Yang tidak diketahui banyak startup: Mungkin mereka membutuhkan orang yang bertanggung jawab atas perlindungan data. Panduan kami menjelaskan kapan hal ini terjadi.
Kontribusi dari pengacara Frank Bongers dan Karsten Krupna dari Esche Schümann Commichau, Hamburg.
Masalah perlindungan data tidak menjadi prioritas utama bagi banyak startup. Namun, undang-undang perlindungan data merupakan hal yang mendasar, terutama ketika pemrosesan data pribadi merupakan bagian dari model bisnis. Hal ini termasuk apakah perusahaan rintisan harus menunjuk petugas perlindungan data perusahaan atau menunjuknya secara sukarela.
Menunjuk petugas perlindungan data – apakah perlu?
Jika lebih dari sembilan orang dalam sebuah startup secara teratur memproses data pribadi, petugas perlindungan data perusahaan harus ditunjuk sesuai dengan Undang-Undang Perlindungan Data Federal. Data pribadi adalah semua informasi tentang orang tertentu. Tidak ada tuntutan tinggi pada pemrosesan dan cakupan reguler. Misalnya, setiap orang yang berkomunikasi untuk startup melalui email, jejaring sosial, atau sarana digital lainnya harus dihitung.
Namun, persyaratan pesanan juga diperhitungkan jika terdapat kurang dari sepuluh orang yang memproses data, misalnya jika startup menangani data pribadi, membuat profil kepribadian atau perilaku, atau memproses data yang sangat sensitif – seperti data kesehatan.
Tugas apa yang dimiliki petugas perlindungan data?
Petugas perlindungan data perusahaan bertanggung jawab untuk mematuhi undang-undang perlindungan data. Dia melapor langsung kepada manajemen tetapi tidak tunduk pada instruksi ketika memberikan pendapatnya mengenai masalah perlindungan data. Selain itu, salah satu tugas petugas perlindungan data perusahaan adalah membiasakan orang-orang yang bekerja di perusahaan tersebut dengan peraturan perlindungan data.
Apa keuntungan memiliki petugas perlindungan data?
Siapapun yang tidak perlu menunjuk petugas perlindungan data dapat melakukannya secara sukarela. Meskipun memerlukan biaya, hal ini juga mempunyai manfaat. Petugas perlindungan data menunjukkan organisasi profesional perlindungan data – dalam dunia teknologi, hal ini dapat menjadi penentu. Hal ini menciptakan kepercayaan di antara pelanggan, investor, dan mitra kerja sama.
Siapa pun yang memproses data pribadi untuk orang lain kemungkinan besar akan dipekerjakan oleh pihak ketiga jika mereka telah menunjuk petugas perlindungan data perusahaan. Karena: Banyak pelanggan memerlukannya dalam kontrak mereka.
Pada akhirnya, setiap startup mempunyai kepentingan terhadap kepatuhan perlindungan data, yang merupakan hal yang diupayakan oleh petugas perlindungan data. Pelanggaran peraturan perlindungan data dapat mengakibatkan denda atau bahkan tindak pidana. Selambat-lambatnya ketika denda maksimum dinaikkan dari saat ini 300.000 euro untuk setiap kasus menjadi 20 juta euro berdasarkan Peraturan Perlindungan Data Umum di masa depan, akan menjadi jelas bahwa kepatuhan terhadap perlindungan data bukan lagi sekedar “bagus untuk dimiliki”, tetapi elemen inti tata kelola perusahaan.
Siapa yang dapat ditunjuk sebagai petugas perlindungan data?
Menurut Undang-Undang Perlindungan Data Federal, petugas perlindungan data harus dapat diandalkan dan memiliki pengetahuan khusus yang diperlukan. Misalnya, keandalan tidak akan ada jika petugas perlindungan data perusahaan mengalami konflik kepentingan karena aktivitasnya yang lain. Hal ini akan terjadi, misalnya, jika petugas perlindungan data juga bertanggung jawab atas TI atau personel. Kemudian dia harus memantau dirinya sendiri sampai batas tertentu. Oleh karena itu, manajemen tidak dapat mengambil peran sebagai petugas perlindungan data.
Seorang karyawan dari start-up atau orang eksternal dapat ditunjuk. Dalam keadaan tertentu, pengetahuan tentang perusahaan dapat menjadi argumen yang mendukung mempekerjakan karyawan Anda sendiri. Di sisi lain, berbeda dengan penyedia eksternal profesional, Magang harus dilatih dan dilatih dalam masalah perlindungan data dengan upaya yang besar.
Perlu juga dicatat bahwa seorang karyawan menerima perlindungan terhadap pemecatan berdasarkan undang-undang ketenagakerjaan ketika mereka ditunjuk sebagai petugas perlindungan data perusahaan. Pemutusan hubungan kerja hanya dapat dilakukan karena alasan-alasan penting. Perlindungan terhadap pemecatan ini terus berlaku selama satu tahun setelah pemutusan hubungan kerja, meskipun petugas perlindungan data itu sendiri hanya dapat dicabut penunjukannya (yaitu perannya sebagai petugas perlindungan data) jika ia secara serius melanggar tugasnya sebagai petugas perlindungan data. petugas petugas.
Jika perlu, pelaksanaan penunjukan jangka tetap secara hati-hati memberikan peluang untuk membatasi jangka waktu perlindungan terhadap pemecatan. Jika startup memutuskan untuk memiliki petugas perlindungan data internal, tugas ini (serta kemungkinan untuk mundur dari tugas ini) harus diatur dalam kontrak kerja.
Deduksi
Petugas perlindungan data perusahaan harus ditunjuk segera setelah sepuluh orang memproses data pribadi secara digital sebagai permulaan. Namun perintah sukarela juga memiliki keuntungan. Siapa pun yang memastikan kepatuhan terhadap perlindungan data menciptakan kepercayaan di antara pelanggan, investor, dan mitra kerja sama. Petugas perlindungan data dapat berupa karyawan Anda sendiri atau penyedia layanan eksternal, meskipun pihak eksternal lebih cocok, terutama pada tahap awal permulaan, sehingga tidak diperlukan pelatihan dan pendidikan lanjutan yang terlalu tinggi terkait hal tersebut. untuk aktivitas tidak. diperlukan dan, jika perlu, perlindungan terhadap pemecatan dapat dihindari.
