Datasekretess/personuppgifter

enligt artikel 15 i GDPR

Advokatbyrå för IT-rätt och dataskyddsrätt i Kerpen, Köln och Witten

IT-rätt och dataskyddsrätt | Stark partner för arbetstagare och arbetsgivare

Datasekretess & personuppgifter

Advokatbyrå för IT-rätt och dataskyddsrätt i Kerpen, Köln och Witten

Advokat för - Arbetsrätt | Straffrätt | IT-rätt | Dataskydd

Allmän datasekretess är förankrad i den federala dataskyddslagen och är gemensamt tillämplig med den allmänna dataskyddsförordningen. I samband med användningen av personuppgifter är insamling och användning av sådana uppgifter endast tillåten om den federala dataskyddslagen eller andra rättsliga normer uttryckligen tillåter eller föreskriver detta eller om den registrerade har gett sitt samtycke till användningen. 

Eftersom användningen förutsätter tillstånd, är det inte tillåtet att samla in uppgifterna utan tillstånd, behandla dem i efterhand eller använda och sprida dem. I samband med ett anställningsförhållande och en verksamhet som innebär användning av uppgifterna finns det också ett förbud om du inte längre arbetar för arbetsgivaren och inte längre utövar din verksamhet. Ett exempel på detta skulle vara en aktivitet inom ramen för en personalposition.

Man måste därför skilja mellan dataskyddsdirektiv, dataskyddslagar och dataskyddsförordningar. Ett dataskyddsdirektiv ger en viss riktning, vilket leder till en dataskyddslag som BDSG (Federal Data Protection Act) på nationell nivå. Dataskyddslagen skiljer sig därför från land till land och kan alltid vara något annorlunda. Inom ramen för dataskyddsbestämmelserna är dessa emellertid lika bindande på internationell nivå för alla europeiska länder och EU-medlemsstater och är därför skyldiga att följa denna förordning.

Den tyska federala dataskyddslagen har funnits i sin nuvarande form sedan 2018, efter att ha antagits som en del av den allmänna dataskyddsförordningen och ytterligare specificerat denna europeiska förordning. Som ett resultat av detta formulerades uttryckliga föreskrifter och särskilda bestämmelser för Tyskland. Den federala dataskyddslagen reglerar till exempel innehåll som GDPR (General Data Protection Regulation) eller har lämnat den särskilt öppen. Det finns dock även uttryckliga dataskyddslagar på delstatsnivå, t.ex. DSG NRW (dataskyddslagen NRW).

Det råder ingen tvekan om att beaktandet av GDPR (General Data Protection Regulation) är fortfarande spännande i detta avseende, eftersom den ger dig personlig rätt att begära information om dessa uppgifter från de organisationer som behandlar dina personuppgifter.

Rätt till information i enlighet med artikel 15 i GDPR

Information i enlighet med artikel 15 i GDPR

Den Artikel 15 i den allmänna dataskyddsförordningen garanterar varje individ en viktig rättighet. Enligt denna artikel har registrerade rätt att begära information från ett företag eller en organisation om vilka uppgifter som lagras eller behandlas om dem. I de flesta fall får den registrerade också information om syftet med behandlingen, uppgifternas ursprung eller mottagaren av uppgifterna. 

Rätten till information finns gentemot offentliga organ som myndigheter och alla andra organ som företag, föreningar eller klubbar. Syftet med denna information bör vara att få en allmän överblick och en viss kontroll över vilka exakta uppgifter som behandlas och lagras.

Vad innebär rätten till information?

Innehållet i rätten till information

Art. 15 GDPR skapar en grund för dig att hävda specifika rättigheter såsom rätten till rättelse, radering, begränsning av behandling eller rätten att invända mot behandling. Det är därför möjligt att få information från den personuppgiftsansvarige om huruvida uppgifter behandlas och, om så är fallet, vilka uppgifter som behandlas. Detta inkluderar uppgifter som rör personen. Ytterligare information finns i artikel 4.1 nr 1 i dataskyddsförordningen. GDPR.

Definitioner
"Personuppgifter" [avser] all slags information som avser en identifierad eller identifierbar fysisk person (nedan kallad den registrerade); en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet."

Begreppet data utvidgas därför och avser inte bara en persons stamdata, såsom namn, adress eller födelsedatum. Uppgifter som kommunikation som redan har avslutats eller anteckningar och dokument påverkas också. Begäran om information är i allmänhet kostnadsfri för dig. Ett undantag från detta är om begäran är uppenbart ogrundad eller om det finns en alltför stor anhopning av förfrågningar. En avgift kan då tas ut för informationen.

