Tajemnica danych / dane osobowe

zgodnie z art. 15 DSGVO

Kancelaria prawna zajmująca się prawem IT i ochroną danych w Kerpen, Kolonii i Witten

Prawo IT i prawo ochrony danych osobowych | Silny partner dla pracowników i pracodawców

Tajemnica danych i dane osobowe

Kancelaria prawna zajmująca się prawem IT i ochroną danych w Kerpen, Kolonii i Witten

Prawnik - prawo pracy | prawo karne | prawo IT | ochrona danych osobowych

Ogólna tajemnica danych ma swoje umocowanie w federalnej ustawie o ochronie danych i jest stosowana łącznie z ogólnym rozporządzeniem o ochronie danych. W kontekście wykorzystania danych osobowych gromadzenie i wykorzystywanie takich danych jest dopuszczalne tylko wtedy, gdy federalna ustawa o ochronie danych osobowych lub inne normy prawne wyraźnie na to zezwalają lub nakazują, lub gdy osoba zainteresowana wyraziła zgodę na ich wykorzystanie. 

Ponieważ wykorzystanie odbywa się pod warunkiem uzyskania zezwolenia, osobom nie wolno zbierać danych bez zezwolenia, przetwarzać ich po fakcie ani wykorzystywać i rozpowszechniać. W kontekście stosunku pracy i działalności związanej z wykorzystaniem danych, zakaz istnieje również wtedy, gdy nie pracuje się już dla pracodawcy i nie prowadzi się już działalności. Przykładem może być działanie w zakresie stanowiska pracowniczego.

Należy zatem rozróżnić wytyczne dotyczące ochrony danych, ustawy o ochronie danych i rozporządzenia dotyczące ochrony danych. Dyrektywa o ochronie danych wyznacza pewien kierunek, który na szczeblu krajowym prowadzi do powstania ustawy o ochronie danych, takiej jak BDSG (federalna ustawa o ochronie danych). Prawo dotyczące ochrony danych osobowych różni się zatem w poszczególnych krajach i zawsze może być nieco inne. W ramach przepisów o ochronie danych osobowych są one jednak równie wiążące na poziomie międzynarodowym dla wszystkich krajów europejskich lub państw członkowskich UE, a tym samym zobowiązane do przestrzegania tego rozporządzenia.

Niemiecka federalna ustawa o ochronie danych osobowych (Bundesdatenschutzgesetz) istnieje w swojej formie od 2018 r. Została ona uchwalona w ramach ogólnego rozporządzenia o ochronie danych (GDPR) i dodatkowo uwiarygodnia tę europejską regulację. Sformułowano więc wyraźne regulacje i wprowadzono specjalne przepisy dla Niemiec. Na przykład federalna ustawa o ochronie danych osobowych reguluje treści, które GDPR (podstawowe rozporządzenie o ochronie danych osobowych) nie opisuje tego lub pozostawił otwartą kwestię. Istnieją jednak również wyraźne przepisy o ochronie danych na poziomie krajowym, takie jak DSG NRW (ustawa o ochronie danych NRW).

Bez wątpienia rozważania dot. GDPR (ogólne rozporządzenie o ochronie danych) jest nadal ekscytujące, ponieważ daje Ci osobiste prawo do żądania informacji o Twoich danych osobowych od organów, które je przetwarzają.

Prawo do informacji zgodnie z art. 15 DSGVO

Informacje zgodnie z art. 15 DSGVO

Na stronie Art. 15 ogólnego rozporządzenia o ochronie danych gwarantuje każdej jednostce istotne prawo. Zgodnie z tym artykułem osoby, których dane dotyczą, mają prawo żądać od firmy lub organu informacji o tym, jakie dane na ich temat są przechowywane lub przetwarzane. W większości przypadków osoba, której dane dotyczą, otrzymuje również informacje o celu przetwarzania, pochodzeniu danych lub odbiorcy danych. 

Prawo do informacji istnieje w stosunku do podmiotów publicznych, takich jak władze, oraz wszystkich innych podmiotów, takich jak spółki, stowarzyszenia czy nawet kluby. Celem tych informacji powinno być uzyskanie ogólnego obrazu i pewnego stopnia kontroli nad tym, jakie dokładnie dane są przetwarzane i przechowywane.

Z czym wiąże się prawo do informacji?

