GDPR

I. Wprowadzenie

Od dnia 25 maja 2018 r. ogólne rozporządzenie o ochronie danych (RODO) obowiązuje bezpośrednio w Niemczech oraz w pozostałych państwach członkowskich Unii Europejskiej. W celu wdrożenia przepisów RODO Niemcy znowelizowały federalną ustawę o ochronie danych (Bundesdatenschutzgesetz, w skrócie BDSG).

Za nadzór, doradztwo i egzekwowanie przepisów RODO oraz niemieckich regulacji wykonawczych odpowiada Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), a także organy ochrony danych poszczególnych krajów związkowych.

Niemiecki system ochrony danych jest w pełni zgodny z RODO, a jednocześnie uwzględnia szczególne wymogi prawa krajowego, aby zapewnić kompleksową ochronę danych osobowych.

II. Zakres stosowania

Niemieckie przepisy wdrażające RODO mają zastosowanie do:

– wszystkich administratorów danych (Verantwortlicher) oraz podmiotów przetwarzających (Auftragsverarbeiter) posiadających siedzibę na terytorium Niemiec;

– podmiotów spoza Niemiec, które oferują towary lub usługi osobom przebywającym w Niemczech albo monitorują ich zachowanie na terytorium Niemiec.

Przepisy te mają zastosowanie niezależnie od tego, czy przetwarzanie danych odbywa się w Niemczech, czy poza ich granicami, o ile dotyczy danych osobowych osób znajdujących się na terytorium Niemiec.

Zakres obejmuje zarówno zautomatyzowane przetwarzanie danych, jak i przetwarzanie niezautomatyzowane stanowiące część zbioru danych. Czynności o czysto osobistym lub domowym charakterze nie podlegają tym regulacjom.

III. Zasady przetwarzania danych

Zgodność z prawem, rzetelność i przejrzystość: przetwarzanie danych musi opierać się na wyraźnej podstawie prawnej, a osoba, której dane dotyczą, musi być jasno poinformowana o celu i sposobie przetwarzania.

Ograniczenie celu: dane osobowe mogą być wykorzystywane wyłącznie w jasno określonych i zgodnych z prawem celach, bez wykraczania poza pierwotne przeznaczenie.

Minimalizacja danych: należy gromadzić wyłącznie dane niezbędne do realizacji określonego celu.

Prawidłowość: dane muszą być dokładne, kompletne i w razie potrzeby aktualizowane.

Ograniczenie przechowywania: dane mogą być przechowywane jedynie przez okres niezbędny do realizacji celu, po czym powinny zostać usunięte lub zanonimizowane.

Integralność i poufność: administratorzy i podmioty przetwarzające są zobowiązani do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym ujawnieniem, modyfikacją lub utratą.

IV. Prawa osób, których dane dotyczą

Na podstawie RODO oraz prawa niemieckiego osoby fizyczne mają prawo do:

Prawo do informacji i dostępu: uzyskania informacji o przetwarzaniu ich danych oraz dostępu do tych danych.

Prawo do sprostowania: żądania poprawienia danych nieprawidłowych lub niekompletnych.

Prawo do usunięcia danych (prawo do bycia zapomnianym): żądania usunięcia danych osobowych w przypadkach przewidzianych prawem.

Prawo do ograniczenia przetwarzania: żądania ograniczenia dalszego przetwarzania w określonych sytuacjach.

Prawo do przenoszenia danych: otrzymania danych w ustrukturyzowanym, powszechnie używanym i czytelnym formacie oraz przekazania ich innemu administratorowi.

Prawo do sprzeciwu: wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie lub interesie publicznym.

Prawo w zakresie zautomatyzowanego podejmowania decyzji: w przypadku decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, przysługuje prawo do informacji, sprzeciwu oraz interwencji człowieka.

W odniesieniu do osób poniżej 16 roku życia (szczególne uregulowanie w Niemczech) przetwarzanie danych wymaga zgody rodziców lub opiekunów prawnych, a przekazywane informacje muszą być sformułowane w sposób zrozumiały.

V. Obowiązki podmiotów przetwarzających

Podmiot przetwarzający jest zobowiązany do przetwarzania danych wyłącznie na podstawie pisemnych poleceń administratora (Verantwortlicher).

Należy wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych.

Podmiot przetwarzający musi wspierać administratora w realizacji obowiązków wynikających z RODO, w tym w odpowiadaniu na żądania osób, których dane dotyczą.

W przypadku naruszenia ochrony danych podmiot przetwarzający jest zobowiązany niezwłocznie poinformować administratora, który musi zgłosić naruszenie do BfDI w terminie 72 godzin.

Administrator ma obowiązek prowadzić rejestr czynności przetwarzania oraz przeprowadzać ocenę skutków dla ochrony danych (DPIA) w przypadku operacji wysokiego ryzyka.

Niektóre organizacje są zobowiązane do wyznaczenia inspektora ochrony danych (DPO) oraz zgłoszenia go właściwemu organowi nadzorczemu.

VI. Międzynarodowy transfer danych

W przypadku przekazywania danych osobowych do państw spoza Unii Europejskiej administrator musi zapewnić odpowiedni poziom ochrony danych w państwie odbiorcy. Może to nastąpić poprzez:

decyzję stwierdzającą odpowiedni stopień ochrony wydaną przez Komisję Europejską (Adequacy Decision);

zawarcie standardowych klauzul umownych UE (SCCs);

zastosowanie innych mechanizmów transferu dopuszczonych przez RODO.

Po unieważnieniu mechanizmu „Privacy Shield” w dniu 16 lipca 2020 r. przedsiębiorstwa niemieckie są zobowiązane do stosowania zaktualizowanych standardowych klauzul umownych UE (wersja z 4 czerwca 2021 r.) lub innych zgodnych z prawem mechanizmów transferu danych.

VII. Nadzór i egzekwowanie przepisów

Niemieckie organy ochrony danych, w tym BfDI oraz organy krajów związkowych, dysponują szerokimi uprawnieniami nadzorczymi i egzekucyjnymi, obejmującymi:

wydawanie ostrzeżeń oraz nakazów dostosowania się do przepisów;

ograniczanie lub zakazywanie przetwarzania danych;

nakładanie wysokich kar administracyjnych w wysokości do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.

Ponadto prawo niemieckie umożliwia osobom fizycznym wydawanie wiążących dyspozycji dotyczących przetwarzania ich danych, w tym określenia zasad postępowania z danymi po śmierci. W braku takich dyspozycji przetwarzanie danych musi odbywać się zgodnie z obowiązującymi przepisami prawa.

Niemiecki system wdrażania RODO ma na celu ochronę praw osób fizycznych, wzmocnienie zgodności przedsiębiorstw z przepisami oraz budowanie zaufania w środowisku cyfrowym.