Prace legislacyjne nad nową niemiecką ustawą o ochronie danych osobowych prowadzone są w naprawdę sprinterskim tempie[1]. Pakiet regulacji zatytułowany „Ustawa o dopasowaniu prawa ochrony danych do Rozporządzenia 2016/679 (GDPR)[2] oraz implementacji Dyrektywy 2016/680 (tzw. dyrektywa policyjna)[3]”, której część stanowi m. in. nowa Ustawa o ochronie danych osobowych (Bundesdatenschutzgesetz, tzw. BDSG-neu), została w dniu 12 maja 2017 roku bez poprawek zatwierdzona przez Bundesrat – drugą izbę niemieckiego Parlamentu[4]. Do ostatecznego uchwalenia ustawy brakuje jeszcze podpisu Prezydenta Federacji Franka Waltera Steinmeiera oraz publikacji w dzienniku urzędowym. Podpis nowo wybranego Prezydenta, byłego Wicekanclerza, wcześniej m.in. odpowiedzialnego za resort spraw zagranicznych w rządzie Kanclerz Angeli Merkel, uważa się jednak za czystą formalność[5]. Podpisanie i publikację ustawy przewiduje się jeszcze w czerwcu tego roku, zaś jej wejście w życie oraz zastąpienie obecnej regulacji ma nastąpić 25 maja 2018 r., równolegle z początkiem obowiązywania Rozporządzenia GDPR.
Poziom zaawansowania prac legislacyjnych pozwala już teraz na zaprezentowanie jej najważniejszych rozwiązań, jest bowiem bardzo prawdopodobne, że ustawa wejdzie w życie w obecnej postaci. Niniejsze opracowanie koncentruje się na zagadnieniach, które spotkały się ze szczególną krytyką ze strony niemieckich środowisk zajmujących się ochroną danych osobowych.
Ustawa skomplikowana i nieczytelna
Za pomocą nowej regulacji niemiecki prawodawca stara się w możliwie najszerszym stopniu wyczerpać zakres swobody legislacyjnej, jaki Rozporządzenie GDPR pozostawia państwom członkowskim[6]. Rzuca się jednak w oczy niespójność założeń jakie zostały przyjęte w procesie projektowania oraz uchwalania ustawy. Z jednej strony mamy bowiem do czynienia z nie do końca zrozumiałym namnożeniem części ogólnych oraz słowniczków pojęć, o czym była już mowa w poprzednim opracowaniu[7]. Z drugiej zaś strony – zapewne dla uniknięcia powtórzeń – treść projektowanej ustawy zawiera liczne odesłania do przepisów części normatywnej Rozporządzenia. Sprawia to, że – przy całej swojej obszerności – ustawa staje się bardzo nieczytelna i nie będzie nadawała się do stosowania bez równoległego sięgania do przepisów Rozporządzenia i Dyrektywy 2016/680 UE.
Niemiecki GIODO z mniejszymi uprawnieniami
Nowa regulacja jest szeroko krytykowana ze względu na niewystarczającą regulację uprawnień kontrolnych Federalnego Pełnomocnika do spraw Ochrony Danych Osobowych oraz Społeczeństwa Informacyjnego (dalej Federalnego Pełnomocnika)[8] nad organami władzy publicznej. W szczególności dotyczy to kontroli nad działaniami policji oraz służb bezpieczeństwa, do których Rozporządzenie GDPR nie znajduje zastosowania, a które zostały uregulowane w „Dyrektywie policyjnej” (2016/680/UE), implementowanej za pomocą tej samej ustawy. Od dłuższego czasu Andrea Voßhoff, pełniąca obecnie funkcję Federalnej Pełnomocniczki, wspierana przez krajowych pełnomocników działających w poszczególnych Landach, walczy o wzmocnienie uprawnień kontrolnych nad działaniami policji oraz służb bezpieczeństwa[9]. W ostatnich latach służby te dostały do dyspozycji nowe narzędzia kontrolne, silnie ingerujące w prawo do danych osobowych, czemu jednak tylko w ograniczonym zakresie towarzyszyło wzmocnienie uprawnień kontrolnych Federalnego Pełnomocnika (m.in. w odniesieniu do tzw. Wspólnej Kartoteki Antyterrorystycznej)[10].