Rätt till rättelse

Rätt till rättelse

Rätten till rättelse följer av artikel 16 i GDPR ut. Om du upptäcker att dina personuppgifter är felaktiga har du rätt att kräva att den behandlande organisationen omedelbart rättar dina uppgifter. Detta måste ske "utan onödigt dröjsmål", dvs. utan klandervärd tvekan.

Rätt till rättelse
"Den registrerade skall ha rätt att av den registeransvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av syftet med behandlingen ska den registrerade ha rätt att få ofullständiga personuppgifter kompletterade, inbegripet genom att lämna en kompletterande redogörelse."

Rätt till radering och begränsning av behandling

Radering och begränsning av behandling

Datasekretess, personuppgifter, Art. 15 GDPR, General Data Protection Regulation, dataförordning, jurist IT-rätt, jurist IT-rätt, jurist dataskydd, jurist dataskyddsrätt, jurist dataskyddsrätt, jurist dataskyddsrätt, jurist dataskyddsrätt

Du har också rätt till radering eller begränsning av behandlingen gentemot organet. Du har rätt till radering och begränsning i synnerhet om behandlingen av dina uppgifter inte längre är nödvändig eller insamlingen inte var laglig, du har skrivit en uppsägning mot behandlingen eller har lämnat in en invändning mot behandlingen. Du har också denna rätt om raderingen krävs av rättsliga skäl eller om till exempel en ung person har registrerat sig i ett socialt nätverk. Alla skäl för radering finns i artikel 17 i dataskyddsförordningen.

Som ett undantag från ovan nämnda rättighet måste det nämnas att radering eller begränsning inte sker om behandlingen av uppgifterna tjänar en offentlig uppgift eller det allmänna intresset. Ett annat undantag är om behandlingen av uppgifterna utförs i syfte att bedriva forskning, vetenskap eller statistik och är nödvändig. Den aktuella "folkräkningen 2022" kan nämnas som ett exempel på statistik och bostadssituationen i Tyskland. Deltagande i detta är obligatoriskt och underlåtenhet att följa anmälan kan bestraffas med upp till 5 000,00 euro. I extrema fall kan det till och med krävas att uppgifterna lämnas ut.

För att garantera datasäkerheten har alla anställda vid undersökningscentren tystnadsplikt och datainsamlingen online är krypterad. Uppgifterna vidarebefordras inte heller till tredje part.

Om du vill få information från ett organ i enlighet med avsnitt 15 i GDPR, måste du informeras om följande.

Den önskade rätten till information har följande innehåll

Innehållet i rätten till information

  • Syftet med behandlingen
    • Detta är det syfte som organisationen eftersträvar med databehandlingen. Detta måste anges tydligt och specifikt.
  • Avsikten med överföringen samt mottagare och kategorier av mottagare
    • Organisationen måste ange om den avser att vidarebefordra dina personuppgifter till en tredje part.
  • Lagringstid och lagringsinformation
  • Hänvisning till dina rättigheter
    • Organet måste informera dig om dina övriga rättigheter. Dessa är de ovan nämnda rättigheterna till rättelse, radering, invändning eller återkallande av samtycke.
  • Hänvisning till automatiserat beslutsfattande
    • Automatiserat beslutsfattande avser t.ex. profilering.
  • Dina personuppgifter
    • Du har också rätt till en (elektronisk) kopia av personuppgifterna.
  • Kategorier av uppgifter som behandlas
  • Källa till databasen

Den begärda rätten till information omfattar inte följande

Saknat innehåll i rätten till information

  • Kontaktuppgifter till den personuppgiftsansvarige och dennes dataskyddsombud
  • Rättslig grund för behandlingen
    • tänkbara rättsliga grunder här är GDPR eller BDSG.
  • Den personuppgiftsansvariges intressen
    • Detta avser intressen i databehandling.
  • Avsikten med ändringen av syftet
  • Skyldighet att behandla

Begränsningar av informationen

Begränsningar av informationen

Rätten till information i enlighet med artikel 15 GDPR är uttryckligen inte beviljad utan begränsning. Gränserna för informationen är i första hand andra personers fri- och rättigheter. Enkelt uttryckt handlar det om tredje mans personuppgifter eller affärs- och yrkeshemligheter. Den person som tillhandahåller informationen kan inte alltid vägra att tillhandahålla informationen helt och hållet. Logiskt sett har han eller hon alltid möjlighet att mörka uppgifter om tredje part eller hemligheter för att skydda sin identitet på ett adekvat sätt. Ytterligare begränsningar kan följa av den federala dataskyddslagen eller socialförsäkringslagen X. 

