为什么员工必须接受数据保护方面的培训?

2019-08-20 04

  “一般数据保护条例”(GDPR)自2018年5月25日起生效。其中一项主要变化涉及GDPR增加的罚款,最高可达200??0万欧元,占年销售额的4%。违反GDPR的处罚通常由员工承担。因此,提高敏感数据保护法程序的意识并为其提供必要的知识以便能够遵守GDPR的新要求至关重要。在我们的客座上,lawpilots澄清了以下问题:根据GDPR,是否有法律培训要求?常规数据保护培训有哪些好处?必须讨论哪些内容以及应该特别关注公司的哪些方面?

  为什么要定期对员工进行数据保护培训,有哪些好处?

  几乎每家公司都使用符合GDPR第4条的IT系统,每天处理几次个人数据。因此,遵守GDPR的数据保护法规遵循公司在其工作领域的重要义务。如前所述,员工必须满足要求。因此,他们的培训是遵守GDPR要求的合理先决条件。此外,员工数据保护法培训可以轻松地与其他教学内容相结合,例如数据安全和公司机密的规范,而不会削弱两个领域之间的界限。通过这种方式,员工可以学习如何识别个人数据,将其与安全问题和公司机密分开,并在处理个人数据时发挥特殊的敏感性。只有这样,

  GDPR是否要求员工接受数据保护方面的培训?

  根据GDPR,没有明确的义务培训员工进行数据保护。此外,GDPR没有义务要求员工在工作开始时遵守当前仍适用的联邦数据保护法第5条中的数据保密规定。但是,不同的GDPR法规对公司施加间接义务,以便相应地培训员工。虽然未能提供培训本身不能处以罚款,但由于缺乏此类培训而导致数据保护的违反。如果违反数据保护条例存在侵犯自然人权利和自由的高风险,GDPR第33条和第34条规定公司对监管机构和数据主体负有报告义务。违反这些报告义务的行为将受到GDPR的罚款。公司可以有效地考虑这一报告义务,但前提是其员工必须接受培训,以识别违反数据保护法规的情况,并评估是否存在侵犯自然人权利和自由的高风险。特别是,如果公司的核心活动包括对特别敏感的个人数据进行广泛处理(根据GDPR第9条和第10条,例如健康数据,原产地数据或工会会员资格),数据保护官员必须被任命(第37条.GDPR)。第3条 但只有当他们的员工接受培训,才能认识到违反数据保护法规并评估是否存在侵犯自然人权利和自由的高风险。特别是,如果公司的核心活动包括对特别敏感的个人数据进行广泛处理(根据GDPR第9条和第10条,例如健康数据,原产地数据或工会会员资格),数据保护官员必须被任命(第37条.GDPR)。第3条 但只有当他们的员工接受培训,才能认识到违反数据保护法规并评估是否存在侵犯自然人权利和自由的高风险。特别是,如果公司的核心活动包括对特别敏感的个人数据进行广泛处理(根据GDPR第9条和第10条,例如健康数据,原产地数据或工会会员资格),数据保护官员必须被任命(第37条.GDPR)。第3条 必须指定一名数据保护官员(第37条.GDPR)。第3条 必须指定一名数据保护官员(第37条.GDPR)。第3条

  GDPR第7条还提到了其他需要这种任命的案例,例如系统监督人员或某些行政活动。GDPR第37条第4款包含一个所谓的开放条款,国家立法者可以通过该条款规定数据保护官员的订购义务。例如,德国法律在BDSG-neu第38段第1段中作出了该规范。该规定主要基于前§4fAbs.1 BDSG-alt,因此公共和非公共机构必须在自动处理数据时指定数据保护官员。

  今天,这适用于大量公司。特别是,如果存在需要根据GDPR进行数据保护影响评估的案例,则必须指定数据保护官员。高度敏感的数据或对数据主体权利的其他重大风险尤其如此。与BDSG-neu第38段的其他案例相比,超过10名员工处理个人数据与订购义务不再相关。按照艺术。在GDPR中,数据保护专员必须告知“执行处理操作的员工”其在GDPR下的数据保护义务。在某些情况下,数据保护官员的违规行为也可能归因于公司,因此会受到惩罚,特别是如果公司没有充分履行Art的义务。38,GDPR支持数据保护官员履行职责。

  哪些部门应该接受数据保护法的培训?

  除了数据保护官本人之外,IT部门特别重要,因为它必须实现GDPR的要求,特别是关于数据经济和数据保护友好技术设置的原则(隐私设计,默认隐私) )。这同样适用于产品开发人员。此外,所有员工都应具备数据保护法的基本知识,因为不仅是客户顾问和顾问,而且原则上所有员工都可以参与个人数据的处理。重要的是分别培训人力资源部门和工作委员会,以确保遵守内部数据保护法规。

  在员工培训课程中应该教授哪些信息?

  首先,应教授对“个人数据”,“处理”和“自然人的权利和自由”的基本理解。这些过程何时发生?为什么这些过程特别值得保护?

  然后应介绍数据保护法最重要的基本原则。这包括例如数据经济原则,透明度和信息义务。此外,必须概述合法数据处理准则,即通过同意和平衡利益保留许可的禁止原则。

  最后,应该解决根据GDPR与旧法律情况相比的数据处理的特殊性。总体而言,应始终考虑公司和行业特定功能,例如通过美国服务器传输的个人数据特殊规定。

  员工应该如何接受数据保护法的培训?

  原则上,员工应接受有关个人数据处理的存在以及实施GDPR要求的技术可能性的培训。有意义的是,定期重复在线课程以及角色扮演,讲座等,以便不会错过最新的发展,并根据学习螺旋的原则巩固员工的长期知识。 。

  在线课程提供了一种简单而简单的方法,可以在没有安装软件和大量准备时间的情况下开始培训您自己的员工,并利用数据保护培训的优势。

  迫切建议公司不要接受由参加过外部培训课程的非专业人员进行培训的可能性。遵守GDPR有时复杂的要求不太可能以这种方式成功。数据保护领域的培训课程认证正是为了使员工能够按照GDPR的要求进行培训。

  结论

  由于GDPR已经生效,公司应该立即采取行动,培训员工遵守数据保护法。不仅因为GDPR的高额罚款威胁,而且数据保护法培训课程的易用性,以及整合数据安全原则的机会,应该鼓励公司利用适当的专家提供的优势咨询。

  “许多公司希望培训员工进行数据保护,但往往不确定选择哪种方法。课堂培训对于所有员工而言过于耗时且昂贵,但在许多传统的电子学习课程中,设计已经过时,内容与员工的真正挑战无关,而且设置很复杂。lawpilots弥补了这一差距,提供了易于理解和有趣的实用且真正创新的数据保护课程。

  Lawpilots首席执行官Dieter Kerkfeld博士。

  关于lawpilots

  lawpilots提供围绕数字化法律问题的创新和实用的在线培训。中心承诺:“法律。简单。明白。”!lawpilots根据着名合作伙伴SCH?RMANNROSENTHALDREYER律师和ISiCO数据保护咨询公司的实际经验开发相关示例和建议。

  课程:

  员工数据保护 - 根据GDPR(持续时间:约45 分钟)

  员工的IT安全(持续时间:约60分钟)