W zakresie objętym właściwością Rozporządzenia GDPR, określenie uprawnień Federalnego Pełnomocnika następuje poprzez odesłanie do obszernego katalogu uprawnień organów nadzorczych państw członkowskich UE, zawartego w art. 58 GDPR. Przepis ten przewiduje m.in. uprawnienie do zgłaszania naruszeń Rozporządzenia organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym[11]. W zakresie natomiast, w jakim GDPR nie będzie miała zastosowania, projekt niemieckiej ustawy przewiduje jedynie uprawnienie Pełnomocnika do kierowania niezobowiązujących wezwań do udzielenia wyjaśnień w określonym terminie. Wskazać należy, że GDPR nie będzie stosowane m.in. do przetwarzania danych osobowych dokonywanego przez policję oraz służby bezpieczeństwa, w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Jeżeli więc Federalny Pełnomocnik dopatrzy się nieprawidłowości w przetwarzaniu danych osobowych przez policję lub służby bezpieczeństwa, nie będzie miał możliwości poddania takich działań kontroli sądowej.
Problem polega jednak na tym, że konieczność takiego ukształtowania uprawnień Federalnego Pełnomocnika, które zapewni możliwość skutecznego nadzoru nad przetwarzaniem danych osobowych przez policję oraz służby bezpieczeństwa, obejmującego m.in. uprawnienie do inicjowania kontroli sądowej, wynika wyraźnie z orzecznictwa Federalnego Sądu Konstytucyjnego. Istnienie takiego uprawnienia stanowiło jeden z czynników, który sąd ten wziął pod uwagę stwierdzając w 2013 roku proporcjonalność regulacji przewidującej gromadzenie w tzw. Wspólnej Kartotece Antyterrorystycznej, wielu danych osobowych i informacji, dotyczących osób podejrzanych o powiązania z terroryzmem[12]. Zdaniem Andrei Voßhoff , konieczność przyznania Federalnemu Pełnomocnikowi podobnego uprawnienia wynika również z „Dyrektywy policyjnej” (2016/680/UE). Uważa ona że istnienie takiej kompetencji jest niezbędne dla zapewnienia efektywnej ochrony podmiotów danych i konsekwentnie zgłasza taką potrzebę na wszystkich etapach prac legislacyjnych[13].
Tajemnica zawodowa poza kontrolą
Przygotowana regulacja przewiduje również wykluczenie Federalnego Pełnomocnika oraz krajowych organów kontrolujących przetwarzanie danych osobowych z ,kontroli podmiotów ustawowo zobowiązanych do zachowania tajemnicy zawodowej. Do kategorii tej zalicza się m.in. lekarzy, lekarzy stomatologów, weterynarzy, aptekarzy, zawodowych psychologów, adwokatów, adwokatów patentowych, notariuszy, doradców rodziny i młodzieży, pracowników socjalnych, a nawet pracowników prywatnych instytucji ubezpieczeniowych[14]. Regulacja, w tym zakresie, spotkała się z dużą krytyką organizacji monitorujących ochronę danych osobowych podkreślających, że powoduje ona praktycznie wyłączenie wszelkiej kontroli nad przetwarzaniem danych osobowych przez ww. podmioty[15]. Podnoszone są również zarzuty niezgodności takiej regulacji z orzecznictwem Federalnego Sądu Konstytucyjnego, z którego wynika niedopuszczalność tworzenia obszarów całkowicie wyłączonych spod kontroli zgodności z prawem przetwarzania danych osobowych[16].
Monitoring wizyjny – znacznie rozszerzony
Kolejną istotną, a zarazem silnie kontrowersyjną zmianą, jest bardzo liberalne uregulowanie kwestii dopuszczalności monitoringu wideo, w szczególności w odniesieniu do podmiotów prywatnych. W myśl projektowanej regulacji monitorowanie dostępnych publicznie pomieszczeń jest dopuszczalne, o ile będzie to niezbędne dla:
(1) realizacji obowiązków instytucji publicznych,
(2) ochrony miru domowego, albo
(3) dla ochrony uzasadnionych interesów, w konkretnie ustalonych celach,
pod warunkiem braku podstaw do przypuszczeń, że naruszone zostaną przez to przeważające interesy podmiotów danych (§ 4 projektu).
Dodatkowo projekt przewiduje, że w odniesieniu do dostępnych publicznie obiektów wielkopowierzchniowych (m.in. sportowych, kulturalnych, rekreacyjnych, komunikacyjnych czy parkingowych), jako okoliczność automatycznie uzasadniającą istotny interes w prowadzeniu monitoringu traktować można ochronę życia, zdrowia lub wolności osób przebywających w takich obiektach.
Podkreślenia wymaga, że niemiecki Rząd Federalny przywiązuje do kwestii rozszerzenia monitoringu video w przestrzeni publicznej wyjątkowo dużą wagę. Nie czekając na rozpoczęcie obowiązywania GDPR, Bundestag uchwalił specjalną ustawą wprowadzenie powyższych przepisów, zwiększających możliwości stosowania monitoringu w stosunku do obowiązującej w tej chwili Ustawy o ochronie danych osobowych[17].
