Датапротектор (DSB) обов'язковий для підприємств, які мають 20 або більше працівників у типовій офісній діяльності. Про цей примус недавно обговорювався в Бундестазі. Чому саме ця людина була призначена? Відповідь на цю питання є одночасно рішенням щодо випадкової примусової призначення DSB.
Вступ
Кожна фірма від певної величини потребує спеціаліста з захисту даних. Зокрема, це стосується випадків, коли у компанії щонайменше 20 працівників регулярно займаються обробкою даних в цифровій (автоматизованій) формі.
Ця межа у 20 працівників встановлена в § 38 BDSG. Раніше ця межа була у 10 працівників.
В законодавця не можна звинувачувати у тому, що він встановлює межу, яку він вважає розумною. Законно встановлена межа завжди є вільним вибором. Це стосується навіть податкового ставка та обмежень щодо податкових ставок, а також всього податкового системи взагалі.
Знайди межу – це привід для глибшого споглядання. Особливо тоді, коли ця межа
а) спочатку навіть на рівні ЄС не існувало (ДЗГВ)
б) потім в Німеччині було встановлено на 10 працівників
Далі в Німеччині було встановлено на 20 працівників
д) тоді повинен був бути скасований, але не було скасовено.
Як би було, не мати меж?
Датапротектор як варіант, а не обов'язок
ДСБ обов'язковий для багатьох підприємств. Це добре для ДСБ і здебільшого добре для захисту даних. У будь-якому разі, існування ДСБ майже ніколи не шкодить. Це слід трохи розрізняти, оскільки відомі випадки, коли помилкова думка про ДСБ призводить до поганих результатів.
Об ці надії на рідкість можливу помилку ДСБ чи те, що на більшості німецьких вебсторінок спостерігаються серйозні порушення захисту даних, чи про те, що клієнти відмовляються від консультацій, залишається без відповіді. Зазвичай радник має рацію навіть тоді, коли він не радник, а лише виконавець обов'язків.
Якщо захист даних не був би обов'язковим, компанії все ж таки замовили б його
Часто можна спостерігати, що навіть найменші компанії мають спеціаліста з захисту даних (DSB), хоча вони цього не повинні робити. Також можна припустити, що більші компанії самостійно замовляють DSB, навіть якщо їм це не потрібно. Як би виглядало, якщо адміністрація (яка фактично не призначає штрафів) відвідує концерн і бачить, що ніхто спеціально займається захистом даних?
Що робить ДСБ усього ж?
Добре питання, яке тут лише приблизно буде відповідати.
ДСБ є головним чином консультантом. Багато ДСБ надають своїм клієнтам у початковій діяльності інформаційний пакет із пропозиціями навчання, які часто надаються за допомогою відео, презентацій або керівництвом. Також відбувається перше спілкування майже завжди в початку роботи. У цьому розмові про особливості обробки даних клієнтом як відповідальним особою будуть узгоджені.
Якщо виникне інформаційна аварія, до справи залучатимуть ДСБ. Тож саме тоді, коли особи користуються своїм правом на отримання інформації (Ст. 15 РДПВ). Також інакше ДСБ є добрим співрозмовником щодо спеціальних питань та надає своєму клієнту поради, якщо це необхідно.
Датапротектор здається не є виконавцем робіт згідно з угодою (порівн.: Ст. 37 ДЗП).
Представлення мотивації для замовлення у ДСБ
Як би було, якщо порушення обов'язкових правил захисту даних остаточно будуть покарані? Такі правила містяться в ДСГВО як директива та в TDDDG (раніше TTDSG) і BDSG як закони. Але ніхто не дуже цікавиться тим, що відбувається в інтернеті. У будь-якому разі, ніде в Німеччині.
Влада з питань захисту даних просто не діє. В Німеччині дуже рідко винні отримують штраф, і навіть ці випадки не варті згадування.
В Німеччині найбільш поширений порушник захисту даних ще жодного разу не був покараний.
Ніколи жодного разу = ні або Епсилон-середовище.
Дер характерний порушення конфіденційності, яке також найлегше підтверджується, ніколи не було покарано жодного разу. Це стосується незаконного веб-трекінгу разом із незаконними файлами cookie. Для випадку, якщо хто-небудь знайде такий випадок: ніщо, чи п'ять, є однією й тією ж річшою при мільйонах порушень конфіденційності, які відбуваються щодня в інтернеті у Німеччині. Математик би сказав: кількість покарань знаходиться всередині області Епсилону від нуля.
Якщо б не було споживачової ради та окремих осіб, як наприклад Макса Шремса, який спричинив далекосяжні рішення ЄСПЛ, нічого б не змінилося в Німеччині. Окрім того, що органи влади будуть видавати нові рекомендації та оголошувати проведення перевірок, які вони потім проведуть і встановлять, що багато чого пішло напевно не так. Після цього працівники органів влади знову повернуться до інших, більш приємних справ. Вони хочуть уникнути невпізнаваності. Або, як керівник відділу у Державному комісаріаті з захисту даних в Гессені, навіть подумає про пенсію, яка вже майже за відривом на 8 років (це інформація отримана безпосередньо та декілька разів підтверджена). Тому не дивно, що Google Analytics вважає цю організацію безпечною і вважають дані щодо статевих уподобань, виражених шляхом придбання сексуальних товарів, непотрібними для захисту.
