Decisión de la Comisión 2004/915/CE, de 27 de diciembre de 2004

Decisión de la Comisión de 27 de diciembre de 2004 por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [1], y, en particular, el apartado 4 de su artículo 26,

Considerando lo siguiente:

(1) A fin de facilitar los flujos de datos procedentes de la Comunidad, es conveniente que los responsables del tratamiento estén en condiciones de realizar transferencias de datos a escala mundial ateniéndose a un único conjunto de normas de protección de datos. En ausencia de una normativa internacional en esta materia, las cláusulas contractuales tipo constituyen una herramienta de gran utilidad que permite transferir datos personales desde todos los Estados miembros con arreglo a un conjunto de normas comunes. En este sentido, la Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE [2], establece un conjunto de cláusulas contractuales tipo que prevé garantías adecuadas para la transferencia de datos a terceros países.

(2) Desde la adopción de dicha Decisión se ha adquirido una rica experiencia. Además, un consorcio de asociaciones empresariales [3] ha presentado un conjunto alternativo de cláusulas contractuales tipo, pensado para ofrecer un nivel de protección de datos equivalente al proporcionado por el conjunto de cláusulas adoptado por la Decisión 2001/497/CE, aunque utilizando mecanismos diferentes.

(3) Dado que el uso de cláusulas contractuales tipo en las transferencias internacionales de datos tiene carácter voluntario (este tipo de cláusulas es sólo una de las distintas posibilidades recogidas en la Directiva 95/46/CE para la transferencia lícita de datos personales a terceros países), los exportadores de datos en la Comunidad y los importadores de datos en terceros países deberían poder optar por cualquiera de los conjuntos de cláusulas contractuales tipo o elegir otro fundamento jurídico para la transferencia de datos. Sin embargo, cada conjunto constituye un todo coherente, por lo que no es recomendable reconocer a los exportadores la posibilidad de modificar total o parcialmente estos conjuntos ni de combinarlos.

(4) Las cláusulas contractuales tipo propuestas por las asociaciones empresariales tienen por objeto potenciar el uso de cláusulas contractuales entre los operadores, por ejemplo flexibilizando los requisitos en materia de auditoría o precisando las normas que regulan el derecho de acceso.

(5) Por otra parte, el conjunto que ahora se presenta contiene, como alternativa al sistema de responsabilidad solidaria previsto en la Decisión 2001/497/CE, un régimen de responsabilidad basado en la obligación de diligencia debida, en virtud del cual el exportador y el importador de datos responderían ante los interesados por el incumplimiento de sus obligaciones contractuales respectivas. El exportador es asimismo responsable si no realiza esfuerzos razonables para determinar si el importador es capaz de cumplir las obligaciones jurídicas que le incumben en virtud de las cláusulas (culpa in eligendo), pudiendo el interesado emprender acciones contra el exportador de datos a este respecto. El cumplimiento de la letra b) de la cláusula I del nuevo conjunto de cláusulas contractuales tipo reviste particular importancia a este respecto, sobre todo a la vista de la posibilidad que se reconoce al exportador de datos de efectuar auditorías en las instalaciones del importador de datos o de exigir pruebas que demuestren que dispone de suficientes recursos financieros para cumplir sus responsabilidades.

(6) En cuanto al ejercicio de los derechos de tercero beneficiario por parte de los interesados, se prevé una mayor intervención del exportador de datos en la resolución de las reclamación de los interesados, estando aquél obligado a ponerse en contacto con el importador de datos y, en su caso, a hacerle cumplir el contrato en el plazo normal de un mes. Si el exportador de datos se niega a esto último y persiste el incumplimiento por parte del importador, el interesado podrá invocar las cláusulas contra el importador de datos y, llegado el caso, demandarlo ante los tribunales de un Estado miembro. Esta aceptación de la jurisdicción y el acuerdo de acatar la decisión de un tribunal o de una autoridad de protección de datos competentes debería entenderse sin perjuicio de cualquier derecho procesal de los importadores de datos establecidos en terceros países, por ejemplo en materia de apelación.

(7) No obstante, a fin de evitar los abusos a que pudiera dar lugar esta mayor flexibilidad, conviene reconocer a las autoridades de protección de datos la facultad de prohibir o suspender más fácilmente las transferencias de datos basadas en el nuevo conjunto de cláusulas contractuales tipo cuando el exportador de datos rehúse tomar medidas apropiadas contra el importador de datos para hacerle cumplir las obligaciones contractuales o este último se niegue a cooperar de buena fe con las autoridades de control competentes en materia de protección de datos.

(8) El uso de cláusulas contractuales tipo se hace sin perjuicio de la aplicación de las disposiciones nacionales adoptadas de conformidad con la Directiva 95/46/CE o con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) [4], en especial en lo tocante al envío de comunicaciones comerciales con fines de marketing directo a los ciudadanos de la Unión Europea.

(9) A la vista de todo lo dicho, las garantías contenidas en las cláusulas contractuales tipo presentadas pueden considerarse suficientes en el sentido del apartado 2 del artículo 26 de la Directiva 95/46/CE.

(10) El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen [5] sobre el nivel de protección que ofrecen las cláusulas contractuales tipo que aquí se presentan. Este dictamen se ha tenido en cuenta.

(11) Con objeto de valorar el funcionamiento de las modificaciones de la Decisión 2001/497/CE, conviene que la Comisión las evalúe tres años después de su notificación a los Estados miembros.

(12) La Decisión 2001/497/CE debería modificarse en consecuencia.

(13) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité establecido de conformidad con el artículo 31 de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

La Decisión 2001/497/CE quedará modificada como sigue:

1) En el artículo 1 se añadirá el párrafo siguiente:

«Los responsables del tratamiento podrán optar por uno de los conjuntos —I o II— recogidos en el anexo. Sin embargo, no podrán modificar las cláusulas ni combinar elementos de distintas cláusulas ni los conjuntos.»

2) Los apartados 2 y 3 del artículo 4 se sustituirán por el texto siguiente:

«2. A efectos del apartado 1, cuando el responsable del tratamiento ofrezca garantías suficientes derivadas de las cláusulas contractuales tipo contenidas en el conjunto II del anexo, las autoridades competentes responsables de la protección de datos podrán ejercer sus facultades para prohibir o suspender los flujos de datos en cualquiera de los siguientes casos:

a) si el importador de datos se niega a cooperar de buena fe con las autoridades responsables de la protección de datos o a cumplir las obligaciones que le incumben claramente en virtud del contrato;

b) si el exportador de datos se niega a adoptar las medidas necesarias para hacer cumplir el contrato al importador de datos en el plazo normal de un mes a partir del momento en que la autoridad competente responsable de la protección de datos se lo notifique.

A efectos del párrafo anterior, la negativa de mala fe o la negativa a ejecutar el contrato por parte del importador de datos no incluirá los supuestos en que la cooperación o la ejecución entraría en conflicto con las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de lo que es necesario en una sociedad democrática para la salvaguarda de uno de los intereses enumerados en el apartado 1 del artículo 13 de la Directiva 95/46/CE, por ejemplo las sanciones reconocidas con arreglo a instrumentos nacionales o internacionales o las obligaciones de declaración en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.

A efectos de la letra a) del primer párrafo, la cooperación podrá concretarse, por ejemplo, en la puesta a disposición por parte del importador de sus instalaciones de tratamiento de datos a efectos de auditoría o en la obligación de seguir los consejos de la autoridad de control en materia de protección de datos en la Comunidad.

3. La prohibición o suspensión con arreglo a los apartados 1 y 2 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.

4. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1, 2 y 3, informarán inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.».

3) En el artículo 5, la primera frase se sustituirá por el texto siguiente:

«La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su notificación y de la notificación de cualquier modificación de la misma a los Estados miembros».

4) El anexo quedará modificado como sigue:

1. Después del título, se insertará la expresión «CONJUNTO I».

2. Se añadirá el texto establecido en el anexo de la presente Decisión.

Artículo 2

La presente Decisión será aplicable a partir del 1 de abril de 2005.

Artículo 3

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, 27 de diciembre de 2004.

Por la Comisión

Charlie McCreevy

Miembro de la Comisión

————————————————————————————————-

[1] DO L 281 de 23.11.1995, p. 31. Directiva modificada por el Reglamento (CE) no 1883/2003 (DO L 284 de 31.10.2003, p. 1).

Ley 863 de Protección de Menores en establecimientos comerciales que brindan acceso a Internet, de 15 de agosto de 2002.

Buenos Aires, 15 de agosto de 2002.

Promulgación: Decreto número 1120 del 10 de septiembre de 2002

Publicación: BOCBA número 1526 del 16 de septiembre de 2002

La Legislatura de la Ciudad Autónoma de Buenos Aires sanciona con fuerza de Ley

Artículo 1º. Los establecimientos comerciales que, en el ámbito de la Ciudad Autónoma de Buenos Aires, brinden acceso a Internet, deben instalar y activar en todas las computadoras que se encuentren a disposición del público, filtros de contenido sobre páginas pornográficas.

Artículo 2º. El/la titular o responsable del establecimiento comercial puede desactivar los filtros de contenido en sus equipos de computación, cuando los usuarios de los mismos sean mayores de 18 años. (Conforme texto Art. 1º de la Ley número 943, BOCBA número 1604 del 8 de enero de 2003)

Artículo 3º. Incorpórense en la Ley número 451 de la Ciudad Autónoma de Buenos Aires, en el Título V, Libro II, Sección 3°, Capítulo II «Protección de niños, niñas o adolescentes», los apartados siguientes:

«3.2.2. El/la titular o responsable de un establecimiento comercial que brinde acceso a Internet y no instale en todas las computadoras que se encuentran a disposición del público, filtros de contenido sobre páginas pornográficas, será sancionado con una multa de $ 200.- (pesos doscientos) a $ 1.000.- (pesos mil) y/o clausura del local o comercio de hasta 5 (cinco) días.

3.2.3. El /la titular o responsable de un establecimiento comercial que brinde acceso a Internet que desactive en las computadoras que se encuentran a disposición del público los filtros de contenido sobre páginas pornográficas a menores de 18 años, será sancionado con una multa de pesos doscientos ($200) a pesos ($1.000) y/o clausura del local o comercio de hasta 5 (cinco) días».

(Conforme texto Art. 2º de la Ley número 943, BOCBA número 1604 del 8 de enero de 2003)

Artículo 4º. Los artículos 1º y 2º de la presente Ley entrarán en vigencia a partir de los 30 días de su publicación en el Boletín Oficial de la Ciudad Autónoma de Buenos Aires.

Artículo 5º. Comuniquese, etc…

CECILIA FELGUERAS

JUAN MANUEL ALEMANY

El Proyecto de Régimen Uniforme para las firmas electrónicas de la CNUDMI/UNCITRAL

Proyecto de Ley Modelo y proyecto de guía para la incorporación al derecho interno aprobado por el Grupo de Trabajo en su 38º periodo de Sesiones (Nueva York 12 al 23 de Marzo de 2001) que se presentará a la Comisión para su examen y aprobación en el 34º período de sesiones de ésta, que se celebraría del 25 de junio al 13 de julio de 2001 en Viena.

Ley Modelo de la CNUDMI para las firmas electrónicas (2001)

(aprobada por el Grupo de Trabajo de la CNUDMI sobre Comercio Electrónico en su 37º período de sesiones, celebrado del 18 al 29 de septiembre de 2000 en Viena)

Artículo 1º. Ámbito de aplicación

La presente Ley será aplicable en todos los casos en que se utilicen firmas electrónicas en el contexto(1) de actividades comerciales(2). No derogará ninguna norma jurídica destinada a la protección del consumidor.

Artículo 2º. Definiciones

Para los fines de la presente Ley:

a) Por «firma electrónica» se entenderán los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información contenida en el mensaje de datos;

b) Por «certificado» se entenderá todo mensaje de datos u otro registro que confirme el vínculo entre un firmante y los datos de creación de la firma;

c) Por «mensaje de datos» se entenderá la información generada, enviada, recibida o archivada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el télex o el telefax;

d) Por «firmante» se entenderá la persona que posee los datos de creación de la firma y que actúa en nombre propio o de la persona a la que representa;

e) Por «prestador de servicios de certificación» se entenderá la persona que expide certificados y puede prestar otros servicios relacionados con las firmas electrónicas;

f) Por «parte que confía» se entenderá la persona que pueda actuar sobre la base de un certificado o de una firma electrónica.

Artículo 3º. Igualdad de tratamiento de las tecnologías para la firma

Ninguna de las disposiciones de la presente Ley, con la excepción del artículo 5º, será aplicada de modo que excluya, restrinja o prive de efecto jurídico cualquier método para crear una firma electrónica que cumpla los requisitos enunciados en el párrafo 1) del artículo 6º o que cumpla de otro modo los requisitos del derecho aplicable.

Artículo 4º. Interpretación

1) En la interpretación de la presente Ley habrán de tenerse en cuenta su origen internacional y la necesidad de promover la uniformidad en su aplicación y la observancia de la buena fe.

2) Las cuestiones relativas a materias que se rijan por la presente Ley y que no estén expresamente resueltas en ella serán dirimidas de conformidad con los principios generales en que se inspira.

Artículo 5º. Modificación mediante acuerdo

Las partes podrán hacer excepciones a la presente Ley o modificar sus efectos mediante acuerdo, salvo que ese acuerdo no sea válido o eficaz conforme al derecho aplicable.

Artículo 6º. Cumplimiento del requisito de firma

1) Cuando la ley exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea tan fiable como resulte apropiado a los fines para los cuales se generó o comunicó ese mensaje.

2) El párrafo 1) será aplicable tanto si el requisito a que se refiere está expresado en la forma de una obligación como si la ley simplemente prevé consecuencias para el caso de que no haya firma.

3) La firma electrónica se considerará fiable a los efectos del cumplimiento del requisito a que se refiere el párrafo 1) si:

a) los datos de creación de la firma, en el contexto en que son utilizados,corresponden exclusivamente al firmante;

b) los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivodel firmante;

c) es posible detectar cualquier alteración de la firma electrónica hecha después del momento de lafirma; y

d) cuando uno de los objetivos del requisito legal de firma consista en dar seguridades en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma.

4) Lo dispuesto en el párrafo 3) se entenderá sin perjuicio de la posibilidad de que cualquier persona:

a) demuestre de cualquier otra manera, a los efectos de cumplir el requisito a que se refiere el párrafo 1), la fiabilidad de una firma electrónica; o

b) aduzca pruebas de que una firma electrónica no es fiable.

5) Lo dispuesto en el presente artículo no será aplicable a: [Y].

Artículo 7º. Cumplimiento de lo dispuesto en el artículo 6

1) [La persona, el órgano o la entidad, del sector público o privado, a que el Estado promulgante haya expresamente atribuido competencia] podrá determinar qué firmas electrónicas cumplen lo dispuesto en el artículo 6º.

2) La determinación que se haga con arreglo al párrafo 1) deberá ser compatible con las normas o criterios internacionales reconocidos.

3) Lo dispuesto en el presente artículo se entenderá sin perjuicio de la aplicación de las normas del derecho internacional privado.

Artículo 8. Proceder del firmante

1) Cuando puedan utilizarse datos de creación de firmas para crear una firma con efectos jurídicos, cada firmante deberá:

a) actuar con diligencia razonable para evitar la utilización no autorizada de sus datos de creación de la firma;

b) dar aviso sin dilación indebida a cualquier persona que, según pueda razonablemente prever, pueda considerar fiable la firma electrónica o prestar servicios que la apoyen si:

i) sabe que los datos de creación de la firma han quedado en entredicho; o

ii) las circunstancias de que tiene conocimiento dan lugar a un riesgo considerable de que los datos de creación de la firma hayan quedado en entredicho;

c) cuando se emplee un certificado para refrendar la firma electrónica, actuar con diligencia razonable para cerciorarse de que todas las declaraciones que haya hecho en relación con su ciclo vital o que hayan de consignarse en él sean exactas y cabales.

2) El firmante incurrirá en responsabilidad por el incumplimiento de los requisitos enunciados en el párrafo 1).

Artículo 9º. Proceder del prestador de servicios de certificación

1) Cuando un prestador de servicios de certificación preste servicios para apoyar una firma electrónica que pueda utilizarse como firma con efectos jurídicos, ese prestador de servicios de certificación deberá:

a) actuar de conformidad con las declaraciones que haga respecto de sus normas y prácticas;

b) actuar con diligencia razonable para cerciorarse de que todas las declaraciones importantes que haya hecho en relación con el ciclo vital del certificado o que estén consignadas en él sean exactas y cabales;

c) proporcionar medios de acceso razonablemente fácil que permitan a la parte que confía en el certificado determinar mediante éste:

i) la identidad del prestador de servicios de certificación;

ii) que el firmante nombrado en el certificado tenía bajo su control los datos de creación de la firma en el momento en que se expidió el certificado;

iii) que los datos de creación de la firma eran válidos en la fecha en que se expidió el certificado o antes de ella;

d) proporcionar medios de acceso razonablemente fácil que, según proceda, permitan a la parte que confía en el certificado determinar mediante éste o de otra manera:

i) el método utilizado para identificar al firmante;

ii) cualquier limitación en los fines o el valor respecto de los cuales puedan utilizarse los datos de creación de la firma o el certificado;

iii) si los datos de creación de la firma son válidos y no están en entredicho;

iv) cualquier limitación en cuanto al ámbito o el alcance de la responsabilidad indicada por el prestador de servicios de certificación;

v) si existe un medio para que el firmante dé aviso de que los datos de creación de la firma están en entredicho, conforme a lo dispuesto en el apartado b) del párrafo 1) del artículo 8;

vi) si se ofrece un servicio de revocación oportuna del certificado;

e) cuando se ofrezcan servicios conforme al inciso v) del apartado d), proporcionar un medio para que el firmante dé aviso conforme al apartado b) del párrafo 1) del artículo 8 y, cuando se ofrezcan servicios en virtud del inciso vi) del apartado d), cerciorarse de que exista un servicio de revocación oportuna del certificado;

f) utilizar, al prestar sus servicios, sistemas, procedimientos y recursos humanos fiables.

