El 7 de junio de 2000, esta Sala Constitucional del Tribunal Supremo de Justicia recibió expediente contentivo de la sentencia definitiva dictada el 14 de abril de 2000, y del escrito contentivo de la “ACCION DE HABEAS DATA O AMPARO CONSTITUCIONAL A LA CORRECCION DE LA INFORMACIÓN…” interpuesta el 21 de marzo de 2000, ante la Corte Primera de lo Contencioso Administrativo por los abogados Carlos Julio González Siabra y María Carolina González Prado, inscritos en el Inpreabogado bajo los números 74787 y 79830, respectivamente, en su carácter de apoderados judiciales de Insaca, Compañía Anónima, inscrita en el Registro Mercantil Segundo de la Circunscripción Judicial del Estado Nueva Esparta en fecha 29 de enero de 1998, bajo el nº 41, Tomo 2-A, contra “…las actuaciones del DIRECTOR DE DROGAS Y COSMÉTICOS DEL MINISTERIO DE SANIDAD Y ASISTENCIA SOCIAL”.

Dicho expediente fue remitido a esta Sala para la consulta prevista en el artículo 35 de la Ley Orgánica de Amparo sobre Derechos y Garantías Constitucionales.

En la misma fecha se dio cuenta en Sala designándose como Ponente al Magistrado que con tal carácter suscribe el presente fallo.

Efectuado el análisis del expediente se pasa a dictar sentencia previas las siguientes consideraciones:

I.- DE LA ACCIÓN DE HABEAS DATA

El 21 de marzo de 2000, los abogados Carlos Julio González Siabra y María Carolina González Prado, en representación de INSACA, Compañía Anónima, interpusieron ante la Corte Primera de lo Contencioso Administrativo, acción de Habeas Data o amparo constitucional a la corrección de la información contra las actuaciones del Director de Drogas y Cosméticos del Ministerio de Salud y Desarrollo Social, referidas a información correspondiente a INSACA, Compañía Anónima y a la existencia de datos e informaciones erradas e inexactas que “al estar contenidas en archivos públicos de la citada Dirección, lesionan el buen honor, la reputación y la propia imagen de nuestra mandante.

En el escrito contentivo de la acción, los accionantes señalaron que la fundamentan en los artículos 28, 60, 19, 27, 26, 30, 2 y 3 de la Constitución de la República Bolivariana de Venezuela, en concordancia con los artículos 1, 2, 5 y 7 de la Ley Orgánica de Amparo sobre Derechos y Garantías Constitucionales.

Manifestaron que su representada presentó ante el Ministerio de la Salud y Desarrollo Social, una comunicación titulada “Resumen del Análisis Descriptivo del Proyecto INSACA”, en la cual se plantea en forma breve y explicativa lo relativo al costo, a la inversión y a los beneficios.

Que una vez recibido dicho proyecto, la Dirección General Sectorial de la Secretaría del Ministerio de la Salud y Desarrollo Social solicitó a la Dirección General Sectorial de la Contraloría Sanitaria del mencionado Ministerio, que ordenara a la Dirección de Drogas y Cosméticos adscrita a ella, la realización de las gestiones de estudio y análisis del Proyecto antes referido.

Que el registro contra el cual accionan “es un acto administrativo de trámite conformado por un memorándum que contiene información errada y falsa acerca de la empresa INSACA, Compañía Anónima, y que desprestigia y difama la reputación, el honor, la buena imagen, de dicha empresa, y la de sus accionistas y directivos, al establecer que el capital de la empresa es de procedencia dudosa; que la empresa pregona ser lo que realmente no es, y que por tanto, no es una empresa seria, ni responsable, ni sincera en sus proyectos, ofertas y servicios”, todo lo cual, a su decir, se evidencia del memorándum referido, copiado textualmente de manera parcial en el escrito, distinguido con el nº 097 de 2 de septiembre de 1999, emanado de la Dirección de Drogas y Cosméticos de la Dirección General Sectorial de Contraloría Sanitaria del Ministerio de Salud y Desarrollo Social, con ocasión a la revisión del Proyecto presentado por su representada.

Que “la existencia de tal información y del memorándun que la contiene en archivos públicos de un organismo administrativo, cuyo acceso es permitido a la generalidad de las personas, es suficiente para evidenciar que se está violando la garantía constitucional al honor y la reputación consagrada en el artículo 60 de la Constitución de la República Bolivariana de Venezuela“.

Que el Director de Drogas y Cosméticos de la Dirección General Sectorial de Contraloría Sanitaria del Ministerio de Salud y Desarrollo Social, suscriptor del señalado memorándum, se extralimitó en sus funciones al consignar en dicho memorándum “una serie de afirmaciones y conclusiones que en su conjunto constituyen datos e informaciones erradas, falsas y difamantes, que por su sola presencia en archivos y registros de un ente público, y por tanto, de libre acceso a todos los ciudadanos en virtud del principio de publicidad de los archivos administrativos, conforma un acto lesivo y violatorio del citado precepto constitucional”, en razón de ser INSACA, Compañía Anónima “una persona jurídica que se dedica al comercio y a la constante interacción con los sujetos activos y pasivos de la economía y de la actividad comercial en general, cuyo objeto social evidencia que su actividad comercial, conformada por proyectos, ofertas y otras actuaciones, “está planificada a grandes escalas y en beneficio de la población venezolana, mayoritariamente integrada por venezolanos de escasos recursos económicos”, por lo que, para dicha empresa son determinantes y de suma importancia su reputación, honor, propia imagen, buen nombre y confidencialidad.

Que el suscriptor del referido memorándum, Adolfo Salazar Hernández, “desvirtuando sus atribuciones y facultades de servidor público, traspasa los límites de su oficio y asume una actitud enfrentada y personal contra INSACA, Compañía Anónima, lo que demuestra su inidoneidad para desempeñar el cargo que ejerce … pues dicho ciudadano se ha enfrentado… contra nuestra postulada, acusándola y desprestigiándola sin prueba alguna que demuestre sus dichos e información o datos…”.

Que solicitan que “se acuerde expresamente destruir toda la información que desprestigie a INSACA, Compañía Anónima, y que curse ante cualesquiera de las Direcciones, Oficinas, Dependencias, archivos y demás estructuras organizativas del Ministerio de Salud y Desarrollo Social y … se impida al funcionario agraviante cualquier participación, ingerencia (sic) y actividad que se relacione con INSACA, Compañía Anónima, de manera que no pueda conocer, sustanciar ni decidir ningún asunto, recurso o solicitud que realice o haya realizado INSACA, ni ordenar ninguna inspección, fiscalización ni ninguna otra actividad relacionada con las farmacias INSACA; ello en virtud de la manifiesta animadversión que presenta hacia las actuaciones de nuestra poderdante”.

Que solicitan, con fundamento en el artículo 48 de la Ley Orgánica de Amparo sobre Derechos y Garantías Constitucionales, en concordancia con el parágrafo primero del artículo 588 del Código de Procedimiento Civil y el artículo 585 eiusdem, se adopten como medidas cautelares las siguientes:

Que se acuerde como medida cautelar innominada, designar un “Funcionario Especial con fundamento en el artículo 39 de la Ley Orgánica de Procedimientos Administrativos, en concordancia con lo establecido en los artículos 40 y 36, ordinales 2 y 3 (sic) eiusdem, para que conozca de las situaciones relativas a INSACA, Compañía Anónima, excluyendo al agraviante del ámbito del conocimiento que hasta ahora ha ejercido lesivamente…”.

II.- ARGUMENTOS DE LA PARTE ACCIONADA EN LA AUDIENCIA CONSTITUCIONAL CELEBRADA EN LA CORTE PRIMERA DE LO CONTENCIOSO ADMINISTRATIVO

Que el memorándum que se dice lesivo no surge como algo personal del Director de Drogas y Cosméticos, sino como el cumplimiento de una orden jerárquica, en virtud de que el Ministerio de Salud y Desarrollo Social inició una investigación sobre la actividad económica a desarrollar por la empresa INSACA, por solicitud que le hiciera la Federación Farmacéutica Venezolana de Farmacias.

Que el mencionado Ministerio envió el memorándum en comunicación directa a la empresa INSACA C.A., para que la misma en caso de no estar de acuerdo recurriera.

Que el Director de Drogas y Cosméticos del Ministerio de Salud y Desarrollo Social, se inhibió de conocer del asunto que respecto a la accionante se ventila en dicho Ministerio, con anterioridad a la interposición de la presente solicitud, en razón de las presiones que la empresa INSACA ejerció.

Que no existe ningún enfrentamiento personal entre el referido Director y la empresa actora, puesto que se ha otorgado la buena pro a varias de las farmacias que se le autorizaron a INSACA, C.A.

III.- DE LA SENTENCIA CONSULTADA

El 14 de abril de 2000, la Corte Primera de lo Contencioso Administrativo, dictó sentencia mediante la cual declaró:

1.- “Procedente la pretensión de amparo constitucional bajo la modalidad de habeas data”, interpuesta.

2.- Ordenó la destrucción del memorándum distinguido con el nº 097 emanado de la Dirección de Drogas y Cosméticos de la Dirección General Sectorial del Ministerio de Salud y Desarrollo Social, el 2 de septiembre de 1999.

3.- Ordenó al Director de Drogas y Cosméticos referido, Adolfo Salazar Hernández, rectificar las afirmaciones consignadas en el referido memorándum, “que en criterio de esta Corte causaron la violación del derecho al honor y a la reputación de la empresa INSACA, C.A., mediante memorándum dirigido a la Dirección General Sectorial de Contraloría Sanitaria, y oficio dirigido a la querellante”.

4.- Ordenó a “Adolfo Salazar Hernández, Director de Drogas y Cosméticos del Ministerio de Salud y Desarrollo Social, abstenerse de conocer, sustanciar, o emitir opinión sobre cualquier asunto, que relacionado con la empresa INSACA C.A., sea tramitado por ante el Ministerio de Salud y Desarrollo Social”.

La sentencia consultada fundamenta su decisión en las siguientes consideraciones:

Que el artículo 27 de la Constitución, consagra el amparo como “un derecho autónomo, innato, abstracto e indeterminado de obrar o solicitar la debida protección (por parte del titular de un derecho), y tal circunstancia le concede la misma naturaleza y esencia del derecho que se pretende proteger. Ahora, este derecho al amparo se personifica en una acción que se proyecta o materializa mediante la pretensión que se conduce en el proceso…”, que debe ser “oral, público, breve, gratuito y no sujeto a formalidad…”.

Que en el presente caso se plantea una pretensión de amparo por la presunta violación de los derechos consagrados en el artículo 60 de la Constitución de la República Bolivariana de Venezuela, que se habría producido “a través de un memorándum… en el que se emiten conceptos que lesionan el honor y la reputación de la parte querellante, por lo que, la misma invoca el artículo 28 de nuestra Carta Magna que establece la posibilidad de que toda persona pueda solicitar la corrección o destrucción de aquellos documentos que tengan informaciones falsas o erróneas…”.

Que el artículo 28 de la Constitución de la República Bolivariana de Venezuela, en concordancia con los artículos 26 y 27 eiusdem, “ofrecen la posibilidad de que los particulares puedan interponer pretensiones de amparo constitucional en la modalidad de habeas data, en el caso de que su honorabilidad, reputación, imagen y otros derechos similares o equivalentes resulten vulnerados como consecuencia de error o falsedad de datos que consten en cualquier tipo de documentos que reposen en archivos oficiales o privados”, de acuerdo con lo cual, el habeas data puede ser definido “como forma de protección frente a vulneraciones a los derechos al honor, a la reputación, a la dignidad y a la buena imagen, y que el habeas corpus, como medio de protección a la libertad, tienen significado y justificación equivalentes, en virtud de la naturaleza y jerarquía de los derechos o bienes jurídicos tutelados por cada una de estas instituciones… En este sentido, el habeas data es para el derecho al honor lo que el habeas corpus es para el derecho a la libertad”.

Que en el presente caso la querellante interpuso la acción de habeas data contra un memorándum en “el que se le hacen imputaciones, en las que, entre otras cosas, se pone en duda la procedencia de su capital y se señalan sus presuntas intenciones de causar condiciones negativas para las farmacias independientes del mercado farmacéutico nacional…”, con relación a lo cual, considera el sentenciador, “que siendo obvio y evidente que tales imputaciones pueden producir serias lesiones en el honor, reputación y buena imagen de cualquier sujeto de derecho debe velarse por la protección de tales derechos y el restablecimiento de las situaciones jurídicas que hayan sido infringidas como consecuencia de su vulneración”.

Que los derechos presuntamente lesionados son derechos subjetivos objeto de protección constitucional de distintos tratados internacionales, que no es ofrecida en exclusiva a las personas físicas sino que se extiende, “obvia e indiscutiblemente, a las personas jurídicas de cualquier naturaleza”, puesto que la vigente Constitución, en su artículo 60 lo garantiza a “toda persona”, aunque no ha sido pacíficamente admitido por la doctrina y la jurisprudencia que las personas jurídicas deban ser consideradas titulares del derecho al honor, por ser exclusivo de personas naturales, lo cual en criterio del sentenciador, es inadecuado “tomando en cuenta que los órganos a través de los cuales se materializa la voluntad de éstas, se encuentran conformados por personas, y que existiendo, por ejemplo, la posibilidad de levantamiento del velo corporativo de cualquier empresa, son sus directivos (personas naturales) y accionistas (personas naturales o jurídicas), a quienes también les vulnera su honor, reputación y buen nombre, si se hacen imputaciones graves a las organizaciones de las que forman parte, máxime…” cuando, como en el presente caso se le imputa “poseer capital de dudosa procedencia”.

Que el grado de concreción y de tutela que una sociedad específica ofrezca “a los derechos al honor, a la reputación y al buen nombre va en estricta proporción con el grado que de desarrollo y madurez haya alcanzado esa sociedad … por lo cual, la protección de tales derechos … redunda en protección de la sociedad misma”, por lo que tal protección es vinculante “para este Tribunal”.

Que es evidente que el memorándum contra el que se intentó el habeas data, contiene afirmaciones y opiniones cuyo contenido resulta sumamente dañoso, por lo que el sentenciador considera irrelevante el alegato de la parte presuntamente agraviante de que actuó en cumplimiento de ordenes jerárquicas y de que la solicitud que dio lugar al referido memorándum provino de la Federación Farmacéutica de Venezuela.

Que la solicitud de destrucción del memorándum referido es absolutamente razonable “en virtud del desprestigio que se ocasiona a la referida empresa con la sola existencia de ese documento, el cual es parte de un expediente administrativo que reposa en los archivos … los cuales … son por regla general públicos…”.

Que tal destrucción, “no restablece total y completamente la situación jurídica infringida…”, por lo que el sentenciador ordena al agraviante, retractarse “de las imputaciones que sin fundamento hizo contra la empresa INSACA, C.A.“

Que con el objeto de “lograrse la imparcialidad y objetividad en la sustanciación de los asuntos que” cursen o llegaren a cursar en el Ministerio de Salud y Desarrollo Social relacionados con INSACA C.A., el agraviante no puede seguir conociendo de los mismos.

IV.- CONSIDERACIONES PARA DECIDIR

En primer lugar corresponde a esta Sala decidir acerca de su competencia para conocer la consulta a que se refiere el artículo 35 de la Ley Orgánica de Amparo sobre Derechos y Garantías Constitucionales, de la sentencia dictada por la Corte Primera de lo Contencioso Administrativo el 14 de abril de 2000, al conocer ésta en primera instancia de la acción de habeas data interpuesta el 21 de marzo de 2000 por Carlos Julio González Siabra y María Carolina González Prado, en su carácter de apoderados la empresa INSACA, contra las actuaciones del Director de Drogas y Cosméticos de la Dirección General Sectorial de Contraloría Sanitaria del Ministerio de Salud y Desarrollo Social, contenidas en el memorándum nº 097 de 2 de septiembre de 1999, respecto de lo cual observa esta Sala que la acción de habeas data como acción autónoma no ha sido aun desarrollada por la ley, no obstante lo cual, con fundamento en las previsiones contenidas en el artículo 27 de la Constitución de la República Bolivariana de Venezuela, considera esta Sala que la protección de los derechos constitucionales consagrados en los artículos 28, 58, 60 y 143 eiusdem, puede ser ejercida mediante la acción de amparo. Señala esta Sala que en sentencias de fecha 20 de enero de 2000, casos Emery Mata Millán y Domingo Gustavo Ramírez Monja, al determinar los criterios de distribución de competencia aplicables a la acción de amparo a la luz de los principios y preceptos contenidos en la vigente Constitución, quedó asentado que corresponde a la Sala Constitucional del Tribunal Supremo de Justicia conocer de las apelaciones y consultas a que se refiere el artículo 35 de la Ley Orgánica de Amparo sobre Derechos y Garantías Constitucionales, de las sentencias dictadas por la Corte Primera de lo Contencioso Administrativo, cuando ella conozca de acciones de amparo en primera instancia, como ocurre en el presente caso.

Siendo ello así, esta Sala se considera competente para conocer de la presente consulta, y así se declara.

V

En los procesos de amparo es necesario que el accionante afirme la ocurrencia de varias circunstancias:

EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de la Unión Europea y, en particular, su artículo 29, su artículo 31, apartado 1, letra e) y su artículo 34, apartado 2, letra b),

Vista la propuesta de la Comisión,

Visto el dictamen del Parlamento Europeo (1),

Considerando lo siguiente:

(1) El objetivo del programa de La Haya es mejorar la capacidad común de la Unión y de sus Estados miembros con el fin, entre otros, de luchar contra la delincuencia organizada transfronteriza. Este objetivo debe ser perseguido en particular mediante la armonización de las legislaciones. La peligrosidad y la proliferación de las organizaciones delictivas requieren una respuesta eficaz a las expectativas de los ciudadanos y a las necesidades de los Estados miembros por medio de un refuerzo de la cooperación entre los Estados miembros de la Unión Europea. A este respecto, el punto 14 de las conclusiones del Consejo Europeo de Bruselas de los días 4 y 5 de noviembre de 2004 indica que los ciudadanos de Europa esperan de la Unión Europea que, sin dejar de garantizar el respeto de las libertades y los derechos fundamentales, adopte un enfoque común más eficaz de problemas transfronterizos como la delincuencia organizada.

(2) En su comunicación de 29 de marzo de 2004 relativa a determinadas acciones que deben emprenderse en el ámbito de la lucha contra el terrorismo y otras formas graves de delincuencia, la Comisión consideró que debe reforzarse el dispositivo de lucha contra la delincuencia organizada en la Unión Europea e indicaba que elaboraría una Decisión marco que tuviera por objeto sustituir a la Acción Común 98/733/JAI, de 21 de diciembre de 1998, relativa a la tipificación penal de la participación en una organización delictiva en los Estados miembros de la Unión Europea (2).

(3) De acuerdo con el apartado 3.3.2 del programa de La Haya, la aproximación del Derecho penal material sirve a facilitar el reconocimiento mutuo de las sentencias y resoluciones judiciales, así como la cooperación policial y judicial en materia penal y afecta a los ámbitos de la delincuencia particularmente grave con implicaciones transfronterizas y se debe dar prioridad a aquellos ámbitos de la delincuencia que se mencionen específicamente en los Tratados. Por tanto, debe armonizarse la definición de las delitos relativos a la participación en una organización delictiva en los Estados miembros. Por consiguiente, la presente Decisión marco debe abarcar los delitos cometidos típicamente por una organización delictiva. Por otra parte, debe prever la imposición de sanciones correspondientes a la gravedad de estos delitos contra las personas físicas y jurídicas que los cometan o sean responsables de los mismos.

(4) Las obligaciones derivadas del artículo 2, letra a), deben entenderse sin perjuicio de la libertad de los Estados miembros para tipificar como organizaciones delictivas a otros grupos de personas, como por ejemplo aquellos grupos cuya finalidad no sea la obtención de un beneficio económico u otro beneficio de orden material.

(5) Las obligaciones derivadas del artículo 2, letra a), deben entenderse sin perjuicio de la libertad de los Estados miembros para interpretar que el término “actividades ilícitas” implica la realización de actos materiales.

(6) La Unión Europea debe completar el importante trabajo realizado por las organizaciones internacionales, en particular la Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional (“la Convención de Palermo”), que fue celebrada, en nombre de la Comunidad Europea, mediante la Decisión 2004/579/CE del Consejo (3).

(7) Dado que los objetivos de la presente Decisión marco no pueden ser alcanzados de manera suficiente por los Estados miembros y, por consiguiente, debido a la dimensión de la acción, pueden lograrse mejor a nivel de la Unión, la Unión puede adoptar medidas de acuerdo con el principio de subsidiariedad consagrado en el artículo 5º del Tratado constitutivo de la Comunidad Europea, contemplado en el artículo 2, párrafo segundo del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad la presente Decisión marco no excede de lo necesario para alcanzar dichos objetivos.

(8) La presente Decisión marco respeta los derechos fundamentales y los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, sus artículos 6º y 49. Nada en la presente Decisión marco pretende reducir o restringir las disposiciones nacionales relativas a derechos fundamentales o libertades como el derecho a un juicio justo, el derecho de huelga, de libertad de reunión, de asociación, de prensa o de expresión, incluido el derecho de cada cual de formar o adherirse a un sindicato junto a otras personas para proteger sus intereses y el respectivo derecho de manifestación.

(9) Por consiguiente, la Acción Común 98/733/JAI debe derogarse.

HA ADOPTADO LA PRESENTE DECISIÓN MARCO:

Artículo 1º.- Definiciones

A los efectos de la presente Decisión marco, se entenderá por:

1) “organización delictiva”: una asociación estructurada de más de dos personas, establecida durante un cierto período de tiempo y que actúa de manera concertada con el fin de cometer delitos sancionables con una pena privativa de libertad o una medida de seguridad privativa de libertad de un máximo de al menos cuatro años o con una pena aún más severa, con el objetivo de obtener, directa o indirectamente, un beneficio económico u otro beneficio de orden material;

2) “asociación estructurada”: una organización no formada fortuitamente para la comisión inmediata de un delito ni que necesite haber asignado a sus miembros funciones formalmente definidas, continuidad en la condición de miembro, o exista una estructura desarrollada.

Artículo 2º.- Delitos relativos a la participación en una organización delictiva

Todos los Estados miembros adoptarán las medidas necesarias para tipificar como delito a uno o ambos de los siguientes tipos de conducta relacionados con una organización delictiva:

a) la conducta de toda persona que, de manera intencionada y a sabiendas de la finalidad y actividad general de la organización delictiva o de su intención de cometer los delitos en cuestión, participe activamente en las actividades ilícitas de la organización, incluida la facilitación de información o de medios materiales, reclutando a nuevos participantes, así como en toda forma de financiación de sus actividades a sabiendas de que su participación contribuirá al logro de la finalidad delictiva de esta organización;

b) la conducta de toda persona que consista en un acuerdo con una o más personas para proceder a una actividad que, de ser llevada a cabo, suponga la comisión de delitos considerados en el artículo 1, aún cuando esa persona no participe en la ejecución de la actividad.

Artículo 3º.- Sanciones

1. Todos los Estados miembros adoptarán las medidas necesarias para garantizar que:

a) el delito contemplado en el artículo 2º, letra a), sea punible con una pena máxima de reclusión de al menos entre dos y cinco años, o

b) el delito contemplado en el artículo 2º, letra b), sea punible con la misma pena máxima de reclusión que el delito que constituye el objetivo de la conspiración o con una pena máxima de reclusión de al menos entre dos y cinco años.

2. Todos los Estados miembros adoptarán las medidas necesarias para velar por que el hecho de que los delitos mencionados en el artículo 2º, conforme a lo determinado por cada uno de los Estados miembros, hayan sido cometidos en el marco de una organización delictiva, pueda considerarse como una circunstancia agravante.

Artículo 4º.- Circunstancias especiales

Todos los Estados miembros podrán adoptar las medidas necesarias para que las sanciones previstas en el artículo 3º puedan reducirse o no aplicarse si, por ejemplo, el autor del delito:

a) abandona sus actividades delictivas, y

b) proporciona a las autoridades administrativas o judiciales información que estas no habrían podido obtener de otra forma, y que les ayude a:

i) impedir, acabar o atenuar los efectos del delito,

ii) identificar o procesar a los otros autores del delito,

iii) encontrar pruebas,

iv) privar a la organización delictiva de recursos ilícitos o beneficios obtenidos de sus actividades delictivas, o

v) impedir que se cometan otros delitos mencionados en el artículo 2º.

Artículo 5º.- Responsabilidad de las personas jurídicas

1. Todos los Estados miembros adoptarán las medidas necesarias para garantizar que las personas jurídicas puedan ser consideradas responsables de los delitos mencionados en el artículo 2º, cuando estos delitos sean cometidos por cuenta de estas por cualquier persona, actuando a título particular o como parte de un órgano de la persona jurídica, que ostente un cargo directivo en el seno de dicha persona jurídica, basado en:

a) un poder de representación de dicha persona jurídica;

b) una autoridad para tomar decisiones en nombre de dicha persona jurídica, o

c) una autoridad para efectuar un control en el seno de dicha persona jurídica.

2. Los Estados miembros también adoptarán las medidas necesarias para garantizar que las personas jurídicas puedan ser consideradas responsables cuando la falta de vigilancia o control por parte de una de las personas a que se refiere el apartado 1 haya hecho posible que una persona sometida a su autoridad cometa uno de los delitos mencionados en el artículo 2º por cuenta de la persona jurídica.

3. La responsabilidad de las personas jurídicas en virtud de los apartados 1 y 2 se entenderá sin perjuicio de la incoación de acciones penales contra las personas físicas que sean autores, incitadores o cómplices de alguno de los delitos a los que se refiere el artículo 2º.

4. A efectos de la presente Decisión marco se entenderá por “persona jurídica” cualquier entidad que tenga personalidad jurídica en virtud del Derecho aplicable, con excepción de los Estados o de organismos públicos en el ejercicio de su potestad pública y de las organizaciones de Derecho internacional público.

Artículo 6º.- Sanciones contra las personas jurídicas

1. Todos los Estados miembros adoptarán las medidas necesarias para garantizar que toda persona jurídica a la que se haya declarado responsable con arreglo al artículo 5º, apartado 1, sea sancionada con sanciones efectivas, proporcionadas y disuasorias, que incluirán multas de carácter penal o administrativo y, en su caso, otras sanciones, por ejemplo:

a) medidas de exclusión del disfrute de ventajas o ayudas públicas;

b) medidas de prohibición temporal o permanente del desempeño de actividades comerciales;

c) sometimiento a vigilancia judicial;

d) medida judicial de liquidación;

e) cierre temporal o permanente del establecimiento que se haya utilizado para cometer el delito.

2. Todos los Estados miembros adoptarán las medidas necesarias para que toda persona jurídica a la que se haya declarado responsable con arreglo al artículo 5º, apartado 2, sea sancionada con sanciones o medidas que sean efectivas, proporcionadas y disuasorias.

Artículo 7º.- Competencia y coordinación de las actuaciones judiciales

1. Todos los Estados miembros adoptarán las medidas necesarias para establecer su competencia respecto de los delitos a que se refiere el artículo 2º cometidos:

a) total o parcialmente en su territorio, independientemente del lugar en que la organización delictiva tenga su base o ejerza sus actividades delictivas;

b) por sus nacionales, o

c) en beneficio de alguna persona jurídica establecida en el territorio de dicho Estado miembro.

Todo Estado miembro podrá decidir si aplica o no, y si solo las aplica en casos o circunstancias determinados, las normas de competencia contempladas en las letras b) y c) en el supuesto de que los delitos a que se refiere el artículo 2 se cometan fuera de su territorio.

2. Cuando uno de los delitos a que se refiere el artículo 2º sea competencia de más de un Estado miembro y cualquiera de estos Estados pueda legítimamente iniciar acciones judiciales por los mismos hechos, los Estados miembros implicados colaborarán para decidir cuál de ellos emprenderá acciones judiciales contra los autores del delito con el objetivo de centralizar, en la medida de lo posible, dichas acciones en un único Estado miembro. Con este fin, los Estados miembros podrán recurrir a Eurojust o a cualquier otro órgano o mecanismo creado en el marco de la Unión Europea para facilitar la cooperación entre sus autoridades judiciales y la coordinación de sus actuaciones. Se tendrán especialmente en cuenta los siguientes elementos:

a) el Estado miembro en cuyo territorio se hayan cometido los hechos;

b) el Estado miembro del que el autor sea nacional o residente;

c) el Estado miembro de origen de las víctimas;

d) el Estado miembro en cuyo territorio se haya encontrado al autor.

3. Todo Estado miembro que, con arreglo a su legislación, todavía no extradite o entregue a sus nacionales adoptará las medidas necesarias para establecer su competencia y, en su caso, iniciar acciones judiciales respecto del delito a que se refiere el artículo 2 cuando lo cometa uno de sus propios nacionales fuera de su territorio.

4. El presente artículo no excluye el ejercicio de una competencia en materia penal establecida en un Estado miembro de conformidad con su legislación nacional.

Artículo 8º.- Actuación sin denuncia o acusación de las víctimas

Los Estados miembros garantizarán que las investigaciones o el enjuiciamiento de los delitos a que se refiere el artículo 2º no dependan de la formulación de denuncia o acusación por una persona que haya sido víctima de tales delitos, al menos si los hechos se cometieron en el territorio del Estado miembro.

Artículo 9º.- Derogación de disposiciones existentes

Queda derogada la Acción Común 98/733/JAI.

La referencia a la participación en una organización delictiva según lo dispuesto en la presente Decisión marco sustituye a las referencias a la participación en una organización delictiva en el sentido de la Acción Común 98/733/JAI en las disposiciones aprobadas en aplicación del Título VI del Tratado de la Unión Europea y del Tratado constitutivo de la Comunidad Europea.

Artículo 10.- Aplicación e informes

1. Los Estados miembros adoptarán las medidas necesarias para dar cumplimiento a la presente Decisión marco antes de 11 de mayo de 2010.

2. Los Estados miembros transmitirán, antes de 11 de mayo de 2010 a la Secretaría General del Consejo y a la Comisión, el texto de las disposiciones por el que se incorporan en su Derecho nacional las obligaciones que la presente Decisión marco les impone. Tomando como base un informe elaborado a partir de estos datos y un informe escrito de la Comisión, el Consejo evaluará, antes 11 de noviembre de 2012, si los Estados miembros han adoptado las medidas necesarias para dar cumplimiento a la presente Decisión marco.

Artículo 11.- Aplicación territorial

La presente Decisión marco se aplicará a Gibraltar.

Artículo 12.- Entrada en vigor

La presente Decisión marco entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Luxemburgo, el 24 de octubre de 2008.

Por el Consejo

La Presidenta

M. Alliot-Marie

———————————————————————————————————————

(1) Dictamen emitido tras una consulta no obligatoria (no publicado aún en el Diario Oficial).

(2) DO L 351 de 29.12.1998, p. 1.

(3) DO L 261 de 6.8.2004, p. 69.

Le Président de la République,

Sur proposition du ministre des technologies de la communication et du transport,

Vu la loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique et notamment son article 5,

Vu le décret n° 2004-1248 du 25 mai 2004, fixant l'organisation administrative et financière et les modalités de fonctionnement de l'agence nationale de la sécurité informatique,

Vu le décret n° 2004-1249 du 25 mai 2004, fixant les conditions et les procédures de certification des experts auditeurs dans le domaine de la sécurité informatique,

Vu l'avis du tribunal administratif.

Décrète :

Article premier .–　

Le présent décret fixe les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit, à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit conformément à l'article 5 de la loi susvisée n° 2004-5 du 3 février 2004.

Article 2 .–

Sont soumis à l'audit obligatoire périodique conformément à l'article 5 de la loi susvisée n° 2004-5 du 3 février 2004, les systèmes informatiques et les réseaux relevants des organismes publics et les systèmes informatiques et les réseaux des organismes du secteur privé suivants :

* les opérateurs de réseaux publics de télécommunications et les fournisseurs des services de télécommunications et d'internet,

* les entreprises dont les réseaux informatiques sont interconnectés à travers des réseaux externes de télécommunications,

* les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients dans le cadre de la fourniture de leurs services à travers les réseaux de télécommunications.

Article 3 .–　

L'opération d'audit se déroule par le biai d'une enquête de terrain basée sur les principaux éléments suivants :

* audit des aspects organisationnels et de la structuration de la fonction sécurité, ainsi que du mode de gestion des procédures de sécurité et la disponibilité des outils de sécurisation du système informatique et de leur mode d'utilisation,

* analyse technique de la sécurité de toutes les composantes du système informatique, avec la réalisation du test de leur résistance à tous les types de dangers,

* analyse et évaluation des dangers qui pourraient résulter de l'exploitation des failles découvertes suite à l'opération d'audit.

Article 4 .–　　

A la fin de l'opération d'audit visée à l'article 3 du présent décret, l'expert chargé de l'audit délivre à l'organisme concerné un rapport portant son cachet et sa signature.

Ce rapport renferme, essentiellement, ce qui suit :

* une description et une évaluation complète de la sécurité du système informatique, comprenant les mesures qui ont étés adoptées depuis le dernier audit réalisé et les insuffisances enregistrées dans l'application des recommandations,

* une analyse précise des insuffisances organisationnelles et techniques relatives aux procédures et outils de sécurité adoptés, comportant une évaluation des risques qui pourraient résulter de l'exploitation des failles découvertes,

* la proposition des procédures et des solutions organisationnelles et techniques de sécurité qui devront être adoptées pour dépasser les insuffisances enregistrées.

Article 5 .– 　

Les organismes prévus à l'article 5 de la loi susvisée n° 2004-5 du 3 février 2004, devront auditer la sécurité de leurs systèmes informatiques et leurs réseaux de manière périodique une fois au moins tous les douze (12) mois.

L'agence nationale de la sécurité informatique peut proroger ce délai pour des raisons exceptionnelles et sur demande de l'organisme concerné, trois (3) mois au moins avant l'expiration du délai prévu pour effectuer l'opération d'audit.

Article 6 .–　　

L'organisme concerné envoie à l'agence nationale de la sécurité informatique le rapport d'audit et tous les procès-verbaux des réunions de travail organisées avec l'expert auditeur, par lettre recommandée ou document électronique fiable avec accusé de réception ou par dépôt auprès de l'agence contre récépissé dans une enveloppe fermée, et ceci, dans un délai ne dépassant pas dix (10) jours à partir de la date de réception du rapport d'audit.

Article 7 .–　

L'agence nationale de la sécurité informatique peut, après étude du rapport, demander à l'organisme concerné de lui fournir des informations ou des documents supplémentaires et de procéder à un contrôle de terrain.

L'agence peut procéder à ce contrôle, après avoir avisé le président de l'organisme concerné par lettre recommandée ou document électronique fiable avec accusé de réception.

Article 8 .–　

L'agence nationale de la sécurité informatique peut rejeter le rapport d'audit dans les cas suivants :

* la non-réalisation de l'audit de terrain, selon les procédures prévues à l'article 3 du présent décret,

* si le rapport d'audit ne contient pas les éléments prévus à l'article 4 du présent décret ou si l'agence s'aperçoit que le rapport d'audit ne contenait pas des données importantes relatives aux insuffisances enregistrées.

En cas de rejet du rapport, l'organisme concerné est tenu de refaire l'audit et de communiquer le rapport à l'agence dans un délai ne dépassant pas deux mois à partir de la date de la notification du rejet.

A l'expiration de ce délai sans résultat, l'agence peut désigner un expert qui sera chargé de l'audit susvisé aux frais de l'organisme contrevenant.

Article 9. –　　

Les organismes du secteur privé prévus à l'article 2 du présent décret disposent d'une période de douze (12) mois à compter de la date de publication du présent décret pour appliquer ses dispositions.

Article 10 .–　

Le ministre des technologies de la communication et du transport est chargé de l'exécution du présent décret qui sera publié au Journal Officiel de la République Tunisienne.

Tunis, le 25 mai 2004.

Le Président de la République,

Sur proposition du ministre des technologies de la communication,

Vu la loi n° 85-78 du 5 août 1985, portant statut général des offices, des établissements publics à caractère industriel et commercial et des sociétés dont le capital appartient directement et entièrement à 1’Etat ou aux collectivités publiques locales, telle que modifiée et complétée par la loi n° 99-28 du 3 avril 1999 et la loi n° 2003-2l du 17 mars 2003,

Vu la loi n° 89-9 du 1er février 1989, relative aux participations, entreprises et établissements publics, telle que modifiée et complétée par la loi n° 94-102 du 1er août 1994, la loi 96-74 du 29 juillet 1996, la loi n° 99-38 du 3 mai 1999, la loi n° 2001-38 du 29 mars 2001 et la loi n° 2006-36 du 12 juin 2006,

Vu la loi n° 94-28 du 21 février 1994, portant régime de réparation des préjudices des accidents du travail et des maladies professionnelles, telle que modifiée par la loi n° 95-103 du 27 novembre 1995,

Vu le code des télécommunications promulgué par la loi n° 2001-1 du 15 janvier 2001, tel que modifié et complété par la loi n° 2002-46 du 7 mai 2002 et la loi n° 2008-1 du 8 janvier 2008,

Vu la loi n° 2004-71 du 2 août 2004, portant institution d’un régime d’assurance maladie,

Vu la loi n° 2006-57 du 28 juil let 2006, instituant un régime de congé de création au profit des agents du secteur public,

Vu la loi n° 2006-58 du 28 juillet 2006, instituant un régime spécial de travail à mi-temps avec le bénéfice des deux tiers du salaire au profit des mères ,

Vu le décret n° 86-936 du 6 octobre 1986, fixant le régime de l’exercice à mi-temps dans les offices, les établissements publics à caractère industriel et commercial et les sociétés dont le capital appartient directement et entièrement à 1’Etat ou aux collectivités publiques locales,

Vu le décret n° 95-83 du 16 janvier 1995, relatif à l’exercice à titre professionnel d’une activité privée lucrative par les personnels de 1’Etat, des collectivités publiques locales, des établissements publics à caractère administratif et des entrepris es publiques, tel que modifié par le décret n° 97-775 du 5 mai 1997,

Vu le décret n° 95-1085 du 19 juin 1995, fixant les jours fériés donnant lieu à congé au profit des personnels de 1’Etat, des collectivités locales et des établissements publics à caractère administratif,

Vu le décret n° 98-1875 du 28 septembre 1998, fixant les conditions et les modalités d’octroi d’une autorisation aux fonctionnaires publics pour exercer une activité privée lucrative ayant une relation directe avec leurs fonctions ,

Vu le décret n° 2002-2131 du 30 septembre 2002, portant création de structures au Premier ministère,

Vu le décret n° 2003-922 du 21 avril 2003, fixant l’organisation administrative et financière et les modalités de fonctionnement de l’instance nationale des télécommunications ,

Vu le décret n° 2006-3230 du 12 décembre 2006, fixant les procédures et les modalités d’application du régime spécial de travail à mi-temps avec le bénéfice des deux tiers du salaire au profit des mères ,

Vu le décret n° 2006-3275 du 18 décembre 2006, fixant les modalités et les procédures d’octroi de congé de création au profit des agents du secteur public,

Vu le décret n° 2007-1366 du 11 juin 2007, portant détermination des étapes d’applications de la loi n° 2004-71 du 2 août 2004, portant institution d’un régime d’as surance maladie aux différentes catégories d’as surés sociaux mentionnés dans les différents régimes légaux de sécurité sociale,

Vu l’avis du Premier ministre,

Vu l’avis du tribunal administratif.

Décrète :

Article premier .-

Le statut particulier du personnel de l’instance nationale des télécommunications annexé au présent décret est approuvé.

Article 2 .-

Le Premier ministre et le ministre des technologies de la communication sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret qui sera publié au Journal Officiel de la République Tunisienne.

Tunis, le 14 avril 2008 .

Zine El Abidine Ben Ali

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16,

Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, sus artículos 7 y 8,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),

Vista la solicitud de dictamen, hecha de conformidad con el artículo 28, apartado 2, del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (2),

HA ADOPTADO EL SIGUIENTE DICTAMEN:

I.- INTRODUCCIÓN

II.1.- Consulta al Supervisor Europeo de Protección de Datos

1. El 2 de febrero de 2011, la Comisión adoptó una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la utilización de los datos de los registros de nombres de los pasajeros (en adelante “PNR”) para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves (en adelante “la propuesta”) (3). Ese mismo día la propuesta se trasladó para consulta al SEPD.

2. El SEPD recibe con satisfacción el hecho de ser consultado por la Comisión. Incluso antes de que fuera adoptada la propuesta, el SEPD tuvo la oportunidad de efectuar observaciones preliminares. Algunas de estas observaciones han sido tenidas en cuenta en la propuesta, y el SEPD observa que, en general, se han reforzado las garantías de la protección de datos en la misma. Sin embargo, siguen existiendo algunas cuestiones, en especial en relación con la escala y los fines de la obtención de datos personales.

II.2.- La propuesta en su contexto

3. Desde 2007, momento en que la Comisión adoptó una propuesta de Decisión marco del Consejo sobre esta materia (4), se ha venido debatiendo sobre un posible régimen PNR en la Unión Europea. El principal objetivo del régimen PNR de la Unión es establecer un sistema que obligue a las compañías aéreas que efectúen vuelos entre la Unión Europea y terceros países a transmitir los datos PNR de todos los pasajeros a las autoridades competentes, con el fin de prevenir, detectar, investigar y enjuiciar los delitos terroristas y los delitos graves. Las Unidades de Información sobre Pasajeros centralizarían y analizarían los datos y el resultado de dicho análisis se transmitiría a las autoridades nacionales competentes en cada Estado miembro.

4. Desde 2007, el SEPD ha seguido de cerca la evolución de un posible régimen PNR en la Unión Europea, en paralelo con la evolución de los regímenes PNR de terceros países. El 20 de diciembre de 2007, el SEPD adoptó un dictamen relativo a esta propuesta de la Comisión. (5) En muchas otras ocasiones, se han formulado observaciones, no solo por parte del SEPD sino también por parte del Grupo de Trabajo del Artículo 29 (6), sobre la cuestión de si el tratamiento de los datos PNR con el fin de mantener el orden público respeta los principios de necesidad y proporcionalidad, así como otras garantías fundamentales de la protección de datos.

5. La principal cuestión planteada en repetidas ocasiones por el SEPD se centra en la justificación de la necesidad de un sistema de la UE referente al registro de nombres de pasajeros que vendría a añadirse a otros instrumentos ya existentes, permitiendo así el tratamiento de datos personales con fines represivos.

6. El SEPD reconoce las mejoras respecto de la protección de datos en la presente propuesta, en comparación con la versión sobre la que emitió anteriormente recomendaciones. Estas mejoras hacen referencia, en particular, al ámbito de aplicación de la propuesta, la definición del papel de las distintas partes interesadas (Unidades de Información sobre Pasajeros), la exclusión del tratamiento de datos sensibles, la evolución hacia un sistema de transmisión (push) sin establecer un período de transición (7), y la limitación de la conservación de datos.

7. El SEPD recibe asimismo con agrado el resto de avances en la evaluación de impacto en relación con las razones que justifican un sistema PNR para la Unión Europea. Sin embargo, aunque existe la evidente voluntad de aclarar la necesidad de este sistema, el SEPD todavía no considera que las nuevas razones aportadas proporcionen una base convincente para desarrollar el sistema, en especial en lo que respecta a la “evaluación previa” a gran escala de todos los pasajeros. La necesidad y la proporcionalidad se analizarán a continuación en el capítulo II. El capítulo III se centrará en aspectos más específicos de la propuesta.

II.- NECESIDAD Y PROPORCIONALIDAD DE LA PROPUESTA

II.1.- Observaciones preliminares relativas a la necesidad y a la proporcionalidad

8. Demostrar la necesidad y la proporcionalidad del tratamiento de datos es una condición previa indispensable para el desarrollo de un sistema PNr. El SEPD ya ha insistido en ocasiones anteriores, en especial en el contexto de una posible revisión de la Directiva 2006/24/CE (la “Directiva de conservación de datos”), sobre el hecho de que la necesidad de tratar o almacenar cantidades masivas de información debe basarse en una clara muestra de la relación entre la utilización y el resultado, y debe permitir una evaluación sine qua non sobre el hecho de si se habrían logrado resultados comparables a través de medios alternativos, que hubieran supuesto una menor vulneración de la privacidad (8).

9. Con el fin de justificar el régimen, la propuesta y, en especial, su evaluación de impacto, incluyen una amplia documentación y fundamentos jurídicos para determinar que dicho régimen es necesario y que cumple con los requisitos en materia de protección de datos. Incluso va más allá al afirmar que supone un valor añadido en relación con la armonización de las normas de protección de datos.

