The EU draft data protection regulation from a German perspective

The EU draft data
protection regulation
from a German
perspective
règlement européen
général relatif à la
protection des données
personnelles du point de
vue allemand
Data Protection
0 0 0 worldwide
105 0 0 0
89
4
33
dans le monde
Privacy
Laws
Dr. Thomas Weimann
0
0 0 00 0
105
89
European
influence
33
30
22
protection des donnés
personnelles dans le
monde
none
EU/EEA
EU (geo)
EU elements
data according to Greenleaf (2012)
Privacy
Laws
4
influence
européenne
30
22
none
EU/EEA
EU (geo)
EU elements
2
Ex.: Subject Access
Request Response
Times
<sans retard excessif>
„without undue delay“
8 working days
40 days
2 months
30 days
Dr. Thomas Weimann
délai jusq‘à la réponse à
la demande presentée
par l‘intéressé
15 days
8 journées de travail
40 jours
2 mois
30 jours
15 jours
3
Harmonisation:
Harmonization
Ex.: German legislation législation allemande
Telecommunications Act
Federal Data
Protection Act
State Data
Protection Acts
loi
informatique
et libertés
fédérale
donnés
personelles
Personal Data
Telemedia
Act
Data Protection Act
of the Church
Dr. Thomas Weimann
loi de réglementation
des telecommunications
loi informatique et
libertés de l‘église
loi
informatique
et libertés
du Land
loi de
réglementation
des média
4
The draft EU regulation
a German perspective
Dr. Thomas Weimann
le brouillon du règlement
européen général
le point de vue allemand
5
Corporate Data
Protection Officer
(DPO)
Correspondants à la
protection des Données
à caractère Personnel
•
•
•
•
•
• interne vs. externe
• conditions
• devoirs, obligation de
divulguer?
• droits, responsabilité
• protection contre les
licenciements
Internal v. external DPO
Requirements
Tasks, duty to notify?
Rights, liability
Dismissal protection
Dr. Thomas Weimann
6
data subject
personne concernée
data subject' means an identified
natural person or a natural
person who can be identified,
directly or indirectly, by means
reasonably likely to be used by
the controller or by any other
natural or legal person, in
particular by reference to an
identification number, location
data, online identifier or to one
or more factors specific to the
physical, physiological, genetic,
mental, economic, cultural or
social identity of that person
«personne concernée»: une personne
physique identifiée ou une personne
physique qui peut être identifiée,
directement ou indirectement, par
des moyens raisonnablement
susceptibles d'être utilisés par le
responsable du traitement ou par
toute autre personne physique ou
morale, notamment par référence à
un numéro d’identification, à des
données de localisation, à un
identifiant en ligne ou à un ou
plusieurs éléments spécifiques,
propres à son identité physique,
physiologique, génétique, psychique,
économique, culturelle ou sociale
Dr. Thomas Weimann
7
data subject
data subject' means an
identified natural person or a
natural person who can be
identified, directly or indirectly,
by means reasonably likely to be
used by the controller or by any
other natural or legal person, in
particular by reference to an
identification number, location
data, online identifier or to one
or more factors specific to the
physical, physiological, genetic,
mental, economic, cultural or
social identity of that person
Dr. Thomas Weimann
personne
via factual or personal
concernée
relationships/ par des
relations factuelles ou
personelles
«personne concernée»: une
personne physique identifiée ou
une personne physique qui peut
être identifiée, directement ou
indirectement, par des moyens
raisonnablement susceptibles d'être
utilisés par le responsable du traitement
ou par toute autre personne physique
ou morale, notamment par référence à
un numéro d’identification, à des
données de localisation, à un identifiant
en ligne ou à un ou plusieurs éléments
spécifiques, propres à son identité
physique, physiologique, génétique,
psychique, économique, culturelle ou
sociale
8
Anonymisation –
Pseudonymisation
The principles of data
protection should not
apply to data rendered
anonymous in such a way
that the data subject is no
longer identifiable.
