Zasady i priorytety ochrony danych osobowych w Niemczech

Dyskusje nad tematem ochrony danych osobowych rozpoczęły się w Niemczech stosunkowo wcześnie. Debata w Stanach Zjednoczonych i uchwalenie „Privacy Act” wzbudziły zainteresowanie wszystkich rozwijających się krajów, również Niemiec. Pierwszy, bo już w 1970 roku, zareagował kraj związkowy Hessen przedstawiając gotową ustawę, będącą wprowadzeniem do debaty nad prawem ochrony danych osobowych. Później, bo dopiero w 1978 roku weszła w życie ustawa na poziomie krajowym. Ustawa obligowała instytucje publiczne oraz przedsiębiorstwa prywatne do przestrzegania konkretnych zasad przy przetwarzaniu danych osobowych, wprowadziła mechanizmy kontrolne, a przede wszystkim podniosła ochronę danych osobowych do rangi prawa obywatelskiego. W jej następstwie powstawały ustawy w krajach związkowych. Świadomość społeczeństwa w zakresie ochrony danych osobowych wzrosła bardzo szybko, bowiem w wyniku planowanego w 1983 roku spisu powszechnego do Federalnego Trybunału Konstytucyjnego wpłynęło ponad 1000 zażaleń. Z uwagi na fakt, iż ustawa zasadnicza Republiki Federalnej Niemiec nie podejmuje problematyki ochrony danych osobowych, wyrok o spisie powszechnym zajmuje poczesne miejsce w praktyce prawa niemieckiego i jest dziś często cytowany. Podniósł on, bowiem prawo jednostki do decydowania o przekazywaniu i używaniu jej danych osobowych do rangi prawa podstawowego.

Inaczej postąpiły kraje związkowe, które w swoich konstytucjach podjęły tematykę ochrony danych osobowych (np. Berlin w art. 33, Bremen w art. 12). Na poziomie krajowym ochronę danych osobowych reguluje ustawa o ochronie danych osobowych (dalej BDSG). Prawo ochrony danych osobowych opiera się, jednak na większej liczbie ustaw. Są to ustawy o ochronie danych osobowych poszczególnych krajów związkowych, ustawa „Telemediengesetz” oraz prawo Unii Europejskiej. Istnieje, również wiele ustaw szczególnych, które w ostatnich latach, uzupełniły przedmiotową materie, np. ustawy o Policji w krajach związkowych.

Zasady ochrony danych osobowych zostały wytyczone przez debatę o Privacy Act w Stanach Zjednoczonych, po czym stały się standardem na skalę światową. Ustawodawstwo i praktyka w Niemczech wykształciły również swoje własne, podstawowe priorytety dotyczące ochrony danych osobowych. Są to przede wszystkim:

  •  Zasada dobrej wiary zgodnie, z którą niedopuszczalne są formy przetwarzania i pozyskiwania danych osobowych uchybiające godności człowieka, np. pozyskiwanie danych zdobytych za pomocą groźby, czy wprowadzenia w błąd.
  • Zasada prawidłowości danych osobowych, która oznacza, że strona przetwarzająca dane jest zobowiązana nie tylko do przetwarzania prawidłowych danych, ale także do regularnego sprawdzania ich zgodności.
  • Zasada zgodności celu traktuje, że dane w zasadzie powinny być przetwarzane do zrealizowania celu, do którego zostały pozyskane.
  • Zasada niedyskryminacji jest związana z danymi szczególnie wrażliwymi. Dane mogące doprowadzić do dyskryminacji podmiotu danych osobowych mogą być przetwarzane jedynie przy spełnieniu wąsko określonych przesłanek (zgodnie z § 3 pkt. 9 BDSG są to informacje o życiu seksualnym, poglądach politycznych, czy filozoficznych). W związku z powyższym zaostrzone zostały wymagania dotyczące wyrażania zgody na pozyskiwanie, przetwarzanie, czy korzystanie z tzw. wrażliwych danych osobowych, przez wymóg wyraźnego odniesienia zgody do tychże danych (par. 4a pkt. 3).
  • Zasada nieprzetwarzania danych osobowych, czy też zasada konieczności. Zgodnie z § 4 BDSG pozyskiwanie, przetwarzanie, albo korzystanie z danych osobowych jest dopuszczalne tylko wówczas, gdy powyższa ustawa albo inne przepisy prawa na to zezwalają, bądź istnieje zgoda podmiotu danych. Ponadto dane można pozyskiwać, przetwarzać oraz korzystać z nich jedynie wówczas, gdy istnieje taka konieczność.
  • Zasada unikania danych i ich oszczędności, została określona w § 3a BDSG. Kwestią szczególnie istotną jest właściwy wybór i organizacja systemów przetwarzających dane osobowe. Powinny one zbierać i przetwarzać możliwie mało danych osobowych. Ponadto dane osobowe powinny być usuwane, gdy nie są już potrzebne (należy jednak pamiętać, że w niektórych przypadkach przepisy prawa nakazują dłuższe przechowywanie danych np. w prawie podatkowym do 10 lat).

