ai sensi dell'Art. 15 GDPR
La segretezza generale dei dati è sancita dalla Legge federale sulla protezione dei dati ed è applicabile congiuntamente al Regolamento generale sulla protezione dei dati. Nel contesto dell'utilizzo dei dati personali, la raccolta e l'utilizzo di tali dati sono consentiti solo se la Legge federale sulla protezione dei dati o altre norme giuridiche lo permettono o lo ordinano espressamente, oppure se la persona interessata ha dato il suo consenso all'utilizzo.
Poiché l'utilizzo è soggetto alla premessa dell'autorizzazione, non è consentito raccogliere i dati senza autorizzazione, elaborarli successivamente o utilizzarli e diffonderli. Nel contesto di un rapporto di lavoro e di un'attività che implica l'uso dei dati, il divieto esiste anche se lei non lavora più per il datore di lavoro e non svolge più la sua attività. Un esempio di ciò potrebbe essere un'attività nel contesto di una posizione personale.
Occorre quindi distinguere tra direttive sulla protezione dei dati, leggi sulla protezione dei dati e regolamenti sulla protezione dei dati. Una direttiva sulla protezione dei dati fornisce una certa direzione, che porta a una legge sulla protezione dei dati come la BDSG (Legge federale sulla protezione dei dati) a livello nazionale. La legge sulla protezione dei dati varia quindi da Paese a Paese e può essere sempre leggermente diversa. Nell'ambito dei regolamenti sulla protezione dei dati, tuttavia, questi sono ugualmente vincolanti a livello internazionale per tutti i Paesi europei e gli Stati membri dell'UE, che sono quindi obbligati a rispettare questo regolamento.
La Legge federale tedesca sulla protezione dei dati esiste nella sua forma attuale dal 2018, essendo stata promulgata come parte del Regolamento generale sulla protezione dei dati e specificando ulteriormente questo regolamento europeo. Di conseguenza, sono stati formulati regolamenti espliciti e sono state introdotte disposizioni speciali per la Germania. Ad esempio, la Legge Federale sulla Protezione dei Dati regola i contenuti che la GDPR (Regolamento generale sulla protezione dei dati) o l'ha lasciata specificamente aperta. Tuttavia, esistono anche leggi esplicite sulla protezione dei dati a livello statale, come la DSG NRW (Legge sulla protezione dei dati NRW).
Non c'è dubbio che la considerazione del GDPR (Regolamento generale sulla protezione dei dati) è ancora emozionante a questo proposito, in quanto le conferisce il diritto personale di richiedere informazioni su questi dati alle organizzazioni che trattano i suoi dati personali.
Il Articolo 15 del Regolamento generale sulla protezione dei dati garantisce a ogni individuo un diritto importante. In base a questo articolo, gli interessati hanno il diritto di richiedere informazioni a un'azienda o a un'organizzazione sui dati memorizzati o elaborati che li riguardano. Nella maggior parte dei casi, all'interessato vengono fornite anche informazioni sullo scopo del trattamento, sull'origine dei dati o sul destinatario dei dati.
Il diritto all'informazione esiste nei confronti degli enti pubblici come le autorità e di tutti gli altri enti come le aziende, le associazioni o i club. L'obiettivo di queste informazioni dovrebbe essere quello di ottenere una panoramica generale e un certo grado di controllo su quali dati esatti vengono elaborati e conservati.
L'art. 15 del GDPR crea una base per far valere diritti specifici come il diritto alla rettifica, alla cancellazione, alla limitazione del trattamento o il diritto di opporsi al trattamento. È quindi possibile ottenere informazioni dal Titolare del trattamento per sapere se elabora i dati e, in caso affermativo, quali dati. Ciò include i dati relativi alla persona. Ulteriori dettagli sono forniti dall'Articolo 4, paragrafo 1, n. 1 del Codice Civile. GDPR.
Definizioni
Per "dati personali" [si intende] qualsiasi informazione relativa a una persona fisica identificata o identificabile (di seguito "interessato"); una persona fisica identificabile è quella che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come un nome, un numero di identificazione, dati di localizzazione, un identificativo online o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica;"
Il concetto di dati viene quindi ampliato e non si riferisce solo ai dati anagrafici di una persona, come nome, indirizzo o data di nascita. Sono interessati anche dati come le comunicazioni già concluse o gli appunti e i documenti. La richiesta di informazioni è generalmente gratuita per lei. Un'eccezione è rappresentata dal caso in cui la richiesta sia manifestamente infondata o se si verifica un accumulo eccessivo di richieste. In tal caso, potrebbe essere richiesto un compenso per le informazioni.
