Федеральный закон о защите данных
Федеральный закон о защите данных | |
---|---|
Германия |
Германии Bundesdatenschutzgesetz ( BDSG ) — это федеральный закон о защите данных , который вместе с законами о защите данных федеральных земель Германии и другими отраслевыми нормативными актами регулирует раскрытие персональных данных, которые обрабатываются вручную или хранятся в ИТ-системах.
Историческое развитие
[ редактировать ]1960–1970
[ редактировать ]В начале 1960-х годов в Соединенных Штатах началось рассмотрение вопроса о комплексной защите данных, которое получило дальнейшее развитие по мере развития компьютерных технологий и связанных с ними рисков для конфиденциальности. Поэтому была необходима нормативная база для противодействия нарушению конфиденциальности при обработке персональных данных.
1970–1990
[ редактировать ]В 1970 году федеральная земля Гессен приняла первый национальный закон о защите данных, который также стал первым законом о защите данных в мире. В 1971 году был представлен первый законопроект о федеральном законе о защите данных. Наконец, 1 января 1978 года вступил в силу первый федеральный закон о защите данных. [1] В последующие годы, по мере того как BDSG формировалась на практике, произошло техническое развитие обработки данных, поскольку компьютер стал приобретать все большее значение как на работе, так и в частном секторе. [2]
Существенные изменения произошли и в правовом поле. С Volkszählungsurteil [3] (на немецком языке) (вердикт переписи населения) от 15 декабря 1983 года Федеральный конституционный суд разработал право на самоопределение информации (статья 1(1) в сочетании со статьей 2(1) Основного закона Германии ). Приговор подтвердил, что личные данные в Германии защищены конституцией. Это означает, что люди имеют право решать, когда и в каком объеме публиковать личную информацию. [4]
С 1990 г.
[ редактировать ]В 1990 году законодательный орган принял новый закон о защите данных на основании решения Конституционного суда Германии.
В 2009 и 2010 годах в BDSG были внесены три поправки: 1 апреля 2010 года вступил в силу «Новелле I» новый регламент деятельности кредитных бюро и их контрагентов (особенно кредитных организаций) и скоринга. 1 сентября 2009 года вступил в силу долго обсуждаемый и активно обсуждаемый «Новелль II». В BDSG изменены 18 параграфов. Содержание включает в себя изменения в привилегиях списка для торговли адресами, новые правила исследования рынка и общественного мнения, согласие на участие, запрет на объединение, защиту данных сотрудников, обработку данных заказов, новые полномочия надзорных органов и новые или значительно расширенные штрафы, информационные обязательства в в случае утечки данных, защита от увольнения сотрудников по защите данных. 11 июня 2010 года «Новелла III» [4] была изменена как небольшой подпункт закона, реализующего Директиву ЕС о потребительском кредитовании, § 29 BDSG, на два абзаца.
Законодательная поправка
[ редактировать ]В 2009 году в BDSG было внесено три поправки в результате критики со стороны защитников прав потребителей и многочисленных скандалов, связанных с конфиденциальностью в бизнесе. Поправки коснулись следующих пунктов: [5]
Поправки I и III
[ редактировать ]- Строгое целевое использование прав на защиту данных (§ 6 III BDSG)
- Допустимость и прозрачность автоматизированных индивидуальных решений (§ 6a BDSG)
- Передача данных коммерческим агентствам (§ 28a BDSG)
- Приемлемость в процедурах подсчета баллов (§ 28b BDSG)
- Претензии на информацию об отказе в кредите для трансграничного кредитного запроса в пределах ЕС/ЕЭЗ (§ 29 VI и VII BDSG)
- Информация о претензиях к ответственным органам, особенно в случае скоринговых и коммерческих агентств (§ 34 BDSG)
- Новые штрафные правонарушения (§ 43 I № 4a, 8b, 8c BDSG)
Поправка II
[ редактировать ]- Введение юридического определения термина « работники » (§ 3 XI BDSG)
- Расширение целевой экономики данных и предотвращение использования данных (§ 3a BDSG)
- Укрепление должности внутреннего сотрудника по защите данных путем обучения и четкого закона о защите труда (§ 4f III, предложения 5-7 BDSG)
- Расширение требования к фиксации письменного содержания в целях обработки данных и контроля подрядчика (§ 11 II BDSG)
- Новые квалификационные требования и прозрачность использования персональных данных в рамках торговли адресами и рекламных целях (§ 28 III BDSG)
- Ужесточение требований к неписьменному согласию (§ 28 IIIa BDSG)
- Введение запрета на спаривание в связи с согласием (§ 28 IIIb BDSG)
- Льготы для компаний, занимающихся исследованием рынка и общественного мнения (§ 30a BDSG)
- Правило о допустимости обработки данных о занятости (§ 32 BDSG)
- Расширение требований к раскрытию информации для списка умеренной передачи (§ 34 Ia BDSG)
- Расширение полномочий надзорных органов по защите и использованию обработки данных (§ 38 V BDSG)
- Обязанность самораскрытия надзорному органу и пострадавшему лицу в случае незаконного получения данных (§ 42a BDSG)
- Введение новых штрафов (§ 43 I № 2a, 2b, 3a, 8a и II № 5a-7 BDSG)
- Увеличение размера штрафа с 50 000 евро до 300 000 евро (§ 43 III BDSG)
- Переходные меры для исследователей рынка и общественного мнения, а также для рекламного использования сохраненных данных, зарегистрированных до 1 сентября 2009 г. (§ 47 BDSG)
- Акцент на использовании шифрования (Приложение § 9 предложения 1 BDSG)
Обзор BDSG
[ редактировать ]- Первый раздел (§ § 1-11): Общие и общие правила
- Второй раздел (§ § 12-26): Обработка данных государственными органами
- Третий раздел (§ § § 27–38a): Обработка данных непубличными органами и публичными компаниями-конкурентами.