10. Tras el análisis de dichos elementos, el SEPD considera que el contenido actual de la propuesta, no cumple los requisitos de necesidad y proporcionalidad impuestos por el artículo 8 de la Carta de Derechos Fundamentales de la Unión, el artículo 8 del CEDH y el artículo 16 del TFUE. El razonamiento en que se apoya esta consideración se desarrolla en los apartados siguientes.

II.2. – Documentación y estadísticas proporcionadas por la Comisión

11. El SEPD destaca que la evaluación de impacto incorpora amplias explicaciones y estadísticas que justifican la propuesta. Sin embargo, estos elementos no resultan convincentes. A modo de ejemplo, la descripción de la amenaza de delitos terroristas y delitos graves en la evaluación de impacto y en la exposición de motivos de la propuesta (9) hace referencia a la cifra de 14000 delitos por cada 100000 habitantes en los Estados miembros en 2007. Aunque esta cifra puede resultar impactante, la misma se refiere a tipos de delitos no diferenciados, por lo que no puede servir para justificar que la propuesta tiene como objetivo y lucha únicamente contra un tipo limitado de delitos, esto es, los delitos transnacionales y de terrorismo. En opinión del SEPD, otro ejemplo en el cual se cita un informe relativo a “problemas” con las drogas que no vincula las estadísticas al tipo de tráfico de drogas afectado por la propuesta, no supone una referencia válida. Lo mismo resulta de aplicación para las indicaciones de las consecuencias de los delitos, al resaltar el “valor de los bienes robados” y las secuelas psicológicas y físicas para las víctimas, que no son datos directamente relacionados con el objeto de la propuesta.

12. Como último ejemplo, la evaluación de impacto indica que Bélgica ha “informado de que el 95 % de las incautaciones de drogas en 2009 se debió exclusivamente o de forma determinante al tratamiento de datos PNR”. Sin embargo, debe destacarse que Bélgica (todavía) no ha implantado un régimen PNR sistemático, comparable con el que se prevé en la propuesta. Esto podría significar que los datos PNR pueden ser útiles en casos específicos, lo cual es algo que el SEPD no cuestiona. Es la recogida masiva de datos a efectos de la evaluación sistemática de todos los pasajeros lo que plantea graves cuestiones en materia de protección de datos.

13. El SEPD considera que no existen suficientes documentos de referencia relevantes y precisos que demuestren la necesidad de este instrumento.

II.3.- Condiciones para limitar un derecho fundamental

14. Aunque el documento señala la interferencia de las medidas de tratamiento de datos con lo dispuesto en la Carta, el CEDH y el artículo 16 del TFUE, se refiere directamente a las posibles limitaciones de dichos derechos y parece satisfacerse con la conclusión de que “dado que las acciones propuestas tendrían como objetivo luchar contra el terrorismo y otros delitos graves, que se incluirán en un acto legislativo, es evidente que cumplirán dichos requisitos, ya que resultan necesarios en una sociedad democrática y son conformes con el principio de proporcionalidad” (10). Sin embargo, falta demostrar claramente el hecho de que las medidas son esenciales y de que no puede recurrirse a otros medios menos intrusivos.

15. En este sentido, el hecho de que se tuvieran en cuenta otros fines como el control de la inmigración, las listas de “no vuelos” y la seguridad sanitaria, que no han sido finalmente incluidos por motivos de proporcionalidad, no significa que “limitar” el tratamiento de datos PNR a los delitos graves y al terrorismo sea de facto proporcional porque resulta menos intrusivo. Tampoco se ha valorado la opción de limitar el sistema de lucha contra el terrorismo, sin incluir otros delitos, tal como se preveía en anteriores sistemas PNR, en especial en el régimen PNR de Australia. El SEPD destaca que en el anterior régimen, sobre el que el Grupo de Trabajo del Artículo 29 adoptó un dictamen favorable en 2004, los objetivos se limitaron a la “identificación de los pasajeros que puedan suponer una amenaza de terrorismo u otra actividad criminal relacionada” (11). El sistema australiano no prevé tampoco la conservación de los datos PNR salvo para determinados pasajeros identificados como una amenaza específica (12).

16. Además, en cuanto a la previsibilidad de la vigilancia de los interesados, resulta dudoso que la propuesta de la Comisión satisfaga los requisitos de una base jurídica sólida con arreglo a la legislación europea: la “evaluación” de los pasajeros (anteriormente redactada como “evaluación de riesgos”) se realizará sobre la base de criterios en constante evolución y poco transparentes. Tal como se menciona explícitamente en el texto, el principal objetivo del régimen no es un control fronterizo tradicional, sino servir como instrumento de investigación (13) y de arresto de personas que no son sospechosas, antes de la comisión de un delito. El desarrollo de un sistema similar a escala europea, que implique la obtención de datos de todos los pasajeros y la toma de decisiones sobre la base de criterios de evaluación desconocidos y en evolución, plantea graves problemas en materia de transparencia y proporcionalidad.

17. El único objetivo que, en opinión del SEPD, cumpliría los requisitos de transparencia y proporcionalidad, sería la utilización caso por caso de los datos PNR, tal como se establece en el artículo 4, apartado 2, letra c), aunque sólo en los casos en que se establezca una amenaza grave y determinada a través de indicadores concretos.

II.4.- El riesgo de desviación de uso

18. El artículo 4, apartado 2, letra b), establece que la Unidad de Información sobre Pasajeros puede realizar una evaluación de los pasajeros, actividad con la que podrá comparar los datos PNR con las “bases de datos pertinentes”, tal como se indica en el citado artículo. Esta disposición no indica, sin embargo, cuáles son las bases de datos que son pertinentes, por lo que la medida no es previsible, requisito que también se establece en la Carta y en el CEDH. Asimismo, la disposición plantea la cuestión de si es compatible con el principio de limitación a una finalidad específica. En opinión del SEPD, debería excluirse, por ejemplo, para las bases de datos como Eurodac, que se han desarrollado con otras finalidades. (14) Además, esto sería posible únicamente en los casos en que exista una necesidad específica, en un caso particular en que exista previamente una sospecha en relación con una persona después de que se haya cometido el delito. Por ejemplo, la consulta de todos los datos PNR en la base de datos del Sistema de Información de Visados (15) de manera sistemática resultaría excesivo y desproporcionado.

II.5.- El valor añadido de la propuesta respecto de la protección de datos

19. La idea según la cual la propuesta mejoraría la protección de datos al establecer unas condiciones uniformes en relación con los derechos de las personas es cuestionable. El SEPD reconoce el hecho de que si se estableciera la necesidad y la proporcionalidad del sistema, la aplicación de unas normas uniformes en toda la Unión Europea, incluso en materia de protección de datos, mejoraría la seguridad jurídica. Sin embargo, la actual redacción de la propuesta, en su considerando 28, menciona que “la Directiva no afecta a la posibilidad de que los Estados miembros establezcan, con arreglo a sus legislaciones nacionales, un mecanismo para recoger y tratar los datos PNR con finalidades distintas de las especificadas en la presente Directiva, o que los transportistas que no sean los mencionados en ella hagan lo mismo con respecto a los vuelos internos (…)”.

20. Por tanto, la armonización aportada por la propuesta resulta limitada, ya que cubre los derechos de los interesados pero no la limitación a una finalidad específica, a tenor de lo cual puede derivarse que los sistemas PNR que ya se utilizan para luchar, por ejemplo, contra la inmigración ilegal podrían seguir utilizándose para dicho fin con arreglo a lo dispuesto en la Directiva.

21. Esto implica, por un lado, que seguirán existiendo algunas diferencias entre los Estados miembros que ya hayan desarrollado un régimen PNR y que, por otro lado, la gran mayoría de Estados miembros que no obtienen de manera sistemática los datos PNR (21 de los 27 Estados miembros) se verán obligados a hacerlo. El SEPD considera que desde esta perspectiva el valor añadido en materia de protección de datos resulta sumamente cuestionable.

22. En cambio, las consecuencias del considerando 28 suponen una grave violación del principio de limitación a una finalidad específica. En opinión del SEPD, la propuesta debería indicar de manera explícita que los datos PNR no pueden ser utilizados para otros fines.

23. El SEPD llega a una conclusión similar a la derivada de la evaluación de la Directiva de conservación de datos: en ambos contextos, la falta de una armonización real va unida a una falta de seguridad jurídica. Además, la obtención y el tratamiento de datos personales resultan obligatorios en todos los Estados miembros, aun cuando no se haya establecido que el régimen sea necesario.

II.6. Relación con la Comunicación relativa a la gestión de la información en el espacio de libertad, seguridad y justicia

24. El SEPD señala asimismo que los desarrollos relativos al PNR están vinculados a la evaluación general en curso de todos los instrumentos europeos en el ámbito de la gestión del intercambio de información lanzada por la Comisión en enero de 2010 y desarrollada recientemente en la Comunicación sobre el panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia (16). Existe en especial una clara conexión con el debate actual sobre la Estrategia de Gestión de la Información en la UE. El SEPD considera a este respecto que los resultados del trabajo actual sobre el Modelo Europeo de Intercambio de Información esperado para 2012 deben tenerse en cuenta en la evaluación de la necesidad de un PNR de la Unión.

25. En este contexto, y a la vista de las deficiencias de la propuesta y, más concretamente de su evaluación de impacto, el SEPD considera que existe la necesidad de una evaluación de impacto específica sobre la privacidad y la protección de datos en casos como éste, en que la esencia de la propuesta afecta a los derechos fundamentales a la protección de datos y la privacidad, por lo que una evaluación de impacto general no resulta suficiente.

III.- OBSERVACIONES ESPECÍFICAS

III.1.- Ámbito de aplicación

26. Los delitos terroristas, los delitos graves y los delitos graves transnacionales están definidos en el artículo 2, letras g), h) e i), de la propuesta. El SEPD recibe con agrado el hecho de que las definiciones – y su ámbito de aplicación – se hayan perfeccionado, incluyendo una distinción entre los delitos graves y los delitos graves transnacionales. Esta distinción es acogida favorablemente en especial porque implica un tratamiento distinto de los datos personales, excluyendo la valoración en relación con criterios predeterminados en lo que respecta a los delitos graves que no son transnacionales.

27. Sin embargo, en opinión del SEPD, la definición de los delitos graves sigue siendo demasiado amplia. La propuesta reconoce este hecho cuando indica que los Estados miembros todavía pueden excluir los delitos menores que entren dentro de la definición de delitos graves (17) pero que no se ajusten al principio de proporcionalidad. Esta redacción implica que la definición de la propuesta puede también incluir los delitos menores, el tratamiento de los cuales podría resultar desproporcionado. Todavía no está claro, sin embargo, qué se entiende por delitos menores. En lugar de dejar en manos de los Estados miembros la facultad de restringir el ámbito de aplicación, el SEPD considera que la propuesta debería incluir de manera explícita una lista de los delitos, en la que se incluyera su ámbito de aplicación, así como los delitos que deben excluirse al considerarse menores y que no responden a la prueba de proporcionalidad.

28. La misma preocupación surge en relación con la facultad atribuida en el artículo 5, apartado 5, en relación con el tratamiento de datos asociados a cualquier tipo de delito si se detectan en el curso de la acción ejercida, así como la posibilidad que se menciona en el considerando 28 de ampliar el ámbito de aplicación a otras finalidades distintas de las previstas en la propuesta o a otras empresas de transporte.

29. El SEPD también está preocupado en relación con la posibilidad que se prevé en el artículo 17 de incluir los vuelos internos en el ámbito de aplicación de la Directiva, a la vista de la experiencia adquirida por los Estados miembros que ya recopilan estos datos. Tal ampliación del ámbito de aplicación del régimen PNR supondría una amenaza aún mayor para los derechos fundamentales de las personas y no debería preverse antes de llevar a cabo un adecuado análisis que incluya una evaluación de impacto global.

30. A modo de conclusión, el dejar abierta la delimitación del ámbito de aplicación y dotar a los Estados miembros de la posibilidad de ampliar su objeto es contrario al requisito de que los datos pueden recopilarse únicamente para fines específicos y explícitos.

III.2.- Unidades de Información sobre Pasajeros

31. La función de las Unidades de Información sobre Pasajeros y de las garantías relativas al tratamiento de los datos PNR plantean unas cuestiones específicas, en especial debido a que dichas unidades reciben datos de todos los pasajeros de las compañías aéreas y que, a tenor de la propuesta, disponen de amplias competencias para el tratamiento de dichos datos. Estas competencias incluyen la evaluación del comportamiento de los pasajeros que no son sospechosos de haber cometido infracción alguna y la posibilidad de comparar los datos PNR con una serie de bases de datos indeterminadas en la propuesta (18). El SEPD señala que en la propuesta están previstas las condiciones del “acceso restringido” pero considera que dichas condiciones por separado no son suficientes, a la vista de las amplias competencias de que disponen las Unidades de Información sobre Pasajeros.

32. En primer lugar, el carácter y composición de la autoridad designada como Unidad de Información sobre Pasajeros siguen sin estar claros. La propuesta menciona la posibilidad de que el personal pueda ser “enviado en comisión de servicio por las autoridades públicas competentes” aunque no ofrece ninguna garantía en relación con la competencia y la integridad del personal de la Unidad de Información sobre Pasajeros. El SEPD recomienda incluir dichos requisitos en el texto de la Directiva, teniendo en cuenta el carácter sensible del tratamiento que dichas Unidades deben llevar a cabo.

33. En segundo lugar, la propuesta permite la posibilidad de nombrar una Unidad de Información sobre Pasajeros para varios Estados miembros. Esto abre la puerta a los riesgos de desvíos y transmisiones de datos fuera de las condiciones impuestas en la propuesta. El SEPD reconoce que podrían existir motivos de eficacia, en particular en relación con los Estados miembros más pequeños, de aunar fuerzas pero recomienda que se incluyan en el texto las condiciones para esta opción. Estas condiciones deberían abordar la cooperación con las autoridades competentes, así como la supervisión, en particular en relación con la autoridad de protección de datos responsable del control, y en relación con el ejercicio de los derechos del interesado, ya que varias autoridades pueden resultar competentes del control sobre una Unidad de Información sobre Pasajeros.

34. Existe un riesgo de desviación de uso asociado a los elementos arriba mencionados y, en particular, a la vista de la categoría del personal competente para analizar los datos y “compartir” una Unidad de Información sobre Pasajeros entre varios Estados miembros.

35. En tercer lugar, el SEPD cuestiona las garantías previstas para evitar abusos. Aunque, se acoge con agrado la existencia de obligaciones de registro, éstas no resultan suficientes. El autocontrol debería completarse con un control externo, de modo más estructurado. El SEPD sugiere que las auditorías se organicen de manera sistemática cada cuatro años. Debería desarrollarse un conjunto global de medidas de seguridad e imponerlas de manera horizontal a todas las Unidades de Información sobre Pasajeros.

III.3.- Intercambio de datos entre los Estados miembros

36. El artículo 7 de la propuesta prevé diversos escenarios que permiten el intercambio de datos entre las Unidades de Información sobre Pasajeros (siendo ésta la situación normal) o entre las autoridades competentes de un Estado miembro y una Unidad de Información sobre Pasajeros en situaciones excepcionales. Las condiciones son igualmente más estrictas dependiendo de si el acceso se solicita para la base de datos prevista en el artículo 9, apartado 1, en la cual los datos se conservan durante los primeros 30 días, o para la base de datos mencionada en el artículo 9, apartado 1, en la cual los datos se conservan por otros cinco años.

37. Las condiciones de acceso se definen de forma más estricta cuando la solicitud de acceso va más allá del procedimiento normal. El SEPD señala, sin embargo, que la redacción induce a confusión: el artículo 7, apartado 2, es aplicable en “cada caso concreto para prevenir, detectar, investigar o enjuiciar delitos terroristas o delitos graves”; el artículo 7, apartado 3, menciona “circunstancias excepcionales como respuesta a una amenaza específica o a una investigación o enjuiciamiento específico relacionado con delitos terroristas o delitos graves”, mientras que el artículo 7, apartado 4, se refiere a “amenaza grave e inmediata para la seguridad pública” y el artículo 7, apartado 5, menciona una “amenaza específica y real relacionada con delitos terroristas o delitos graves”. Las condiciones de acceso a las bases de datos por parte de las distintas partes interesadas varían en función de estos criterios. Sin embargo, la distinción entre una amenaza específica, una amenaza grave e inmediata y una amenaza específica y real no está clara. El SEPD subraya la necesidad de una mayor especificación de las condiciones precisas con arreglo a las cuales se permitirán las transferencias de datos.

III.4.- Legislación aplicable

38. La propuesta hace referencia como base jurídica general de los principios de protección de datos a la Decisión marco 2008/977/JAI del Consejo y amplía su ámbito de aplicación al tratamiento de datos a nivel nacional.

39. El SEPD ya destacó en 2007 (19) las deficiencias de la Decisión marco en relación con los derechos de las personas cuyos datos están siendo procesados. Entre los elementos que faltan en la Decisión marco, resaltan en especial algunos requisitos de información en caso de que se solicite el acceso a sus datos: la información debería facilitarse de manera inteligible, debería indicarse la finalidad del tratamiento y existe la necesidad de establecer garantías más desarrolladas en caso de recurrir a la autoridad de protección de datos si se deniega un acceso directo.

40. La referencia a la Decisión marco tiene consecuencias también en relación con la identificación de la autoridad de protección de datos competente del control de la aplicación de la futura Directiva, ya que puede que la misma autoridad de protección de datos no resulte competente en relación con las cuestiones del (ex) primer pilar. El SEPD considera que no resulta satisfactorio confiar únicamente en la Decisión marco en el contexto post-Lisboa, en el cual uno de los principales objetivos es adaptar el marco jurídico para garantizar un alto nivel armonizado de protección en relación con los (ex) pilares. Considera que son necesarias disposiciones adicionales en la propuesta que complementen la referencia a la Decisión marco del Consejo cuando se hayan identificado deficiencias, en especial en relación con las condiciones de acceso a los datos personales.

41. Estas consideraciones resultan igualmente válidas en relación con las disposiciones sobre transferencias de datos a los terceros países. La propuesta hace referencia al artículo 13, apartado 3, inciso (ii) de la Decisión marco, que incluye amplias excepciones a las garantías de protección de datos: deroga en especial el requisito de adecuación en caso de “legítimos intereses superiores, en especial importantes intereses públicos”. Esta excepción tiene una redacción vaga que podría potencialmente aplicarse en muchos casos al tratamiento de datos PNR, si se interpreta de manera amplia. El SEPD considera que la propuesta debería evitar de manera explícita la aplicación de las excepciones de la Decisión marco en el contexto del tratamiento de los datos PNR y conservar el requisito de una evaluación estricta de la adecuación.

III.5.- Conservación de los datos

42. La propuesta prevé un período de 30 días para la conservación, con un período adicional de archivo de cinco años. Este período de conservación se ha reducido de manera considerable si se compara con las anteriores versiones del documento, en las cuales la conservación duraba de cinco a ocho años más.

43. El SEPD recibe con agrado que se haya reducido el primer período de conservación a 30 días, aunque cuestiona el período de conservación adicional de cinco años, ya que, a su juicio, no está claro si existe la necesidad de conservar estos datos de modo que todavía sea posible la identificación de las personas.

44. Se destaca asimismo una cuestión terminológica del texto, que tiene importantes repercusiones jurídicas. El artículo 9, apartado 2, indica que los datos de los pasajeros “se enmascararán” y serán, por tanto, “anónimos”. Sin embargo, más tarde el texto menciona que aún es posible acceder a “la totalidad de los datos PNR”. De ser así, esto significa que los datos PNR nunca han sido totalmente anónimos, ya que a pesar de estar enmascarados, siguen siendo identificables. La consecuencia es que el marco de protección de datos sigue siendo totalmente aplicable, lo cual plantea la cuestión fundamental de la necesidad y la proporcionalidad de la conservación de los datos de identificación de todos los pasajeros durante cinco años.

45. El SEPD recomienda que la propuesta se vuelva a redactar, conservando el principio de anonimización sin que exista la posibilidad de que vuelvan a ser datos identificables, lo cual implica que no se permite una investigación retroactiva. Estos datos todavía – y únicamente – podrían ser utilizados para fines generales de los servicios de inteligencia, basados en la identificación del terrorismo y las pautas asociadas a la delincuencia en los flujos migratorios. Lo anterior debería distinguirse de la conservación de datos de manera identificable – lo cual está sujeto a determinadas garantías – en los casos han dado lugar a una sospecha concreta.

III.6.- Lista de datos PNR

46. El SEPD recibe con satisfacción el hecho de que los datos sensibles no estén incluidos en la lista de datos que deben tratarse. Destaca, sin embargo, que la propuesta todavía prevé la posibilidad de que estos datos se envíen a la Unidad de Información sobre Pasajeros, quien tiene posteriormente la obligación de suprimirlos (artículo 4, apartado 1, y artículo 11). Del tenor del texto no queda claro si las Unidades de Información sobre Pasajeros todavía tendrán la obligación rutinaria de filtrar los datos sensibles enviados por las compañías aéreas o de si deben hacerlo únicamente en los casos excepcionales en que las compañías aéreas se los hubieran enviado por error. El SEPD recomienda modificar el texto con el fin de aclarar que los datos sensibles no se envíen a las compañías aéreas al inicio del tratamiento de datos.

47. Aparte de los datos sensibles, la lista de datos que pueden ser transferidos es reflejo en gran medida de la lista PNR de los Estados Unidos, la cual ha sido criticada en diversos dictámenes del Grupo de Trabajo del Artículo 29 por ser demasiado amplia (20). El SEPD considera que esta lista debería reducirse según indica el dictamen del Grupo de Trabajo y que cualquier elemento que se añada debería estar debidamente justificado. Este es el caso en especial del ámbito de las “observaciones generales” que debería quedar excluido de la lista.

III.7.- Decisiones individuales automatizadas

48. En virtud del artículo 4, apartado 2, letras a) y b), la evaluación de personas con arreglo a criterios predeterminados o con bases de datos pertinentes puede implicar un tratamiento automatizado que debería ser, sin embargo, revisado individualmente por medios no automatizados.

49. El SEPD recibe con satisfacción las aclaraciones que esta nueva versión del texto aporta. La ambigüedad del anterior ámbito de aplicación de la disposición en relación con las decisiones automatizadas que producen “efectos jurídicos adversos para una persona o que afecten significativamente a una persona (…)” se ha sustituido gracias a una redacción más explícita. Ahora queda claro, pues, que cualquier resultado positivo se revisará individualmente.

50. También queda claro en la nueva versión que una evaluación en ningún caso se basará en el origen racial o étnico, las creencias religiosas o filosóficas, las opiniones políticas, la pertenencia a un sindicato o en la salud o la orientación sexual de la persona. Dicho de otro modo, el SEPD entiende con esta nueva redacción que no podrá adoptarse ninguna decisión que esté basada, ni siquiera parcialmente, en datos sensibles, lo cual es coherente con la disposición conforme a la cual los datos sensibles no pueden ser tratados por las Unidades de Información sobre Pasajeros. Dicha medida también es bien recibida.

III.8.- Revisión y datos estadísticos

51. El SEPD considera de suma importancia que se lleve a cabo una evaluación generalizada de la aplicación de la Directiva, tal como se prevé en el artículo 17. Considera que la revisión no sólo debe evaluar el cumplimiento general de las normas de protección de datos sino esencial y específicamente si los sistemas PNR constituyen una medida necesaria. Los datos estadísticos mencionados en el artículo 18 desempeñan un papel importante en esta perspectiva. El SEPD considera que esta información debería incluir tanto el número de medidas de mantenimiento del orden público, tal como se prevé en el proyecto, como el número de condenas efectivas que se han derivado, en su caso, a raíz de dichas medidas. Estos datos resultan básicos para que el resultado de la revisión sea concluyente.

III.9.- Relación con otros instrumentos

52. La propuesta se entiende sin perjuicio de los acuerdos existentes con terceros países (artículo 19). El SEPD opina que esta disposición debería hacer una referencia más explícita al objetivo del marco global que establece garantías armonizadas de protección de datos en el ámbito del PNR, dentro y fuera de la Unión Europea, tal como solicitó el Parlamento Europeo y ha desarrollado la Comisión en su Comunicación de 21 de septiembre de 2010“sobre el enfoque global de las transferencias de datos de los registros de nombres de los pasajeros (PNR) a terceros países”.

53. En ese sentido, los acuerdos con terceros países no deberían incluir disposiciones que ofrezcan un nivel de protección de datos menor al de la Directiva. Esto es de particular importancia en este momento en que se están renegociando los acuerdos con los Estados Unidos, Australia y Canadá desde esta perspectiva de un marco global (y armonizado).

IV.- CONCLUSIÓN

54. El desarrollo de un sistema PNR de la Unión Europea, junto con la negociación de acuerdos PNR con terceros países, ha sido un proyecto de larga duración. El SEPD reconoce que, en comparación con la propuesta de Decisión marco del Consejo sobre un PNR de la Unión Europea de 2007, se han llevado a cabo mejoras visibles en el texto del proyecto. Se han añadido garantías de protección de datos, como resultado de los debates y dictámenes de las diferentes partes interesadas, incluidos en especial el Grupo de Trabajo del Artículo 29, el SEPD y el Parlamento Europeo.

55. El SEPD recibe con agrado estas mejoras y, en especial, los esfuerzos por limitar el ámbito de aplicación de la propuesta y las condiciones del tratamiento de los datos PNr. Sin embargo, se ve obligado a observar que la propuesta no cumple el requisito previo fundamental de cualquier desarrollo de un régimen PNR, esto es, el cumplimiento de los principios de necesidad y proporcionalidad. El SEPD recuerda que, en su opinión, los datos PNR pueden ser necesarios para el mantenimiento del orden público en casos específicos y al mismo tiempo cumplir con los requisitos de protección de datos. Lo que plantea preocupaciones específicas es su utilización de manera sistemática e indiscriminada en relación con todos los pasajeros.

56. La evaluación de impacto proporciona elementos que tienen como fin justificar la necesidad de que los datos PNR para luchar contra la delincuencia aunque el carácter de esta información es demasiado general y no logra dar apoyo al tratamiento a gran escala de los datos PNR con fines de investigación. En opinión del SEPD, la única medida que cumple los requisitos de protección de datos sería la utilización de los datos PNR caso por caso, cuando exista una amenaza grave establecida mediante indicadores concretos.

57. Además de esta deficiencia esencial, las observaciones del SEPD afectan a los siguientes aspectos:

– el ámbito de aplicación debería ser mucho más limitado en relación con el tipo de delitos implicados. El SEPD cuestiona la inclusión en la propuesta de delitos graves que no están relacionados con el terrorismo. En cualquier caso, los delitos menores deberían definirse y excluirse de manera explícita. El SEPD recomienda excluir la posibilidad de que los Estados miembros amplíen el ámbito de aplicación;

– el carácter de las distintas amenazas que permiten el intercambio de datos entre las Unidades de Información sobre Pasajeros o entre los Estados miembros no se ha definido de manera suficiente;

– los principios en materia de protección de datos aplicables no deberían estar basados en la Decisión marco 2008/977/JAI del Consejo, dado que ésta presenta deficiencias especialmente remarcables en relación con los derechos de los individuos cuyos datos se están procesando y las transferencias a terceros países. En la propuesta debería desarrollarse un mayor nivel de garantías, basado en los principios de la Directiva 95/46/CE;

– no debería conservarse ningún dato de manera identificable por más de 30 días, salvo en los casos en que éstos que sean necesarios para una investigación adicional;

– debería reducirse la lista de datos PNR que deben tratarse, de conformidad con las recomendaciones previas del Grupo de Trabajo del Artículo 29 y del SEPD. En concreto, no debería incluirse el campo “observaciones generales”;

– la evaluación de la Directiva debería estar basada en datos generales, incluido el número de personas efectivamente condenadas, y no solo enjuiciadas, sobre la base del tratamiento de sus datos.

58. El SEPD recomienda asimismo que se evalúen los desarrollos relativos a un PNR de la Unión Europea, desde una perspectiva más amplia, incluida la evaluación general en curso de todos los instrumentos europeos en el ámbito de la gestión del intercambio de información lanzada por la Comisión en enero de 2010. En particular, deberían tenerse en cuenta en la evaluación de la necesidad de un sistema PNR de la Unión los resultados del trabajo actual del Modelo Europeo de Intercambio de Información esperados para 2012.

Hecho en Bruselas, el 25 de marzo de 2011.

Peter Hustinx

Supervisor Europeo de Protección de Datos

———————————————————————————————————————————–

(1) DO L 281 de 23.11.1995, p. 31.

(2) DO L 8 de 12.1.2001, p. 1.

(3) COM(2011) 32 final.

(4) COM(2007) 654 final.

(5) Dictamen del Supervisor Europeo de Protección de Datos acerca de la propuesta de Decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record – PNR) con fines represivos (DO C 110 de 1.5.2008, p. 1).

(6)

– Dictamen de 19 de octubre de 2010 relativo a la Comunicación de la Comisión sobre el enfoque global de las transferencias de Datos de Registros de Pasajeros (PNR, en inglés) a los terceros países, disponible en http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

– Los dictámenes del Grupo de Trabajo del Artículo 29 están disponibles en el enlace siguiente: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

(7) Esto significa que los datos PNR deben ser transmitidos activamente por las compañías aéreas y no por las autoridades públicas mediante un acceso directo a la base de datos de dichas compañías.

(8) Véase “The moment of truth for the Data Retention Directive” (El momento de la verdad para la Directiva de conservación de datos), discurso pronunciado por Peter Hustinx en la conferencia “Taking on the Data Retention Directive”, Bruselas, 3 de diciembre de 2010, disponible en: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2010/10-12-03_Data_retention_speech_PH_EN.pdf

(9) Evaluación de impacto, capítulo 2.1.1, y exposición de motivos, capítulo 1, primer párrafo.

(10) Evaluación de impacto, apartado 3.2, párrafo segundo.

(11) Dictamen 1/2004 de 16 de enero de 2004 sobre el nivel de protección garantizado por Australia en la transmisión de datos del registro de nombres de pasajeros de las compañías aéreas, WP85.

(12) El dictamen del Grupo de Trabajo del Artículo 29 explica asimismo que “ninguna ley obliga al servicio de aduanas a retener los datos del PNR, de la misma forma que ninguna ley prohíbe a dicho servicio almacenar dichos datos. Los datos del PNR evaluados a través del software de análisis de perfiles automatizado y cuyo resultado es de bajo riesgo (entre el 95 % y el 97 % de los pasajeros) no se retienen, y no se conserva ningún registro con dicha información. Así pues, el servicio de aduanas aplica una política general de no retención de estos datos. En cuanto a la media de entre el 0,05 % y el 0,1 % de pasajeros remitidos al servicio de aduanas para ser sometidos a nuevas evaluaciones, se retienen temporalmente los datos del PNR de la compañía aérea, pero no se almacenan, a la espera de los resultados de la evaluación realizada en la frontera. Una vez tomada la decisión, los datos se borran del ordenador del funcionario correspondiente de la Unidad de análisis de pasajeros del servicio de aduanas y no se introducen en las bases de datos australianas.”.

(13) Exposición de motivos, capítulo 1. Contexto de la propuesta, Coherencia con otras políticas y objetivos de la Unión.

(14) La finalidad de Eurodac “será ayudar a determinar el Estado miembro responsable, con arreglo al Convenio de Dublín, del examen de las solicitudes de asilo presentadas en los Estados miembros y, además, facilitar la aplicación del Convenio de Dublín en las condiciones establecidas en el presente Reglamento”, con arreglo al artículo 1, apartado 1, del Reglamento no 2725/2000, de 11 de diciembre de 2000, relativo a la creación del sistema “Eurodac” para la comparación de las impresiones dactilares para la aplicación efectiva del Convenio de Dublín, DO L 316 de 15.12.2000, p. 1.

(15) “El VIS tendrá por objetivo mejorar la aplicación de la política común de visados, la cooperación consular y las consultas entre las autoridades centrales de visados, facilitando el intercambio de datos entre los Estados miembros sobre las solicitudes y sobre las decisiones relativas a las mismas”, con arreglo a lo dispuesto en el artículo 2 del Reglamento (CE) no 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS), DO L 218 de 13.8.2008, p. 60.

(16) COM(2010) 385 final.

(17) Tal como se mencionó en las Decisiones marco 2008/841/JAI y 2002/584/JAI del Consejo.

(18) Sobre las Unidades de Información sobre Pasajeros, véase el Dictamen del SEPD de 20 de diciembre de 2007.

(19) Tercer Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Decisión Marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal DO C 139 de 23.6.2007, p. 1.

(20) Dictamen de 23 de junio de 2003 sobre el nivel de protección garantizado en los Estados Unidos para las transferencias de datos de los pasajeros, WP78. Este dictamen y los dictámenes siguientes del Grupo de Trabajo sobre esta cuestión están disponibles en: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1) Existen varias normas internacionales, nacionales, regionales y de uso particular relativas a las facturas electrónicas actualmente utilizadas en los Estados miembros. Ninguna de estas normas prevalece y la mayoría carece de interoperabilidad entre sí.

(2) A falta de una norma común, los Estados miembros, a la hora de promover o imponer el uso de facturas electrónicas en la contratación pública, optan por elaborar sus propias soluciones técnicas, basadas en normas nacionales distintas. Por ello, el número de normas diferentes que coexisten en los Estados miembros va en aumento y es probable que siga aumentando en el futuro.

(3) La multiplicidad de normas que carecen de interoperabilidad genera una excesiva complejidad, inseguridad jurídica y costes de funcionamiento adicionales para los agentes económicos que utilizan facturas electrónicas en todos los Estados miembros. Los agentes económicos que desean realizar actividades de contratación transfronteriza deben atenerse a menudo a nuevas normas de facturación electrónica cada vez que acceden a un nuevo mercado. Dado que disuaden a los operadores económicos de emprender actividades de contratación transfronteriza, los requisitos técnicos y jurídicos divergentes en materia de facturación electrónica constituyen obstáculos de acceso al mercado en la contratación pública transfronteriza y obstáculos al comercio. Son un obstáculo al ejercicio de las libertades fundamentales y, por tanto, afectan directamente al funcionamiento del mercado interior.

(4) Es probable que esos obstáculos al comercio dentro de la Unión aumenten en el futuro, a medida que se elaboren más normas nacionales y de uso particular incompatibles y que se generalice o se convierta en obligatorio el uso de las facturas electrónicas en la contratación pública en los Estados miembros.

(5) Es preciso eliminar o reducir los obstáculos transfronterizos al comercio derivados de la coexistencia de diferentes requisitos legales y normas técnicas en relación con la facturación electrónica y de su falta de interoperabilidad. Con el fin de alcanzar ese objetivo, debe desarrollarse una norma europea común para el modelo de datos semánticos de los elementos esenciales de una factura electrónica básica (“la norma europea sobre facturación electrónica”). Esta norma debe establecer y describir los elementos esenciales que ha de contener siempre una factura electrónica, facilitando de ese modo el envío y la recepción de facturas electrónicas entre sistemas basados en normas técnicas distintas. Siempre que no entren en conflicto con dicha norma europea, las normas técnicas nacionales existentes no deben sustituirse ni su utilización debe verse limitada por la presente norma, y ha de seguir siendo posible que se continúen aplicando paralelamente a dicha norma.

(6) Al garantizar la interoperabilidad semántica y mejorar la seguridad jurídica, la presente Directiva va a fomentar el uso de la facturación electrónica en la contratación pública, permitiendo así a los Estados miembros, los poderes adjudicadores, las entidades adjudicadoras y los operadores económicos generar importantes beneficios en términos de ahorro, impacto ambiental y reducción de las cargas administrativas.

(7) Los beneficios de la facturación electrónica alcanzarán su nivel máximo cuando la generación, envío, transmisión, recepción y tratamiento de una factura puedan ser plenamente automatizados. Por este motivo, se debe considerar que únicamente cumplen la norma europea de facturación electrónica las facturas legibles por máquina que el receptor pueda tratar automática y digitalmente. A efectos de la presente Directiva, un simple archivo de imagen no debe considerarse factura electrónica.

(8) El objetivo de la interoperabilidad es permitir que la información se presente y se trate de manera uniforme entre los sistemas de gestión, independientemente de su tecnología, aplicación o plataforma. La plena interoperabilidad incluye la capacidad de interoperar en tres niveles distintos: en el del contenido de la factura (datos semánticos), en el del formato o lenguaje utilizado (sintaxis) y en el del método de transmisión. La interoperabilidad semántica implica que la factura electrónica contenga cierta cantidad de información exigida y que el significado preciso de la información intercambiada se mantenga y se comprenda correctamente de forma inequívoca, con independencia de la forma en que se represente o transmita físicamente. La interoperabilidad sintáctica implica que los elementos de una factura electrónica relativos a datos se presenten en un formato que pueda intercambiarse directamente entre el emisor y el destinatario y tratarse automáticamente. La interoperabilidad sintáctica puede garantizarse de dos formas, a saber, mediante la utilización de una sintaxis común o mediante la asignación de correspondencias entre diferentes sintaxis.

(9) Existe un gran número de sintaxis en uso. La interoperabilidad sintáctica se ve cada vez más garantizada mediante la asignación de correspondencias. Este método es eficaz si la factura contiene todos los datos requeridos a nivel semántico y su significado es inequívoco. Como es algo que no ocurre con frecuencia, son necesarias medidas para garantizar la interoperabilidad a nivel semántico. Para simplificar en mayor medida la utilización de la facturación electrónica y reducir costes, uno de los objetivos a largo plazo debe ser el de limitar el número de sintaxis utilizadas, centrándose preferentemente en aquellas utilizadas más comúnmente.

(10) La normalización de la facturación electrónica también complementa los esfuerzos por fomentar la implantación de la facturación electrónica, tal como contemplan las disposiciones pertinentes de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo (4) y de la Directiva 2014/25/UE del Parlamento Europeo y del Consejo (5).

(11) El Consejo Europeo, en sus Conclusiones de 28 y 29 de junio de 2012 y de 24 de octubre de 2013, declaró la conveniencia de dar prioridad a las medidas destinadas a seguir desarrollando el comercio transfronterizo en línea y la modernización de las administraciones públicas, particularmente facilitando la transición a la facturación electrónica y mediante una implantación rápida de dicha facturación.

(12) El Parlamento Europeo, en su Resolución de 20 de abril de 2012, señaló la fragmentación del mercado debida a las normas nacionales de facturación electrónica, subrayó los beneficios sustanciales que ofrece la facturación electrónica y destacó la importancia de la seguridad jurídica, de un entorno técnico claro y de soluciones de facturación electrónica abiertas e interoperables basadas en requisitos jurídicos, procesos empresariales y normas técnicas comunes. Por todo ello, el Parlamento Europeo pidió que la facturación electrónica fuera obligatoria para todos los procesos de contratación pública en 2016 a más tardar.

(13) El Foro Europeo Multilateral sobre Facturación Electrónica, establecido por la Decisión de la Comisión de 2 de noviembre de 2010 (6), adoptó por unanimidad en octubre de 2013 una Recomendación sobre el uso de un modelo de datos semánticos para respaldar la interoperabilidad de la facturación electrónica.

(14) La presente Directiva debe aplicarse a las facturas electrónicas recibidas por los poderes adjudicadores y las entidades adjudicadoras y emitidas como resultado de la ejecución de contratos a los que son de aplicación la Directiva 2009/81/CE del Parlamento Europeo y del Consejo (7), la Directiva 2014/23/UE del Parlamento Europeo y del Consejo (8), la Directiva 2014/24/UE o la Directiva 2014/25/UE. La presente Directiva debe aplicarse únicamente a las facturas electrónicas emitidas por el operador económico al que se ha adjudicado el contrato público o concesión (el contratista principal). No obstante, si los Estados miembros, con arreglo al artículo 71 de la Directiva 2014/24/UE y al artículo 88 de la Directiva 2014/25/UE, disponen el pago directo a los subcontratistas, el régimen que se consigne en los documentos de la contratación pública debe incluir disposiciones relativas al uso obligatorio o no de la facturación electrónica para el pago de los subcontratistas. Es preciso aclarar que, cuando se adjudique un contrato a un grupo de operadores económicos, la presente Directiva se aplica a las facturas electrónicas emitidas tanto por el grupo como por los operadores económicos por separado.

(15) La presente Directiva debe aplicarse asimismo a los contratos de concesión que impliquen pagos y que requieran la emisión de facturas por parte del operador económico al que se haya adjudicado el contrato de concesión. El término “concesiones” se define en el artículo 5, punto 1, de la Directiva 2014/23/UE. El objeto de los contratos de concesión es la contratación de obras o servicios mediante una concesión cuya contrapartida consiste en el derecho a explotar las obras o servicios, o en este mismo derecho unido a un pago.

(16) El artículo 346 del Tratado de Funcionamiento de la Unión Europea se aplica a la presente Directiva. Esta no se aplica a las facturas electrónicas emitidas como resultado de la ejecución de contratos (declarados como secretos o acompañados de medidas especiales de seguridad) que estén excluidos del ámbito de aplicación de la Directiva 2014/23/UE, la Directiva 2014/24/UE y la Directiva 2014/25/UE, en virtud, respectivamente, de su artículo 10, apartado 6, su artículo 15, apartado 3, y su artículo 24, apartado 3. En las mismas condiciones, la presente Directiva debe contemplar una exclusión específica para las facturas electrónicas emitidas como resultado de la ejecución de los citados contratos (declarados secretos o acompañados de medidas especiales de seguridad) que entren en el ámbito de aplicación de la Directiva 2009/81/CE.

(17) Las definiciones de la presente Directiva deben ser conformes con el resto de la legislación de la Unión en materia de contratación pública.

(18) La Comisión debe aplicar las disposiciones pertinentes del Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo (9), para solicitar al organismo europeo de normalización pertinente que elabore una norma europea relativa al modelo de datos semánticos de los elementos esenciales de una factura electrónica (en lo sucesivo, “la norma europea sobre facturación electrónica”). En virtud de las disposiciones pertinentes del Reglamento nº 1025/2012, la decisión de la Comisión por la que se establece tal solicitud está sujeta al procedimiento de examen del Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (10).

(19) La norma europea sobre facturación electrónica debe basarse en las especificaciones técnicas desarrolladas en el marco de los organismos de normalización europeos como el Comité Europeo de Normalización (CEN) (CWA 16356-MUG y CWA 16562-CEN BII) y debe tener en cuenta otras especificaciones técnicas pertinentes desarrolladas en el marco de los organismos internacionales de normalización, como el CEFACT/ONU (CII v. 2) y la ISO (Factura financiera basada en la metodología de la ISO 20022). Al dar curso a la solicitud de normalización, el organismo europeo de normalización pertinente debe también tener en cuenta los resultados de los proyectos a gran escala realizados en el marco del Programa de apoyo a la política del Programa marco para la innovación y la competitividad y aquellas especificaciones técnicas relativas a la facturación electrónica de otros organismos y organizaciones de normalización pertinentes utilizadas de forma generalizada por la comunidad empresarial. La norma europea sobre facturación electrónica debe ser compatible con las normas vigentes aplicables a los pagos, a fin de permitir el tratamiento automatizado de los mismos.

(20) En su solicitud al organismo europeo de normalización pertinente, la Comisión debe exigir que la norma europea sobre facturación electrónica sea tecnológicamente neutra, a fin de evitar todo falseamiento de la competencia; que sea compatible con las normas internacionales sobre facturación electrónica pertinentes, a fin de impedir que los proveedores de terceros países deban hacer frente a obstáculos técnicos para su acceso al mercado y de facilitar que los proveedores europeos envíen facturas electrónicas a los compradores de terceros países, y que sea conforme con la Directiva 2006/112/CE del Consejo (11). Puesto que las facturas electrónicas pueden contener datos personales, la Comisión debe también exigir que la norma europea sobre facturación electrónica tenga en cuenta la protección de los datos personales, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (12), así como los principios de la protección de datos mediante el diseño, la proporcionalidad y la reducción al mínimo de dichos datos. Además de estos requisitos mínimos, la Comisión debe determinar, en su solicitud al organismo europeo de normalización pertinente, otros requisitos en cuanto al contenido de la norma europea sobre facturación electrónica y un plazo para su adopción.

(21) Para garantizar que las pequeñas y medianas empresas puedan gozar también de la facturación electrónica en la contratación pública, la norma europea sobre facturación electrónica debe posibilitar el establecimiento de sistemas de facturación electrónica sencillos, en concreto, sistemas que sean fáciles de entender y de utilizar. A este respecto debe asimismo tenerse en cuenta que las pequeñas y medianas empresas, en particular, así como los poderes adjudicadores y las entidades adjudicadoras de pequeñas dimensiones, disponen solo de personal y recursos financieros limitados.

(22) La norma europea sobre facturación electrónica debe ser también apta para su utilización en las transacciones comerciales entre empresas. Así pues, para que los agentes económicos puedan utilizar la nueva norma en sus negocios, la Comisión debe garantizar que la norma no evolucione de forma que sea apta para su utilización únicamente en el ámbito de la contratación pública.

