Bundesdatenschutzgesetz

Закон о защите персональных данных ( BDSG ) — это федеральный закон о защите данных , который вместе с законами о защите данных федеральных земель Германии и другими нормативными актами, действующими в конкретных регионах, регулирует раскрытие персональных данных, которые обрабатываются вручную или хранятся в ИТ-системах.

В начале 1960-х годов в Соединенных Штатах началось рассмотрение вопроса о всеобъемлющей защите данных, которое получило дальнейшее развитие с развитием компьютерных технологий и связанных с ними рисков для конфиденциальности. Поэтому потребовалась нормативная база для противодействия ущемлению конфиденциальности при обработке персональных данных.

В 1970 году федеральная земля Гессен приняла первый национальный закон о защите данных, который также стал первым законом о защите данных в мире. В 1971 году был представлен первый законопроект о федеральном законе о защите данных. Наконец, 1 января 1978 года первый федеральный закон о защите данных вступил в силу. ^[1] В последующие годы, по мере того как BDSG обретал практическую форму, в обработке данных произошло техническое развитие, поскольку компьютер становился все более важным как на работе, так и в частном секторе. ^[2]

Также произошли существенные изменения в правовой сфере. С Volkszählungsurteil  [de] ^[3] (на немецком языке) (вердиктом переписи) от 15 декабря 1983 года Федеральный конституционный суд разработал право на самоопределение информации (статья 1(1) в сочетании со статьей 2(1) Основного закона Германии ). Вердикт подтвердил, что персональные данные в Германии защищены конституцией. Это означает, что отдельные лица имеют право решать, когда и в какой степени публиковать персональные данные. ^[4]

В 1990 году законодательный орган принял новый закон о защите данных на основе решения Конституционного суда Германии.

В BDSG были внесены поправки в 2009 и 2010 годах с тремя поправками: 1 апреля 2010 года вступила в силу «Новелла I» — новое положение о деятельности кредитных бюро и их контрагентов (особенно кредитных организаций) и скоринге. Долго и бурно обсуждаемая «Новелла II» вступила в силу 1 сентября 2009 года. Они изменяют 18 пунктов в BDSG. Содержание включает изменения в привилегии списка для адресной торговли, новые правила для рыночных и общественных исследований, подписку, запрет на сопряжение, защиту данных сотрудников, обработку данных заказов, новые полномочия для надзорных органов и новые или значительно расширенные штрафы, информационные обязательства в случае утечки данных, защиту увольнения для сотрудников по защите данных. 11 июня 2010 года «Новелла III» [4] была изменена как небольшой подпункт в законе, реализующем Директиву ЕС о потребительском кредитовании, § 29 BDSG на два пункта.

В 2009 году в BDSG было внесено три поправки в результате критики со стороны защитников прав потребителей и многочисленных скандалов в сфере конфиденциальности в бизнесе. Поправки касались следующих пунктов: ^[5]

• Строгое целевое назначение при обеспечении прав на защиту данных (§ 6 III BDSG)
• Допустимость и прозрачность автоматизированных индивидуальных решений (§ 6a BDSG)
• Передача данных коммерческим агентствам (§ 28a BDSG)
• Допустимость в процедурах подсчета очков (§ 28b BDSG)
• Запросы на информацию об отказе в выдаче кредита для трансграничного кредитного расследования в пределах ЕС/ЕЭЗ (§ 29 VI и VII BDSG)
• Информация о претензиях к ответственным агентствам, особенно в случае скоринговых и коммерческих агентств (§ 34 BDSG)
• Новые штрафные санкции (§ 43 I № 4a, 8b, 8c BDSG)