- Четвертый раздел (§ § § 39–42): Особые положения
- Пятый раздел (§ § § 43–44): Положения об уголовном и гражданском наказании
- Раздел шестой (§ § § 45–46): Переходные положения
Цель и сфера применения
[ редактировать ]Цель
[ редактировать ]Закон должен защищать личные права людей от ущерба в результате обработки их личной информации (§ 1 I BDSG).
Объем
[ редактировать ]Согласно § 1 II BDSG закон применяется к сбору, обработке и использованию персональных данных:
- Государственные органы Федерации
- Органы государственной власти федеральных земель
- Негосударственные агентства
Исключения
[ редактировать ]Центральный регистр иностранных граждан , согласно § 22 и § 37 закона, исключен из некоторых разделов Bundesdatenschutzgesetz. [6]
Государственные органы Федерации
[ редактировать ]Органами публичной власти являются федеральные органы власти, органы юстиции и другие публично-правовые учреждения Федерации, федеральные органы власти, учреждения и фонды публичного права и их объединения, независимо от их организационно-правовой формы (раздел 2 I BDSG).
Органы государственной власти федеральных земель
[ редактировать ]Органы государственной власти федеральных земель, органы власти и учреждения юстиции и другие публично-правовые учреждения федеральной земли, общины, общественного объединения и других юридических лиц публичного права, которые подчинены надзору федеральной земли публичного права. право и их объединения, независимо от их организационно-правовой формы (§ 2 II BDSG).
Негосударственные агентства
[ редактировать ]Непубличными учреждениями являются физические и юридические лица, компании и другие объединения лиц частного права, не подпадающие под действие пунктов § 2 I-III BDSG (§ 2 IV BDSG).
Обзор первых принципов
[ редактировать ]BDSG содержит семь основных принципов закона о защите данных: [7]
1. Запрет с оговоркой разрешения:
Сбор, обработка и использование персональных данных строго запрещены, за исключением случаев, когда это разрешено законом или если заинтересованное лицо дает на это согласие (§ 4 I BDSG).
2. Принцип срочности:
Персональные данные должны быть собраны непосредственно у заинтересованного лица. Исключением из этого принципа является законное разрешение или несоразмерное усилие (§ 4 III BDSG).
3. Приоритет специальных законов:
BDSG заменяет собой любой другой федеральный закон, касающийся личной информации и ее публикации (§ 1 III BDSG).
4. Принцип пропорциональности:
Создание стандартов ограничивает основные права пострадавшего человека. Поэтому эти законы и процедуры должны быть уместными и необходимыми. Должен произойти баланс интересов.
5. Принцип избегания данных и экономии данных:
За счет использования анонимизации или псевдоанонимизации каждая система обработки данных должна достичь цели не использовать (или как можно меньше) личные данные.
6. Принцип прозрачности:
Если собираются персональные данные, ответственное лицо должно сообщить пострадавшему лицу его личность и цели сбора, обработки или использования (§ 4 III BDSG).
7. Принцип целевого назначения:
Если разрешен сбор данных для определенной цели, использование данных ограничивается этой целью. Требуется новое согласие или закон, если данные будут использоваться для другой цели.
Виды персональных данных
[ редактировать ]Персональные данные означают все данные, которые предоставляют информацию о личных отношениях или фактах об идентифицированном или идентифицируемом физическом лице . Они включают в себя:
- Личные отношения : имя, адрес, род занятий, адрес электронной почты, IP-адрес или личный номер.
- Фактические обстоятельства : доходы, налоги, право собственности.
- Особый вид персональных данных : расовое или этническое происхождение , политические взгляды, религиозные или философские убеждения, членство в профсоюзе, состояние здоровья или половая жизнь. Эти данные подлежат особой защите.
К защищенным персональным данным не относятся обезличенные данные, в которых личность человека не различима. Псевдонимизированные данные (где имя человека заменяется псевдонимом) защищены BDSG, поскольку данные относятся к лицу, личность которого различима. BDSG не защищает данные юридических лиц , например корпораций, хотя некоторые суды распространили защиту на юридических лиц.