Dr. Thomas Weimann
Anonymisation –
Pseudonymisation
Il n'y a pas lieu d'appliquer
les principes de protection aux
données qui ont été rendues
suffisamment anonymes pour
que la personne concernée ne
soit plus identifiable.
9
Anonymisation –
Pseudonymisation
Pseudonymisation is the
replacement of the name
or other identifiying
features with a mark in
order to exclude or
considerably hinder the
identification of the data
subject
Dr. Thomas Weimann
Anonymisation –
Pseudonymisation
La pseudonymisation est le
remplacement du nom et
d'autres critères d'identification
par une marque distinctive
pour exclure l'identification du
concerné ou pour la rendre
essentiellement plus difficile.
10
Data processing
commission
Commission pursuant to
Section 11 BDSG:
• strict differentiation
between obligations of
controller and
processor
Dr. Thomas Weimann
sous-traitance
sous-traitance selon l‘Art.
11 BDSG:
• différenciation stricte
entre les obligations
du responsable du
traitement et du soustraitant
11
Profiling
Profilage
Art. 20
Every natural person shall have
the right not to be subject to
a measure which produces legal
effects concerning this natural
person or significantly affects
this natural person, and which
is based solely on automated
processing intended to evaluate
certain personal aspects
Dr. Thomas Weimann
Toute personne physique a le
droit de ne pas être soumise
à une mesure produisant des
effets juridiques à son égard ou
l'affectant de manière
significative, prise sur le seul
fondement d'un traitement
automatisé destiné à évaluer
certains aspects
personnels
12
Profiling
Profiling possible if
• based on an accepted
procedure
• only postal address is used
• transmission would be
allowed
• if the data subject has
been informed
Dr. Thomas Weimann
Profilage
Profilage possible si
• fondée sur un procédé
reconnu
• seulement l‘adresse est
utilisée
• la transmission soit permis
• la personne concernée a
été informée
13
Right to be
forgotten
Droit à l'oubli
Art. 17
Right to be forgotten and to
erasure
• BVerfG: Data and
Information is a reflection
of social reality
• can there be individual
rights in respect to this
reality?
Dr. Thomas Weimann
Droit à l'oubli numérique et à
l'effacement
• BVerfG: données et
informations sont un reflet
de la réalité sociale
• est-ce qu‘il peut avoir des
droits individuels à l‘égard
de cette réalité?
14
données des
salariés
Employee
data
Art. 82
Within the limits of this
Regulation, Member States may
adopt by law specific rules
regulating the processing of
employees' personal data in the
employment context, in
particular for the purposes of
the recruitment, the
performance of the contract of
employment
Dr. Thomas Weimann
Dans les limites du présent
règlement, les États membres
peuvent adopter, par voie
législative, un régime spécifique
pour le traitement des données
à caractère personnel des
salariés en matière d'emploi,
aux fins, notamment, du
recrutement, de l'exécution du
contrat de travail
15
Data Protection Act
of the Church
Art. 140 Constitution in
conjunction with Art. 137
Weimar Constitution:
Every religious community
applicable
the its
administers and if
regulates
matters on ist own within the
draft
enters into
boundaries of the laws applying
force ?
to everybody.
Dr. Thomas Weimann
loi informatique et
libertés de l‘église
Art. 140 Constitution et Art. 137
Constitution de Weimar :
chaque communauté religieuse
applicable
administre et règlesi
sesle
affaires
soi-même dans les limites des
règlement
entre en
lois applicables à tout le monde.
vigueur ?
16
Further issues
• Data processing by
private persons
• Liability of EUinstitutions
Dr. Thomas Weimann
autres questions
• traitement des
données par des
personnes privées
• responsabilité des
institutions de l‘UE
17
Contact
Dr. Thomas Weimann
Partner
Specialist for information technology law
t +49 (0)711 16445-241
f +49 (0)711 16445.105
m +49 (0)160 47 097 47
[email protected]
BRP Renaud & Partner
Attorneys-at-Law, Notaries, Patent Attorneys
Königstraße 28
70173 Stuttgart
Germany
t: +49 (0)711 16445-0
f: +49 (0)711 16445-100
e: [email protected]
w: www.brp.de