• Введение юридического определения термина « Beschäftigte » (работники) (§ 3 XI ​​BDSG)
• Расширение целевой экономики данных и избегание данных (§ 3a BDSG)
• Укрепление позиции внутреннего должностного лица по защите данных посредством обучения и четкого закона о защите рабочих мест (§ 4f III предложение 5-7 BDSG)
• Расширение требования о фиксировании письменного содержания в целях обработки данных и контроля подрядчика (§ 11 II BDSG)
• Новые требования к квалификации и прозрачность использования персональных данных в рамках торговли адресами и рекламных целях (§ 28 III BDSG)
• Ужесточение требований к согласию, не выраженному в письменной форме (§ 28 IIIa BDSG)
• Введение запрета на совокупление в связи с согласием (§ 28 IIIb BDSG)
• Освобождение компаний, занимающихся исследованием рынка и общественного мнения (§ 30a BDSG)
• Правило о допустимости обработки данных о занятости (§ 32 BDSG)
• Расширение требований к раскрытию информации для списка умеренной передачи (§ 34 Ia BDSG)
• Расширение полномочий надзорных органов по вопросам обработки, защиты и использования данных (§ 38 V BDSG)
• Обязанность самостоятельного раскрытия информации надзорному органу и пострадавшему лицу о незаконном получении сведений о данных (§ 42a BDSG)
• Введение новых штрафов (§ 43 I № 2a, 2b, 3a, 8a и II № 5a-7 BDSG)
• Увеличение размера штрафа с 50 000 евро до 300 000 евро (§ 43 III BDSG)
• Переходные положения для исследователей рынка и общественного мнения, а также для рекламного использования сохраненных данных, зарегистрированных до 1 сентября 2009 года (§ 47 BDSG)
• Акцент на использовании шифрования (Приложение к § 9 предложение 1 BDSG)

• Первый раздел (§ § 1-11): Общие и общепринятые правила
• Второй раздел (§ § 12-26): Обработка данных государственными органами
• Третий раздел (§ § 27-38a): Обработка данных негосударственными органами и публичными компаниями-конкурентами
• Четвертый раздел (§ § 39-42): Особые положения
• Пятый раздел (§ § 43-44): Положения об уголовных и гражданских санкциях
• Шестой раздел (§ § 45-46): Переходные положения

Закон должен защищать личные права граждан от нарушения в результате обработки их персональных данных (§ 1 I BDSG).

Согласно § 1 II BDSG закон применяется к сбору, обработке и использованию персональных данных:

• Органы государственной власти Федерации
• Органы государственной власти федеральных земель
• Негосударственные агентства

Центральный реестр иностранных граждан , согласно § 22 и § 37 закона, исключен из некоторых разделов Федерального закона о защите прав иностранцев. ^[6]

Органами публичной власти являются федеральные органы власти, органы юстиции и иные публично-правовые учреждения Федерации, федеральные органы власти, учреждения и фонды публичного права и их объединения независимо от их организационно-правовой формы (§ 2 I Федерального закона о федеральных землях).

Органы государственной власти федеральных земель, органы и учреждения юстиции и другие публично-правовые учреждения федерального государства, общины, объединения общин и другие юридические лица публичного права, которые подчинены надзору федерального государства публичного права и их объединениям, независимо от их организационно-правовой формы (§ 2 II BDSG).

Непубличными учреждениями являются физические и юридические лица, компании и другие объединения лиц частного права, не подпадающие под действие пунктов § 2 I–III BDSG (§ 2 IV BDSG).

BDSG содержит семь основных принципов закона о защите данных: ^[7]

1. Запрет с оговоркой о разрешении:

Сбор, обработка и использование персональных данных строго запрещены, если это не разрешено законом или заинтересованное лицо не дало на это согласия (§ 4 I BDSG).

2. Принцип непосредственности:

Персональные данные должны быть собраны непосредственно у заинтересованного лица. Исключением из этого принципа является законное разрешение или несоразмерное усилие (§ 4 III BDSG).

3. Приоритет специальных законов:

BDSG заменяет собой любой другой федеральный закон, касающийся личной информации и ее публикации (§ 1 III BDSG).

4. Принцип пропорциональности:

Создание стандартов ограничивает основные права пострадавшего лица. Поэтому эти законы и процедуры должны быть уместными и необходимыми. Должен быть баланс интересов.

5. Принцип избегания данных и экономии данных:

Благодаря использованию анонимизации или псевдоанонимизации данных каждая система обработки данных должна достичь цели не использовать (или использовать как можно меньше) персональных идентифицируемых данных.

6. Принцип прозрачности:

В случае сбора персональных данных ответственный субъект должен сообщить затронутому лицу свою личность и цели сбора, обработки или использования (§ 4 III BDSG).

7. Принцип целевого назначения:

Если сбор данных разрешен для определенной цели, использование данных ограничивается этой целью. Требуется новое согласие или закон, если данные будут использоваться для другой цели.

