12) Закон о защите персональных данных земли Саар;
13) Закон о защите персональных данных Свободного государства Саксония;
14) Закон о защите персональных данных земли Саксония-Анхальт;
15) Закон о защите персональных данных земли Шлезвиг-Гольштейн;
16) Закон о защите персональных данных Свободного государства Тюрингия.
1.4.2. Определение персональных данных
Термин «персональные данные» в первую очередь определяется § 3 BDSG: это «отдельные данные о личных или деловых обстоятельствах конкретного или определяемого физического лица». Аналогичное определение повторяется и в других законах, например в § 12 Закона о статистике для федеральных нужд или в § 203 Уголовного кодекса Германии. Другие нормативные правовые акты (например, абз. 1 § 67 Социально-правового кодекса Германии) перенимают это же определение с поправкой на социальные данные.
Указанное выше определение персональных данных включает следующие понятия:
а) отдельные данные – определенная информация, относящаяся к одному конкретному физическому лицу или с помощью которой можно установить конкретное физическое лицо. Персональными данными в этом смысле являются также статистически рассчитанные данные, как, например, расчеты по кредиту и иные данные, которые позволяют определить физическое лицо[75].
б) Личные или деловые обстоятельства физического лица – информация о конкретном физическом лице или об обстоятельствах, касающихся его. Данный термин понимается в широком смысле. Прогнозы и планы, в том числе данные о предстоящих обстоятельствах, даже если их реализация неопределенна, включаются в определение личных обстоятельств[76].
Несмотря на то что Закон о персональных данных включает в число персональных данных данные и юридических, и физических лиц, защите в соответствии с этим законом подлежат персональные данные только физических лиц. Юридические лица не защищены Законом о защите персональных данных. Защита распространяется только на отдельных участников юридических лиц, если данные о юридическом лице также отражаются и на них. Закон о связи Германии, в свою очередь, распространяет свою защиту и на юридических лиц[77].
Закон о персональных данных Германии не защищает персональные данные умерших лиц. Конституционный суд Германии считает, что права личности со смертью прекращают действие[78].
Таким образом, определение персональных данных в Германии гораздо шире, чем российское определение. Включение в число персональных данных статистически рассчитанных данных, данных, полученных в результате сопоставления данных, прогнозных данных отличает германское определение от российского. Можно констатировать, что подобное определение персональных данных в Законе о защите персональных данных Германии позволяет применять указанный закон в целях защиты прав индивидов при обработке больших данных.
Защите подлежат персональные данные всех физических лиц. Ограничения есть, как указано выше, в отношении юридических лиц. Описанный в настоящем параграфе термин «персональные данные» не является исчерпывающим. Правовой основой для защиты персональных данных является конституционно гарантированное право свободы личности. Если защита специальными законами для персональных данных неосуществима, то проверяется нарушение прав свободы личности. Согласно решению Конституционного суда Германии, каждый имеет право на информационное самоопределение, т. е. каждый изначально вправе сам решать, какая информация о нем и кому будет доступна. Ограничивается это право только другими конституционными гарантиями[79].
1.4.3. Субъекты отношений в области обеспечения конфиденциальности персональных данных
Согласно абз. 1 § 1 Закона о защите персональных данных субъект персональных данных – это любое физическое или юридическое лицо, однако защита персональных данных юридических лиц не настолько обширна, как физических.
Несмотря на то что Германия подчиняется директивам Европейского союза, в законодательстве Германии отсутствуют понятия «оператор данных» и «обработчик данных». Закон о защите персональных данных знает такие термины, как «ответственное лицо» – это лицо, осуществляющее сбор, обработку и использование персональных данных, а также «получатель персональных данных».
Ответственное лицо (абз. 7 § 3 Закона о защите персональных данных) – это любое физическое лицо или организация, которые либо сами собирают, обрабатывают или используют в собственных целях персональные данные, либо поручают эту деятельность другим.
Получатель персональных данных (абз. 8 § 3 Закона о защите персональных данных) – это любое физическое лицо или организация, которые получают персональные данные.
В Германии, в отличие от других государств, существует не государственный орган, а должностное лицо, уполномоченное обеспечивать защиту персональных данных (как, например, в России есть Уполномоченный по правам человека).
Согласно § 22 ff Закона о защите персональных данных на федеральном уровне назначен Уполномоченный в сфере защиты персональных данных и свободы информации. Уполномоченный в сфере защиты персональных данных есть также в каждой из земель.
Административные органы и неадминистративные организации, которые занимаются обработкой персональных данных (с числом сотрудников более девяти), также должны согласно § 4 f Закона о защите персональных данных письменно назначить уполномоченное лицо. Уполномоченное лицо отвечает внутри организации за соблюдение защиты персональных данных.
Сбор, обработка и использование персональных данных допустимы только в том случае, если Закон о защите персональных данных или другая правовая норма это допускают или субъект персональных данных дал свое разрешение. Для улучшения защиты персональных данных специализированные организации – поставщики систем и программ для обработки данных, а также организации, занимающиеся обработкой персональных данных, могут представить свой концепт по защите персональных данных независимым официальным экспертам на проверку и опубликовать результаты.
1.4.4. Ответственность за нарушения в области персональных данных и запрет на передачу данных третьим лицам
В Германии установлена уголовная ответственность за нарушение требований, установленных Законом о защите персональных данных.
За обеспечение доступа к персональным данным неограниченного круга лиц или за несанкционированный доступ третьих лиц к персональным данным установлена следующая ответственность:
а) при непреднамеренном характере действия – денежный штраф до 300 тыс. евро (§ 43 Закона о защите персональных данных);
б) при преднамеренном характере действия – аналогичное денежное наказание и лишение свободы до двух лет (§ 44 Закона о защите персональных данных).
За непринятие мер по защите персональных данных установлена следующая ответственность:
а) при непреднамеренном характере действия – денежный штраф до 50 тыс. евро (§ 43 Закона о защите персональных данных);
б) при преднамеренном характере действия – аналогичное денежное наказание и лишение свободы до двух лет (§ 44 Закона о защите персональных данных).
Персональные данные могут быть переданы третьим лицам только в том случае, если третьи лица имеют оправданный интерес в получении информации. Термин «оправданный интерес» в немецком законодательстве подразумевает в основном защищенное законодательством право третьих на получение той или иной информации. Оправданным считается, например, интерес банка о кредитоспособности клиента или интерес кредитора об имуществе должника. Во всех остальных случаях персональные данные могут быть переданы третьим лицам только с согласия субъекта персональных данных.