Il diritto alla rettifica deriva dall'Art. 16 del Codice Civile. GDPR fuori. Se si accorge che i suoi dati personali non sono corretti, ha il diritto di chiedere all'organizzazione di elaborazione di correggerli immediatamente. Questo deve essere fatto "senza ritardi ingiustificati", cioè senza esitazioni colpevoli.
Diritto alla rettifica
"L'interessato ha il diritto di ottenere dal responsabile del trattamento, senza ritardi ingiustificati, la rettifica dei dati personali inesatti che lo riguardano. Tenendo conto delle finalità del trattamento, l'interessato ha il diritto di far completare i dati personali incompleti, anche fornendo una dichiarazione supplementare."
Ha anche il diritto alla cancellazione o alla limitazione del trattamento nei confronti dell'ente. Ha il diritto alla cancellazione e alla limitazione del trattamento, in particolare se il trattamento dei suoi dati non è più necessario o la raccolta non era lecita, se ha scritto una cancellazione contro il trattamento o se ha presentato un'obiezione al trattamento. Ha questo diritto anche se la cancellazione è richiesta per motivi legali o se, ad esempio, un giovane si è registrato in un social network. Tutti i motivi a favore della cancellazione si trovano nell'Articolo 17 del GDPR.
Come eccezione al suddetto diritto, va detto che la cancellazione o la limitazione non hanno luogo se il trattamento dei dati serve a un compito pubblico o all'interesse pubblico. Un'altra eccezione è rappresentata dal caso in cui il trattamento dei dati venga effettuato a scopo di ricerca, scienza o statistica e sia necessario. L'attuale "Censimento 2022" può essere citato come esempio di statistiche e della situazione abitativa in Germania. La partecipazione è obbligatoria e il mancato rispetto della notifica può essere sanzionato fino a 5.000,00 euro. In casi estremi, il rilascio dei dati può essere addirittura imposto.
Per garantire la sicurezza dei dati, tutti i dipendenti dei centri di sondaggio sono soggetti all'obbligo di riservatezza e la raccolta dei dati online è criptata. Inoltre, i dati non vengono trasmessi a terzi.
Se desidera ricevere informazioni da un organismo ai sensi della Sezione 15 del GDPR, deve essere informato di quanto segue.
Il diritto all'informazione, in conformità con l'articolo 15. GDPR non è specificamente concesso senza limiti. I diritti e le libertà di altre persone sono il limite principale delle informazioni. In parole povere, si tratta di dati personali di terzi o di segreti commerciali e aziendali. La persona che fornisce le informazioni non può sempre rifiutarsi di fornirle completamente. Logicamente, ha sempre la possibilità di oscurare i dati di terzi o i segreti per proteggere adeguatamente la sua identità. Ulteriori restrizioni possono derivare dalla Legge Federale sulla Protezione dei Dati o dal Codice di Sicurezza Sociale X.
Un esempio è la protezione della sicurezza pubblica. Questa a sua volta si riferisce alla protezione dell'ordine giuridico scritto, dello Stato e delle sue istituzioni o degli interessi legali individuali dei cittadini.
Inoltre, esiste l'obbligo di conservare i dati personali se questi vengono utilizzati, ad esempio, in base alle normative fiscali o commerciali. Di norma, non esiste il diritto all'informazione se questa è associata a un impegno sproporzionatamente elevato e la persona che fornisce le informazioni può garantire la limitazione dello scopo del backup dei dati attraverso misure tecniche o organizzative adeguate. La Sezione 34 del BDSG disciplina ulteriori dettagli sulla restrizione del diritto all'informazione.
Il diritto all'informazione non sussiste se l'interessato non deve essere informato o se i dati non possono essere cancellati a causa di norme legali o se vengono utilizzati esclusivamente per scopi di backup o di controllo della protezione dei dati. Affinché la richiesta venga rifiutata, entrambe le varianti devono richiedere uno sforzo sproporzionato.