2) El prestador de servicios de certificación incurrirá en responsabilidad por el incumplimiento de los requisitos enunciados en el párrafo 1).

Artículo 10º. Fiabilidad

A los efectos del apartado f) del párrafo 1) del artículo 9, para determinar si los sistemas, procedimientos o recursos humanos utilizados por un prestador de servicios de certificación son fiables, y en qué medida lo son, podrán tenerse en cuenta los factores siguientes:

a) los recursos humanos y financieros, incluida la existencia de un activo;

b) la calidad de los sistemas de equipo y programas informáticos;

c) los procedimientos para la tramitación del certificado y las solicitudes de certificados, y la conservación de registros;

d) la disponibilidad de información para los firmantes nombrados en el certificado y para las partes que confíen en éste;

e) la periodicidad y el alcance de la auditoría por un órgano independiente;

f) la existencia de una declaración del Estado, de un órgano de acreditación o del prestador de servicios de certificación respecto del cumplimiento o la existencia de los factores que anteceden; y

g) cualesquiera otros factores pertinentes.

Artículo 11º. Proceder de la parte que confía en el certificado

Serán de cargo de la parte que confía en el certificado las consecuencias jurídicas que entrañe el hecho de que no haya tomado medidas razonables para:

a) verificar la fiabilidad de la firma electrónica; o

b) cuando la firma electrónica esté refrendada por un certificado:

i) verificar la validez, suspensión o revocación del certificado; y

ii) tener en cuenta cualquier limitación en relación con el certificado.

Artículo 12º. Reconocimiento de certificados y firmas electrónicas extranjeros

1) Al determinar si un certificado o una firma electrónica produce efectos jurídicos, o en qué medida los produce, no se tomará en consideración:

a) el lugar en que se haya expedido el certificado o en que se haya creado o utilizado la firma electrónica; ni

b) el lugar en que se encuentre el establecimiento del expedidor o firmante.

2) Todo certificado expedido fuera [del Estado promulgante] producirá los mismos efectos jurídicos en [el Estado promulgante] que todo certificado expedido en [el Estado promulgante] si presenta un grado de fiabilidad sustancialmente equivalente.

3) Toda firma electrónica creada o utilizada fuera [del Estado promulgante] producirá los mismos efectos jurídicos en [el Estado promulgante] que toda firma electrónica creada o utilizada en [el Estado promulgante] si presenta un grado de fiabilidad sustancialmente equivalente.

4) A efectos de determinar si un certificado o una firma electrónica presentan un grado de fiabilidad sustancialmente equivalente para los fines de párrafo 2), o del párrafo 3), se tomarán en consideración las normas internacionales reconocidas y cualquier otro factor pertinente.

5) Cuando, sin perjuicio de lo dispuesto en los párrafos 2), 3) y 4), las partes acuerden entre sí la utilización de determinados tipos de firmas electrónicas y certificados, se reconocerá que ese acuerdo es suficiente a efectos del reconocimiento transfronterizo, salvo que ese acuerdo no sea válido o eficaz conforme al derecho aplicable.

(1) La Comisión propone el texto siguiente para los Estados que deseen ampliar el ámbito de aplicación de la presente Ley: «La presente Ley será aplicable en todos los casos en que se utilicen firmas electrónicas, excepto en las situaciones siguientes: [Y].»

(2) El término «comercial» deberá ser interpretado en forma lata de manera que abarque las cuestiones que dimanen de toda relación de índole comercial, sea o no contractual. Las relaciones de índole comercial comprenden, sin que esta lista sea taxativa, las operaciones siguientes: toda operación comercial de suministro o intercambio de bienes o servicios; acuerdos de distribución; representación o mandato comercial; facturaje (Afactoring@); arrendamiento con opción de compra (Aleasing@); construcción de obras; consultoría; ingeniería; concesión de licencias; inversiones; financiación; banca; seguros; acuerdos o concesiones de explotación; empresas conjuntas y otras formas de cooperación industrial o comercial; transporte de mercancías o de pasajeros por vía aérea, marítima y férrea o por carretera.

Inhaltsverzeichnis

Abschnitt 1.Allgemeiner Datenschutz

Unterabschnitt 1. Allgemeine Bestimmungen

1     Aufgabe
2     Anwendungsbereich
3      Begriffsbestimmungen
4      Zulässigkeit der Datenverarbeitung
4a   Verarbeitung besonderer Kategorien personenbezogener Daten
4b   Widerspruchsrecht des Betroffenen aus besonderem Grund
5      Rechte des Betroffenen
6      Datengeheimnis
7     Sicherstellung des Datenschutzes
7a   Behördlicher Datenschutzbeauftragter
8     Verfahrens- und Anlagenverzeichnis
9     Automatisiertes Abrufverfahren und regelmäßige Datenübermittlung
10   Technische und organisatorische Maßnahmen
11   Verarbeitung personenbezogener Daten im Auftrag
11a Wartung
11b Grundsätze der System- und Verfahrensgestaltung
11c  Datenschutzaudit

Unterabschnitt 2. Rechtsgrundlagen der Datenverarbeitung

12   Erhebung
13   Zweckbindung bei Speicherung, Veränderung und Nutzung
14   Übermittlung innerhalb des öffentlichen Bereiches
15   Übermittlung an öffentlich-rechtliche Religionsgesellschaften
16   Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereiches
17   Übermittlung an ausländische und internationale Stellen
17a  Ausnahmsweise Übermittlung an Stellen außerhalb der Europäischen Union

Unterabschnitt 3. Rechte des Betroffenen

18    Auskunft und Benachrichtigung sowie Einsicht in Akten
19    Berichtigung, Löschung und Sperrung
20    Schadensersatz
21    Anrufungsrecht des Betroffenen

Abschnitt 2. Landesbeauftragter für den Datenschutz und für das Recht auf Akteneinsicht

22   Berufung und Rechtsstellung
23   Aufgaben
24   aufgehoben
25   Beanstandungen durch den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht
26   Durchführung der Kontrolle
27   Tätigkeitsberichte

Abschnitt 3. Besonderer Datenschutz

28    Datenverarbeitung für wissenschaftliche Zwecke
29    Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
30    Fernmessen und Fernwirken
31    Verarbeitung personenbezogener Daten durch den Landtag
32    (aufgehoben)
33    Datenverarbeitung zu journalistisch-redaktionellen Zwecken
33a  Öffentliche Auszeichnungen und Ehrungen
33b  Begnadigungsverfahren
33c  Videoüberwachung und -aufzeichnung
34    Personenbezogene Daten aus ehemaligen Einrichtungen
35    Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen
36    Widerspruchsrecht
37    Sperrung personenbezogener Daten aus ehemaligen Einrichtungen

Abschnitt 4. Straf- und Bußgeldvorschriften; Übergangsvorschriften

38    Straftaten
39    Ordnungswidrigkeiten
40    Übergangsvorschriften
40a  Einschränkung von Grundrechten
41    Inkrafttreten

Anlage 1 – Anforderungskatalog zu § 11a Abs. 1 Satz 3

Anlage 2 – Mindestvertragsinhalt zu § 11a Abs. 2 Satz 2

Abschnitt 1. Allgemeiner Datenschutz

Unterabschnitt 1. Allgemeine Bestimmungen

1. Aufgabe

Aufgabe dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch die Verarbeitung personenbezogener Daten durch öffentliche Stellen in unzulässiger Weise in seinem Grundrecht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen (informationelles Selbstbestimmungsrecht).

 2. Anwendungsbereich

(1) Dieses Gesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen (öffentliche Stellen), soweit diese personenbezogene Daten verarbeiten. Für die Gerichte sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen nur die Vorschriften des Abschnittes 2 dieses Gesetzes. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben einer öffentlichen Stelle des Landes wahr, ist sie insoweit öffentliche Stelle im Sinne des Gesetzes.

(1a) Der Landtag, seine Gremien, seine Mitglieder, die Fraktionen sowie deren Verwaltungen und deren Beschäftigte unterliegen mit Ausnahme des 31 nicht den Bestimmungen dieses Gesetzes, soweit sie zur Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung und der Grundsätze dieses Gesetzes eine Datenschutzordnung.

(2) Von den Vorschriften dieses Gesetzes gelten nur die Vorschriften des Abschnitts 2 sowie die 7a, 8 und  28 bis 30 dieses Gesetzes, soweit

wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverbände ohne eigene Rechtspersönlichkeit (Eigenbetriebe),

öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden,

der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen,

personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Im übrigen sind mit Ausnahme der 32 sowie 36 bis 38 die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes einschließlich der Straf- und Bußgeldvorschriften anzuwenden. Unbeschadet der Regelung des Absatzes 1 Satz 1 gelten Schulen der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als öffentliche Stellen im Sinne dieses Gesetzes.

(3) Die Vorschriften dieses Gesetzes gehen denen eines brandenburgischen Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden. Im übrigen gehen besondere Rechtsvorschriften, die auf die Verarbeitung personenbezogener Daten anzuwenden sind, den Vorschriften dieses Gesetzes vor.

3. Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

(2) Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen sowie Nutzen personenbezogener Daten. Im einzelnen ist

Erheben (Erhebung) das Beschaffen von Daten über den Betroffenen,

Speichern (Speicherung) das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,

Verändern (Veränderung) das inhaltliche Umgestalten gespeicherter Daten,

Übermitteln (Übermittlung) das Bekannt geben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, dass die Daten durch die datenverarbeitende Stelle weitergegeben oder zur Einsichtnahme bereitgehalten werden oder dass der Dritte zum Abruf in einem automatisierten Verfahren bereitgehaltene Daten abruft,

Sperren (Sperrung) das Verhindern weiterer Verarbeitung gespeicherter Daten,

Löschen (Löschung) das Unkenntlichmachen gespeicherter Daten,

Nutzen (Nutzung) jede sonstige Verwendung personenbezogener Daten,

ungeachtet der dabei angewendeten Verfahren.

(3) Im Sinne dieses Gesetzes ist

Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können und

Pseudonymisieren das Verändern personenbezogener Daten mittels der Vergabe von Pseudonymen derart, dass die Einzelangaben über persönliche und sachliche Verhältnisse von Unbefugten nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

(4) Im Sinne dieses Gesetzes ist

datenverarbeitende Stelle jede öffentliche Stelle, die Daten für sich selbst verarbeitet oder durch andere verarbeiten läßt,

Empfänger jede Person oder Stelle, die Daten erhält und

Dritter jede Stelle außerhalb der datenverarbeitenden Stelle, ausgenommen der Betroffene sowie diejenige Person oder Stelle, die im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union Daten im Auftrag verarbeitet.

(5) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines gesteuerten technischen Verfahrens selbsttätig ablaufen kann.

(6) Soweit bereichsspezifische Gesetze den Dateibegriff verwenden, ist eine Datei eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht-automatisierte Datei).

(7) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen auch Bild- und Tonträger, soweit sie nicht Dateien im Sinne von Absatz 6 sind; nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen und alsbald vernichtet werden

4. Zulässigkeit der Datenverarbeitung

(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn

a) dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder
b) der Betroffene ohne jeden Zweifel eingewilligt hat.

(2) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist der Betroffene auf die Einwilligungserklärung schriftlich besonders hinzuweisen. Der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung über die Empfänger der Daten sowie den Zweck der Übermittlung aufzuklären; er ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass er die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen kann.

(3) Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass

sie nur durch eine eindeutige und bewußte Handlung des Betroffenen erfolgen kann,

sie nicht unerkennbar verändert werden kann,

der Urheber erkannt werden kann,

die Einwilligung protokolliert wird und

die betroffene Person den Inhalt der Einwilligung jederzeit ohne unverhältnismäßigen Aufwand zur Kenntnis nehmen kann.

(4) Unzulässig ist eine zu rechtlichen Folgen oder erheblichen Beeinträchtigungen für den Betroffenen führende Entscheidung, wenn sie auf einer Bewertung einzelner Merkmale seiner Person beruht, die ausschließlich durch eine automatisierte Verarbeitung seiner Daten erstellt wurde. Eine Entscheidung nach Satz 1 kann durch Gesetz zugelassen werden, wenn es die Wahrung der berechtigten Interessen des Betroffenen sicherstellt.

(5) Die Datenverarbeitung soll so organisiert sein, dass bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist. Sind personenbezogene Daten in Akten derart verbunden, dass ihre Trennung nach erforderlichen und nicht erforderlichen Daten auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, so sind auch die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgabe erforderlich sind, zulässig, soweit nicht schutzwürdige Belange des Betroffenen oder eines Dritten überwiegen. Die nicht erforderlichen Daten unterliegen insoweit einem Verwertungsverbot.

4a. Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung personenbezogener Daten über

a) die rassische und ethnische Herkunft,

b) politische Meinungen,

c) religiöse oder weltanschauliche Überzeugungen,

d) die Gewerkschaftszugehörigkeit,

e) die Gesundheit oder

f) das Sexualleben

ist nur zulässig, wenn sie in einer bereichsspezifischen Rechtsvorschrift geregelt ist, die den Zweck der Verarbeitung bestimmt sowie angemessene Garantien zum Schutze des Rechtes auf informationelle Selbstbestimmung vorsieht. Abweichend von Satz 1 ist die Verarbeitung dieser Daten zulässig,

a) wenn der Betroffene ausdrücklich eingewilligt hat,

b) auf der Grundlage der 15, 18 und 29 oder

c) wenn sie ausschließlich im Interesse des Betroffenen liegt und der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht vorab gehört worden ist.

4b. Widerspruchsrecht des Betroffenen aus besonderem Grund

Wenn der Betroffene schriftlich begründet, dass der rechtmäßigen Verarbeitung seiner Daten ein schutzwürdiges besonderes persönliches Interesse entgegensteht, ist die Verarbeitung der Daten nur zulässig, wenn im Einzelfall das öffentliche Interesse an der Datenverarbeitung gegenüber dem persönlichen Interesse des Betroffenen überwiegt. Dem Betroffenen ist das Ergebnis mit Begründung schriftlich mitzuteilen.

5. Rechte des Betroffenen

(1) Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf

Auskunft und Benachrichtigung über die zu seiner Person gespeicherten Daten sowie Einsicht in Akten (18),

Gegenvorstellung auf Grund eines schutzwürdigen besonderen persönlichen Interesses (4b),

Einsicht in das Verfahrensverzeichnis (8Abs. 5),

Berichtigung, Löschung oder Sperrung der zu seiner Person gespeicherten Daten (19),

Schadensersatz (20) und

Anrufung des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht (21 Abs. 1).

Diese Rechte können auch durch die Einwilligung des Betroffenen nicht ausgeschlossen oder beschränkt werden. Sie sind gegenüber der jeweiligen datenverarbeitenden Stelle geltend zu machen.

(2) Werden die Daten des Betroffenen in einem automatisierten Verfahren gespeichert, bei dem mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage, die datenverarbeitende Stelle festzustellen, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die datenverarbeitende Stelle weiterzuleiten. Der Betroffene ist über die Weiterleitung und die datenverarbeitende Stelle zu unterrichten. Die in 19 Abs. 3 des Bundesdatenschutzgesetzes genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht über die Weiterleitung und die datenverarbeitende Stelle unterrichten. In diesem Fall richtet sich das weitere Vorgehen nach 18 Abs. 8.

(3) Gibt eine öffentliche Stelle für das Erfassen einer Leistung, das Erkennen einer Person oder für einen anderen Zweck einen Datenträger heraus, auf dem oder durch den personenbezogene Daten des jeweiligen Inhabers dieses Datenträgers automatisiert nach Maßgabe des 4 Abs. 1 als Chipkarte oder in anderer Form verarbeitet werden, hat sie sicherzustellen, dass er dies erkennen und seine ihm nach Absatz 1 zustehenden Rechte ohne unvertretbaren Aufwand geltend machen kann. Der Inhaber ist bei Ausgabe des Datenträgers über die ihm nach Absatz 1 zustehenden Rechte sowie über die von ihm bei Verlust des Datenträgers zu treffenden Maßnahmen und über die Folgen aufzuklären. Die Ausgabe und Verwendung von Datenträgern nach Satz 1 darf für die Betroffenen nicht mit Vergünstigungen verbunden sein, die über das durch die Technik bedingte Maß hinausgehen.

6. Datengeheimnis

Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren. Diese Personen sind verpflichtet, das Datengeheimnis auch nach Beendigung ihrer Tätigkeit zu wahren.