Ett exempel på detta är skyddet av den allmänna säkerheten. Detta hänvisar i sin tur till skyddet av den skriftliga rättsordningen, staten och dess institutioner eller medborgarnas enskilda rättsliga intressen.

Dessutom finns det en skyldighet att behålla personuppgifter om de används, till exempel på grund av skatte- eller handelsrättsliga bestämmelser. I regel finns det ingen rätt till information om detta är förknippat med en oproportionerligt hög ansträngning och den person som tillhandahåller informationen kan säkerställa ändamålsbegränsningen av säkerhetskopieringen av uppgifterna genom lämpliga tekniska eller organisatoriska åtgärder. I avsnitt 34 BDSG regleras ytterligare detaljer om begränsningen av rätten till information. 

Rätten till information föreligger inte om den registrerade inte ska informeras eller om uppgifterna inte får raderas på grund av rättsliga bestämmelser eller om de uteslutande används för säkerhetskopiering eller kontroll av dataskydd. För att begäran ska kunna avslås måste båda varianterna kräva en oproportionerligt stor ansträngning.

Hur får jag min information?

Mottagande av information

Du kan göra och lämna in själva ansökan, där du anger din rätt till information, i en informell ansökan till det berörda kontoret utan att behöva ange några skäl. Om du går till kontoret personligen eller ber om information per telefon kommer detta i allmänhet inte att beviljas eller vara möjligt. Vid en telefonförfrågan är det vanligtvis inte möjligt att säkerställa att den behöriga personen kan identifieras. Detta följer av principen att det organ som behandlar personuppgifterna måste se till att uppgifterna inte lämnas ut till obehöriga tredje parter. 

Ansökan till organet bör därför alltid göras skriftligen eller via säker elektronisk form, t.ex. DE-Mail. Om organet har ett objektivt motiverat tvivel om identiteten kan det begära ytterligare information för att bekräfta identiteten. Detta anges i artikel 12.6 i dataskyddsförordningen.

Behandlingens laglighet
"Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga tvivel om identiteten hos den fysiska person som gör den begäran som avses i artiklarna 15-21, begära ytterligare information som är nödvändig för att bekräfta den registrerades identitet."

Det är t.ex. inte ovanligt att den begärande organisationen ber om en kopia av identitetskortet för att kunna göra en sådan bekräftelse. På så sätt säkerställer den sökande åtminstone att namn, adress och födelsedatum kan kontrolleras. Du behöver inte uppge bild, nationalitet eller ID-kortnummer. Dessa uppgifter kan vara överstrukna när ID-kortet begärs ut. Centret måste se till att uppgifterna från ID-handlingen endast används för att kontrollera din identitet och inte ingår i centrets databas. När du gör en ansökan är det därför särskilt tillrådligt att du beskriver exakt vilken information du vill få och om exakt vad. Detta möjliggör snabbare och framför allt mer målinriktad information.

Vad händer om informationen slutligen avvisas?

Vägran att lämna information

En slutlig vägran att tillhandahålla information till den fysiska personen är sällsynt, men ändå tänkbar. I sådana fall är du fri att lämna in ett klagomål till den behöriga tillsynsmyndigheten för dataskydd. Det är viktigt att du bifogar den korrespondens du har haft med myndigheten fram till dess med ditt klagomål. Det är därför viktigt att du sparar detta. Även av detta skäl är det alltid tillrådligt att avstå från att kontakta organet per telefon eller personligen. Den behöriga tillsynsmyndigheten, t.ex. för delstaten Nordrhein-Westfalen, är LDI (delstatens kommissionär för dataskydd och informationsfrihet).

Vanliga fel som myndigheterna gör i samband med en begäran om information i enlighet med artikel 15 i GDPR är att begäran om information helt enkelt ignoreras, svaret endast innehåller stamdata, begäran inte vidarebefordras inom myndigheten eller att informationen inte tillhandahålls i god tid.

Förfarande för att begära information

Förfarande för att begära information

Datasekretess, personuppgifter, Art. 15 GDPR, General Data Protection Regulation, dataförordning, jurist IT-rätt, jurist IT-rätt, jurist dataskydd, jurist dataskyddsrätt, jurist dataskyddsrätt, jurist dataskyddsrätt, jurist dataskyddsrätt

Om information enligt artikel 15 GDPR begärs kan det ordinarie förfarandet delas in i olika faser. I fas 1 skickas begäran om information till det utsedda kontoret. Inom kontoret vidarebefordras ansökan till den ansvarige medarbetaren. Fas 2 innebär vanligtvis att en identitetskontroll utförs på den sökande. Fas 3 är bearbetningsfasen, där all personuppgiftsinformation sammanställs. Fas 4 är svarsfasen, vanligtvis inom en månad. I fas 5 avslutas förfarandet och en dokumentation med definition och lagringstid är resultatet.