Тестова питання: Який є різниця між бухгалтером і офіцером захисту даних?
Някі з можливих відповідей на цю запитання, залишивши без уваги професійну спрямованість обох професій:
- Дослідник податків буде іменувати радником, який відповідальний за захист даних буде іменувати відповідальним особою.
- Дослідник податків не обов'язково потрібен, але спеціаліст з захисту даних вже часто потрібний.
- Дослідник податків дуже часто доручає завдання, хоча це не обов'язково, але керівник захисту даних рідше.
- Зазвичай не обговорюється «самовпевнено» з податковим радником, але вже обговорюється питання захисту даних („Чи можемо ми просто включити Google Analytics на своїй вебсторінці? Звичайно ж нічого поганого не станеться!“)
Аудитори проти офіційного представника захисту даних
Довгий податковий консультант має дуже багато спільного з офіційним представником захисту даних. Обидва є радниками, лише перший називається керівником. Обидва повинні виконувати всі можливі завдання, які передаються у вигляді усіх можливих документів. Обидва не є виконавцями робіт (у справах податкового консультанта існують певні дії, які мають бути оцінені окремо). Обидва несуть відповідальність за свої дії, якщо вони не виконують своїх обов'язків належним чином та особливо коли вони не забезпечують своє клієнту належну раду. Обидва вимагають гроші. Обидва не підвищують продуктивність компанії, а лише допомагають дотримуватися юридичних вимог.
Чи мені треба такий фахівець як податковий консультант, якщо це не обов'язкове? Чому жодна компанія в місті (12 підприємств) не має спеціаліста з захисту даних?
Відповідь така: бо фахівець з податків потрібен для того, щоб не виникнути проблем із податковою інспекцією. Датапротектор допомагає, але не допомагає уникнути проблем, оскільки таких проблем немає.
Хто боїться злого вовка?
Ніхто не вважає, що злий вовк є комісією із захисту даних.
Кожен, коли злий вовк – це податкова адміністрація.
ДСБ проти СБ.
Головна різниця між добровільним податковим радником та часто примушуваним офіційним захистом даних полягає в тому, що робота з податковою інформацією відбувається у Довкіллі загрози і обсяг даних про людину без жодних наслідків, якщо людина не дуже глупа.
Влада Німеччини не накладає санкцій. Державна комісія з захисту даних у Гессені не має бажання накладати санкції. Гессен є безпечним прикладом, оскільки прямо біля дверей та заяви представників органів влади особисто та навіть із процесу можна було почути. Інші органи влади більш активні, але мають дуже мало персоналу. У цьому контексті знову можна вимагати знищення федералізму!
Представляється такий пропозиція у цій статті:
- Повністю скасувати обов'язок призначати спеціального офіцера захисту даних.
- Натомість слід остаточно почати накладати санкції та штрафи навіть за порушення в інтернеті.
- Підпорядкований, але приємний деталь (DSB -> tax consultant): Повноваження з захисту даних повинні бути вказані як спеціаліст із захистом даних або, принаймні, як фахівець, а не як особа, якій доручено цю справу.
З цим вирішуються декілька проблем:
- Віртуальна межа співробітників для обов'язкового замовлення припиняється. Бундестаг має час для інших завдань.
- Дані про захист тепер поважають всюди.
- Дані захищаємо, щоб вони стали цінністю.
- Платформи як Facebook чи Instagram та плагіни, такі як ті від Google або Meta, тепер будуть покарані за їхнє незаконне використання. Вже скоро навіть Google чи Meta повинні будуть зазнати цього.
Висновок
Ринок захисту даних хворий. Це пов'язано з відсутністю санкцій та нічого іншого. Відповідальність за всіма кукісами і вікні повідомлень про кукіси не лежить на GDPR, а на корпорації як Google або Meta, які поряд із Microsoftом та іншими підозрюваними також є членами Bitkom.
Державна законодавча норма про захист даних надає бенефіціарам багато прав. Але коли мова йде про здійснення цих прав, то виникають проблеми.
В першу чергу німецькі органи захисту даних або не хочуть, або немає персоналу для накладення санкцій.
З іншого боку, перед німецькими судами доводиться суперечити навіть найменшій річці щодо того, чи ДСГВО справді так була задумана. Це означає: Чи справді було бажано, щоб людина мала право на те, щоб її дані не були просто зловживані, але потім вона ще й повинна вимагати зупинення та відмову?
Також людина іде дуже далеко. Де б ми тоді були, якщо кожна людина мала би права? Нарешті, навіть змогли б прибрати обов'язок призначення спеціаліста з захисту даних без того, щоб хто-небудь помітив це. А ще взагалі змогли б зробити обов'язковим призначення податкового фахівця і перейменувати його на спеціаліста зі справами про податки.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