7. Sicherstellung des Datenschutzes

(1) Die obersten Landesbehörden, die Gemeinden und Gemeindeverbände sowie die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen haben jeweils für ihren Bereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Sie haben insbesondere dafür zu sorgen, dass die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, gewährleistet ist.

(2) Vor dem Erlaß von Rechts- und Verwaltungsvorschriften, die die Verarbeitung personenbezogener Daten betreffen, ist der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht zu hören.

(3) Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, bedarf hinsichtlich der im Verfahrensverzeichnis festzulegenden Angaben (8 Abs. 2) der schriftlichen Freigabe; dabei ist auch zu untersuchen, ob von diesen Verfahren spezifische Risiken für die Rechte und Freiheiten der Betroffenen ausgehen können. Die Freigabe darf nur erklärt werden, wenn sichergestellt ist, dass diese Risiken nicht bestehen oder durch technische und organisatorische Maßnahmen beherrscht werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zuzuleiten. In der Landesverwaltung ist die Freigabe durch diejenige oberste Landesbehörde zu erklären, die für die dem automatisierten Verfahren zugrunde liegende Rechtsmaterie zuständig ist. Im übrigen erfolgt die Freigabe durch die datenverarbeitende Stelle. Entsprechendes gilt für wesentliche Änderungen des Verfahrens.

7a. Behördlicher Datenschutzbeauftragter

(1) Datenverarbeitende Stellen haben einen behördlichen Datenschutzbeauftragten zu bestellen. Bestellt werden darf nur, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt und wer dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt wird.

(2) Der behördliche Datenschutzbeauftragte kann sich in dieser Funktion unmittelbar an die Leitung der datenverarbeitenden Stelle wenden. Er ist in seiner Eigenschaft als behördlicher Datenschutzbeauftragter weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

(3) Die datenverarbeitenden Stellen können einen Bediensteten einer anderen datenverarbeitenden Stelle zum behördlichen Datenschutzbeauftragten bestellen.

(4) Der behördliche Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(5) Die behördlichen Datenschutzbeauftragten haben die Aufgabe, die datenverarbeitenden Stellen bei der Ausführung der Datenschutzvorschriften zu unterstützen. Zu ihren Aufgaben gehört es insbesondere

auf die Beachtung der Datenschutzvorschriften und deren Einhaltung hinzuwirken,

die bei der Verarbeitung tätigen Personen mit den Bestimmungen dieses Gesetzes und anderer für die datenverarbeitende Stelle einschlägigen Rechtsvorschriften vertraut zu machen und

die datenverarbeitende Stelle bei der Umsetzung der nach 7 Abs. 3 und nach den  8, 10, 11, 11a und 26 erforderlichen Maßnahmen zu unterstützen.

Soweit keine gesetzliche Regelung entgegensteht, kann er die zur Erfüllung seiner Aufgaben notwendige Einsicht in personenbezogene Datenverarbeitungsvorgänge nehmen.

8. Verfahrens- und Anlagenverzeichnis

(1) Jede datenverarbeitende Stelle, die personenbezogene Daten verarbeitet, führt ein Verzeichnis der automatisierten Verfahren (Verfahrensverzeichnis) und ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen (Anlagenverzeichnis); die Verzeichnisse enthalten auch die Angaben über die Verfahren und Anlagen, die für die Stelle in Fällen von Datenverarbeitung im Auftrag eingesetzt werden.

(2) Das Verfahrensverzeichnis hat folgende Angaben zu enthalten:

Bezeichnung des Verfahrens,

Name und Anschrift des für die Verarbeitung Verantwortlichen,

Zweckbestimmung und Rechtsgrundlagen der Verarbeitung,

Art der gespeicherten Daten,

Kreis der Betroffenen,

Art der regelmäßig an Dritte zu übermittelnden oder regelmäßig innerhalb der datenverarbeitenden Stelle weiterzugebenden Daten und deren Empfänger,

Art sowie Herkunft der regelmäßig von Dritten empfangenen Daten,

Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung,

Datenübermittlungen in Drittländer sowie deren Namen,

allgemeine Beschreibung der Art der eingesetzten Datenverarbeitungsanlagen und der technischen und organisatorischen Maßnahmen nach 10 und

welche Teile des Verfahrens der Datenverarbeitung räumlich außerhalb der datenverarbeitenden Stelle durchgeführt werden.

(3) Die Führung des Verfahrensverzeichnisses soll dem behördlichen Datenschutzbeauftragten übertragen werden. Die datenverarbeitende Stelle hat dem behördlichen Datenschutzbeauftragten die in Absatz 2 aufgeführten Angaben rechtzeitig vor Einführung oder wesentlicher Änderung des Verfahrens mitzuteilen, um ihm die Prüfung des Verfahrens zu ermöglichen.

(4) Die Führung eines eigenen Anlagenverzeichnisses kann entfallen, wenn ein Geräteverzeichnis nach haushaltsrechtlichen Vorschriften geführt wird, sofern die Geräte in dem gleichen Umfang technisch beschrieben werden, wie er zum Zweck der Datenschutzkontrolle geboten ist; zu diesen Angaben gehören auch die Bezeichnungen gegenwärtig verwendeter Betriebssysteme.

(5) Das Anlagen- und das Verfahrensverzeichnis sind bei wesentlichen Änderungen zu aktualisieren.

(6) Die Angaben des Verfahrensverzeichnisses gemäß Absatz 2 Nr. 1 bis 7 und 9 können bei der datenverarbeitenden Stelle von jedem eingesehen werden; dies gilt auch für die Angaben gemäß Absatz 2 Nr. 10, soweit dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. Satz 1 gilt nicht für

Verfahren der Verfassungsschutzbehörde,

Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen und

Verfahren der Steuerfahndung,

soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

(7) Absatz 2 gilt nicht für Verfahren,

a) deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht,

b) soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden, oder

c) die unter Einsatz handelsüblicher Schreibprogramme ablaufen.

(8) Die Landesregierung wird ermächtigt, durch Rechtverordnung das Nähere zur Ausgestaltung des Anlagen- und Verfahrensverzeichnisses zu regeln, insbesondere zum Zweck der Vereinfachung des Verfahrens und zur Entlastung der datenverarbeitenden Stellen.

9. Automatisiertes Abrufverfahren und regelmäßige Datenübermittlung

(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist nur zulässig, soweit dies durch Bundes- oder Landesrecht bestimmt ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufes bleiben unberührt.

(2) Die Minister werden ermächtigt, für die Behörden und Einrichtungen ihres Geschäftsbereiches sowie für die der Rechtsaufsicht des Landes unterliegenden sonstigen öffentlichen Stellen die Einrichtung automatisierter Abrufverfahren durch Rechtsverordnung zuzulassen. Ein solches Verfahren darf nur eingerichtet werden, soweit dies unter Berücksichtigung des informationellen Selbstbestimmungsrechts des betroffenen Personenkreises und der Aufgaben der beteiligten Stellen angemessen ist. Die Datenempfänger, die Datenart und der Zweck des Abrufes sind festzulegen. Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist zu unterrichten.

(3) Die am Abrufverfahren beteiligten Stellen haben die nach 10 erforderlichen Maßnahmen zu treffen.

(4) Für die Einrichtung automatisierter Abrufverfahren innerhalb einer öffentlichen Stelle gelten nur Absatz 2 Satz 2 und 3 sowie Absatz 3 entsprechend.

(5) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen Bereiches nicht zum automatisierten Abruf bereitgehalten werden; dies gilt nicht für den Betroffenen.

(6) Die Absätze 1 bis 5 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offenstehen oder deren Veröffentlichung zulässig wäre.

(7) Absatz 1 Satz 1 und Absatz 2 Satz 1 und 4 sowie Absatz 5 finden keine Anwendung, soweit die zur Übermittlung vorgesehenen Daten mit schriftlicher Einwilligung der Betroffenen zum Zwecke der Übermittlung im automatisierten Abrufverfahren gespeichert sind, 4 Absatz 2 Satz 2 und 3 gilt entsprechend.

(8) Die Absätze 1 bis 7 sind auf die Zulassung regelmäßiger Datenübermittlungen entsprechend anzuwenden.

10. Technische und organisatorische Maßnahmen

(1) Die datenverarbeitenden Stellen oder die in ihrem Auftrag tätigen Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die nach den Absätzen 2 und 3 erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Die Maßnahmen haben für den angestrebten Schutzzweck angemessen zu sein und richten sich nach den im Einzelfall zu betrachtenden Risiken und dem jeweiligen Stand der Technik.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,

Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrolle),

zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),

zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),

zu verhindern, dass personenbezogene Daten unbefugt oder zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, übermittelt, entfernt, vernichtet oder sonst verarbeitet werden (Datenverarbeitungskontrolle),

festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),

zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

eine Überprüfung aller wesentlichen Verarbeitungsschritte der Datenverarbeitungsanlage und des -verfahrens durch eine Dokumentation zu ermöglichen (Dokumentationskontrolle) und

die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten nicht-automatisiert oder in Akten verarbeitet, sind Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

(4) Soweit Vorentwürfe und Notizen nicht Bestandteil eines Vorganges werden und personenbezogene Daten enthalten, ist eine ordnungsgemäße Vernichtung zu gewährleisten.

11. Verarbeitung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag einer datenverarbeitenden Stelle (Auftraggeber) durch andere Personen oder Stellen (Auftragnehmer) verarbeitet, bleibt die auftraggebende Stelle für die Einhaltung der Bestimmungen dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in 5 Abs. 1 genannten Rechte sind ihr gegenüber geltend zu machen. Sofern die Bestimmungen dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, sicherzustellen, dass der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes vorgenommen wird, der Kontrolle des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht unterwirft. Erfolgt die Durchführung des Auftrages außerhalb des Geltungsbereiches dieses Gesetzes durch eine nicht-öffentliche Stelle, so ist sicherzustellen, dass sich diese Stelle der Kontrolle des Landesbeauftragten für den Datenschutz, in dessen Land die Verarbeitung erfolgt, unterwirft, soweit dieser hierzu durch Landesrecht befugt ist. Bei einer Auftragsdurchführung außerhalb des Geltungsbereiches dieses Gesetzes ist die für den Ort der Auftragsdurchführung zuständige Datenschutzkontrollbehörde zu unterrichten. Der Auftraggeber hat den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht und die im Land Brandenburg nach 38 des Bundesdatenschutzgesetzes zuständige Aufsichtsbehörde über die Beauftragung zu unterrichten. Soweit der Auftragnehmer eine nicht-öffentliche Stelle ist, bedarf die Auftragserteilung der Zustimmung; bei öffentlichen Stellen des Landes erteilt die Zustimmung die zuständige oberste Landesbehörde, bei Gemeinden und Gemeindeverbänden der Minister des Innern. Die Zustimmung ist vor Abschluß des Vertrages einzuholen.

(2) Der Auftragnehmer ist unter Berücksichtigung der Eignung der von ihr getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist unter Festlegung des Gegenstandes und des Umfanges der Datenverarbeitung, der technischen und organisatorischen Maßnahmen und etwaiger Unterauftragsverhältnisse schriftlich zu erteilen. Für ergänzende Weisungen gilt Satz 2 entsprechend. Der Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für die ihrer Aufsicht unterliegenden öffentlichen Stellen des Landes erteilt werden; diese sind hiervon zu unterrichten.

(3) Der Auftragnehmer darf die personenbezogenen Daten nur im Rahmen der Weisungen der auftraggebenden Stelle verarbeiten. Weisungen, die sich auf eine Datenverarbeitung richten, die gegen dieses Gesetz oder andere Rechtsvorschriften über den Datenschutz verstoßen, sind nicht durchzuführen. Dasselbe gilt, wenn Daten verarbeitet werden sollen, die nach Ansicht des Auftragnehmers unter Verstoß gegen Rechtsvorschriften erlangt worden sind.

(4) Ist der Auftragnehmer eine in 2 Abs. 1 Satz 1 oder 2 genannte Stelle des Landes, gelten für ihn neben Absatz 3 nur die 6 und 10 sowie 21, 23, 25, 26, 38 und 39.

(5) Bezieht sich der Auftrag auf die Verarbeitung von Daten, für die gesetzliche Geheimhaltungspflichten bestehen oder die Berufs- oder besonderen Amtsgeheimnissen unterfallen, die nicht auf gesetzlichen Vorschriften beruhen, sind besondere Maßnahmen nach Absatz 2 Satz 2 zu treffen, die eine Wahrung der Geheimnisse sicherstellen. Darüber hinaus sollen an nicht-öffentliche Stellen Aufträge nach Satz 1 nur vergeben werden, wenn überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen. Satz 2 gilt nicht, wenn sich der Auftrag nur auf

a) das Erfassen, Aufnehmen, Aufbewahren oder Vernichten von Daten,

b) das Übertragen von Daten von einem auf ein anderes Speichermedium oder

c) die Verarbeitung von Daten, die aus der Sicht der auftragnehmenden Person oder Stelle nicht oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können,

bezieht, und sofern technische und organisatorische Maßnahmen ergriffen worden sind, durch die sichergestellt wird, dass der Auftragnehmer nur soweit es für die Aufgabenerfüllung unerläßlich ist, die Daten zur Kenntnis nehmen kann.

(6) Sofern Unterauftragsverhältnisse vorgesehen sind oder zugelassen werden sollen, ist vertraglich sicherzustellen, dass die datenschutzrechtlichen Pflichten in dem gleichen Umfang eingehalten werden, wie sie im Auftragsverhältnis mit der öffentlichen Stelle festgelegt sind; Absatz 1 Satz 3 bis 6 gilt entsprechend.

11a. Wartung

(1) Datenverarbeitungssysteme sind so zu gestalten, dass bei ihrer Wartung möglichst nicht auf personenbezogene Daten zugegriffen werden kann. Sofern dies nicht sichergestellt ist, hat die datenverarbeitende Stelle durch technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung unbedingt erforderlichen personenbezogenen Daten zugegriffen werden kann. Dabei sind insbesondere die in der Anlage 1 genannten Anforderungen zu erfüllen. 10 Abs. 1 Satz 2 gilt entsprechend.

(2) Eine Wartung durch andere Stellen darf über die Anforderungen nach Absatz 1 hinaus nur aufgrund schriftlicher Vereinbarungen erfolgen. Darin sind die im Rahmen der Wartung notwendigen technischen und organisatorischen Maßnahmen gemäß Anlage 2 festzulegen. Die mit Wartungsarbeiten betrauten Personen sind zur Wahrung des Datengeheimnisses zu verpflichten.

(3) Ist im Rahmen einer Prüfung nach  11b festgestellt worden, dass bei Wartungsarbeiten nur ein Zugriff auf Daten in verschlüsselter, pseudonymisierter oder anonymisierter Form gegeben ist, so dass seitens der mit der Wartung betrauten Stelle eine Reidentifizierung von Betroffenen nicht möglich ist, sind nur Maßnahmen nach Absatz 2 Satz 1 und 3 erforderlich. Ein Zugriff darf nur zweckgebunden erfolgen.

(4) Im Sinne dieses Gesetzes ist

a) Wartung die Summe der Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität der Hard- und Software von Datenverarbeitungsanlagen; dazu gehören die Installation, Pflege, Überprüfung und Korrektur der Software sowie Überprüfung und Reparatur oder Austausch von Hardware,

b) Fernwartung die Wartung der Soft- und Hardware von Datenverarbeitungsanlagen, die von einem Ort außerhalb der Stelle, bei der die Verarbeitung personenbezogener Daten erfolgt, mittels Einrichtungen zur Datenübertragung vorgenommen wird und

c) Verschlüsselung das Ersetzen von Klartextbegriffen oder Zeichen durch andere in der Weise, dass der Klartext nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft wieder lesbar gemacht werden kann.

11b. Grundsätze der System- und Verfahrensgestaltung

(1) Die datenverarbeitenden Stellen können die Inanspruchnahme von Leistungen auch anonym oder unter Pseudonym ermöglichen, soweit dies technisch durchführbar ist. Die Person, die das Angebot in Anspruch nehmen will, ist über diese Möglichkeit zu informieren.

(2) Bei der Gestaltung und Auswahl informationstechnischer Produkte und Verfahren hat die datenverarbeitende Stelle sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu verarbeiten. Sie hat zu prüfen, ob deren Einsatz mit den Regelungen des Datenschutzrechts vereinbar ist. Produkte und Verfahren, deren Vereinbarkeit mit den Regeln des Datenschutzrechts in einem förmlichen Verfahren geprüft und positiv bewertet worden sind, sollen vorrangig berücksichtigt werden.

11c. Datenschutzaudit

Die öffentlichen Stellen können zur Verbesserung von Datenschutz und Datensicherheit sowie zum Erreichen größtmöglicher Datensparsamkeit ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. Sie können auch bereits geprüfte und bewertete Datenschutzkonzepte und -programme zum Einsatz bringen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.

Unterabschnitt 2. Rechtsgrundlagen der Datenverarbeitung

12. Erhebung

(1) Das Erheben personenbezogener Daten ist nur zulässig, wenn ihre Kenntnis zur rechtmäßigen Erfüllung der durch Gesetz der erhebenden Stelle zugewiesenen Aufgabe und für den jeweils damit verbundenen Zweck erforderlich ist. Dazu sollen durch das zuständige Ministerium im Einvernehmen mit dem Ministerium des Innern und dem Ministerium der Justiz Verwaltungsvorschriften erlassen werden. Diese sind im Amtsblatt für das Land Brandenburg zu veröffentlichen.

