Traitement des données pour le compte

Le traitement des données commandé - également appelé traitement des données de commande ( ADV ) - en Allemagne se réfère à la collecte, au traitement ou à l'utilisation de données personnelles par un prestataire de services au nom de la personne responsable. Elle était régie par l'article 11 de la loi fédérale sur la protection des données (BDSG) dans la version du 14 août 2009 ( Journal officiel fédéral 2009 I p. 2814 ). Le BDSG dans cette version et donc également la section 11 qui y était contenue a été perdu avec l'entrée en vigueur du règlement général européen sur la protection des données ( RGPD, règlement (UE) 2016/679 ) et de l'article 1 de l'adaptation et de la mise en œuvre de la protection des données allemande La loi UE (DSAnpUG-EU) ( BGBl.2017 I p. 2097 ) a révisé la loi fédérale sur la protection des données le 25 mai 2018. Depuis lors, l' article 28 du RGPD réglemente le traitement pour le compte du client . (Les conditions de traitement des données de commande et de traitement des données pour le compte ne sont plus utilisées dans le DS-GVO.) L' article 80 (traitement des données sociales pour le compte) du livre 10 du code de la sécurité sociale a été adopté par le législateur allemand conformément à les exigences de l'article 28 du DS-GVO personnalisées.

Le texte suivant décrit le traitement des données de commande tel qu'il était légalement requis et valable jusqu'au 25 mai 2018.

Spécifications pour le traitement des données de commande

Depuis la modification de la loi fédérale sur la protection des données en 2009, les exigences relatives au traitement des données de commande ont été précisées par le législateur dans un catalogue en dix points. La condition préalable était un contrat écrit avec les dispositions suivantes:

Objet et durée de la relation contractuelle
Portée, type et finalité du traitement des données
Mesures techniques et organisationnelles prises par le contractant
Suppression, autorisation et blocage des données personnelles
Droits de contrôle du client
Pouvoir possible de sous-traiter
Obligations du contractant (tolérance et participation aux contrôles)
Obligation de signaler les violations du BDSG ou du contrat
Autorité du client à émettre des instructions sur les questions relatives à la protection des données
Retour ou suppression éventuelle des données personnelles à la fin de la relation contractuelle (le client reste propriétaire des données )

Avant qu'un contrat puisse être conclu entre les parties, le client devait s'assurer que l'entrepreneur était en mesure de respecter les mesures techniques et organisationnelles requises par la loi.

En fonction de la portée et du type de données à traiter, cette obligation de contrôle pourrait être remplie par une inspection sur place, des preuves de certifications significatives de protection des données, une évaluation du concept de sécurité informatique ou des informations écrites du contractant.

Le client a fourni au contractant les données personnelles à traiter sur la base de la procédure de transfert ou de transfert spécifiée dans le contrat. Si nécessaire, le contractant a également collecté les données personnelles lui-même. Le contractant devait séparer les données personnelles à traiter des données qu'il a collectées à d'autres fins ou qu'il a traitées et utilisées pour d'autres clients. Une fois le traitement terminé, le contractant a de nouveau mis les résultats à la disposition du client selon une procédure préalablement définie.

Différenciation du transfert de fonctions

En raison des différentes conséquences juridiques, le traitement des données de commande a dû être distingué du transfert de fonctions. Dans le cas du traitement des données pour le compte du client, la responsabilité et la responsabilité du traitement correct des données incombent au client. Le transfert de données personnelles dans le cadre du traitement de données pour le compte ne constitue pas un transfert au sens de la loi sur la protection des données. Cela a conduit à un privilège légal: le destinataire était traité comme un service externalisé du client et donc habilité au même titre que le client à traiter les données personnelles.

En revanche, le contractant était lui-même responsable des données traitées lors du transfert des fonctions. Un transfert de données personnelles à eux nécessitait donc une norme d'autorisation ou un consentement .

Il n'y avait pas d'exigences claires dans la loi pour délimiter le traitement des données pour le compte du transfert de fonctions. Dans la pratique, les pouvoirs du contractant ont servi de critère distinctif. Le traitement des données pour le compte du contrat devait être assuré si le contractant n'assumait qu'une fonction auxiliaire et de soutien. Les signes de ceci étaient un manque de marge de manœuvre dans la prise de décision et le fait d'être lié par des instructions au client.

Si, en revanche, la totalité de la tâche ou du domaine d'activité était transférée au contractant, il s'agissait alors d'un transfert de fonctions. Les pouvoirs de décision de l'entreprise et son indépendance discrétionnaire lors du traitement des données en sont une indication. Un intérêt financier personnel dans les données transférées pourrait également être un indicateur d'un transfert de fonctions.

Exemples

Voici des exemples de relations de traitement des données contractuelles:

Contrats d'externalisation de la comptabilité salariale et de la comptabilité salariale
Contrats avec des fournisseurs de services d'archivage
Contrats avec des prestataires de services de déchiquetage de documents
Contrats avec des centres d'appels ou des agences de marketing direct (mailings, newsletters, magasins de lettres)
Contrats avec des entreprises qui proposent des systèmes RH ou des systèmes de gestion client ( CRM )
Contrats avec des consultants externes et des sociétés de maintenance
d'autres contrats pour la fourniture de ressources informatiques (par exemple , fourniture de services applicatifs , cloud computing , logiciel en tant que service , espace de stockage en ligne , fournisseur de services de paiement ).

liens web

modèle alternatif de la société pour la protection des données et la sécurité des données eV
- Exemple d'accord pour le traitement des données de commande selon § 11 BDSG ancienne version, (chacun en anglais / allemand)
- Exemple d'accord pour le traitement des données de commande dans le secteur de la santé aF

Preuve individuelle

↑ Thomas Hoeren: Le nouveau BDSG et le traitement des données de commande DuD 2010, 688-691
↑ Traitement des données de commande. Dr. Nils Christian Haag, consulté le 19 juillet 2015 .
↑ Traitement des données de commande et transfert des fonctions. (N'est plus disponible en ligne.) Le commissaire d'État à la protection des données du Bade-Wurtemberg, archivé de l' original le 24 juin 2015 ; Récupéré le 19 juillet 2015 . Info: Le lien d'archive a été inséré automatiquement et n'a pas encore été vérifié. Veuillez vérifier le lien d'origine et d'archive conformément aux instructions , puis supprimez cet avis. @1@ 2
↑ Aide à l'orientation pour le traitement des données de commande. Commissaire d'État à la protection des données de Basse-Saxe, 2 décembre 2002, consulté le 19 juillet 2015 .

[1] Thomas Hoeren: Le nouveau BDSG et le traitement des données de commande DuD 2010, 688-691

[2] Traitement des données de commande. Dr. Nils Christian Haag, consulté le 19 juillet 2015 .

[3] Traitement des données de commande et transfert des fonctions. (N'est plus disponible en ligne.) Le commissaire d'État à la protection des données du Bade-Wurtemberg, archivé de l' original le 24 juin 2015 ; Récupéré le 19 juillet 2015 . Info: Le lien d'archive a été inséré automatiquement et n'a pas encore été vérifié. Veuillez vérifier le lien d'origine et d'archive conformément aux instructions , puis supprimez cet avis. @1@ 2

[4] Aide à l'orientation pour le traitement des données de commande. Commissaire d'État à la protection des données de Basse-Saxe, 2 décembre 2002, consulté le 19 juillet 2015 .

Languages