Bundesdatenschutzgesetz | |
---|---|
Германия |
Немецкий Bundesdatenschutzgesetz (BDSG ) является Федеральный закон о защите данных, который вместе с законами о защите данных федеральных земель Германии и другими региональными нормативными актами регулирует раскрытие личных данных, которые обрабатываются вручную или хранятся в ИТ-системах.
В начале 1960-х годов в США начали рассматривать вопрос о комплексной защите данных, который получил дальнейшее развитие с развитием компьютерных технологий и связанных с ними рисков для конфиденциальности. Таким образом, была необходима нормативная база, чтобы противодействовать нарушению конфиденциальности при обработке персональных данных.
В 1970 году федеральная земля Гессен приняла первый национальный закон о защите данных, который также стал первым законом о защите данных в мире. В 1971 году был внесен первый законопроект о федеральном законе о защите данных. Наконец, 1 января 1978 г. вступил в силу первый федеральный закон о защите данных. В последующие годы, по мере того как BDSG формировалась на практике, в обработке данных произошел технический прогресс, поскольку компьютер стал приобретать все большее значение как на работе, так и в частном секторе.
Также произошли значительные изменения в правовой сфере. поле. В Volkszählungsurteil (на немецком языке) (вердикт переписи) от 15 декабря 1983 года Конституционный суд развил право на самоопределение информации (статья 1 I Конституции в сочетании со статьей 2 I Конституции). Приговор подтвердил, что личные данные в Германии защищены конституцией. Это означает, что люди имеют право решать, когда и в какой степени публиковать личную информацию.
В 1990 г. законодательный орган принял новый закон о защите данных на основании решения Конституционный суд Германии.
В 2009 и 2010 годах в BDSG были внесены три поправки: 1 апреля 2010 года вышла «Новелла I», где были введены новые правила деятельности кредитных бюро и их контрагентов (особенно кредитных организаций) и скоринга в сила. 1 сентября 2009 года вступил в силу долго и активно обсуждаемый «Роман II». Они изменяют 18 параграфов в BDSG. Контент включает изменения привилегий списка для адресной торговли, новые правила для исследования рынка и общественного мнения, подписку, запрет на связывание, защиту данных сотрудников, обработку данных заказов, новые полномочия надзорных органов и новые или значительно расширенные штрафы, обязательства по предоставлению информации в в случае утечки данных, защита от увольнения для сотрудников по защите данных. 11 июня 2010 г. "Novelle III" [4] был изменен как небольшой подпункт в рамках закона, реализующего Директиву ЕС о потребительском кредите, § 29 BDSG на два абзаца.
В 2009 году в BDSG было внесено три поправки в результате критики со стороны защитников прав потребителей и многочисленных скандалов в отношении конфиденциальности в бизнесе. Поправки касались следующих пунктов:
Закон должен защищать личные права людей от причинения вреда в результате обращения с их личной информацией (§ 1 I BDSG).
Согласно § 1 II BDSG закон применяется к сбору, обработке и использованию личных данных:
Центральный регистр иностранных граждан, согласно § 22 и § 37 закона, является исключены из определенных разделов Bundesdatenschutzgesetz.
Государственные органы - это федеральные власти, органы отправления правосудия и другие публично-правовые учреждения Федерации, федеральные власти, учреждения и фонды публичного права и их ассоциации, независимо от их юридической формы (§ 2 I BDSG).
Органы государственной власти федеральных земель, органы власти и учреждения юстиции, а также другие публично-правовые институты федеральной земли, сообщества, ассоциации сообщества и других юридические лица публичного права, которые подчиняются надзору федерального государства публичного права, и их ассоциации, независимо от их юридической формы (§ 2 II BDSG).
Негосударственные агентства - это физические и юридические лица, компании и другие ассоциации частных лиц, которые не подпадают под действие параграфов § 2 I-III BDSG. (§ 2 IV BDSG).
BDSG содержит семь основных принципов закона о защите данных:
1. Запрет с сохранением разрешения:
Сбор, обработка и использование личных данных строго запрещены, если это не разрешено законом или если заинтересованное лицо не дает согласия (§ 4 I BDSG).
2. Принцип оперативности:
Персональные данные должны быть получены непосредственно от заинтересованного лица. Исключением из этого принципа является законное разрешение или непропорциональные усилия (§ 4 III BDSG).
3. Приоритет специальных законов:
BDSG заменяет любой другой федеральный закон, касающийся личной информации и ее публикации (§ 1 III BDSG).
4. Принцип соразмерности:
Создание стандартов ограничивает основные права пострадавшего. Следовательно, эти законы и процедуры должны быть соответствующими и необходимыми. Должен произойти баланс интересов.