(2) Personenbezogene Daten sind grundsätzlich beim Betroffenen mit seiner Kenntnis zu erheben. Ohne seine Kenntnis dürfen sie bei anderen Stellen oder Personen unter der Voraussetzung des 13 Abs. 2 Satz 1 Buchstaben a und c bis f erhoben werden. Beim Betroffenen dürfen Daten ohne seine Kenntnis nur erhoben werden, wenn eine Rechtsvorschrift dies vorsieht oder, soweit es sich um eine Rechtsvorschrift des Bundes handelt, zwingend voraussetzt oder der Schutz von Leben oder Gesundheit oder die Abwehr einer erheblichen Gefährdung der natürlichen Lebensgrundlagen dies erforderlich macht. Durch die Art und Weise des Erhebens dürfen schutzwürdige Interessen des Betroffenen nicht beeinträchtigt werden.

(3) Werden Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist er über den Verwendungszweck aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Werden die Daten auf Grund einer Rechtsvorschrift erhoben, so ist der Betroffene in geeigneter Weise über diese aufzuklären. Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung für die Gewährung von Rechtsvorteilen sind, ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen.

(4) Werden Daten bei einer dritten Person oder einer nicht-öffentlichen Stelle erhoben, so ist diese auf Verlangen über den Verwendungszweck aufzuklären. Soweit eine Auskunftspflicht besteht, ist sie hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

(5) Werden Daten beim Betroffenen ohne seine Kenntnis erhoben, so ist er davon zu benachrichtigen, sobald die rechtmäßige Erfüllung der Aufgabe dadurch nicht mehr gefährdet wird. Absatz 3 Satz 1 und 2 gelten entsprechend.

13. Zweckbindung bei Speicherung, Veränderung und Nutzung

(1) Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zur rechtmäßigen Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist. Die Daten dürfen nur für Zwecke weiterverarbeitet werden, für die sie erhoben worden sind. Daten, von denen die Stelle ohne Erhebung Kenntnis erlangt hat, dürfen nur für Zwecke genutzt werden, für die sie erstmals gespeichert worden sind.

(2) Sollen personenbezogene Daten zu Zwecken weiterverarbeitet werden, für die sie nicht erhoben oder erstmals gespeichert worden sind, ist dies nur zulässig, wenn

a) eine Rechtsvorschrift dies erlaubt oder die Wahrnehmung einer durch Gesetz oder Rechtsverordnung zugewiesenen einzelnen Aufgabe die Verarbeitung dieser Daten zwingend voraussetzt,

b) der Betroffene eingewilligt hat,

c) die Bearbeitung eines vom Betroffenen gestellten Antrages ohne diese Zweckänderung der Daten nicht möglich ist oder es erforderlich ist, Angaben des Betroffenen zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,

d) es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,

e) die Einholung der Einwilligung des Betroffenen nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, dass es in seinem Interesse liegt und er in Kenntnis des anderen Zweckes seine Einwilligung erteilen würde,

f) sie aus allgemein zugänglichen Quellen entnommen werden können oder die datenverarbeitende Stelle sie veröffentlichen dürfte, es sei denn, dass das Interesse des Betroffenen an dem Ausschluß der Speicherung oder einer Veröffentlichung der gespeicherten Daten offensichtlich überwiegt oder

g) sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden geboten erscheint.

Im Falle des Satzes 1 Buchstabe b darf die Erbringung einer Leistung nicht von der Einwilligung der betroffenen Person in eine Verarbeitung ihrer Daten für andere Zwecke abhängig gemacht werden. Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis und sind sie der datenverarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden, findet Satz 1 Buchstaben c bis g keine Anwendung.

(3) Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von 0rganisationsuntersuchungen dient. Der Zugriff auf personenbezogene Daten ist insoweit nur zulässig, als er für die Ausübung dieser Befugnisse unverzichtbar ist. Zu Aus- und Fortbildungszwecken dürfen personenbezogene Daten nur verwendet werden, wenn dies unerläßlich ist und schutzwürdige Belange des Betroffenen dem nicht entgegenstehen; zu Test- und Prüfungszwecken dürfen personenbezogene Daten nicht verwendet werden.

14. Übermittlung innerhalb des öffentlichen Bereiches

(1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn sie zur rechtmäßigen Erfüllung der Aufgaben der übermittelnden Stelle oder des Empfängers erforderlich ist und die Voraussetzungen des 13 Abs. 1 Satz 2 oder 3 oder des Absatzes 2 Satz 1 vorliegen, sowie zur Wahrnehmung von Aufgaben nach 13 Abs. 3. Die Übermittlung ist ferner zulässig, soweit es zur Entscheidung in einem Verwaltungsverfahren der Beteiligung mehrerer öffentlicher Stellen bedarf.

(2) (gestrichen)

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Grund eines Ersuchens des Empfängers, hat die übermittelnde Stelle lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; der Empfänger hat der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen. Erfolgt die Übermittlung durch automatisierten Abruf (9), so trägt die Verantwortung für die Rechtmäßigkeit des Abrufes der Empfänger.

(4) Der Empfänger darf die übermittelten Daten nur für die Zwecke verarbeiten , zu deren Erfüllung sie ihm übermittelt worden sind; 13 Abs. 2 findet entsprechende Anwendung.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden.

15. Übermittlung an öffentlich-rechtliche Religionsgesellschaften

Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgemeinschaften ist in entsprechender Anwendung der Vorschriften über die Datenübermittlung an öffentliche Stellen zulässig, sofern sichergestellt ist, dass bei dem Empfänger ausreichende Datenschutzmaßnahmen getroffen sind.

16. Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereiches

(1) Die Übermittlung personenbezogener Daten an Stellen nach 2 Abs. 2 Satz 1, soweit sie die Daten für die Verfolgung ihrer wirtschaftlichen Zwecke oder Ziele benötigen, sowie an Personen oder Stellen außerhalb des öffentlichen Bereiches, ist zulässig, wenn

a) sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen des 13 Abs. 1 vorliegen,

b) die Voraussetzungen des 13 Abs. 2 Satz 1 Buchstaben a, b, d oder f vorliegen,

c) der Auskunftsbegehrende ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und kein Grund zu der Annahme besteht, dass das Geheimhaltungsinteresse des Betroffenen überwiegt, oder

d) sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend gemacht wird und der Betroffene in diesen Fällen der Datenübermittlung nicht widersprochen hat.

(2) In den Fällen des Absatzes 1 Buchstabe d ist der Betroffene über die beabsichtigte Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in geeigneter Weise zu unterrichten. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt.

(3) Der Empfänger darf die übermittelten Daten nur für die Zwecke verarbeiten , zu denen sie ihm übermittelt wurden.

(4) Die übermittelnde Stelle kann die Datenübermittlung mit Auflagen versehen, die den Datenschutz beim Empfänger sicherstellen.

17. Übermittlung an ausländische und internationale Stellen

(1) Die Zulässigkeit der Übermittlung personenbezogener Daten an Stellen im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union richtet sich nach 4.

(2) Für die Übermittlung personenbezogener Daten an Stellen außerhalb des Geltungsbereichs der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union sowie an über- und zwischenstaatliche Stellen ist 16 Abs. 1, 2 und 4 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen nur dann anzuwenden, wenn diese Stellen ein angemessenes Datenschutzniveau gewährleisten.

(3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in den Stellen nach Absatz 2 geltenden Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.

(4) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

17a. Ausnahmsweise Übermittlung an Stellen außerhalb der Europäischen Union

(1) Sofern Stellen nach 17 Abs. 2 kein angemessenes Datenschutzniveau gewährleisten, ist eine Übermittlung personenbezogener Daten nach 17 Abs. 1 nur zulässig, sofern

a) der Betroffene seine Einwilligung gegeben hat,

b) die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,

c) die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder

d) die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.

Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu Zwecken verarbeitet werden dürfen, die mit den Zwecken zu vereinbaren sind, zu deren Erfüllung sie ihr übermittelt werden.

(2) Unbeschadet des Absatzes 1 kann die datenverarbeitende Stelle eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten zulassen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Die datenverarbeitenden Stellen teilen dem Ministerium des Innern die Fälle mit, in denen Stellen nach 17 Abs. 2 kein angemessenes Datenschutzniveau aufweisen und sie eine Genehmigung nach Satz 1 erteilt haben.

Unterabschnitt 3. Rechte des Betroffenen

18. Auskunft und Benachrichtigung sowie Einsicht in Akten

(1) Dem Betroffenen ist von der datenverarbeitenden Stelle auf Antrag Auskunft zu erteilen über

die zu seiner Person gespeicherten Daten,

den Zweck und die Rechtsgrundlage der Verarbeitung,

den logischen Aufbau der automatisierten Verarbeitung der zu seiner Person gespeicherten Daten sowie

die Herkunft der Daten, den Zweck der Übermittlung und die Empfänger von regelmäßigen Übermittlungen und die Teilnehmer eines automatisierten Abrufverfahrens, auch soweit diese Angaben nicht zu seiner Person gespeichert sind, aber mit vertretbarem Aufwand festgestellt werden können. Sind die Daten in einem automatisierten Verfahren gespeichert, so umfaßt die Auskunft auch die Empfänger von Übermittlungen innerhalb der letzten zwei Jahre. In Akten und bei nicht-automatisierter Speicherung sind Übermittlungen zu dokumentieren.

(2) Werden personenbezogene Daten automatisiert gespeichert, so ist der Betroffene von dieser Tatsache schriftlich zu benachrichtigen. Die Benachrichtigung kann zusammen mit der Erhebung erfolgen.

(2a) Eine Pflicht zur Benachrichtigung nach Absatz 2 besteht nicht, wenn

a) die Daten beim Betroffenen mit dessen Kenntnis erhoben worden sind,

b) die Verarbeitung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist,

c) der Betroffene auf andere Weise Kenntnis von der Verarbeitung seiner Daten erlangt oder

d) die Benachrichtigung des Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert.

(3) Die Absätze 1 und 2 gelten nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind.

(4) Die datenverarbeitende Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen; sind die Daten in Akten oder nicht-automatisiert gespeichert, ist dem Betroffenen auf Verlangen Einsicht zu gewähren. Die Akteneinsicht ist auf die Teile der Akten beschränkt, die personenbezogene Daten des Betroffenen enthalten, soweit sich aus einem Verwaltungsverfahrensgesetz nichts anderes ergibt. Auskunft aus Akten oder Akteneinsicht sind zu gewähren, soweit der Betroffene Angaben macht, die das Auffinden der Daten mit angemessenem Aufwand ermöglichen. Auskunftserteilung und Akteneinsicht sind gebührenfrei; Erstattung von Auslagen kann verlangt werden.

(5) Die Verpflichtung zur Auskunftserteilung oder zur Gewährung der Akteneinsicht sowie zur Benachrichtigung entfällt, soweit die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der überwiegenden berechtigten Interessen eines Dritten geheimgehalten werden müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muß.

(6) Einer Begründung für die Auskunftsverweigerung bedarf es nur dann nicht, wenn durch die Mitteilung der Gründe der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall sind die wesentlichen Gründe für die Entscheidung aufzuzeichnen.

(7) Bezieht sich die Auskunftserteilung oder die Akteneinsicht auf die Herkunft personenbezogener Daten von Behörden des Verfassungsschutzes, der Staatsanwaltschaft und der Polizei, von Landesfinanzbehörden, soweit diese personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, sowie von den in 19 Abs. 3 des Bundesdatenschutzgesetzes genannten Behörden, ist sie nur mit Zustimmung dieser Stellen zulässig. Gleiches gilt für die Übermittlung personenbezogener Daten an diese Behörden. Für die Versagung der Zustimmung gelten, soweit dieses Gesetz auf die genannten Behörden Anwendung findet, die Absätze 5 und 6 entsprechend.

(8) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zu erteilen, soweit nicht die jeweils zuständige oberste Landesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der datenverarbeitenden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.

19. Berichtigung, Löschung und Sperrung

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Sind personenbezogene Daten, die nicht-automatisiert verarbeitet werden, oder in Akten zu berichtigen, so ist in geeigneter Weise kenntlich zu machen, zu welchem Zeitpunkt und aus welchem Grund diese Daten unrichtig waren oder geworden sind.

(2) Personenbezogene Daten sind zu löschen, wenn

a) ihre Speicherung unzulässig ist oder

b) ihre Kenntnis für die datenverarbeitende Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist.

Sind personenbezogene Daten in Akten gespeichert, ist die Löschung nach Satz 1 Buchstabe b nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist, es sei denn, dass der Betroffene die Löschung verlangt und die weitere Speicherung ihn in unangemessener Weise beeinträchtigen würde. Soweit hiernach eine Löschung nicht in Betracht kommt, sind die personenbezogenen Daten auf Antrag des Betroffenen zu sperren.

(3) An die Stelle einer Löschung tritt eine Sperrung der personenbezogenen Daten, wenn

a) ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt,

b) der Betroffene an Stelle der Löschung nach Absatz 2 Satz 1 Buchstabe a die Sperrung verlangt,

c) die weitere Speicherung im Interesse des Betroffenen geboten ist,

d) sie nur zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind oder

e) die Voraussetzungen des Absatzes 2 Satz 1 Buchstabe b vorliegen und die Daten aber aufgrund gesetzlicher Aufbewahrungsfristen nicht gelöscht werden dürfen.

In den Fällen nach Satz 1 Buchstabe c sind die Gründe aufzuzeichnen. Bei automatisiert verarbeiteten Daten ist die Sperrung grundsätzlich durch technische Maßnahmen sicherzustellen; im übrigen ist ein entsprechender Vermerk anzubringen. Gesperrte Daten dürfen über die Speicherung hinaus nicht mehr weiterverarbeitet werden, es sei denn, dass dies zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der datenverarbeitenden Stelle oder eines Dritten liegenden Gründen unerläßlich ist oder der Betroffene eingewilligt hat.

(4) Abgesehen von den Fällen des Absatzes 2 Satz 1 Buchstabe a ist von einer Löschung abzusehen, soweit die gespeicherten Daten aufgrund des Brandenburgischen Archivgesetzes dem zuständigen öffentlichen Archiv zur Übernahme anzubieten sind und von diesem übernommen werden.

(5) Über die Berichtigung unrichtiger Daten, die Sperrung bestrittener Daten und die Löschung oder Sperrung unzulässig gespeicherter Daten sind unverzüglich die Stellen zu unterrichten, denen die Daten übermittelt worden sind. Die Unterrichtung kann unterbleiben, wenn sie einen erheblichen Aufwand erfordern würde und nachteilige Folgen für den Betroffenen nicht zu befürchten sind.

20. Schadensersatz

(1) Wird dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung seiner personenbezogenen Daten ein Schaden zugefügt, so ist ihm der Träger der datenverarbeitenden Stelle unabhängig von einem Verschulden zum Schadensersatz verpflichtet. In schweren Fällen kann der Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangen. Der Ersatzpflichtige haftet jedem Betroffenen für jedes schädigende Ereignis bis zu einem Betrag von 500 000 Deutsche Mark.

(2) Auf eine schuldhafte Mitverursachung des Schadens durch den Betroffenen und die Verjährung des Entschädigungsanspruches sind die 254, 839 Abs. 3 und  852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.

(3) Weitergehende sonstige Schadensersatzansprüche bleiben unberührt.

(4) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

21. Anrufungsrecht des Betroffenen

(1) Jedermann hat das Recht, sich unmittelbar an den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zu wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezogenen Daten durch eine der Kontrolle des Landesbeauftragten unterliegende Stelle in seinen Rechten verletzt zu sein; dies gilt auch für Bedienstete der öffentlichen Stellen, ohne dass der Dienstweg einzuhalten ist.

(2) Niemand darf deswegen benachteiligt oder gemaßregelt werden, weil er sich an den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht wendet.

Abschnitt 2. Landesbeauftragter für den Datenschutz und für das Recht auf Akteneinsicht

22. Berufung und Rechtsstellung

(1) Der Landtag wählt einen Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Dieser muß die Befähigung zum Richteramt oder zum höheren Dienst oder eine nach dem Einigungsvertrag gleichgestellte Befähigung haben und die zur Erfüllung seiner Aufgaben erforderliche Fachkunde besitzen.

(2) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht leistet vor dem Präsidenten des Landtages folgenden Eid:

«Ich schwöre, mein Amt gerecht und unparteiisch getreu dem Grundgesetz, der Verfassung von Brandenburg und den Gesetzen zu führen und meine ganze Kraft dafür einzusetzen.»

Der Eid kann auch mit einer religiösen Beteuerung geleistet werden.

(3) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht wird jeweils auf die Dauer von sechs Jahren in ein Beamtenverhältnis auf Zeit berufen. Die Wiederwahl ist zulässig. Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist verpflichtet, das Amt bis zur Bestellung eines Nachfolgers weiterzuführen; die Amtszeit gilt als entsprechend verlängert. Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht kann außer auf eigenen Antrag nur entlassen werden, wenn er der Pflicht nach Satz 3 nicht nachkommt oder wenn Gründe vorliegen, die bei einem Richterverhältnis auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen.