Персональные данные означают все данные, которые предоставляют информацию о личных отношениях или фактах об идентифицированном или идентифицируемом физическом лице . Они включают в себя:

• Личные отношения : имя, адрес, род занятий, электронная почта, IP-адрес или личный номер
• Фактические обстоятельства : доход, налоги, собственность
• Особый вид персональных данных : расовое или этническое происхождение , политические взгляды, религиозные или философские убеждения, членство в профсоюзах, состояние здоровья или половая жизнь. Эти данные подлежат особой защите.

Защищенные персональные данные не включают в себя анонимизированные данные, где личность человека не различима. Псевдонимизированные данные (где имя человека заменено псевдонимом) защищены BDSG, поскольку данные относятся к человеку, личность которого различима. BDSG не защищает данные юридических лиц , таких как корпорации, хотя некоторые суды распространили защиту на юридических лиц.

Совет министров и Европейский парламент приняли Директиву о защите данных 24 октября 1995 года, которая должна была быть транспонирована во внутреннее законодательство государств-членов к концу 1998 года (Директива 95/46/EC Европейского парламента и Совета о защите лиц при обработке персональных данных и о свободном перемещении таких данных). Все государства-члены приняли собственное законодательство о защите данных. ^[8]

25 января 2012 года Европейская комиссия представила проект Общего регламента по защите данных , который заменит Директиву о защите данных.

Следующие правила применяются в соответствии с требованиями Директивы Европейской комиссии о защите данных к компаниям, зарегистрированным в Германии, и к компаниям, базирующимся за рубежом.

Для компаний, базирующихся в Германии, Федеральный закон о защите данных по-разному регулирует передачу данных в другую страну-член ЕС и в третью страну.

Благодаря внедрению Директивы ЕС о защите данных в странах-членах ЕС появился единый уровень защиты данных. Таким образом, компания, зарегистрированная в Германии, имеет право передавать персональные данные в Европу по тем же правилам, как если бы она передавала данные в пределах Германии.

Передача данных в третьи страны должна соответствовать требованиям Федерального закона о конфиденциальности (§ 4b II предложение 1 BDSG). Передача данных должна быть прекращена, если лицо имеет законный интерес в предотвращении передачи данных, особенно если не гарантируется адекватная защита данных в третьей стране (§ 4b II предложение 2 BDSG). Адекватность защиты должна оцениваться с учетом всех обстоятельств, имеющих значение для передачи данных (§ 4b III BDSG). К ним относятся тип данных, цель, продолжительность обработки, профессиональные правила и меры безопасности. По мнению Европейской комиссии, Швейцария и Канада имеют адекватный уровень защиты.

Еще одно решение Европейской комиссии затрагивает передачу данных в Соединенные Штаты. Согласно решению, Министерство торговли США обеспечило разумный уровень защиты данных посредством согласованного Соглашения Safe Harbor . Благодаря Соглашению Safe Harbor (недействительному 6 октября 2015 года Максимиллианом Шремсом против Комиссара по защите данных и его преемнику Privacy Shield, недействительному 16 июля 2020 года) получатель в Соединенных Штатах обязуется соблюдать определенные принципы защиты данных посредством заявлений, которые соответствующим органам США. В настоящее время не применяется ни одна структура передачи, и передача данных в США и из США, как и во все третьи страны, требует другого утвержденного механизма в соответствии с GDPR (например, обязательные корпоративные правила, стандартные договорные положения).

Для других третьих стран определить соответствующий уровень защиты вряд ли возможно из-за сложных критериев. По этой причине важны определенные исключения (в § 4c I и II BDSG), при которых передача данных в третьих странах допускается, даже если не гарантируется адекватный уровень защиты данных. § 4c I BDSG допускает трансграничную передачу данных с согласия лица и при условии выполнения договора между лицом и ответственной стороной.

Во всех остальных случаях решение «при условии одобрения» (§ 4c II BDSG) позволяет производственным площадкам передавать данные в страны-получатели, где обеспечивается адекватный уровень защиты данных. Договорные положения или «обязательные корпоративные правила» должны предлагать адекватные гарантии в отношении защиты личных прав и должны быть заранее одобрены Компетентным органом (§ 4c BDSG II set 1). Для международных компаний желательно получить одобрение на стандартные договорные положения. Даже саморегулирование в корпоративной политике может обеспечить поток данных внутри многонациональных корпораций. Кодексы поведения также должны предоставлять жертвам юридические права и определенные гарантии, как в случае с контрактами. ^[9]

• Volkszählungsurteil (на немецком языке)

• Обзор первых принципов (на немецком языке)
• Полный текст (на немецком языке)
• Перевод на английский