GDPR

I. Wprowadzenie

Od dnia 25 maja 2018 r. ogólne rozporządzenie o ochronie danych Unii Europejskiej (RODO) obowiązuje w Niemczech oraz w pozostałych państwach członkowskich UE. W celu wdrożenia RODO Niemcy znowelizowały Federalną ustawę o ochronie danych (Bundesdatenschutzgesetz, BDSG).

Federalny Pełnomocnik ds. Ochrony Danych i Wolności Informacji (BfDI) oraz organy ochrony danych poszczególnych krajów związkowych są odpowiedzialne za nadzór, wytyczne i egzekwowanie przepisów RODO oraz krajowych regulacji wykonawczych.

Niemiecki system ochrony danych jest w pełni zgodny z RODO i jednocześnie uwzględnia szczególne wymogi prawa niemieckiego w celu zapewnienia wysokiego poziomu ochrony danych osobowych.

II. Zakres zastosowania

Niemieckie przepisy wykonawcze do RODO mają zastosowanie do:

wszystkich administratorów danych (Verantwortlicher) oraz podmiotów przetwarzających (Auftragsverarbeiter) posiadających siedzibę na terytorium Niemiec;

podmiotów zagranicznych oferujących towary lub usługi osobom przebywającym w Niemczech bądź monitorujących ich zachowanie na terytorium Niemiec.

Niezależnie od tego, czy przetwarzanie danych odbywa się na terytorium Niemiec czy poza nim, przepisy mają zastosowanie, jeżeli dotyczy ono danych osobowych osób znajdujących się w Niemczech.

Zakres obejmuje zarówno zautomatyzowane przetwarzanie danych, jak i przetwarzanie niezautomatyzowane stanowiące część zbioru danych. Przetwarzanie danych o charakterze czysto osobistym lub domowym nie podlega tym przepisom.

III. Zasady przetwarzania danych

Zgodność z prawem, rzetelność i przejrzystość: Każde przetwarzanie danych musi posiadać wyraźną podstawę prawną, a osoba, której dane dotyczą, musi zostać jasno poinformowana o celu i sposobie przetwarzania.

Ograniczenie celu: Dane osobowe mogą być wykorzystywane wyłącznie do określonych, zgodnych z prawem celów i nie mogą być przetwarzane w sposób niezgodny z pierwotnym przeznaczeniem.

Minimalizacja danych: Należy gromadzić wyłącznie dane niezbędne do realizacji określonego celu.

Prawidłowość: Dane muszą być dokładne, kompletne i w razie potrzeby aktualizowane.

Ograniczenie przechowywania: Dane mogą być przechowywane jedynie przez okres niezbędny do realizacji celu, po czym powinny zostać usunięte lub zanonimizowane.

Integralność i poufność: Administratorzy oraz podmioty przetwarzające są zobowiązani do stosowania odpowiednich środków technicznych i organizacyjnych w celu zapobiegania naruszeniom, utracie lub nieuprawnionemu dostępowi do danych.

IV. Prawa osób, których dane dotyczą

Na podstawie RODO oraz prawa niemieckiego osobom przysługują następujące prawa:

Prawo do informacji i dostępu: Prawo do uzyskania informacji o przetwarzanych danych oraz dostępu do nich.

Prawo do sprostowania: Prawo do żądania poprawienia danych nieprawidłowych lub niekompletnych.

Prawo do usunięcia (prawo do bycia zapomnianym): Prawo do żądania usunięcia danych osobowych w przypadkach przewidzianych prawem.

Prawo do ograniczenia przetwarzania: Prawo do ograniczenia dalszego przetwarzania danych w określonych sytuacjach.

Prawo do przenoszenia danych: Prawo do otrzymania danych w ustrukturyzowanym, powszechnie używanym i czytelnym formacie oraz do przekazania ich innemu administratorowi.

Prawo do sprzeciwu: Prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie lub interesie publicznym.

Prawo w zakresie zautomatyzowanego podejmowania decyzji: W przypadku decyzji podejmowanych w sposób zautomatyzowany, w tym profilowania, osoba ma prawo do informacji, sprzeciwu oraz do interwencji ludzkiej.

W odniesieniu do osób poniżej 16. roku życia (szczególna regulacja niemiecka) przetwarzanie danych wymaga zgody rodzica lub opiekuna prawnego oraz przekazania informacji w zrozumiałej formie.

V. Obowiązki podmiotów przetwarzających

Podmioty przetwarzające muszą ściśle przestrzegać pisemnych instrukcji administratora (Verantwortlicher).

Są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych.

Powinny wspierać administratora w realizacji obowiązków wynikających z RODO, w tym w odpowiadaniu na żądania osób, których dane dotyczą.

W przypadku naruszenia ochrony danych podmiot przetwarzający musi niezwłocznie poinformować administratora, który zobowiązany jest zgłosić naruszenie do BfDI w terminie 72 godzin.

Administrator jest zobowiązany do prowadzenia rejestru czynności przetwarzania oraz do przeprowadzenia oceny skutków dla ochrony danych (DPIA) w przypadku operacji wysokiego ryzyka.

Niektóre organizacje mają obowiązek wyznaczenia inspektora ochrony danych (DPO) oraz zgłoszenia go właściwemu organowi nadzorczemu.

VI. Międzynarodowy transfer danych

W przypadku przekazywania danych osobowych do państw spoza UE administrator musi zapewnić odpowiedni poziom ochrony danych w państwie odbiorcy poprzez:

decyzję stwierdzającą odpowiedni stopień ochrony wydaną przez Komisję Europejską;

zawarcie standardowych klauzul umownych UE (SCC);

inne mechanizmy transferu dopuszczone przez RODO.

Po unieważnieniu Tarczy Prywatności w dniu 16 lipca 2020 r. przedsiębiorstwa niemieckie są zobowiązane do stosowania zaktualizowanych standardowych klauzul umownych UE z dnia 4 czerwca 2021 r. lub innych zgodnych z prawem mechanizmów transferu danych.

VII. Nadzór i egzekwowanie

Niemieckie organy ochrony danych (BfDI oraz organy krajów związkowych) posiadają szerokie uprawnienia nadzorcze i egzekucyjne:

wydawanie ostrzeżeń oraz nakazów dostosowania;

ograniczanie lub zakazywanie przetwarzania danych;

nakładanie wysokich kar pieniężnych w wysokości do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa).

Ponadto prawo niemieckie umożliwia osobom wydawanie wiążących dyspozycji dotyczących przetwarzania ich danych, również po śmierci. W przypadku braku takich dyspozycji przetwarzanie danych musi odbywać się zgodnie z obowiązującymi przepisami.

Niemiecki system wdrażania RODO ma na celu ochronę praw osób fizycznych, wzmocnienie zgodności przedsiębiorstw z przepisami oraz budowanie zaufania w środowisku cyfrowym.