Федеральный закон о защите данных

Федеральный закон о защите данных
Федеральный закон о защите данных
Германия

Германии Bundesdatenschutzgesetz ( BDSG ) — это федеральный закон о защите данных , который вместе с законами о защите данных федеральных земель Германии и другими отраслевыми нормативными актами регулирует раскрытие персональных данных, которые обрабатываются вручную или хранятся в ИТ-системах.

Историческое развитие

1960–1970

В начале 1960-х годов в Соединенных Штатах началось рассмотрение вопроса о комплексной защите данных, которое получило дальнейшее развитие по мере развития компьютерных технологий и связанных с ними рисков для конфиденциальности. Поэтому была необходима нормативная база для противодействия нарушению конфиденциальности при обработке персональных данных.

1970–1990

В 1970 году федеральная земля Гессен приняла первый национальный закон о защите данных, который также стал первым законом о защите данных в мире. В 1971 году был представлен первый законопроект о федеральном законе о защите данных. Наконец, 1 января 1978 года вступил в силу первый федеральный закон о защите данных. ^[1] В последующие годы, по мере того как BDSG формировалась на практике, произошло техническое развитие обработки данных, поскольку компьютер стал приобретать все большее значение как на работе, так и в частном секторе. ^[2]

Существенные изменения произошли и в правовом поле. С Volkszählungsurteil [ de ] ^[3] (на немецком языке) (вердикт переписи населения) от 15 декабря 1983 года Федеральный конституционный суд разработал право на самоопределение информации (статья 1(1) в сочетании со статьей 2(1) Основного закона Германии ). Приговор подтвердил, что личные данные в Германии защищены конституцией. Это означает, что люди имеют право решать, когда и в каком объеме публиковать личную информацию. ^[4]

С 1990 г.

В 1990 году законодательный орган принял новый закон о защите данных на основании решения Конституционного суда Германии.

В 2009 и 2010 годах в BDSG были внесены три поправки: 1 апреля 2010 года вступил в силу «Новелле I» новый регламент деятельности кредитных бюро и их контрагентов (особенно кредитных организаций) и скоринга. 1 сентября 2009 года вступил в силу долго обсуждаемый и активно обсуждаемый «Новелль II». В BDSG изменены 18 параграфов. Содержание включает в себя изменения в привилегиях списка для торговли адресами, новые правила исследования рынка и общественного мнения, согласие на участие, запрет на объединение, защиту данных сотрудников, обработку данных заказов, новые полномочия надзорных органов и новые или значительно расширенные штрафы, информационные обязательства в в случае утечки данных, защита от увольнения сотрудников по защите данных. 11 июня 2010 года «Новелла III» [4] была изменена как небольшой подпункт закона, реализующего Директиву ЕС о потребительском кредитовании, § 29 BDSG, на два абзаца.

Законодательная поправка

В 2009 году в BDSG было внесено три поправки в результате критики со стороны защитников прав потребителей и многочисленных скандалов, связанных с конфиденциальностью в бизнесе. Поправки коснулись следующих пунктов: ^[5]

Поправки I и III

Строгое целевое использование прав на защиту данных (§ 6 III BDSG)
Допустимость и прозрачность автоматизированных индивидуальных решений (§ 6a BDSG)
Передача данных коммерческим агентствам (§ 28a BDSG)
Приемлемость в процедурах подсчета баллов (§ 28b BDSG)
Претензии на информацию об отказе в кредите для трансграничного кредитного запроса в пределах ЕС/ЕЭЗ (§ 29 VI и VII BDSG)
Информация о претензиях к ответственным органам, особенно в случае скоринговых и коммерческих агентств (§ 34 BDSG)
Новые штрафные правонарушения (§ 43 I № 4a, 8b, 8c BDSG)

