicht. Wäre eine Prozesslandkarte mit einem klaren Schema konfiguriert worden, wäre es schwierig, eine solche Verantwortung dem Leitungsgremium zu übertragen. Der natürliche Raum für eine solche Aufgabe entspricht natürlich dem Compliance-Stelle.

Dies zwingt Datenschutzbeauftragte dazu, mindestens zwei Richtlinien zu berücksichtigen. Stellen Sie zunächst sicher, dass Die Informationen über die Behandlung erfüllen eine erforderliche Funktion der Transparenz und Zugänglichkeit in seiner Dimension der Verständlichkeit. Der Kommunikator muss verstehen, dass der „Rat“, selbst wenn er für die Behandlung verantwortlich ist, bei der „Meldung“ nicht auf die Informationen zugreifen wird. Die zweite besteht darin, die interne Methodik zu entwerfen und das Design des Informationssystems zu gestalten, das sicherstellt, dass zur Einhaltung der DSGVO Wir haben keinen Einfluss auf die Pflicht zufideNzialität des Gesetzes 2/2023.

Ricardo Martínez Martínez

Professor für Verfassungsrecht an der Universität Valencia, Direktor des Lehrstuhls für Datenschutz und digitale Transformation der Microsoft-Universitat de Valencia und akademischer Berater von FIDE

Wenn der Artikel für Sie interessant war,

Wir laden Sie ein, es in sozialen Netzwerken zu teilen

Twitter
LinkedIn
Facebook
E-Mail
WhatsApp

Hinterlassen Sie einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.

Zurück zu den Nachrichten

Kontakt

Füllen Sie das Formular aus und jemand aus unserem Team wird sich in Kürze mit Ihnen in Verbindung setzen.

Facebook Twitter Youtube