GDPR

I. Wprowadzenie

Od 25 maja 2018 r. ogólne rozporządzenie o ochronie danych (RODO) obowiązuje w Niemczech oraz w innych państwach członkowskich Unii Europejskiej. W związku z jego wdrożeniem Niemcy dostosowały Federalną ustawę o ochronie danych (Bundesdatenschutzgesetz, BDSG).

Za nadzór, doradztwo i egzekwowanie przepisów RODO oraz niemieckich regulacji wykonawczych odpowiada Federalny Pełnomocnik ds. Ochrony Danych i Wolności Informacji (BfDI) oraz organy ochrony danych w poszczególnych krajach związkowych.

System ochrony danych w Niemczech jest w pełni zgodny z RODO, a jednocześnie uwzględnia szczególne rozwiązania prawne obowiązujące w Niemczech, aby zapewnić skuteczną ochronę danych osobowych.

II. Zakres zastosowania

Przepisy wdrażające RODO w Niemczech mają zastosowanie do:

administratorów danych (Verantwortlicher) oraz podmiotów przetwarzających (Auftragsverarbeiter) działających na terytorium Niemiec;

podmiotów spoza Niemiec, które oferują towary lub usługi osobom przebywającym w Niemczech albo monitorują ich zachowanie na terytorium Niemiec.

Przepisy te obowiązują niezależnie od miejsca przetwarzania danych, jeżeli dotyczą danych osobowych osób znajdujących się w Niemczech.

Zakres obejmuje zarówno przetwarzanie zautomatyzowane, jak i niezautomatyzowane stanowiące część uporządkowanego zbioru danych. Czynności o charakterze wyłącznie osobistym lub domowym nie są objęte tymi regulacjami.

III. Zasady przetwarzania danych

Zgodność z prawem, rzetelność i przejrzystość: Przetwarzanie danych musi opierać się na podstawie prawnej, a osoby, których dane dotyczą, muszą być jasno poinformowane o celu i sposobie przetwarzania.

Ograniczenie celu: Dane osobowe mogą być wykorzystywane wyłącznie do jasno określonych i zgodnych z prawem celów.

Minimalizacja danych: Należy zbierać tylko dane niezbędne do realizacji konkretnego celu.

Prawidłowość: Dane powinny być dokładne, kompletne i aktualne.

Ograniczenie przechowywania: Dane mogą być przechowywane jedynie przez okres niezbędny do realizacji celu, a następnie powinny zostać usunięte lub zanonimizowane.

Bezpieczeństwo i poufność: Administratorzy i podmioty przetwarzające muszą stosować odpowiednie środki techniczne i organizacyjne, aby zapobiegać naruszeniom ochrony danych.

IV. Prawa osób, których dane dotyczą

Osoby fizyczne mają prawo do:

uzyskania informacji i dostępu do swoich danych;

sprostowania danych nieprawidłowych lub niekompletnych;

usunięcia danych w przypadkach przewidzianych prawem;

ograniczenia przetwarzania w określonych sytuacjach;

przenoszenia danych w ustrukturyzowanym i powszechnie używanym formacie;

wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie lub interesie publicznym;

ochrony przed wyłącznie zautomatyzowanym podejmowaniem decyzji, w tym profilowaniem, z prawem do informacji, sprzeciwu i interwencji człowieka.

W przypadku osób poniżej 16 lat przetwarzanie danych wymaga zgody rodzica lub opiekuna prawnego oraz przekazania informacji w zrozumiałej formie.

V. Obowiązki podmiotów przetwarzających

Podmioty przetwarzające muszą działać zgodnie z pisemnymi instrukcjami administratora.

Są zobowiązane do zapewnienia odpowiednich zabezpieczeń technicznych i organizacyjnych.

Muszą wspierać administratora w realizacji obowiązków wynikających z RODO.

W przypadku naruszenia ochrony danych muszą niezwłocznie poinformować administratora, który ma 72 godziny na zgłoszenie naruszenia do BfDI.

Administratorzy są zobowiązani do prowadzenia rejestru czynności przetwarzania oraz przeprowadzania oceny skutków dla ochrony danych w przypadku operacji wysokiego ryzyka.

W określonych przypadkach wymagane jest wyznaczenie inspektora ochrony danych i jego zgłoszenie do organu nadzorczego.

VI. Międzynarodowy transfer danych

Przekazywanie danych osobowych do państw spoza UE wymaga zapewnienia odpowiedniego poziomu ochrony poprzez:

decyzję Komisji Europejskiej o odpowiednim stopniu ochrony;

zawarcie standardowych klauzul umownych UE;

inne mechanizmy dopuszczone przez RODO.

Po unieważnieniu mechanizmu Tarczy Prywatności w dniu 16 lipca 2020 r. stosuje się zaktualizowane standardowe klauzule umowne z dnia 4 czerwca 2021 r. lub inne zgodne z prawem rozwiązania.

VII. Nadzór i egzekwowanie

Organy ochrony danych w Niemczech posiadają uprawnienia do:

wydawania ostrzeżeń i nakazów;

ograniczania lub zakazywania przetwarzania danych;

nakładania kar pieniężnych do 20 milionów euro lub 4% rocznego światowego obrotu.

Prawo niemieckie umożliwia również wydawanie dyspozycji dotyczących przetwarzania danych po śmierci osoby. W przypadku braku takich dyspozycji przetwarzanie musi odbywać się zgodnie z obowiązującymi przepisami.

Celem niemieckiego systemu wdrażania RODO jest ochrona praw osób fizycznych, zapewnienie zgodności przedsiębiorstw z prawem oraz budowanie zaufania w środowisku cyfrowym.