Treść prawa do informacji

Artykuł 15 GDPR stwarza podstawę do dochodzenia przez Państwa określonych praw, takich jak prawo do sprostowania, usunięcia, ograniczenia przetwarzania lub prawo do odwołania. Tym samym mają Państwo możliwość uzyskania od osoby odpowiedzialnej za gromadzenie i przetwarzanie informacji, czy osoba ta przetwarza dane, a jeśli tak, to jakie. Dane objęte ochroną to te, które odnoszą się do osoby. Artykuł 4 ust. 1 nr 1 ustawy o ochronie danych osobowych wyjaśnia to bardziej szczegółowo. GDPR.

Definicje
"dane osobowe" [oznaczają] wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zwanej dalej "osobą, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej;".

Tym samym pojęcie danych zostaje poszerzone i nie odnosi się jedynie do danych głównych osoby, takich jak nazwisko, adres czy data urodzenia. Ucierpią na tym również dane takie jak komunikacja, która już się zakończyła lub notatki i dokumenty. Wniosek o udzielenie informacji jest dla Ciebie w zasadzie bezpłatny. Wyjątkiem będzie sytuacja, gdy wniosek jest oczywiście bezzasadny lub gdy występuje nadmierne nagromadzenie wniosków. W takim przypadku za udzielenie informacji może zostać pobrana opłata.

Prawo do sprostowania

Prawo do sprostowania

Prawo do sprostowania wynika z art. 16 pr. aut. GDPR podświetlenie. Jeżeli zauważą Państwo, że Państwa dane osobowe są nieprawidłowe, mają Państwo prawo zażądać od agencji przetwarzającej natychmiastowego sprostowania Państwa danych. Należy to zrobić "bez zwłoki", czyli bez zawinionego wahania.

Prawo do sprostowania
"Osoba, której dane dotyczą, ma prawo do uzyskania od administratora niezwłocznego sprostowania dotyczących jej nieprawidłowych danych. Uwzględniając cele przetwarzania, osoba, której dane dotyczą, ma prawo do uzyskania uzupełnienia niekompletnych danych osobowych, w tym poprzez złożenie dodatkowego oświadczenia."

Prawo do usunięcia i ograniczenia przetwarzania danych

Usuwanie i ograniczanie przetwarzania danych

Tajemnica danych, dane osobowe, Art. 15 DSGVO, Podstawowe Rozporządzenie o Ochronie Danych, Rozporządzenie o Danych Osobowych, Prawo Informatyczne Prawnika, Prawo Informatyczne Prawnika, Ochrona Danych Osobowych Prawnika, Prawo Ochrony Danych Osobowych Prawnika

Przysługuje Pani/Panu również prawo do usunięcia lub ograniczenia przetwarzania danych wobec organu. Masz prawo do usunięcia i ograniczenia w szczególności, gdy przetwarzanie Twoich danych nie jest już konieczne lub ich zbieranie nie było zgodne z prawem, napisałeś odwołanie od przetwarzania lub wniosłeś sprzeciw wobec przetwarzania. Ponadto masz prawo, jeśli usunięcie jest konieczne ze względu na podstawy prawne lub nawet jeśli np. młoda osoba zarejestrowała się w sieci społecznościowej. Wszystkie podstawy do usunięcia danych można znaleźć w art. 17 GDPR.

Jako wyjątek od powyższego prawa należy wspomnieć, że usunięcie lub ograniczenie nie następuje, jeżeli przetwarzanie danych służy realizacji zadania publicznego lub interesowi publicznemu. Kolejnym wyjątkiem jest sytuacja, gdy przetwarzanie danych odbywa się na potrzeby badań naukowych, nauki lub statystyki i jest niezbędne. Jako przykład dla statystyki i sytuacji mieszkaniowej w Niemczech można wymienić bardzo aktualny "Census 2022". Udział w nim jest obowiązkowy, a za niedopełnienie obowiązku zgłoszenia grozi kara do 5.000,00 euro. W najbardziej skrajnym przypadku oddanie danych może być nawet egzekwowane.

W celu zagwarantowania bezpieczeństwa danych wszyscy pracownicy biur ankietowych podlegają tajemnicy zawodowej, a zbieranie danych online jest szyfrowane. Podobnie dane te nie są przekazywane osobom trzecim.

Jeżeli chcą Państwo uzyskać informacje od organu zgodnie z §15 DSGVO, wówczas należy poinformować Państwa o następujących kwestiach.