(4) Das Amt des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht wird bei dem Präsidenten des Brandenburgischen Landtages eingerichtet. Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist in der Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er untersteht der Dienstaufsicht des Präsidenten des Landtages. Für die Erfüllung der Aufgaben ist die notwendige Personal- und Sachausstattung zur Verfügung zu stellen, die Mittel sind im Einzelplan des Landtages in einem gesonderten Kapitel auszuweisen. Die Mitarbeiter werden auf Vorschlag des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht durch den Präsidenten des Landtages ernannt. Sie können nur im Einvernehmen mit dem Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht versetzt oder abgeordnet werden. Ihr Dienstvorgesetzter ist der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, an dessen Weisungen sie ausschließlich gebunden sind. Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht bestellt einen Mitarbeiter zum Stellvertreter. Dieser führt die Geschäfte, wenn der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht an der Ausübung des Amtes verhindert ist.

(5) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist oberste Dienstbehörde im Sinne von § 96 der Strafprozeßordnung. Er trifft die Entscheidungen über Aussagegenehmigungen für sich und seine Mitarbeiter in eigener Verantwortung.

(6) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören.

(7) Der Landesbeauftragte für den Datenschutz übt zugleich die Aufgaben eines Landesbeauftragten für das Recht auf Akteneinsicht gemäß den Vorschriften des Akteneinsichts- und Informationszugangsgesetzes aus. Seine Amts- und Funktionsbezeichnung lautet «Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht»; diese kann in männlicher und weiblicher Form geführt werden.

23. Aufgaben

(1) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht kontrolliert die Einhaltung der Vorschriften dieses Gesetzes, anderer Vorschriften über den Datenschutz sowie die Einhaltung des Akteneinsichts- und Informationszugangsgesetzes gemäß 11 Abs. 2 des Akteneinsichts- und Informationszugangsgesetzes bei öffentlichen Stellen, soweit sie nach diesem Gesetz seiner Kontrolle unterliegen oder sich gemäß 11 Abs. 1 Satz 3 oder 28 Abs. 4 seiner Kontrolle unterworfen haben.

(2) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht kann Empfehlungen zur Verbesserung des Datenschutzes geben. Insbesondere kann er die Landesregierung und einzelne Minister, die Gemeinden und Gemeindeverbände sowie die übrigen öffentlichen Stellen in Fragen des Datenschutzes beraten. Er hat auf einzelgesetzliche Regelungen hinzuwirken. Er ist über Planungen des Landes zum Aufbau automatisierter Informationssysteme rechtzeitig zu unterrichten, sofern in den Systemen personenbezogene Daten verarbeitet werden sollen.

(3) Auf Ersuchen des Landtages, des Petitionsausschusses oder des Ausschusses für Inneres oder der Landesregierung geht der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ferner Hinweisen auf Angelegenheiten und Vorgänge, die seinen Aufgabenbereich unmittelbar betreffen, nach. Er geht außerdem Hinweisen nach, die sich aus der Wahrnehmung des Rechts des Betroffenen nach 21 ergeben.

(4) Der Landtag und die Landesregierung können den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht mit der Erstattung von Gutachten und Stellungnahmen oder der Durchführung von Untersuchungen in Datenschutzfragen betrauen. 22 Abs. 4 Satz 2 bleibt unberührt.

(5) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht kann nach Maßgabe der Geschäftsordnung des Landtages an den Sitzungen des Landtages und seiner Ausschüsse teilnehmen und Stellung nehmen zu Fragen, die für den Datenschutz von Bedeutung sind. Der Landtag und seine Ausschüsse können seine Anwesenheit und seine mündliche oder schriftliche Stellungnahme verlangen.

(6) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist berechtigt, die für die Erfüllung seiner ihm durch dieses Gesetz zugewiesenen Aufgaben erforderlichen personenbezogenen Daten unter den Voraussetzungen dieses Gesetzes zu verarbeiten. Er darf personenbezogene Daten im Rahmen von Kontrollmaßnahmen im Einzelfall auch ohne Kenntnis der Betroffenen erheben, wenn nur auf diese Weise festgestellt werden kann, ob ein datenschutzrechtlicher Mangel besteht. Die nach den Sätzen 1 und 2 verarbeiteten Daten dürfen nicht zu anderen Zwecken weiterverarbeitet werden.

(7) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht arbeitet mit den Behörden und sonstigen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz im Bund und in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach 38 des Bundesdatenschutzgesetzes zusammen. Er ist berechtigt, für diese Stellen auf ihr Ersuchen die Einhaltung datenschutzrechtlicher Vorschriften zu kontrollieren und zu diesem Zweck personenbezogene Daten zu verarbeiten; das gleiche gilt, wenn sich eine nicht-öffentliche Stelle durch einen Vertrag im Sinne des 11 Abs. 1 Satz 3 seiner Kontrolle unterworfen hat.

(8) Für die öffentlichen Stellen des Landes gilt 24 Abs. 2 Satz 5 des Bundesdatenschutzgesetzes entsprechend.

24. (aufgehoben)

25. Beanstandungen durch den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht

(1) Stellt der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Verstöße gegen die Vorschriften dieses Gesetzes, gegen andere Vorschriften über den Datenschutz, oder sonstige Mängel bei der Verarbeitung personenbezogener Daten oder Verstöße gegen das Akteneinsichts- und Informationszugangsgesetz fest, so beanstandet er diese

bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,

bei der Kommunalverwaltung gegenüber der jeweils verantwortlichen Gemeinde oder dem verantwortlichen Gemeindeverband,

bei den wissenschaftlichen Hochschulen und Fachhochschulen gegenüber dem Hochschulpräsidenten oder dem Rektor, bei öffentlichen Schulen gegenüber dem Leiter der Schule,

bei den sonstigen Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ

und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen von Satz 1 Nrn. 2 bis 4 unterrichtet der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht gleichzeitig auch die zuständige Aufsichtsbehörde.

(2) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt oder wenn ihre Behebung sichergestellt ist.

(3) Mit der Beanstandung kann der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.

(4) Die gemäß Absatz 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht getroffen worden sind. Die in Absatz 1 Nrn. 2 bis 4 genannten Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme an den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zu.

(5) Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist nach pflichtgemäßem Ermessen befugt, Betroffene über Beanstandungen und die hierauf erfolgten Maßnahmen nach Absatz 4 zu unterrichten.

26. Durchführung der Kontrolle

(1) Die öffentlichen Stellen sind verpflichtet, den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist insbesondere

Auskunft auf ihre Fragen zu erteilen sowie Einsicht in alle Vorgänge und Aufzeichnungen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen,

jederzeit Zutritt zu allen Diensträumen zu gewähren.

Die Einsicht nach Nummer 1 kann auch elektronisch gewährt werden.

(2) Absatz 1 gilt für die in 18 Abs. 7 genannten Behörden nicht, soweit das jeweils zuständige Mitglied der Landesregierung im Einzelfall feststellt, dass die Einsicht in die Unterlagen und Akten die Sicherheit des Bundes oder eines Landes gefährdet. Auf Antrag des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht hat die Landesregierung dies im zuständigen Ausschuß des Landtages in geheimer Sitzung zu begründen. Die Entscheidung des Ausschusses kann veröffentlicht werden.

27. Tätigkeitsberichte

Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht legt dem Landtag und der Landesregierung jährlich einen Bericht über seine Tätigkeit vor. Die Landesregierung legt hierzu regelmäßig innerhalb von vier Monaten nach Vorlage des Tätigkeitsberichtes ihre Stellungnahme dem Landtag vor; gleichzeitig gibt sie einen Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich zuständigen Aufsichtsbehörde.

Abschnitt 3. Besonderer Datenschutz

28. Datenverarbeitung für wissenschaftliche Zwecke

(1) Öffentliche Stellen dürfen personenbezogene Daten zu wissenschaftlichen Zwecken verarbeiten, soweit der Betroffene eingewilligt hat.

(2) Öffentliche Stellen dürfen personenbezogene Daten ohne Einwilligung für ein bestimmtes Forschungsvorhaben erheben, speichern, verändern, nutzen und an andere Stellen oder Personen zu diesem Zweck übermitteln, wenn

a) schutzwürdige Belange des Betroffenen wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verwendung nicht beeinträchtigt werden,

b) eine Rechtsvorschrift dies vorsieht oder

c) die zuständige oberste Aufsichtsbehörde festgestellt hat, dass das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange des Betroffenen überwiegt und der Zweck der Forschung nicht auf andere Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

Der Empfänger darf die übermittelten Daten nicht für andere Zwecke verwenden. Personen, die innerhalb einer öffentlichen Stelle auf Grund ihrer Zuständigkeiten Zugriff auf den jeweiligen Datenbestand haben, dürfen personenbezogene Daten ohne Einwilligung speichern, verändern und nutzen, wenn die übrigen Voraussetzungen des Satzes 1 vorliegen. In den Fällen des Satzes 1 haben die öffentlichen Stellen den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zu unterrichten.

(3) Die Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie sind zu löschen, sobald der Forschungszweck dies erlaubt.

(4) Soweit die Vorschriften dieses Gesetzes auf den Empfänger keine Anwendung finden, dürfen diesem personenbezogene Daten nur übermittelt werden, wenn er sich verpflichtet, die Vorschriften des Absatzes 2 Satz 2 und des Absatzes 3 einzuhalten, und sich, sofern das Forschungsvorhaben im Geltungsbereich dieses Gesetzes durchgeführt werden soll, der Kontrolle des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht unterwirft. Bei einer Datenübermittlung an Stellen außerhalb des Geltungsbereiches dieses Gesetzes hat die übermittelnde Stelle die für den Empfänger zuständige Datenschutzkontrollbehörde zu unterrichten.

(5) Die wissenschaftliche Forschung betreibenden öffentlichen Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn

a) der Betroffene eingewilligt hat oder

b) dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist.

 29. Datenverarbeitung bei Dienst- und Arbeitsverhältnissen

(1) Daten von Bewerbern und Beschäftigten dürfen nur verarbeitet werden, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung dies vorsieht. Abweichend von 16 Abs. 1 ist eine Übermittlung der Daten von Beschäftigten an Personen und Stellen außerhalb des öffentlichen Bereiches nur zulässig, wenn der Empfänger ein rechtliches Interesse darlegt, der Dienstverkehr es erfordert oder der Betroffene eingewilligt hat. Die Datenübermittlung an einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung des Betroffenen zulässig.

(2) Die Weiterverarbeitung der bei medizinischen oder psychologischen Untersuchungen und Tests zum Zwecke der Eingehung eines Dienst- oder Arbeitsverhältnisses erhobenen Daten ist nur mit schriftlicher Einwilligung des Bewerbers zulässig. Die Einstellungsbehörde darf vom untersuchenden Arzt in der Regel nur die Übermittlung des Ergebnisses der Eignungsuntersuchung und dabei festgestellter Risikofaktoren verlangen.

(3) Personenbezogene Daten, die vor der Eingehung eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt, es sei denn, dass der Betroffene in die weitere Speicherung eingewilligt hat. Nach Beendigung eines Dienst- oder Arbeitsverhältnisses sind personenbezogene Daten zu löschen, wenn diese Daten nicht mehr benötigt werden, es sei denn, dass Rechtsvorschriften entgegenstehen; 19 Abs. 2 Satz 2 und 3 sowie 19 Abs. 4 finden Anwendung.

(4) Die Ergebnisse medizinischer oder psychologischer Untersuchungen und Tests des Beschäftigten dürfen automatisiert nur verarbeitet werden, wenn dies dem Schutz des Beschäftigten dient.

(5) Soweit Daten der Beschäftigten im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach 10 Abs. 2 gespeichert werden, dürfen sie nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden.

(6) Beurteilungen dürfen nicht allein auf Informationen gestützt werden, die unmittelbar durch automatisierte Datenverarbeitung gewonnen werden.

30. Fernmessen und Fernwirken

(1) Öffentliche Stellen dürfen ferngesteuerte Messungen oder Beobachtungen (Fernmeßdienste) in Wohnungen oder Geschäftsräumen nur vornehmen, wenn der Betroffene zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes unterrichtet worden ist und nach der Unterrichtung schriftlich eingewilligt hat. Entsprechendes gilt, soweit eine Übertragungseinrichtung dazu dienen soll, in Wohnungen oder Geschäftsräumen andere Wirkungen auszulösen (Fernwirkdienste). Die Einrichtung von Fernmeß- und Fernwirkdiensten ist nur zulässig, wenn der Betroffene erkennen kann, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist; dies gilt nicht für Fernmeß- und Fernwirkdienste der Versorgungsunternehmen. Der Betroffene kann seine Einwilligung jederzeit widerrufen, soweit dies mit der Zweckbestimmung des Dienstes vereinbar ist. Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung.

(2) Eine Leistung, der Abschluß oder die Abwicklung eines Vertragsverhältnisses dürfen nicht davon abhängig gemacht werden, dass der Betroffene nach Absatz 1 Satz 1 oder 2 einwilligt. Verweigert oder widerruft er seine Einwilligung, so dürfen ihm keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen.

(3) Soweit im Rahmen von Fernmeß- oder Fernwirkdiensten personenbezogene Daten erhoben werden, dürfen diese nur zu den vereinbarten Zwecken verarbeitet werden. Sie sind zu löschen, sobald sie zur Erfüllung dieser Zwecke nicht mehr erforderlich sind.

31. Verarbeitung personenbezogener Daten durch den Landtag

(1) Die Landesregierung darf personenbezogene Daten, die für andere Zwecke erhoben worden sind, zur Beantwortung parlamentarischer Anfragen sowie zur Vorlage von Unterlagen und Berichten an den Landtag in dem dafür erforderlichen Umfang verwenden. Eine Übermittlung der Daten zu einem der in Satz 1 genannten Zwecke ist nicht zulässig, wenn dies wegen des streng persönlichen Charakters der Daten für den Betroffenen unzumutbar ist oder wenn der Eingriff in sein informationelles Selbstbestimmungsrecht unverhältnismäßig ist. Dies gilt nicht, wenn im Hinblick auf 2 Abs. 1a Satz 2 oder durch sonstige geeignete Maßnahmen sichergestellt ist, dass schutzwürdige Interessen der Betroffenen nicht beeinträchtigt werden. Besondere gesetzliche Übermittlungsverbote bleiben unberührt.

(2) Von der Landesregierung übermittelte personenbezogene Daten dürfen nicht in Landtagsdrucksachen aufgenommen oder in sonstiger Weise allgemein zugänglich gemacht werden. Dies gilt nicht, wenn keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange der Betroffenen beeinträchtigt werden.

32. (aufgehoben)

33. Datenverarbeitung zu journalistisch-redaktionellen Zwecken

(1) Soweit öffentliche Stellen – insbesondere Unternehmen oder Hilfsunternehmen der Presse, des Rundfunks oder des Films – personenbezogene Daten ausschließlich zu eigenen meinungsbildenden journalistisch-redaktionellen Zwecken verarbeiten, gilt von den Vorschriften dieses Gesetzes nur 10.

(2) Führt die journalistisch-redaktionelle Verarbeitung personenbezogener Daten zur Veröffentlichung von Gegendarstellungen der Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.

33a. Öffentliche Auszeichnungen und Ehrungen

(1) Zur Vorbereitung öffentlicher Auszeichnungen und Ehrungen dürfen die zuständigen Stellen die dazu erforderlichen Daten auch ohne Kenntnis des Betroffenen erheben und weiter verarbeiten. Eine Verarbeitung dieser Daten für andere Zwecke ist nur mit Einwilligung des Betroffenen zulässig.

(2) Auf Anforderung der in Absatz 1 genannten Stellen dürfen andere öffentliche Stellen die zur Vorbereitung der Auszeichnung oder Ehrung erforderlichen Daten übermitteln.

(3) Die in Absatz 1 genannten Stellen haben den Betroffenen auf Antrag Auskunft zu erteilen über

a) die zu seiner Person gespeicherten Daten,

b) den Zweck und die Rechtsgrundlage der Speicherung sowie

c) die Herkunft der Daten.

Die Form der Auskunftserteilung ist nach pflichtgemäßem Ermessen zu bestimmen. Im übrigen findet 18 keine Anwendung.

(4) Die Absätze 1 und 2 finden keine Anwendung, wenn der datenverarbeitenden Stelle bekannt ist, dass der Betroffene seiner öffentlichen Auszeichnung oder Ehrung oder der mit ihr verbundenen Datenverarbeitung widersprochen hat.

33b. Begnadigungsverfahren

In Begnadigungsverfahren ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Ausübung des Gnadenrechts durch die zuständigen Stellen erforderlich ist. Die Datenverarbeitung unterliegt nicht der Kontrolle durch den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht.

33c. Videoüberwachung und -aufzeichnung

(1) Öffentliche Stellen dürfen mit optisch-elektronischen Einrichtungen öffentlich zugängliche Räume beobachten (Videoüberwachung), soweit dies zu Erfüllung ihrer Aufgaben oder zur Wahrnehmung des Hausrechts erforderlich ist und überwiegende schutzwürdige Interessen Betroffener nicht beeinträchtigt werden. Das Bildmaterial darf gespeichert werden (Videoaufzeichnung), wenn die Tatsache der Aufzeichnung den Betroffenen durch geeignete Maßnahmen erkennbar gemacht ist. 19 Abs. 2 Buchstabe b bleibt unberührt.

