а) при непреднамеренном характере действия – денежный штраф до 50 тыс. евро (§ 43 Закона о защите персональных данных);
б) при преднамеренном характере действия – аналогичное денежное наказание и лишение свободы до двух лет (§ 44 Закона о защите персональных данных).
Персональные данные могут быть переданы третьим лицам только в том случае, если третьи лица имеют оправданный интерес в получении информации. Термин «оправданный интерес» в немецком законодательстве подразумевает в основном защищенное законодательством право третьих на получение той или иной информации. Оправданным считается, например, интерес банка о кредитоспособности клиента или интерес кредитора об имуществе должника. Во всех остальных случаях персональные данные могут быть переданы третьим лицам только с согласия субъекта персональных данных.
Любая обработка данных, позволяющих при сопоставлении получать персональные данные, охватывается дефиницией «персональные данные» и защищена Законом о защите персональных данных. Исключения составляют следующие виды сбора информации, которые отвечают признакам обработки больших данных:
а) для целей заключения, исполнения и прекращения договора с субъектом разрешается собирать и использовать данные для прогноза будущего поведения субъекта (§ 28а f Закона о защите персональных данных);
б) разрешаются также сбор, использование и обработка данных для исследования рынка и общественного мнения (§ 30а Закона о защите персональных данных);
в) разрешаются сбор, обработка и использование данных для научных исследований (§ 40 Закона о защите персональных данных).
Анализ данных, как и любая иная обработка данных, защищен Законом о защите персональных данных. Исключения составляют правила для провайдеров, предлагающих телекоммуникационные услуги, услуги доступа к Интернету и иные связанные с Интернетом услуги.
Согласно § 98 Закона о связи данные по определению местонахождения пользователя телекоммуникационных сетей могут быть использованы только в объеме, требуемом предоставленной услугой, и только в соответствующий период, если они были предварительно анонимизированы или если пользователь дал для использования данных свое согласие.
Согласно § 107 Закона о связи провайдеры имеют право обрабатывать информацию только в объеме, разрешенном им пользователем, или только в том объеме, который требуется для выполнения услуг.
В других случаях, если лицо неправомерно для себя лично или для других собирает не для него предназначенные данные из необщедоступных источников с использованием технических средств, согласно § 202b Уголовного кодекса Германии оно может быть привлечено к ответственности с наложением денежного штрафа или понести наказание в форме лишения свободы до двух лет.
1.4.5. Правовое обеспечение защиты данных
Лицензирование или аккредитация обработки данных в Германии отсутствует. Есть обязанность в назначении уполномоченного по вопросам защиты персональных данных. Кроме того, перед началом использования технологии по обработке данных неадминистративной организацией следует сообщить об этом в соответствующий орган надзора. Исключение составляют те случаи, когда уже назначен уполномоченный по вопросам защиты персональных данных, или данные собираются исключительно для собственных нужд и обработкой занимаются максимум девять сотрудников.
Для обработки данных о расовом или этническом происхождении, о политическом мнении, о религиозных или философских убеждениях, о состоянии в профсоюзах, здоровья и половой жизни, а также данных для оценки личности субъекта требуется предварительная проверка со стороны федерального или регионального уполномоченного по вопросам защиты персональных данных.
По факту нарушения прав субъекта данных защита прав субъекта обеспечивается в уголовном, административном (штраф) или гражданском порядке.
Конкретные законодательные правила касательно соглашения с субъектом данных об обработке отсутствуют. Есть принцип, согласно которому каждый субъект может разрешить обработку своих данных. При установлении неадминистративной организацией или административным органом, что находящиеся у них данные не соответствуют требованиям Закона о защите персональных данных или же обрабатывались ненадлежащим образом, эти организация или орган обязаны сообщить о правонарушении в орган надзора (§ 42а Закона о защите персональных данных). При первичном сохранении персональной информации субъекта для собственных целей нужно сообщить субъекту о сохранении, о роде информации, о цели сохранения информации (§ 19, 19а Закона о защите персональных данных).
1.4.6. Регулирование вопроса о наследовании прав на персональные данные
Право на персональные данные не передается по наследству. Как было сказано выше, со смертью лица его право в отношении персональных данных прекращается, что было специально отмечено Конституционным судом Германии. Этим правовой режим персональных данных Германии отличается от России, где предусмотрено, что в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни (ст. 9 Федерального закона «О защите персональных данных»).
1.4.7. Уполномоченный орган по защите субъектов персональных данных и его функции
Уполномоченный в сфере защиты персональных данных и свободы информации является верховным органом по обеспечению защиты персональных данных (§ 22 ff Закона о защите персональных данных). Он контролирует соблюдение норм о защите персональных данных. Служебный надзор над уполномоченным в сфере защиты персональных данных и свободы информации производят Министерство внутренних дел и правительство Германии. Профессионального надзора над уполномоченным нет.
Кроме того, в каждой земле созданы органы надзора (§ 38 Закона о защите персональных данных). Орган надзора контролирует соблюдение норм Закона о защите персональных данных и других нор по защите персональных данных. Он консультирует и оказывает поддержку уполномоченным по защите персональных данных и ответственным лицам, а также служебную помощь органам надзора других государств – членов Европейского союза.
На наднациональном уровне прямое регулирование персональных данных относится к сфере ведения двух организаций – Совета Европы и ЕС и включает основные в данной сфере акты: Конвенцию № 108, Директиву 95/46/ЕС и более поздний Регламент ЕС № 45/2001 о защите персональных данных при их обработке органами и учреждениями Европейского союза, который отразил основные положения Директивы 95/46/ЕС.
На национальном уровне персональные данные прямо регламентируются Законом о защите персональных данных от 6 июля 2000 г. (далее – Закон), имплементирующим Директиву 95/46/ЕС[80], и принятым в соответствии с ним Указом об изъятиях из Закона применительно к требованию о предварительном уведомлении об обработке; косвенно – Законом о телекоммуникациях от 19 октября 1998 г. и Законом об уведомлениях о нарушениях данных от 26 мая 2015 г. (The Law on Data Breach Notifications), вступающим в силу 1 января 2016 г. Основные положения указанных законов будут проанализированы ниже.
1.5.2. Определение персональных данных
Так как Закон о защите персональных данных следует модели Конвенции 1981 г. и Директивы о персональных данных, их регулирование схоже. Определение персональных данных заимствовано из Директивы: согласно нидерландскому закону персональные данные означают любую информацию, относящуюся к определенному или определяемому физическому лицу.
Если сравнивать данное понятие с аналогичным понятием в российском Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных», то следует отметить даже более широкое значение в последнем за счет дополнения «прямо или косвенно определяемого». Полностью данный термин в российском законе приведен следующим образом: персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В законе Нидерландов дефиниция не детализируется и не поясняется с помощью примеров или перечислений составных элементов, поэтому носит абстрактный характер. Однако из последующего текста Закона можно вывести отдельную категорию «особых» («чувствительных») и «непрямых чувствительных данных». В российском законе они соответствуют специальным категориям персональных данных. Под чувствительными – точнее, особо выделенными персональными – данными закон Нидерландов подразумевает данные о религии, жизненной философии, расе, политических убеждениях, здоровье, сексуальной жизни и членстве в профсоюзе, обращение с которыми требует более строгого режима (что совпадает с определением специальных персональных данных в российском законе). В ст. 16 закона устанавливается прямой общий запрет на обработку «особых персональных данных».