Pożądane prawo do informacji ma następującą treść

Treść prawa do informacji

  • Cel przetwarzania danych
    • jest to cel, do którego zmierza organ przy przetwarzaniu danych. Musi to być jasno i konkretnie określone.
  • Cel przekazania danych wraz z odbiorcami i kategoriami odbiorców
    • podmiot musi obligatoryjnie ujawnić, czy zamierza ujawnić Twoje dane osobowe podmiotowi trzeciemu.
  • Okres przechowywania i informacje dotyczące przechowywania
  • Zawiadomienie o prawach użytkownika
    • organ musi poinformować Cię o innych Twoich prawach. Są to wyznaczone prawa do sprostowania, usunięcia lub sprzeciwu lub wycofania zgody.
  • Odniesienie do automatycznego podejmowania decyzji
    • automatyczny proces podejmowania decyzji oznacza np. profilowanie.
  • Twoje dane osobowe
    • Mają Państwo również prawo do (elektronicznej) kopii danych osobowych.
  • Kategorie przetwarzanych danych
  • Źródło zbioru danych

Pożądane prawo do informacji nie ma następującej treści

Brakująca treść prawa do informacji

  • Dane kontaktowe administratora danych i jego inspektora ochrony danych
  • Podstawa prawna przetwarzania danych
    • Tutaj możliwe podstawy prawne to. GDPR lub BDSG.
  • Interesy, którymi kieruje się osoba odpowiedzialna
    • Dotyczy to interesów związanych z przetwarzaniem danych.
  • Intencja zmiany celu
  • Obowiązek przetwarzania

Granice informacji

Granice informacji

Prawo do informacji zgodnie z art. 15 GDPR w szczególności nie jest przyznawany bez ograniczeń. Granice dostępu to przede wszystkim prawa i wolności innych osób. W uproszczeniu dotyczy to danych osobowych osób trzecich lub tajemnic handlowych i biznesowych. Osoba udzielająca informacji nie zawsze i całkowicie może odmówić jej udzielenia. Logicznie rzecz biorąc, zawsze ma możliwość zaciemnienia danych osób trzecich lub tajemnic, aby wystarczająco chronić ich tożsamość. Dalsze ograniczenia mogą wynikać z federalnej ustawy o ochronie danych osobowych lub kodeksu społecznego X. 

Jednym z przykładów jest ochrona bezpieczeństwa publicznego. To z kolei oznacza ochronę pisanego porządku prawnego, państwa i jego instytucji, czy też indywidualnych interesów prawnych obywateli.

Ponadto istnieje obowiązek zachowania danych osobowych, jeśli są one wykorzystywane np. na podstawie przepisów prawa podatkowego lub handlowego. Co do zasady nie ma prawa do informacji, jeżeli wiąże się to z nieproporcjonalnie dużym wysiłkiem, a osoba udzielająca informacji może zapewnić celowość zabezpieczenia danych za pomocą odpowiednich środków technicznych lub organizacyjnych. Więcej szczegółów na temat ograniczenia prawa do informacji reguluje § 34 BDSG. 

Prawo do informacji nie istnieje, jeśli osoba, której dane dotyczą, nie ma być informowana lub jeśli dane nie mogą być usunięte ze względu na przepisy prawne lub jeśli są wykorzystywane wyłącznie do celów bezpieczeństwa danych lub kontroli ochrony danych. Oba warianty muszą wymagać nieproporcjonalnie dużego wysiłku, aby wniosek został odrzucony.

Jak mogę uzyskać informacje?

Otrzymywanie informacji

Samo żądanie, w tym prawo do informacji, może być sporządzone i złożone w odpowiednim urzędzie w formie nieformalnego wniosku bez konieczności uzasadnienia. Jeśli odwiedzisz urząd osobiście lub poprosisz o informacje telefonicznie, zazwyczaj nie będzie to przyznane lub możliwe. W przypadku zapytania telefonicznego zazwyczaj nie ma możliwości zapewnienia skutecznej identyfikacji osoby uprawnionej. Wynika to z zasady, że organ przetwarzający dane osobowe musi zapewnić, że dane te nie zostaną udostępnione nieuprawnionym osobom trzecim. 

Zatem wniosek do organu powinien być zawsze złożony w formie pisemnej lub za pomocą bezpiecznych środków elektronicznych, takich jak DE-Mail. Jeżeli organ ma obiektywnie uzasadnione wątpliwości co do tożsamości, może zażądać dodatkowych informacji w celu potwierdzenia tożsamości. Wynika to z art. 12 ust. 6 GDPR.