(2) Werden durch Videoaufnahmen gewonnene personenbezogene Daten verändert, übermittelt oder sonst genutzt, ist der Betroffene mit Angabe der Rechtsgrundlage zu benachrichtigen. 12 Abs. 5 gilt entsprechend.

(3) Besondere Vorschriften bleiben unberührt.

34. Personenbezogene Daten aus ehemaligen Einrichtungen

(1) Waren personenbezogene Daten aus ehemaligen Einrichtungen vor dem 3. Oktober 1990 nach ihrer Zweckbestimmung überwiegend für Verwaltungsaufgaben gespeichert, die nach dem Grundgesetz von Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, den Gemeinden, Gemeindeverbänden oder sonstigen öffentlichen Stellen im Sinne des 2 Abs. 1 Satz 1 wahrzunehmen sind, so stehen sie demjenigen Träger öffentlicher Verwaltung zu, der für die Verwaltungsaufgabe zuständig ist.

(2) Ehemalige Einrichtungen im Sinne des Absatzes 1 sind ehemalige staatliche oder wirtschaftsleitende Organe, Kombinate, Betriebe und Einrichtungen sowie gesellschaftliche Organisationen der Deutschen Demokratischen Republik.

(3) Öffentliche und nicht-öffentliche Stellen sowie Personen, die personenbezogene Daten im Sinne des Absatzes 1 im Besitz haben, soweit diese nicht in den Verwaltungsvollzug übernommen worden sind, haben bis zum 1. Juli 1992 entsprechend 8 Abs. 1 ein Verzeichnis zu erstellen und dieses dem Ministerium des Innern vorzulegen; entsprechendes gilt für vorhandene Aktenbestände und nicht-automatisiert verarbeitete Daten. Auf Verlangen des Ministeriums des Innern haben sie diese Dateien oder Akten sowie die zu ihrer Ordnung, Auffindung oder Auswertung dienenden Materialien und Träger sowie sämtliches Zubehör dem Ministerium des Innern oder einer von diesem benannten Behörde im Original und mit sämtlichen Ausfertigungen zur Einsicht vorzulegen und zu übergeben. Kopien dürfen von ihnen weder angefertigt noch behalten werden. Das Ministerium des Innern übergibt die Unterlagen den nach Absatz 1 zuständigen Behörden.

35. Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen

(1) Abweichend von 13 Abs. 1 ist das Speichern, Verändern oder Nutzen personenbezogener Daten aus ehemaligen Einrichtungen durch die in 34 Abs. 1 genannten Stellen zulässig, soweit

die Kenntnis der Daten zur rechtmäßigen Erfüllung einer in der Zuständigkeit dieser Stellen liegenden Aufgabe erforderlich ist,

die erneute Erhebung dieser Daten einen unverhältnismäßig hohen Aufwand darstellt,

der Betroffene der Verarbeitung nicht nach 36 widersprochen hat und

die Zuständigkeit und Verantwortlichkeit der datenverarbeitenden Stellen eindeutig bestimmt ist.

(2) Personenbezogene Daten, deren Verarbeitung nach Absatz 1 zulässig ist, gelten als für den nach Absatz 1 Nr. 1 bestimmten Zweck erstmalig gespeichert.

36. Widerspruchsrecht

(1) Der Betroffene kann der Verarbeitung seiner personenbezogenen Daten widersprechen, wenn die Daten durch eine ehemalige Einrichtung erhoben und durch diese oder eine andere ehemalige Einrichtung gespeichert wurden und die Daten nach geltendem Recht nicht ohne seine Mitwirkung erhoben werden dürfen.

(2) Der Betroffene ist in geeigneter Weise über

die Herkunft solcher Daten,

die Art der ursprünglichen Verwendung,

die Art und den Umfang der beabsichtigten Verarbeitung,

die nunmehr zuständige datenverarbeitende Stelle und

die bestehende Widerspruchsmöglichkeit

persönlich zu unterrichten. Die Unterrichtung kann auch in allgemeiner Form erfolgen, soweit eine Einzelunterrichtung wegen des damit verbundenen unverhältnismäßigen Aufwandes nicht geboten erscheint und schutzwürdige Belange der Betroffenen nicht überwiegen.

37. Sperrung personenbezogener Daten aus ehemaligen Einrichtungen

(1) Ist die Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen nach 35 Abs. 1 nicht zulässig, sind diese Daten abweichend von 19 Abs. 2 dem zuständigen öffentlichen Archiv zu übergeben. Daten, deren Speicherung nach Landesrecht unzulässig wäre, sind nach den Bestimmungen des 4 Abs. 2 und 3 des Brandenburgischen Archivgesetzes zu behandeln.

(2) Abweichend von 19 Abs. 3 dürfen gesperrte Daten nach Absatz 1 Satz 1 nur zur Behebung einer akuten Beweisnot, zu wissenschaftlichen Zwecken oder mit Zustimmung des Betroffenen weiterverarbeitet werden.

(3) Jeder Betroffene kann die Löschung rechtswidrig erhobener personenbezogener Daten fordern. Dem Antrag ist stattzugeben, soweit nicht schutzwürdige Belange der Öffentlichkeit oder Dritter dem entgegenstehen.

Abschnitt 4. Straf- und Bußgeldvorschriften; Übergangsvorschriften

38. Straftaten

(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, entgegen den Vorschriften dieses Gesetzes oder einer anderen Rechtsvorschrift über den Datenschutz personenbezogene Daten, die nicht offenkundig sind, erhebt, speichert, unbefugt verwendet, verändert, übermittelt, weitergibt, zum Abruf bereithält, entschlüsselt, den Personenbezug herstellt oder löscht, abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlaßt, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Ebenso wird bestraft, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht. Der Versuch ist strafbar.

(2) Absatz 1 findet nur Anwendung, soweit die Tat nicht nach anderen Vorschriften mit Strafe bedroht ist.

39. Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes oder einer anderen Rechtsvorschrift über den Datenschutz personenbezogene Daten, die nicht offenkundig sind, erhebt, speichert, unbefugt verwendet, verändert, übermittelt, weitergibt, zum Abruf bereithält, entschlüsselt, den Personenbezug herstellt oder löscht, abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlaßt.

Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu einhunderttausend Deutsche Mark geahndet werden.

40. Übergangsvorschriften

(1) In Akten, die bei Inkrafttreten des Gesetzes vorhanden waren, ist die Berichtigung, Löschung oder Sperrung vorzunehmen, wenn die datenverarbeitende Stelle deren Voraussetzungen bei der Erfüllung ihrer laufenden Aufgaben oder auf Grund eines Überprüfungsersuchens des Betroffenen feststellt.

(2) Für Behörden des Justizvollzuges gilt 18 mit der Maßgabe, dass der Betroffene Auskunft oder Akteneinsicht erhält, soweit er zur Wahrnehmung seiner Rechte oder berechtigten Interessen auf die Kenntnis gespeicherter Daten angewiesen ist.

(3) Für personenbezogene Daten, die bereits automatisiert gespeichert sind, findet die Vorschrift des 18 Abs. 2 erstmals in Fällen einer Veränderung oder Ergänzung des personenbezogenen Datensatzes Anwendung.

40a. Einschränkung von Grundrechten

Das informationelle Selbstbestimmungsrecht nach Artikel 11 Abs. 1 der Verfassung des Landes Brandenburg wird nach Maßgabe dieses Gesetzes eingeschränkt.

41.(Inkrafttreten) (Das Gesetz ist nach der erstmaligen Verkündung vom 22.01.1992 am 23.01.1992 in Kraft getreten)

Anlage 1. Anforderungskatalog zu 11a Abs.1 Satz 3

Werden Datenverarbeitungssysteme vor Ort oder über Datenfernübertragungseinrichtungen (Fernwartung) gewartet, so sind Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,

sicherzustellen, dass nur dafür autorisiertes Personal die Wartung vornimmt;

sicherzustellen, dass jeder Wartungsvorgang nur mit Wissen und Wollen der speichernden Stelle erfolgen kann;

zu verhindern, dass personenbezogene Daten im Rahmen der Wartung unbefugt entfernt oder übertragen werden;

sicherzustellen, dass alle Wartungsvorgänge während der Durchführung kontrolliert werden können;

sicherzustellen, dass alle Wartungsvorgänge nach der Durchführung nachvollzogen werden können;

zu verhindern, dass bei der Wartung Programme unbefugt aufgerufen werden können, die für die Wartung nicht benötigt werden;

zu verhindern, dass bei der Wartung Datenverarbeitungsprogramme unbefugt verändert werden können und

die Wartung so zu organisieren und zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Anlage 2. Mindestvertragsinhalt zu 11a Abs. 2 Satz 2

In der schriftlichen Vereinbarung sind folgende Regelungen zu treffen:

Aussagen zu Art und Umfang der Wartung,

Bestimmungen hinsichtlich der Abgrenzung der Rechte und Pflichten zwischen Auftraggeber und Auftragnehmer,

eine Protokollierungspflicht beim Auftraggeber und die Verpflichtung des Auftragnehmers, Weisungen des Auftraggebers zum Umgang mit den Daten auszuführen und sich an dessen Weisungen zu halten,

Regelung, dass die Daten ausschließlich für den Zweck der Wartung verwendet werden dürfen,

Sicherstellung, dass keine Datenübermittlung an andere Stellen durch den Auftragnehmer erfolgt,

nach Abschluß der Wartungsarbeiten sind die Daten zu löschen,

die technische Verbindung muß vom Auftraggeber hergestellt werden; sofern dies nicht möglich ist, ist ein Rückrufverfahren verbindlich festzulegen,

Anwesenheit des Systemverwalters ist möglichst sicherzustellen,

Verschlüsselung von personenbezogenen Daten auf dem Übertragungsweg nach dem jeweiligen Stand der Technik und

für den Fall, dass ein Auftragnehmer außerhalb der Mitgliedstaaten der Europäischen Union aus tätig wird, sind stets die jeweiligen Regelungen über die Übermittlung personenbezogener Daten an ausländische und internationale Stellen des 17 anzuwenden.

Arrêté du 19 décembre 2006 pris pour l'application de l'article 7 de la loi nº 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers et portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aériens.

Le ministre d'Etat, ministre de l'intérieur et de l'aménagement du territoire, la ministre de la défense et le ministre des transports, de l'équipement, du tourisme et de la mer,

Vu la convention nº 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, approuvée par la loi nº 82-890 du 19 octobre 1982 entrée en vigueur le 1er octobre 1985 ;

Vu la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers ;

Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée notamment par la loi nº 2004-801 du 6 août 2004;

Vu la loi nº 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, notamment ses articles 7 et 33 ;

Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 modifiée susvisée ;

Vu l'arrêté du 31 mars 2006 pris pour l'application de l'article 33 de la loi du 23 janvier 2006 susvisée, modifié par l'arrêté du 17 août 2006 ;

Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 14 septembre 2006,

Arrêtent :

Article 1. Est autorisée, à titre expérimental, la mise en oeuvre d'un traitement automatisé de données à caractère personnel mentionnées au 3° du I de l'article 7 de la loi du 23 janvier 2006 susvisée et relevant de la direction centrale de la police aux frontières du ministère de l'intérieur.

Les finalités de ce traitement sont d'améliorer le contrôle aux frontières, de lutter contre l'immigration clandestine et de prévenir et de réprimer des actes de terrorisme. Une décision du ministre de l'intérieur, communiquée à la Commission nationale de l'informatique et des libertés, précise les provenances et les destinations, situées dans des Etats n'appartenant pas à l'Union européenne, des passagers aériens concernés par le traitement mentionné à l'alinéa précédent.

Article 2. Les données à caractère personnel relatives aux passagers aériens enregistrées dans le traitement automatisé prévu à l'article 1er sont les suivantes :

– le numéro et le type du document de voyage utilisé ;

– la nationalité ;

– le nom et le prénom ;

– la date de naissance ;

– le sexe ;

– le point de passage frontalier utilisé pour entrer sur le territoire français ou en sortir ;

– le code de transport (numéro du vol et code du transporteur aérien) ;

– les heures de départ et d'arrivée du transport ;

– le point d'embarquement et de débarquement ;

– la mention «connu(e)» ou «inconnu(e)» au fichier des personnes recherchées ainsi que dans le système d'information Schengen.

Le nombre total des personnes transportées est également enregistré dans le traitement prévu à l'article 1er.

Article 3. Seuls ont accès aux données enregistrées dans le traitement automatisé prévu à l'article 1er les agents individuellement désignés et dûment habilités des services mentionnés à l'annexe au présent arrêté.

Article 4. La durée de conservation des données à caractère personnel mentionnées à l'article 2 est de cinq ans à compter de leur inscription, à l'exclusion de la mention » connu(e) » ou » inconnu(e) » au fichier des personnes recherchées ainsi que dans le système d'information Schengen, qui n'est conservée que pendant un délai de 24 heures.

Dans le cadre de la lutte contre l'immigration clandestine, ces données ne peuvent être consultées que dans les 24 heures qui suivent leur transmission.

Article 5. Conformément à l'article 7 de la loi du 23 janvier 2006 précitée, le traitement automatisé mentionné à l'article 1er fait l'objet d'une interconnexion avec le fichier des personnes recherchées et le système d'information Schengen.

Article 6. Conformément au dernier alinéa de l'article 41 de la loi du 6 janvier 1978 susvisée, le droit d'accès aux données mentionnées à l'article 2 s'exerce directement auprès de la direction centrale de la police aux frontières du ministère de l'intérieur.

S'agissant toutefois de la donnée relative à la mention » connu(e) » ou » inconnu(e) » au fichier des personnes recherchées ainsi que dans le système d'information Schengen, le droit d'accès s'exerce de manière indirecte auprès de la Commission nationale de l'informatique et des libertés, dans les conditions prévues à l'article 41 de la loi du 6 janvier 1978 susvisée.

Article 7. Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement.

Article 8. La présente expérimentation est autorisée pour une durée de deux ans à compter de la publication au Journal officiel du présent arrêté. Il est procédé à son évaluation.

Article 9. Le directeur général de la police nationale, le directeur général de la gendarmerie nationale, le directeur général de l'aviation civile et le préfet de police sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

Fait à Paris, le 19 décembre 2006.

Le ministre d'Etat, ministre de l'intérieur et de l'aménagement du territoire, Nicolas Sarkozy

La ministre de la défense, Michèle Alliot-Marie

Le ministre des transports, de l'équipement, du tourisme et de la mer, Dominique Perben

A N N E X E.- SERVICES DONT LES AGENTS INDIVIDUELLEMENT DÉSIGNÉS ET DÛMENT HABILITÉS SONT DESTINATAIRES DES DONNÉES À CARACTÈRE PERSONNEL ENREGISTRÉES DANS LE TRAITEMENT AUTOMATISÉ PRÉVU À L'ARTICLE 1er

I. – Au titre de la finalité d'améliorer le contrôle aux frontières et de lutter contre l'immigration clandestine

1. Les services ci-après dont les agents sont individuellement désignés et dûment habilités par le directeur général de la police nationale :

– les services centraux de la direction centrale de la police aux frontières ;

– les directions de la police aux frontières des aéroports de Roissy, du Bourget et d'Orly ;

– la direction zonale de la police aux frontières de la zone Sud (Marseille).

2. Le service ci-après dont les agents sont individuellement désignés et dûment habilités par le préfet de police :

– la section de lutte contre l'immigration clandestine et l'emploi irrégulier des étrangers de la direction des renseignements généraux de la préfecture de police.

II. – Au titre de la finalité de prévenir et de réprimer les actes de terrorisme

1. Les services ci-après, dont les agents sont individuellement désignés et dûment habilités par le directeur général de la police nationale :

– l'unité de coordination de la lutte antiterroriste ;

– la sous-direction de la recherche de la direction centrale des renseignements généraux ;

– les services centraux spécialement chargés de la prévention et de la répression des actes de terrorisme de la direction de la surveillance du territoire ;

– la sous-direction antiterroriste de la direction centrale de la police judiciaire ;

– l'Office central de lutte contre le crime organisé ;

– l'Office central pour la répression de la grande délinquance financière ;

– l'Office central pour la répression de l'immigration irrégulière et de l'emploi d'étrangers sans titre ;

– l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication ;

– la division de coordination et d'analyse de la sous-direction de la lutte contre la criminalité organisée et la délinquance financière de la direction centrale de la police judiciaire.

2. Les services ci-après, dont les agents sont individuellement désignés et dûment habilités par le préfet de police :

– les groupes, sections et unités de recherche spécialement chargés de la lutte contre le terrorisme au sein de la direction des renseignements généraux de la préfecture de police ;

– la direction régionale de la police judiciaire de Paris.

3. Les services ci-après, dont les agents sont individuellement désignés et dûment habilités par le directeur général de la gendarmerie nationale :

– le service technique de recherches judiciaires et de documentation de la sous-direction de la police judiciaire ;

– le bureau de la lutte antiterroriste de la sous-direction de la police judiciaire ;

– l'Office central de lutte contre les atteintes à l'environnement et à la santé publique.