Tak szeroka regulacja monitoringu pozwala nie tyko na znacznie szersze niż dotychczas wykorzystywanie stacjonarnych urządzeń rejestrujących, lecz również na stosowanie kamer instalowanych na mundurach funkcjonariuszy (body cameras). W świetle takiej regulacji można by uznać za dopuszczalne wyposażenie w takie urządzenia nawet prywatnych pracowników ochraniających obiekty wielkopowierzchniowe. Liczne głosy zwracające uwagę na poważne wątpliwości co do zgodności takiej regulacji z prawem europejskim oraz niemieckim prawem konstytucyjnym pozostają jak na razie bez odpowiedzi. Krytycznie na temat projektowanej regulacji wyraził się m.in. Niemiecki Związek Sędziów (Deutscher Richterbund), największa organizacja zrzeszająca sędziów i prokuratorów[18]. Przedmiotem szczególnie poważnych zastrzeżeń jest wynikająca z projektowanej ustawy próba przeniesienia realizacji zadań związanych z zabezpieczaniem interesu publicznego, takich jak zapewnienie bezpieczeństwa ludności, na podmioty prywatne[19].
Zakaz przetwarzania danych „wrażliwych” – znacznie więcej wyjątków
Rozszerzona w stosunku do obecnej regulacji została również możliwość przetwarzania tzw. szczególnych kategorii danych osobowych, do których art. 9 GDPR zalicza dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane biometryczne (pod warunkiem przetwarzania w celu jednoznacznego zidentyfikowania osoby fizycznej) oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
W myśl projektu ustawy będzie dopuszczalne przetwarzanie takich danych przez instytucje publiczne i niepubliczne m.in. w celu: wykonywania uprawnień wynikających z prawa zabezpieczenia socjalnego i ochrony socjalnej oraz realizacji zawartych tam obowiązków, ochrony zdrowia, oceny zdolności do pracy, diagnostyki medycznej, a także dla ochrony interesu publicznego w obszarze zdrowia publicznego oraz ochrony przed poważnymi ponad-granicznymi zagrożeniami dla zdrowia. Instytucje publiczne będą mogły ponadto przetwarzać takie dane m.in. w sytuacji gdy będzie to bezwzględnie konieczne (zwingend erforderlich), ze względu na poważny interes publiczny albo dla ochrony przed poważnymi negatywnymi skutkami dla dobra wspólnego lub też konieczne (erforderlich), dla ochrony przed poważnym zagrożeniem dla bezpieczeństwa publicznego lub ze względów obronności albo konieczności realizacji ponad- lub między-narodowych zobowiązań w zakresie zarządzania kryzysowego[20].
Barbara Thiel, Krajowa Pełnomocniczka ds. Ochrony Danych Osobowych dla Dolnej Saksonii podkreśla, że tak szeroki katalog sytuacji, w których dopuszczalne ma być przetwarzanieszczególnych kategorii danych osobowych, wykracza poza zakres wyjątków dopuszczalnych na gruncie GDPR, jako odstępstw od generalnego zakazu przetwarzania takich danych. Jej zdaniem projektowana regulacja spowoduje w tym zakresie nieproporcjonalne naruszenie praw podmiotów danych, nie uwzględniając w należytym stopniu szczególnej potrzeby ochrony tego typu danych osobowych[21].
Podsumowanie
Prace legislacyjne nad nową, niemiecką regulacją ochrony danych osobowych od początkubyły mocno krytykowane. . Wprawdzie wiele zgłaszanych wątpliwości zostało ostatecznie uwzględnionych w kolejnych projektach, nadal jednak pozostało wiele kwestii, co do których zgłaszane są zastrzeżenia, włączając w to tak poważne zarzuty jak niezgodność z konstytucją oraz prawem europejskim. Częstym argumentem jest twierdzenie, iż projektowana regulacja nie dość, że nie zapewnia „wysokiego stopnia ochrony osób fizycznych”, co jest jednym z podstawowych celów Rozporządzenia[22], to wręcz obniża poziom ochrony jaki zapewnia obecnie obowiązująca, niemiecka ustawa o ochronie danych osobowych[23].
