資料保護局
奧地利資料保護局 (DSB) 是奧地利個人資料保護的中央監管機構。它負責監督《通用資料保護規則》(GDPR) 和《奧地利資料保護法》(DSG) 的遵守情況,裁決申訴,啟動審查程序,實施制裁,並在歐洲資料保護委員會中代表奧地利。其任務是確保基本權利,防止濫用,並有義務要求企業和當局遵守資料保護法律義務。
資料保護局是奧地利個人資料保護的國家監管機構。
任務和職責
資料保護局承擔廣泛的活動,所有這些活動都旨在保護個人資料:
- 處理受影響者的申訴
- 執行職權範圍內的審查程序
- 在行政處罰程序中做出裁決並處以罰款
- 接收和控制關於資料保護侵犯的報告(資料外洩)
- 批准程序,例如行為準則或認證機構
- 法律草案的意見
因此,它是受影響者、企業和資料保護官員的中央聯絡點。
資料保護的定義
資料保護是一項基本權利,可以自行決定誰處理關於一個人的哪些資訊。個人資料是指與特定人員相關或使人員可識別的所有資訊,例如姓名、地址、電話號碼、電子郵件地址,以及照片、IP 位址或健康資料。
資料保護並不意味著不允許處理任何資料。它意味著處理僅在明確的法律前提下才被允許,並且受影響者擁有廣泛的權利。這些權利可以防止濫用,並提供控制自己資料的可能性。
資料當事人的權利
每個人都可以要求資料保護局尊重其基本權利。《通用資料保護規則》為此規定了一套明確的權利:
- 知情權:在每次資料處理之前,必須清楚且完整地告知受影響者。
- 存取權:每個受影響者都可以瞭解儲存了哪些資料以及用於何種目的。
- 更正和刪除權:必須更正不正確的資料,必須刪除不允許的資料。
- 限制處理權:在某些條件下,處理只能在有限的範圍內繼續進行。
- 反對權:可以隨時反對某些資料處理。
- 資料可攜權:受影響者可以要求以常用格式將其資料傳輸給他們自己或另一家公司。
- 免受自動化決策影響的權利:不應僅僅因為自動化程序而使任何人處於不利地位。
這些權利不僅僅是理論上的,而且可以強制執行——如有必要,可以在資料保護局的申訴程序中執行。
企業的義務
企業和當局有義務不僅在紙面上,而且在實踐中實施資料保護。基本義務包括:
- 處理的法律依據:每次資料處理都必須基於法律依據,例如同意或合約。
- 透明義務:必須清楚地告知受影響者其資料的處理方式。
- 技術和組織措施 (TOM):IT 安全性和組織程序的設計必須保護資料免受遺失、濫用或未經授權的存取。
- 處理活動記錄:公司必須以可理解的方式記錄他們處理的資料。
- 資料保護侵犯的報告:必須在 72 小時內向資料保護局報告安全事件。
- 執行資料保護影響評估:對於高風險處理,必須進行詳細分析。
個人資料保護的侵犯
根據《通用資料保護規則》,如果由於安全性不足而導致未經授權的變更、刪除、披露或資料遺失,則存在個人資料保護的侵犯。這可能是由於:
- 個人資料的銷毀、遺失或變更
- 未經授權的存取或披露——例如,由於駭客攻擊、將資料載體發送給錯誤的收件人或不安全的儲存
- 意外的資料發布——例如,由於不安全的儲存或傳輸
- 無論事件是故意還是非故意發生的,這都適用
可能構成此類侵犯的示例:
- 由於未加密的安全檔案或 USB 隨身碟而導致的資料遺失
- 對客戶資料庫的駭客攻擊
- 包含個人資料的錯誤導向的電子郵件
- 意外公開可見的個人文件
這些事實可能直接導致風險,包括身份盜竊、聲譽損害或受影響者的經濟損失
資料保護局的程序
資料保護局的程序是正式的,並且可以具有不同的形式:
申訴程序