Le ministre des technologies de la communication,

Vu le code d’incitation aux investissements promulgué par la loi n° 93-120 du 27 décembre 1993, et notamment son article 52 quinquies, tel qu’il a été modifié et complété par les textes suivants et notamment la loi n° 2007-69 du 27 décembre 2007 relative à l’initiative économique,

Vu la loi n° 2007-69 du 27 décembre 2007, relative à l’initiative économique et notamment son article 38.

Arrête :

Article premier .-

Est approuvé le cahier des charges relatif aux Cyber-parcs, annexé au présent arrêté.

Article 2 .-

Le présent arrêté sera publié au Journal Officiel de la République Tunisienne.

Tunis, le 24 juin 2008.

Le ministre des technologies de la communication El Hadj Gley

Vu

Le Premier ministre Mohamed Ghannouchi

CAHIER DES CHARGES RELATIF AUX CYBER-PARCS

CHAPITRE PREMIER.- Dispositions générales

Article premier .-

En application du code d’incitation aux investissements promulgué en vertu de la loi n° 93-120 du 27 décembre 1993, et notamment son article 52 quinquies, tel que modifié et complété par les textes suivants et notamment la loi n° 2007-69 du 27 décembre 2007, relative à l’initiative économique, le présent cahier des charges fixe les conditions relatives à la réalisation des cyber-parcs et habilités pour bénéficier des avantages fiscaux et financiers en vigueur.

Article 2 .-

La personne physique ou le représentant légal de la personne morale qui réalise un projet de cyber-parc doit être bénéficiaire de ses droits civils, et n’ayant pas fait l’objet d’un jugement de faillite ou avoir été condamné à titre irrévocable pour crime ou délit.

Article 3 .-

Parmi les activités qui peuvent être assurées au sein des cyber-parcs les activités suivantes :

– le développement des logiciels et des dispositifs électroniques,

– le développement, la maintenance et l’exploitation des sites web,

– le développement des services à valeur ajoutée,

– le traitement et la numérisation des cartes géographiques,

– le traitement, le stockage et l’exploitation à distance des données,

– les services liés à la traduction à distance, l’enseignement à distance, la comptabilité à distance et toutes autres activités fournies à distance moyennant les technologies de la communication.

– l’hébergement de centres d’appels et les prestations d’externalisation durant une période transitoire.

Article 4 .-

Les activités des entreprises installées dans les cyber-parcs sont orientées vers la satisfaction des besoins du marché intérieur et des marchés étrangers à travers les technologies de la communication.

CHAPITRE DEUX.- Organisation administrative

Article 5 .-

L’investisseur dans les cyber-parcs doit superviser et d’une manière directe l’espace, ou confier son administration à un service dirigé par un cadre tunisien jouissant de ses droits civiques et titulaires au moins de la maîtrise ou d’un diplôme équivalent.

Article 6 .-

Les services généraux dans le cyber- parc sont assurés par des agents recrutés selon des contrats conclus en vue d’assurer les services d’entretien, de maintenance et de gardiennage de l’immeuble et des équipements, et dont le nombre est proportionnel au volume de l’activité du cyberparc.

Article 7 .-

Les horaires d’ouverture du cyber-parc sont fixés en fonction de la nature des activités des entreprises y installées et en harmonie totale avec les spécificités de son environnement, sous condition qu’il soit ouvert au moins de 8 H jusqu’à 20 H, sans interruption pendant six jours dans la semaine.

Article 8 .-

Le superviseur du cyber-parc doit prendre les mesures nécessaires pour mettre à la disposition des agents de contrôle et d’inspection, des personnes habilitées à leur présenter toutes les clarifications et les documents pouvant justifier la conformité du projet aux dispositions du présent cahier des charges.

CHAPITRE TROIS.- L’infrastructure

Article 9 .-

L’infrastructure avec toutes ses composantes et ses espaces doit être fonctionnelle, valable et appropriée pour assurer les services fournis par le cyber-parc et répondre aux conditions générales dans les domaines de la santé et de la sécurité, conformément aux normes appliquées en l’objet.

Article 10 .-

Le cyber-parc doit être doté des différents moyens nécessaires à l’activité des entreprises y installées relatifs notamment au réseau de télécommunications à haut débit fournissant les services internet, aux services d’électricité et d’eau potable ainsi qu’au réseau de climatisation.

Article 11 .-

Le coefficient d’occupation du sol destiné au cyber-parc ne doit pas dépasser 50% et la superficie couverte ne doit pas être inférieure à 900 m². Le projet doit notamment comporter ce qui suit :

– un espace administratif,

– une salle de réunions,

– un espace d’accueil,

– des espaces destinés à la location dont la superficie varie entre 10 et 100 m² pour chaque espace,

– un parking pour les voitures avec une moyenne d’un seul emplacement pour chaque 100m² de superficie couverte,

– des blocs sanitaires dans chaque étage conformément à la réglementation en vigueur.

CHAPITRE QUATRE.- Conditions de salubrité et de sécurité

Article 12 .-

Le cyber-parc doit être assuré d’une manière permanente par un contrat d’assurance global qui couvre les parties de l’espace qui seront utilisées par les entreprises ainsi que tous les bénéficiaires de ses services et les employés quelque soient leurs catégories et leurs missions.

Article 13 .-

Le cyber-parc est équipé obligatoirement par des systèmes de protection et de sécurité exigés par la législation et la réglementation en vigueur.

CHAPITRE CINQ.– Les avantages accordés aux investisseurs dans le cyberparc

Article 14 .-

En application des dispositions de l’article 52 quinquies du code d’incitation aux investissements, les investissements au titre de réalisation des cyber-parcs ouvrent droit au bénéfice :

– d’une prime d’investissement dans la limite de 20% du coût du projet,

– d’un terrain au dinar symbolique.

Ces avantages sont accordés aux projets réalisés durant la période allant de la date d’entrée en vigueur de la loi n° 2007-69 du 27 décembre 2007, relative à l’initiative économique au 31 décembre 2011, sous condition de la réalisation du projet et de son entrée en exploitation dans un délai maximum de deux années à compter de la date d’obtention du terrain et de son exploitation conformément à son objet et conformément aux dispositions du présent cahier des charges durant une période qui ne peut être inférieure à quinze ans.

Ces avantages sont accordés par décret sur avis de la commission supérieure d’investissement.

I medfør af § 4, stk. 2, i Lov Nr. 418 af 10. juni 1997 om Danmarks tiltrædelse af Schengen-konventionen bestemmes, at lovens § 2 træder i kraft den 1. januar 2001, og at lovens § 3 træder i kraft den 25. marts 2001.

Justitsministeriet, den 20. december 2000

Frank Jensen

Jakob Scharf 

Décret nº 91-1051 du 14 octobre 1991. Décret portant application aux fichiers informatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l'article 31, alinéa 3, de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Le Premier ministre,

Sur le rapport du ministre de l'intérieur,

Vu la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel faite à Strasbourg le 28 janvier 1981 et publiée par le décret nº 85-1203 du 15 novembre 1985 ;

Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20, 21, 31, 39 et 45 ;

Vu le décret nº 79-1160 du 28 décembre 1979 fixant les conditions d'application aux traitements d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret nº 81-514 du 12 mai 1981 relatif à l'organisation de la protection des secrets et des informations concernant la défense nationale et la sûreté de l'Etat ;

Vu le décret nº 85-1057 du 2 octobre 1985 relatif à l'organisation de l'administration centrale du ministère de l'intérieur et de la décentralisation, modifié par le décret nº 86-1216 du 28 novembre 1986 ;

Vu les avis conformes de la Commission nationale de l'informatique et des libertés en date du 9 juillet et du 24 septembre 1991 ;

Le Conseil d'Etat (section de l'intérieur) entendu,

Article 1. L'interdiction résultant des articles 31 et 45 de la loi du 6 janvier 1978 susvisée de mettre ou conserver en mémoire des données nominatives qui font apparaître, directement ou indirectement, les origines raciales ou les opinions politiques, philosophiques ou religieuses ainsi que les appartenances syndicales des personnes, est applicable aux services des renseignements généraux.

Article 2 . Par dérogation aux dispositions de l'article 1er, sont autorisés, pour les seules fins et dans le strict respect des conditions définies aux articles 3 à 6 du présent décret, la collecte, la conservation et le traitement dans les fichiers des services des renseignements généraux d'informations nominatives relatives aux personnes majeures qui font apparaître :

– les signes physiques particuliers, objectifs et inaltérables, comme éléments de signalement dans les seuls cas visés par le 1° de l'article 3 ;

– les activités politiques, philosophiques, religieuses ou syndicales.

Article 3 . Les informations mentionnées à l'article 2 ne pourront être collectées, conservées et traitées dans les fichiers des renseignements généraux, à l'exclusion de toute autre finalité, que dans les cas suivants :

1° Lorsqu'elles concernent des personnes qui peuvent, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l'Etat ou à la sécurité publique, par le recours ou le soutien actif apporté à la violence ainsi que les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec celles-ci.

2° Lorsque ces informations concernent des personnes ayant obtenu ou sollicitant une autorisation d'accès à des informations protégées en application du décret du 12 mai 1981 susvisé et qu'elles sont nécessaires pour apprécier la vulnérabilité de ces personnes à des pressions exercées par des personnes physiques ou morales susceptibles de porter atteinte à la sûreté de l'Etat ou à la sécurité publique ; ces informations ne peuvent être conservées plus de cinq ans après la cessation des fonctions au titre desquelles l'autorisation a été donnée.

3° Lorsque ces informations sont relatives à des personnes physiques ou morales qui ont sollicité, exercé ou exercent un mandat politique, syndical ou économique ou qui jouent un rôle politique, économique, social ou religieux significatif, sous condition que ces informations soient nécessaires pour donner au Gouvernement ou à ses représentants les moyens d'apprécier la situation politique, économique ou sociale et de prévoir son évolution.

Article 4 . Il est interdit de sélectionner une catégorie particulière de personnes à partir des seules informations mentionnées à l'article 2.

Il est également interdit de faire état de ces informations dans les rapports d'enquête administrative ou de moralité.

Article 5 . Les fonctionnaires des renseignements généraux dûment habilités et dans la limite du besoin d'en connaître sont seuls autorisés à accéder aux informations mentionnées à l'article 2. Ces informations ne peuvent être communiquées aux services de police et de gendarmerie que si elles ont été collectées dans les cas prévus au 1° et au 2° de l'article 3. La communication est subordonnée à une demande écrite qui précise l'identité du consultant, l'objet et les motifs de la consultation.

Cette demande ne peut être agréée que par le directeur central ou le responsable du service départemental des renseignements généraux et dans la seule mesure où elle se rattache aux finalités exposées au 1° et au 2° de l'article 3. Lorsque la communication a été autorisée, la fiche de consultation est conservée pendant un délai de deux ans, à la disposition des autorités de contrôle. Elle est détruite au terme de ce délai.

Le décret relatif au fichier informatisé du terrorisme fixe les cas et les conditions dans lesquels d'autres fonctionnaires ou militaires relevant du ministère de la défense peuvent, pour l'exercice de leur mission, avoir accès aux informations de ce fichier.

Article 6 . Sans préjudice de l'application de l'article 21 de la loi du 6 janvier 1978 susvisée, la direction centrale des renseignements généraux est chargée selon une procédure contrôlée par la Commission nationale de l'informatique et des libertés de la vérification et de la mise à jour des informations contenues tant dans les fichiers informatisés, manuels ou mécanographiques qu'elle détient que dans les dossiers manuels auxquels ces fichiers renvoient.

Il est en outre procédé tous les cinq ans sous le contrôle de la Commission nationale de l'informatique et des libertés à un examen de la justification et du bien-fondé des informations nominatives détenues.

La direction centrale des renseignements généraux rend compte chaque année à la Commission nationale de l'informatique et des libertés de ses activités de vérification, de mise à jour et d'apurement de ses fichiers et de ses dossiers.

Article 7 . Le droit d'accès aux informations figurant dans les fichiers constitués par les services des renseignements généraux s'exerce auprès de la Commission nationale de l'informatique et des libertés.

Le droit d'accès s'exerce conformément aux dispositions de l'article 39 de la loi du 6 janvier 1978.

Toutefois, lorsque des informations sont enregistrées conformément aux finalités prévues au 2° ou au 3° de l'article 3, la Commission nationale de l'informatique et des libertés, en accord avec le ministre de l'intérieur, peut constater que ces informations ne mettent pas en cause la sûreté de l'Etat, la défense ou la sécurité publique et qu'il y a donc lieu de les communiquer à l'intéressé.

Lorsque le requérant n'est pas connu du service des renseignements généraux, la Commission nationale de l'informatique et des libertés lui indique, avec l'accord du ministre de l'intérieur, qu'aucune information le concernant ne figure dans le fichier.

Le ministre de l'intérieur peut s'opposer à la communication au requérant de tout ou partie des informations le concernant lorsque cette communication peut nuire à la sûreté de l'Etat, à la défense ou à la sécurité publique. Dans ce cas, la Commission nationale de l'informatique et des libertés informe le requérant qu'il a été procédé aux vérifications.

Article 8. – Le ministre de la défense, le ministre de l'intérieur et le ministre des départements et territoires d'outre-mer sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

Par le Premier ministre : ÉDITH CRESSON

Le ministre de l'intérieur, PHILIPPE MARCHAND

Le ministre de la défense, PIERRE JOXE

Le ministre des départements et territoires d'outre-mer, LOUIS LE PENSEC

Montevideo, 3 de septiembre de 2013

VISTO: la necesidad de regular el procedimiento administrativo electrónico.

RESULTANDO:　

I) que la creciente utilización de medios electrónicos en la actividad administrativa, así como en el relacionamiento con la ciudadanía, impone la adecuación del marco normativo que es aplicable a la Administración Central,　

II) que resulta fundamental la utilización del expediente electrónico en el procedimiento administrativo.

CONSIDERANDO:

I) que los avances de las tecnologías de la información y de la comunicación hacen posible la mejora de la gestión y posibilitan que la Administración Central brinde sus servicios en forma más efectiva, eficiente y transparente, mejorando la calidad de la comunicación y el relacionamiento con la ciudadanía,　

II) que se debe brindar la posibilidad que todas las actuaciones comprendidas en los expedientes, puedan ser realizadas a través de medios electrónicos,　

III) que la incorporación de estas herramientas permiten garantizar la seguridad de los procedimientos administrativos electrónicos habilitando la realización de trámites sin necesidad de desplazarse a las oficinas públicas, lo cual redundará en ahorro de tiempo y recursos públicos.

ATENTO: a lo precedentemente expuesto y a lo dispuesto en el artículo 168 ordinal 4° de la Constitución de la República y en la Ley nº 18.600, de 21 de setiembre de 2009,

EL PRESIDENTE DE LA REPUBLICA

actuando en Consejo de Ministros

DECRETA:

Capítulo I .- Disposiciones Generales

Artículo 1º.- Ámbito de aplicación.

Las disposiciones del presente Decreto alcanzan a todo procedimiento administrativo electrónico desarrollado en los órganos de la Administración Central.

Artículo 2º.- Definiciones.

A los efectos del presente Decreto se entiende por:　

A) Actuación Administrativa Electrónica: aquélla producida por un sistema informático estatal sin necesidad de intervención de una persona física en cada caso singular, que incluye la producción de actos de trámite, resolutorios o meros actos de comunicación.　

B) Constancia electrónica: aquélla emitida por medios electrónicos en la que consta fecha, hora, lugar, actuación y firma.　

C) Domicilio o dirección electrónica: identificador asociado al medio electrónico seleccionado para recibir y enviar información electrónicamente, el cual será constituido por el interesado y los órganos de la Administración Central.　

D) Procedimiento administrativo electrónico: sucesión o secuencia de actuaciones en soporte electrónico de naturaleza administrativa.　

E) Sede electrónica: aquel sitio web u otro medio análogo donde se desarrolla la vida operativa y jurídica de una Entidad Pública, cuya titularidad, gestión y administración le corresponde.

Capítulo II .- Procedimiento Administrativo Electrónico

Artículo 3º.- Documentación del procedimiento.

El procedimiento administrativo electrónico se documentará en un expediente electrónico conforme lo dispuesto en los artículos 16 y siguientes del presente Decreto, sin perjuicio de lo previsto en el artículo 28 del Decreto nº 500/991, de 27 de setiembre de 1991.　

El expediente electrónico podrá instrumentarse a través de formularios, o seguir todas las etapas necesarias para la formación de la voluntad administrativa.

Artículo 4º.- Publicidad.

Los órganos de la Administración Central informarán en su sede electrónica, en forma destacada, cuáles son los medios electrónicos que se admitirán en cada caso para la tramitación del procedimiento administrativo electrónico.

Artículo 5º.- Etapas.

El procedimiento administrativo electrónico comprende las etapas de iniciación, sustanciación, finalización y archivo.

Artículo 6º.- Iniciación.

El procedimiento administrativo electrónico podrá iniciarse a petición de persona interesada o de oficio. Las personas físicas o jurídicas interesadas podrán optar por alguno de los medios electrónicos puestos a disposición por la Administración Central, o por medios tradicionales.