(23) Las facturas emitidas en diferentes sectores comerciales pueden hacer necesaria la inclusión de información específica sobre tales sectores. No obstante, en todas las facturas debe incluirse un número limitado de elementos normalizados comunes. La presencia de tales elementos es indispensable para verificar si la factura refleja adecuadamente la transacción comercial subyacente y para garantizar su validez jurídica. En la Directiva 2006/112/CE se incluye una lista de dichos elementos necesarios a efectos del IVA. La norma europea sobre facturación electrónica debe ser congruente con esa serie de elementos.

(24) La norma europea sobre facturación electrónica debe determinar los datos semánticos que se refieran, en particular, a datos complementarios del vendedor y del comprador, identificadores de proceso, particularidades de la factura, detalles de la factura, información de la entrega e información sobre el pago y sus condiciones. En cada factura electrónica deben constar sus elementos esenciales. Lo anterior ha de garantizar la aplicación clara y eficaz de la facturación electrónica.

(25) Si bien el emisor de una factura electrónica debe seguir contando con la posibilidad de garantizar la autenticidad del origen e integridad del contenido de la factura por diversos métodos, también mediante la firma electrónica, con el fin de garantizar el cumplimiento de la Directiva 2006/112/CE, la norma europea sobre facturación electrónica no debe contener el requisito de la firma electrónica como uno de sus elementos.

(26) Con el fin de evitar costes y cargas administrativas excesivos para los poderes adjudicadores y las entidades adjudicadoras, debe pedirse al organismo europeo de normalización europea pertinente que establezca una lista con un número limitado de sintaxis que cumplan la norma europea sobre facturación electrónica. Dicha lista no debe formar parte de la norma europea sobre facturación electrónica. Las sintaxis establecidas deben ser las que ya se utilicen de forma generalizada y satisfactoria por los operadores económicos y los poderes adjudicadores. Para facilitar y acelerar la aplicación por los Estados miembros, debe solicitarse al organismo de normalización europea pertinente que facilite correspondencias sintácticas adecuadas de la norma europea sobre facturación electrónica con todas las sintaxis incluidas en la lista. Las correspondencias sintácticas son directrices relativas a la forma en que la norma podría representarse en las distintas sintaxis. Este producto de normalización debe completar la norma europea sobre facturación electrónica y la lista de sintaxis.

(27) Con el fin de facilitar el uso de la norma europea sobre facturación electrónica, se debe asimismo solicitar al organismo europeo de normalización que elabore orientaciones en materia de interoperabilidad de la transmisión. Dichas orientaciones no deben formar parte de la norma europea sobre facturación electrónica ni ser vinculantes para los poderes adjudicadores y las entidades adjudicadoras.

(28) Antes de la introducción en los Estados miembros de la norma europea sobre facturación electrónica, la aplicación práctica de la norma debe ensayarse suficientemente. Esta evaluación debe hacerse durante la elaboración de la norma. En dicha evaluación deben participar los usuarios finales y han de abordarse, en particular, los aspectos de uso práctico y sencillo, y se debe demostrar que la norma puede aplicarse de manera rentable y proporcionada.

(29) Si la norma europea sobre facturación electrónica y la lista de sintaxis ajustada a la norma elaborada por el organismo europeo de normalización pertinente cumplen los requisitos contenidos en la solicitud de la Comisión al organismo europeo de normalización, y si la norma se ha sometido a ensayo, las referencias de la norma europea sobre facturación electrónica y de la lista de sintaxis deben publicarse en el Diario Oficial de la Unión Europea.

(30) Las disposiciones sobre desarrollo de la norma y demás productos de normalización que contempla la presente Directiva se ajustan a las disposiciones correspondientes del Reglamento (UE) nº 1025/2012. Sin embargo, teniendo en cuenta las características específicas de la presente Directiva, conviene establecer que las decisiones de publicar, no publicar o publicar con restricciones las referencias a la norma y a la lista de sintaxis se adopten de conformidad con el procedimiento de examen. Lo anterior debe entenderse sin perjuicio de la aplicación de las disposiciones pertinentes del Reglamento (UE) nº 1025/2012 en cuanto a objeciones formales a las normas armonizadas.

(31) A fin de dar respuesta a la evolución tecnológica, los organismos europeos de normalización revisan y actualizan periódicamente las normas. Dada la rapidez de dicha evolución en el sector de las TIC, la Comisión también debe poder solicitar al organismo europeo de normalización pertinente que revise y actualice de forma periódica la norma europea sobre facturación electrónica con el fin de tener en cuenta dicha evolución y de garantizar una interoperabilidad permanente.

(32) A fin de reaccionar a los avances tecnológicos o las exigencias del mercado, la Comisión debe poder adoptar un acto de ejecución por el que se revise y actualice la lista de sintaxis. Cuando se trate de ajustes más complicados, la Comisión también debe poder solicitar al organismo europeo de normalización pertinente que revise y actualice la lista de sintaxis.

(33) Cuando considere necesario garantizar la plena y permanente interoperabilidad, para tener en cuenta la evolución tecnológica y limitar el número de sintaxis que se vayan a utilizar, la Comisión debe poder revisar una lista de sintaxis ya publicada. Al hacerlo, la Comisión debe tener en cuenta la lista de sintaxis establecida, revisada y actualizada por parte del organismo europeo de normalización pertinente.

(34) Al vencimiento de los plazos de transposición previstos en la presente Directiva, los poderes y las entidades adjudicadoras deben estar obligados a recibir y procesar las facturas electrónicas que cumplan la norma europea sobre facturación electrónica y cualquiera de las sintaxis que figuren en la lista publicada por la Comisión en el Diario Oficial de la Unión Europea. Por lo tanto, los poderes adjudicadores y las entidades adjudicadoras no deben rechazar facturas electrónicas que reúnan los citados requisitos debido únicamente al incumplimiento de otros requisitos (por ejemplo requisitos nacionales o de sectores específicos o requisitos técnicos adicionales de cualquier tipo), distintos de los incluidos específicamente en la presente Directiva. No obstante, esta obligación no debe impedir que se apliquen otros motivos imperativos de denegación, como los relacionados con obligaciones contractuales. Antes de pagar la factura, los poderes adjudicadores y las entidades adjudicadoras deben seguir contando en todo momento con la posibilidad de verificar si su contenido refleja correctamente la transacción comercial subyacente (por ejemplo, si el importe de la factura es correcto) y si la factura se ha remitido al destinatario correcto. La mencionada obligación de no rechazar facturas electrónicas de conformidad con la presente Directiva se entiende sin perjuicio de la Directiva 2011/7/UE del Parlamento Europeo y del Consejo (13).

(35) La presente Directiva debe obligar exclusivamente a los destinatarios de una factura, es decir, a los poderes adjudicadores, las centrales de compras y las entidades adjudicadoras, a aceptar y tramitar facturas electrónicas. La presente Directiva debe entenderse sin perjuicio del derecho del remitente de la factura a elegir entre presentar la factura según la norma europea de facturación electrónica, de conformidad con las normas nacionales o técnicas de otra índole, o en soporte de papel. Sin embargo, la presente Directiva no debe impedir que los Estados miembros dispongan que en el marco de la contratación pública únicamente se presenten facturas electrónicas. Cuando el remitente opte por presentar la factura utilizando la norma europea de facturación electrónica, la obligación del destinatario de recibirla y tramitarla solo debe aplicarse si la factura hace uso de una de las sintaxis enumeradas en la lista de sintaxis publicada por la Comisión en el Diario Oficial de la Unión Europea. Lo anterior debe entenderse sin perjuicio de que el remitente utilice los servicios de un tercero para traducir desde su propia sintaxis a una de las que figuran en la lista.

(36) El Supervisor Europeo de Protección de Datos, consultado con arreglo al artículo 28, apartado 2, del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo (14) emitió un dictamen el 11 de noviembre de 2013 (15). En su dictamen hizo públicas recomendaciones para garantizar una protección de datos suficiente en la aplicación de la presente Directiva. Los poderes adjudicadores y las entidades adjudicadoras deben tener en cuenta estas recomendaciones a la hora de elaborar la norma europea sobre facturación electrónica y llevar a cabo el tratamiento de datos de carácter personal. En particular, se debe aclarar que las normas existentes en materia de protección de datos también se aplican en el ámbito de la facturación electrónica y que, en aras de la transparencia y rendición de cuentas, la publicación de datos personales debe guardar una relación de equilibrio respecto de la protección de la vida privada.

(37) Dado que la Directiva 2006/112/CE contiene normas sobre facturación, incluida la facturación electrónica, debe aclararse su relación con la presente Directiva. La presente Directiva persigue un objetivo diferente y su ámbito de aplicación es también diferente al de la Directiva 2006/112/CE, por lo que no afecta a las disposiciones relativas al uso de las facturas electrónicas a efectos del IVA que contiene esta última. En particular, el artículo 232 de la Directiva 2006/112/CE rige las relaciones entre las partes de la transacción y tiene por objeto garantizar que el emisor no pueda imponer el uso de la factura electrónica al receptor. No obstante, esto debe entenderse sin perjuicio del derecho de los Estados miembros a imponer a los poderes adjudicadores y a las entidades adjudicadoras la obligación de recibir facturas electrónicas en determinadas condiciones.

(38) A fin de que los poderes adjudicadores y las entidades adjudicadoras puedan preparar y adoptar adecuadamente las medidas técnicas que, tras la creación de la norma europea sobre la facturación electrónica y la aprobación de la lista de sintaxis, sean necesarias para cumplir lo dispuesto en la presente Directiva, y teniendo en cuenta la necesidad de una implantación rápida de la facturación electrónica, debe considerarse justificado un plazo de transposición de 18 meses a partir de la publicación de la referencia de la norma europea sobre facturación electrónica y la lista de sintaxis en el Diario Oficial de la Unión Europea. Como excepción a este plazo general de transposición y con objeto de facilitar la utilización de la facturación electrónica por algunos poderes adjudicadores, como los locales, los regionales y las empresas públicas, debe permitirse que los Estados miembros aplacen la aplicación de la presente Directiva para los poderes adjudicadores subcentrales, las empresas públicas y las entidades adjudicadoras hasta 30 meses después de la publicación de la referencia de la norma europea sobre la facturación electrónica y la lista de sintaxis en el Diario Oficial de la Unión Europea. Esta posibilidad de aplacen la aplicación de los requisitos de la Directiva no debe aplicarse a las centrales de compras.

(39) Para facilitar la aplicación de los requisitos de la presente Directiva por parte de los poderes adjudicadores y entidades adjudicadoras, la Comisión debe garantizar que los Estados miembros estén plena y periódicamente informados del avance de los trabajos, en lo que se refiere al desarrollo de la norma y de los productos de normalización correspondientes que deben acometer las organismos europeos de normalización pertinentes. Lo anterior ha de permitir que los Estados miembros emprendan los trabajos preparatorios necesarios a fin de completar la aplicación dentro de los plazos convenidos.

(40) Puesto que los poderes adjudicadores y las entidades adjudicadoras podrán aceptar facturas electrónicas que cumplan normas distintas de la norma europea sobre facturación electrónica, así como facturas en papel, salvo disposición en contrario de la legislación nacional, la presente Directiva no impone costes ni cargas adicionales a las empresas, incluidas las microempresas y las pequeñas y medianas empresas en el sentido de la Recomendación 2003/361/CE de la Comisión (16). La Comisión y los Estados miembros deben, además, redoblar sus esfuerzos para reducir al mínimo el coste para los usuarios de la norma europea sobre facturación electrónica, en particular para las microempresas y las pequeñas y medianas empresas, de modo que se facilite su empleo en toda la Unión Europea.

(41) Al aplicar la presente Directiva, los Estados miembros deben tener en cuenta las necesidades de las pequeñas y medianas empresas y de los poderes adjudicadores y de las entidades adjudicadoras de pequeñas dimensiones y ofrecer tanto a los poderes adjudicadores y a las entidades adjudicadoras como a los proveedores el apoyo necesario para que se pueda hacer uso de la nueva norma europea sobre facturación electrónica. Además, deben preverse medidas de formación destinadas, en particular, a pequeñas y medianas empresas.

(42) Para facilitar las adaptaciones técnicas y de procedimiento que deben emprender todas las partes interesadas en materia de contratación pública a fin de garantizar el éxito de la aplicación de la presente Directiva, los Estados miembros, siempre que sea posible, deben poner la ayuda de los Fondos Estructurales a disposición de todos los poderes adjudicadores, entidades adjudicadoras y pequeñas y medianas empresas que puedan optar a ella.

(43) A fin de garantizar condiciones uniformes de ejecución de la presente Directiva y a efectos de la redacción, la restricción y la revisión de la lista de sintaxis, deben conferirse a la Comisión competencias de ejecución. La Comisión debe ejercer dichas competencias de conformidad con el Reglamento (UE) nº 182/2011. Debe utilizarse el procedimiento de examen para la adopción de actos de ejecución relativos a la lista de sintaxis, ya que sirven para facilitar la aplicación de la norma europea sobre facturación electrónica y garantizar la interoperabilidad y la respuesta rápida a la evolución tecnológica. También debe utilizarse el procedimiento de examen para la adopción de los actos de ejecución relativos a las objeciones contra la norma europea sobre facturación electrónica, ya que dichos actos podrían tener consecuencias para la obligación de recibir y tramitar las facturas electrónicas.

(44) Dado que los objetivos de la presente Directiva, a saber, eliminar las barreras del mercado y los obstáculos al comercio derivados de la existencia de requisitos y normas nacionales divergentes y garantizar la interoperabilidad, no pueden lograrse de manera suficiente por los Estados miembros, sino que, por consiguiente, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

Artículo 1.- Ámbito de aplicación

La presente Directiva se aplicará a las facturas electrónicas emitidas como resultado de la ejecución de los contratos adjudicados a los que son de aplicación la Directiva 2009/81/CE, la Directiva 2014/23/UE, la Directiva 2014/24/UE o la Directiva 2014/25/UE.

La presente Directiva no se aplicará a las facturas electrónicas emitidas como resultado de la ejecución de contratos que correspondan al ámbito de aplicación de la Directiva 2009/81/CE, cuando la contratación y la ejecución de contrato se declaren secretos o deban ir acompañados de medidas especiales de seguridad de conformidad con las disposiciones legales, reglamentarias o administrativas vigentes en un Estado miembro, y siempre que ese Estado miembro haya determinado que los intereses esenciales en cuestión no pueden garantizarse a través de medidas menos intrusivas.

Artículo 2.- Definiciones

A efectos de la presente Directiva, se entenderá por:

1) “factura electrónica”: factura emitida, transmitida y recibida en un formato electrónico estructurado que permita su tratamiento automatizado y electrónico;

2) “elementos esenciales de una factura electrónica”: el conjunto de información esencial que debe contener una factura electrónica para la interoperabilidad transfronteriza, incluida la información necesaria para garantizar el cumplimiento de la legislación;

3) “modelo de datos semánticos”: un conjunto de términos y sus significados estructurado e interrelacionado lógicamente que especifica los elementos esenciales de una factura electrónica;

4) “sintaxis”: lenguaje o dialecto legible por máquina utilizado para representar los datos contenidos en una factura electrónica;

5) “correspondencias sintácticas”: las directrices relativas a la forma en que el modelo de datos semánticos puede representarse en las distintas sintaxis;

6) “poderes adjudicadores”: los poderes adjudicadores tal como se definen en el artículo 1, punto 17, de la Directiva 2009/81/CE, en el artículo 6, apartado 1, de la Directiva 2014/23/UE y en el artículo 2, apartado 1, punto 1, de la Directiva 2014/24/UE;

7) “poderes adjudicadores subcentrales”: los poderes adjudicadores subcentrales tal como se definen en el artículo 2, apartado 3, punto 3, de la Directiva 2014/24/UE;

8) “centrales de compras”: las centrales de compras tal como se definen en el artículo 2, apartado 1, punto 16, de la Directiva 2014/24/UE;

9) “entidades adjudicadoras”: las entidades adjudicadoras tal como se definen en el artículo 1, punto 17, de la Directiva 2009/81/CE, en el artículo 7, apartados 1 y 2, de la Directiva 2014/23/UE y en el artículo 4, apartado 1, de la Directiva 2014/25/UE;

10) “norma internacional”: una norma internacional tal como se define en el artículo 2, apartado 1, letra a), del Reglamento (UE) nº 1025/2012;

11) “norma europea”: una norma europea tal como se define en el artículo 2, apartado 1, letra b), del Reglamento (UE) nº 1025/2012.

Artículo 3.- Creación de una norma europea

1. La Comisión pedirá al organismo europeo de normalización pertinente que elabore una norma europea para el modelo de datos semánticos destinado a los elementos esenciales de una factura electrónica (“la norma europea sobre facturación electrónica”).

La Comisión exigirá que la norma europea sobre facturación electrónica cumpla al menos los siguientes criterios:

* ser tecnológicamente neutra,

* ser compatible con las normas internacionales pertinentes de facturación electrónica,

* tener en cuenta la necesidad de protección de los datos personales de conformidad con la Directiva 95/46/CE, de acuerdo con un planteamiento de “protección de datos mediante el diseño” y con los principios de proporcionalidad, reducción de datos al mínimo y limitación de la finalidad,

* ser coherente con las disposiciones pertinentes de la Directiva 2006/112/CE,

* permitir el establecimiento de sistemas de facturación electrónica prácticos, fáciles de utilizar, flexibles y rentables,

* tener en cuenta las necesidades especiales de las pequeñas y medianas empresas así como de los poderes adjudicadores subcentrales y de las entidades adjudicadoras,

* poder utilizarse en las transacciones comerciales entre empresas.

La Comisión solicitará que la organización de normalización europea pertinente facilite una lista con un número limitado de sintaxis que cumplan la norma europea sobre facturación electrónica, las correspondencias sintácticas adecuadas y orientaciones sobre la interoperabilidad de la transmisión a fin de facilitar la utilización de dicha norma.

Las solicitudes se adoptarán de conformidad con el procedimiento establecido en el artículo 10, apartados 1 a 5, del Reglamento (UE) nº 1025/2012.

Como parte del trabajo que tendrá que realizar el organismo europeo de normalización correspondiente, deberá someterse a ensayo la aplicación práctica de la norma para el usuario final, dentro del plazo señalado en el apartado 2. La Comisión tendrá la responsabilidad general del ensayo y garantizará que, durante la realización de esta, se tenga especialmente en cuenta el respeto de los criterios de utilización práctica y facilidad de utilización, así como los posibles costes de su aplicación, de conformidad con lo dispuesto en el apartado 1, párrafo segundo. La Comisión presentará un informe sobre el resultado del ensayo al Parlamento Europeo y al Consejo.

2. Cuando la norma europea sobre facturación electrónica, elaborada de conformidad con la solicitud a que hace referencia el apartado 1, satisfaga los requisitos especificados, y una vez concluida la fase de ensayo con arreglo al apartado 1, párrafo quinto, la Comisión publicará la referencia a dicha norma en el Diario Oficial de la Unión Europea, junto con la lista de un número limitado de sintaxis preparada según la solicitud a que hace referencia el apartado 1. Esa publicación se completará a más tardar el 27 de mayo de 2017.

Artículo 4.- Objeciones formales a la norma europea

1. Cuando un Estado miembro o el Parlamento Europeo consideren que la norma europea sobre facturación electrónica o la lista de sintaxis no satisfacen totalmente los requisitos previstos en el artículo 3, apartado 1, informarán de ello a la Comisión explicándolo detalladamente, y la Comisión decidirá:

a) publicar, no publicar o publicar con restricciones las referencias a la norma europea sobre facturación electrónica y la lista de sintaxis en cuestión en el Diario Oficial de la Unión Europea;

b) mantener o mantener con restricciones las referencias a la norma europea sobre facturación electrónica y la lista de sintaxis en cuestión en el Diario Oficial de la Unión Europea, o suprimirlas.

2. La Comisión publicará en su sitio web información sobre la norma europea sobre facturación electrónica y la lista de sintaxis que hayan sido objeto de una decisión con arreglo al apartado 1.

3. La Comisión informará al organismo europeo de normalización interesado de la decisión a la que se hace referencia en el apartado 1 y, si es necesario, solicitará la revisión de la norma europea o sobre facturación electrónica de la lista de sintaxis en cuestión.

4. Las decisiones a las que se hace referencia en el apartado 1, letras a) y b), del presente artículo se adoptarán siguiendo el procedimiento de examen contemplado en el artículo 10, apartado 2.

Artículo 5.- Mantenimiento y evolución de la norma europea y de la lista de sintaxis

1. Para tener en cuenta la evolución tecnológica y garantizar la interoperabilidad total en curso de la facturación electrónica en la contratación pública, la Comisión podrá:

a) actualizar o revisar la norma europea sobre facturación electrónica;

b) actualizar o revisar la lista de sintaxis publicada por la Comisión en el Diario Oficial de la Unión Europea.

2. Cuando la Comisión decida actuar conforme al apartado 1, letra a), presentará la solicitud correspondiente al organismo europeo de normalización. Esta solicitud se presentará con arreglo al procedimiento establecido en el artículo 3, apartado 1, sin que sean de aplicación los pazos establecidos en él.

3. El artículo 4 se aplicará a cualquier actualización o revisión realizada con arreglo al apartado 1, letra a).

4. Cuando la Comisión decida actuar conforme al apartado 1, letra b), lo hará bien de conformidad con el procedimiento de examen a que se refiere el artículo 10, apartado 2, bien presentando una solicitud al organismo europeo de normalización pertinente. Esta solicitud se presentará con arreglo al procedimiento establecido en el artículo 3, apartado 1, sin que sean de aplicación los pazos establecidos en él.

Artículo 6.- Elementos esenciales de la factura electrónica

Entre otros, los elementos esenciales de la factura electrónica serán los siguientes

a) identificadores del tratamiento y de la factura;

b) período que abarca la factura;

c) información sobre el vendedor;

d) información sobre el comprador;

e) información sobre el beneficiario;

f) información sobre el representante fiscal del vendedor;

g) referencia del contrato;

h) detalles de la entrega;

i) instrucciones para el pago;

j) información sobre deducciones o cargos;

k) información sobre la partida de la factura;

l) totales de la factura;

m) desglose del IVA.

Artículo 7.- Recepción y tratamiento de facturas electrónicas

Los Estados miembros velarán por que los poderes y entidades adjudicadores reciban y traten las facturas electrónicas que cumplan la norma europea sobre facturación electrónica cuya referencia haya sido publicada de conformidad con el artículo 3, apartado 2, y se ajusten a cualquiera de las sintaxis enumeradas en la lista publicada con arreglo al artículo 3, apartado 2.

Artículo 8.- Protección de datos

1. La presente Directiva se entenderá sin perjuicio del Derecho de la Unión y nacional en materia de protección de datos.

2. Salvo que el Derecho de la Unión o nacional establezca lo contrario, y sin perjuicio de las excepciones y limitaciones establecidas en el artículo 13 de la Directiva 95/46/CE, los datos personales obtenidos a efectos de facturación electrónica podrán ser utilizados exclusivamente para dicho fin o para fines compatibles con este.

3. Sin perjuicio de las excepciones y limitaciones establecidas en el artículo 13 de la Directiva 95/46/CE, los Estados miembros garantizarán que las modalidades de publicación, a efectos de transparencia y contabilidad, de los datos personales recogidos en el contexto de la facturación electrónica sean coherentes con la finalidad de dicha publicación y con el principio de protección de la vida privada.

Artículo 9.- Uso de facturas electrónicas a efectos del IVA

La presente Directiva se entenderá sin perjuicio de las disposiciones de la Directiva 2006/112/CE.

Artículo 10.- Procedimiento de comité

1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) nº 182/2011.

2. Cuando se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) nº 182/2011.

Artículo 11.- Transposición

1. Los Estados miembros adoptarán, publicarán y aplicarán las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a la presente Directiva a más tardar el 27 de noviembre de 2018. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

2. No obstante lo dispuesto en el apartado 1, los Estados miembros, a más tardar 18 meses después de la publicación de la referencia de la norma europea sobre facturación electrónica en el Diario Oficial de la Unión Europea, adoptarán, publicarán y aplicarán las disposiciones necesarias para dar cumplimiento a la obligación establecida en el artículo 7, en relación con la recepción y tratamiento de facturas electrónicas.

Los Estados miembros podrán aplazar la aplicación mencionada en el párrafo primero respecto de sus poderes adjudicadores subcentrales y entidades adjudicadoras hasta 30 meses después de la publicación de la referencia de la norma europea sobre facturación electrónica en el Diario Oficial de la Unión Europea.

Una vez publicada la referencia a la norma europea sobre facturación electrónica, la Comisión publicará en el Diario Oficial de la Unión Europea la fecha definitiva para la entrada en vigor de las medidas a que hace referencia el párrafo primero.

3. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 12.- Examen

La Comisión examinará los efectos de la presente Directiva sobre el mercado interior y sobre la utilización de la facturación electrónica en la contratación pública y presentará un informe al respecto al Parlamento Europeo y al Consejo en el plazo de tres años a partir de la fecha límite de máximo aplazamiento fijado para las autoridades subcentrales en el artículo 11, apartado 2, párrafo segundo. En su caso, se acompañará el informe de una evaluación de impacto relativa a la necesidad de otras acciones.

Artículo 13.- Entrada en vigor

La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Artículo 14.- Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros.

Hecho en Estrasburgo, el 16 de abril de 2014.

Por el Parlamento Europeo

El Presidente

M. SCHULZ

Por el Consejo

El Presidente

D. KOURKOULAS

—————————————————————————————————-

(1) DO C 79 de 6.3.2014, p. 67.

(2) Dictamen de 28 de noviembre de 2013 (no publicado aún en el Diario Oficial).

(3) Posición del Parlamento Europeo de 11de marzo de 2014 (no publicada aún en el Diario Oficial) y Decisión del Consejo de 14 de abril de 2014.

(4) Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la contratación pública y por la que se deroga la Directiva 2004/18/CE (DO L 94 de 28.3.2014, p. 65).

(5) Directiva 2014/25/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la adjudicación de contratos en los sectores del agua, de la energía, de los transportes y de los servicios postales y por la que se deroga la Directiva 2004/17/CE (DO L 94 de 28.3.2014, p. 243).

(6) Decisión de la Comisión, de 2 de noviembre de 2010, por la que se establece el Foro Europeo Multilateral sobre Facturación Electrónica (DO C 326 de 3.12.2010, p. 13).

(7) Directiva 2009/81/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, sobre coordinación de los procedimientos de adjudicación de determinados contratos de obras, de suministro y de servicios por las entidades o poderes adjudicadores en los ámbitos de la defensa y la seguridad, y por la que se modifican las Directivas 2004/17/CE y 2004/18/CE (DO L 216 de 20.8.2009, p. 76).

(8) Directiva 2014/23/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la adquisición de contratos de concesión (DO L 94 de 28.3.2014, p. 1).

(9) Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión nº 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).

(10) Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(11) Directiva 2006/112/CE del Consejo, de 28 de noviembre de 2006, relativa al sistema común del impuesto sobre el valor añadido (DO L 347 de 11.12.2006, p. 1).

(12) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(13) Directiva 2011/7/UE del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por la que se establecen medidas de lucha contra la morosidad en las operaciones comerciales (DO L 48 de 23.2.2011, p. 1).

(14) Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(15) DO C 38 de 8.2.2014, p. 2.

(16) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

Access to Public Information Act, on June 22, 2000,

Chapter One. Basic Principles

Section I. Subject and scope

Article 1. Subject of the act

This act shall regulate the social relations relating to the access to public information.

Article 2. Public information

(1) Within the meaning of this act, public information shall be any information relating to the social life in the Republic of Bulgaria, and giving opportunity to the citizens to form their own opinion on the activities of the persons having obligations under this act.

(2) The information under sub-article 1 shall be deemed public irrespective of the kind of its physical bearer.

(3) This act shall not apply to the access to personal data. (Amended, SG nº 1/2002)

Article 3. Persons responsible for ensuring access to public information

(1) This act shall apply to access to public information that is created by or kept with the state bodies or the local self-governance bodies of the Republic of Bulgaria, hereinafter referred to as “the bodies”.

(2) This act shall also apply to the access to public information, which is created by and kept with:

1. bodies, subject to the public law, other than those under sub-Article 1;

2. individuals and legal entities as far as only their activities financed with funds from the consolidated state budget are concerned;

3. mass media, and relates to the transparency of their activities.

Article 4. Persons entitled to the right of access to public information

(1) Any citizen of the Republic of Bulgaria is entitled to access to public information subject to the conditions and the procedure set forth in this act, unless another act provides for a special procedure to seek, receive and impart such information.

(2) Foreign citizens and individuals with no citizenship shall enjoy the right under sub-Article 1 in the Republic of Bulgaria.

(3) Legal entities shall enjoy the right under sub-Article 1 too.

Article 5. Exercising the right of access to public information

The right of access to public information may not be exercised against others' rights and reputation, as well as against the national security, public order, national health and the moral standards.

Article 6. Basic principles

The basic principles governing the exercise of the right of access to public information shall be:

1. openness, correctness and comprehensiveness of the information;

2. securing equal conditions for access to public information;

3. securing conformity with the law of the process of seeking and receiving public information;

4. protection of the access to information right;

5. personal data protection;

6. guaranteed the security of the society and the state.

Article 7. Permissible restrictions to the right of access to public information

(1) The right of access to public information shall not be abridged, except where the said information is classified information constituting a state or another protected secret in the cases provided for by a law. (Amended, SG nº 45/2002)

(2) Access to public information may either be full or partial.

Article 8. Exemption from the scope of the act

This act shall not apply to information, which is:

1. obtainable in the course of provision of administrative services to citizens and legal entities;

2. kept with the State archives of the Republic of Bulgaria.

Section II. Official and administrative public information

Article 9. Kinds of public information

(1) Public information, which is created and kept by the bodies and their administrative structures, is divided into official and administrative information.

(2) Where so provided in an act of Parliament, certain official or administrative information may be classified as state or administrative secret. (Amended, SG nº 45/2002)

Article 10. Official public information

Official information shall be deemed information contained in the acts of the state or local self-government bodies in the course of exercise of their powers.

Article 11. Administrative public information

Administrative information shall be deemed information, which is collected, created and kept in connection with official information, as well as in the course of the activities of the bodies and their administrative structures.

Chapter Two. Access to Public Information

Section I. Access to Official and Administrative Public Information

Art 12. Access to official public information

(1) Access to official information, which is contained in normative acts shall be provided by means of their promulgation.

(2) Access to other official information shall be provided by promulgating it if so provided in an act of parliament, or if so decided by the agency who created it.

(3) Access to official information in cases other than those provided in sub-Article 1 and 2 shall be unrestricted and shall be exercised in accordance with the procedure set forth in this act.

(4) In case of request for access to official information, which is promulgated, the respective body shall be obliged to state the number, the date and the name of the issue where the information was published.

Article 13. Access to administrative public information

(1) Access to administrative public information shall be unrestricted.

(2) Access to administrative public information may be restricted, if it:

1. relates to the preparatory work of an act of the bodies, and has no significance in itself (opinions and recommendations prepared by or for the body, reports and consultations);

2. contains opinions and statements related to on-going or prospective negotiations to be led by the body or on its behalf, as well as any data relating thereto, and was prepared by the respective bodies' administrations.

(3) The restrictions under sub-Article 2 shall not apply after a period of 2 years as form the creation of such information. (Amended, SG nº 45/2002)

Article 14. Duties for disclosing public information

(1) The bodies shall inform about its activities by making publications or using other form of announcements.

(2) The bodies shall be obliged to announce information, which has been collected, or came to its knowledge during the performance of their activities, where such information:

1. is of a nature to prevent some threat to the citizens' life, health or security, or to their property;

2. disproves a previously disseminated incorrect information that affects important social interests;

3. is, or could be, of interest to the public;

4. must be prepared and released by virtue of law.

Article 15. Publication of up-to-date public information

(1) In order to achieve transparency of the administration's activities, and for the purpose of maximum facilitation of access to public information, every chief officer of an administrative structure within the system of the executive power shall publish on a regular basis up-to-date information containing:

1. description of his/her powers as well as data on the organizational structure, the functions and the responsibilities of the administration led by him/her.

2. list of the acts issued within the scope of its powers;

3. description of the data volumes and resources, used by the respective administration,

4. the name, the address, the telephone number and the working hours of the respective administration's office which is authorized to receive applications for access to public information.

(2) Every chief officer under sub-Article 1 shall prepare an annual report on the applications for access to public information, which shall contain among others data on the refusals made and the reasons therefor. This annual report shall be part of the annual reports under Article 62, sub-Article 2 of the Administration Act. (Amended, SG nº 24/2006)

Article 16. Duties of the Minister of the state administration and administrative reform

(1) The Minister of the State administration and administrative reform shall publish an annual summary of the reports on the bodies and their administrations, containing the information under Article 15., as well as other information relating to the implementation of this act. (Amended, SG nº 24/2006)

(2) The Minister of State administration and administrative reform shall be responsible for distributing the summary. The information contained in the summary shall be made available in every administration for review by the citizens. (Amended, SG nº 24/2006)

Section II. Access to Other Public Information

Article 17. Access to public information related to the activities of other persons responsible for its disclosure

(1) Access to public information relating to the activities of the responsible persons under Article 3, sub-arts. 2 shall be unrestricted.

(2) Information under sub-Article 1 that represents commercial secret or whose disclosure or dissemination is of a nature to result in unfair competition among business persons shall not be disclosed.

Article 18. Access to public information for mass media

Public information for the mass media is only the information concerning:

1. the persons taking part in the management of the respective media or exercise effective control over its management or its activities;

2. business related parties taking part also in the management of other mass media, which allows them to exercise an effective control over their management or their activities;

3. the persons directly engaged in the mass media and which participate in the formation of its editorial policy;

4. the announced statements on the mass media' public goals, as well as principles and internal rules applied by the mass media to guarantee correctness and objectivity of disseminated information;

5. the financial results of the mass media's owner and the dissemination of its production.

Article 19. Objectives of the access to public information for the mass media

The access to the information under Article 18 shall be exercised with compliance with and with balance of the principles of transparency and economic freedom, as well as of personal data protection, commercial secrecy and the secret of the sources of the mass media that wished to remain secret.

Section III. Free of charge access and costs related to the granting of public information

Article 20.

(1) The access to public information shall be free of charge.

(2) The expenses incurred for granting access to public information shall be recovered in accordance with tariffs determined by the Minister of Finance, and shall not exceed the actual costs incurred.

(3) A justification of the expenses under Article 2 shall be made to the applicant upon his/her request.

Article 21. Informational obligations upon filing of application for access

The responsible persons under Article 3 shall inform on the possible forms of granting access to public information on the spot where the applications are accepted, as well as on the charges due and the means of their payment.

Article 22. Free of charge corrections and amendments to the disclosed information

No additional expenses shall be charged for corrections and/or addendum to the granted public information in cases where the information is incorrect or incomplete and this has been requested by the applicant on stated grounds.

Article 23. Revenues from granting of access to public information

The revenue received in the course of granting access to public information shall be for the account of the budget of the respective body.

Chapter Three. Procedure for Granting Access to Public Information

Section I. Application or verbal request for access to information

Article 24.

(1) The request for granting access to public information shall be made in the form of a written application or verbal request.

(2) The application is deemed written also in cases where it is send electronically subject to conditions determined by the respective body.

(3) Where the applicant is not granted access to public information requested in oral form, or he/she considers the disclosed public information insufficient, he/she may file a written application.

Article 25. Content of application of access to information

(1) The application for access to public information shall contain:

1. full name, or respectively the business name and the seat of the applicant;

2. description of the information requested;

3. the preferred form of access to the requested information;

4. the address for correspondence with the applicant.

(2) If any requisite under 1, 2 or 4 above is not present in the application, the latter shall be left without further consideration.

(3) Every filed application for access to public information shall be registered in accordance with the procedure adopted by the relevant agency.

Article 26. Forms for granting of access to public information

(1) Access to public information shall be granted in the following forms:

1. examination of the information – original or copy

2. verbal explanation;

3. paper copy;

4. copy on technical bearer.

(2) Access to public information may be granted in one or more of the forms sub-Article 1.

(3) Where the preferred form of access to public information is the one described in sub-Article 1, point 4, the technical parameters for the recording of the information should be defined.

(4) Persons with impaired sight, hearing or speech are entitled to request access in a form that corresponds to their ability to communicate.

Article 27. Obligation to comply with the preferred form of access

(1) The bodies shall comply with the requested form of access to public information, except where:

1. it cannot be satisfied due to technical reasons;

2. it results in unjustified increase of costs of disclosure;

3. creates opportunities for unlawful processing of the information or for infringement of intellectual property rights.

(2) In the cases provided under sub-Article 1, access shall be granted in a form decided by the respective agency.

Section II. Consideration of Apllication and Granting Access to Public Information

Article 28. Consideration of applications for access

(1) Each application for access to public information shall be considered within the shortest possible time, but not later that 14 days as of date of registration.

(2) Within the time period set in sub-Article 1, the body, or person explicitly authorized by them, shall decide on whether to grant or deny access to public information and shall notify in writing the applicant of the decision.

Article 29. Specification of the application for access

(1) Where it is not clear what information is being requested or it is too broadly defined, the applicant shall be advised accordingly and shall be provided an opportunity to specify the requested information. The time period set in the preceding article shall start running as of the date when the requested public information was specified.

(2) If the applicant failed to specify the requested public information within a period of 30 days, the application shall not be considered.

Article 30. Permissible extension of the term for granting of access

(1) The time period set in Article 28, sub-Article 1 may be extended with no more than 10 days, where the requested information as specified in the application is substantial in volume and additional time for it's preparation is needed.

(2) The notification under Article 29, sub-Article 1 should state the reasons for the extension of the term in which the access to the public information shall be granted.

Article 31. Extension of the term for reasons of protection of third parties' interests

(1) The time period set in Article 28, sub-Article 1 may be extended with not more than 14 days also where the requested information is a matter of concern to a third party and his/her consent is needed for its disclosure.

(2) In the cases under sub.Article 1, the respective body shall seek the explicit written consent of the third party within 7 days as from the registration of the application under Article 24.

(3) When it takes the decision under Article 28, sub-Article 2, the respective body shall be obliged to comply strictly with the conditions under which the third party has consented to the disclosure of the information that concerns him/her.

(4) In the absence of consent by the third party within the term specified in sub-Article 1 or in case of explicit refusal by the third party to give its consent, the respective body may disclose the requested public information in scope and in a manner so as not to disclose the information concerning the third party.

(5) The consent of the third party is not required where it is a responsible person and the information concerned is a public information under this act.

Article 32. Re-allocation of the application for access

(1) When the body does not have the requested information, but is aware of its location, it shall re-sent the application within 14 days as of receipt of the application and shall notify the applicant of the re-sending. The notification must always specify the name and the address of the respective agency or legal entity.

(2) In the case described in sub-Article 1, the time period set in Article 28, sub-Article 1, shall start running as of the receipt of the re-sent application.

Article 33. Notification of unavailability of the requested public information

If the body does not have the requested information and is not aware of its location, it shall notify the applicant accordingly within 14 days.

Article 34. Decision to grant access to public information

(1) The decision under Article 28, sub-Article 2, by which access to public information is granted must state:

1. the degree of the ensured access to the requested public information;

2. the time within which access to the requested public information is available;

3. the location where the requested information will be disclosed;

4. the form in which access to the requested public information will be granted;

5. the costs for granting access to the requested public information.

(2) The decision may also state other bodies, organizations and persons who have more complete information available.

(3) The decision to grant access to the requested public information shall be handed over to the applicant against his/her signature or sent by registered mail.

(4) The time period described in sub-Article 1, point 2 may not be less than 30 days as of receipt of the decision.

Article 35. Granting of access to the requested public information

(1) Access to public information shall be granted after payment of the specified costs and after presentation of document evidencing their payment.

(2) A record shall be drawn upon provision of access to public information, which shall be signed by the applicant and the relevant civil servant.

Article 36. Refusal of the applicant of the granted access

If within the time specified in Article 34, sub-Article 4 the applicant fails to appear or to pay the required costs, either of his failures shall be considered a refusal of the granted right of access to public information.

Section III. Refusal to Grant Access to Public Information

Article 37. Grounds for refusals to grant access

(1) Grounds for refusal to grant access to public information is in place where:

1. the information requested is information classified as state or administrative secret, as well as in cases described in Article 13, sub-Article 2; (Amended, SG nº 45/2002)

2. the access is of a nature to affect third party's interests and the third party did not give its explicit written consent for the disclosure of the requested public information;

3. access to the requested public information was provided to the applicant within the preceding six moths.

(2) In the cases described in sub-Article 1, partial access may be granted to such parts of the information, access to which is not restricted.

Article 38. Content of the decision to refuse to grant access

A decision refusing access to public information shall state the legal and factual grounds for the refusal under this act, the date of the decision and the procedure for its appeal.

Article 39. Hand-over of the decision for refusal of access

A decision refusing access to public information shall be handed over to the applicant against his/her signature or sent by registered mail.

Section IV. Appeals of Desisions to Refuse to Grant Access to Public Information

Article 40. Jurisdiction over appeals of the decisions relating to access or to refusal of access

(1) The decisions for granting access to public information or for refusals to grant access to public information may be appealed before the regional courts or before the Supreme Administrative Court depending on the body, which issued the decision, under the provisions of the Administrative Procedure Code. (Amended, SG nº 24/2006)

(2) The decisions of the persons under Article 3, sub-Article 2 to grant access to public information or to refuse to grant access to public information may be appealed before the regional courts in accordance with the Administrative Procedure Code. (Amended, SG nº 24/2006)

Article 41. Competencies of the court considering the appealed decisions

(1) If a court finds that a refusal is not in conformity with the law, it shall repeal in full or in part, or shall amend, the decision for refusal and shall instruct the body to grant the request for access to public information.

(2) In the cases described in sub-Article 1, access to public information shall be provided in accordance with the procedure set forth in this act.

(3) Upon appeal of refusal to grant access to public information on the grounds of Article 37, sub-Article 1, point 1, the court may, in closed hearing, request from the body the necessary evidences.

(4) (Amended, SG nº 45/2002) In cases under sub-Article 3 the court shall decide on the lawfulness of the refusal and on the marking of the information as classified.

Article 42. Administrative penalty provisions

(1) If not subject to a harsher penalty, a civil servant who failed to respond within the specified time limits to a request for access to public information without exculpatory reason, shall be fined between 20 and 50 leva.

(2) If not subject to a harsher penalty, a civil servant who did not follow a court order to grant access to public information shall be fined between 100 and 300 leva.

(3) Any failure to meet the obligations under Article 31, sub-Article 3 shall be punished with a fine between 50 and 100 leva for physical persons or between 100 and 200 leva for legal entities.

(4) For failure to provide access to public information by the persons described in Article 3 sub-Article 2, the punishment shall be a fine between 100 and 200 leva.

Article 43. Bodies entitled to impose sanctions

The penalty acts shall be issued as follows:

1. under Article 42, sub-Article 3 – by the respective agency, and if the responsible person is one described in Article 3, sub-Article 2 – by the Minister of Justice or an authorized official.

2. under Article 42, sub-Article 4 – by the Minister of Justice or an authorized official.

Article 44. Applicable law

Any offense shall be established, penalty shall be imposed, appealed and executed in accordance with the Administrative Offenses and Penalties Act.

Additional provision

1. Within the meaning of this act:

1. “material bearer of public information” shall be a text, plan, map, photo-picture, image, diskette, audio- or video cassette and other of this kind;

2.“personal data” shall be any data relating to a given individual, whose identity could be directly or indirectly established, irrespective of its form and way of recording and revealing his/her physical, psychological, intellectual, economical, cultural or social identity, as well as the information containing the said data for non-incorporated groups of individuals, as well as data for personal, economical, cultural or social identity of legal entities, created directly or indirectly by physical persons, the procedure for which collection, processing, protection, and access is determined in law. (Amended, SG nº 1/2002, SG nº 103/2005)

Final provision

1. This act revokes:

1. The Decree nº 1086 / 12.07.1977 of the State Council on the work with the criticizing publications (prom. State Gazette issue 56 of 1977)

2. Arts. 14 and 19, as well as point 2 of sub-Article 1 to Article 57 of the Suggestions, Notices, Complaints and Requests Act (prom. State Gazette issue 52 / 04.07.1980, amended issue 68 / 02.09.1988)

This act is adopted on 22 June 2000 and is published in State Gazete on 7 July 2000.

Promulgated, SG nº 55/7.07.2000, amended, SG nº 1/4.01.2002, effective 1.01.2002, SG nº 45/30.04.2002, SG nº 103/23.12.2005, SG nº 24/2006

Electronic Alternatives Regulations for the Purposes of Subsection 254(1) of the Canada Labour Code

The Minister of Labour, as the responsible authority for the Canada Labour Code in accordance with the definition”responsible authority” in subsection 31(1) of the Personal Information Protection and Electronic Documents Act, pursuant to section 50 of that Act, hereby makes the annexed  Electronic Alternatives Regulations for the Purposes of Subsection 254(1) of the Canada Labour Code.

