数据保护局
奥地利数据保护局 (DSB) 是奥地利个人数据保护的中央监管机构。 它负责监督《通用数据保护条例》(DSGVO) 和奥地利《数据保护法》(DSG) 的遵守情况,裁决投诉,启动审查程序,实施制裁,并在欧洲数据保护委员会中代表奥地利。 它的任务是确保基本权利,防止滥用,并有义务要求公司和当局遵守数据保护义务。
数据保护局是奥地利个人数据保护的国家监管机构。
任务和职责
数据保护局承担广泛的活动,所有这些活动都旨在保护个人数据:
- 处理受影响者的投诉
- 进行公务检查程序
- 在行政处罚程序中作出裁决并处以罚款
- 接收和控制数据泄露报告(数据泄露)
- 审批程序,例如行为准则或认证机构
- 法律项目中的意见
因此,它是受影响者、公司和数据保护官的中心联络点。
数据保护的定义
数据保护是一项基本权利,可以自行决定谁处理有关一个人的哪些信息。 个人数据是指与特定人员相关或使人员可识别的所有信息,例如姓名、地址、电话号码、电子邮件地址,以及照片、IP 地址或健康数据。
数据保护并不意味着不得处理任何数据。 这意味着只有在明确的法律前提下才允许处理,并且受影响者拥有广泛的权利。 这些权利可以防止滥用,并使人们能够控制自己的数据。
数据主体的权利
每个人都可以要求数据保护局尊重其基本权利。 为此,《通用数据保护条例》规定了一系列明确的权利:
- 知情权:在每次数据处理之前,必须明确且完整地告知受影响者。
- 访问权:每个受影响者都有权了解存储了哪些数据以及用于什么目的。
- 更正和删除权:必须更正不正确的数据,必须删除不允许的数据。
- 限制处理的权利:在某些条件下,只能继续进行有限的处理。
- 反对权:可以随时反对某些数据处理。
- 数据可移植权:受影响者可以要求以常用格式将他们的数据传输给自己或另一家公司。
- 免受自动化决策影响的权利:任何人都不应仅仅因为自动化程序而受到不利影响。
这些权利不仅具有理论意义,而且可以强制执行——如有必要,可以在数据保护局的申诉程序中强制执行。
公司的义务
公司和当局有义务不仅在纸面上而且在实践中实施数据保护。 主要义务包括:
- 处理的法律依据:每次数据处理都必须基于法律依据,例如同意或合同。
- 透明义务:必须明确告知受影响者其数据会发生什么。
- 技术和组织措施 (TOM):IT 安全和组织流程的设计方式必须能够保护数据免受丢失、滥用或未经授权的访问。
- 处理活动记录:公司必须以易于理解的方式记录他们处理哪些数据。
- 数据泄露报告:必须在 72 小时内向数据保护局报告安全事件。
- 进行数据保护影响评估:对于高风险处理,必须进行详细分析。
个人数据保护的侵犯
根据《通用数据保护条例》,如果由于安全性不足而导致未经授权的更改、删除、披露或数据丢失,则存在个人数据保护的侵犯。 这可能是由于:
- 个人数据的销毁、丢失或更改
- 未经授权的访问或披露——例如通过黑客攻击、将数据载体发送给错误的收件人或不安全的存储
- 意外数据泄露——例如通过不安全的存储或传输
- 无论事件是有意还是无意发生的,这都适用
可能构成此类违规行为的示例:
- 由于未加密的安全文件或 USB 闪存驱动器导致的数据丢失
- 对客户数据库的黑客攻击
- 包含个人数据的误导性电子邮件
- 意外公开的个人文件
这些事实可能会直接导致风险,包括身份盗用、声誉损害或受影响者的经济损失
数据保护局的程序
数据保护局的程序是正式的,可能具有不同的形式:
申诉程序
如果受影响者认为有人非法处理其个人数据,他们可以向数据保护局提出申诉。 此过程相对容易。
流程:
- 受影响者以书面形式提出申诉——可以通过表格、电子邮件或邮寄方式。
- 数据保护局会检查申诉在形式上是否可受理。
- 申诉的回应者——通常是公司或当局——会被要求发表声明。
- 接下来是确定事实,如有必要,还会提出补充问题或举行听证会。
- 最后是数据保护局的通知,他们要么驳回申诉,要么批准申诉并命令采取补救措施。
对于受影响者来说,此程序是执行其《通用数据保护条例》权利的最重要方式。
公务检查
数据保护局不仅依赖于申诉,还可以主动采取行动。 如果有系统性违规或安全漏洞的迹象,尤其会发生这种情况。
特殊功能:
- 该程序在没有受影响者申请的情况下开始。
- 报告人没有当事方身份,也不会被告知结果。
- 数据保护局会独立检查是否存在违规行为,并在必要时命令采取措施。
公务检查具有强大的预防作用,因为它们增加了公司和当局的压力,不仅要被动地确保数据保护,还要持续地确保数据保护。
行政处罚程序
如果数据保护局发现违规行为,它可以启动行政处罚程序。 目的是有义务要求公司和公共机构停止违规行为并处以明显的制裁。
可能的制裁是:
- 处以高达 2000 万欧元或全球年营业额 4% 的罚款,
- 停止或调整数据处理的命令,
- 警告和条件。
罚款金额取决于违规行为的严重程度、持续时间和故意程度。 早期违规行为或程序中的合作行为也起着作用。
Peter HarlanderHarlander & Partner Rechtsanwälte „任何对数据保护局的程序掉以轻心的人,不仅会面临高额罚款的风险,还会面临失去信任和声誉的风险。“
法律救济
数据保护局的决定是通过通知作出的。 受影响者可以针对这些通知向联邦行政法院 (BVwG) 提出上诉。
- BVwG 会在法律和事实上审查该决定。
- 在某些情况下,可以向行政法院 (VwGH) 提出复审,或向宪法法院 (VfGH) 提出申诉,反对其决定。
这确保了数据保护局的决定受到多级司法控制。
立即选择预约时间:免费初次咨询国际维度
数据保护不再是一个国家问题。 数据保护局与其他欧洲监管机构合作,并且是欧洲数据保护委员会 (EDSA) 的一部分。 它参与跨境案件,在一致性程序中协调决策,并对国际数据传输(例如到美国)发表意见。
信息自由
除了数据保护之外,信息自由也越来越重要。 随着新的《信息自由法》(IFG) 的颁布,数据保护局将来将承担透明度问题和访问官方信息的联络人角色。
这些义务不是可选的。 忽视它们通常会导致调查,在极端情况下会导致巨额罚款。
律师支持给您带来的优势
对于受影响者和公司而言,数据保护局的程序都面临着巨大的挑战。 受影响者冒着在没有专业支持的情况下无法完全行使其权利的风险。 反过来,公司不仅面临高额罚款,还面临声誉损害和对其流程进行代价高昂的调整。 此外,这些程序非常正式,并且包含复杂的法律要求,如果没有专业支持,很难应对。
专业律师事务所的法律支持提供安全性,并确保您的利益从一开始就得到专业代表。 您将受益于数据保护法方面的丰富经验以及对当局的一致代表。
- 检查相关法律主题是否适用于您的案件
- 在整个程序或结算过程中为您提供支持
- 确保所有必要步骤的法律安全设计和实施
- 支持计算、执行或防御索赔
- 维护您对所有相关方的权利和利益
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „数据保护经常被低估,但与数据保护局打交道的正确策略决定了成功或失败。“