Взаимодействие с европейским правом
[ редактировать ]Совет министров и Европейский парламент приняли Директиву о защите данных 24 октября 1995 г., которая должна была быть перенесена во внутреннее законодательство государств-членов к концу 1998 г. (Директива 95/46/EC Европейского парламента и Совета о защите данных). о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных). Все государства-члены приняли собственное законодательство о защите данных. [8]
25 января 2012 года Европейская комиссия представила проект Общего регламента защиты данных , который заменит Директиву о защите данных.
Трансграничная передача данных
[ редактировать ]Следующие правила применяются в соответствии с требованиями Директивы Европейской комиссии о защите данных к компаниям, зарегистрированным в Германии, и к компаниям, базирующимся за границей.
Компании, зарегистрированные в Германии
[ редактировать ]Для компаний, базирующихся в Германии, Федеральный закон о защите данных регулирует передачу данных по-разному в другую страну-члена ЕС и в третью страну.
Передача из Германии в другую страну-члена ЕС
[ редактировать ]Благодаря реализации Директивы ЕС о защите данных в странах-членах ЕС появился единый уровень защиты данных. Таким образом, компания, зарегистрированная в Германии, имеет право передавать персональные данные в Европе по тем же правилам, как если бы она передавала данные в пределах Германии.
Передача из Германии в третью страну
[ редактировать ]Передача в третьи страны должна соответствовать требованиям Федерального закона о конфиденциальности (§ 4b II предложение 1 BDSG). Передача должна быть прекращена, если у лица есть законный интерес в предотвращении передачи, особенно если адекватная защита данных в третьей стране не гарантирована (§ 4b II предложение 2 BDSG). Адекватность защиты оценивается с учетом всех обстоятельств, имеющих значение для передачи данных (§ 4b III BDSG). К ним относятся тип данных, цель, продолжительность обработки, профессиональные правила и меры безопасности. По мнению Еврокомиссии, Швейцария и Канада имеют достаточный уровень защиты.
Дальнейшее решение Европейской комиссии влияет на передачу данных в США. Согласно решению, Министерство торговли США обеспечило разумный уровень защиты данных посредством заключенного Соглашения Safe Harbor . В соответствии с Соглашением о безопасной гавани (признанным недействительным 6 октября 2015 г. по решению Максимилиана Шремса против Комиссара по защите данных и его преемником Privacy Shield, признанным недействительным 16 июля 2020 г.), получатель в Соединенных Штатах обязуется соблюдать определенные принципы защиты данных посредством заявлений, адресованных соответствующим властям США. В настоящее время не применяется система передачи, а для передачи в США и из США, как и во всех третьих странах, требуется другой утвержденный механизм в соответствии с GDPR (например, обязательные корпоративные правила, стандартные договорные положения).
Для других третьих стран вряд ли возможно определить соответствующий уровень защиты из-за сложных критериев. По этой причине важны определенные исключения (в § 4c I и II BDSG), согласно которым передача данных разрешена в третьи страны, даже если не гарантируется адекватный уровень защиты данных. § 4c I BDSG разрешает трансграничную передачу данных с согласия лица и при условии выполнения договора между лицом и ответственной стороной.
Во всех остальных случаях решение «при условии одобрения» (§ 4c II BDSG) позволяет производственной площадке передавать данные в страны-получатели, где обеспечивается адекватный уровень защиты данных. Договорные положения или «обязательные корпоративные правила» должны предлагать адекватные гарантии защиты личных прав и должны быть заранее одобрены Компетентным органом (§ 4c BDSG II, набор 1). Международным компаниям желательно получить одобрение стандартных договорных положений. Даже саморегулирование в корпоративной политике может обеспечить поток данных внутри транснациональных корпораций. Кодексы поведения также должны предоставлять жертвам законные права и определенные гарантии, как это имеет место в контрактах. [9]
См. также
[ редактировать ]- Вердикт переписи населения (на немецком языке)
Ссылки
[ редактировать ]- ^ Гола/Шомерус, Комментарий BDSG, стр. 47, Мюнхен, 2010 г., ISBN 978-3-406-59834-0
- ^ Гола/Шомерус, Комментарий BDSG, стр. 47, Мюнхен, 2010 г., ISBN 978-3-406-59834-0
- ^ BVerfGE 65, стр. 1 и далее.
- ^ BVerfGE 65, 1 (41 и след.)
- ^ Гола/Шомерус, Комментарий BDSG, стр. 54, Мюнхен, 2010 г., ISBN 978-3-406-59834-0
- ^ «АЗРГ – Закон о Центральном реестре иностранцев» .
- ^ «Понятие и история защиты информации» . 28 мая 2014 г.
- ^ Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных , vol. О.Дж. Л., 23 ноября 1995 г. , получено 22 ноября 2020 г.
- ^ Гола/Шомерус, комментарий BDSG, стр. 151, Мюнхен, 2010 г., ISBN 978-3-406-59834-0
Внешние ссылки
[ редактировать ]- Обзор первых принципов (на немецком языке)
- Полный текст (на немецком языке)
- английский перевод