Ottawa, April 3, 2008

JEAN-PIERRE BLACKBURN Minister of Labour

INTERPRETATION

1.–The following definitions apply in these Regulations.

“employer”

” employeur “

“employer”　has the same meaning as in section 166 of the Canada Labour Code.

“pay statement”

” bulletin de paie “

“pay statement” means the statement that an employer shall furnish to an employee in accordance with subsection 254(1) of the Canada Labour Code.

ELECTRONIC DOCUMENTS

2.　For the purposes of the application of section 41 of the　Personal Information Protection and Electronic Documents Act and the application of that section to subsection 254(1) of the Canada Labour Code, in order to satisfy the requirement that a pay statement shall be in writing, an electronic document must satisfy the following conditions:

(a)　the document must be provided to the employee by making it available only to the employee through an electronic source, such as a web site, that is accessible to the employee and whose location is made known to the employee;

(b)　for a period of at least three years from the day on which the document is first provided to the employee, the document must be readable and printable on a computer and printer to which the employer shall provide the employee with private access.

3.　A pay statement is considered to be furnished to the employee when the electronic document is provided to the employee in accordance with paragraph 2(a) and the conditions set out in paragraph 2(b) are satisfied.

COMING INTO FORCE

4.　These Regulations come into force on the day on which they are registered.

CHAPTER I.-  GENERAL PROVISIONS

Article 1 (Purpose) This Act’s purpose is to promote the use of information and communications networks, to protect the user’s personal information when they are in use of information and communications services, and to construct a milieu within which users can safely use information and communications networks with the aim of improving individual lives as well as the general public welfare.

Article 2 (Definitions)

(1)The definitions of terms used in this Act shall be as follows:

1.The term “information and communications networks” is meant to embody the information and communications systems, under which telecommunications infrastructure as prescribed in subparagraph 2 of Article 2 of the Framework Act on Telecommunications are employed, or the telecommunications infrastructure, computers, and software are used together for gathering, storage, processing, searching, transmission and reception of information;

2.The term “information and communications services” is meant to signify the telecommunications services stipulated in subparagraph 7 of Article 2 of the Framework Act on Telecommunications, as well as information supply or the administration of the information supply using telecommunications services;

3.The term “information and communications service providers” signifies the operators of telecommunications, stipulated in Article 2 (1) 1 of the Telecommunications Business Act, as well as other individual information suppliers or information supply administrators who operate with the intention to earn profit through use of the services rendered telecommunications service providers;

4.The term “users” means individuals who use the information and communications services rendered by information and communications service providers;

5.The term “digital document” embodies all data standardized in document form within which information is electronically compiled, sent or received, or stored by equipment, including computers, that are capable of performing data processing;

6.The term “personal information” means the information concerning anyone living that contains the code, letter, voice, sound, and/or image, which allows for the possibility for that individual to be identified by name and resident registration number (including information which, if not by itself, allow for the possibility of identification when combined with other information).

(2)With the exception of paragraph (1) stipulations, the definitions used in this Act shall be governed by the Informationalization Promotion Framework Act.

Article 3 (Duties of Providers of Information and Communications Services and Users)

(1)Any information and communications service provider shall protect user personal information, strive to protect user rights and interests, and to improve the capability of their service by providing information and communications services in a safe and healthy way.

(2)Every user shall strive to establish a healthy information society.

(3)The Government may assist in the protection of user personal information and protect juveniles from possible abuse from information and communications networks by cooperating with, and supporting, information and communications service provider organizations and user organizations.

Article 4 (Policy for Promotion of Utilization of Information and Communications Networks )

(1)A policy shall be formed by the Minister of Information and Communication that will be the base upon which an information society can be constructed. This policy shall achieve this objective through the facilitation of use, secure administration, and secure operation of information and communications networks, and user information protection (hereafter referred to as the “promotion of the utilization of information and communications networks and the protection of information”).

(2)The policy referred to in paragraph (1) shall contain subjects that fall under each of the following subparagraphs:

1.Development and distribution of information and communications network technology;

2.Standardization of information and communications networks;

3.Revitalization of information and communications networks use including expansion of information content and information and communications network usage under Article 11;

4.Facilitation of joint utilization of information through information and communications networks;

5.Revitalization of Internet use;

6.Protection of personal information that is collected, processed, stored and used through employment of information and communications networks;

7.Protection of juveniles using information and communications networks;

8.Improvement of information and communications network safety and reliability;

9.Other necessary matters needed to promote information and communications network use and protect information.

(3)The Minister of Information and Communication shall strive for cohesion between policy referred to in paragraph (1) and the basic plan for promoting informationalization stipulated in Article 5 of the Informationalization Promotion Framework Act.

Article 5 (Relation with Other Acts) With the exception of special provisions in other Acts, the promotion of the utilization of information and communications networks and the protection of information shall be governed by this Act.

Article 6 (Promotion of Technological Development)

(1)Under conditions stipulated by Presidential Decree, the Minister of Information and Communication may appoint research institutes to implement projects intended for research and development, technical cooperation, technological transfer, or technical guidance services, in order to efficiently promote information and communications network technology.

(2)The Government may incur the requisite costs, in whole or in part, of research institutes undertaking the research and development projects referred to in paragraph (1).

(3)Presidential Decree shall stipulate necessary matters regarding the payment and administration of costs set in paragraph (2).

Article 7 (Management and Dissemination of Information Pertaining to Technologies)

(1)The Minister of Information and Communication shall manage information concerning technologies and equipment related to information and communications networks (hereafter referred to as “information pertaining to technologies”) in a methodical and collective manner.

(2)When the Minister of Information and Communication judges it necessary to manage information concerning technologies in a methodical and collective manner, he may request involved administrative agencies as well as national and public research institutes, to provide information pertaining to said technologies. In this case, institutions heads shall, upon receiving the request, comply unless special circumstances exist that make it impossible for them to comply.

(3)An information distribution project, with the goal of making information pertaining to technologies quickly and conveniently accessible to the public, shall be put into action by the Minister of Information and Communication.

(4)Presidential Decree shall stipulate requisite matters concerning the range of information and communications network technology subject to information distribution referred to in paragraph (3).

Article 8 (Standardization and Certification of Information and Communications Networks)

(1)The Minister of Information and Communications shall set criteria for information and communications networks and publish the criteria to facilitate information and communications network use. He may also urge any information and communications service provider, or any related individual manufacturer or goods supplier to adopt the criteria: Provided, the matters for which the Korea Industrial Standards are set shall be governed by the Korea Industrial Standards, in accordance with Article 10 of the Industrial Standardization Act.

(2)Anyone who manufactures and supplies goods concerning information and communications that conform to the criteria published under paragraph (1), may obtain certification from an authorized certification institution designated in accordance with Article 9 (1), and place a label on their goods that illustrate the conformity of the goods with industry standards.

(3)Any certification of the Korea Industrial Standards, if bestowed under Articles 11 through 13 of the Industrial Standardization Act, shall be considered bestowed in accordance with paragraph (2), in the case of paragraph (1) stipulations.

(4)Any person who is not awarded a certification under paragraph (2) shall be prohibited from putting any label that illustrates the conformity of their goods with industry standards, or any similar label, or from displaying such goods for sale purposes.

(5)The Ordinance of the Ministry of Information and Communication shall stipulate necessary matters concerning the subject of, method of, standardization procedures referred to in paragraph (1).

Article 9 (Designation of Authorized Certification Institution)

(1)The Minister of Information and Communication may designate any institution (hereafter referred to as an “authorized certification institution”) as a body capable of certifying goods related to information and communications networks that are manufactured or supplied by anyone conform to criteria published under the main sentence of Article 8 (1).

(2)The Minister of Information and Communication may cancel the designation of an authorized certification institution or suspend the business of an authorized certification institution for a fixed period of not more than 6 months if any authorized certification institution falls under any of the following subparagraphs: Provided, that if the authorized certification institution falls under subparagraph 1, its designation shall be cancelled:

1.When designation is achieved in a fraudulent manner;

2.When it has suspended, without justifiable grounds, its certification business for more than one year;

3.When it fails to meet the designation criteria set under paragraph (3).

(3)The Ordinance of the Ministry of Information and Communication shall stipulate requisite matters concerning the standards and procedures for designating any authorized certification institution as well as the revocation of the authorized certification designation, and the standards for suspending business under paragraphs (1) and (2).

Article 10 (Assistance for Development of Information Contents)

In order to strengthen national competitiveness and to develop public interest, the Government may provide financial and technical support to any individual who develops information contents that are distributed through information and communications networks.

Article 11 (Development Facilitation of Applied Services of Information and Communications Networks)

(1)The Government may provide financial and technical support, as well as other requisite forms of support, to any State organ, local government, or public institution that creates and administers any services that increase efficiency, automate, and sophisticate their business affairs through use of information and communications networks (hereafter referred to as the “applied services of information and communications networks”).

(2)The Government may provide financial and technical support, as well as other requisite forms of support, to the private sector in order for them to facilitate the development of the applied services of information and communications networks in their given sectors and to take the measures of the following subparagraphs to train the skilled labor necessary to develop applied services:

1.Internet education support conducted at all educational levels;

2.Expansion of public education concerning the Internet;

3.Assistance in training projects created to establish skilled labor concerned with information and communications networks;

4.Establishment of, and support for, training institutions specialized in schooling skilled labor concerned with information and communications networks;

5.Development of, and support for, educational programs that teach the use of information and communications networks and the distribution of said educational programs;

6.Establishment of the technical qualification system concerning information and communications networks and support for skilled labor specialized in information and communications networks;

7.Other matters necessary to school the skilled labor concerned with information and communications networks.

Article 12 (Construction of a System for the Joint Utilization of Information)

(1)The Government may advance the interoperability, standardization, and joint utilization of information and communications networks to efficiently utilize the information and communications networks.

(2)The Government may provide requisite financial and technical support to anyone who builds a joint utilization of information system as stipulated in paragraph (1).

(3)Presidential Decree shall stipulate requisite matters regarding promotion and support under paragraphs (1) and (2).

Article 13 (Projects for Promoting Utilization of Information and Communications Networks)

(1)Under conditions stipulated by Presidential Decree, the Minister of Information and Communication may create and enact projects designed to facilitate the efficient use and distribution of technologies, equipment, and applied services in order to facilitate information and communications network use in the public and private sectors, culture, and society as a whole, and end the information gap.

(2)The Government may provide requisite financial and technical support to anyone participating in the projects referred to in paragraph (1).

Article 14 (Proliferation of Internet)

The Government shall stimulate efficient private and public sector Internet use in order to encourage widespread Internet use, increase the Internet’s foundation, increase Internet education and publicity, and design and put into practice actions that end the Internet utilization gap by region, gender and age.

Article 15 (Quality Improvement of Internet Services)

(1)The Minister of Information and Communication design actions to protect Internet user rights and interests, upgrade Internet quality, and ensure the Internet stability.

(2)If the Minister of Information and Communication judges it necessary to put into practice actions referred to in paragraph (1), he may create and publish Internet service standards for measuring and assessing quality after deliberating with information and communications service organizations as well as user organizations.

(3)Any information and communications service provider may determine the quality of contemporary Internet services on his own, according to the standards set and published under paragraph (2) and make the results known to users.

Article 16 (Expansion of Internet IP Addresses)

The Minister of Information and Communication shall take measures to increase the number of IP addresses, including domain names, that are the basis for Internet use and make it possible for the appropriate use of these IP addresses. He shall deliberate with information and communications service organizations as well as user organizations in order to reflect their opinions in the measures.

Article 17 (Dispute over Internet Domain Names)

The Minister of Information and Communication shall design requisite actions for international cooperation and dispute mediation quickly and fairly resolve disputes over the registration and use of Internet domain names in order to facilitate the proper use and administration of Internet domain names.

CHAPTER III.-  UTILIZATION OF DIGITAL DOCUMENTS THROUGH DIGITAL DOCUMENT RELAYER

Article 18 (Processing of Documents by Digital Document Relayer)

(1)State organ heads or local governments shall stipulate and publish requisite matters, including the subject of business and digital document relayer, under the stipulated conditions given by Presidential Decree, when they intend to process permission, authorization, approval, registration, report, and application as stipulated by Acts and subordinate statutes (hereafter in this Article referred to as “permission”) in the form of digital documents by anyone who administers facilities and equipment used for relaying digital documents (hereafter referred to as a “digital document relayer”).

(2)The digital document processed in accordance with paragraph (1) shall be deemed the document stipulated in relevant Acts and subordinate statutes and the name signed and the seal placed on that digital document, a letter indicating the ostensible person of that digital document and an officially recognized digital signature under subparagraph 3 of Article 2 of the Digital Signature Act. (Amended by Act nº 6585, Dec. 31, 2001)

(3)Any permission processed in a digital document under paragraph (1) shall be judged processed according to procedures stipulated in relevant Acts and subordinate statutes.

(4)The Presidential Decree shall stipulate requisite matters concerning requirements and procedures for designating any digital document relayer.

Article 19 (Time for Transmitting and Receiving Digital Document)

(1)If anyone other than the creator or the creator’s agent, inputs the creator’s digital document into a computer not managed by the creator or the creator’s agent, the digital document shall be judged transmitted.

(2)Any digital document shall be judged received at a time falling under any of the following subparagraphs:

1.The receiver designates a computer to receive the digital document and when the digital document is input into that computer: Provided, that the digital document is input into a computer other than the designated computer when the receiver outputs it;

2.The receiver does not designate a computer to receive the digital document when the digital document is input into a computer managed by the receiver.

Article 20 (Presumption of Contents of a Digital Document)

(1)The relevant contents shall be presumed compiled according to the contents of the digital document recorded in the computer file of the digital document relayer when a dispute arises between parties or interested parties over the contents of a digital document.

(2)State organ heads or any local government heads shall assign and publish a fixed period of time that a digital document relayer must keep a digital document in their custody.

Article 21 (Restrictions on Disclosure of Digital Documents)

No digital document relayer shall divulge any digital document or records processed by digital document relay facilities without undergoing legal procedures or obtaining relevant addresser and addressee consent.

CHAPTER IV.- PROTECTION OF PERSONAL INFORMATION

SECTION 1

Article 22 (Collection of Personal Information)

(1)If an information and communications service provider intends to gather user personal information, they shall obtain user consent: Provided, that this shall not apply in cases that fall under each of the following subparagraphs:

1.Where it is necessary to actualize a contract for information and communications service use;

2.Where it is necessary to adjust fees for information and communications services provision;

3.Where special provisions exist in this Act or other Acts.

(2)If any information and communications services provider intends to obtain user consent referred to in paragraph (1), they shall notify the user of the matters falling under each of the following subparagraphs in advance, or specify the matters in a standardized contract for information and communications service use:

1.The name, department, position, telephone number, and other communication means of a person in charge of administering the personal information;

2.The objective of the collection and use of the personal information;

3.The identification, objective, and contents of the personal information to be provided to a third person if the personal information is provided to a third person;

4.The right of the user and his legal representative and the method of exercising this right under Articles 30 (1) and (2) and 31 (2);

5.Presidential Decree shall stipulate other requisite matters that protect personal information.

Article 23 (Restrictions on Gathering Personal Information)

(1)No information and communications service provider shall gather personal information, such as political ideology, religion, and medical record, which is likely to excessively infringe upon the rights, best interest, and privacy of the relevant user: Provided, the same shall not be true in the event that consent of the relevant user exists or the subject of gathering the personal information is specified in other Acts.

(2)When gathering user personal information, an information and communications service provider shall gather the minimum information necessary to deliver information and communications services. They shall not refuse to provide relevant services on the grounds that the user does not provide personal information other than the necessary minimum information.

SECTION 2.- Utilization and Provision of Personal Information

Article 24 (Utilization and Provision of Personal Information)

(1)No information and communications service provider shall use personal information or provide it to any third person or party beyond the scope of notification stipulated in Article 22 (2) or the specified limit in a standardized contract for information and communications services usage with the exception of cases where there is expressed user consent or a case falling under each of the following subparagraphs:

1.Where it is necessary to change fees for information and communications service provision;

2.Where the personal information is provided after it is processed in such a way as to render any specific individual unidentifiable if such personal information is necessary to compile statistics, conduct academic research, or conduct a market survey;

3.Where special provisions exist in other Acts.

(2)Any person who is provided with users’ personal information by any information and communications service provider shall not use the personal information for a purpose other than the purpose for which the personal information is provided or provide such personal information to any third person, with the exception of cases in which there is expressed user consent or the existence of special provisions of other Acts.

(3)Information and communications service providers (referring to information and communications service providers and other persons who are given the personal information of users by the former; hereafter the same shall apply) shall minimize the number of persons that can handle the users’ personal information.

(4)Any person who handles or handled users’ personal information shall not harm, infringe upon, or disseminate any users’ personal information that was learned while in the performance of duties.

Article 25 (Entrusting of Personal Information Processing)

(1)If information and communications service providers delegate the work of gathering, handling, and administering users’ personal information to others, they shall serve notice to each of the users.

(2)The person who is delegated by a information and communications service provider with the work of processing the personal information under paragraph (1) shall be judged an employee of the information and communications service provider only with respect to compensation allotted to users for any harm inflicted by their violation of this Chapter’s stipulations in connection with the delegated work.

Article 26 (Notice on Business Transfer)

(1)Under the conditions stipulated by Presidential Decree, when an information and communications service provider transfers their business in whole or in part, or their rights and duties due to a merger or an inheritance, they shall notify the users of matters that fall under each of the following subparagraphs:

1.The details of the transfer of the business in whole or in part, and the merger or the inheritance;

2.The name (referring to the name of a corporation in the case of a corporation; hereafter the same in this Article shall apply), address, telephone number, and other contact means of a person who succeeds the rights and duties of the information and communications services provider.

(2)Under the conditions stipulated by Presidential Decree, any person who acquires the whole or part of the business of an information and communications service provider by transfer or succeeds to the rights and duties of an information and communications service provider due to a merger or an inheritance (hereafter referred to as a “transferee of business”) shall notify the users of the matters falling under each of the following subparagraphs:

1.The details of their rights and duties succession of the information and communications service provider and his name;

2.The name, post, position, telephone number, and other contact means of a person in charge of administering user personal information;

3.The objective of user personal information use;

4.Users’ rights as stipulated by Article 30 (1) and (2) and the method of exercising these rights;

5.Other requisite matters stipulated by Presidential Decree that protect users’ personal information.

Article 27 (Designation of Persons in Charge of Administering Personal Information)

(1)The information and communications service provider shall designate persons in charge of administering users’ personal information to protect said information and handle users’ complaints with regards to the use of personal information.

(2)The Ordinance of the Ministry of Information and Communication shall stipulate the qualification requirements for the persons administering personal information and other requisite designation matters.

Article 28 (Protective Measures for Personal Information)

Information and communications service providers shall take the requisite technical and administrative steps to ensure the safety of personal information in order to prevent personal information from being lost, stolen, disseminated, changed, or harmed when handled.

Article 29 (Disposal of Personal Information)

Information and communications service providers shall quickly destroy personal information when they successfully gather it or are provided with it: Provided, the same shall not apply to a case where other Acts and subordinate statutes require the personal information to be preserved.

SECTION 3.- Rights of Users

Article 30 (Rights of Users)

(1)At any time, any user may withdraw his agreement given to the information and communications service providers under the main sentence of Article 22 (1), the stipulations in Article 23, and the main sentence of Article 24 (1).

(2)A user may ask the information and communications service providers to give that user their own personal information for review and if that personal information is found to be erroneous, they may request that it be corrected.

(3)The information and communications service providers shall quickly take requisite measures, including the destruction of personal information gathered, when any user withdraws his agreement under paragraph (1).

(4)The information and communications service provider shall quickly take requisite steps when they receive a request for the information review or correction under paragraph (2).

(5)When a request for the correction of an error under paragraph (2) is received, the information and communications service provider shall not provide nor use the relevant personal information until such error is corrected.

(6)When notified of the withdrawal of an agreement or receiving a request for information review or correction under paragraphs (1) and (2), the information and communications service provider shall take requisite steps to deal with the withdrawal of that agreement and the request in a way that is easier than that of gathering the personal information under Articles 22 and 23.

(7)The provisions of paragraphs (1) through (6) shall apply mutatis mutandis to the transferee of business. When this happens, “the information and communications service provider” shall be judged the “transferee of the business”.

Article 31 (Right of Legal Representative)

(1)When any information and communications service provider means to collect personal information from a child less than 14 years of age under Article 22 or to use that personal information or provide that personal information to any third person under Article 24 (1), they shall obtain the expressed consent from that child’s legal representative. The information and communications service provider may ask the relevant child for the minimum requisite information, such as the name of the legal representative, in order to attempt to gain an agreement with the legal representative.

(2)The legal representative may withdraw his consent given under paragraph (1) and request to review the information provided by the child and the correction of any error regarding that information.

(3)Under paragraph (2), the stipulations of Article 30 (3) through (5) shall apply mutatis mutandis to the withdrawal of the consent and the request for the review of information or the correction of any error by the legal representative.

Article 32 (Indemnification)

When a user suffers any harm because of a violation of this Chapter’s stipulations by an information and communications service provider, that user may claim compensation for such harm against the information and communications service provider. When this happens, the information and communications service provider cannot be released from their responsibility if they fail to prove the non-existence of their aberrant intention or negligence regarding the harm to the user.

SECTION 4.- Personal Information Dispute Mediation Committee

Article 33 (Establishment and Composition of a Personal Information Dispute Mediation Committee)

(1)A Personal Information Dispute Mediation Committee (hereafter referred to as the “Dispute Mediation Committee”) shall be created to mediate disputes concerning personal information.

(2)The Dispute Mediation Committee shall consist of not more than 15 members, including one chairman, and one of standing members.

(3)As stipulated by Presidential Decree, the Minister of Information and Communication shall appoint or commission members from persons falling under any of the following subparagraphs. No less than one person falling under each of the following subparagraphs shall be included as a member:

1.Individuals who presently serve, or have served, in universities as associate professors or higher and in corresponding positions as researchers in publicly recognized research institutes majored in a field relating to personal information protection;

2.Grade 4 or higher public officials or individuals in corresponding positions who presently work, or have worked, in public institutions and have experience administering personal information protection concerns;

3.Individuals who hold the qualifications of judges, prosecutors, or attorneys-at-law;

4.Individuals who presently work, or have worked, as officers in information and communications service user organizations;

5.Individuals who presently work, or have worked, as officers in information and communications service provider organizations;

6.Individuals recommended by non-profit nongovernmental organizations created in accordance with Article 2 of the Assistance for non-profit Nongovernmental Organizations Act.

(4)Three years shall be the term of office for the members and they may be reappointed or recommissioned.

(5)The Minister of Information and Communication shall appoint the chairman from among the members.

(6)A secretariat shall be created in the Korea Information Security Agency, which was created in accordance with Article 52, to support the Dispute Mediation Committee's affairs.

Article 34 (Guarantee of Members' Status)

None of the members shall be dismissed or discharged against their will with the exception of when they are sentenced to the suspension of their qualifications or any other more severe punishment, or, because of mental or physical incompetence, are unable to perform their duties.

Article 35 (Exclusion, Challenge, and Refrainment of a Member)

(1)Any member shall be excluded from participating in the deliberation and resolution of a case requested for dispute mediation (hereafter in this Article referred to as the “case”) when they fall under any of the following subparagraphs:

1.Where a member, his spouse, or his former spouse is a party to the case, or a joint right holder or obligator regarding the case;

2.Where a member is, or was, in a kin relationship with a party in the case;

3.Where a member gives any testimony or expert opinion regarding the case;

4.Where a member is, or was, involved as an agent, an officer, or an employee of a party in the case.

(2)When any party finds it difficult to expect a fair deliberation and resolution from the members, they may file a challenge application with the Dispute Mediation Committee.

When this happens and the Dispute Mediation Committee deems the challenge application appropriate, it shall determine the challenge.

(3)If any member falls under the case of paragraph (1) or (2), they may refrain from the deliberation and resolution regarding the case.

Article 36 (Mediation of Dispute)

(1)Any person may file an application for the mediation of a personal information dispute that wants that dispute mediated by Dispute Mediation Committee.

(2)Upon receiving an application for mediating a dispute under paragraph (1), the Dispute Mediation Committee shall examine the case and prepare a draft mediation

within 60 days from the date of the application’s reception: Provided, that the Dispute Mediation Committee may resolve to extend the 60-day period if there are unavoidable circumstances.

(3)The applicant shall be informed of reasons for extending the 60-day period and other matters concerning the extension of the period when the period is extended under the stipulations of paragraph (2).

Article 37 (Request for Materials)

(1)The Dispute Mediation Committee may ask parties involved in a dispute to provide requisite materials for dispute mediation. When this happens, the relevant parties shall comply with the request unless justifiable grounds exist that make it impossible for them to do so.

(2)When the Dispute Mediation Committee judges it necessary, it may get parties or relevant witnesses involved in a dispute to be present at a meeting of the Dispute Mediation Committee in order to hear their opinions.

Article 38 (Effect of Mediation)

(1)When the Dispute Mediation Committee prepares a draft mediation in accordance with Article 36 (2), it shall present that draft mediation to each of the parties without delay.

(2)Within 15 days from the day on which the draft mediation was received, each of the parties presented with the draft mediation under paragraph (1) shall serve notice to the Dispute Mediation Committee as to whether or not they accept the draft mediation.

(3)The Dispute Mediation Committee shall promptly prepare a written mediation that the chairman and the parties shall place their names and seals on it if the parties accept the draft mediation.

(4)An agreement identical to the written mediation between the parties shall be judged as achieved when the parties accept the draft mediation under paragraph (3) and the chairman as well as the parties place their names and seals on it.

Article 39 (Rejection and Suspension of Mediation)

(1)If the Dispute Mediation Committee judges that it is inappropriate for it to mediate a given dispute considering the disputes’ nature, or that an application for mediating a given dispute is filed for an unfair purpose, may reject the relevant mediation. When this happens, a notice outlining the grounds of rejecting the mediation shall be served to the applicant.

(2)The Dispute Mediation Committee shall suspend handling a dispute and serve a notice to the applicants when any of the parties file a lawsuit in the process of examining an applied mediation case.

Article 40 (Procedures for Mediation)

Presidential Decree shall stipulate requisite matters concerning the method, procedures, and business of dealing with the mediation of any dispute with any dispute with the exception of what is stipulated in Articles 36 through 39.

CHAPTER V.- PROTECTION OF JUVENILES IN INFORMATION AND COMMUNICATIONS NETWORK, ETC.

Article 41 (Measures to Protect Juveniles)

(1)The Minister of Information and Communication shall take measures to protect juveniles from harmful information distributed by information and communications networks, such as lascivious sex and violence information. The measures shall fall under each of the following subparagraphs:

1.The development and dissemination of contents screening software;

2.The development and dissemination of juvenile protection technology;

3.Education and publicity for juvenile protection;

4.Other matters stipulated by Presidential Decree for juvenile protection.

(2)The Minister of Information and Communication may support activities carried out by the Information and Communications Ethics Committee established in accordance with Article 532 of the Telecommunications Business Act, information and communications service user organizations and information and communications service provider organizations and other specialized juvenile protection institutions when implementing the measures referred to in paragraph (1).

Article 42 (Labelling of Media Materials Harmful to Juveniles)

Any person who intends to provide content that is stipulated as harmful to juveniles in accordance with subparagraph 3 of Article 2 of the Juvenile Protection Act and described in subparagraph 4 of Article 7 of that same Act, from among the persons who provide publicly accessible information using telecommunications services rendered by a telecommunications business operator (hereafter referred to as the “providers of information”) shall get the relevant content labelled as harmful to juveniles in a labelling method stipulated by Presidential Decree.

Article 43 (Obligation of Provider of Visual or Sound Information to Keep in Custody)

(1)A content provider stipulated by Presidential Decree that is providing content stipulated as harmful to juveniles under subparagraph 3 of Article 2 of the Juvenile Protection Act and who runs a business that provides media materials described in subparagraph 4 of Article 7 of that same Act in a manner that does not include storing nor recording content in users’ computers, shall keep the relevant information in custody.

(2)Presidential Decree shall set the period for which the providers of information referred to in paragraph (1) shall keep the relevant information in custody.

Article 44 (Request for Deleting Information)

(1)Any person whose legal interest is infringed upon by information that is provided for the public using information and communications networks may ask the information and communications service provider administering that information to delete the information or run his refute concerning that information.

(2)Upon reception of the request for deletion of the relevant information, the information and communications service provider shall quickly take requisite steps and promptly serve notice to the requester.

CHAPTER VI SECURING OF SAFETY OF INFORMATION AND COMMUNICATIONS NETWORKS

Article 45 (Securing of Safety, etc. of Information and Communications Networks)

(1)Every information and communications service provider shall take protective steps to secure the safety and reliability of information and communications networks used to provide the information and communications services.

(2)The Minister of Information and Communication may set a guideline on the protection of information, as well as information and communications services, that specifies the protective steps referred to in paragraph (1), publish it, and advise every information and communications service provider to observe it.

Article 46 (Protection of Agglomerated Information and Communications Facilities)

(1)Any operator who runs the business of administering information and communications facilities agglomerated for other persons who provide information and communications services shall take protective steps to operate the information and communications facilities with stability under the conditions stipulated by the Ordinance of the Ministry of Information and Communication.

(2)Under conditions stipulated by the Ordinance of the Ministry of Information and Communication, the business operator referred to in paragraph (1) shall have his information and communications facilities insured to cover any harm sustained by the destruction, loss, damage and other problems in operating the facilities.

(3)The Minister of Information and Communication may order any business operator who has failed to take protective steps referred to in paragraph (1) to correct the situation within an appropriately fixed period.

Article 47 (Certification of Information Protection and Management System)

(1)Every information and communications service provider, as well as any individual who provides physical facilities used to provide the information and communications services, is suitable to provide information protection services pursuant to obtaining certification from the Korea Information Security Agency established pursuant to Article 52 regarding the quality of their comprehensive protection management system (hereafter referred to as the “information protection and management system”), including technical and physical protective measures designed and enacted to secure the safety and reliability of the information and communications networks.

(2)The Minister of Information and Communication may establish and publish requisite standards for the certification referred to in paragraph (1), including standards for protecting and administering information.

(3)Under the conditions as prescribed by the Ordinance of the Ministry of Information and Communication, any person who obtains a certification on the information protection and management system under paragraph (1) may label and publicize that certification.

(4)The Ordinance of the Ministry of Information and Communication shall stipulate the method of, procedures for, fees for, and other requisite matters concerning the awarding of the certification referred to in paragraph (1).

Article 48 (Prohibition on Act of Infiltrating into Information and Communications Networks)

(1)Without a justifiable access right or beyond his permitted access right, any person shall be prohibited from infiltrating into information and communications networks. (2)Without a justifiable reason, any person shall be prohibited from the transmission or distribution of any program (hereafter referred to as a “malicious program”) that may harm, disrupt, hamper, and destroy the information and communications system, or alter and falsify the data or programs.

(3)Any person shall be prohibited from sending a large volume of signals or data for the purpose of hampering the operational stability of information and communications networks or from creating problems in information and communications networks through the use of inputting unapproved instructions processed.

Article 49 (Protection of Secrets)

Any person shall be prohibited from harming the information of other persons or from stealing or disseminating the secrets of other persons that are processed, stored or transmitted by information and communications networks.

Article 50 (Restrictions on the Transmission of Advertisement Information)

(1)Pursuant to the addressee's explicit rejection of advertisement information, any person shall be prohibited from transmitting advertisement information with the objective of earning profits.

(2)Under the conditions stipulated by the Ordinance of the Ministry of Information and Communication, any person who intends to transmit any advertisement information for the purpose of earning profits under paragraph (1) by email shall expressly indicate the matters falling under each of the following subparagraphs in the email:

1.The objective and main contents of the transmission;

2.The name and contact means of the addressor;

3.Matters concerning the addressee’s declared intention to reject advertisement information reception.

Article 51 (Restrictions on Outflow of Major Information into Foreign Nations)

(1)The Minister of Information and Communication may have every information and communications service provider or every information and communications service user take requisite protective steps regarding major domestic industry, economy, science and technology information from being flowing out of Korea into foreign nations.

(2)Presidential Decree shall stipulate the breadth of the major information referred to in paragraph (1) and details of the protective steps concerning such major information.

Article 52 (Korea Information Security Agency)

(1)The Government shall establish a Korea Information Security Agency (hereafter referred to as the “Security Agency”) to put into practice the requisite protective steps for secure information distribution.

(2)The Security Agency shall be a juristic person.

(3)The Security Agency shall complete the projects falling under each of the following subparagraphs:

1.Survey and research information protection policies and systems;

2.Analysis of the negative effects of informationalization and countermeasures research;

3.Publicity, education, and training for information protection;

4.Research, development, testing, and appraisal of the information protection system;

5.Backing for the standardization of the function and reliability of the information protection system;

6.Development of encoding technology for information protection;

7.Research of requisite protective steps regarding personal information;

8.Assistance for operating the Dispute Mediation Committee and the operation of a center where people can report infringements concerning personal information;

9.Operation of the system designed to handle, and respond to, infringements upon the information system;

10.Administration of certifying digital signatures under Article 25 (1) of the Digital Signature Act;

11.Other projects incidental to the projects of subparagraphs 1 through 10;

12.Other projects assigned to the Security Agency by the Minister of Information and Communication as well as work stipulated by this Act and other Acts and subordinate statutes as one of the Security Agency.

(4)The Government may contribute financially to meet requisite expenses for Security Agency projects.

(5)With respect to the Security Agency, provisions governing the incorporated foundation of the Civil Act shall apply mutatis mutandis to matters not stipulated by this Act.

(6)Any person who is not the Security Agency shall not be permitted to use the Korea Information Security Agency name.

(7)Presidential Decree shall stipulate requisite concerns regarding the Security Agency’s operation and work.

CHAPTER VII.- INTERNATIONAL COOPERATION

Article 53 (International Cooperation)

The Government shall encourage mutual cooperation with other nations and international organizations when implementing the business falling under each of the following subparagraphs:

1.The business of increasing Internet IP addresses;

2.The business of transferring and protecting personal information between nations;

3.The business of juvenile protection in information and communications networks;

4.The business of preventing the corruption of the safety of information and communications networks;

5.The business of assisting healthy and secure information and communications service use.

Article 54 (Restrictions on International Contracts on Personal Information)

Information and communications service providers shall not enter into any international contract whose contents violate this Act’s stipulations regarding the personal information of users.

CHAPTER VIII.- SUPPLEMENTARY PROVISIONS

Article 55 (Submission of Materials)

(1)If it is necessary to enforce this Act, the Minister of Information and Communication may ask information and communications service providers to provide relevant goods and documents (“providers” including any person in a situation where the provisions of Article 58 are applied mutatis mutandis in this Article).

(2)The Minister of Information and Communication may have his public officials enter the business place of the information and communications service provider to inspect the provider's current business and examine books or other documents when an information and communications service providers fails to provide materials under paragraph (1) or they are judged to be in violation of this Act’s stipulations.

(3)The Minister of Information and Communication may order the information and communications service provider to take requisite corrective steps then it is judged that they are in violation of this Act.

(4)The public officials assigned to inspect the business place under paragraph (2) shall carry certificates showing their authority to inspect and show them involved persons.

(5)The Minister of Information and Communication may ask the Security Agency head for advice and other requisite assistance related to the request for material provision and inspection under paragraphs (1) through (3).

Article 56 (Delegation and Entrustment of Authority)

(1)Under the terms stipulated by Presidential Decree, the Minister of Information and Communication may delegate his authority under this Act, in whole or in part, to agency heads under his supervision.

(2)Under the terms stipulated by Presidential Decree, the Minister of Information and Communication may delegate concerns regarding the facilitating information and communications network use, as prescribed in Article 13, to the National Computerization Agency established pursuant to Article 10 of the Informationalization Promotion Framework Act.

Article 57 (Secrets)

Any person who is, or was, engaged in matters falling under each of the following subparagraphs shall not disseminate secrets they have learned while performing their duties to any other person or use said secrets for purposes other than those of their duties: Provided that the same shall not apply in a situation where the provisions of other Acts specially exclude the prohibition:

1.The business of dispute mediation conducted by the Dispute Mediation Committee;

2.The business of awarding certification on the information protection and management system;

3.The business of information protection system evaluation under Article 52 (3)4.

Article 58 (Application to Person other than Provider of Information and Communications Services)

Stipulated by Presidential Decree, the provisions of Articles 22 through 32 shall apply mutatis mutandis to situations in which any person, other than information and communications service providers who provide goods or services, collects, provides or uses personal information of any person who is provided with said goods or services.

When this happens the “information and communications service provider” shall be deemed the “provider of goods or services” and the “user” shall be deemed the “person provided with goods or services”, respectively.

Article 59 (Korea Association of Information and Telecommunication)

(1)As stipulated by Presidential Decree, information and communications service providers and people who operate a business related to information communications networks may establish a Korea Association of Information and Telecommunication (hereafter referred to as the “Association”) to promote the use and protection of information and communications networks after obtaining permission from the Minister of Information and Communication.

(2)The Association shall be a juristic person.

(3)The stipulations governing the incorporated association of the Civil Act shall apply mutatis mutandis to the Association with the exception of this Act’s stipulations regarding the Association.

(4)The Government may contribute financially to the Association, within budgetary limits, if necessary to assist the Association complete work.

(5)Presidential Decree shall stipulate requisite concerns regarding the work and supervision of the Association.

Article 60 (Legal Fiction of Public Officials in Application of Penal Provisions)

Officers and employees of the National Computerization Agency shall be deemed public officials in the application of Articles 129 through 132 of the Criminal Act if they work on the business delegated by the Minister of Information and Communication under Article 56 (2).

CHAPTER IX.- PENAL PROVISIONS

Article 61 (Penal Provisions)

(1)Any person who has defamed any other person by clearly and openly alleging facts with a slanderous purpose through information and communications networks shall be punished by imprisonment, with or without prison labor, for not more than 3 years or by a fine not exceeding 20 million won.

(2)Any person who has defamed any other person by clearly and openly alleging facts with a slanderous purpose through information and communications networks shall be punished by imprisonment with prison labor for not more than 7 years or the suspension of disqualification for not more than 10 years, or by a fine not exceeding 50 million won.

(3)The offense described in paragraphs (1) and (2) shall not be charged against the will expressed by the victim.

Article 62 (Penal Provisions)

Any person falling under any of the following subparagraphs shall be punished by imprisonment with prison labor for not more than 5 years or by a fine not exceeding 50 million won:

1.A person who has used or provided personal information it to any third person beyond the scope of the notification or the limit specified in a standardized contract under Article 22 (2) in breach of Article 24 (1) (including a case where the Article 58 stipulations are applied mutatis mutandis);

2.A person who has used user personal information for a purpose other than the purpose for which such personal information has been provided or provided said personal information to any other person in breach of Article 24 (2) (including a case where the Article 58 stipulations are applied mutatis mutandis);

3.A person who has harmed, infringed, or disseminated user personal information in breach of Article 24 (4) (including a case where the Article 58 stipulations are applied mutatis mutandis);

4.A person who has transmitted or spread a malicious program in breach of Article 48 (2);

5.A person who has hindered information and communications networks in breach of Article 48 (3);

6.A person who has harmed any other person’s information, or infringed, stolen or disseminated the secrets of any other person in breach of Article 49.

Article 63 (Penal Provisions)

Any person falling under any of the following subparagraphs shall be punished by imprisonment with prison labor for not more than 3 years or by a fine not exceeding 30 million won:

1.A person who has infiltrated information and communications networks in breach of Article 48 (1);

2.In breach of Article 57, a person who has disseminated or used any other person’s secrets that were learned while performing duties for a purpose other than the purpose of performing duties.

Article 64 (Penal Provisions)

In breach of Article 42, any person who has provided media materials that are harmful to juveniles for the purpose of earning profits without affixing a warning label detailing that said materials are harmful shall be punished by imprisonment with prison labor for not more than 2 years or by a fine not exceeding 10 million won.

Article 65 (Penal Provisions)

(1)Any person falling under any of the following subparagraphs shall be punished by imprisonment with prison labor for not more than 1 year or by a fine not exceeding 10 million won:

1.A person who has displayed, sold, or affixed any label or similar one on goods for the purpose of selling them in breach of Article 8 (4);

2.A person who has distributed, sold, rented, or openly displayed lascivious codes, letters, sounds, visuals, or films through information and communications networks;

3.A person who has repeatedly sent words, sounds, letters, visuals, or films inciting fears to others through information and communication networks.

(2)The offense described in paragraph (1) 3 shall not be charged against the will expressed by the victim.

Article 66 (Joint Penal Provisions)

The representative of a corporation, the agent, or the other employee of a corporation or an individual shall also be punished by a fine described in the relevant Article in addition to the punishment of the actor if they commit an act that is in violation of Articles 62 through 64 or 65 (1) 1 in connection with the business of said corporation or individual.

Article 67 (Fine for Negligence)

(1)A fine for negligence not exceeding 5 million won shall punish any person falling under any of the following subparagraphs:

1.A person who has failed to keep digital documents in custody breaching Article 20 (2);

2.A person who has made digital documents public breaching Article 21;

3.A person who has gathered personal information in breach of Article 22 (1) (including any person falling under a case where Article 58 stipulations are applied mutatis mutandis);

4.A person who has failed to notify users or specify required matters in a standardized contract for personal information use breaching Article 22 (2) (including any person falling under a case where Article 58 stipulations are applied mutatis mutandis);

5.A person who has collected personal information or refused to provide the services breaching Article 23 (2) (including any person falling under a case where the Article 58 stipulations are applied mutatis mutandis);

6.A person who has failed to notify the users of the fact of entrustment to another breaching Article 25 (1) (including any person falling under a case where the Article 58 stipulations are applied mutatis mutandis);

7.A person who has failed to serve a notice breaching Article 26 (including any person falling under a case where the Article 58 stipulations are applied mutatis mutandis);

8.A person who has failed to designate a person in charge of personal information management breaching Article 27 (1) (including any person falling under a case where the Article 58 stipulations are applied mutatis mutandis);

9.A person who has failed to destruct personal information breaching the main sentence of Article 29 (including any person falling under a case where the Article 58 stipulations are applied mutatis mutandis);

10.A person who has used incorrect, or failed to take requisite steps to correct, personal information breaching Article 30 (3) through (6) (including any person falling under a case where the Articles 30 (7), 31 (3), and 58 stipulations are applied mutatis mutandis);

11.A person who has gathered the personal information on children breaching Article 31 (1) (including any person falling under a case where the Article 58 stipulations are applied mutatis mutandis);

12.A person who has failed to keep information in custody breaching Article 43;

13.A person who has failed to indemnify the information and communications facilities breaching Article 46 (2);

14.A person who has failed to carry out an order to take corrective steps under Article 46 (3);

15.A person who has transmitted information for the purpose of earning profits breaching Article 50 (1);

16.A person who has violated Article 52 (6) stipulations;

17.A person who has failed to provide, or provided false, relevant goods and documents under Article 55 (1);

18.A person who has rejected, hindered or avoided entry and inspection under Article 55 (2);

19. A person who has failed to carry out an order to take corrective steps under Article 55 (3).

(2)Under the conditions stipulated by Presidential Decree, the fine for negligence described in paragraph (1) shall be imposed and collected by the Minister of Information and Communication.

(3)Any person who is dissatisfied with a fine for negligence enforced in line with paragraph (2) may raise an objection with the Minister of Information and Communication within 30 days from the day he is notified of the disposition taken to impose said fine.

(4)If any person subjected to a disposition taken to enforce a fine for negligence on him under paragraph (2) raises an objection under paragraph (3), the Minister of Information and Communication shall inform the competent court without delay of the fact. The competent court shall put the case on trial in line with the Non-Contentious Case Litigation Procedure Act upon receiving said notice.

(5)If the person does not raise an objection within the period of time stipulated in paragraph (3) and fails to pay the fine for negligence, the said fine shall be collected in line with a disposition taken to collect national taxes that are in arrears.

ADDENDA

Article 1 (Enforcement Date) This Act shall enter into force on July 1, 2001.

Article 2 (Transitional Measures following Change of Basis for Establishing Korea Information Security Center and of Its Name)

(1)When this Act enters into force, the Korea Information Security Center established pursuant to Article 142 of the Informationalization Promotion Framework Act shall be deemed the Korea Information Security Agency established pursuant to Article 52 of this Act.

(2)When this Act enters into force, any act performed, as well as any legal relations upheld, by the Korea Information Security Center shall be judged performed and upheld by the Korea Information Security Agency.