Поправка II

Введение юридического определения термина « работники » (§ 3 XI BDSG)
Расширение целевой экономики данных и предотвращение использования данных (§ 3a BDSG)
Укрепление должности внутреннего сотрудника по защите данных путем обучения и четкого закона о защите труда (§ 4f III, предложения 5-7 BDSG)
Расширение требования к фиксации письменного содержания в целях обработки данных и контроля подрядчика (§ 11 II BDSG)
Новые квалификационные требования и прозрачность использования персональных данных в рамках торговли адресами и рекламных целях (§ 28 III BDSG)
Ужесточение требований к неписьменному согласию (§ 28 IIIa BDSG)
Введение запрета на спаривание в связи с согласием (§ 28 IIIb BDSG)
Льготы для компаний, занимающихся исследованием рынка и общественного мнения (§ 30a BDSG)
Правило о допустимости обработки данных о занятости (§ 32 BDSG)
Расширение требований к раскрытию информации для списка умеренной передачи (§ 34 Ia BDSG)
Расширение полномочий надзорных органов по защите и использованию обработки данных (§ 38 V BDSG)
Обязанность самораскрытия надзорному органу и пострадавшему лицу в случае незаконного получения данных (§ 42a BDSG)
Введение новых штрафов (§ 43 I № 2a, 2b, 3a, 8a и II № 5a-7 BDSG)
Увеличение размера штрафа с 50 000 евро до 300 000 евро (§ 43 III BDSG)
Переходные меры для исследователей рынка и общественного мнения, а также для рекламного использования сохраненных данных, зарегистрированных до 1 сентября 2009 г. (§ 47 BDSG)
Акцент на использовании шифрования (Приложение § 9 предложения 1 BDSG)

Обзор BDSG

Первый раздел (§ § 1-11): Общие и общие правила
Второй раздел (§ § 12-26): Обработка данных государственными органами
Третий раздел (§ § § 27–38a): Обработка данных непубличными органами и публичными компаниями-конкурентами.
Четвертый раздел (§ § § 39–42): Особые положения
Пятый раздел (§ § § 43–44): Положения об уголовном и гражданском наказании
Раздел шестой (§ § § 45–46): Переходные положения

Цель и сфера применения

Цель

Закон должен защищать личные права людей от ущерба в результате обработки их личной информации (§ 1 I BDSG).

Объем

Согласно § 1 II BDSG закон применяется к сбору, обработке и использованию персональных данных:

Государственные органы Федерации
Органы государственной власти федеральных земель
Негосударственные агентства

Исключения

Центральный регистр иностранных граждан , согласно § 22 и § 37 закона, исключен из некоторых разделов Bundesdatenschutzgesetz. ^[6]

Государственные органы Федерации

Органами публичной власти являются федеральные органы власти, органы юстиции и другие публично-правовые учреждения Федерации, федеральные органы власти, учреждения и фонды публичного права и их объединения, независимо от их организационно-правовой формы (раздел 2 I BDSG).

Органы государственной власти федеральных земель

Органы государственной власти федеральных земель, органы власти и учреждения юстиции и другие публично-правовые учреждения федеральной земли, общины, общественного объединения и других юридических лиц публичного права, которые подчинены надзору федеральной земли публичного права. право и их объединения, независимо от их организационно-правовой формы (§ 2 II BDSG).

Негосударственные агентства

Непубличными учреждениями являются физические и юридические лица, компании и другие объединения лиц частного права, не подпадающие под действие пунктов § 2 I-III BDSG (§ 2 IV BDSG).

Обзор первых принципов

BDSG содержит семь основных принципов закона о защите данных: ^[7]

1. Запрет с оговоркой разрешения:

Сбор, обработка и использование персональных данных строго запрещены, за исключением случаев, когда это разрешено законом или если заинтересованное лицо дает на это согласие (§ 4 I BDSG).

2. Принцип срочности:

Персональные данные должны быть собраны непосредственно у заинтересованного лица. Исключением из этого принципа является законное разрешение или несоразмерное усилие (§ 4 III BDSG).

3. Приоритет специальных законов:

BDSG заменяет собой любой другой федеральный закон, касающийся личной информации и ее публикации (§ 1 III BDSG).

4. Принцип пропорциональности:

Создание стандартов ограничивает основные права пострадавшего человека. Поэтому эти законы и процедуры должны быть уместными и необходимыми. Должен произойти баланс интересов.

5. Принцип избегания данных и экономии данных:

За счет использования анонимизации или псевдоанонимизации каждая система обработки данных должна достичь цели не использовать (или как можно меньше) личные данные.

6. Принцип прозрачности:

Если собираются персональные данные, ответственное лицо должно сообщить пострадавшему лицу его личность и цели сбора, обработки или использования (§ 4 III BDSG).

7. Принцип целевого назначения:

Если разрешен сбор данных для определенной цели, использование данных ограничивается этой целью. Требуется новое согласие или закон, если данные будут использоваться для другой цели.