Information från juridisk rådgivare

Hjälp från juridisk rådgivare

Enligt artikel 15 i GDPR är en begäran om information alltid något som endast registrerade personer kan använda sig av. Detta är ett personligt anspråk. Inget talar dock emot representation, t.ex. av en betrodd advokat. Eftersom informationen rör personuppgifter måste advokaten i fråga alltid inhämta en fullmakt och visa upp denna på kontoret. Det är alltså fråga om en särskild legitimering av företrädaren gentemot organet. 

En fullmakt som ges till advokaten måste därför uttryckligen hänvisa till den önskade rätten till information i enlighet med artikel 15 GDPR hänvisa. Resultatet av informationen skickas sedan också till advokaten. Eftersom det inte finns några krav på själva fullmakten kan den utfärdas skriftligen, elektroniskt eller muntligen, till exempel. För att säkerställa att begäran om information är framgångsrik kommer den behöriga myndigheten alltid att be om det nödvändiga tillståndet från den person som begär informationen. Detta får dock inte leda till att begäran försvåras för den berörda personen om denne inte själv vill framföra den.

Anspråk på skadestånd och ersättning för sveda och värk

Ersättning för skador och sveda och värk

Den GDPR föreskriver också att informationen, liksom korrigering och radering av uppgifterna, måste tillhandahållas omedelbart. Detta måste dock ske senast inom en månad. Om så inte är fallet kan det leda till krav på ersättning för sveda och värk eller skadestånd. Detta regleras på motsvarande sätt i artikel 12.3 i GDPR.

Transparent information [...] till den registrerade
"Den personuppgiftsansvarige ska på begäran ge den registrerade information om de åtgärder som vidtagits i enlighet med artiklarna 15-22. omedelbart, men under alla omständigheter inom en månad från mottagandet av ansökan. Denna period får förlängas med två månader om det är nödvändigt med hänsyn till komplexiteten och antalet förfrågningar. Den personuppgiftsansvarige ska informera den registrerade om varje förlängning av tidsfristen inom en månad från mottagandet av begäran, tillsammans med skälen till förseningen. Om den registrerade lämnar in sin begäran elektroniskt ska han eller hon om möjligt informeras på elektronisk väg, såvida han eller hon inte anger något annat."

Om det ansvariga organet bryter mot denna skyldighet utgör detta en överträdelse av lagen, vilket enligt bestämmelserna i GDPR kan leda till både böter mot organet och ett skadeståndsanspråk eller ersättning för sveda och värk (ideell skada) mot den registrerade. Detta följer av artikel 82 i GDPR.

Ansvar och rätt till ersättning
"Den som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet".

Beslut av Düsseldorf Labour Court

Beslut ArbG Düsseldorf

Arbetsdomstolen i Düsseldorf har redan beslutat att det finns ett krav på skadestånd på grund av underlåtenhet att tillhandahålla information eller otillräcklig information i enlighet med artikel 15 i GDPR. Den fann att ett belopp på 500,00 euro i ersättning var lämpligt i varje fall på grund av en försening på två månader. För ytterligare tre månaders försening var ersättningen 1 000,00 euro i varje fall och ytterligare 500,00 euro i två fall för otillräcklig information om innehållet. Svaranden skulle därför betala 5 000,00 euro till den berörda personen. Att läsas under skylten: ArbG Düsseldorf, ZD 2020 649.

Avslutning

Sammanfattningsvis kan sägas att juridisk rådgivning alltid rekommenderas med avseende på den information som begärs enligt den allmänna dataskyddsförordningen (GDPR) om informationen inte har skickats alls, har skickats för sent eller har skickats på ett bristfälligt sätt. 

I särskilt komplicerade fall är det dessutom tillrådligt att vända sig direkt till en advokat så att denne kan lämna in begäran om information i enlighet med artikel 15 i GDPR. Som redan nämnts ovan finns det en möjlighet att skadeståndsanspråk eller ersättning för smärta och lidande kan uppstå, vilket kan hävdas av en advokat i domstolsförfaranden. Detta säkerställer också att det ansvariga organet hanterar dina personuppgifter korrekt i framtiden.

Vi är glada att kunna vara rätt kontakt för dig och kommer att ta full hänsyn till dina önskemål om skydd av personuppgifter.

Behöver du en advokat inom IT-rätt eller dataskyddsrätt?

Kontakta oss då

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Advokatbyrå för IT-rätt och dataskyddsrätt i Kerpen, Köln och Witten

Advokat för - Arbetsrätt | Straffrätt | IT-rätt | Dataskydd

sv_SESvenska