5. Принцип избежания данных и экономии данных:
Посредством использования анонимности данных или псевдоанонимизации каждая система обработки данных должна достигать цели не использовать (или как можно меньше) личных данных.
6. Принцип прозрачности:
Если собираются персональные данные, ответственное лицо должно проинформировать пострадавшее лицо о его личности и целях сбора, обработки или использования (§ 4 III BDSG).
7. Принцип целевого назначения:
Если разрешен сбор данных для определенной цели, использование данных ограничивается этой целью. Требуется новое согласие или закон, если данные будут использоваться для других целей.
Персональные данные означают все данные, которые предоставляют информацию о личных отношениях или фактах об идентифицированном или идентифицируемом физическом лице. К ним относятся:
Защищенные личные данные не включают анонимные данные, личность которых не может быть различима. Псевдонимизированные данные (в которых имя человека заменяется псевдонимом) защищены BDSG, поскольку данные относятся к человеку, личность которого можно различить. BDSG не защищает данные юридических лиц, таких как корпорации, хотя некоторые суды распространили защиту на юридических лиц.
Совет министров и Европейский парламент приняли 24 октября 1995 г. Директиву о защите данных, которую необходимо было перенести во внутреннее законодательство государств-членов к концу 1998 г. (Директива 95/46 / EC Европейского парламента и Совета о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных). Все государства-члены приняли собственное законодательство о защите данных.
25 января 2012 года Европейская комиссия представила проект Общего регламента по защите данных, который заменит Директиву о защите данных.
Следующие правила применяются в соответствии с требованиями Европейской комиссии Директивы о защите данных к компаниям, зарегистрированным в Германии и для компаний за рубежом.
Для компаний, базирующихся в Германии, Федеральный закон о защите данных по-разному регулирует передачу данных в другой стране-члене ЕС и в третью страну.
Благодаря внедрению Директивы ЕС о защите данных в странах-членах ЕС появился единый уровень защиты данных. Таким образом, компания, зарегистрированная в Германии, имеет право передавать личные данные в Европе по тем же правилам, что и в случае передачи данных в пределах Германии.
Передача в третьи страны должна соответствовать требованиям Федерального закона о конфиденциальности (§ 4b II, предложение 1 BDSG). Передача должна быть прекращена, если у человека есть законный интерес в предотвращении передачи, особенно если адекватная защита данных в третьей стране не гарантируется (§ 4b II, предложение 2 BDSG). Адекватность защиты должна оцениваться с учетом всех обстоятельств, важных для передачи данных (§ 4b III BDSG). К ним относятся тип данных, цель, продолжительность обработки, профессиональные правила и меры безопасности. По мнению Европейской комиссии, Швейцария и Канада имеют адекватный уровень защиты.
Еще одно решение Европейской комиссии касается передачи данных в США. Согласно постановлению, США Министерство торговли обеспечило разумный уровень защиты данных посредством заключенного Соглашения Safe Harbor. Посредством Соглашения Safe Harbor (признанного недействительным 6 октября 2015 г. Максимилианом Шремсом против Уполномоченного по защите данных и его преемником, Privacy Shield, недействительным 16 июля 2020 г.) получатель в США обязуется соблюдать определенные принципы защиты данных посредством заявлений в соответствующие органы США. В настоящее время не применяются никакие рамки переводов, и для переводов в США и из США, как и для всех третьих стран, требуется другой утвержденный механизм в соответствии с GDPR (например, обязательные корпоративные правила, стандартные договорные положения).
Для других третьих стран определить соответствующий уровень защиты вряд ли возможно из-за сложных критериев. По этой причине важны определенные исключения (в § 4c I и II BDSG), согласно которым передача данных разрешена в третьих странах, даже если адекватный уровень защиты данных не гарантируется. § 4c I BDSG разрешает трансграничную передачу данных с согласия лица и при условии выполнения договора между лицом и ответственной стороной.
Во всех остальных случаях решение «при условии утверждения» (§ 4c II BDSG) позволяет производственному предприятию передавать данные в страны-получатели, где обеспечивается адекватный уровень защиты данных. Договорные положения или «обязательные корпоративные правила» должны предлагать адекватные гарантии в отношении защиты личных прав и должны быть заранее одобрены Компетентным органом (§ 4c BDSG II, часть 1). Для международных компаний рекомендуется получить одобрение стандартных договорных положений. Даже саморегулирование корпоративных политик может обеспечить поток данных внутри транснациональных корпораций. Кодексы поведения должны также предоставлять жертвам юридические права и определенные гарантии, как в случае с контрактами.