(3)When this Act enters into force, the name of the Korea Information Security Center on the register book and other public registers shall be judged to be the name of the Korea Information Security Agency.

Article 3 (Transitional Measures following Change of Name of Korea Information and Communications Promotion Association)

(1)When this Act enters into force, The Korea Information and Communications Promotion Association shall be deemed the Korea Association of Information and Telecommunication.

(2)When this Act enters into force, any act performed and any legal relations upheld by the Korea Information and Communications Promotion Association shall be deemed performed and upheld by the Association.

(3)When this Act enters into force, the name of the Korea Information and Communications Promotion Association on the register book and other public registers shall be deemed the name of the Korea Association of Information and Telecommunication.

Article 4 (Transitional Measures concerning Application of Penal Provisions)

The previous provisions shall govern the application of the penal provisions to any act committed prior to this Act’s enforcement.

Article 5 Omitted.

Article 6 (Relations to Other Acts and Subordinate Statutes)

At the time this Act enters into force, this Act or the corresponding provisions within this Act shall be judged as being cited if other Acts and subordinate statutes cite the former Utilization of Information System Promotion Act or its stipulations and if there exist corresponding stipulations within this Act.

ADDENDA (Act nº 6585, Dec. 31, 2001)

Article 1 (Enforcement Date)

This Act shall enter into force on April 1, 2002.

Articles 2 through 4 Omitted.

Kapittel 1.- Innledende bestemmelser

§ 1.– Forskriftens formål og anvendelsesområde

(1) Forskriftens formål er å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen. Den skal fremme forutsigbarhet og fleksibilitet og legge til rette for samordning av sikre og hensiktsmessige tekniske løsninger. Forskriften skal legge til rette for at enhver på en enkel måte kan utøve sine rettigheter og oppfylle sine plikter i forhold til det offentlige.

(2) Forskriften gjelder for elektronisk kommunikasjon med forvaltningen og for elektronisk saksbehandling og kommunikasjon i forvaltningen når ikke annet er bestemt i lov eller i medhold av lov.

(3) Denne forskrift gir ikke grunnlag for å gjøre unntak fra de alminnelige reglene om forsvarlig saksbehandling i forvaltningsloven. (1)

(1) Lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven).

§ 2.– Begreper

(1) De begreper som er definert i lov om elektronisk signatura (1) § 3 og forvaltningsloven (2) § 2 benyttes på samme måte i forskriften her.

(1) Lov 15. juni 2001 Nr. 81 om elektronisk signatur.

(2) Lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven).

Kapittel 2.- Alminnelige krav ved bruk av elektronisk kommunikasjon med forvaltningen

§ 3.– Bruk av elektronisk kommunikasjon ved henvendelser til et forvaltningsorgan

(1) Enhver som henvender seg til et forvaltningsorgan kan benytte elektronisk kommunikasjon, når det skjer i henhold til den form og fremgangsmåte og ved bruk av den elektroniske adressen, som forvaltningsorganet har anvist for den aktuelle type henvendelse.

a) Med form eller fremgangsmåte menes for eksempel bruk av spesielle skjema, bruk av en bestemt prosedyre eller lignende.

b) Med elektronisk adresse menes for eksempel en adresse til et nettsted, en e-postadresse, et nummer til en SMS-tjeneste eller lignende.

c) Med elektronisk kommunikasjon menes bruk av for eksempel Internett, eller liknende kommunikasjonssystem, og bruk av talestyrte eller andre automatiske telefontjenester, men ikke bruk av taletelefon eller annen muntlig kommunikasjon.

(2) Hvis det ikke er anvist noen egen elektronisk adresse, og det heller ikke er stilt noen særskilte krav til form eller fremgangsmåte, for den type henvendelse som er aktuell, kan den som vil henvende seg til forvaltningsorganet, bruke forvaltningsorganets generelle elektroniske adresse.

(3) Når det benyttes elektronisk kommunikasjon ved henvendelse til et forvaltningsorgan, skal henvendelsen ikke rettes direkte til en enkeltperson, med mindre forvaltningsorganet har lagt til rette for det, eller det er avtalt i det enkelte tilfelle.

(4) Forvaltningsorganet kan bestemme at henvendelser fra andre forvaltningsorganer kan sendes direkte til enkeltpersoner i forvaltningsorganet.

(5) Forvaltningsorganet bør legge til rette for at elektronisk kommunikasjon med forvaltningsorganet er brukervennlig og tilgjengelig for alle.

§ 4.– Krav til bruk av sikkerhetstjenester og -produkter mv. ved henvendelser til et forvaltningsorgan

(1) Enhver som henvender seg til et forvaltningsorgan ved bruk av elektronisk kommunikasjon i henhold til § 3, kan gjøre det uten bruk av sikkerhetstjenester eller -produkter, med mindre bruk av slike sikkerhetstjenester og -produkter er nødvendig for å oppfylle krav fastsatt i henhold til Nr. (2)-(3) nedenfor eller følger av § 5, eller av krav fastsatt i annen lov eller i medhold av lov.

a) Med sikkerhetstjenester og -produkter　menes løsninger for å oppnå bl.a.　bekreftelse av partenes identitet eller fullmakter (autentisering), at data ikke utilsiktet eller urettmessig endres (integritet), beskyttelse av informasjon mot innsyn fra uvedkommende (konfidensialitet), og at det er mulig å dokumentere henvendelser og aktiviteter og hvem som har sendt eller utført dem (ikke-benekting), og andre løsninger, i henhold til forvaltningsorganets sikkerhetsstrategi, jf. § 13. Slike løsninger kan for eksempel være basert på bruk av elektronisk signatur og kryptering.

b) Med elektronisk signatur　menes løsninger som definert i lov om elektronisk signatura (1) § 3. Med kryptering menes omforming av data slik at de ikke er rekonstruerbare for uvedkommende. Krypterte data skal kunne rekonstrueres ved dekryptering　.

c) Med krypteringsnøkkel og dekrypteringsnøkkel menes data som benyttes for henholdsvis kryptering og dekryptering

(2) Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter, eller stille krav om at bestemte sikkerhetstjenester og -produkter skal tas i bruk, dersom dette er av betydning for håndtering av henvendelsen.

(3) Forvaltningsorganet kan bestemme at krav som nevnt i Nr. (2) ovenfor skal gjelde generelt for nærmere angitte typer av henvendelser. Kravene skal være basert på forvaltningsorganets sikkerhetsstrategi, jf. § 13.

(4) Forvaltningsorganet skal gjøre tilgjengelig sikkerhetstjenester og -produkter som oppfyller de krav forvaltningsorganet har stilt i henhold til Nr. (2)-(3) ovenfor eller anvise hvilke løsninger som ellers kan benyttes. Det samme gjelder for sikkerhetstjenester og -produkter som er nødvendig for å oppfylle kravene i § 5.

(1) Lov 15. juni 2001 Nr. 81 om elektronisk signatur.

§ 5.– Formidling av taushetsbelagte opplysninger og personopplysninger til forvaltningen

(1) Når et forvaltningsorgan legger til rette for bruk av elektronisk kommunikasjon for mottak av opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt, eller som kan være underlagt krav til sikring etter reglene om behandling av personopplysninger eller tilsvarende regler, skal risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte.

(2) Forvaltningsorgan som legger til rette for å motta opplysninger som nevnt i Nr. (1), skal på hensiktsmessig måte informere om eventuelle risikoer ved elektronisk overføring av slike opplysninger og om hva som er rette elektroniske adresse.

(3) Forvaltningsorganet skal opplyse generelt om hvordan taushetsbelagte opplysninger og personopplysninger sikres under behandling i forvaltningsorganet.

(4) Ved kryptering av melding til forvaltningen skal forvaltningsorganets krypteringsnøkkel eller krypteringsnøkkel til en nærmere angitt enhet ved forvaltningsorganet benyttes. Hvis forvaltningsorganet benytter ekstern databehandler i henhold til personopplysningsloven § 15, kan databehandlerens krypteringsnøkkel benyttes hvis det godtgjøres, eller er alminnelig kjent, at databehandleren opptrer på vegne av forvaltningsorganet.

(5) Kryptering med en enkeltpersons krypteringsnøkkel kan bare benyttes dersom forvaltningsorganet har lagt spesielt til rette for det.

§ 6.– Bekreftelse på at en henvendelse er mottatt

(1) Et forvaltningsorgan som mottar henvendelser i elektronisk form skal gi bekreftelse til avsender om at en henvendelse er mottatt.

(2) Bekreftelse bør gis straks henvendelsen er mottatt. Den bør inneholde et referansenummer eller lignende og angi på hvilket tidspunkt henvendelsen ble mottatt.

(3) Forvaltningsorganet kan unnlate å sende bekreftelse, hvis henvendelsen er av en slik art at den ikke utløser saksbehandling, eller mottaket fremgår på annen betryggende måte, og ved bruk av automatiserte systemer der henvendelsen straks blir besvart.Forvaltningsorganet kan også inngå avtale med næringsdrivende og med andre forvaltningsorganer om ikke å sende egen bekreftelse etter denne bestemmelsen i forbindelse med rutinemessig eller periodisk rapportering.

§ 7.– Henvendelser som ikke tilfredsstiller aktuelle krav

(1) Henvender noen seg til urette myndighet eller benytter uriktig elektronisk adresse ved en henvendelse til et forvaltningsorgan, skal det forvaltningsorgan som mottar henvendelsen, gi avsender beskjed om feilen og om mulig vise vedkommende til rett organ og rett elektronisk adresse, jf.　forvaltningslovens § 11.

(2) Er en henvendelse avgitt i en annen form eller på en annen måte enn det som er angitt i eller i medhold av forskriften her, skal organet gi avsenderen beskjed om dette dersom feilen har betydning for behandling av saken eller det av andre grunner finnes nødvendig. Organet bør samtidig gi frist til å rette opp feilen og gi veiledning om hvordan dette kan gjøres.

(3) Forvaltningsorganet skal registrere tidspunkt for når det er sendt varsel etter Nr. (1) og (2) ovenfor, og til hvem varselet ble sendt.Dersom feilen er av en slik art at det ikke er mulig å identifisere avsender, og varsel ikke kan sendes, skal det registreres opplysning om dette.

§ 8.– Underretning om enkeltvedtak og enkelte andre meddelelser fra forvaltningsorgan

(1) Underretning om enkeltvedtak (1) kan skje ved bruk av elektronisk kommunikasjon dersom parten (2) uttrykkelig har godtatt dette og oppgitt den elektroniske adresse forvaltningsorganet skal benytte for å sende varsel etter Nr. (2) nedenfor.

(2) Forvaltningsorganet skal sende parten varsel om at enkeltvedtak er fattet, om hvor og hvordan vedkommende kan skaffe seg kunnskap om innholdet, samt en frist for når dette senest må skje.

(3) Innholdet i enkeltvedtaket skal gjøres tilgjengelig fra egnet informasjonssystem, jf. blant annet kravene i Nr. (2), (4) og (5).

(4) Forvaltningsorganet skal forebygge risiko for uberettiget innsyn i enkeltvedtak på en tilfredsstillende måte.

(5) Informasjonssystemet skal registrere tidspunktet for når parten har skaffet seg tilgang til enkeltvedtaket og data som bekrefter at vedkommende har rett til å gjøre seg kjent med vedtaket.

(6) Underretning om enkeltvedtak anses å ha kommet frem på det tidspunktet parten skaffet seg tilgang til vedtaket fra forvaltningsorganets informasjonssystem.

(7) Har parten ikke skaffet seg tilgang til enkeltvedtaket innen én uke fra det tidspunkt det ble sendt varsel om det, eller vedtaket ble gjort tilgjengelig, skal underretning skje i henhold til de reglene som gjelder når det ikke er gitt samtykke til elektronisk kommunikasjon, jf. forvaltningslovens § 27.

(8) Hvis det etter vedtakets art ikke er tid til å gjennomføre ny underretning som beskrevet i Nr. (7), bør forvaltningsorganet om mulig sende nytt varsel etter Nr. (2). Når det sendes nytt varsel etter denne bestemmelse, begynner en eventuell klagefrist (3) å løpe fra den dag det nye varselet ble sendt.

(9) Hvis vedtaket er av en slik art at det kan være aktuelt å benytte unntaksregelen i Nr. (8), bør forvaltningsorganet etablere ordninger for å få bekreftet den elektroniske adressen parten oppgir, før underretning skal finne sted. Forvaltningsorganet bør også vurdere å registrere en alternativ elektronisk adresse som kan benyttes i forbindelse med nytt varsel etter Nr. (8).

(10) Det som er sagt om underretning om enkeltvedtak i Nr. (1)-(5) ovenfor, gjelder tilsvarende ved forhåndsvarsel etter forvaltningsloven § 16 og for andre meldinger som har betydning for mottakerens rettsstilling, for behandlingen av saken eller for meldinger som det av andre grunner er av særlig betydning å sikre at vedkommende mottar.

(11) I forbindelse med underretning om enkeltvedtaket skal det informeres om forvaltningsorganet har lagt til rette for mottak av klage i elektronisk form og hva som er rette elektroniske adresse. Det skal også informeres om at parten bør kontrollere at han mottar bekreftelse når klage leveres i elektronisk form, jf. § 9 (2).

(1) Se forvaltningsloven § 2 første ledd, bokstav b).

(2) Se forvaltningsloven § 2 første ledd, bokstav c).

(3) Se forvaltningsloven § 29.

§ 9.– Klage

(1) Klage over enkeltvedtak kan fremsettes ved bruk av elektronisk kommunikasjon dersom det forvaltningsorganet som skal motta klagen har lagt til rette for det, jf. § 3 og § 4.

(2) Hvis klager ikke mottar bekreftelse etter § 6, skal klagen sendes på nytt.

§ 10.– Innsyn i opplysninger og dokumenter ved bruk av elektronisk kommunikasjon

(1) Krav om innsyn i opplysninger eller dokumenter i en sak kan sendes forvaltningsorganet ved bruk av elektronisk kommunikasjon, jf.§ 3 og § 4.

(2) Fører forvaltningsorganet elektronisk arkiv, kan det gis tilgang til opplysninger og dokumenter i elektronisk form dersom den som krever innsyn samtykker eller ber om dette.

(3) Innsyn etter § 10 (2) gis bare når det kan oppnås:

a) tilfredsstillende bekreftelse på at vedkommende har krav på innsyn, og

b) at risiko for uberettiget innsyn i opplysningene eller dokumentene er forebygget på en tilfredsstillende måte, eller når innsyn kan kreves etter offentleglova eller annen lovbestemt allmenn innsynsrett.

(4) Hvis den som krever innsyn i dokumenter som er signert med avansert elektronisk signatura (1) ber om det, skal relevante sertifikater, og øvrige opplysninger som er nødvendige for å få bekreftet signaturen, utleveres sammen med dokumentet. Alternativt kan forvaltningsorganet legge til rette for at verifisering kan skje i forbindelse med at det gis tilgang til dokumentet.

(5) Forvaltningsorganet skal også legge til rette for at den enkelte kan få tilgang til dokumentene i en form som gjør det mulig å dokumentere innholdet overfor tredjepart. Dette kan om nødvendig skje i form av en papirutskrift av dokumentet som er bekreftet av forvaltningsorganet.

Endret ved forskrift 17 okt 2008 Nr. 1119 (i kraft 1 jan 2009).

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 2.

§ 11.– Høring

(1) Høringsbrev til institusjoner og organer som har egen elektronisk adresse kan sendes i elektronisk form.　I stedet for utsending av alle sakens dokumenter kan det sendes melding om hvor høringsdokumentene er gjort tilgjengelige.

(2) Uttalelser til høringen kan avgis i elektronisk form, jf. § 3 og § 4.

§ 12.– Forvaltningsorganets adgang til å nekte bruk av elektronisk kommunikasjon

(1) Hvis det er grunn til å anta at noen misbruker adgangen til elektronisk kommunikasjon med forvaltningsorganet, kan vedkommende helt eller delvis nektes videre bruk av slik kommunikasjon med forvaltningsorganet.

(2) Før adgangen til å nekte bruk av elektronisk kommunikasjon med forvaltningsorganet iverksettes, skal forvaltningsorganet sende vedkommende varsel om at det vurderer å nekte videre bruk av slik kommunikasjon og begrunnelsen for dette. Vedkommende skal oppfordres til å uttale seg om grunnlaget for avgjørelsen. Forvaltningsorganet skal sette en frist for slik uttalelse. Hvis det finnes nødvendig av sikkerhetsmessige årsaker kan forvaltningsorganet iverksette avgjørelsen straks.

(3) Den som blir nektet bruk av elektronisk kommunikasjon etter Nr. (1) kan påklage avgjørelsen. Reglene i forvaltningsloven (1) kap. VI gjelder tilsvarende så langt de passer.

(1) Lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven).

Kapittel 3.- Forvaltningsorganets strategi for informasjonssikkerhet

§ 13.– Sikkerhetsmål og sikkerhetsstrategi

(1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte.Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks.

(2) Sikkerhetsstrategien skal være utarbeidet i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet.

(3) I den utstrekning det er relevant skal sikkerhetsstrategien også adressere, og om nødvendig stille krav til, bl.a.:

a) prosedyrer for anskaffelse, bruk, oppbevaring og sikring av signaturfremstillingsdata, (1) passord/PIN-koder og dekrypteringsnøkkel knyttet til personlige sertifikat (2) eller sertifikat for ansatt i forvaltningen, jf. § 15, § 17 og § 20;

b) prosedyrer for anskaffelse, bruk, oppbevaring og sikring av signaturfremstillingsdata, passord/PIN-koder og dekrypteringsnøkkel knyttet til virksomhetssertifikat, jf. § 14 og § 21;

c) prosedyrer for å etablere og opprettholde et sikkert brukermiljø der det benyttes elektroniske signaturer, (3) kryptering eller andre sikkerhetstjenester, jf. § 18;

d) prosedyrer for varsling og tilbaketrekking (4) av sertifikat og passord/PIN-koder ved mistanke om tap eller misbruk, jf. § 23;

e) prosedyrer for kontroll av sertifikater og tilbaketrekkingslister ved mottak av melding utstyrt med elektronisk signatur, herunder krav til hvor oppdatert informasjon om sertifikaters status bør være for de ulike formål sertifikatene benyttes for, jf. § 25;

f) prosedyrer for å nekte bruk av sertifikat mv. ved misbruk av elektronisk kommunikasjon med forvaltningen, jf. § 12;

g) prosedyrer for behandling av personopplysninger og taushetsbelagt informasjon, jf. § 5 og § 24, se også personopplysningsloven (5) § 13 og personopplysningsforskriften (6) kap. 2;

h) prosedyrer for sikkerhetskopiering, oppbevaring og deponering av dekrypteringsnøkkel for opplysninger som angår forvaltningsorganet, jf. § 22.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 5.

(2) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 9.

(3) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3.

(4) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 12.

(5) Lov 14. april 2000 Nr. 31 om behandling av personopplysninger (personopplysningsloven).

(6) Forskrift 15. desember 2000 Nr. 1265 om behandling av personopplysninger (personopplysningsforskriften).

Kapittel 4.- Anskaffelse og bruk av sikkerhetstjenester mv.

§ 14.– Sertifikat for forvaltningsorgan (virksomhetssertifikat)

(1) Forvaltningsorgan som benytter elektronisk signatura (1) kan benytte sertifikat som identifiserer forvaltningsorganet (virksomhetssertifikat).

(2) Hvis det skal benyttes sertifikat ved underretning om enkeltvedtak og varsling etter § 8 og ved høringer etter § 11, bør det benyttes virksomhetssertifikat.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 1.

§ 15.– Informasjon om bruk av sikkerhetstjenester mv.

(1) Et forvaltningsorgan skal gi sine ansatte anvisning på hvilke sikkerhetstjenester og -produkter de skal benytte under tjeneste for organet, og hvorledes de skal gå frem for å anskaffe nødvendig utstyr og data, herunder signaturfremstillingsdata (1) og dekrypteringsnøkkel med tilhørende sertifikat (2) samt passord og PIN-koder mv.

(2) Ved anskaffelse av utstyr og data som nevnt i Nr. (1), plikter forvaltningsorganet å sørge for at den ansatte får informasjon om:

a) vedkommendes ansvar og plikter i forbindelse med oppbevaring og bruk av signaturfremstillingsdata og dekrypteringsnøkkel med tilhørende sertifikat samt passord og PIN-koder mv., jf. § 20 og § 23,

b) restriksjoner på bruk av data som nevnt i bokstav a),

c) egen og andres mulighet for å trekke tilbake eller suspendere sertifikat,

d) sertifikatets ikrafttredelses- og utløpsdato og virkningen av at sertifikatet løper ut eller blir trukket tilbake,

e) hvilke opplysninger om den enkelte som vil fremgå av sertifikatet og sertifikatutsteders (3) behandling av personopplysninger, jf.personopplysningsloven  (4) § 19, og

f) forvaltningsorganets sikkerhetsstrategi for øvrig, jf. § 13.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 5.

(2) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 9.

(3) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 10.

(4) Lov 14. april 2000 Nr. 31 om behandling av personopplysninger (personopplysningsloven).

§ 16.– Innhenting av samtykke ved bruk av elektronisk signatur

Når det benyttes elektroniske signaturer, skal forvaltningsorganet ha innhentet samtykke fra de ansatte i henhold til lov om elektronisk signatura (1) § 7 og § 14 annet ledd bokstav b om utstedelse og utlevering av sertifikat.

(1) Lov 15. juni 2001 Nr. 81 om elektronisk signatur om elektronisk signatur.

§ 17.– Restriksjoner på bruk av sertifikat mv.

(1) Signaturfremstillingsdata, (1) sertifikat (2) eller passord/PIN-koder som er ment for bruk i tjeneste for forvaltningen, skal ikke benyttes for andre formål.

(2) Personlige sertifikat skal ikke benyttes i tjeneste for forvaltningen med mindre det er utstedt eller godkjent for slik bruk.

(3) Et forvaltningsorgan kan bestemme at et sertifikat som er utstedt spesielt for kommunikasjon med forvaltningen, eller med et bestemt forvaltningsorgan, ikke skal benyttes for andre formål.　Slike begrensninger må fremgå av sertifikatet, og brukeren skal opplyses om begrensningene.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 5.

(2) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 9.

§ 18.– Forvaltningsansattes bruk av forvaltningsorganets informasjonssystem

Forvaltningsansatte skal følge instruksene arbeidsgiver har fastsatt om bruk og sikring av virksomhetens informasjonssystemer, herunder om kontroll med materiale som skal lastes ned eller installeres på den ansattes arbeidsstasjon, og forvaltningsorganets sikkerhetsstrategi for øvrig, jf. § 13.

§ 19.– Informasjon

(1) Forvaltningsorganet skal sørge for at enhver, i den utstrekning det er nødvendig, får tilsvarende informasjon som nevnt i § 15 og § 17 (3) i forbindelse med anskaffelse av sertifikat eller, hvis det ikke er mulig, ved første gangs bruk av slike tjenester ved kommunikasjon med et forvaltningsorgan. Forvaltningsorganet skal på samme måte informere publikum om at håndtering av signaturfremstillingsdata, (1) passord/PIN-koder og dekrypteringsnøkkel skal skje i henhold til § 20 og § 23.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 5.

Kapittel 5.- Beskyttelse av signaturfremstillingsdata og dekrypteringsnøkkel mv.

§ 20.– Krav til oppbevaring og bruk av signaturfremstillingsdata, passord/PIN-koder og dekrypteringsnøkkel

(1) Innehaver av signaturfremstillingsdata (1) skal oppbevare og benytte disse på en slik måte at de ikke gjøres tilgjengelige for andre.

(2) Innehaver skal aldri forlate arbeidsstasjon og lignende uten å sikre at signaturfremstillingsdata ikke er tilgjengelige for andre.Innehaver skal sikre:

a) at signaturfremstillingsdata fjernes fra arbeidsstasjonen dersom dataene er lagret i smartkort eller i en annen enhet som lett kan fjernes, og

b) at den aktuelle arbeidsoperasjonen er avsluttet og eventuelle lagrede eller behandlede signaturfremstillingsdata er deaktivert, eller

c) at signaturfremstillingsdata på annen måte er sikret mot misbruk.

(3) Innehaver av signaturfremstillingsdata skal ikke overlate disse til andre eller gi andre tilgang til dem. Skal noen handle på vegne av en annen skal dette skje med fullmektigens egne signaturfremstillingsdata.

(4) Bestemmelsene om oppbevaring og bruk av signaturfremstillingsdata gjelder tilsvarende for bruk av passord/PIN-koder ol og dekrypteringsnøkkel.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 5.

§ 21.– Sikring av signaturfremstillingsdata og dekrypteringsnøkkel ved bruk av virksomhetssertifikat

(1) Ved bruk av virksomhetssertifikat skal forvaltningsorganet sikre at ikke uvedkommende får tilgang til eller kan benytte tilhørende signaturfremstillingsdata. (1) Organet skal også sikre tilfredsstillende kontroll med og registrering av personell og aktiviteter som benytter slike signaturfremstillingsdata.　Sikringstiltakene skal skje i henhold til organets sikkerhetsstrategi.

(2) Når flere personer hver for seg skal disponere virksomhetssertifikat, bør hver enkelt disponere eget virksomhetssertifikat med tilhørende signaturfremstillingsdata.

(3) Ved bruk av virksomhetssertifikat skal det være lagt opp rutiner som sikrer at systemet raskt kan settes i drift med nye signaturfremstillingsdata og nytt sertifikat dersom det sertifikatet som er i bruk, blir trukket tilbake eller signaturfremstillingsdata går tapt.

(4) Det skal vurderes om forvaltningsorganet bør være utstyrt med signaturfremstillingsdata og virksomhetssertifikat fra mer enn én sertifikatutsteder. (2)

(5) Signaturfremstillingsdata og dekrypteringsnøkkel skal være sikret mot misbruk i henhold til forvaltningsorganets sikkerhetsstrategi, jf.　§ 13.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 5.

(2) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 10.

§ 22.– Sikkerhetskopiering av dekrypteringsnøkkel mv.

(1) Forvaltningsorganet skal sikre at opplysninger og annet materiale som oppbevares av forvaltningsorganet i kryptert form, ikke blir utilgjengelige som følge av at dekrypteringsnøkler går tapt. Forvaltningsorganet plikter å oppbevare kopi av dekrypteringsnøkler for slikt materiale.

(2) Prosedyrer for sikkerhetskopiering, oppbevaring, deponering og utlevering av dekrypteringsnøkkel skal følge anerkjente prinsipper og skal fremgå av forvaltningsorganets sikkerhetsstrategi, jf. § 13.

§ 23.– Varslingsplikt ved tap eller mistanke om misbruk av signaturfremstillingsdata, passord/PIN-koder og dekrypteringsnøkkel

(1) Innehaver av signaturfremstillingsdata (1) skal straks varsle sertifikatutsteder (2) eller den som ellers er utpekt til å motta varsel, dersom det oppstår mistanke om at signaturfremstillingsdata er tapt, kommet på avveie eller på annen måte blir eller kan bli misbrukt. Det samme gjelder for bruk av passord/PIN-koder ol og dekrypteringsnøkkel.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 5.

(2) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 10.

Kapittel 6.- Forvaltningsorganets behandling av meldinger som er kryptert eller signert

§ 24.– Mottak av kryptert melding

(1) Melding som mottas av forvaltningsorganet i kryptert form, skal straks dekrypteres.

(2) Hvis meldingen ikke lar seg dekryptere ved mottak, skal det straks sendes melding til avsender med beskjed om at forvaltningsorganet ikke får tilgang til meldingens innhold. § 7 gjelder tilsvarende.

(3) Forvaltningsorganet skal sikre opplysningene under den videre behandling i organet i henhold til de regler som gjelder for de aktuelle opplysningene.

§ 25.– Krav til kontroll av sertifikater og tilbaketrekkingslister

(1) Ved mottak av melding som er underlagt krav om bruk av avansert elektronisk signatur, (1) skal forvaltningsorganet kontrollere, i henhold til kravene fastsatt i organets sikkerhetsstrategi, jf. § 13:

a) at signaturen lar seg verifisere, herunder at meldingen ikke er endret,

b) at tilknyttet sertifikat (2) fortsatt er gyldig og ikke suspendert eller trukket tilbake, eller det dokumenteres at sertifikatet var gyldig på signeringstidspunktet,

c) at sertifikatet er egnet for den aktuelle anvendelse, herunder sertifikatets sikkerhetsnivå og eventuelle begrensninger i sertifikatets anvendelsesområde,

d) at sertifikatet er utstedt av en sertifikatutsteder som anbefales eller er anerkjent av koordineringsorganet, jf. § 27, eller som forvaltningsorganet kan akseptere i henhold til sin sikkerhetsstrategi.

(2) Hvis en melding som er signert med avansert elektronisk signatur ikke tilfredsstiller kontrollene i første ledd, og dette har betydning for behandling av meldingen i forvaltningsorganet, skal det sendes melding til avsender i henhold til reglene i § 7.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 2.

(2) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 9.

§ 26.– Arkivering av avansert elektronisk signatur mv.

(1) Melding som er signert med en avansert elektronisk signatur, (1) og som blir arkivert, skal arkiveres sammen med de opplysninger som er nødvendige for å bekrefte signaturen.

(2) For meldinger som skal konverteres til annet format, skal arkivet ved mottak verifisere signaturen, og deretter på hensiktsmessig måte bekrefte tilknytningen mellom meldingen, meldingens signatur og relevante opplysninger fra certifícate (2) sammen med opplysning om tidspunktet for bekreftelsen. Arkivet skal sikre at ikke meldingene, eller dataene som bekrefter de nevnte forholdene, utilsiktet eller urettmessig endres i oppbevaringsperioden.　Tilsvarende gjelder meldinger der tilhørende sertifikaters gyldighetsperiode er kortere enn den tiden det kan være behov for å bekrefte meldingens innhold, med mindre det benyttes tidsstempel eller annen tjeneste som sikrer at signaturen ikke endres og at den også i ettertid kan verifiseres. Det enkelte forvaltningsorgan kan bestemme at denne fremgangsmåten skal benyttes også for andre meldinger.

(3) Dersom arkivet ikke lykkes i å verifisere signaturen, skal opplysning om dette lagres, om mulig sammen med opplysninger om årsaken til at verifisering ikke lyktes.

(4) Melding eller resultat av en automatisert databehandling som er bekreftet på annen måte enn ved avansert elektronisk signatur, bør lagres sammen med opplysninger om at korrekt bekreftelse har funnet sted, og om mulig hvilken teknikk som er blitt benyttet.

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 2.

(2) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 9

Kapittel 7.- Diverse bestemmelser

§ 27.– Koordinerende organ

(1) Kongen kan utpeke et organ som har koordineringsansvar for forvaltningens bruk av sikkerhetstjenester og -produkter ved elektronisk kommunikasjon med og i forvaltningen.

(2) Koordineringsorganet skal utarbeide krav til sikkerhetstjenester og -produkter som anbefales brukt ved elektronisk kommunikasjon med og i forvaltningen. Koordineringsorganet skal også vurdere om tilgjengelige sikkerhetstjenester eller -produkter tilfredsstiller kravene.

(3) Koordineringsorganet kan bestemme at det under tjeneste for forvaltningsorganer kun skal benyttes certifícate (1) fra sertifikatutstedere (2) som har inngått rammeavtale om levering av slike tjenester til forvaltningen eller som er anerkjent av koordineringsorganet.

(4) Koordineringsorganet kan bestemme at det ved elektronisk kommunikasjon med og i forvaltningen bare skal benyttes sertifikater som er oppført på liste publisert i henhold til forskrift 21. november 2005 Nr. 1296 om frivillige selvdeklarasjonsordninger for sertifikatutstedere § 11 første ledd.

Endret ved forskrift 2 des 2005 Nr. 1398 (i kraft 15 des 2005).

(1) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 9.

(2) Se lov 15. juni 2001 Nr. 81 om elektronisk signatur § 3 Nr. 10.

§ 28.–Ikrafttredelse

(1) Forskriften trer i kraft 1. juli 2004. 

Resolución nº 0345-2005/CONSUCODE/PRE del Consejo Superior de Contrataciones y Adquisiciones del Estado, de 21 de septiembre de 2005.

VISTO:

El Memorándum nº 312 -2005/GTN de fecha 14 de septiembre de 2005, mediante el cual la Gerencia Técnico Normativa solicita la precisión de la Directiva nº 001-2004-CONSUCODE/PRE, aprobada por Resolución nº 017-2004-CONSUCODE/PRE, y modificada mediante Resolución nº 059-2004/CONSUCODE/PRE; y,

CONSIDERANDO:

Que, de conformidad con lo establecido por el inciso a) del artículo 59° del Texto Único Ordenado de la Ley de Contrataciones y Adquisiciones del Estado, aprobado por Decreto Supremo nº 083-2004-PCM, y la Segunda Disposición Final de su Reglamento, aprobado por Decreto Supremo nº 084-2004-PCM, el Consejo Superior de Contrataciones y Adquisiciones del Estado – CONSUCODE tiene, entre otras funciones, la de velar por el cumplimiento de la normativa en materia de contratación pública, pudiendo dictar para tal efecto las disposiciones complementarias pertinentes;

Que, mediante Resolución nº 017-2004-CONSUCODE/PRE de fecha 16 de enero de 2004, se aprobó la Directiva nº 001-2004-CONSUCODE/PRE, que regula el Reporte de Información sobre procesos de selección y contratos al Sistema Electrónico de Adquisiciones y Contrataciones del Estado – SEACE, la misma que fue modificada por Resolución nº 059-2004/CONSUCODE/PRE, encontrándose vigente desde el 1 de julio de 2004;

Que, a fin de precisar el contenido del reporte de los procesos de selección y sus correspondientes contratos, a ser reportada al CONSUCODE por las Entidades que se encuentran bajo el ámbito de la normativa sobre contrataciones y adquisiciones del Estado, resulta pertinente incluir en la Directiva nº 001-2004-CONSUCODE/PRE, el detalle de la información que dichas entidades están obligadas a reportar en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado que administra CONSUCODE;

Que, asimismo, con la finalidad de precisar y uniformizar los criterios para el reporte y/o comunicación de información sobre los procesos de selección y sus contratos que las Entidades están obligadas a remitir a este Consejo Superior, es necesario dejar sin efecto en lo que se oponga a la Directiva antes citada, lo normado por las Directivas nº 011-2001-CONSUCODE/PRE y nº 014-2001-CONSUCODE/PRE, aprobadas por Resolución nº 118-2001-CONSUCODE/PRE y nº 119-2001-CONSUCODE/PRE, respectivamente, y la Directiva nº 005-2003-CONSUCODE/PRE, aprobada por Resolución nº 380-2003-CONSUCODE/PRE y su modificación, aprobada por Resolución nº 019-2004-CONSUCODE/PRE.

Que, la información requerida por la Directiva nº 001-2004-CONSUCODE/PRE y su modificatoria responde al trabajo conjunto de armonización y uniformización de la información a ser reportada obligatoriamente por las Entidades públicas, realizado por este Consejo Superior en coordinación con la Contraloría General de la República, en el marco del Convenio de Cooperación Interinstitucional suscrito por ambas instituciones.

De conformidad con lo establecido en el inciso a) del artículo 59° del Texto Único Ordenado de la Ley de Contrataciones y Adquisiciones del Estado, la Segunda Disposición Final de su Reglamento y el numeral 2) del artículo 4º y numerales 3) y 22) del artículo 7° del Reglamento de Organización y Funciones del CONSUCODE, aprobado por Decreto Supremo nº 021-2001-PCM, así como con las visaciones de la Gerencias de Sistemas, Técnico Normativa y de Asesoría Jurídica;

SE RESUELVE:

Artículo Primero.- Modificar el numeral 1 de las Disposiciones Específicas de la Directiva nº 001-2004-CONSUCODE/PRE, en el extremo que regula la Información a Reportar, el que quedará redactado de la siguiente manera:

“1. De la obligatoriedad de remitir la información

Todas las Entidades sujetas a la Ley de Contrataciones y Adquisiciones del Estado están en la obligación de reportar la información relacionada con sus adquisiciones y contrataciones en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado, bajo sanción de nulidad.

Las Entidades sólo podrán convocar y realizar procesos de selección a través de licitaciones públicas, concursos públicos, adjudicaciones directas públicas y selectivas, y adjudicaciones de menor cuantía programables, que hayan sido previamente incluidos y aprobados en el Plan Anual de Adquisiciones y Contrataciones del Estado y registrados en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado.

En tal sentido, no se podrá suscribir contrato alguno si no se ha realizado previamente el proceso de selección correspondiente y éste haya sido reportado en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado, administrado por CONSUCODE”

Artículo Segundo.- Modificar el numeral 2 de las Disposiciones Específicas de la Directiva nº 001-2004-CONSUCODE/PRE, en el extremo que regula la Información a Reportar, el que quedará redactado de la siguiente manera:

“2. De la información a reportar

La información a ser reportada de forma obligatoria al Sistema, para su difusión a nivel nacional, será la contenida en los siguientes numerales:

FASE DE PROGRAMACION

1) Datos de la Entidad

2) Presupuesto Institucional de Apertura – PIA

3) Plan Anual de Adquisiciones y Contrataciones – PAAC

4) Crear proceso

5) Datos sobre el Comité Especial

6) Aprobación de Bases

FASE DE SELECCIÓN

7) Convocatorias públicas: LP, CP y ADP

8) Invitaciones para la Adjudicación Directa Selectiva

9) Invitaciones para Menor Cuantía

10) Procesos de selección con Bases observadas y elevadas a CONSUCODE

11) Prórroga o postergación de etapas del Proceso de selección

12) Registro de participantes y de propuestas

13) Otorgamiento y consentimiento de la buena pro

14) Fe de erratas

15) Declaración de desierto

16) Resolución de nulidad de oficio

17) Resolución de cancelación

18) Registro de adquisiciones exoneradas

19) Procesos de selección con recurso de Apelación y/o Revisión

FASE DE EJECUCION CONTRACTUAL

20) Crear contrato

21) Garantías

22) Adelantos

23) Adicionales o reducciones

24) Prórrogas o Contrato complementario

25) Liquidación o conformidad del contrato

26) Intervención económica

27) Resolución del contrato

28) Sanciones

INFORMACION ADICIONAL

29) Régimen especial de compras Programas Sociales (PRONAA – Gob. Locales)

30) Procesos de selección en el marco de Convenios Internacionales”

Artículo Tercero.- Modificar el numeral 3 de las Disposiciones Específicas de la Directiva nº 001-2004-CONSUCODE/PRE, en el extremo que regula el Registro de las Convocatorias a procesos de selección, el que quedará redactado de la siguiente manera:

“El Registro contendrá obligatoriamente todas las adquisiciones y contrataciones sin excepción, incluyendo las que se ejecuten dentro del marco de convenios internacionales, las ejecutadas en aplicación al régimen especial de los Programas Sociales administrados por el PRONAA y los Gobiernos Locales y aquellas que tengan financiamiento externo y se encuentren comprendidas en el artículo 68° de la Ley General del Sistema Nacional de Presupuesto, Ley nº 28411.”

Artículo Cuarto.- Incorporar el numeral 5 de las Disposiciones Específicas de la Directiva nº 001-2004-CONSUCODE/PRE, cuyo texto es el siguiente:

“En el caso de la información estadística a que se refiere el artículo 46º del Texto Único Ordenado de la Ley de Contrataciones y Adquisiciones del Estado, se considerará que las Entidades han cumplido con remitir dicha información siempre y cuando hayan reportado la totalidad de sus procesos y sus respectivos contratos en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado – SEACE.”

Artículo Quinto.- La obligatoriedad de reportar la información correspondiente a los Contratos y su ejecución, corresponde a aquéllos que se suscriban a partir de la entrada en vigencia de la presente Resolución.

Artículo Sexto.- Dejar sin efecto en lo que se oponga a lo normado por la Directiva nº 001-2004-CONSUCODE/PRE, lo dispuesto por las Directivas nº 011-2001-CONSUCODE/PRE y 014-2001-CONSUCODE/PRE, aprobadas por Resolución nº 118-2001-CONSUCODE/PRE y nº 119-2001-CONSUCODE/PRE, respectivamente; así como la Directiva nº 005-2003-CONSUCODE/PRE, aprobada por Resolución nº 380-2003-CONSUCODE/PRE y su modificación, aprobada por Resolución nº 019-2004-CONSUCODE/PRE.

Regístrese, Comuníquese y Publíquese,

RICARDO SALAZAR CHAVEZ, PRESIDENTE

Eduskunnan päätöksen mukaisesti säädetään:

1 luku.- Yleiset säännökset

1 § Lain tarkoitus

Tämän lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

2 §  Soveltamisala

Henkilötietoja käsiteltäessä on noudatettava, mitä tässä laissa säädetään, jollei muualla laissa toisin säädetä.

Tätä lakia sovelletaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun henkilötietojen käsittelyyn sovelletaan tätä lakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.

Tämä laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa.

4 momentti on kumottu L:lla 3.12.2010/1049.

Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten koskevat soveltuvin osin ainoastaan 1–4 ja 32 §, 39 §:n 3 momentti, 40 §:n 1 ja 3 momentti, 42 §, 44 §:n 2 kohta, 45–47 §, 48 §:n 2 momentti sekä 50 ja 51 §, jollei 17 §:stä muuta johdu.

3 § Määritelmät

Tässä laissa tarkoitetaan:

1)　henkilötiedolla kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi;

2)　henkilötietojen käsittelyllä henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä;

3)　henkilörekisterillä käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta;

4)　rekisterinpitäjällä yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty;

5)　rekisteröidyllä henkilöä, jota henkilötieto koskee;

6)　sivullisella muuta henkilöä, yhteisöä, laitosta tai säätiötä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää;

7)　suostumuksella kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.　(11.5.2007/528)

8 kohta on kumottu L:lla 11.5.2007/528.

9 kohta on kumottu L:lla 11.5.2007/528.

4 § Suomen lain soveltaminen

Tätä lakia sovelletaan sellaiseen henkilötietojen käsittelyyn, jossa rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä.

Tätä lakia sovelletaan myös silloin, kun rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin nimettävä Suomessa oleva edustaja.

2 luku.- Henkilötietojen käsittelyä koskevat yleiset periaatteet

5 § Huolellisuusvelvoite

Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

6 § Henkilötietojen käsittelyn suunnittelu

Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

7 § Käyttötarkoitussidonnaisuus

Henkilötietoja saa käyttää tai muutoin käsitellä vain tavalla, joka ei ole yhteensopimaton 6 §:ssä tarkoitettujen käsittelyn tarkoitusten kanssa. Myöhempää henkilötietojen käsittelyä historiallista tutkimusta taikka tieteellistä tai tilastotarkoitusta varten ei pidetä yhteensopimattomana alkuperäisten käsittelyn tarkoitusten kanssa.

8 § Käsittelyn yleiset edellytykset

Henkilötietoja saa käsitellä ainoastaan:

1) rekisteröidyn yksiselitteisesti antamalla suostumuksella;

2) rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

3) jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;

4) jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta;

5) jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus);

6) jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä;

7) jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten;

8) jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi; tai

9) jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Henkilötietojen luovuttaminen voi tapahtua 1 momentin 5 kohdan nojalla vain, jos henkilötiedon luovuttaminen kuuluu tavanomaisena osana kysymyksessä olevan toiminnan harjoittamiseen edellyttäen, että tarkoitus, johon tiedot luovutetaan, ei ole yhteensopimaton henkilötietojen käsittelyn tarkoituksen kanssa ja että rekisteröidyn voidaan olettaa tietävän henkilötietojen tällaisesta luovuttamisesta.

Arkaluonteisten henkilötietojen ja henkilötunnuksen käsittelystä säädetään 3 luvussa. Henkilötietojen käsittelystä erityisiä tarkoituksia varten säädetään 4 luvussa.

Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään.

9 § Tietojen laatua koskevat periaatteet

Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus).

Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

10 § Rekisteriseloste

Rekisterinpitäjän on laadittava henkilörekisteristä rekisteriseloste, josta ilmenee:

1) rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot;

2) henkilötietojen käsittelyn tarkoitus;

3) kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä;

4) mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle; sekä

5) kuvaus rekisterin suojauksen periaatteista.

Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla. Tästä velvollisuudesta voidaan poiketa, jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi.

3 luku.- Arkaluonteiset tiedot ja henkilötunnus

11 § Arkaluonteisten tietojen käsittelykielto

Arkaluonteisten henkilötietojen käsittely on kielletty. Arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan:

1) rotua tai etnistä alkuperää;

2) henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista;

3) rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta;

4) henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia;

5) henkilön seksuaalista suuntautumista tai käyttäytymistä; taikka

6) henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.