Należy spodziewać się, że uchwalona ostatecznie ustawa będzie kwestionowana przed sądami krajowymi i wspólnotowymi. Nie jest ponadto wykluczone wszczęcie w tej sprawie postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego na podstawie art. 258 Traktatu o Funkcjonowaniu Unii Europejskiej. Komisja Europejska monitoruje niemiecki proces legislacyjny zgłaszając uwagi, z których również nie wszystkie zostały uwzględnione. Już 20 kwietnia 2017 roku, kiedy projekt niemieckiej regulacji był w znacznej mierze sfinalizowany, Renate Nikolay, szefowa Gabinetu unijnej Komisarz ds. Sprawiedliwości, Věry Jourovej, nalegała na poprawienie ustawy, przestrzegając, że krajowi prawodawcy nie mogą stracić z pola widzenia celu Rozporządzenia, jakim jest zapewnienie równorzędnego stopnia ochrony we wszystkich państwach członkowskich[24].
[1] gdpr.pl/niemiecki-rzad-federalny-ujednolica-przepisy-ochrony-danych-projekt-ustawy/
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[3] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.
[4] Uchwała Bundesratu z 12.05.2017, druk nr 332/17, http://www.bundesrat.de/SharedDocs/TO/957/tagesordnung-957.html?cms_topNr=10#top-10
Na wcześniejszych etapach postępowania Bundesrat zgłaszał liczne poprawki, które w znacznej części zostały uwzględnione przez Bundestag.
[5]https://bvm.org/newsdetail/?tx_ttnews%5Btt_news%5D=119&cHash=6d3ab39a42cf1c8b807f8fd7fe7da5ce&type=98
[6] https://www.computerwoche.de/a/das-bundesdatenschutzgesetz-wird-europaeisiert,3330647
[7] gdpr.pl/niemiecki-rzad-federalny-ujednolica-przepisy-ochrony-danych-projekt-ustawy/.
[8] Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. https://www.bfdi.bund.de/DE/Home/home_node.html.
[9] https://www.bfdi.bund.de/DE/Datenschutz/Themen/Sicherheit_Polizei_Nachrichtendienste/SicherheitArtikel/TBEG.html
[10] https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/88DSK_EffektiveKontrolleNachrichtendienste.pdf?__blob=publicationFile&v=6
[11] Por. art. 58 ust. 5 w związku z motywem 129 GDPR.
[12] Zob. wyrok FSK z 24 kwietnia 2013 r., 1 BvR 1215_07 dotyczący Wspólnej Kartoteki Antyterrorystycznej, nb. 204 i nast.
https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2013/04/rs20130424_1bvr121507.html
[13]https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2017/10_BDSG_neu_April.html;jsessionid=CB6D0A349C8A687F3F3BFCA3618BDA16.2_cid344
[14] Pełny katalog osób zobowiązanych do tajemnicy zawodowej, objętych opisywanym wykluczeniem zawiera § 203 ust. 1, 2a i 3 niemieckiego kodeksu karnego.
https://www.gesetze-im-internet.de/stgb/BJNR001270871.html
[15] https://www.datenschutzverein.de/wp-content/uploads/2017/04/2017-04-26-PE-DVD-BDSG-neu-Bundestag.pdf
[16] K. Schuler, T. Weichert, Beschränkung der Datenschutzkontrolle bei Berufsgeheimnisträgern nach § 29 Abs. 3 BDSG-neu ist grundrechtswidrig s. 7 i cytowane tam orzecznictwo.
[17] Ustawa z 28 kwietnia 2017 roku o zmianie Federalnej Ustawy o Ochronie Danych Osobowych – Zwiększająca bezpieczeństwo w publicznie dostępnych obiektach wielkopowierzchniowych oraz przy przewozie osób, za pomocą urządzeń optyczno-elektronicznych (tzw. Videoüberwachungsverbesserungsgesetz). http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s0968.pdf
[18] http://www.drb.de/stellungnahmen/2016/videoueberwachung.html
[19] https://netzpolitik.org/2017/nationaler-alleingang-diskussionsbeitrag-zu-geplanten-abweichungen-von-der-datenschutzgrundverordnung/
[20] Por. § 22 Projektu ustawy.
[21] https://netzpolitik.org/2017/nationaler-alleingang-diskussionsbeitrag-zu-geplanten-abweichungen-von-der-datenschutzgrundverordnung/
[22] Por. Motyw 10 Preambuły do GDPR.
[23] Stanowisko Europejskiej Akademii Wolności Informacji i Ochrony Danych do projektu Ustawy o dopasowaniu prawa ochrony danych do Rozporządzenia 2016/679 oraz implementacji Dyrektywy 2016/680, s. 3.
[24] https://www.heise.de/newsticker/meldung/Datenschutzreform-EU-Kommission-droht-Deutschland-mit-Vertragsverletzungsverfahren-3689759.html