如果受影響者認為有人非法處理其個人資料,他們可以向資料保護局提出申訴。此程序相對容易。
流程:
- 受影響者以書面形式提出申訴——可以透過表格、電子郵件或郵件。
- 資料保護局檢查申訴在形式上是否可受理。
- 申訴的回應者——通常是公司或當局——被要求發表聲明。
- 接下來是對事實的調查,如有必要,會提出補充問題或舉行聽證會。
- 最後是資料保護局的命令,他們可以駁回申訴或批准申訴並命令補救措施。
對於受影響者來說,此程序是強制執行其《通用資料保護規則》權利的最重要方式。
職權範圍內的審查
資料保護局不僅依賴申訴,而且還可以依職權行事。如果存在系統性違規或安全漏洞的跡象,尤其會發生這種情況。
特殊功能:
- 該程序在沒有受影響者申請的情況下開始。
- 報告人沒有當事人的地位,並且不會被告知結果。
- 資料保護局獨立檢查是否存在違規行為,並在必要時命令採取措施。
職權範圍內的審查具有很強的預防作用,因為它們增加了公司和當局的壓力,不僅要被動地確保資料保護,而且要持續地確保資料保護。
行政處罰程序
如果資料保護局發現違規行為,它可以啟動行政處罰程序。目的是有義務要求公司和公共機構停止違規行為並實施明顯的制裁。
可能的制裁是:
- 最高 2000 萬歐元或全球年營業額 4% 的罰款,
- 停止或調整資料處理的命令,
- 警告和條件。
罰款的金額取決於違規行為的嚴重性、持續時間和故意性。程序中先前的違規行為或合作行為也起作用。
Peter HarlanderHarlander & Partner Rechtsanwälte „如果有人對資料保護局的程序掉以輕心,不僅會面臨高額罰款的風險,還會面臨失去信任和聲譽的風險。“
法律補救措施
資料保護局的決定是透過命令做出的。受影響者可以對這些命令向聯邦行政法院 (BVwG) 提出上訴。
- 聯邦行政法院在法律和事實方面審查該決定。
- 在某些情況下,可以向行政法院 (VwGH) 提出修訂或向憲法法院 (VfGH) 提出申訴,以反對其決定。
這確保了資料保護局的決定受到多層次的司法控制。
立即選擇預約時間:免費初次諮詢國際層面
資料保護不再是國家問題。資料保護局與其他歐洲監管機構合作,並且是歐洲資料保護委員會 (EDSA) 的一部分。它參與跨境案件,在一致性程序中協調決策,並對國際資料傳輸(例如傳輸到美國)發表意見。
資訊自由
除了資料保護之外,資訊自由也越來越重要。透過新的《資訊自由法》(IFG),資料保護局將來將承擔透明度問題和存取官方資訊的聯絡人角色。
這些義務不是可選的。不遵守這些義務通常會導致調查,在極端情況下會導致巨額罰款。
律師協助能為您帶來的好處
對於受影響者和公司而言,資料保護局的程序都面臨著巨大的挑戰。受影響者有權在沒有專業支持的情況下無法完全行使其權利。另一方面,公司不僅面臨高額罰款,還面臨聲譽損害和流程的昂貴調整。此外,這些程序非常正式,並且包含複雜的法律要求,如果沒有專業支持,很難應付。
專業律師事務所的法律支持可提供安全性,並確保您的利益從一開始就得到專業的代表。您可以從資料保護法方面的豐富經驗以及對當局的一貫代表中受益。
- 檢查相關法律主題是否適用於您的案例
- 在整個程序或處理過程中為您提供協助
- 確保所有必要步驟的法律安全設計和實施
- 協助計算、執行或拒絕索賠
- 維護您相對於所有相關方的權利和利益
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „資料保護經常被低估,但與資料保護局打交道的正確策略決定了成功或失敗。“