Può fare e presentare la domanda stessa, dichiarando il suo diritto all'informazione, in una richiesta informale all'ufficio competente, senza dover fornire motivazioni. Se si reca di persona all'ufficio o chiede informazioni per telefono, in genere questo non le sarà concesso o non sarà possibile. Nel caso di una richiesta telefonica, di solito non è possibile garantire che la persona autorizzata possa essere identificata con successo. Ciò deriva dal principio che l'ente che elabora i dati personali deve garantire che i dati non vengano divulgati a terzi non autorizzati.
La domanda all'organismo deve quindi essere sempre presentata per iscritto o in forma elettronica sicura, come la DE-Mail. Se l'organismo ha un dubbio oggettivamente giustificato sull'identità, può richiedere informazioni aggiuntive per confermare l'identità. Ciò è previsto dall'Art. 12 comma 6 del GDPR.
Liceità del trattamento
"Fatto salvo l'articolo 11, qualora il responsabile del trattamento abbia ragionevoli dubbi sull'identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, il responsabile del trattamento può richiedere informazioni aggiuntive necessarie per confermare l'identità dell'interessato."
Ad esempio, non è raro che l'organizzazione richiedente chieda una copia della carta d'identità per effettuare tale conferma. In questo modo, il richiedente si assicura almeno che il nome, l'indirizzo e la data di nascita possano essere controllati. Non è necessario rivelare l'immagine, la nazionalità o il numero della carta d'identità. Questi dati possono essere oscurati quando viene richiesta la carta d'identità. Il centro deve assicurarsi che i dati del documento d'identità vengano utilizzati solo per verificare la sua identità e non vengano inseriti nel database del centro. Al momento della richiesta, è quindi particolarmente consigliabile che lei descriva esattamente quali informazioni desidera ricevere e su cosa esattamente. Ciò consente di ottenere informazioni più rapide e, soprattutto, più mirate.
Il rifiuto definitivo di fornire informazioni alla persona fisica è raro, ma comunque ipotizzabile. In questi casi, lei è libero di presentare un reclamo all'autorità di controllo della protezione dei dati competente. È importante che lei alleghi al reclamo la corrispondenza che ha avuto con l'autorità fino a quel momento. È quindi importante che la conservi. Anche per questo motivo, è sempre consigliabile astenersi dal contattare l'ente per telefono o di persona. L'autorità di vigilanza competente, ad esempio per lo Stato della Renania Settentrionale-Vestfalia, è l'LDI (Commissario di Stato per la protezione dei dati e la libertà di informazione).
Gli errori più frequenti commessi dalle autorità nel contesto di una richiesta di informazioni ai sensi dell'Art. 15 GDPR sono: la richiesta di informazioni viene semplicemente ignorata, la risposta include solo i dati anagrafici, la richiesta non viene inoltrata all'autorità o le informazioni non vengono fornite in tempo utile.
Se le informazioni ai sensi dell'Art. 15 GDPR viene richiesta, la procedura regolare può essere suddivisa in diverse fasi. Nella fase 1, la richiesta di informazioni viene inviata all'ufficio designato. All'interno dell'ufficio, la richiesta viene inoltrata al dipendente responsabile. La fase 2 prevede solitamente un controllo dell'identità del richiedente. La fase 3 è la fase di elaborazione, in cui vengono raccolte tutte le informazioni sui dati personali. La fase 4 è la fase di risposta, solitamente entro un mese. Nella fase 5, la procedura viene completata e il risultato è una documentazione con una definizione e un periodo di conservazione.
Secondo l'Art. 15 del GDPR, una richiesta di informazioni è sempre qualcosa di cui possono avvalersi solo gli interessati. Si tratta di una richiesta personale. Tuttavia, nulla vieta di farsi rappresentare, ad esempio da un avvocato di fiducia. Poiché le informazioni riguardano dati personali, l'avvocato in questione deve sempre ottenere una procura e presentarla all'autorità. Si tratta quindi di una questione di legittimazione specifica del rappresentante nei confronti dell'ente.