Виды персональных данных

Персональные данные означают все данные, которые предоставляют информацию о личных отношениях или фактах об идентифицированном или идентифицируемом физическом лице . Они включают в себя:

Личные отношения : имя, адрес, род занятий, адрес электронной почты, IP-адрес или личный номер.
Фактические обстоятельства : доходы, налоги, право собственности.
Особый вид персональных данных : расовое или этническое происхождение , политические взгляды, религиозные или философские убеждения, членство в профсоюзе, состояние здоровья или половая жизнь. Эти данные подлежат особой защите.

К защищенным персональным данным не относятся обезличенные данные, в которых личность человека не различима. Псевдонимизированные данные (где имя человека заменяется псевдонимом) защищены BDSG, поскольку данные относятся к лицу, личность которого различима. BDSG не защищает данные юридических лиц , например корпораций, хотя некоторые суды распространили защиту на юридических лиц.

Взаимодействие с европейским правом

Совет министров и Европейский парламент приняли Директиву о защите данных 24 октября 1995 г., которая должна была быть перенесена во внутреннее законодательство государств-членов к концу 1998 г. (Директива 95/46/EC Европейского парламента и Совета о защите данных). о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных). Все государства-члены приняли собственное законодательство о защите данных. ^[8]

25 января 2012 года Европейская комиссия представила проект Общего регламента защиты данных , который заменит Директиву о защите данных.

Трансграничная передача данных

Следующие правила применяются в соответствии с требованиями Директивы Европейской комиссии о защите данных к компаниям, зарегистрированным в Германии, и к компаниям, базирующимся за границей.

Компании, зарегистрированные в Германии

Для компаний, базирующихся в Германии, Федеральный закон о защите данных регулирует передачу данных по-разному в другую страну-члена ЕС и в третью страну.

Передача из Германии в другую страну-члена ЕС

Благодаря реализации Директивы ЕС о защите данных в странах-членах ЕС появился единый уровень защиты данных. Таким образом, компания, зарегистрированная в Германии, имеет право передавать персональные данные в Европе по тем же правилам, как если бы она передавала данные в пределах Германии.

Передача из Германии в третью страну

Передача в третьи страны должна соответствовать требованиям Федерального закона о конфиденциальности (§ 4b II предложение 1 BDSG). Передача должна быть прекращена, если у лица есть законный интерес в предотвращении передачи, особенно если адекватная защита данных в третьей стране не гарантирована (§ 4b II предложение 2 BDSG). Адекватность защиты оценивается с учетом всех обстоятельств, имеющих значение для передачи данных (§ 4b III BDSG). К ним относятся тип данных, цель, продолжительность обработки, профессиональные правила и меры безопасности. По мнению Еврокомиссии, Швейцария и Канада имеют достаточный уровень защиты.

Дальнейшее решение Европейской комиссии влияет на передачу данных в США. Согласно решению, Министерство торговли США обеспечило разумный уровень защиты данных посредством заключенного Соглашения Safe Harbor . В соответствии с Соглашением о безопасной гавани (признанным недействительным 6 октября 2015 г. по решению Максимилиана Шремса против Комиссара по защите данных и его преемником Privacy Shield, признанным недействительным 16 июля 2020 г.), получатель в Соединенных Штатах обязуется соблюдать определенные принципы защиты данных посредством заявлений, адресованных соответствующим властям США. В настоящее время не применяется система передачи, а для передачи в США и из США, как и во всех третьих странах, требуется другой утвержденный механизм в соответствии с GDPR (например, обязательные корпоративные правила, стандартные договорные положения).

Для других третьих стран вряд ли возможно определить соответствующий уровень защиты из-за сложных критериев. По этой причине важны определенные исключения (в § 4c I и II BDSG), согласно которым передача данных разрешена в третьи страны, даже если не гарантируется адекватный уровень защиты данных. § 4c I BDSG разрешает трансграничную передачу данных с согласия лица и при условии выполнения договора между лицом и ответственной стороной.

