Nowelizacja przepisów niemieckiej federalnej ustawy o ochronie danych osobowych ma na celu wzmocnienie obowiązującego poziomu ochrony danych osobowych. Omawiamy proponowane zmiany i wskazujemy na ich wpływ na działalność przedsiębiorstw.
Od 28 maja 2018 r. w krajach Unii Europejskiej obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: RODO), które ujednoliciło przepisy dotyczące przetwarzania danych osobowych osób fizycznych.
W Niemczech unijny poziom ochrony danych osobowych uzupełnia dodatkowo federalna ustawa o ochronie danych osobowych (Bundesdatenschutzgesetz, dalej jako: BDSG). BDSG jest obecnie nowelizowana w celu standaryzacji i wzmocnienia ochrony danych.
Planowane zmiany:
Konferencja Ochrony Danych (DSK)
Organ nadzorczy ds. ochrony danych ma zostać wzmocniony w swojej roli podmiotu koordynującego organy ochrony danych poprzez wprowadzenie stosownych norm prawnych w § 16a BDSG.
Planowana zmiana przewiduje, że federalne i krajowe organy nadzorcze utworzą Konferencję Niezależnych Federalnych i Krajowych Organów Nadzorczych Ochrony Danych (Konferencja Ochrony Danych). Wymienienie wszystkich federalnych i stanowych organów nadzorczych w § 16a bez rozróżnienia na podmioty publiczne i niepubliczne uwzględnia między innymi fakt, że mogą istnieć różne organy nadzorcze dla podmiotów publicznych i niepublicznych w danym kraju.
Ustawa nie zawiera jednak przepisu dotyczącego prawnie wiążącego charakteru decyzji DSK, ponieważ naruszałoby to ograniczenia konstytucyjne wynikające z zakazu administracji mieszanej.
Podstawa prawna scoringu kredytowego
W artykule pt. ,,Bardziej rygorystyczne zasady dla scoringu kredytowego (Kreditscoring)‘‘, informowaliśmy Państwa o tym, że TSUE uznał, iż obecny scoring Schufy narusza regulację RODO. W związku z tym, wprowadzenie § 37a BDSG ma na celu stworzenie podstawy prawnej dla scoringu kredytowego, a tym samym zapewnienie większej przejrzystości i uniknięcie wystąpienia zjawiska dyskryminacji.
Ponieważ procedury scoringowe mogą mieć daleko idący wpływ na decyzję o tym, czy i na jakich warunkach osoba, której dane dotyczą, uzyska dostęp do określonych stosunków umownych i usług, ważne jest, aby dokładnie przeanalizować wymogi określone w § 37a BDSG dotyczące jakości statystycznej i istotności wykorzystywanych danych. Dane muszą być dokładnie sprawdzone. Przegląd ten powinien zostać przeprowadzony przez zewnętrzny, niezależny organ, tak jak w przypadku systemów sztucznej inteligencji wysokiego ryzyka.
Wzmocnienie prawa do informacji
Zmiana § 34 BDSG ma na celu wzmocnienie prawa do informacji zgodnie z art. 15 RODO. § 34 BDSG powinien wyjaśniać, że prawo dostępu na mocy art. 15 RODO nie może być ograniczone przez prawo prywatne, a jedynie przez regulacje prawa publicznego.
Wyjaśnienie konieczności zastosowania krajowego punktu odniesienia
Projekt ustawy zawierający potrzebę zmiany w § 1, wskazuje, że BDSG ma zastosowanie tylko wtedy, gdy przetwarzanie danych ma związek krajowy. Planowana zmiana dotyczy również przeformułowania dotychczasowej treści przepisu, w zakresie stwierdzenia, że § 1 BDSG jest skierowany tylko do organów niepublicznych.
Jeden punkt kontaktowy dla przedsiębiorstw
Aby zapewnić lepsze egzekwowanie przepisów i spójność, przedsiębiorstwa oraz instytucje badawcze realizujące projekty międzynarodowe powinny mieć możliwość podlegania tylko jednemu krajowemu organowi nadzorczemu ds. ochrony danych.
Monitoring wizyjny
Możliwość stosowania monitoringu wizyjnego miejsc publicznych na podstawie § 4 ust. 1 BDSG ma być obecnie ograniczona do podmiotów publicznych. Podmioty prywatne zaś jako postawę prawną do wykorzystywania monitoringu będą mogły podawać wyłącznie art. 6 ust. 1 lit. f RODO.
Zgodnie z proponowaną nowelizacją, obserwacja przestrzeni publicznie dostępnych za pomocą sprzętu optyczno-elektronicznego (monitoring wizyjny) przez organy publiczne będzie dozwolona wyłącznie w zakresie, w jakim jest to niezbędne do realizacji ich zadań, w tym wykonywania władzy publicznej, i nie zachodzą przesłanki przemawiające za uwzględnieniem zasługujących na ochronę interesów osób zainteresowanych.
Zakładowy inspektor ochrony danych
Komisja Spraw Wewnętrznych Rady Federalnej zaproponowała zniesienie obowiązku powoływania inspektorów ochrony danych w przedsiębiorstwach. Zwolennicy zniesienia powyższego wymogu uzasadniają swoje stanowisko ogólnym celem przyjętego rozporządzenia UE, zgodnie z którym małe i średnie przedsiębiorstwa nie powinny być nadmiernie obciążone biurokracją. Co więcej, w zakresie ochrony danych osobowych należy przyjąć podejście oparte na ryzyku, podczas gdy wymóg prawny 20 pracowników stanowi limit, który jest całkowicie niezależny od jakiegokolwiek ryzyka. Propozycja ta nie została jednak przyjęta. W związku z tym obowiązujące przepisy § 37 BDSG pozostają w mocy.
Grau Rechtsanwälte PartGmbB doradza przedsiębiorstwom w zakresie ochrony danych, również jako zewnętrzny inspektor ochrony danych.
W przypadku dalszych pytań prosimy o kontakt z naszą kancelarią pod numerem +49 (0) 40 180 364 020 lub office@graulaw.eu.