Una procura conferita all'avvocato deve quindi fare riferimento in modo specifico al diritto all'informazione desiderato, in conformità con l'Art. 15. GDPR fare riferimento. Il risultato delle informazioni viene poi inviato anche all'avvocato. Poiché non ci sono requisiti per la procura stessa, essa può essere rilasciata per iscritto, elettronicamente o verbalmente, ad esempio. Per garantire che la richiesta di informazioni vada a buon fine, l'autorità competente chiederà sempre l'autorizzazione necessaria alla persona che richiede le informazioni. Tuttavia, questo non deve rendere la richiesta più difficile per la persona interessata, se non desidera farla valere in prima persona.
Il GDPR stabilisce inoltre che le informazioni, così come la correzione e la cancellazione dei dati, devono essere fornite senza indugio. Tuttavia, ciò deve avvenire al massimo entro un mese. In caso contrario, possono essere avanzate richieste di risarcimento per dolore e sofferenza o danni. Ciò è regolato in modo comparativo dall'Art. 12 comma 3 del GDPR.
Informazione trasparente [...] dell'interessato
"Il responsabile del trattamento fornirà all'interessato, su richiesta, informazioni sulle misure adottate in conformità agli articoli da 15 a 22. immediatamente, ma in ogni caso entro un mese dal ricevimento della domanda. Questo periodo può essere prorogato di due mesi se necessario, tenendo conto della complessità e del numero di richieste. Il responsabile del trattamento informerà l'interessato di qualsiasi estensione del termine entro un mese dal ricevimento della richiesta, insieme ai motivi del ritardo. Se l'interessato presenta la richiesta per via elettronica, sarà informato per via elettronica, ove possibile, a meno che non indichi diversamente."
Se l'organismo responsabile viola questo obbligo, ciò costituisce una violazione della legge che, in base alle disposizioni del GDPR, può comportare sia una multa nei confronti dell'organismo che una richiesta di risarcimento danni o di indennizzo per dolore e sofferenza (danno morale) nei confronti dell'interessato. Ciò deriva dall'Articolo 82 del GDPR.
Responsabilità e diritto al risarcimento
"Chiunque abbia subito un danno materiale o immateriale a causa di una violazione del presente Regolamento ha diritto a un risarcimento da parte del responsabile del trattamento o dell'incaricato del trattamento".
Il Tribunale del Lavoro di Düsseldorf ha già stabilito che esiste una richiesta di risarcimento danni a causa della mancata o inadeguata informazione ai sensi dell'Art. 15 GDPR. Ha ritenuto che un importo di 500,00 euro di risarcimento fosse appropriato in ciascun caso per un ritardo di due mesi. Per altri tre mesi di ritardo, il risarcimento è stato di 1.000,00 euro in ciascun caso e di ulteriori 500,00 euro in due casi per informazioni inadeguate sul contenuto. Il convenuto ha quindi dovuto pagare alla persona interessata 5.000,00 euro. Da leggere sotto il segno: ArbG Düsseldorf, ZD 2020.649.
In sintesi, si può dire che la consulenza legale è sempre consigliata in relazione alle informazioni richieste ai sensi del Regolamento generale sulla protezione dei dati (GDPR), se le informazioni non sono state inviate affatto, sono state inviate troppo tardi o sono state inviate in modo inadeguato.
Inoltre, in casi particolarmente complessi, è consigliabile consultare direttamente un avvocato, affinché possa presentare la richiesta di informazioni ai sensi dell'Art. 15 GDPR. Come già menzionato in precedenza, esiste la possibilità che si verifichino richieste di risarcimento danni o di indennizzo per dolore e sofferenza, che possono essere fatte valere da un avvocato in un procedimento giudiziario. Questo garantisce anche che l'ente responsabile gestisca i suoi dati personali in modo corretto in futuro.
Saremo lieti di essere il contatto giusto per lei e ci prenderemo cura delle sue preoccupazioni in materia di protezione dei dati personali.
Sede principale - Kerpen
Patrick Baumfalk, avvocato
Strada principale 147
50169 Kerpen
Germania
Filiale - Witten
Patrick Baumfalk, avvocato
Berliner Strasse 4
58452 Witten
Germania
Il nostro partner di cooperazione negli USA, FL, Merritt Island, Spacecoast e Miami, USA:
Alexander Thorlton, Esq - Centro di diritto immobiliare e dell'immigrazione tedesco-americano, LLC
Webdesign e SEO da Servizi Baumfalk