12 § Poikkeukset arkaluonteisten tietojen käsittelykiellosta

Mitä 11 §:ssä säädetään, ei estä:

1) tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa;

2) sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi;

3) tietojen käsittelyä, joka on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeän edun suojaamiseksi, jos rekisteröity on estynyt antamasta suostumustaan;

4) tietojen käsittelyä, joka on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi;

5) tietojen käsittelyä, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä;

6) tietojen käsittelyä historiallista tai tieteellistä tutkimusta taikka tilastointia varten;

7) uskonnollista, poliittista tai yhteiskunnallista vakaumusta koskevien tietojen käsittelyä tällaista vakaumusta edustavien yhdistysten ja muiden yhteisöjen toiminnassa, jos tiedot koskevat näiden yhdistysten tai yhteisöjen jäseniä taikka henkilöitä, joilla on niihin säännölliset, yhdistysten ja yhteisöjen tarkoituksiin liittyvät yhteydet, eikä tietoja luovuteta sivullisille ilman rekisteröidyn suostumusta;

8) ammattiliittoon kuulumista koskevien tietojen käsittelyä ammattiyhdistysten ja niiden muodostaman liiton toiminnassa, jos tiedot koskevat näiden järjestöjen jäseniä taikka henkilöitä, joilla on järjestöihin säännölliset, järjestöjen tarkoituksiin liittyvät yhteydet, eikä tietoja luovuteta sivullisille ilman rekisteröidyn suostumusta;

9) ammattiliittoon kuulumista koskevan tiedon käsittelyä, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla;

10) terveydenhuollon toimintayksikköä tai terveydenhuollon ammattihenkilöä käsittelemästä näiden tässä toiminnassa saamia tietoja rekisteröidyn terveydentilasta, sairaudesta tai vammaisuudesta tai häneen kohdistetuista hoitotoimenpiteistä taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja;

11) vakuutuslaitosta käsittelemästä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista taikka sellaisia tietoja vakuutetun, korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, rangaistuksesta tai muusta rikoksen seuraamuksesta, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi;

12) sosiaalihuollon viranomaista tai muuta sosiaalihuollon etuuksia myöntävää viranomaista, laitosta tai yksityisten sosiaalipalvelujen tuottajaa käsittelemästä kyseisen viranomaisen, laitoksen tai palvelujen tuottajan toiminnassaan saamia tietoja rekisteröidyn sosiaalihuollon tarpeesta tai hänen saamistaan sosiaalihuollon palveluista, tukitoimista tai hänelle myönnetyistä muista sosiaalihuollon etuuksista taikka muita rekisteröidyn huollon kannalta välttämättömiä tietoja; tai

13) tietojen käsittelyä, johon tietosuojalautakunta on antanut 43 §:n 2 momentissa tarkoitetun luvan.

Arkaluonteiset tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa mainittua perustetta. Perustetta ja käsittelyn tarvetta on arvioitava vähintään viiden vuoden välein, jollei laista tai 1 momentin 13 kohdassa tarkoitetusta tietosuojalautakunnan luvasta muuta johdu.

13 § Henkilötunnuksen käsittely

Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:

1) laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai

3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa.　(30.4.2010/294)

Sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä.

Rekisterinpitäjän on huolehdittava siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

4 luku.- Henkilötietojen käsittely erityisiä tarkoituksia varten

14 § Tutkimus

Historiallista tai tieteellistä tutkimusta varten saa henkilötietoja käsitellä muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla, jos:

1) tutkimusta ei voi suorittaa ilman henkilön yksilöintiä koskevia tietoja ja jos rekisteröityjen suostumusta ei tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi ole mahdollista hankkia;

2) henkilörekisterin käyttö perustuu asianmukaiseen tutkimussuunnitelmaan ja tutkimuksella on vastuullinen johtaja tai siitä vastaava ryhmä;

3) henkilörekisteriä käytetään ja siitä luovutetaan henkilötietoja vain historiallista tai tieteellistä tutkimusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille; sekä

4) henkilörekisteri hävitetään tai siirretään arkistoitavaksi tai sen tiedot muutetaan sellaiseen muotoon, ettei tiedon kohde ole niistä tunnistettavissa, kun henkilötiedot eivät enää ole tarpeen tutkimuksen suorittamiseksi tai sen tulosten asianmukaisuuden varmistamiseksi.

Mitä 1 momentin 3 kohdassa säädetään, ei sovelleta, jos siinä tarkoitettu menettely henkilörekisteriin talletettujen tietojen ikä ja laatu huomioon ottaen on rekisteröityjen yksityisyyden suojan vuoksi ilmeisen tarpeetonta.

Mitä 1 momentissa säädetään, sovelletaan täydentävästi silloin, kun henkilötietojen käsittely perustuu 8 §:n 1 momenttiin.

15 § Tilasto

Tilastotarkoituksia varten saa henkilötietoja käsitellä muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla, jos:

1) tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä;

2) tilaston tuottaminen kuuluu rekisterinpitäjän toimialaan; sekä

3) tilastorekisteriä käytetään vain tilastollisiin tarkoituksiin eikä siitä luovuteta tietoja siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten.

16 § Viranomaisen suunnittelu- ja selvitystehtävät

Suunnittelua ja selvitystä varten viranomainen voi muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa henkilötietoja viranomaisen henkilörekisteriin noudattaen soveltuvin osin, mitä 14 §:ssä säädetään.

17 § Henkilömatrikkeli

Henkilömatrikkelia varten pidettävään henkilörekisteriin saa muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa rekisteröidystä ja tämän aviopuolisosta sekä rekisteröidyn lapsista ja vanhemmista rekisterin tarkoituksen kannalta tarpeelliset yksilöintitiedot, tiedon henkilömatrikkelin perusteena olevasta rekisteröityjä yhdistävästä tekijästä ja tähän liittyvät tiedot sekä yhteystiedot yhteydenottoa varten, jollei rekisteröity ole kieltänyt itseään koskevien tietojen keräämistä ja tallettamista.

Henkilömatrikkelilla tarkoitetaan julkaisua, jossa rekisteröityjä yhdistävänä tekijänä on tietty ammatti tai koulutus, työ- tai muun yhteisön jäsenyys taikka asema tai saavutukset kulttuurin, urheilun, talouselämän tai muulla yhteiskuntaelämän alalla tai muu näihin rinnastettava seikka.

Edellä 1 momentissa tarkoitettua henkilömatrikkelirekisteriä varten saa henkilörekisteristä luovuttaa ne tiedot, jotka rekisterinpitäjällä on 1 momentin mukaan oikeus kerätä ja tallettaa tällaiseen rekisteriin, jollei rekisteröity ole kieltänyt tietojen luovuttamista.

18 § Sukututkimus

Sukututkimusta varten pidettävään henkilörekisteriin saa muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa sukuun kuuluvasta henkilöstä ja tämän aviopuolisosta rekisterin tarkoituksen kannalta tarpeelliset yksilöintitiedot samoin kuin muut sukututkimuksen kannalta tarpeelliset henkilötiedot sekä yhteystiedot yhteydenottoa varten, jollei rekisteröity ole kieltänyt itseään koskevien tietojen keräämistä ja tallettamista.

Edellä 1 momentissa tarkoitettua sukututkimusrekisteriä varten saa henkilörekisteristä luovuttaa ne tiedot, jotka rekisterinpitäjällä on 1 momentin mukaan oikeus kerätä ja tallettaa tällaiseen rekisteriin, jollei rekisteröity ole kieltänyt tietojen luovuttamista.

19 § Suoramarkkinointi ja muut osoitteelliset lähetykset

Suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin, mielipide- tai markkinatutkimukseen taikka muihin näihin rinnastettaviin osoitteellisiin lähetyksiin käytettävään henkilörekisteriin saa muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa henkilötietoja, jollei rekisteröity ole kieltänyt henkilötietojen tällaista keräämistä ja tallettamista, jos:

1) henkilörekisteriä käytetään ennakolta yksilöityyn ja kestoltaan lyhytaikaiseen markkinointitoimeen tai muuhun tässä momentissa tarkoitettuun toimeen eikä se tietosisältönsä vuoksi vaaranna rekisteröidyn yksityisyyden suojaa;

2) henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten; tai

3) henkilörekisteri sisältää tietoja, jotka koskevat rekisteröidyn tehtäviä ja asemaa elinkeinoelämässä tai julkisessa tehtävässä ja sitä käytetään hänen työtehtäviinsä liittyvän informaation lähettämiseen.

Edellä 1 momentissa mainittua tarkoitusta varten saa henkilörekisteristä luovuttaa tai luovutuksessa otantaperusteena käyttää 1 momentin 2 kohdassa tarkoitettuja tietoja, jollei rekisteröity ole kieltänyt tiedon luovuttamista ja jos on ilmeistä, että rekisteröity tietää tietojen tällaisesta luovuttamisesta.

20-21 §

20-21 § on kumottu L:lla 11.5.2007/528.

5 luku.- Henkilötietojen siirto Euroopan unionin ulkopuolelle

22 § Yleiset edellytykset

Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso.

Tietosuojan tason riittävyys on arvioitava ottaen huomioon tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet.

22 a § (24.11.2000/986) Komission päätökset

Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin Euroopan yhteisöjen komissio on yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, jäljempänä henkilötietodirektiivi, 3 artiklan ja 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso.

Henkilötietoja ei voida siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin komissio on henkilötietodirektiivin 3 artiklan ja 25 artiklan 4 kohdan mukaisesti todennut, että kyseisessä maassa ei taata tietosuojan riittävää tasoa.

23 § Poikkeusperusteet

Silloin kun siirto ei ole mahdollinen 22 tai 22 a §:n nojalla, voidaan henkilötietoja kuitenkin siirtää, jos:(24.11.2000/986)

1) rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon;

2) siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

3) siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;

4) siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;

5) siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi;

6) siirto tehdään rekisteristä, josta yleinen tai erityisin perustein tapahtuva tiedonsaanti on nimenomaisesti säädetty;　(24.11.2000/986)

7) rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta, eikä komissio ole henkilötietodirektiivin 3 artiklan ja 26 artiklan 3 kohdan mukaisesti todennut takeita riittämättömiksi; tai　(24.11.2000/986)

8) siirto tapahtuu henkilötietodirektiivin 26 artiklan 4 kohdassa tarkoitettuja komission hyväksymiä mallisopimuslausekkeita käyttäen.　(24.11.2000/986)

6 luku.- Rekisteröidyn oikeudet

24 § Informointi tietojen käsittelystä

Rekisterinpitäjän on henkilötietoja kerätessään huolehdittava siitä, että rekisteröity voi saada tiedon rekisterinpitäjästä ja tarvittaessa tämän edustajasta, henkilötietojen käsittelyn tarkoituksesta sekä siitä, mihin tietoja säännönmukaisesti luovutetaan, samoin kuin ne tiedot, jotka ovat tarpeen rekisteröidyn oikeuksien käyttämiseksi asianomaisessa henkilötietojen käsittelyssä. Tiedot on annettava henkilötietoja kerättäessä ja talletettaessa tai, jos tiedot hankitaan muualta kuin rekisteröidyltä itseltään ja tietoja on tarkoitus luovuttaa, viimeistään silloin kun tietoja ensi kerran luovutetaan.

Edellä 1 momentissa säädetystä tiedonantovelvollisuudesta voidaan poiketa:

1) jos rekisteröity on jo saanut nämä tiedot;

2) jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi; tai

3) kerättäessä tietoja muualta kuin rekisteröidyltä itseltään, jos tietojen antaminen rekisteröidylle on mahdotonta tai vaatii kohtuutonta vaivaa taikka aiheuttaa rekisteröidylle tai tietojenkäsittelyn tarkoitukselle olennaista vahinkoa tai haittaa eikä talletettavia tietoja käytetä rekisteröityä koskevaan päätöksentekoon taikka jos tietojen keräämisestä, tallettamisesta tai luovuttamisesta on nimenomaisesti säädetty.

25 § Informointi tietojen käsittelystä tietyissä tapauksissa

1 momentti on kumottu L:lla 11.5.2007/528.

2 momentti on kumottu L:lla 11.5.2007/528.

Suoramainoksessa, etämyynnissä ja muussa suoramarkkinoinnissa sekä markkina- ja mielipidetutkimuksen kyselyssä ja muussa näihin rinnastettavassa osoitteellisessa lähetyksessä, jota varten henkilön nimi- ja yhteystiedot on hankittu henkilörekisteristä, on ilmoitettava tiedonhankinnassa käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän yhteystiedot. Puhelinmyynnissä vastaavat tiedot on annettava pyynnöstä.

26 § Tarkastusoikeus

Jokaisella on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä, mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan. Silloin kun on kysymys 31 §:ssä tarkoitetusta automatisoidusta päätöksestä, rekisteröidyllä on oikeus saada tieto myös tietojen automaattiseen käsittelyyn liittyvistä toimintaperiaatteista.

2 momentti on kumottu L:lla 11.5.2007/528.

Rekisterinpitäjä saa periä tietojen antamisesta korvauksen vain, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Perittävän korvauksen tulee olla kohtuullinen eikä se saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia.

27 § Tarkastusoikeuden rajoitukset

Edellä 26 §:ssä tarkoitettua tarkastusoikeutta ei ole, jos:

1) tiedon antaminen saattaisi vahingoittaa valtion turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä;

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

4) rekisterissä olevia henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi.

Jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin mukaan jäävät tarkastusoikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut hänestä talletetut tiedot.

28 § Tarkastusoikeuden toteuttaminen

Sen, joka haluaa tarkastaa itseään koskevat tiedot 26 §:ssä tarkoitetulla tavalla, on esitettävä tätä tarkoittava pyyntö rekisterinpitäjälle omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa tai henkilökohtaisesti rekisterinpitäjän luona.

Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua 26 §:ssä tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. Tiedot on annettava ymmärrettävässä muodossa. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava tästä kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi tarkastusoikeus on evätty. Tarkastusoikeuden epäämisen veroisena pidetään sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Sen, joka haluaa tietää, mitä häntä koskevia tietoja on talletettu terveydenhuollon viranomaisen tai laitoksen, lääkärin tai hammaslääkärin taikka muun terveydenhuollon ammattihenkilön pitämään, terveydentilaa tai sairautta koskevia henkilötietoja sisältävään rekisteriin, tulee tehdä pyyntö tarkastusoikeutensa käyttämisestä lääkärille tai muulle terveydenhuollon ammattihenkilölle, joka huolehtii tietojen hankkimisesta rekisteröidyn suostumuksella ja antaa tälle tiedon rekisterissä olevista merkinnöistä. Menettelystä tarkastusoikeuden toteuttamisessa tai sen epäämisessä on voimassa, mitä 2 momentissa säädetään.

29 § Tiedon korjaaminen

Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan.

Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, hänen on annettava asiasta kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Rekisterinpitäjän on ilmoitettava tiedon korjaamisesta sille, jolle rekisterinpitäjä on luovuttanut tai jolta rekisterinpitäjä on saanut virheellisen henkilötiedon. Ilmoitusvelvollisuutta ei kuitenkaan ole, jos ilmoittaminen on mahdotonta tai vaatii kohtuutonta vaivaa.

30 § Kielto-oikeus

Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia ja sukututkimusta varten.

31 § Automatisoitu päätös

Sellaisen rekisteröidyn tiettyjen ominaisuuksien arviointiin tarkoitetun päätöksen tekeminen, joka tapahtuu ainoastaan automatisoidun tietojenkäsittelyn perusteella ja josta aiheutuu rekisteröidylle oikeudellisia vaikutuksia tai joka muuten vaikuttaa häneen merkittävällä tavalla, on sallittu vain, jos:

1) siitä on laissa säädetty; tai

2) päätös tehdään sopimuksen tekemisen tai täytäntöönpanon yhteydessä edellytyksellä, että rekisteröidyn oikeuksien suojaaminen varmistetaan tai että päätöksellä täytetään rekisteröidyn sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö.

7 luku.- Tietoturvallisuus ja tietojen säilytys

32 § Tietojen suojaaminen

Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta.

Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä luovuttaa tietoja teknisen käyttöyhteyden avulla, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla.　(11.5.2007/528)

33 § Vaitiolovelvollisuus

Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa tämän lain vastaisesti sivulliselle ilmaista näin saamiaan tietoja.

34 § Henkilörekisterin hävittäminen

Henkilörekisteri, joka ei ole enää rekisterinpitäjän toiminnan kannalta tarpeellinen, on hävitettävä, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi tai jollei rekisteriä siirretä 35 §:ssä tarkoitetulla tavalla arkistoon.

35 § Henkilötietojen siirto arkistoon

Arkistolaitokseen tai siihen verrattavaan arkistoon siirrettyjen henkilörekistereiden käytöstä ja suojaamisesta sekä niissä olevien tietojen luovuttamisesta on voimassa, mitä erikseen säädetään. Arkistolaitoksen tai siihen verrattavan arkiston on kuitenkin henkilötietoja yksityisistä henkilörekistereistä luovutettaessa otettava huomioon, mitä tässä laissa säädetään henkilötietojen käsittelystä ja luovuttamisesta, jollei se henkilörekisteriin talletettujen tietojen ikä ja laatu huomioon ottaen ole rekisteröityjen yksityisyyden suojan vuoksi ilmeisen tarpeetonta.

Henkilörekisteri, joka on tieteellisen tutkimuksen kannalta tai muusta syystä merkityksellinen, voidaan siirtää korkeakoulun taikka tutkimustyötä lakisääteisenä tehtävänä suorittavan laitoksen tai viranomaisen arkistoon, jos kansallisarkisto on antanut siihen luvan. Kansallisarkisto voi antaa yhteisölle, säätiölle ja laitokselle luvan siirtää arkistoonsa omassa toiminnassa syntyneitä henkilörekistereitä, jotka täyttävät edellä mainitut vaatimukset. Kansallisarkiston on päätöksessään määrättävä, miten rekistereiden suojaus on järjestettävä sekä miten henkilötietojen käyttöä on valvottava.

Kansallisarkiston on ennen 2 momentissa tarkoitetun luvan antamista varattava tietosuojavaltuutetulle tilaisuus lausunnon antamiseen.

8 luku.- Ilmoitus tietosuojavaltuutetulle

36 § Ilmoitusvelvollisuus

Rekisterinpitäjän on ilmoitettava henkilötietojen automaattisesta käsittelystä tietosuojavaltuutetulle lähettämällä tälle rekisteriseloste.

Lisäksi rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle:

1) henkilötietojen siirrosta Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle, jos tietoja siirretään 22 §:n nojalla tai 23 §:n 6 tai 7 kohdassa tarkoitetuilla perusteilla eikä siirrosta ole laissa säädetty; sekä

2) 31 §:ssä tarkoitetun automatisoidun päätöksentekojärjestelmän käyttöönotosta.

Joka harjoittaa elinkeinona perimistoimintaa tai markkina- tai mielipidetutkimusta taikka hoitaa toisen lukuun henkilöstön valintaan ja soveltuvuuden arviointiin liittyviä tehtäviä tai tietojenkäsittelytehtäviä ja tässä toiminnassa käyttää tai käsittelee henkilörekistereitä ja niissä olevia tietoja, on velvollinen tekemään ilmoituksen toiminnastaan tietosuojavaltuutetulle. Velvollisuudesta tehdä ilmoitus luottotietotoiminnan harjoittamisesta säädetään luottotietolaissa　(527/2007).(11.5.2007/528)

Edellä 1 momentissa tarkoitettua ilmoitusvelvollisuutta ei ole, jos henkilötietojen käsittely perustuu 8 §:n 1 momentin 1–3 kohtaan, 4 kohtaan, jos käsittelystä säädetään laissa, 5 kohdassa tarkoitettuun asiakas- tai palvelussuhteeseen tai jäsenyyteen tai 6 tai 9 kohtaan taikka 12 §:n 1–4 kohtaan, 5 kohtaan, jos käsittelystä säädetään laissa, tai 7–10, 12 tai 13 kohtaan taikka 13–18 tai 20 §:ään. Ilmoitusvelvollisuudesta voidaan lisäksi poiketa, sen mukaan kuin asetuksella säädetään, jos on ilmeistä, ettei henkilötietojen käsittely loukkaa rekisteröidyn yksityisyyden suojaa taikka hänen oikeuksiaan tai vapauksiaan.

20 § on kumottu L:lla 528/2007. Ks. L tietosuojalautakunnasta ja tietosuojavaltuutetusta389/1994 5 § ja LuottotietoL 527/2007 7 luku.

37 § Ilmoituksen tekeminen

Edellä 36 §:n 2 momentin 1 kohdassa tarkoitetusta ilmoituksesta tulee käydä ilmi rekisteriselosteeseen sisältyvien tietojen lisäksi, mitä tietotyyppejä siirretään ja miten siirto tapahtuu.

Edellä 36 §:n 2 momentin 2 kohdassa tarkoitetusta ilmoituksesta tulee käydä ilmi rekisteriselosteeseen sisältyvien tietojen lisäksi järjestelmässä käytetty logiikka.

Edellä 36 §:n 3 momentissa tarkoitetusta ilmoituksesta tulee käydä ilmi elinkeinonharjoittajan nimi, toimiala, kotipaikka ja yhteystiedot, toiminnassa käytettävät henkilörekisterit ja niiden sisältämät tietotyypit, tietojen mahdollinen luovuttaminen rekisteristä ja talletettujen tietojen säilytysaika, miten henkilörekistereiden suojaus on järjestetty ja miten niiden käyttöä valvotaan.

Ilmoitus on tehtävä riittävän ajoissa, kuitenkin viimeistään 30 päivää ennen henkilörekisteriin talletettaviksi aiottujen henkilötietojen keräämistä ja tallettamista tai muuhun ilmoitusvelvollisuuden aiheuttavaan toimenpiteeseen ryhtymistä.

9 luku.- Henkilötietojen käsittelyn ohjaus ja valvonta

38 § Tietosuojaviranomaiset

Tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä tämän lain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin tässä laissa säädetään.

Tietosuojalautakunta käsittelee henkilötietojen käsittelyyn liittyviä lain soveltamisalan kannalta periaatteellisesti tärkeitä kysymyksiä ja käyttää päätösvaltaa tietosuoja-asioissa siten kuin tässä laissa säädetään.

Tietosuojaviranomaiset voivat käyttää tässä luvussa tarkoitettuja toimivaltuuksia silloinkin, kun henkilötietojen käsittelyyn ei 4 §:n mukaisesti sovelleta tätä lakia. Tietosuojaviranomaiset toimivat yhteistyössä muiden Euroopan unionin jäsenvaltioiden tietosuojaviranomaisten kanssa ja antavat tarvittaessa virka-apua.

39 § Tietosuojaviranomaisten tiedonsaanti- ja tarkastusoikeus

Tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada tiedot käsiteltävistä henkilötiedoista sekä kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelyn lainmukaisuuden valvonnassa. Tietosuojalautakunnalla on vastaava oikeus sen käsiteltävissä asioissa.

Tietosuojavaltuutetulla on oikeus tarkastaa henkilörekistereitä ja käyttää tarkastuksessa asiantuntijoita. Tarkastuksen toimittamista varten tietosuojavaltuutetulla ja asiantuntijalla on oikeus päästä sellaisiin rekisterinpitäjän ja hänen toimeksiannostaan toimivan hallussa oleviin huoneistoihin, joissa henkilötietoja käsitellään tai henkilörekistereitä pidetään, sekä saada käytettäväkseen tarkastuksen toimittamisessa tarvittavat tiedot ja laitteet. Kotirauhan piiriin kuuluvassa tilassa tarkastuksen saa toimittaa vain, jos esillä olevassa tapauksessa on olemassa yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan. Tarkastus on toimitettava niin, että siitä ei aiheudu rekisterinpitäjälle tarpeettomasti haittaa ja kustannuksia.

Edellä 2 §:n 5 momentissa tarkoitetun käsittelyn osalta tietosuojavaltuutettu valvoo 32 §:ssä säädetyn tietojen suojaamisvelvollisuuden noudattamista. Tietosuojavaltuutetulla on oikeus tässä tarkoituksessa saada tarpeellisia tietoja rekistereiden suojaamisesta.

40 § Tietosuojavaltuutetun toimenpiteet

Tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ohjein ja neuvoin pyrittävä siihen, että lainvastaista menettelyä ei jatketa tai uusita. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan päätettäväksi taikka ilmoitettava se syytteeseen panoa varten.

Tietosuojavaltuutetun on ratkaistava asia, jonka rekisteröity on saattanut 28 ja 29 §:n nojalla hänen käsiteltäväkseen. Tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta.

Tietosuojavaltuutettu voi antaa tarkempia ohjeita siitä, miten henkilötiedot on suojattava henkilötietojen laittomalta käsittelyltä.

41 § Tietosuojavaltuutetun kuuleminen

Asianomaisen viranomaisen on varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi valmisteltaessa lainsäädännöllisiä tai hallinnollisia uudistuksia, jotka koskevat henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä.

Syyttäjän on ennen tämän lain vastaista menettelyä koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi.　(13.5.2011/457)

42 § Toimialakohtaiset käytännesäännöt

Rekisterinpitäjät tai näitä edustavat yhteisöt voivat laatia toimialakohtaisia käytännesääntöjä tämän lain soveltamiseksi ja hyvän tietojenkäsittelytavan edistämiseksi sekä toimittaa laatimansa ehdotukset tietosuojavaltuutetulle. Tietosuojavaltuutettu voi tarkastaa, että käytännesäännöt ovat tämän lain ja muiden henkilötietojen käsittelyyn vaikuttavien säännösten mukaisia.

43 § Tietosuojalautakunnan lupatoimivalta

Tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn, jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa taikka yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia.

Tietosuojalautakunta voi antaa 12 §:n 13 kohdassa tarkoitetun luvan arkaluonteisten henkilötietojen käsittelyyn tärkeää yleistä etua koskevasta syystä.

Lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset. Määräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on tarpeen.

44 § Tietosuojalautakunnan määräykset

Tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta:

1) kieltää tämän lain tai sen nojalla annettujen säännösten ja määräysten vastaisen henkilötietojen käsittelyn;

2) velvoittaa muissa kuin 40 §:n 2 momentissa tarkoitetuissa asioissa asianomaisen määräajassa oikaisemaan sen, mitä on oikeudettomasti tehty tai laiminlyöty;

3) määrätä rekisteritoiminnan lopetettavaksi, jos lainvastaiset toimet tai laiminlyönnit huomattavasti vaarantavat rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai oikeuksiaan, jollei rekisteristä ole laissa säädetty; sekä

4) peruuttaa 43 §:ssä tarkoitetun luvan, kun edellytyksiä luvan myöntämiselle ei enää ole tai kun rekisterinpitäjä toimii luvan tai siihen liitettyjen määräysten vastaisesti.

45 § Muutoksenhaku

Tietosuojavaltuutetun 40 §:n 2 momentin ja tietosuojalautakunnan 43 ja 44 §:n nojalla tekemään päätökseen haetaan muutosta valittamalla noudattaen, mitä hallintolainkäyttölaissa (586/1996)säädetään. Tietosuojavaltuutettu voi hakea muutosta tietosuojalautakunnan 43 §:n nojalla tekemään päätökseen.

Tietosuojalautakunnan päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

46 § Uhkasakko

Tietosuojavaltuutettu voi asettaa 39 §:n 1 ja 3 momentin mukaisen tietojenantovelvollisuuden ja 40 §:n 2 momentin nojalla tekemänsä päätöksen ja tietosuojalautakunta 39 §:n 1 momentin mukaisen tietojenantovelvollisuuden ja 44 §:n nojalla tekemänsä päätöksen tehosteeksi uhkasakon siten kuin uhkasakkolaissa (1113/1990) säädetään.

10 luku.- Erinäiset säännökset

47 § Vahingonkorvausvelvollisuus

Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä.

Vahingonkorvauksesta on muutoin voimassa, mitä vahingonkorvauslain (412/1974) 2 luvun 2 ja 3 §:ssä, 3 luvun 4 ja 6 §:ssä sekä 4, 6 ja 7 luvussa säädetään.

48 § Rangaistussäännökset

Rangaistus henkilörekisteririkoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä ja henkilörekisteriin kohdistuvasta tietomurrosta　rikoslain 38 luvun 8 §:ssä. Rangaistus 33 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

Joka tahallaan tai törkeästä huolimattomuudesta tämän lain vastaisesti

1) laiminlyö noudattaa, mitä henkilötietojen käsittelyn tarkoitusten määrittelystä, rekisteriselosteen laatimisesta, tietojen käsittelystä, informoimisesta, henkilörekisterissä olevan tiedon korjaamisesta, rekisteröidyn kielto-oikeudesta tai ilmoituksen tekemisestä tietosuojavaltuutetulle säädetään,

2) antaa tietosuojaviranomaiselle henkilötietojen käsittelyä koskevassa asiassa väärän tai harhaanjohtavan tiedon,

3) rikkoo henkilötietojen suojaamisesta ja henkilörekisterin hävittämisestä annettuja säännöksiä ja määräyksiä taikka

4) rikkoo tietosuojalautakunnan 43 §:n 3 momentin nojalla antamaa lainvoimaista määräystä

ja siten vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan, on tuomittava, jollei teosta ole muualla laissa säädetty ankarampaa rangaistusta, henkilörekisteririkkomuksesta sakkoon.

49 § Tarkemmat säännökset

Tarkemmat säännökset tämän lain täytäntöönpanosta annetaan asetuksella.

11 luku.- Voimaantulo- ja siirtymäsäännökset

50 § Voimaantulo

Tämä laki tulee voimaan 1 päivänä kesäkuuta 1999.

Tällä lailla kumotaan 30 päivänä huhtikuuta 1987 annettu henkilörekisterilaki (471/1987) siihen myöhemmin tehtyine muutoksineen. Kumotun lain massaluovutuksen ja arkaluonteisen otannan määritelmiä koskevia säännöksiä sovelletaan kuitenkin edelleen, siltä osin kuin muussa lainsäädännössä viitataan niihin, 24 päivään lokakuuta 2001.

Ennen tämän lain voimaantuloa voidaan ryhtyä sen täytäntöönpanon edellyttämiin toimiin.

51 § Siirtymäsäännökset

Henkilötietojen käsittely, johon on ryhdytty ennen tämän lain voimaantuloa, on saatettava tämän lain vaatimuksia vastaavaksi viimeistään 24 päivänä lokakuuta 2001.

Jos muussa lainsäädännössä viitataan tällä lailla kumottuun henkilörekisterilakiin tai sen säännöksiin, viittauksen on katsottava tarkoittavan tätä lakia tai sen vastaavia säännöksiä.

Arrêté royal 5 juin 2004, déterminant le régime des droits de consultation et de rectification des données électroniques inscrites sur la carte d'identité et des informations reprises dans les registres de population ou au Registre national des personnes physiques

ALBERT II, Roi des Belges,

A tous, présents et à venir, Salut.

Vu la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d'identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques, notamment l'article 6, § 3, alinéa 3, inséré par la loi du 25 mars 2003;

Vu l'avis du Conseil d'Etat, donné le 24 mars 2004, en application de l'article 84, alinéa 1er, 1°, des lois coordonnées sur le Conseil d'Etat;

Sur la proposition de Notre Ministre de l'Intérieur,

Nous avons arrêté et arrêtons :

CHAPITRE Ier. – De la consultation et de la rectification des données électroniques reprises sur la carte d'identité

Article 1er.

§ 1er. Chaque titulaire d'une carte d'identité électronique peut consulter à tout moment les données électroniques qui sont enregistrées sur sa carte au moyen d'un appareil de lecture relié à un ordinateur et d'un programme de visualisation de ces données.

§ 2. Chaque titulaire d'une carte d'identité électronique peut consulter les données électroniques qui sont enregistrées sur sa carte auprès de la commune dans laquelle il est inscrit aux registres de la population.

Lorsque le titulaire de la carte use de son droit de consultation auprès de sa commune, il se présente personnellement au service compétent de la commune et, après vérification de l'identité du demandeur, il y est donné suite immédiatement.

Les informations doivent être communiquées par écrit et sous une forme aisément compréhensible. Elles doivent reproduire la totalité des données relatives à la personne concernée et être conformes à leur contenu.

Article 2.

§ 1er. S'il constate que les données à caractère personnel enregistrées électroniquement sur sa carte d'identité ne sont pas reprises de manière précise, complète et exacte, le titulaire de la carte peut introduire une demande de rectification en s'adressant personnellement au service compétent de la commune où il est inscrit dans les registres de population.

§ 2. La personne exerçant son droit de rectification devra fournir à l'appui de sa demande tous les éléments de preuve susceptibles d'être pris en considération.

§ 3. Si une donnée à caractère personnel enregistrée électroniquement sur la carte d'identité se révèle être imprécise, incomplète ou inexacte, la commune met en oeuvre la procédure de mise en conformité de cette donnée.

§ 4. Le droit de rectification est exercé gratuitement.

CHAPITRE II. – De la consultation et de la rectification des informations reprises au registre de la population ou au Registre national des personnes physiques

Article 3.

§ 1er. Chaque titulaire d'une carte d'identité électronique dont les certificats de signature et d'identité sont activés peut consulter à tout moment les informations le concernant reprises au Registre national des personnes physiques au moyen d'un appareil de lecture relié à un ordinateur connecté à Internet et par l'intermédiaire du site Internet du Registre national.

Chaque titulaire d'une carte d'identité électronique dont les certificats de signature et d'identité sont activés peut consulter à tout moment les informations le concernant reprises au registre de la population au moyen d'un appareil de lecture relié à un ordinateur connecté à Internet et par l'intermédiaire du site Internet de sa commune si une telle application y est développée.

Les informations recueillies de cette manière par le titulaire de la carte d'identité électronique ne peuvent être communiquées, sauf autorisation expresse du titulaire de la carte d'identité électronique.

§ 2. Chaque titulaire d'une carte d'identité électronique peut consulter les informations le concernant reprises au Registre national des personnes physiques ou au registre de la population auprès de la commune dans laquelle il est inscrit aux registres de la population.

Cette demande de consultation est effectuée selon la procédure reprise par l'arrêté royal du 3 avril 1984 relatif à l'exercice du droit d'accès et du droit de rectification par les personnes inscrites au Registre national des personnes physiques et par l'arrêté royal du 16 juillet 1992 relatif au droit d'accès aux registres de la population et au registre des étrangers ainsi qu'au droit de rectification desdits registres.

Article 4.

Si les informations communiquées à une personne en vertu de l'article 3 se révèlent être imprécises, incomplètes ou inexactes, celle-ci peut introduire une demande de rectification selon la procédure prévue aux arrêtés royaux visés à l'article 3, § 2, alinéa 2.

CHAPITRE III. – Disposition générale

Article 5. Notre Ministre de l'Intérieur est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, le 5 juin 2004.

ALBERT

Par le Roi :

Le Ministre de l'Intérieur,

P. DEWAEL

Titel: Hessisches Datenschutzgesetz

Früherer Titel: Datenschutzgesetz

Abkürzung: HDSG

Geltungsbereich: Hessen

Fundstellennachweis: GVBl. II 300-28

Ursprüngliche Fassung vom: 7. Oktober 1970 (GVBl. I S. 625)

Inkrafttreten am: 13. Oktober 1970

Neubekanntmachung vom: 7. Januar 1999 (GVBl. I S. 98)

Letzte Neufassung vom: 11. November 1986 (GVBl. I S. 309)

Inkrafttreten der Neufassung am: 1. Januar 1987

Letzte Änderung durch: Art. 1 G vom 20. Mai 2011 (GVBl. I S. 208)

Inkrafttreten der letzten Änderung: 1. Juli 2011 (Art. 3 G vom 20. Mai 2011)

Landesdatenschutzgesetz Hessen. Hessisches Datenschutzgesetz (HDSG) in der Fassung vom 7. Januar 1999. (GVBl. Hessen I nº 4 vom 19.02.1999, S. 98)

ERSTER TEIL: Allgemeiner Datenschutz

ERSTER ABSCHNITT : Grundsatzregelungen

§ 1 Aufgabe

(1) Aufgabe des Gesetzes ist es, die Verarbeitung personenbezogener Daten durch die in § 3 Abs. 1 genannten Stellen zu regeln, um

1. das Recht des einzelnen zu schützen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, soweit keine Einschränkungen in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind,

2. das auf dem Grundsatz der Gewaltenteilung beruhende verfassungsmäßige Gefüge des Staates, insbesondere der Verfassungsorgane des Landes und der Organe der kommunalen Selbstverwaltung untereinander und zueinander, vor einer Gefährdung infolge der automatisierten Datenverarbeitung zu bewahren.

(2) Aufgabe der obersten Landesbehörden, Gemeinden und Landkreise sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts ist es, die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz jeweils für ihren Bereich sicherzustellen.

§ 2 Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

(2) Datenverarbeitung ist jede Verwendung gespeicherter oder zur Speicherung vorgesehener personenbezogener Daten. Im Sinne der nachfolgenden Vorschriften ist

1. Erheben das Beschaffen von Daten über den Betroffenen,

2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,

3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, daß die Daten durch die datenverarbeitende Stelle an den Dritten weitergegeben werden oder daß der Dritte zum Abruf bereitgehaltene Daten abruft,

4. Sperren das Verhindern weiterer Verarbeitung gespeicherter Daten,

5. Löschen das Unkenntlichmachen gespeicherter Daten ungeachtet der dabei angewendeten Verfahren.

(3) Datenverarbeitende Stelle ist jede der in § 3 Abs. 1 genannten Stellen, die Daten für sich selbst verarbeitet oder durch andere verarbeiten läßt.

(4) Empfänger ist jede Person oder Stelle, die Daten erhält.

(5) Dritter ist jede Person oder Stelle außerhalb der datenverarbeitenden Stelle, ausgenommen der Betroffene oder diejenigen Personen und Stellen, die innerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie Daten im Auftrag verarbeiten.

(6) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines gesteuerten technischen Verfahrens selbsttätig abläuft.

(7) Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage, die nicht Teil der automatisierten Datenverarbeitung ist.

(8) Soweit andere landesrechtliche Vorschriften den Dateibegriff verwenden, ist Datei

1. eine Sammlung von Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder

2. eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nicht-automatisierte Datei).

§ 3 Anwendungsbereich

(1) Dieses Gesetz gilt für Behörden und sonstige öffentliche Stellen des Landes, der Gemeinden und Landkreise sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und für deren Vereinigungen ungeachtet ihrer Rechtsform. Dieses Gesetz gilt auch für nicht-öffentliche Stellen, soweit sie hoheitliche Aufgaben unter Aufsicht der in Satz 1 genannten Stellen wahrnehmen.

(2) Die Vors chriften dieses Gesetzes gehen denen des Hessischen Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

(3) Soweit besondere Rechtsvorschriften über den Datenschutz bei der Verarbeitung personenbezogener Daten vorhanden sind, gehen sie den Vorschriften dieses Gesetzes vor.

(4) Dieses Gesetz gilt nicht für personenbezogene Daten, solange sie in allgemein zugänglichen Quellen gespeichert sind sowie für Daten des Betroffenen, die von ihm zur Veröffentlichung bestimmt sind.

(5) Soweit der Hessische Rundfunk personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen Zwecken verarbeitet, gelten von den Vorschriften dieses Gesetzes nur die §§ 10 und 37. Im übrigen gelten die Vorschriften dieses Gesetzes.

(6) Soweit öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, gelten für sie nur der Zweite Teil sowie die §§ 34 und 36 dieses Gesetzes. Mit Ausnahme der Vorschriften über die Aufsichtsbehörde sind im übrigen die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes einschließlich der Straf- und Bußgeldvorschriften anwendbar.

§ 4 Verarbeitung personenbezogener Daten im Auftrag

(1) Die datenverarbeitende Stelle bleibt für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz sowie für die Erfüllung ihrer sich aus § 8 ergebenden Pflichten auch dann verantwortlich, wenn personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Ist der Auftragnehmer der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Zuverlässigkeit und der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen; dabei sind der Gegenstand und der Umfang der Datenverarbeitung, die technischen und organisatorischen Maßnahmen sowie etwaige Unterauftragsverhältnisse festzulegen. Für ergänzende Weisungen gilt Satz 2 entsprechend. Der Auftraggeber hat zu prüfen, ob beim Auftragnehmer die nach § 10 erforderlichen Maßnahmen getroffen und die erhöhtenAnforderungen bei der Verarbeitung von Daten, die besonderen Amts- oder Berufsgeheimnissen unterliegen sowie der in § 7 Abs. 4 genannten Daten eingehalten werden. An nicht-öffentliche Stellen darf ein Auftrag nur vergeben werden, wenn weder gesetzliche Regelungen über Berufs- oder besondere Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen.

(3) Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, daß der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwirft. Der Auftraggeber hat den Hessischen Datenschutzbeauftragten vorab über die Beauftragung zu unterrichten.

(4) Abs. 1 bis 3 gelten auch für Personen und Stellen, die im Auftrag Wartungsarbeiten und vergleichbare Hilfstätigkeiten bei der Datenverarbeitung erledigen.

§ 5 Behördlicher Datenschutzbeauftragter

(1) Die datenverarbeitende Stelle hat schriftlich einen behördlichen Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Bestellt werden dürfen nur Beschäftigte, die dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt werden. Für die Wahrnehmung seiner Aufgaben nach Abs. 2 muß der behördliche Datenschutzbeauftragte die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser Tätigkeit, bei der er frei von Weisungen ist, darf er nicht benachteiligt werden. Er ist insoweit unmittelbar der Leitung der datenverarbeitenden Stelle zu unterstellen; in Gemeinden und Gemeindeverbänden kann er auch einem hauptamtlichen Beigeordneten unterstellt werden. Der behördliche Datenschutzbeauftragte ist im erforderlichen Umfang von der Erfüllung anderer Aufgaben freizustellen sowie mit den zur Erfüllung seiner Aufgaben notwendigen räumlichen, personellen und sachlichen Mitteln auszustatten. Die Beschäftigten der datenverarbeitenden Stelle können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an ihn wenden.

(2) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die datenverarbeitende Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen und Hinweise zur Umsetzung zu geben. Zu seinen Aufgaben gehört es insbesondere

1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Maßnahmen, die das in § 1 Satz 1 Nr. 1 geschützte Recht betreffen, hinzuwirken,

2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,

3. die datenverarbeitende Stelle bei der Umsetzung der nach den §§ 6, 10 und 29 erforderlichen Maßnahmen zu unterstützen,

4. das nach § 6 Abs. 1 zu erstellende Verzeichnis zu führen und für die Einsicht nach § 6 Abs. 2 bereitzuhalten,

5. das Ergebnis der Untersuchung nach § 7 Abs. 6 zu prüfen und im Zweifelsfall den Hessischen Datenschutzbeauftragten zu hören.

Soweit keine gesetzliche Regelung entgegensteht, kann er die zur Erfüllung seiner Aufgaben notwendige Einsicht in Akten und die automatisierte Datenverarbeitung nehmen. Vor einer beabsichtigten Maßnahme nach Satz 2 Nr. 1 ist er rechtzeitig umfassend zu unterrichten und anzuhören. Wird er nicht rechtzeitig an einer Maßnahme beteiligt, ist die Entscheidung über die Maßnahme auszusetzen und die Beteiligung nachzuholen.

(3) Die datenverarbeitende Stelle kann einen Beschäftigten ihrer Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Mehrere datenverarbeitende Stellen können gemeinsam einen ihrer Beschäftigten zum Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. Bestellungen von Personen, die nicht der datenverarbeitenden Stelle angehören, sind dem Hessischen Datenschutzbeauftragten mitzuteilen.

§ 6 (1) Verfahrensverzeichnis

(1) Wer für den Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten zuständig ist, hat in einem für den behördlichen Datenschutzbeauftragten bestimmten Verzeichnis festzulegen: 

1. Name und Anschrift der datenverarbeitenden Stelle,

2. die Zweckbestimmung und die Rechtsgrundlage der Datenverarbeitung,

3. die Art der gespeicherten Daten,

4. den Kreis der Betroffenen,

5. die Art regelmäßig übermittelter Daten, deren Empfänger sowie die Art und Herkunft regelmäßig empfangener Daten,

6. die zugriffsberechtigten Personen oder Personengruppen,

7. die technischen und organisatorischen Maßnahmen nach § 10,

8. die Technik des Verfahrens,

9. Fristen für die Löschung nach § 19 Abs. 3,

10. eine beabsichtigte Datenübermittlung nach § 17 Abs. 2,

11. das begründete Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3.

(2) Die Angaben des Verfahrensverzeichnisses können bei der datenverarbeitenden Stelle von jeder Person eingesehen werden; dies gilt für die Angaben zu Nr. 7, 8 und 11 nur, soweit dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. Satz 1 gilt nicht für

1. Verfahren des Landesamtes für Verfassungsschutz,

2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen,

3. Verfahren der Steuerfahndung, soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

§ 7 Zulässigkeit der Datenverarbeitung

(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn

1. eine diesem Gesetz vorgehende Rechtsvorschrift sie vorsieht oder zwingend voraussetzt,

2. dieses Gesetz sie zuläßt oder

3. der Betroffene ohne jeden Zweifel eingewilligt hat.