W realizacji zasady oszczędności pomocne mogą być dwie, określone w § 3 BDSG, możliwości: czynienie danych anonimowymi lub opatrzenie danych pseudonimem. Czynienie danych anonimowymi jest taką zmianą danych osobowych, po której nie jest już możliwe ich przyporządkowanie do określonej osoby. Z kolei opatrzenie danych pseudonimem polega na zamianie imienia, nazwiska, bądź innych charakterystycznych informacji przez pseudonim lub kod, aby wyłączyć lub dodatkowo utrudnić identyfikację podmiotu ochrony danych osobowych. Z uwagi na fakt, że po opatrzeniu danych pseudonimem, w dalszym ciągu możliwe jest przyporządkowanie ich do określonej osoby, kategoria ta podlega w dalszym ciągu pod ustawę prawo ochrony danych osobowych.

  •  Zasada współmierności stanowi uzupełnienie zasad wyżej opisanych. Zgodnie z nią można zbierać, przetwarzać oraz używać tylko te dane osobowe, które są niezbędne do osiągnięcia określonego celu.
  • Zasada pewności, zobowiązuje do zapewnienia odpowiednich środków organizacyjnych i technicznych, dzięki którym możliwa będzie realizacja przepisów o ochronie danych osobowych, a podmiot danych osobowych będzie przekonany, że jego dane są odpowiednio zabezpieczone.
  • Prawo głosu i wpływu na przetwarzanie danych osobowych przez podmiot tychże danych.
  • Zasada pisemnej formy wyrażania zgody na przetwarzanie danych. Zgoda taka jest skuteczna tylko wówczas, gdy opiera się na wolnej woli podmiotu, który został poinformowany o celu pozyskania, przetwarzania, czy korzystania z jego danych osobowych. Forma pisemna obowiązuje zawsze wówczas, gdy ze względu na szczególne okoliczności nie jest właściwa inna forma.
  • Zasada transparentności, czy prawo do informacji podmiotu danych osobowych uprawnia jednostkę do uzyskania informacji o charakterze pozyskanych danych osobowych, źródle ich pochodzenia oraz celu pozyskania. Podmiot danych dysponuje, także szerszymi uprawnieniami, takimi jak żądanie korekty, usunięcia i zablokowania dostępu do danych osobowych. Uprawnienia te nie mogą być wyłączone przez czynność prawną. Oczywiście nie jest to prawo nieograniczone, gdyż istnieje szereg wyjątków, gdzie ze względu na interes publiczny (np. przy czynnościach Policji), czy ze względu na tajemnice przedsiębiorstwa, można odmówić informacji. Uzyskanie informacji od instytucji publicznych jest z reguły nieodpłatne (§ 19 Abs.4 BDSG), natomiast informacja od firm prywatnych może być w określonych okolicznościach odpłatna (§ 34 BDSG), o czym należy poinformować uprawnionego i zapewnić mu bezpłatną alternatywę.
  • Zgodnie z zasadą zaskarżalności podmiot danych osobowych został wyposażony w konkretne narzędzia dochodzenia swoich praw. Może wystosować zażalenie o naruszeniu jego danych osobowych przed odpowiednie organy nadzorcze.
  • Kolejną zasadą jest obowiązek zgłoszenia. Niemiecka ustawa o ochronie danych osobowych w sposób bardzo dokładny określa, jakie instytucje, w jaki sposób, w jakich okolicznościach i komu, zobowiązane są zgłosić zamiar pozyskiwania, przetwarzania czy korzystania z danych osobowych. Podjęcie automatycznego przetwarzania danych osobowych wiąże się ze zgłoszeniem do odpowiedniego organu nadzorczego ds. ochrony danych osobowych, bądź do Federalnego Pełnomocnika ds. Ochrony Danych Osobowych, w zależności, kto dokonuje zgłoszenia. Obowiązek zgłoszenia zostaje zrealizowany w chwili zamówienia Pełnomocnika ds. Ochrony Danych Osobowych.
  • Zasada niezależnej kontroli i ustawowych sankcji jest realizowana na gruncie niemieckim w sposób bardzo szczególny. Otóż wykształciły się konkretne organy, odpowiadające za niezależną kontrolę nad prawidłowym pozyskiwaniem, przetwarzaniem czy korzystaniem z danych osobowych. Są to Pełnomocnicy Rządu Federalnego ds. Ochrony Danych Osobowych – dla urzędów krajowych, Pełnomocnicy Krajów Związkowych ds. Ochrony Danych Osobowych – dla urzędów związkowych oraz szczególni Pełnomocnicy ds. Ochrony Danych Osobowych – dla korporacji, zakładów, czy fundacji prawa publicznego. Urzędy, zależnie od okoliczności mają obowiązek lub możliwość, powołania urzędowego Pełnomocnika ds. Ochrony Danych Osobowych, który może przejąć poszczególne zadania (np. prowadzenie rejestru danych osobowych). Powołanie takiego pełnomocnika nie wyklucza, jednak kontroli przez nadrzędnych Pełnomocników. Kwestie nadzoru nad instytucjami niepublicznymi regulują ustawy krajów związkowych. Niemniej federalna ustawa o ochronie danych stanowi, że w przypadku firm o określonej wielkości należy zamówić zawodowego Pełnomocnika ds. Ochrony Danych Osobowych. Pełnomocnicy zrzeszeni są w organizacji zawodowej Pełnomocników ds. Ochrony Danych Osobowych.
  • Zgodnie z zasadą odpowiedzialności w przypadku wyrządzenia szkody podmiotowi danych osobowych przez niedopuszczalne lub niewłaściwe pozyskiwanie, przetwarzanie, czy korzystanie z danych osobowych, pokrzywdzonemu przysługuje od strony odpowiedzialnej odszkodowanie. Górna granica odszkodowania to 130.000 Euro.
  • Zasada zachowania poufności (tajemnicy) przez osoby, które przez swoje zatrudnienie mają kontakt z pozyskiwaniem, przetwarzaniem, czy korzystaniem z danych osobowych. Firmy prywatne zostały zobligowane przez ustawę, aby osoby w nich zatrudniane wraz z podjęciem czynności zobowiązywały się do zachowania tajemnicy danych osobowych.