Во всех остальных случаях решение «при условии одобрения» (§ 4c II BDSG) позволяет производственной площадке передавать данные в страны-получатели, где обеспечивается адекватный уровень защиты данных. Договорные положения или «обязательные корпоративные правила» должны предлагать адекватные гарантии защиты личных прав и должны быть заранее одобрены Компетентным органом (§ 4c BDSG II, набор 1). Международным компаниям желательно получить одобрение стандартных договорных положений. Даже саморегулирование в корпоративной политике может обеспечить поток данных внутри транснациональных корпораций. Кодексы поведения также должны предоставлять жертвам законные права и определенные гарантии, как это имеет место в контрактах. ^[9]

См. также

Вердикт переписи населения (на немецком языке)

Ссылки

^ Гола/Шомерус, Комментарий BDSG, стр. 47, Мюнхен, 2010 г., ISBN 978-3-406-59834-0
^ Гола/Шомерус, Комментарий BDSG, стр. 47, Мюнхен, 2010 г., ISBN 978-3-406-59834-0
^ BVerfGE 65, стр. 1 и далее.
^ BVerfGE 65, 1 (41 и след.)
^ Гола/Шомерус, Комментарий BDSG, стр. 54, Мюнхен, 2010 г., ISBN 978-3-406-59834-0
^ «АЗРГ – Закон о Центральном реестре иностранцев» .
^ «Понятие и история защиты информации» . 28 мая 2014 г.
^ Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных , vol. О.Дж. Л., 23 ноября 1995 г. , получено 22 ноября 2020 г.
^ Гола/Шомерус, комментарий BDSG, стр. 151, Мюнхен, 2010 г., ISBN 978-3-406-59834-0

Внешние ссылки

Обзор первых принципов (на немецком языке)
Полный текст (на немецком языке)
английский перевод

[1] Гола/Шомерус, Комментарий BDSG, стр. 47, Мюнхен, 2010 г., ISBN 978-3-406-59834-0

[2] Гола/Шомерус, Комментарий BDSG, стр. 47, Мюнхен, 2010 г., ISBN 978-3-406-59834-0

[3] BVerfGE 65, стр. 1 и далее.

[4] BVerfGE 65, 1 (41 и след.)

[5] Гола/Шомерус, Комментарий BDSG, стр. 54, Мюнхен, 2010 г., ISBN 978-3-406-59834-0

[6] «АЗРГ – Закон о Центральном реестре иностранцев» .

[7] «Понятие и история защиты информации» . 28 мая 2014 г.

[8] Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных , vol. О.Дж. Л., 23 ноября 1995 г. , получено 22 ноября 2020 г.

[9] Гола/Шомерус, комментарий BDSG, стр. 151, Мюнхен, 2010 г., ISBN 978-3-406-59834-0

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

v т и Конфиденциальность
Принципы	Право доступа к персональным данным Ожидание конфиденциальности Право на неприкосновенность частной жизни Право быть забытым Посмертная конфиденциальность
Законы о конфиденциальности	Австралия Бразилия Канада Китай Дания Англия Евросоюз Германия Гана Новая Зеландия Россия Сингапур Шри-Ланка Швейцария Великобритания Соединенные Штаты Калифорния , поправки внесены в 2020 г.
Органы по защите данных	Австралия Дания Евросоюз Франция Германия Индия Индонезия Ирландия Остров Мэн Нидерланды Норвегия Филиппины Польша Южная Корея Испания Швеция Швейцария Таиланд Турция Великобритания
Области	Потребитель Цифровой Образование Медицинский Рабочее место
Конфиденциальность информации	Закон Финансовый Интернет Фейсбук Google Твиттер Электронная почта Персональные данные Персональный идентификатор Социальные сети Технологии повышения конфиденциальности Конфиденциальность Программное обеспечение, нарушающее конфиденциальность Политика конфиденциальности Тайное голосование Конфиденциальность виртуального помощника
Правозащитные организации	Американский союз гражданских свобод Центр демократии и технологий Компьютерные специалисты за социальную ответственность Лаборатория конфиденциальности данных Фонд электронных границ Электронный информационный центр конфиденциальности Европейские цифровые права Форум о будущем конфиденциальности Глобальная сетевая инициатива Международная ассоциация специалистов по конфиденциальности НОЙБ Конфиденциальность Интернешнл
См. также	Анонимность Наблюдение за мобильным телефоном Безопасность данных Подслушивание Глобальное наблюдение Кража личных данных Массовое наблюдение Паноптикум ПРИЗМА Ордер на обыск Прослушивание телефонных разговоров Права человека Права личности
Категория

Базы данных авторитетного контроля
Международный	ВИАФ
Национальный	Германия