Nowa ustawa o ochronie danych osobowych w Niemczech

Czerwiec 19, 2017

2018 rok przyniesie w Unii Europejskiej ogromne zmiany dotyczące ochrony danych osobowych. 25 czerwca 2018 roku wchodzą bowiem w życie przepisy rozporządzenia unijnego w sprawie ochrony osób fizycznych w zakresie ich danych osobowych . Poszczególne państwa uchwalają powoli własne ustawy wprowadzające przepisy rozporządzenia. Często zawierają one wyjątki od obecnych w rozporządzeniu regulacji, które warto znać!

Należy pamiętać, że rozporządzenie będzie jednolicie obowiązywać na terenie całej UE i zastąpi w tym zakresie przepisy krajowe znane przedsiębiorcom do tej pory. W pewnych ramach państwa członkowskie mogą jednak przyjąć uregulowania ograniczające bardzo szeroki zakres praw i obowiązków znajdujących się w rozporządzeniu. Poniżej przedstawione zostaną zmiany względem regulacji europejskiej przyjęte w Niemczech, najistotniejsze z punktu widzenia osób prowadzących działalność gospodarczą, której elementem jest przetwarzanie danych osobowych, czyli administratorów danych.

27 kwietnia 2017 roku została przyjęta przez niemiecki Bundestag nowa Federalna ustawa o ochronie danych osobowych (Bundesdatenschutzgesetz). Podejście ustawodawcy niemieckiego w porównaniu z europejskim jest wyraźnie przychylniejsze wobec biznesu. Z tego powodu w niemieckiej ustawie znaleźć można wyjątki od praw i obowiązków przewidzianych przepisami rozporządzenia, które mają ułatwić prowadzenie działalności gospodarczej. Wyjątki te dotyczą: 

obowiązku informacyjnego wobec osób, których dotyczą zbierane dane oraz ich prawa dostępu do zbieranych danych (art. 13,14 i 15 rozporządzenia)

Administrator danych jest więc zwolniony z obowiązku informacyjnego, jeśli osoba, której dane dotyczą posiada już informacje wymagane przez rozporządzenie; jeśli przechowywanie i udostępnianie danych jest wymagane przez przepisy prawa; lub gdy spełnienie obowiązku informacyjnego jest niemożliwe albo wiązałoby się z nieproporcjonalnie dużymi wydatkami.

Wprowadzony został także wyjątek od prawa dostępu do danych zainteresowanego dotyczący danych objętych obowiązkiem zachowania tajemnicy oraz podlegających mu grup zawodowych takich jak np. lekarze i prawnicy.

Kolejny wyjątek od obowiązku informacyjnego i od prawa dostępu polega na tym, że można odmówić udzielenia informacji lub udostępnienia danych osobie, której dane dotyczą, jeśli utrudniłoby to ustalenie, dochodzenie lub obronę roszczeń cywilnoprawnych.

obowiązki administratora dostarczenia osobie jej danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (art. 20 rozporządzenia)

Zgodnie z niemiecką ustawą prawo to przysługuje osobie, której dane dotyczą, tylko wtedy, gdy dane są przetwarzane przez administratora w celu wykonania istniejącej między nimi umowy lub gdy dane osobowe zostały udostępnione administratorowi do przetwarzania na podstawie zgody tej osoby.

Administrator nie ma obowiązku dostarczania danych, jeśli są one przetwarzane na innej podstawie prawnej niż umowa z osobą, której dane dotyczą lub jej zgoda. W szczególności nie jest on do tego zobowiązany, gdy przetwarzanie danych wynika z wypełnienia obowiązku nałożonego na administratora przez przepisy prawa lub w związku z wykonywaniem prze niego zadania publicznego. 

prawa do usunięcia danych (art. 17 rozporządzenia)

Jedną z bardziej istotnych zmian wprowadzonych przepisami rozporządzenia jest tzw. prawo do bycia zapomnianym. Niemiecka ustawa wprowadza jego ograniczenie w przypadku, w którym usunięcie danych nie jest możliwe lub spowodowałoby nieproporcjonalnie wysokie koszty po stronie przetwarzającego w porównaniu do  interesu osoby, której dane dotyczą.

Oprócz wprowadzenia wyjątków od praw i obowiązków nowa niemiecka ustawa o ochronie danych osobowych zawiera również bardziej szczegółowe i dalej idące niż w rozporządzeniu regulacje dotyczące przetwarzania danych osobowych pracowników. Na przykład zgodnie z niemieckimi przepisami wyrażenie przez pracownika zgody na przetwarzanie danych wymaga formy pisemnej, podczas gdy rozporządzenie nie stawia takiego wymogu. 

W Polsce nie została jeszcze uchwalona ustawa wprowadzająca przepisy rozporządzenia. Prace nad nią cały czas są w toku. Pozostaje jednak mieć nadzieję, że również polski ustawodawca zdąży z jej uchwaleniem przed wejściem w życie Rozporządzenia, czyli przed 25 czerwca 2018 roku.