Cały system niemieckiego prawa ochrony danych osobowych opiera się na zasadzie jasności przepisów. Odnosząc się do ustawy o ochronie danych osobowych zasada ta jest zrealizowana w dokładnym określeniu celu ustawy, kompleksowym przedstawieniu zakresu jej stosowania, czy w określeniu podmiotów, do których odnoszą się przepisy ustawowe. Ustawę stosuje się do pozyskiwania, przetwarzania (tj. zapisywania, zmieniania, przekazywania, blokowania, usuwania) i korzystania z danych osobowych. Każda z czynności posiada swoją definicję ustawową.

Należy wspomnieć, iż w Niemczech dla realizacji powyższych zasad i priorytetów, pracuje wiele organizacji, np. Niemieckie Stowarzyszenie ds. Ochrony Danych Osobowych, którego celem jest edukacja obywateli w temacie ochrony danych oraz wspieranie we wszystkich problemach i pytaniach pojawiających się przy zagadnieniach ochrony danych osobowych.

Autor: Justyna Matuszak

Źródła:

  1. Bergmann, Moehrle, Hebr, Kommentar zum Datenschutzrecht, Stuttgart 2008.
  2. Hansjuergen Garstka, Informationelle Selbstbestimmung und Datenschutz [w:] Burgerrechte im Netz, Bundeszentrale fuer politische Bildung, Bonn 2003.
  3. Rossnagel, Alexander, Handbuch Datenschutzrecht, C.H. Beck 20.
  4. Kladroba, Andreas, Das neue Datenschutzrecht in der betrieblichen Praxis, Diskussionsbaitrage aus dem Fachbereich Wirstschaftwissenschaften der Universitaet Duisburg-Essen, Essen 2003.
About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.