(2) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Sie muß sich im Falle einer Datenverarbeitung nach Abs.4 ausdrücklich auch auf die dort genannten Daten beziehen. Wird die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt, ist der Betroffene hierauf schriftlich besonders hinzuweisen. Der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Der Betroffene ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, daß er die Einwilligung verweigern und jederzeit mit Wirkung für die Zukunft widerrufen kann.

(3) Unzulässig ist eine zu rechtlichen Folgen oder erheblichen Beeinträchtigungen für den Betroffenen führende Entscheidung, wenn sie auf einer Bewertung einzelner Merkmale seiner Person beruht, die ausschließlich durch eine automatisierte Verarbeitung seiner Daten erstellt wurde. Eine Entscheidung nach Satz 1 kann durch Gesetz zugelassen werden, das die Wahrung der berechtigten Interessen des Betroffenen sicherstellt.

(4) Soweit nicht eine Rechtsvorschrift die Verarbeitung personenbezogener Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben vorsieht oder zwingend voraussetzt, darf eine Verarbeitung nur nach §§ 33 bis 35 und 39 erfolgen. Im übrigen ist eine Verarbeitung auf Grund dieses Gesetzes nur zulässig, wenn sie ausschließlich im Interesse des Betroffene n liegt und der Hessische Datenschutzbeauftragte vorab gehört worden ist.

(5) Wenn der Betroffene schriftlich begründet, daß der rechtmäßigen Verarbeitung seiner Daten auf Grund dieses Gesetzes schutzwürdige, sich aus seiner besonderen persönlichen Lage ergebende Gründe entgegenstehen, ist die Verarbeitung nur zulässig, nachdem eine Abwägung im Einzelfall ergeben hat, daß seine Gründe hinter dem öffentlichen Interesse an der Verarbeitung zurückstehen müssen. Dem Betroffenen ist das Ergebnis mit Begründung schriftlich mitzuteilen.

(6) Wer für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist, hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn sichergestellt ist, daß diese Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten.

(7) Die in § 3 Abs. 1 Satz 2 und Abs. 6 genannten Stellen dürfen Daten, die Straftaten betreffen, nur unter behördlicher Aufsicht verarbeiten oder wenn eine Rechtsvorschrift dies vorsieht.

§ 8 Rechte der Betroffenen

(1) Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf

1. Auskunft und Benachrichtigung über die zu seiner Person gespeicherten Daten (§ 18),

2. Überprüfung der rechtmäßigen Verarbeitung seiner Daten auf Grund von ihm vorgebrachter besonderer persönlicher Gründe (§ 7 Abs. 5),

3. Einsicht in das Verfahrensverzeichnis (§ 6 Abs. 2),

4. Berichtigung, Sperrung oder Löschung der zu seiner Person gespeicherten Daten (§ 19),

5. Schadensersatz (§ 20),

6. Anrufung des Datenschutzbeauftragten (§§ 28 und 37 Abs. 2).

(2) Wenn eine in § 3 Abs. 1 genannte Stelle für die Gewährung einer Leistung, das Erkennen einer Person oder für einen anderen Zweck einen Datenträger herausgibt, auf dem personenbezogene Daten des Inhabers automatisiert, etwa in Form einer Chipkarte, verarbeitet werden, dann hat sie sicherzustellen, daß er dies erkennen und seine ihm nach Abs. 1 Nr. 1 bis 5 zustehenden Rechte ohne unvertretbaren Aufwand geltend machen kann.

Der Inhaber ist bei Ausgabe des Datenträgers über die ihm nach Abs. 1 zustehenden Rechte sowie über die von ihm bei Verlust des Datenträgers zu treffenden Maßnahmen und über die Folgen aufzuklären.

§ 9 Datengeheimnis

Den bei der datenverarbeitenden Stelle oder in deren Auftrag beschäftigten Personen, die Zugang zu personenbezogenen Daten haben, ist eine Verarbeitung dieser Daten zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck während und nach Beendigung ihrer Tätigkeit untersagt. Diese Personen sind über die bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz zu unterrichten.

§ 10 Technische und organisatorische Maßnahmen

(1) Die datenverarbeitende oder in ihrem Auftrag tätige Stelle hat die technischen und organisatorischen Maßnahmen zu treffen, die nach Abs. 2 und 3 erforderlich sind, um die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu gewährleisten. Erforderlich sind diese Maßnahmen, soweit der damit verbundene Aufwand unter Berücksichtigung der Art der personenbezogenen Daten und ihrer Verarbeitung zum Schutz des in § 1 Abs. 1 Nr. 1 genannten Rechts angemessen ist.

(2) Werden personenbezogene Daten automatisiert verarbe itet, ist das Verfahren auszuwählen oder zu entwickeln, welches geeignet ist, so wenig personenbezogene Daten zu verarbeiten, wie zur Erreichung des angestrebten Zwecks erforderlich ist. Außerdem sind Maßnahmen schriftlich anzuordnen, die nach dem jeweiligen Stand der Technik und der Art des eingesetzten Verfahrens erforderlich sind, um zu gewährleisten, daß

1. Unbefugte keinen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, erhalten (Zutrittskontrolle),

2. Unbefugte an der Benutzung von Datenverarbeitungsanlagen und -verfahren gehindert werden (Benutzerkontrolle),

3. die zur Benutzung eines Datenverarbeitungsverfahrens Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),

4. personenbezogene Daten nicht unbefugt oder nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, übermittelt, gelöscht, entfernt, vernichtet oder sonst verarbeitet werden (Datenverarbeitungskontrolle),

5. es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),

6. personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. durch eine Dokumentation aller wesentlichen Verarbeitungsschritte die Überprüfbarkeit der Datenverarbeitungsanlage und des -verfahrens möglich ist (Dokumentationskontrolle),

8. die innerbehördliche oder innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten nicht automatisiert verarbeitet, dann sind insbesondere Maßnahmen zu treffen, um den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

§ 11 Erforderlichkeit

(1) Die Verarbeitung personenbezogener Daten ist nach Maßgabe der nachfolgenden Vorschriften zulässig, wenn sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der datenverarbeitenden Stelle liegenden Aufgaben und für den jeweils damit verbundenen Zweck erforderlich ist. Die Erforderlichkeit einer Datenübermittlung muß bei einer der beteiligten Stellen vorliegen.

(2) Sind personenbezogene Daten in Akten derart verbunden, daß ihre Trennung nach erforderlichen und nicht erforderlichen Daten nicht oder nur mit unverhältnismäßíg großem Aufwand möglich ist, dann sind die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgabe erforderlich sind, über Abs. 1 hinaus zulässig. Diese Daten unterliegen insoweit einem Verwertungsverbot.

§ 12 Erheben

(1) Personenbezogene Daten sind grundsätzlich bei dem Betroffenen mit seiner Kenntnis zu erheben. Werden Daten nicht über eine bestimmte Person, sondern über einen bestimmbaren Personenkreis, etwa durch Videoüberwachung, erhoben, dann genügt es, wenn er die seinen schutzwürdigen Belangen angemessene Möglichkeit zur Kenntnisnahme hat.

(2) Bei öffentlichen Stellen dürfen Daten im Einzelfall ohne seine Kenntnis nur erhoben werden, wenn

1. eine Rechtsvorschrift dies vorsieht, zwingend voraussetzt oder der Betroffene eingewilligt hat,

2. die Bearbeitung eines vom Betroffenen gestellten Antrags ohne Kenntnis der Daten nicht möglich ist oder Angaben des Betroffenen überprüft werden müssen; der Betroffenen ist darauf hinzuweisen, bei welchen Personen oder Stellen seine Daten erhoben werden können,

3. die Abwehr erheblicher Nachteile für das Allgemeinwohl oder von Gefahren für Leben, Gesundheit und persönliche Freiheit dies gebietet,

4. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben oder

5. die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, daß schutzwürdige Belange des Betroffenen beeinträchtigt werden können.

(3) Beim Betroffenen und bei Dritten außerhalb des öffentlichen Bereichs dürfen Daten ohne seine Kenntnis nur erhoben werden, wenn der Schutz von Leben und Gesundheit oder die Abwehr einer erheblichen Gefährdung der natürlichen Lebensgrundlagen dies im Einzelfall gebietet oder eine Rechtsvorschrift dies vorsieht oder, soweit es sich um eine Rechtsvorschrift des Bundes handelt, zwingend voraussetzt.

(4) Werden Daten beim Betroffenen mit seiner Kenntnis erhoben, dann ist er von der datenverarbeitenden Stelle in geeigneter Weise über deren Anschrift, den Zweck der Datenerhebung sowie über seine Rechte nach § 8 aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Werden Daten bei dem Betroffenen auf Grund einer durch Rechtsvorschrift festgelegten Auskunftspflicht erhoben, dann ist er auf die Rechtsgrundlage hinzuweisen. Im übrigen ist er darauf hinzuweisen, daß er die Auskunft verweigern kann. Sind die Angaben für die Gewährung einer Leistung erforderlich, ist er über die möglichen Folgen einer Nichtbeantwortung aufzuklären.

(5) Werden Daten beim Betroffenen ohne seine Kenntnis erhoben, dann ist er davon zu benachrichtigen, sobald die rechtmäßige Erfüllung der Aufgaben dadurch nicht mehr gefährdet wird. Die Benachrichtigung umfaßt die Angabe der Rechtsgrundlage und die in Abs. 4 Satz 1 und 2 vorgesehene Aufklärung.

§ 13 Zweckbindung

(1) Personenbezogene Daten dürfen grundsätzlich nur für den Zweck weiterverarbeitet werden, für den sie erhoben oder gespeichert worden sind.

(2) Sollen personenbezogene Daten zu Zwecken verarbeitet werden, für die sie nicht erhoben oder gespeichert worden sind, dann ist dies nur aus den in § 12 Abs. 2 und 3 genannten Gründen zulässig. Besondere Amts- oder Berufsgeheimnisse bleiben unberührt.

(3) Sind personenbezogene Daten in Akten derart verbunden, daß ihre Trennung nach verschiedenen Zwecken nicht oder nur mit unvertretbar großem Aufwand möglich ist, so tritt an die Stelle der Trennung ein Verwertungsverbot nach Maßgabe von Abs. 2 für die Daten, die nicht dem Zweck der jeweiligen Verarbeitung dienen.

(4) Personenbezogene Daten, die für andere Zwecke erhoben worden sind, dürfen auch zur Ausübung von Aufsichts- und Kontrollbefugnissen sowie zu Ausbildungs- und Prüfungszwecken in dem dafür erforderlichen Umfang verwendet werden.

(5) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert we rden, dürfen nicht für andere Zwecke verwendet werden.

§ 14 Verantwortlichkeit für die Zulässigkeit der Datenübermittlung

Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Ist die Übermittlung zur Erfüllung von Aufgaben eines in § 3 Abs. 1 genannten Empfängers erforderlich, so trägt auch dieser hierfür die Verantwortung und hat sicherzustellen, daß die Erforderlichkeit nachträglich überprüft werden kann. Die übermittelnde Stelle hat in diesem Fall die Zuständigkeit des Empfängers und die Schlüssigkeit der Anfrage zu überprüfen. Bestehen im Einzelfall Zweifel an der Schlüssigkeit, so hat sie darüber hinaus die Erforderlichkeit zu überprüfen. Der Empfänger hat der übermittelnden Stelle die für ihre Prüfung erforderlichen Angaben zu machen.

§ 15 Gemeinsame Verfahren

(1) Die Einrichtung eines automatisierten Verfahrens, das mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglicht, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Benutzung des Verfahrens ist im Einzelfall nur erlaubt, wenn hierfür die Zulässigkeit der Datenverarbeitung gegeben ist. Vor der Einrichtung oder Änderung eines gemeinsamen Verfahrens ist der Hessische Datenschutzbeauftragte zu hören. Ihm sind die Festlegungen nach Abs. 2 Satz 1, das Verfahrensverzeichnis nach § 6 Abs. 1 und das Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3 vorzulegen.

(2) Die beteiligten Stellen bestimmen eine Stelle, der die Planung, Einrichtung und Durchführung des gemeinsamen Verfahrens obliegt und legen schriftlich fest

1. die Bezeichnung und die Aufgaben jeder beteiligten datenverarbeitenden Stelle sowie den Bereich der Datenverarbeitung, für deren Rechtmäßigkeit sie im Einzelfall verantwortlich ist und

2. die für die Durchführung des gemeinsamen Verfahrens nach § 10 Abs. 2 getroffenen technischen und organisatorischen Maßnahmen.

Die mit der Durchführung des gemeinsamen Verfahrens betraute Stelle verwahrt ein Doppel des von den beteiligten Stellen nach § 6 Abs. 1 zu erstellenden Verfahrensverzeichnisses und hält es zusammen mit den Angaben nach Satz 1 Nr. 1 zur Einsicht für die Öffentlichkeit bereit; dies gilt auch für die Angaben nach Satz 1 Nr. 2, soweit dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. § 6 Abs. 2 gilt entsprechend.

(3) Stellen, auf die dieses Gesetz keine Anwendung findet, können am gemeinsamen Verfahren beteiligt werden, wenn vertraglich sichergestellt ist, daß sie in diesem Verfahren die Bestimmungen dieses Gesetzes beachten und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwerfen.

(4) Die Betroffenen können ihre Rechte nach § 8 Abs. 1 Nr. 1 bis 5 gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle im Einzelfall für die Verarbeitung der betroffenen Daten verantwortlich ist. Die Stelle, an die der Betroffene sich wendet, leitet das Anliegen an die jeweils zuständige Stelle weiter. Das Auskunftsrecht nach § 18 erstreckt sich auch auf die Angaben nach Abs. 2 Satz 1 Nr. 1.

(5) Die Abs. 1, 2 und 4 Satz 3 gelten entsprechend, wenn innerhalb einer datenverarbeitenden Stelle ein gemeinsames automatisiertes Verfahren zur Verarbeitung personenbezogener Daten für verschiedene Zwecke eingerichtet wird.

§ 16 Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an Personen oder Stellen außerhalb des öffentlichen Bereichs ist über §§ 11 und 13 hinaus zulässig, wenn der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und keine Anhaltspunkte dafür bestehen, daß schutzwürdige Belange des Betroffenen beeinträchtigt werden können.

(2) Der Empfänger darf die übermittelten Daten nur zu dem Zweck verwenden, zu dessen Erfüllung sie ihm übermittelt wurden.

§ 17 Übermittlung an Empfänger außerhalb des Geltungsbereichs des Grundgesetzes

(1) Für die Zulässigkeit der Übermittlung personenbezogener Daten innerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie gelten die Vorschriften dieses Gesetzes.

(2) Eine Übermittlung an Empfänger außerhalb des in Abs. 1 genannten Bereichs ist auf Grund dieses Gesetzes nur zulässig, wenn sie ausschließlich im Intere sse des Betroffenen liegt oder beim Empfänger ein angemessener Datenschutz gewährleistet ist. Vor der Entscheidung über die Angemessenheit ist der Hessische Datenschutzbeauftragte zu hören. Sofern beim Empfänger kein angemessener Datenschutz gewährleistet ist, dürfen personenbezogene Daten nur übermittelt werden, wenn

1. der Betroffene seine Einwilligung gegeben hat,

2. die Übermittlung für die Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,

3. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder

4. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.

Der Empfänger, an den die Daten übermittelt werden, ist darauf hinzuweisen, daß die übermittelten Daten nur zu Zwecken verarbeitet werden dürfen, die mit den Zwecken zu vereinbaren sind, zu deren Erfüllung sie ihm übermittelt werden.

§ 18 Auskunft und Benachrichtigung

(1) Datenverarbeitende Stellen, die personenbezogene Daten automatisiert speichern, haben die Betroffenen von dieser Tatsache schriftlich zu benachrichtigen und dabei die Art der Daten sowie die Zweckbestimmung und die Rechtsgrundlage der Speicherung zu nennen. Die Benachrichtigung erfolgt zum Zeitpunkt der Speicherung oder im Fall einer beabsichtigten Übermittlung spätestens mit deren Durchführung. Dienen die Daten der Erstellung einer beabsichtigten Mitteilung an den Betroffenen, kann die Benachrichtigung mit dieser Mitteilung verbunden werden.

(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn

1. die Daten beim Betroffenen erhoben oder von ihm mitgeteilt worden sind,

2. die Verarbeitung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist,

3. der Betroffene auf andere Weise Kenntnis von der Verarbeitung seiner Daten erlangt hat,

4. die Benachrichtigung des Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert.

(3) Datenverarbeitende Stellen, die personenbezogene Daten automatisiert speichern, haben dem Betroffenen auf Antrag gebührenfrei Auskunft zu erteilen über

1. die zu seiner Person gespeicherten Daten

2. den Zweck und die Rechtsgrundlage der Verarbeitung sowie

3. die Herkunft der Daten und die Empfänger übermittelter Daten, soweit dies gespeichert ist.

In dem Antrag soll die Art der Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden.

(4) Abs. 1 und 3 gelten nicht für personenbezogene Daten, die deshalb gesperrt sind, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, sowie für solche Daten, die ausschließlich zum Zwecke der Datensicherung oder Datenschutzkontrolle gespeichert werden.

(5) Sind personenbezogene Daten in Akten gespeichert, die zur Person des Betroffenen geführt werden, dann kann er bei der speichernden Stelle Einsicht in die von ihm bezeichneten Akten verlangen. Werden die Akten nicht zur Person des Betroffenen geführt, hat er Angaben zu machen, die das Auffinden der zu seiner Person gespeicherten Daten mit angemessenem Aufwand ermöglichen. Die Einsichtnahme ist unzulässig, wenn die Daten des Betroffenen mit Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, daß ihre Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. In diesem Fall ist dem Betroffenen Auskunft nach Abs. 3 zu erteilen. Im übrigen kann ihm statt Einsicht Auskunft gewährt werden.

(6) Abs. 1 und 3 gelten nicht, soweit eine Abwägung ergibt, daß die dort gewährten Rechte des Betroffenen hinter dem öffentlichen Interesse an der Geheimhaltung oder einem überwiegenden Geheimhaltungsinteresse Dritter zurücktreten müssen. Die Entscheidung trifft der Leiter der speichernden Stelle oder dessen Stellvertreter. Werden Auskunft oder Einsicht nicht gewährt, ist der Betroffene unter Mitteilung der wesentlichen Gründe darauf hinzuweisen, daß er sich an den Hessischen Datenschutzbeauftragten wenden kann.

(7) Bei Prüfungs- und Berufungsverfahren können die in Abs. 1 bis 6 gewährten Rechte erst nach dem Verfahrensabschluß geltend gemacht werden.

§ 19 Berichtigung, Sperrung und Löschung

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.

(2) Personenbezogene Daten sind zu sperren, wenn

1. ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt,

2. ihre Verarbeitung unzulässig ist und die Löschung den Betroffenen in der Verfolgung seiner Rechte beeinträchtigen würde.

Bei automatisierten Verfahren ist die Sperrung grundsätzlich durch technische Maßnahmen sicherzustellen; im übrigen ist ein entsprechender Vermerk anzubringen.

Gesperrte Daten dürfen über die Speicherung hinaus nicht mehr verarbeitet werden, es sei denn, daß die Verarbeitung zur Behebung einer bestehenden Beweisnot oder aus sonstigen im rechtlichen Interesse eines Dritten liegenden Gründen unerläßlich ist oder der Betroffene in die Verarbeitung eingewilligt hat.

(3) Personenbezogene Daten sind unverzüglich zu löschen, sobald feststeht, daß ihre Speicherung nicht mehr erforderlich ist, um die Zwecke zu erfüllen, für die sie erhoben worden sind oder für die sie nach § 13 Abs. 2 und 4 weiterverarbeitet werden dürfen. Wenn bei der Speicherung nicht absehbar ist, wie lange die Daten benötigt werden, ist nach einer auf Grund der Erfahrung zu bestimmenden Frist zu prüfen, ob die Erforderlichkeit der Speicherung noch besteht. Satz 1 findet keine Anwendung, wenn Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden.

(4) Personenbezogene Daten sind zu löschen, wenn ihre Verarbeitung unzulässig ist.

(5) Empfänger personenbezogener Daten sind unverzüglich von der Berichtigung nach Abs. 1 sowie von der Sperrung nach Abs. 2 und der Löschung nach Abs. 4 zu unterrichten.

Die Unterrichtung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte bestehen, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden können.

(6) Sind personenbezogene Daten in Akten gespeichert, ist die Löschung nach Abs. 3 nur durchzuführen, wenn die gesamte zur Person des Betroffenen geführte Akte zur Erfüllung der dort genannten Aufgaben nicht mehr erforderlich ist. Die Abs. 1 bis 4 gelten nicht für Stellen, die Akten nur vorübergehend beigezogen haben.

§ 20 Schadensersatz

(1) Wird der Betroffene durch eine unzulässige oder unrichtige automatisierte Verarbeitung personenbezogener Daten in seinen Rechten nach § 1 Abs. 1 Nr. 1 beeinträchtigt, so hat ihm der Träger der datenverarbeitenden Stelle den daraus entstehenden Schaden zu ersetzen. In schweren Fällen kann der Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangen. Der Ersatzpflichtige haftet jedem Betroffenen für jedes schädigende Ereignis bis zu einem Betrag von fünfhunderttausend Deutsche Mark.

(2) Auf das Mitverschulden des Betroffenen und auf die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.

(3) Weitergehende sonstige Schade nsersatzansprüche bleiben unberührt.

(4) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

§ 21 Rechtsstellung

(1) Der Landtag wählt auf Vorschlag der Landesregierung den Hessischen Datenschutzbeauftragten.

(2) Der Präsident des Landtags verpflichtet den Hessischen Datenschutzbeauftragten vor dem Landtag, sein Amt gerecht zu verwalten und die Verfassung des Landes Hessen und das Grundgesetz für die Bundesrepublik Deutschland getreulich zu wahren.

(3) Der Hessische Datenschutzbeauftragte steht nach Maßgabe dieses Gesetzes in einem öffentlich-rechtlichen Amtsverhältnis. Das Amt kann auch einem Beamten im Nebenamt, einem beurlaubten Beamten oder einem Ruhestandsbeamten übertragen werden.

(4) Der Hessische Datenschutzbeauftragte wird für die Dauer der jeweiligen Wahlperiode des Landtags gewählt; nach dem Ende der Wahlperiode bleibt er bis zur Neuwahl im Amt. Die Wiederwahl ist zulässig. Vor Ablauf der Amtszeit kann er nur abberufen werden, wenn Tatsachen vorliegen, die bei einem Beamten die Entlassung aus dem Dienst rechtfertigen. Er kann jederzeit von seinem Amt zurücktreten. Er bestellt für den Fall seiner Verhinderung oder für den Fall seines vorzeitigen Ausscheidens aus dem Amt für die Zeit bis zur Wahl seines Nachfolgers einen Beschäftigten seiner Dienststelle zum Vertreter. Als Verhinderung gilt auch, wenn im Einzelfall in der Person des Hessischen Datenschutzbeauftragten Gründe vorliegen, die bei einem Richter zum Ausschluß von der Mitwirkung oder zur Ablehnung wegen Besorgnis der Befangenheit führen können.

(5) Der Hessische Datenschutzbeauftragte kann an den Sitzungen des Landtags und seiner Ausschüsse nach Maßgabe der Geschäftsordnung des Landtags teilnehmen und sich zu Fragen äußern, die für den Datenschutz von Bedeutung sind.

(6) Die Vergütung des Hessischen Datenschutzbeauftragten ist durch Vertrag zu regeln.

§ 22 Unabhängigkeit

Der Hessische Datenschutzbeauftragte ist als oberste Landesbehörde in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen.

§ 23 Verschwiegenheitspflicht

Der Hessische Datenschutzbeauftragte ist auch nach Beendigung seines Amtsverhältnisses verpflichtet, über die ihm bei seiner amtlichen Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu wahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der Hessische Datenschutzbeauftragte gilt als oberste Dienstbehörde im Sinne des § 96 der Strafprozeßordnung. Er entscheidet entsprechend nach den Bestimmungen über die Vorlage- und Auskunftspflichten von Behörden in den gerichtlichen Verfahrensordnungen. Er trifft die Entscheidungen nach §§ 75 und 76 des Hessischen Beamtengesetzes für sich und die ihm zugewiesenen Bediensteten in eigener Verantwortung.

§ 24 Aufgaben

(1) Der Hessische Datenschutzbeauftragte überwacht die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den datenverarbeitenden Stellen. Zu diesem Zwecke kann er Empfehlungen zur Verbesserung des Datenschutzes geben; insbesondere kann er die Landesregierung und einzelne Minister sowie die übrigen datenverarbeitenden Stellen in Fragen des Datenschutzes beraten. Die Gerichte unterliegen der Kontrolle des Hessischen Datenschutzbeauftragten, soweit sie nicht in richterlicher Unabhängigkeit tätig werden. Der Hessische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften auch bei den Stellen, die sich und soweit sie sich nach § 4 Abs. 3 Satz 1 seiner Kontrolle unterworfen haben.

(2) Der Hessische Datenschutzbeauftragte beobachtet die Auswirkungen der automatisierten Datenverarbeitung auf die Arbeitsweise und die Entscheidungsbefugnisse der datenverarbeitenden Stellen. Er hat insbesondere darauf zu achten, ob sie zu einer Verschiebung in der Gewaltenteilung zwischen den Verfassungsorganen des Landes, zwischen den Organen der kommunalen Selbstverwaltung und zwischen der staatlichen und der kommunalen Selbstverwaltung führen. Er soll Maßnahmen anregen, die ihm geeignet erscheinen, derartige Auswirkungen zu verhindern.

(3) Der Hessische Datenschutzbeauftragte arbeitet mit den Behörden und sonstigen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz im Bund und in den Ländern zuständig sind, zusammen.

(4) Zum Zwecke der Zusammenarbeit kann der Hessische Datenschutzbeauftragte von den nach den Vorschriften des Bundesdatenschutzgesetzes in Hessen für nicht-öffentliche Stellen zuständigen Aufsichtsbehörden Auskünfte verlangen. Bei der Überprüfung nicht-öffentlicher Stellen kann er mit seiner Zustimmung beteiligt werden. Gibt er der zuständigen Aufsichtsbehörde Verstöße gegen Datenschutzvorschriften bei nicht-öffentlichen Stellen bekannt, unterrichtet ihn die Aufsichtsbehörde von Zeitpunkt, Umfang und Ergebnis der Überprüfung.

§ 25 Gutachten und Untersuchungen

(1) Der Landtag und die Landesregierung können den Hessischen Datenschutzbeauftragten mit der Erstattung von Gutachten und der Durchführung von Untersuchungen in Datenschutzfragen und Fragen des freien Zugangs zu Informationen betrauen.

(2) Der Landtag, der Präsident des Landtags und die in § 38 Abs. 3 genannten Vertretungsorgane können verlangen, daß der Hessische Datenschutzbeauftragte untersucht, aus welchen Gründen Auskunftsersuchen nicht oder nicht ausreichend beantwortet wurden.

§ 26 Frist

Soweit der Hessische Datenschutzbeauftragte auf Grund einer Rechtsvorschrift gehört wird, teilt er unverzüglich mit, ob und innerhalb welcher Frist er eine Stellungnahme abgeben wird.

§ 27 Beanstandungen durch den Hessischen Datenschutzbeauftragten

(1) Stellt der Hessische Datenschutzbeauftragte Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er dies

1. bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,

2. bei den Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen von Satz 1 Nr. 2 unterrichtet der Hessische Datenschutzbeauftragte gleichzeitig auch die zuständige Aufsichtsbehörde.

(2) Der Hessische Datenschutzbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt.

(3) Mit der Beanstandung kann der Hessische Datenschutzbeauftragte Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.

(4) Die gemäß Abs. 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Hessischen Datenschutzbeauftragten getroffen worden sind. Die in Abs. 1 Satz 1 Nr. 2 genannten Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme an den Hessischen Datenschutzbeauftragten zu.

§ 28 Anrufung des Hessischen Datenschutzbeauftragten

(1) Jeder kann sich an den Hessischen Datenschutzbeauftragten wenden, wenn er annimmt, bei der Verarbeitung seiner personenbezogenen Daten durch datenverarbeitende Stellen, ausgenommen die Gerichte, soweit sie nicht in Verwaltungsangelegenheiten tätig werden, in seinen Rechten verletzt worden zu sein. Niemand darf dafür gemaßregelt oder benachteiligt werden, daß er sich auf Grund tatsächlicher Anhaltspunkte für einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz an den Hessischen Datenschutzbeauftragten wendet.

(2) Beschäftigte öffentlicher Stellen können sich ohne Einhaltung des Dienstweges an den Hessischen Datenschutzbeauftragten wenden. Die dienstrechtlichen Pflichten der Beschäftigten bleiben im übrigen unberührt.

§ 29 Auskunftsrecht des Hessischen Datenschutzbeauftragten

(1) Alle datenverarbeitenden Stellen und ihre Auftragnehmer sind verpflichtet, den Hessischen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen.

Ihm ist dabei insbesondere

1. Auskunft zu seinen Fragen sowie Einsicht in alle Unterlagen zu gewähren, die in Zusammenhang mit der Verarbeitung personenbezogener Daten stehen,

2. Zutritt zu allen Diensträumen zu gewähren.

(2) Die Rechte nach Abs. 1 dürfen nur vom Hessischen Datenschutzbeauftragten persönlich ausgeübt werden, wenn die oberste Landesbehörde im Einzelfall feststellt, daß die Sicherheit des Bundes oder eines Landes dies gebietet. In diesem Fall müssen personenbezogene Daten eines Betroffenen, dem von der datenverarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch ihm gegenüber nicht offenbart werden.

(3) Der Hessische Datenschutzbeauftragte ist über Verfahrensentwicklungen und Gesetze svorhaben im Zusammenhang mit der automatisierten Verarbeitung personenbezogener Daten rechtzeitig und umfassend zu unterrichten.

§ 30 Berichtspflicht

(1) Zum 31. Dezember jeden Jahres hat der Hessische Datens chutzbeauftragte dem Landtag und der Landesregierung einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Er gibt dabei auch einen Überblick über die technischen und organisatorischen Maßnahmen nach § 10 und regt Verbesserungen des Datenschutzes an. Zwischenberichte sind zulässig.

(2) Die Landesregierung legt ihre Stellungnahme zu dem Haupt- oder Zwischenbericht dem Landtag vor. Zusammen mit der Stellungnahme zum Hauptbericht gibt sie einen Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich zuständigen Aufsichtsbehörden.

§ 31 Personal- und Sachausstattung

(1) Dem Hessischen Datenschutzbeauftragten ist vom Präsidenten des Landtags die für die Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Landtags in einem eigenen Kapitel auszuwe isen.

(2) Die Beamten werden auf Vorschlag des Hessischen Datenschutzbeauftragten ernannt.

Ihr Dienstvorgesetzter ist der Hessische Datenschutzbeauftragte, an dessen Weisungen sie ausschließlich gebunden sind. Für sonstige Beschäftigte gelten Satz 1 und 2 entsprechend.

§ 32 Datenverarbeitung für Planungszwecke

(1) Für Zwecke der öffentlichen Planung können personenbezogene Daten gesondert verarbeitet werden. Die Verarbeitung soll von der übrigen Verwaltung personell und organisatorisch getrennt erfolgen.

(2) Die zu Planungszwecken gespeicherten personenbezogenen Daten dürfen nicht für andere Verwaltungszwecke genutzt werden. Sobald es der Zweck der Planungsaufgabe erlaubt, sind die zu diesem Zweck verarbeiteten personenbezogenen Daten so zu verändern, daß sie sich weder auf eine bestimmte Person beziehen noch eine solche erkennen lassen. Eine Übermittlung von Daten, aus denen Rückschlüsse auf Einzelpersonen gezogen werden können, ist unzulässig.

§ 33 Datenverarbeitung für wissenschaftliche Zwecke

(1) Zum Zwecke wissenschaftlicher Forschung dürfen datenverarbeitende Stellen personenbezogene Daten ohne Einwilligung des Betroffenen im Rahmen bestimmter Forschungsvorhaben verarbeiten, soweit dessen schutzwürdige Belange wegen der Art der Daten, ihrer Offenkundigkeit oder der Art ihrer Verwendung nicht beeinträchtigt werden.

Der Einwilligung des Betroffenen bedarf es auch nicht, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange des Betroffenen überwiegt und der Zweck der Forschung nicht auf andere Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Im Falle des Satz 2 bedarf die Verarbeitung durch Stellen des Landes der vorherigen Genehmigung der obersten Landesbehörde oder einer von dieser bestimmten Stelle. Die Genehmigung muß den Empfänger, die Art der zu übermittelnden personenbezogenen Daten, den Kreis der Betroffenen und das Forschungsvorhaben bezeichnen und ist dem Hessischen Datenschutzbeauftragten mitzuteilen.

(2) Sobald der Forschungszweck dies erlaubt, sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert zu speichern; die Merkmale sind zu löschen, sobald der Forschungszweck dies zuläßt.

(3) Eine Verarbeitung der nach Abs. 1 übermittelten Daten zu anderen als Forschungszwecken ist unzulässig. Die nach Abs. 1 Satz 2 übermittelten Daten dürfen nur mit Einwilligung des Betroffenen weiterübermittelt werden.

(4) Soweit die Vorschriften dieses Gesetzes auf den Empfänger keine Anwendung finden, dürfen personenbezogene Daten nur übermittelt werden, wenn sich der Empfänger verpflichtet, die Vorschriften der Abs. 2 und 3 einzuhalten und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwirft.

§ 34 Datenschutz bei Dienst- und Arbeitsverhältnissen

(1) Der Dienstherr oder Arbeitgeber darf Daten seiner Beschäftigten nur verarbeiten, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung es vorsieht. Die für das Personalaktenrecht geltenden Vorschriften des Hessischen Beamtengesetzes sind, soweit tarifvertraglich nichts anderes geregelt ist, auf Angestellte und Arbeiter im öffentlichen Dienst entsprechend anzuwenden.

(2) Abweichend von § 16 Abs. 1 ist eine Übermittlung der Daten von Beschäftigten an Personen und Stellen außerhalb des öffentlichen Bereichs nur zulässig, wenn der Empfänger ein rechtliches Interesse darlegt, der Dienstverkehr es erfordert oder der Betroffene eingewilligt hat. Die Übermittlung an einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung des Betroffenen zulässig.

(3) Das Auskunftsrecht nach § 18 Abs. 3 umfaßt auch die Art der automatisierten Auswertung der Daten des Beschäftigten. § 18 Abs. 6 findet keine Anwendung.

(4) Im Falle des § 19 Abs. 3 Satz 1 sind die Daten der Beschäftigten zu löschen. Daten, die vor der Eingehung eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, daß ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. Dies gilt nicht, wenn Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden.

(5) Vor Einführung, Anwendung, Änderung oder Erweiterung eines automatisierten Verfahrens zur Verarbeitung von Daten der Beschäftigten hat die Dienststelle das Verfahrensverzeichnis (§ 6) der Personalvertretung im Rahmen des personalvertretungsrechtlichen Beteiligungsverfahrens mit dem Hinweis vorzulegen, daß sie eine Stellungnahme des Hessischen Datenschutzbeauftragten fordern kann. Macht die Personalvertretung von dieser Möglichkeit Gebrauch, beginnt die von ihr einzuhaltende Frist erst mit der Vorlage der von der Dienststellenleitung einzuholenden Stellungnahme.

(6) Daten der Beschäftigten, die im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach § 10 Abs. 2 gespeichert werden, dürfen nicht zu Zwecken der Verhaltens- oder Leistungskontrolle ausgewertet werden.

§ 35 Übermittlung an öffentlich-rechtliche Religionsgesellschaften

Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften ist in entsprechender Anwendung der Vorschriften über die Übermittlung an öffentliche Stellen nur zulässig, sofern sichergestellt ist, daß bei dem Empfänger gleichwertige Datenschutzmaßnahmen getroffen werden.

§ 36 Fernmessen und Fernwirken

Wer eine Datenverarbeitungs- oder Übertragungseinrichtung zu dem Zweck nutzt, bei einem Betroffenen, insbesondere in der Wohnung oder in den Geschäftsräumen ferngesteuert Messungen vorzunehmen oder andere Wirkungen auszulösen, bedarf dessen Einwilligung.

§ 37 Datenverarbeitung des Hessischen Rundfunks zu journalistisch-redaktionellen Zwecken

(1) Führt die journalistisch-redaktionelle Verarbeitung personenbezogener Daten zur Veröffentlichung von Gegendarstellungen der Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.

(2) Der Rundfunkrat bestellt einen Beauftragten für den Datenschutz, der die Ausführung von Abs. 1 und § 10 sowie anderer Vorschriften über den Datenschutz im journalistischredaktionellen Bereich frei von Weisungen überwacht. An ihn kann sich jedermann wenden, wenn er annimmt, bei der Verarbeitung personenbezogener Daten zu journalistisch-redaktionellen Zwecken in seinen Rechten verletzt worden zu sein.

Beanstandungen richtet der Beauftragte für den Datenschutz an den Intendanten und unterrichtet gleichzeitig den Rundfunkrat. Die Dienstaufsicht obliegt dem Verwaltungsrat.

(3) Dem nach Abs. 2 zu bestellenden Beauftragten für den Datenschutz können auch die Aufgaben nach § 5 zugewiesen werden.

§ 38 Auskunftsrecht des Landtags und der kommunalen Vertretungsorgane

(1) Die Hessische Zentrale für Datenverarbeitung, die Kommunalen Gebietsrechenzentren und die Landesbehörden, die Datenverarbeitungsanlagen betreiben, sind verpflichtet, dem Landtag, dem Präsidenten des Landtags und den Fraktionen des Landtags die von diesen im Rahmen ihrer Zuständigkeit verlangten Auskünfte auf Grund der gespeicherten Daten zu geben, soweit Programme zur Auswertung vorhanden sind. Die Auskünfte dürfen keine personenbezogenen Daten enthalten. Den Auskünften darf ein gesetzliches Verbot oder ein öffentliches Interesse nicht entgegenstehen; dem Auskunftsrecht des Landtags steht ein öffentliches Interesse in der Regel nicht entgegen. Der Landtag hat Zugriff zu den Daten, soweit durch technische Maßnahmen sichergestellt ist, daß die Grenzen der Sätze 1 bis 3 eingehalten werden.

(2) Der Landtag kann von der Landesregierung Auskünfte über die bestehenden Verfahren verlangen, die für Auskünfte oder den Zugriff nach Abs. 1 geeignet sind. Das Auskunftsverlangen kann sich erstrecken auf

1. den Namen des Verfahrens mit kurzer Funktionsbeschreibung,

2. die vorhandenen Verfahren,

3. den Aufbau der Datensätze mit Angaben über den Inhalt und die Ordnungskriterien,

4. die vorhandenen Auswertungsprogramme,

5. die zuständige Behörde

(3) Das Auskunftsrecht nach Abs. 1 steht im Rahmen ihrer Zuständigkeiten den Gemeindevertretungen und den Kreistagen sowie deren Fraktionen und den entsprechenden Organen anderer in § 3 Abs. 1 genannten Körperschaften und Anstalten gegenüber der Hessischen Zentrale für Datenverarbeitung, dem zuständigen Kommunalen Gebietsrechenzentrum und den Behörden der Gemeinden und Gemeindeverbände zu, die Datenverarbeitungsanlagen betreiben. Der Antrag der Fraktionen ist in den Gemeinden über den Gemeindevorstand, in den Kreisen über den Kreisausschuß zu leiten.

§ 39 Verarbeitung personenbezogener Daten durch den Landtag und die kommunalen Vertretungsorgane

(1) Mit Ausnahme der §§ 1 Abs. 1 Nr. 2, 25 und 38 gelten die Vorschriften dieses Gesetzes für den Landtag nur, soweit er in Verwaltungsangelegenheiten tätig wird, insbesondere wenn es sich um die wirtschaftlichen Angelegenheiten des Landtags, die Personalverwaltung oder die Ausführung von gesetzlichen Vorschriften, deren Vollzug dem Präsidenten des Landtags zugewiesen ist, handelt. Im übrigen gibt sich der Landtag unter Berücksichtigung seiner verfassungsrechtlichen Stellung eine Datenschutzordnung. Sie findet auf die für die Fraktionen und Abgeordneten tätigen Personen entsprechende Anwendung.

(2) Die Landesregierung darf personenbezogene Daten, die für andere Zwecke erhoben worden sind, zur Beantwortung parlamentarischer Anfragen sowie zur Vorlage von Unterlagen und Berichten im Rahmen der Geschäftsordnung des Hessischen Landtags in dem dafür erforderlichen Umfang verwenden. Dies gilt nicht, wenn die Übermittlung der Daten wegen ihres streng persönlichen Charakters für die Betroffenen unzumutbar ist. Besondere gesetzliche Übermittlungsverbote bleiben unberührt.

(3) Von der Landesregierung übermittelte personenbezogene Daten dürfen nicht in Landtagsdrucksachen aufgenommen oder in sonstiger Weise allgemein zugänglich gemacht werden. Dies gilt nicht, wenn keine Anhaltspunkte dafür bestehen, daß schutzwürdige Belange der Betroffenen beeinträchtigt werden.

(4) Abs. 2 gilt entsprechend für die Verwaltungsbehörden der Gemeinden und Gemeindeverbände im Rahmen ihrer jeweiligen Auskunftspflichten nach der Hessischen Gemeindeordnung und der Hessischen Landkreisordnung.

§ 40 Straftaten

(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, personenbezogene Daten entgegen den Vorschriften dieses Gesetzes

1. erhebt, speichert, zweckwidrig verwendet, verändert, übermittelt, zum Abruf bereithält oder löscht,

2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung an sich oder einen Dritten veranlaßt, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Abs. 1 findet nur Anwendung, soweit die Tat nicht in anderen Vorschriften mit Strafe bedroht ist.

§ 41 Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer entgegen § 16 Abs. 2 oder § 33 Abs. 3 Daten nicht nur für den Zweck verwendet, zu dessen Erfüllung sie ihm übermittelt wurden.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark geahndet werden.

§ 42 Übergangsvorschrift

Auf Akten, die bei Inkrafttreten des Gesetzes vorhanden waren, ist § 19 Abs. 1, 4 und 6 nur anwendbar, wenn die speichernde Stelle die Voraussetzungen für die Berichtigung,

Löschung oder Sperrung bei der Erfüllung ihrer laufenden Aufgaben feststellt.

§ 43 Aufhebung bisherigen Rechts

Das Hessische Datenschutzgesetz vom 31. Januar 1978 (GVBl. I S. 96) (2), geändert durch Gesetz vom 14. Oktober 1980 (GVBl. I S. 377), sowie die Hessische Verordnung über die Veröffentlichung der Angaben über gespeicherte personenbezogene Daten vom 1. November 1978 (GVBl. I S. 553) (3) und die Hessische Verordnung über die vom Hessischen Datenschutzbeauftragten zu führenden Dateienregister vom 8. Dezember 1978 (GVBl. I S. 682) (4) werden aufgehoben.

§ 44 (5) Inkrafttreten

Dieses Gesetz tritt am 1. Januar 1987 in Kraft.

——————————————————————-

(1) § 6 tritt am 1. Juni 1999 in Kraft.

(2)  Hebt auf GVBl. II 300-19

(3)  Hebt auf GVBl. II 300-21

(4)  Hebt auf GVBl. II 300-22

(5)  § 44 betrifft das Inkrafttreten des Gesetzes vom 11. November 1986. Das Dritte Gesetz zur Änderung des Hessischen Datenschutzgesetzes ist – mit Ausnahme des § 6 – am Tages nach seiner Verkündung in Kraft getreten. § 6 tritt am 1. Juni 1999  in Kraft.

Vorstehend sind die Änderungen des Artikels 1 des Dritten Gesetzes zur Änderung des Hessischen Datenschutzgesetzes eingearbeitet. Die Änderungen anderer Gesetze (Hessisches Krankenhausgesetz, Hessisches Schulgesetz, Hessisches Privatrundfunkgesetz, Gesetz über das Landesamt für Verfassungsschutz) durch Artikel 3 des Gesetzes sind hier nicht enthalten.