Zgodność z prawem przetwarzania danych
"Bez uszczerbku dla art. 11, jeśli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej wniosek na mocy art. 15-21, może zwrócić się o dodatkowe informacje niezbędne do potwierdzenia tożsamości podmiotu danych."

Nierzadko zdarza się, że w celu dokonania takiego potwierdzenia urząd, do którego kierowany jest wniosek, prosi o kopię dowodu osobistego. W ten sposób wnioskodawca zapewnia sobie przynajmniej możliwość sprawdzenia nazwiska, adresu i daty urodzenia. Nie musisz ujawniać swojego zdjęcia, narodowości ani numeru dowodu osobistego. Dane te mogą zostać zredagowane w przypadku żądania okazania dowodu osobistego. Urząd musi zapewnić, że dane z dokumentu tożsamości są wykorzystywane tylko do sprawdzenia tożsamości i nie są umieszczane w bazie danych urzędu. Przy składaniu wniosku jest więc szczególnie wskazane, abyś dokładnie opisał, jakie informacje chcesz otrzymać i o czym. Dzięki temu możliwe jest szybsze i przede wszystkim bardziej ukierunkowane pozyskiwanie informacji.

Co w przypadku, gdy informacja zostanie ostatecznie odrzucona?

Odmowa udzielenia informacji

Rzadko, ale jednak można sobie wyobrazić ostateczną odmowę udzielenia informacji osobie fizycznej. W takich przypadkach przysługuje Państwu prawo wniesienia skargi do właściwego organu nadzorczego zajmującego się ochroną danych osobowych. Ważne jest, abyś do skargi dołączył korespondencję, którą prowadziłeś z urzędem do tego momentu. Dlatego ważne jest, abyś zachował tę korespondencję. Również z tego powodu zawsze wskazane jest powstrzymanie się od składania zapytań do organu telefonicznie lub osobiście. Właściwym organem nadzorczym, na przykład dla kraju związkowego NRW, jest LDI (Państwowy Komisarz ds. Ochrony Danych i Wolności Informacji).

Częste błędy popełniane przez organy w kontekście wniosku o udzielenie informacji na podstawie art. 15 GDPR polegają na tym, że wniosek o udzielenie informacji jest po prostu ignorowany, odpowiedź obejmuje jedynie dane podstawowe, wniosek nie jest przekazywany w ramach organu lub informacje nie są udzielane w terminie.

Procedura składania wniosków o udzielenie informacji

Procedura składania wniosków o udzielenie informacji

Tajemnica danych, dane osobowe, Art. 15 DSGVO, Podstawowe Rozporządzenie o Ochronie Danych, Rozporządzenie o Danych Osobowych, Prawo Informatyczne Prawnika, Prawo Informatyczne Prawnika, Ochrona Danych Osobowych Prawnika, Prawo Ochrony Danych Osobowych Prawnika

W przypadku żądania informacji na podstawie art. 15 GDPR jest wymagana, to zwykła procedura może być podzielona na różne fazy. W fazie 1 wniosek o udzielenie informacji wysyłany jest do wyznaczonego urzędu. W ramach urzędu wniosek jest przekazywany do odpowiedzialnego pracownika. Faza 2 polega zazwyczaj na sprawdzeniu tożsamości wnioskodawcy. Faza 3 to faza przetwarzania, w której gromadzone są wszystkie informacje o danych osobowych. Faza 4 to odpowiedź, zwykle w ciągu miesiąca. W fazie 5 następuje zakończenie procedury i konsekwencją jest dokumentacja z oznaczeniem i okresem przechowywania.

Informacja za pośrednictwem radcy prawnego

Pomoc radcy prawnego

Zgodnie z art. 15 GDPR wniosek o udzielenie informacji jest zawsze czymś, z czego mogą skorzystać tylko osoby, których dane dotyczą. Jest to roszczenie osobiste. Nie ma jednak nic przeciwko reprezentacji, na przykład przez zaufanego prawnika. Ponieważ informacje te są danymi osobowymi, dany prawnik musi zawsze uzyskać pełnomocnictwo i przedstawić je organowi. Chodzi zatem o specyficzną legitymizację przedstawiciela wobec agencji. 

Pełnomocnictwo udzielone adwokatowi musi zatem odnosić się konkretnie do pożądanego prawa do informacji z art. 15 GDPR odsyłam do. Wynik informacji jest następnie przekazywany również do prawnika. Ponieważ nie ma wymagań co do samego pełnomocnictwa, może być ono wystawione w formie pisemnej, elektronicznej lub ustnej. Aby zapewnić powodzenie wniosku o udzielenie informacji, właściwy organ zawsze poprosi o niezbędne pełnomocnictwo od osoby wnioskującej o udzielenie informacji. Nie może to jednak prowadzić do utrudniania żądania osobie zainteresowanej, skoro sama nie chce go dochodzić.