Verifica preliminare del Garante per la protezione dei dati personali del 26 luglio 2006.
Rfid: sicurezza merci e controlli presenze presso aeroporti.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Esaminata la richiesta di verifica preliminare presentata da Alha Airport S.p.a. ai sensi dell'art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visti gli atti d'ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personali biometrici di lavoratori con finalità di accesso ad aree riservate aeroportuali e di verifica della presenza dei dipendenti

1.1. Alha Airport S.p.a. –società che, in possesso della qualifica di “Agente di handling autorizzato” rilasciata dal Servizio vigilanza prevenzione di polizia e procedure aeroportuali dell'E.n.a.c., svolge attività di movimentazione a terra di merci e passeggeri in ambito aeroportuale (ora disciplinata dal d.lg. 13 gennaio 1999, n. 18)– ha presentato a questa Autorità una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, relativa al trattamento di dati biometrici (ricavati dalla lettura delle impronte digitali) del personale che ha accesso ad alcuni locali della propria sede operativa dell'aeroporto di Milano-Malpensa: si tratterebbe, in particolare, di un magazzino di stoccaggio delle merci e di un caveau (nel quale sono depositati beni di particolare valore). Tali ambienti sono ubicati nelle c.d. aree “sterili” (“security restricted area”), soggette a controlli e procedure inerenti la tutela della sicurezza e dell'ordine pubblico previsti dal “Programma nazionale di sicurezza” per esigenze “[…] di tutela di persone e cose e di prevenzione del rischio […] di atti terroristici […]” (cfr. d.P.R. 4 luglio 1985, n. 461); analogo sistema verrebbe altresì installato per accedere agli uffici della società presenti nell'area aeroportuale.

La società ha dichiarato e documentato di dover rispettare, oltre alle procedure del Programma nazionale di sicurezza che mirano a “[…] prevenire l'introduzione illecita, nelle stive degli aeromobili, di armi non autorizzate, di ordigni, di esplosivi e di ogni altro oggetto in grado di causare grave turbativa al normale svolgimento del traffico aereo civile”, anche ulteriori prescrizioni di sicurezza impartite dalla Direzione di aeroporto a seguito di deliberazioni del Comitato di sicurezza aeroportuale, con particolare riferimento all'art. 5 dell'ordinanza n. 8/2006 dell'E.n.a.c. Direzione Aeroportuale Milano–Malpensa che prevede la possibilità di ingressi a soggetti autorizzati attraverso varchi “configurati in modo da consentire l'accesso, ad una persona per volta, dopo aver inserito il proprio badge, associato ad un P.I.N., nell'apposito lettore”. In luogo di questo sistema la medesima disposizione ammette, previa approvazione dell'E.n.a.c., l'utilizzo di sistemi biometrici.

L'installazione contribuirebbe inoltre a scongiurare il reiterarsi di episodi di indebita sottrazione di merci di vari vettori aerei già avvenuti nell'aeroporto di Malpensa “[…] a causa della mancanza di sistemi di sicurezza ausiliari rispetto a quelli già imposti […]” dal Programma nazionale di sicurezza (cfr. comunicazione Alha Airport S.p.a. del 31 gennaio 2006).

Il sistema biometrico (da installare a presidio di cinque accessi ai locali sopra menzionati, e che secondo la società garantirebbe un accertamento più rigoroso dell'identità del personale autorizzato ad accedere ai locali sopra menzionati) sarebbe altresì preordinato alla rilevazione della presenza dei dipendenti della società.

1.2. La società ha dichiarato che i lavoratori interessati alla rilevazione biometrica (circa 190 dipendenti di Alha Airport S.p.a., oltre ai componenti della Direzione di Firenze della società e 100 soci/lavoratori delle cooperative “La Corsica” e “Riz”) sarebbero quelli che “[…] per necessità operative hanno l'esigenza di transitare/accedere nelle aree sterili (magazzino e caveau) […]”; il personale della società “[…] che presta il proprio lavoro in ufficio (impiegati) e che non ha necessità d'accesso in magazzino e/o caveau, non sarà obbligato ad entrare da varchi regolati da sistema biometrico” (cfr. comunicazione Alha Airport s.p.a. del 14 giugno 2006).

1.3. Il sistema di verifica biometrica sarebbe costituito da dispositivi di lettura di impronte digitali non centralizzati, ma totalmente autonomi nello svolgimento della procedura di identificazione biometrica (in quanto dotati di un proprio microprocessore e di un propria memoria di lavoro), nonché da un software per la trasformazione in un codice numerico dell'impronta rilevata in occasione di ogni ingresso all'area riservata, codice poi confrontato con il template precedentemente ricavato dalla lettura dell'impronta dell'interessato e cifrato “[…] solo su una smart card, anziché nella memoria interna dei dispositivi […]” posta nell'esclusiva disponibilità del lavoratore. L'associazione tra i due codici, preceduta dalla lettura della tessera, consentirebbe l'accesso all'area riservata (cfr. comunicazione Alha Airport S.p.a. del 31 gennaio 2006 e punto 8 della comunicazione Alha Airport S.p.a. del 14 giugno 2006).

I dati trattati, oltre a quelli biometrici estratti dall'analisi delle impronte digitali, sarebbero nome e cognome, numero di matricola, codice assegnato al badge utilizzato quale supporto del template e profilo di autorizzazione individuale.

2. I principi di necessità, liceità, finalità e pertinenza nel trattamento di dati biometrici dei lavoratori. Insussistenza di tali presupposti fuori delle “aree sensibili”

2.1. La raccolta e la registrazione di impronte digitali e dei dati biometrici da esse ricavati e successivamente utilizzati per l'autenticazione o l'identificazione degli interessati sono operazioni di trattamento di dati personali (art. 4, comma 1, lett. b), del Codice), alle quali trova applicazione la normativa contenuta nel Codice (v. Provv. 19 novembre 1999, in Boll. n. 10, p. 68, doc. web n. 42058; 21 luglio 2005, in Boll. n. 63, doc. web n. 1150679; 23 novembre 2005, in Boll. n. 66, doc. web n. 1202254; in merito, v. pure il documento di lavoro sulla biometria del Gruppo art. 29, direttiva 95/46/CE–Wp 80-, punto 3.1.).

La liceità del sistema deve essere pertanto valutata sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice).

2.2. Gli elementi acquisiti nel caso di specie consentono di ritenere che, in relazione ai soli accessi al magazzino e al caveau, sia lecito e proporzionato il trattamento di dati biometrici consistente nell'identificazione (per quanto possibile) certa dei dipendenti della società medesima abilitati all'accesso (oltre che dei soci/lavoratori facenti capo alle società cooperative “La Corsica” e “Riz” che cooperano con Alha Airport S.p.a.).

Come già affermato da questa Autorità (Provv. 15 giugno 2006, in http://www.garanteprivacy.it, doc. web n. 1306098), l'utilizzo di dati biometrici può risultare infatti giustificato solo in casi particolari. Occorre a tal fine tenere conto delle finalità e del contesto in cui essi sono trattati. In relazione a luoghi di lavoro come quelli in esame, risulta proporzionato utilizzare i sistemi in esame per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte (si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti, di varia natura: cfr. Provv. 23 novembre 2005, in http://www.garanteprivacy.it, doc. web n. 1202254) o in ragione dei beni ivi custoditi (quali, documenti segreti o riservati o oggetti di valore) oppure, nella situazione in esame, per assicurare la sicurezza di terzi.

Nel caso di specie, i locali dove la società svolge le proprie attività di assistenza a terra (correlate all'ordinato svolgimento del traffico aeroportuale) risultano allo stato richiedere l'adozione di standard di sicurezza specifici ed elevati, nonché di affidabili sistemi di identificazione dei soggetti deputati ad accedervi in conformità alle procedure previste dalla vigente normativa a garanzia della sicurezza di persone e cose (cfr. d.P.R. 4 luglio 1985, n. 461).

Alla luce delle circostanze menzionate, non risulta quindi sproporzionato l'uso di dati biometrici tratti delle impronte digitali nei locali sopra indicati, tenendo conto anche del fatto che il template, memorizzato sulla smart card e che verrebbe protetto con una chiave crittografica (cfr. punto 11 della comunicazione Alha Airport S.p.a. del 14 giugno 2006), è destinato a restare nell'esclusiva disponibilità dell'interessato.

2.3. Analoga valutazione non può essere invece estesa nei confronti del trattamento di dati biometrici previsto per l'accesso ad uffici della società rispetto ai quali, allo stato degli atti, non è stata fornita dalla società idonea prova della sussistenza di analoghe stringenti esigenze di sicurezza che, in conformità ai principi di necessità e proporzionalità (artt. 3 e 11 del Codice), giustifichino l'utilizzo di dati biometrici in luogo di altri strumenti meno invasivi.

2.4. Il trattamento di dati biometrici sopra descritto non risulta altresì lecito per perseguire la diversa finalità di rilevazione della presenza dei dipendenti della società. Ciò, sia in quanto la società non ha addotto ragioni specifiche a sostegno della necessità di ricorrere a tale peculiare modalità di verifica dell'osservanza dell'orario di lavoro, già dichiarata sproporzionata in passato dal Garante (cfr. Provv. 21 luglio 2005, doc. web n. 1150679; da ultimo Provv.ti del 15 giugno 2006, in http://www.garanteprivacy.it, docc. web nn. 1306523, 1306530 e 1306551) –limitandosi ad accennare all'esigenza, che parrebbe essere di natura prettamente organizzativa, di evitare la contemporanea presenza di due sistemi di controllo concorrenti–, sia perché ne sarebbe prevista l'introduzione nei soli confronti dei dipendenti destinati ad accedere all'area riservata, ad esclusione dei restanti lavoratori della società.

La verifica dell'esatto adempimento della prestazione lavorativa può essere quindi legittimamente perseguita, nel caso di specie, senza ricorrere ad alcun trattamento di dati biometrici (nel rispetto dell'art. 3 del Codice), avvalendosi pertanto di altro idoneo sistema a tal fine predisposto.

3. Qualità dei dati e misure di sicurezza rispetto al trattamento dei dati biometrici, informativa agli interessati e notificazione del trattamento. Necessità dello scrupoloso rispetto di prescrizioni nelle “aree sensibili”

3.1. Nelle “aree sensibili”, e nella misura in cui il trattamento in esame risulti proporzionato nei termini predetti, occorre comunque avvalersi di un sistema efficace di verifica e di identificazione biometrica basato solo sulla lettura delle impronte digitali memorizzate, sotto forma di template cifrato, su un supporto posto nell'esclusiva disponibilità dell'interessato (smart card o dispositivo analogo). Diversamente da quanto prefigurato dalla società tale supporto dovrà essere poi privo di indicazioni nominative (essendo sufficiente l'attribuzione a ciascun dipendente di un codice individuale), sì che, pure in caso di smarrimento del medesimo, siano remote le possibilità di abuso rispetto ai dati biometrici memorizzati.

3.2. Le misure di sicurezza che si intende predisporre a protezione dei dati sono conformi alle disposizioni fissate dal Codice, alla luce di quanto dichiarato dalla società con riguardo al fatto che: i template verrebbero crittografati; il software di gestione (protetto da password) e i dispositivi di creazione delle tessere saranno ubicati in una central room sorvegliata permanentemente per prevenire accessi non autorizzati al sistema ed operazioni di trattamento da parte di soggetti non autorizzati; l'attestato di cui alla regola n. 25 del Disciplinare tecnico in materia di misure minime di sicurezza (Allegato “B” al Codice) ed ogni altra idonea certificazione od omologazione dei dispositivi impiegati verranno rilasciati dall'installatore del sistema e conservati dalla società presso la propria struttura; la società designerà per iscritto il responsabile del centro elaborazione dati (deputato alla raccolta dei dati biometrici) e la persona preposta all'attivazione delle smart card assegnate ai lavoratori quali incaricati delle relative operazioni di trattamento, impartendo loro idonee istruzioni alle quali attenersi (art. 30 del Codice).

In aggiunta alle misure di sicurezza prescritte dal Codice, la società dovrà adottare ulteriori accorgimenti a protezione dei dati, impartendo agli interessati apposite istruzioni scritte alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione delle smart card loro affidate (cfr. punto 19 della comunicazione Alha Airport S.p.a. del 14 giugno 2006).

3.2. Si prende poi atto di quanto dichiarato dalla società circa il fatto che tutti i lavoratori interessati all'utilizzo del sistema in esame riceveranno un'informativa scritta completa degli elementi previsti dal Codice (art. 13) rispetto al trattamento di dati biometrici che intende porre in essere; la medesima dovrà tener conto delle modifiche al sistema biometrico derivanti dal presente provvedimento.

3.3. La società resta altresì tenuta a raccogliere il consenso degli interessati (per l'utilizzo di dati biometrici); in relazione all'eventualità che alcuni lavoratori non possano o non intendano aderire alla rilevazione biometrica effettuata nei termini di cui in motivazione, risulta comunque praticabile il sistema alternativo di identificazione, peraltro espressamente richiesto all'art. 5 dell'ordinanza n. 8/2006 dell'E.n.a.c.–Direzione aeroportuale Milano–Malpensa (che riconosce come facoltativo, il sistema biometrico), consistente, come detto, nell'utilizzo unitamente al badge, di un codice individuale (P.I.N.). L'esistenza di tale sistema alternativo deve essere evidenziata nell'informativa agli interessati.

3.4. La società resta parimenti tenuta a notificare al Garante il trattamento dei dati biometrici prima che abbiano inizio le operazioni di trattamento (art. 37, comma 1, lett. a), del Codice), a rispettare, sussistendone i presupposti, la disciplina del controllo a distanza dei lavoratori (art. 4, comma 2, l. 20 maggio 1970, n. 300; art. 114 del Codice) e a richiedere la formale approvazione da parte dell'E.n.a.c., in conformità all'art. 5 della menzionata ordinanza n. 8/2006 della Direzione aeroportuale Milano–Malpensa.

4. Conservazione dei dati

I dati personali necessari per realizzare il template potranno essere trattati esclusivamente durante la fase di enrollment.

I dati memorizzati dovranno essere accessibili al personale preposto al rispetto delle misure di sicurezza all'interno della società per l'esclusiva finalità dell'osservanza delle medesime; potranno essere inoltre conservati per il tempo massimo di sette giorni assicurando, oltre tale arco temporale, meccanismi di cancellazione automatica dei dati. Il medesimo intervallo temporale, in assenza di disposizioni di legge o di provvedimenti dell'autorità aeroportuale e, comunque, più precise indicazioni da parte della società, appare ragionevole, tenendo conto dei beni custoditi nell'area riservata (che si intendono con tale sistema proteggere), la cui sottrazione potrebbe essere scoperta a distanza di tempo.

5. Conclusioni
La società potrà effettuare il trattamento di dati personali dichiarati qualora rispetti le misure e gli accorgimenti a garanzia degli interessati prescritti con il presente provvedimento, in attuazione del Codice, i quali vanno osservati affinché il medesimo trattamento sia lecito e corretto anche ai fini dell'eventuale applicazione di sanzioni penali (artt. 17 e 167 del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

preso atto del trattamento di dati biometrici effettuato mediante un sistema di verifica basato sul confronto tra le impronte rilevate ad ogni accesso all'area riservata e il template, memorizzato e cifrato su un supporto che resti nell'esclusiva disponibilità dei lavoratori interessati (punti 1. e 2.2.), prescrive ad Alha Airport S.p.a., ai sensi degli artt. 17 e 154, comma 1, lett. c), del Codice, di adottare tutte le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione fra cui, in particolare:

di trattare, oltre ai dati biometrici estratti dell'analisi delle impronte digitali, i soli dati necessari al funzionamento del sistema biometrico: un codice identificativo individuale, un codice assegnato al badge utilizzato quale supporto del template e il profilo di autorizzazione individuale;

di indicare l'esistenza del sistema alternativo di identificazione nell'informativa agli interessati;
di conservare i dati relativi agli orari di accesso alle aree riservate per il tempo massimo di sette giorni (punto 4);

vieta, ai sensi dell'art. 154, comma 1, lett. d), del Codice, il trattamento dei dati biometrici fuori delle aree riservate, nonché il trattamento effettuato mediante il sistema descritto in narrativa per le finalità di rilevazione della presenza dei lavoratori (punto 2.4.).

Roma, 26 luglio 2006

IL PRESIDENTE, Pizzetti

IL RELATORE, Fortunato

IL SEGRETARIO GENERALE, Buttarelli

O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:

Artigo 1º.- Os arts. 59 e 66 da Lei nº 9.504, de 30 de setembro de 1997, com as alterações introduzidas pela Lei nº 10.408, de 10 de janeiro de 2002, passam a vigorar com a seguinte redação:

Artigo 2º.- São revogados os arts. 61-A, da Lei nº 9.504, de 30 de setembro de 1997, e 4º da Lei nº 10.408, de 10 de janeiro de 2002.

Artigo 3º.- Esta Lei entra em vigor na data de sua publicação, observado o disposto no Artigo 16 da Constituição Federal, com a redação dada pela Emenda Constitucional nº 4, de 1993.

Brasília, 1º de outubro de 2003; 182º da Independência e 115º da República.

LUIZ INÁCIO LULA DA SILVA
Márcio Thomaz Bastos

Direttiva Presidenza del Consiglio dei Ministri. Dipartimento per l´innovazione e le Tecnologie 18 novembre 2005.

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIE

DIRETTIVA 18 novembre 2005

Linee guida per la Pubblica amministrazione digitale.

IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE

Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri;

Vista la legge 7 agosto 1990, n. 241, recante “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi”;

Vista la legge 7 giugno 2000, n. 150, recante “Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni”;

Visto il decreto del Presidente delle Repubblica 28 dicembre 2000, n. 445, recante “testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”;

Visto il decreto-legge 14 marzo 2005, n. 35, convertito, con modificazioni, in legge 14 maggio 2005, n. 80, recante “Disposizioni urgenti nell'ambito del Piano di azione per lo sviluppo economico, sociale e territoriale”;

Visto il decreto legislativo 28 febbraio 2005, n. 42, che prevede l'istituzione del sistema pubblico di connettività e della rete internazionale della pubblica amministrazione;

Visto il decreto legislativo 7 marzo 2005, n. 82, recante “Codice dell'amministrazione digitale”, che sancisce e disciplina l'uso delle tecnologie dell'informazione e della comunicazione nell'azione
amministrativa;

Visto il decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, che disciplina la posta elettronica certificata;

Visto il decreto del Presidente del Consiglio dei Ministri del 6 maggio 2005, recante “Delega di funzioni in materia di innovazione e tecnologie” al Ministro senza portafoglio dott. Lucio Stanca;

Viste le “Linee guida del Governo per lo sviluppo della società dell'informazione nella legislatura”, approvate dal Consiglio dei Ministri in data 31 maggio 2002, nelle quali, tra gli obiettivi da
raggiungere prioritariamente, é indicata la diffusione dell'impiego della posta elettronica nella pubblica amministrazione;

Vista la direttiva del Ministro per l'innovazione e le tecnologie del 27 novembre 2003 per l'impiego della posta elettronica nelle pubbliche amministrazioni, pubblicata nella Gazzetta Ufficiale del
12 gennaio 2004, n. 8;

Vista la direttiva del Ministro per l'innovazione e le tecnologie del 18 dicembre 2003, avente ad oggetto le “Linee guida in materia di digitalizzazione dell'Amministrazione per l'anno 2004”, pubblicata nella Gazzetta Ufficiale n. 28 del 4 febbraio 2004;

Vista la direttiva del Ministro per l'innovazione e le tecnologie del 4 gennaio 2005 avente ad oggetto “Linee guida in materia di digitalizzazione della pubblica amministrazione per l'anno 2005”,
pubblicata nella Gazzetta Ufficiale n. 35 del 12 febbraio 2005;

Considerato che un maggior impiego delle tecnologie informatiche nelle comunicazioni con i cittadini aumenta l'efficienza delle pubbliche amministrazioni e favorisce notevoli risparmi;

Ritenuta la necessità di fornire indicazioni operative alle pubbliche amministrazioni in vista dell'entrata in vigore del citato decreto legislativo n. 82 del 2005;

E m a n a

la seguente direttiva:

LINEE GUIDA PER LA PUBBLICA AMMINISTRAZIONE DIGITALE

Premessa.

La presente direttiva é indirizzata a tutte le amministrazioni dello Stato e agli enti pubblici sottoposti alla vigilanza ministeriale; per le Regioni e gli enti locali e territoriali costituisce un contributo alle determinazioni in materia, nel rispetto della loro autonomia amministrativa ed organizzativa.

L'emanazione del decreto legislativo 7 marzo 2005 n. 82, recante “Codice dell'amministrazione digitale” (di seguito indicato come “Codice”) e del decreto legislativo del 28 febbraio 2005 n. 42, che ha istituito il “sistema pubblico di connettivita” e la “rete internazionale della pubblica amministrazione”, segna un determinante passo avanti nel processo di modernizzazione della pubblica amministrazione fornendo gli strumenti normativi necessari a dare al processo di digitalizzazione. La puntuale disciplina di fondamentali istituti quali, ad esempio, le firme elettroniche, il documento informatico, la posta elettronica, la carta nazionale dei servizi e la carta di identità elettronica, attribuisce alla pubblica amministrazione gli strumenti tecnico-giuridici attraverso cui
ripensare la propria organizzazione in chiave digitale al fine di fornire a cittadini ed imprese i propri servizi “on line” realizzando, nel contempo, una progressiva riduzione dei costi ed un incremento della efficienza e della trasparenza.

Il “Codice dell'amministrazione digitale” che entrerà in vigore il 1° gennaio 2006 sancisce obblighi e fissa termini in vista dei quali é opportuno che le amministrazioni si preparino adeguatamente.

Attraverso un esame generale dei principali istituti trattati dalle richiamate norme, la presente direttiva vuole, pertanto, costituire un momento di riflessione e di stimolo per questa ulteriore e nuova sfida alla quale tutta la P.A. é chiamata indicando di seguito alcuni punti fondamentali dei quali le amministrazioni dovranno fin d'ora assicurare l'attuazione.

1) Comunicazione telematica tra pubblica amministrazione e cittadini.

L'art. 3 del codice sancisce il principio generale in base al quale i cittadini e le imprese hanno il diritto di “richiedere” e di “ottenere” l'uso delle tecnologie telematiche nelle comunicazioni con
le pubbliche amministrazioni centrali e con i gestori di pubblici servizi statali.

Il medesimo principio é ripreso anche dal decreto-legge 14 marzo 2005, n. 35 “Disposizioni urgenti nell'ambito del Piano di azione per lo sviluppo economico, sociale e territoriale”, convertito, con
modificazioni, nella legge 14 maggio 2005, n. 80 che, al comma 3-quater dell'art. 7, stabilisce l'obbligo per le amministrazioni statali di ricevere nonché inviare, ove richiesto, in via telematica, nel rispetto della normativa vigente, la corrispondenza, i documenti e tutti gli atti relativi ad ogni adempimento amministrativo.

a) Comunicazione esterna e posta elettronica:

l'obbligo di comunicare per via telematica con i cittadini e le imprese che lo richiedano presuppone che l'amministrazione si adoperi per rendersi facilmente raggiungibile telematicamente; si rende,
pertanto, necessario esporre ed evidenziare adeguatamente, sui siti istituzionali di ogni amministrazione, gli indirizzi di posta elettronica utilizzabili dai cittadini, rendendo facilmente
reperibili gli indirizzi di posta elettronica degli uffici competenti per gli atti ed i procedimenti di maggiore interesse, con l'indicazione di quelli abilitati alla posta certificata.

Si segnala che le medesime informazioni devono essere inserite anche nel sito www.indicepa.gov.it

Si rammenta inoltre che, ai sensi dell'art. 54 del codice, le amministrazioni sono tenute, fra l'altro, ad evidenziare sul proprio sito i principali procedimenti di competenza indicando gli eventuali termini, il nome del responsabile e l'unità organizzativa responsabile dell'istruttoria, nonché l'elenco dei servizi già disponibili in rete e di quelli di imminente attivazione.

b) Servizi telematici di informazione preventiva:

nell'ottica di una proficua collaborazione tra pubblica amministrazione e cittadino, é utile che le amministrazioni provvedano ad organizzarsi per realizzare servizi di informazione preventiva in modalità telematica, al fine di fornire tempestivamente, per posta elettronica, a coloro che lo abbiano esplicitamente richiesto, informazioni, documenti e notizie in merito a scadenze (amministrative, tributarie, ecc…) o a pagamenti da effettuare, moduli o formulari per richieste o eventuali rinnovi, ecc. L'amministrazione dovrà adeguatamente pubblicizzare tale servizio, non appena attivato. Un ruolo di rilievo potrebbe essere svolto, in tal senso, dagli uffici relazioni con il pubblico, conformemente ai rilevanti compiti affidatigli dalla legge n. 150 del 2000.

I cittadini che avranno cura di comunicare il proprio indirizzo di posta elettronica potranno anche ricevere, con congruo anticipo, informazioni relative ai documenti personali e alle licenze che hanno
durata predeterminata di cui sono titolari, allorché la relativa validità sia prossima alla scadenza. Riceveranno, altresi, telematicamente i moduli necessari per l'eventuale rinnovo.

Sarà opportuno che ogni amministrazione provveda, preliminarmente, ad un'accurata selezione delle informazioni che possono essere fornite a richiesta, in via telematica, organizzandole e classificandole per categorie, quali per esempio:

a) informazioni specifiche e documenti d'interesse individuale del cittadino o dell'impresa;

b) informazioni relative a comunicazioni istituzionali (es. avviso circa la realizzazione da parte della singola amministrazione di un nuovo servizio);

c) informazioni collegate a scadenze o adempimenti da assolvere nei confronti della pubblica amministrazione.

Le amministrazioni dovranno evidenziare, comunque, che il cittadino é tenuto ad assolvere i propri obblighi legati agli adempimenti scadenzati, a prescindere dall'effettiva ricezione della comunicazione da parte dell'amministrazione.

2) Comunicazione interna alle pubbliche amministrazioni.

é stata piu' volte ribadita, in particolare nella direttiva per l'impiego della posta elettronica nelle pubbliche amministrazioni, datata 27 novembre 2003, pubblicata nella Gazzetta Ufficiale 12 gennaio 2004, n. 8, l'importanza strategica che l'utilizzo intensivo ed esteso della posta elettronica riveste nell'ottica di un cambiamento radicale della pubblica amministrazione. Lo strumento della posta elettronica, inteso come mezzo di comunicazione e trasmissione di documenti, informazioni, dati (sia all'interno della P.A. che nei confronti dei terzi) presenta caratteristiche di economicità, semplicità e velocità di trasmissione, facilità di archiviazione, possibilità di invio multiplo, integrabilità con altri strumenti ed applicazioni telematiche e infine, di affidabilità.

Per tali motivi l'art. 47 del codice sancisce che “Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono di norma mediante l'utilizzo della posta elettronica”, precisando che
esse sono valide ai fini del procedimento amministrativo se ne sia verificata la provenienza specificando le modalità che consentono la verifica della “provenienza” delle comunicazioni allo scopo di conferire ad esse efficacia legale certa.

Si rammenta inoltre che, dal primo gennaio del 2006, tutte le pubbliche amministrazioni dovranno privilegiare l'uso della posta elettronica come canale di comunicazione anche con i propri dipendenti.

Alla luce delle considerazioni svolte, la prosecuzione delle tradizionali forme di comunicazione, nonostante sussista la possibilità di ricorrere alla posta elettronica, configura l'inosservanza di una disposizione di legge e una fattispecie di improprio uso di denaro pubblico.

3) Carta Nazionale dei Servizi.

La Carta Nazionale dei Servizi (CNS) é lo strumento informatico che le pubbliche amministrazioni rilasciano ai cittadini per consentire loro di accedere, attraverso la rete, a quei servizi per i quali sia necessaria l'identificazione in rete del soggetto. La CNS é regolamentata ai sensi del decreto del Presidente della Repubblica 2 marzo 2004, n. 117 che ne stabilisce le modalità d'uso e di
diffusione.

La possibilità di supportare molteplici contenuti la rende strumento di grande utilità. Alcune amministrazioni regionali hanno già utilizzato la CNS, in alcuni casi cumulandone le funzionalità
con quelle della Tessera Sanitaria (TS), con notevole vantaggio anche ai fini dell'accesso alle prestazioni mediche ed ospedaliere.

Al fine di accelerarne ed armonizzarne la diffusione, si rende opportuno che le pubbliche amministrazioni locali che intendano avviare progetti di emissione della CNS in regioni che abbiano già avviato la diffusione della CNS, in linea con quanto disposto dall'art. 50 del decreto-legge 30 settembre 2003, n. 269, promuovano specifici accordi con la Regione stessa.

Tenuto conto che il numero di CNS in circolazione é di oltre dieci milioni e che molte sono in procinto di essere emesse, tutte le pubbliche amministrazioni che erogano servizi in rete devono
provvedere – in coerenza con quanto previsto nell'art. 5, comma 2 del decreto del Presidente della Repubblica 2 marzo 2004, n. 117 – a consentire l'accesso ai servizi ai titolari di tutte le CNS,
indipendentemente dall'ente di emissione delle stesse.

Contestualmente, le amministrazioni sono tenute a dare esplicita pubblicità nei propri siti istituzionali della possibilità di usufruire dei servizi offerti ai cittadini utilizzando la CNS come strumento di accesso.

Si segnala che, in attuazione dell'art. 1 commi 192 e seguenti, della legge 30 dicembre 2004, n. 311, (legge finanziaria 2005), e del decreto del Presidente del Consiglio dei Ministri 31 maggio 2005, pubblicato nella Gazzetta Ufficiale 18 giugno 2005, n. 140, il Centro nazionale per l'informatica nella pubblica amministrazione (di seguito Cnipa) é in procinto di stipulare con il vincitore della apposita procedura di gara, un contratto quadro per la fornitura di un quantitativo massimo di 3 milioni di CNS, che consentirà alle amministrazioni l'acquisizione di carte di riconoscimento in rete e dei relativi servizi di gestione con procedure semplificate, con costi ridotti e con la garanzia di controllo della qualità e della rispondenza agli standard di interoperabilità. Si raccomanda alle amministrazioni il ricorso al predetto contratto quadro che la richiamata legge finanziaria prescrive “ai fini del miglioramento della efficienza operativa della pubblica amministrazione e per il contenimento della spesa pubblica”.

4) Transazioni economiche on line.

Nel corso di questi ultimi anni, in conformità alle direttive del Ministro per l'innovazione e le tecnologie ed in attuazione della prima fase del “Piano nazionale di e-government”, le pubbliche
amministrazioni hanno reso disponibili molti servizi on line per cittadini ed imprese, taluni dei quali prevedono anche il versamento di una somma di denaro (a titolo di pagamento di tasse, imposte,
contributi, diritti di segreteria ecc. …). Tuttavia, soltanto alcune amministrazioni hanno reso possibile l'effettuazione di tali pagamenti in modalità telematica.

é, quindi, necessario che le pubbliche amministrazioni consentano all'utente, nell'ambito della medesima procedura telematica, l'effettuazione del pagamento, a qualunque titolo ad esse dovuto.

é, peraltro, auspicabile che sia prevista l'utilizzazione di una pluralità di canali di pagamento elettronico per fornire agli utenti la libera scelta tra diverse opzioni (internet, sportelli bancomat
ecc. …).

Al fine di semplificare le operazioni di contabilizzazione e controllo dei pagamenti effettuati é opportuno che essi siano univocamente identificabili attraverso un codice, generato automaticamente, che individui l'ente cui il pagamento é diretto, la tipologia di pagamento (tributi, contributi, diritti, ecc. …) e la data del pagamento.

Ai fini della corretta autenticazione dell'utente potranno essere utilizzate la Carta nazionale dei servizi o la Carta di identità elettronica, strumenti che garantiscono anche il necessario livello di sicurezza.

Al fine di incentivare i pagamenti in modalità telematica ed in considerazione dei risparmi gestionali che ne possono derivare, le amministrazioni dovranno ricercare soluzioni che consentano di
contenerne il costo a carico dell'utente entro limiti massimi non superiori a quelli di altri mezzi di pagamento.

5) Conferenza di servizi on line.

La conferenza di servizi, disciplinata dalla legge 7 agosto 1990, n. 241, costituisce un nodo centrale della semplificazione del procedimento amministrativo essendo il luogo ideale in cui competenze
ed interessi diversi vengono ad essere rappresentati trovando il necessario raccordo e coordinamento. Si tratta di un modulo organizzativo volto a consentire la partecipazione al medesimo procedimento di diverse amministrazioni ed enti che, in un'unica sede ed in tempi rapidi, giungono all'adozione di un unico provvedimento amministrativo condiviso.

La recente modifica della legge n. 241/1990, operata dalla legge 11 febbraio 2005, n. 15, ha significativamente inciso sulla sua disciplina, semplificandone ulteriormente le modalità di svolgimento ed introducendo, tra le novità piu' rilevanti, la possibilità di effettuare la conferenza di servizi attraverso l'uso dell'informatica. Il comma 5-bis dell'art. 14 della legge n. 241/1990, peraltro, richiamato dall'art. 41, comma 3, del codice afferma, infatti, che “previo accordo tra le amministrazioni coinvolte, la conferenza dei servizi é convocata e svolta avvalendosi degli strumenti informatici disponibili, secondo i tempi e le modalità stabiliti dalle amministrazioni medesime”.

Il quadro normativo attuale e la varietà di strumenti tecnologici disponibili consentono già alla P.A. di svolgere la propria attività in modo piu' efficiente ed efficace; l'uso dell'informatica per la conferenza di servizi consente anche il superamento dei vincoli spaziali e temporali, facilitando ulteriormente il raccordo tra le amministrazioni con conseguente riduzione dei tempi e dei costi.

Infatti, attraverso l'uso degli strumenti informatici, le pubbliche amministrazioni coinvolte in un unico procedimento amministrativo potranno essere convocate e partecipare ad una conferenza di servizi
assicurando la contemporanea partecipazione alle riunioni dei loro rappresentanti, anche da un luogo diverso dalla sede dell'amministrazione procedente, virtualmente unite dal contemporaneo
utilizzo di collegamenti telematici (conferenza svolta in modalità sincrona) ovvero, collegandosi al tavolo virtuale della conferenza in tempi diversi (conferenza svolta in modalità asincrona). La scelta
riguardo alla modalità ritenuta piu' adeguata alla singola fase ed alla tipologia di conferenza e di interessi coinvolti é demandata all'accordo preventivamente raggiunto dalle medesime amministrazioni.

Si precisa che, nell'ambito delle proprie competenze, il Cnipa é stato incaricato di predisporre un'apposita procedura informatica utilizzabile da tutte le amministrazioni pubbliche ed in grado di
consentire la convocazione e l'effettuazione delle conferenze di servizi in modo semplice ed univoco, nel pieno rispetto della normativa vigente. Detta procedura, basata sull'uso di strumenti informatici di larga diffusione (posta elettronica, sistemi di chatting, forum, video o teleconferenza, ecc. …), consentirà l'adeguamento alle specifiche fasi ed esigenze di ogni conferenza.

Attraverso una specifica sperimentazione saranno verificate sul campo tutte le funzionalità della piattaforma in modo da renderne omogenea ed uniforme l'applicazione.

Le economie scaturenti dall'uso della suddetta piattaforma realizzeranno l'ulteriore obiettivo di rendere la conferenza di servizi uno dei piu' efficaci strumenti di semplificazione e razionalizzazione dell'azione amministrativa.

6) Sicurezza dei sistemi informativi.

Lo sviluppo della comunicazione telematica con cittadini e imprese e la conseguente necessità di operare sulla rete rendono essenziale l'adozione di adeguate misure di sicurezza informatica per rispondere all'esigenza di garantire riservatezza e integrità dei contenuti, continuità e disponibilità dei servizi.

Si richiamano le seguenti disposizioni del codice la cui attuazione richiede particolari cautele dal punto di vista della sicurezza informatica: l'art. 5 (Effettuazione dei pagamenti con modalità
informatiche), l'art. 51 (Sicurezza dei dati), l'art. 57 (Moduli e formulari); non vanno sottovalutati, inoltre, gli aspetti relativi alla sicurezza in relazione agli articoli 31 (Obblighi di sicurezza) e 34 (Trattamento con strumenti elettronici) del decreto legislativo “Codice in materia di protezione dei dati personali”.

é, pertanto, necessario che le pubbliche amministrazioni statali che non vi abbiano già provveduto, attuino quanto già previsto nella direttiva sulla sicurezza informatica e delle telecomunicazioni del 16 gennaio 2002 che, all'allegato 2, prevede che esse definiscano, progettino e realizzino, misure relative: all'organizzazione della sicurezza (al riguardo vedasi anche l'art. 17 del codice, “Strutture per l'organizzazione, l'innovazione e le tecnologie”);

alla gestione della sicurezza;

all'analisi e gestione del rischio;

al controllo fisico/logico degli accessi;

alla protezione antivirus;

alla gestione dei supporti;

tenendo conto, altresi', delle indicazioni del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni raccolte nell'apposito documento “Proposte
concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione” consultabile sui siti www.innovazione.gov.it e www.cnipa.gov.it

7) Strutture per l'organizzazione, l'innovazione e le tecnologie.

Infine, si rammenta che le amministrazioni statali, ai sensi dell'art. 17 del codice, per garantire l'attuazione delle disposizioni normative e delle direttive volte alla riorganizzazione e alla digitalizzazione della P.A., devono individuare un “centro di competenza” interno cui afferiscano, tra l'altro, i compiti di coordinamento strategico dello sviluppo dei sistemi informativi, di indirizzo, coordinamento e monitoraggio dello sviluppo dei servizi sia interni che esterni, di analisi e cooperazione alla revisione della organizzazione dell'amministrazione, di garanzia della coerenza
tra l'organizzazione e l'utilizzo delle tecnologie dell'informazione e della comunicazione, nonché di promozione delle iniziative necessarie ad assicurare la piu' rapida attuazione della presente
direttiva.

Si sottolinea che la norma usa la generica espressione “centro di competenza” affinché ciascuna amministrazione possa identificarlo nella struttura organizzativa (Direzione, Dipartimento, Ufficio,
ecc..) ritenuta piu' idonea nell'ambito della propria organizzazione, anche in considerazione del fatto che presso varie pubbliche amministrazioni esistono già strutture cui sono demandate tali funzioni.

La presente direttiva sarà inviata ai competenti organi di controllo e sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 18 novembre 2005

Il Ministro: Stanca

Registrata alla Corte dei conti il 29 dicembre 2005
Ministeri istituzionali – Presidenza del Consiglio dei Ministri,
registro n. 14, foglio n. 32

A Assembleia da República decreta, nos termos da alínea c) do artigo 161º da Constituição, o seguinte:

CAPÍTULO I.- Disposições gerais

Artigo 1º.- Objecto e âmbito de aplicação

1 – A presente lei regula o regime especial aplicável:

a) À instalação e utilização de sistemas de vigilância electrónica, por meio de câmaras digitais, de vídeo ou fotográficas, de sistemas de localização e de sistemas de fiscalização electrónica da velocidade (sistemas de vigilância electrónica rodoviária) pela EP – Estradas de Portugal, E. P. E. (EP), nas vias de circulação rodoviária incluídas na rede rodoviária nacional e nas estradas regionais não integradas nas redes municipais, e pelas concessionárias rodoviárias (concessionárias) nas respectivas zonas concessionadas (zona concessionada) para captação e gravação de dados e seu posterior tratamento;

b) À criação e utilização pela EP de sistemas de gestão de eventos e pelas concessionárias de sistemas de informação contendo o registo dos acidentes e incidentes ocorridos nas respectivas zonas concessionadas (sistemas de informação de acidentes e incidentes).

2 – Ficam expressamente excluídos do âmbito da presente lei:

a) Os sistemas de vigilância instalados nas áreas de serviço das vias de circulação rodoviária previstas no número anterior, bem como o registo dos acidentes e incidentes aí ocorridos;

b) Os tratamentos de dados no âmbito dos sistemas de vigilância electrónica rodoviária, dos sistemas de informação de acidentes e incidentes e dos sistemas de monitorização de tráfego e de contagem e classificação de veículos que não permitam identificar os utentes das vias de circulação rodoviária previstas no número anterior.

3 – Para efeitos do disposto nos números anteriores, consideram-se:

a) “Acidente” qualquer evento não desejado que tenha por resultado lesão de pessoa ou um dano material;

b) “Incidente” qualquer acontecimento ou episódio não desejado ou não programado susceptível de deteriorar as condições de segurança ou gerar perigo ou ameaça à normal circulação rodoviária;

c) “Sistemas de localização” as infra-estruturas e aplicações que facultem, qualquer que seja a tecnologia utilizada, o conhecimento do posicionamento geográfico de elementos móveis que transitem em vias de circulação rodoviária ou das suas características técnicas, comunicando os dados pertinentes a uma central de comando e controlo;

d) “Áreas de serviço” as instalações marginais às auto-estradas e às restantes vias de circulação rodoviária destinadas a apoio dos seus utentes, designadamente postos de abastecimento de combustíveis, unidades de restauração e instalações hoteleiras.

4 – Quaisquer referências feitas na presente lei a câmaras digitais, de vídeo ou fotográficas entendem-se extensíveis a qualquer outro meio técnico análogo, bem como a qualquer sistema que permita a realização das gravações nele previstas.

5 – São aplicáveis, para os fins da presente lei, as definições constantes do artigo 3º da Lei nº 67/98, de 26 de Outubro, com as necessárias adaptações.

Artigo 2º.- Finalidades

1 – A instalação e a utilização de sistemas de vigilância electrónica rodoviária e a criação e utilização de sistemas de informação de acidentes e incidentes nos termos da presente lei são autorizadas com vista à melhoria das condições de prevenção e segurança rodoviárias e à garantia do cumprimento dos deveres dos condutores.

2 – Os sistemas de vigilância electrónica rodoviária e os sistemas de informação de acidentes e incidentes visam unicamente:

a) A protecção e segurança das pessoas e bens, públicos ou privados, no que respeita à circulação rodoviária;

b) O controlo e monitorização do tráfego rodoviário;

c) A detecção e prevenção de acidentes;

d) A prestação de assistência rodoviária;

e) A apreciação e detecção de situações relacionadas com o pagamento e falta de pagamento de taxas de portagem, designadamente para efeitos de aplicação de coimas, resolução e resposta a reclamações ou pedidos de esclarecimento formulados pelas concessionárias e utentes.

3 – A aplicação do disposto no número anterior não prejudica o uso desses sistemas para protecção e segurança das pessoas e bens, nos termos e para os efeitos do disposto no Decreto-Lei nº 207/2005, de 29 de Novembro.

Artigo 3º.- Protecção de dados

1 – A utilização de sistemas de vigilância electrónica rodoviária e de sistemas de informação de acidentes e incidentes rege-se pelo disposto na Lei nº 67/98, de 26 de Outubro, quanto ao tratamento e recolha de dados pessoais, em tudo o que não se encontrar especialmente regulado na presente lei.

2 – A utilização de sistemas de vigilância electrónica rodoviária e de sistemas de informação de acidentes e incidentes é fiscalizada pela Comissão Nacional de Protecção de Dados (CNPD), com vista a assegurar que os sistemas sejam comprovadamente idóneos, adequados e necessários para atingir o objectivo proposto e sejam salvaguardados os direitos, liberdades e garantias dos cidadãos.

CAPÍTULO II.- Sistemas

SECÇÃO I.- Sistemas de vigilância electrónica rodoviária

Artigo 4º.- Regras gerais

1 – A EP e as concessionárias ficam autorizadas a instalar e utilizar sistemas de vigilância electrónica rodoviária e a, nesse âmbito, tratar dados pessoais, nos termos da presente lei.

2 – O tratamento de imagens deve concretizar-se estritamente para os fins legalmente autorizados e é vedado quando afecte, de forma directa e imediata, a intimidade da vida privada das pessoas.

Artigo 5º.- Dados objecto de tratamento

No âmbito da utilização dos sistemas de vigilância electrónica rodoviária, podem ser tratados os seguintes dados:

a) Imagem;

b) Dados de localização;

c) Velocidade;

d) Data e hora do registo;

e) Tipo e descrição da ocorrência.

Artigo 6º.- Responsável pelo tratamento

1 – O responsável pelo tratamento de dados pessoais é, em relação ao sistema de vigilância electrónica rodoviária que operar:

a) A EP;

b) A concessionária da zona concessionada.

2 – Sem prejuízo do disposto no número anterior e das obrigações decorrentes dos contratos de concessão, o responsável pelo tratamento dos dados pessoais pode optar por um subcontratante para realizar operações de tratamento desde que para o efeito:

a) Tais operações estejam regidas por um contrato escrito que vincule o subcontratante ao responsável pelo tratamento e que estabeleça que o subcontratante não pode proceder ao tratamento dos dados sem instruções do responsável pelo tratamento, salvo por força de obrigações legais;

b) O subcontratante fique igualmente vinculado às obrigações que decorrem da presente lei para o responsável pelo tratamento.

Artigo 7º.- Prazo de conservação

1 – Sem prejuízo das regras previstas no Decreto-Lei nº 207/2005, de 29 de Novembro, e salvo decisão judicial, os dados pessoais obtidos pelos sistemas de vigilância electrónica rodoviária podem ser conservados pelo período máximo de 180 dias contados da data da respectiva recolha ou captação, não sendo aplicável o disposto na alínea f) do nº 1 do artigo 23º da Lei nº 67/98, de 26 de Outubro.