Roszczenie o odszkodowanie i zadośćuczynienie za ból i cierpienie

Odszkodowanie i zadośćuczynienie za ból i cierpienie

Strona GDPR stanowi również, że informacje te, podobnie jak poprawianie i usuwanie danych, muszą być udzielane niezwłocznie. Musi to jednak nastąpić najpóźniej w ciągu miesiąca. Jeśli tak nie jest, mogą z tego wyniknąć roszczenia o zadośćuczynienie za ból i cierpienie lub odszkodowanie. Jest to regulowane porównawczo przez art. 12 (3) GDPR.

Przejrzyste informacje [...] osoby, której dane dotyczą
"Administrator udziela osobie, której dane dotyczą, informacji o środkach podjętych na jej żądanie zgodnie z art. 15-22 niezwłocznie, a w każdym razie w terminie jednego miesiąca od otrzymania wniosku. W razie potrzeby termin ten może zostać przedłużony o dwa miesiące, biorąc pod uwagę złożoność i liczbę wniosków. Administrator informuje osobę, której dane dotyczą, o każdym przedłużeniu terminu, wraz z uzasadnieniem opóźnienia, w ciągu jednego miesiąca od otrzymania wniosku. Jeżeli osoba, której dane dotyczą, składa wniosek drogą elektroniczną, jest informowana w miarę możliwości drogą elektroniczną, chyba że wskaże inaczej."

Jeżeli właściwy organ narusza ten obowiązek, stanowi to naruszenie prawa, które zgodnie z przepisami GDPR może skutkować nałożeniem grzywny na organ, a także roszczeniem o odszkodowanie lub zadośćuczynienie za ból i cierpienie (krzywdę) wobec osoby, której dane dotyczą. Wynika to z art. 82 GDPR.

Odpowiedzialność i prawo do odszkodowania
"Każda osoba, która poniosła szkodę materialną lub niematerialną w wyniku naruszenia niniejszego rozporządzenia, jest uprawniona do odszkodowania od administratora lub podmiotu przetwarzającego".

Orzeczenie sądu pracy w Düsseldorfie

Decyzja ArbG Düsseldorf

Sąd Pracy w Düsseldorfie orzekł już, że istnieje roszczenie o odszkodowanie z powodu nieudzielenia informacji lub niewystarczających informacji zgodnie z art. 15 GDPR. Ustalono, że z uwagi na dwumiesięczne opóźnienie odpowiednia jest kwota 500,00 € tytułem odszkodowania. Za kolejne trzy miesiące zwłoki odszkodowanie za ból i cierpienie wyniosło po 1.000,00 euro, a za nieodpowiednią informację, co do treści, kolejne 500,00 euro w dwóch przypadkach. Pozwany musiał zatem zapłacić zainteresowanemu 5.000,00 €. Do przeczytania pod: ArbG Düsseldorf, ZD 2020,649.

Finał

Podsumowując, można powiedzieć, że w odniesieniu do informacji wymaganych na podstawie ogólnego rozporządzenia o ochronie danych (GDPR) zawsze zalecana jest porada prawna, jeśli informacje nie zostały przekazane w ogóle, zbyt późno lub w sposób nieodpowiedni. 

Ponadto w szczególnie złożonych przypadkach zaleca się bezpośrednią konsultację z prawnikiem, aby mógł on złożyć wniosek o udzielenie informacji zgodnie z art. 15 GDPR. Istnieje możliwość, że jak już wspomniano wyżej, powstaną roszczenia o odszkodowanie lub zadośćuczynienie za ból i cierpienie, których prawnik może dochodzić na drodze postępowania sądowego. Daje to również pewność, że właściwy organ będzie w przyszłości właściwie postępował z Twoimi danymi osobowymi.

Chętnie będziemy dla Państwa właściwym kontaktem i w pełni zajmiemy się Państwa problemami związanymi z ochroną danych osobowych.

Potrzebujesz prawnika z zakresu prawa IT lub prawa ochrony danych osobowych?

To skontaktuj się z nami

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Kancelaria prawna zajmująca się prawem IT i ochroną danych w Kerpen, Kolonii i Witten

Prawnik - prawo pracy | prawo karne | prawo IT | ochrona danych osobowych