Artículo 7º.- Presentación de documentos electrónicos.

Los interesados podrán presentar documentos electrónicos ante los órganos de la Administración Central a través de medios electrónicos.　

A los efectos de la presentación de los documentos se utilizarán los formatos de documentos electrónicos abiertos determinados por los órganos de la Administración Central y suscritos con firma electrónica conforme con lo establecido en la Ley nº 18.600, de 21 de setiembre de 2009.

Artículo 8º.- Presentación en otros soportes.

Cuando los documentos se presenten en soportes no electrónicos, el interesado exhibirá el original al funcionario, el que deberá digitalizarlo a efectos de ser incorporado al expediente electrónico y devuelto, salvo que su digitalización no sea viable o deba conservarse el original por necesidades de servicio. En estos casos, el funcionario deberá dejar constancia y proceder al archivo del documento físico asociándolo al expediente electrónico. Se aplicará en lo pertinente lo dispuesto en el artículo 23 del Decreto nº 500/991, de 27 de setiembre de 1991.

Artículo 9º.- Requisitos de presentación inicial.

En la comparecencia inicial en soporte electrónico se deberán indicar los nombres y apellidos del interesado, y en su caso, de su representante o apoderado, cédula de identidad o RUT, domicilio real, domicilio electrónico cuando opte por relacionarse electrónicamente, hechos que fundan la solicitud, lugar y fecha, órgano al que se dirige y firma.　

Si la petición careciere de alguno de los requisitos señalados en este artículo, o si del escrito no surgiere con claridad cuál es la petición efectuada, se requerirá a quien la presente que en el plazo de diez días hábiles salve la omisión o efectúe la aclaración correspondiente, bajo apercibimiento de mandarlo a archivar, de lo que se dejará constancia en el escrito de firma de aquél.　

Toda modificación de estos datos deberá ser comunicada inmediatamente al órgano u organismo actuante.

Artículo 10.- Emisión de constancia.

De toda actuación electrónica del interesado el órgano u organismo actuante le emitirá una constancia de su presentación.

Artículo 11.- Sustanciación.

La sustanciación del procedimiento administrativo electrónico se realizará de oficio por los órganos u organismos de la Administración Central, sin perjuicio de la impulsión que puedan darle los interesados. Las actuaciones serán registradas en el sistema informático correspondiente.　

Cuando el expediente electrónico esté a consideración de un órgano colegiado, será puesto en conocimiento simultáneo a todos sus integrantes a efectos de ser estudiado y resuelto dentro del mismo plazo.

Artículo 12.- Actuaciones entre órganos u organismos.

Cuando en la sustanciación del procedimiento administrativo electrónico se requiera la actuación de otro órgano u organismo, ésta se producirá a través de medios electrónicos de comunicación, salvo que causas justificadas lo impidan, debiéndose dejar la respectiva constancia explicativa de ello.

Artículo 13.- Cómputo de plazos de sustanciación.

Los plazos para la sustanciación de los procedimientos administrativos electrónicos se computarán a partir del día hábil siguiente a su recepción efectiva por el funcionario al que se le asigna el trámite.　

Se entiende por recepción efectiva, la fecha en que el expediente a sustanciar es asignado al funcionario en el sistema informático correspondiente.　

Todo ello sin perjuicio del cumplimiento de los plazos establecidos en la normativa constitucional y legal vigente.

Artículo 14.- Continuación del procedimiento administrativo por medios tradicionales.

Cuando el interesado opte por continuar con el procedimiento por medios tradicionales, el órgano competente, sin perjuicio de proseguir con su gestión electrónica, procederá a reproducir en soporte papel los documentos que fueren necesarios para la continuación del trámite.

Artículo 15.- Finalización.

Los actos que ponen fin al procedimiento administrativo electrónico, también serán dictados por medios electrónicos, y notificados por el medio elegido por el interesado.

Capítulo III .- Expediente Electrónico

Artículo 16.- Identificación.

Los expedientes electrónicos deberán comenzar con una carátula que contenga como mínimo los siguientes elementos identificatorios:　
– año,　
– identificación del órgano,　
– número correlativo anual del procedimiento administrativo electrónico de que se trate,　
– nombre completo del interesado,　
– asunto,　
– fecha y hora de iniciado,　
– carácter en caso de no ser información pública debe señalarse si se trata de información secreta por ley, o información de carácter reservado o confidencial de acuerdo con lo previsto en la Ley nº 18.381, de 17 de octubre de 2008.　
– domicilio electrónico del interesado y del órgano administrativo actuante.

Artículo 17.- Identificación de actuaciones administrativas electrónicas.

Las actuaciones administrativas electrónicas se identificarán con un número correlativo dentro del procedimiento administrativo electrónico correspondiente.

Artículo 18.- Firma de las actuaciones.

Todas las actuaciones administrativas que obren en el expediente electrónico deberán contar con firma electrónica conforme lo establecido en la Ley nº 18.600, de 21 de setiembre de 2009.

Artículo 19.- Consulta de expedientes.

La exhibición total o parcial de los expedientes electrónicos se realizará al interesado, su apoderado constituido en forma, o su abogado patrocinante, por medios electrónicos, conforme a lo dispuesto en la Ley nº 18.381, de 17 de octubre de 2008.　

Cuando el interesado lo requiera, o no fuere posible la exhibición del expediente por medios electrónicos, el órgano competente facilitará la información a través de otros medios disponibles a tal efecto.　
El sistema informático deberá permitir la generación de un único documento electrónico en el que se incorporen todas las actuaciones del procedimiento administrativo electrónico.

Artículo 20.- Desglose electrónico.

Los desgloses electrónicos se realizarán copiando las actuaciones a desglosar. Si la situación lo requiriere, dichos folios o actuaciones podrán marcarse como secretos, confidenciales o reservados en el expediente original.　

En todos los casos, se dejará constancia de lo realizado en el expediente a través de una actuación que dé cuenta de ello, y se deberán marcar las actuaciones correspondientes como desglosadas.

Artículo 21.- Unión de expedientes y conformación de piezas.

Los expedientes electrónicos que deban sustanciarse en forma conjunta, serán unidos para resolver lo que corresponda a cada uno de ellos mediante un único acto formal.　

Cuando en el transcurso de un procedimiento administrativo electrónico se deriven asuntos que no puedan continuarse por el principal, se conformarán piezas que se tramitarán en forma separada.　

Estas piezas serán numeradas en forma independiente, debiendo contar el sistema con un mecanismo de relación automática de la pieza con el expediente principal.

Artículo 22.- Copias electrónicas de documentos electrónicos.

Las copias, que tengan indicación de tales, realizadas por medios electrónicos de documentos electrónicos emitidos por el propio interesado o por los órganos de la Administración Central, manteniéndose o no el formato original, tendrán inmediatamente la consideración de copias auténticas con la misma eficacia que el documento electrónico original, siempre que éste se encuentre en poder de la Administración, y que la información de firma electrónica permita comprobar la coincidencia con dicho documento.

Artículo 23.- Copias electrónicas de documentos en soporte papel.

Las copias recibidas o realizadas por los órganos de la Administración Central por medios electrónicos de documentos emitidos originariamente en soporte papel, tendrán el carácter de copias auténticas, siempre que el funcionario actuante deje constancia de su identidad con el original, fecha, hora, lugar de emisión y firma.

La constancia deberá ser realizada en el momento de la exhibición del documento original, o dentro de los cinco días hábiles siguientes en caso de complejidad derivada del cúmulo o naturaleza de los documentos a certificar. Cumplida que sea, se devolverá a la parte los documentos originales. Sin perjurio de ello, el órgano administrativo podrá exigir en cualquier momento la exhibición de los mismos o de fotocopias certificadas notarialmente.

Artículo 24.- Copias en soporte papel de documentos electrónicos.

Las copias en soporte papel realizadas por los órganos de la Administración Central de documentos administrativos electrónicos, serán auténticas siempre que su impresión incluya un código generado electrónicamente u otros sistemas de verificación, que permitan corroborar su autenticidad mediante el acceso a los archivos electrónicos.

Artículo 25.- Archivo.

Todos los documentos y expedientes electrónicos deberán archivarse por medios electrónicos, debiendo el órgano de la Administración Central asegurar la seguridad de la información y su adecuada conservación.

Capítulo IV. – Comunicaciones y notificaciones electrónicas

Artículo 26.- Comunicaciones electrónicas.

Los órganos de la Administración Central utilizarán medios electrónicos en sus comunicaciones con los interesados, siempre que éstos lo hayan solicitado o consentido expresamente. La solicitud y el consentimiento se podrán emitir y recabar por medios electrónicos.　

Los interesados optarán por alguno de los medios electrónicos puestos a disposición por los órganos de la Administración Central. Sin perjuicio de ello, se podrán comunicar a través de un medio distinto al inicialmente elegido, en cuyo caso así lo harán saber al órgano de la Administración Central involucrado.

Artículo 27.- Cambio de opción de medio de comunicación.

Cuando el interesado decida cambiar el medio de comunicación elegido deberá comunicarlo fehacientemente al órgano de la Administración Central involucrado.

Artículo 28.- Notificaciones electrónicas.

Los interesados que optaren por recibir notificaciones electrónicas por alguno de los medios puestos a disposición por los órganos de la Administración Central, seleccionarán alguna de las siguientes modalidades:　

A) El ingreso a la sede electrónica del órgano de la Administración Central, cuyo sistema informático deberá cumplir los siguientes requisitos mínimos:　

a) Suministrar usuario y contraseña al interesado que así lo requiera.　

b) Acreditar fecha y hora en que se produce la recepción efectiva por parte del interesado del acto objeto de notificación.　

c) Posibilitar el acceso permanente a la sede electrónica por parte del interesado.　

B) El envío realizado al correo electrónico:　

a) proporcionado al interesado por la Entidad Pública, con la finalidad exclusiva de recibir notificaciones;　

b) proporcionado a instancia del interesado a la Entidad Pública en el que se puedan realizar notificaciones electrónicas, siempre que se asegure la expedición de un acuse de recibo automático en favor de la Entidad emisora cada vez que se realice una notificación.　

C) Otros mecanismos idóneos sujetos a la reglamentación que corresponda.　

Todas las modalidades expresadas se consideran válidas siempre que proporcionen seguridad en cuanto a la efectiva realización de la diligencia y a su fecha.　

Cuando el interesado haya optado por alguna de estas modalidades de notificación electrónica, los órganos de la Administración Central podrán exigir su uso hasta que aquél comunique su intención de relacionarse por otra.

Artículo 29.- Momento de la notificación.

De acuerdo con lo establecido en los artículos anteriores del presente Decreto, la notificación electrónica se entenderá realizada cuando el acto a notificar:　

A) Se encuentre disponible en la sede electrónica del órgano de la Administración Central, y el interesado acceda a ella.　

B) Se encuentre disponible en la casilla de correo electrónico proporcionada por el órgano de la Administración Central o en la casilla de correo electrónico proporcionada por el interesado.　

Transcurridos diez días hábiles siguientes a aquél en que el acto a notificar se encuentre disponible sin que el interesado haya accedido al medio electrónico, se lo tendrá por notificado.　

Los plazos para la realización de los actos jurídicos de que se trate, se computarán a partir del día hábil siguiente a aquél en que el acto se tenga por notificado.

Artículo 30.- Documentación adjunta.

Cuando se requiera notificar actos que incluyan documentación adjunta cuyo tamaño exceda el límite establecido en el sistema de notificación utilizado por el órgano de la Administración Central, su digitalización no sea viable o implique costos excesivos, se deberá notificar al interesado de tal circunstancia. A esos efectos, se le otorgará un plazo de tres días hábiles a fin de que concurra a la oficina.　

La notificación se entenderá efectuada en el momento que el interesado retire la correspondiente documentación, dejando constancia de ello, o transcurra el plazo sin que proceda a hacerlo.

Artículo 31.- Interrupción del servicio.

Las interrupciones programadas deberán comunicarse por anticipado.　

Ya sea que la interrupción fuere programada como imprevista, la Entidad Pública deberá comunicar fehacientemente la fecha y hora de restablecimiento del servicio.

Capítulo V .- Seguridad de la información

Artículo 32.- Seguridad de la información.

Los órganos de la Administración Central garantizarán la seguridad de la información en el desarrollo del procedimiento administrativo electrónico de acuerdo con lo establecido en el Decreto nº 452/009, de 28 de setiembre de 2009.

Artículo 33.- Sistema de Gestión de Seguridad de la información.

Los órganos de la Administración Central deberán adoptar e implementar un Sistema de Gestión de Seguridad de la Información. Sus lineamientos serán establecidos por la Dirección de Seguridad de la Información de AGESIC, creada por el artículo 149 de la Ley nº 18.719, de 27 de diciembre de 2010.

Artículo 34.- Activos de información críticos del Estado.

Los activos de información del Estado que se definan como críticos en el Sistema de Gestión de Seguridad de la Información, deberán regirse por las políticas y regulaciones indicadas por el CERTuy, creado por el artículo 73 de la Ley nº 18.362, de 6 de octubre de 2008.

Artículo 35.- Responsabilidad.

Los órganos de la Administración Central serán responsables de garantizar la seguridad de la información en el ámbito de su competencia.

Artículo 36.- Conservación de la información.

Los expedientes electrónicos se deberán conservar en formato abierto para su archivo, de forma que se garantice la disponibilidad y accesibilidad.　

El expediente originario en papel que fuere totalmente digitalizado, será guardado en un archivo centralizado. En caso de la tramitación de un expediente parcialmente digitalizado, la pieza separada que contenga los documentos registrados en papel, se radicará en un archivo a determinar por el órgano respectivo. En ambos casos, se propenderá a facilitar la consulta, sin obstaculizar el trámite del expediente.

Artículo 37.- Respaldos.

Los órganos de la Administración Central deberán contar con procedimientos y tecnologías de respaldo a fin de garantizar la disponibilidad de la información contenida en los expedientes electrónicos en caso de desastre.

Artículo 38.- Divulgación de claves o contraseñas.

La divulgación de la clave o contraseña personal de cualquier funcionario autorizado a documentar su actuación mediante firma electrónica, constituirá falta gravísima, aún cuando la clave o contraseña no llegase a ser utilizada.

Capítulo VI .- Disposiciones finales

Artículo 39.- Remisión.

Serán de aplicación el Decreto nº 500/991, de 27 de setiembre de 1991, modificativos y concordantes en todos los aspectos no expresamente previstos en el presente Decreto.

Artículo 40.- Derogaciones.

Deróganse el Decreto nº 65/998, de 10 de marzo de 1998 y el Decreto nº 382/003, de 17 de setiembre de 2003.

Artículo 41.- Exhortación a otros organismos públicos.

Exhórtase a otros organismos públicos a adoptar por decisiones internas las disposiciones normativas contenidas en el presente Decreto.　

El Poder Ejecutivo apreciará, en el ejercicio de sus poderes de contralor, el modo como se cumpla la exhortación que precede.

Artículo 42.-

Comuniquese, publíquese, etc.　

JOSÉ MUJICA, Presidente de la República

 EDUARDO BONOMI

LUIS ALMAGRO

FERNANDO LORENZO

ELEUTERIO FERNÁNDEZ HUIDOBRO

RICARDO EHRLICH

 ENRIQUE PINTADO

ROBERTO KREIMERMAN

EDUARDO BRENTA

SUSANA MUÑIZ

TABARÉ AGUERRE

LILIAM KECHICHIAN

FRANCISCO BELTRAME

DANIEL OLESKER.　

LA ASAMBLEA LEGISLATIVA DE LA REPUBLICA DE EL SALVADOR,

CONSIDERANDO:

I.- Que mediante Decreto Legislativo nº 1030, de fecha 26 de abril de 1997, publicado en el Diario Oficial nº 105, Tomo N° 335, del 10 de junio de ese mismo año, se emitió el Código Penal.

II.- Que el artículo 338 del Código Penal, no establece de forma inequívoca la conducta punible de la utilización de aparatos de telecomunicación en los centros penitenciarios, debiéndose tener en cuenta que las tecnologías de la información y comunicación son susceptibles de ser utilizadas como instrumento para la comisión de delitos, en particular por quienes se encuentran recluidos en el sistema penitenciario.

III.- Que en razón de lo antes expuesto enel considerando que antecede, es necesario reformar el Código Penal, intercalando un artículo 338-C entre el artículo 338-B y 339, a fin de incluir de manera expresa el delito de «Uso Indebido de Aparatos, Componentes y Accesorios Electrónicos y de Telecomunicaciones, en Centros Penitenciarios, Centros de Detención o Reeducativos».

IV.- Que así mismo debe reformarse el referido Código Penal estableciendo como delito que un funcionario o empleado penitenciario altere o modifique normas de seguridad que correspondan al régimen de internamiento afectando su funcionalidad.

POR TANTO,

en uso de sus facultades constitucionales y a iniciativa del Presidente de la República, por medio del Ministro de Justicia y Seguridad Pública y de los Diputados Mario Marroquín Mejía, Donato Eugenio Vaquerano Rivas, Roberto José d’Aubuisson Munguía, Carlos Armando Reyes Ramos, Manuel Vicente Menjívar, Carmen Elena Figueroa Rodríguez, César Humberto García Aguilera, Heidy Carolina Mira Saravia, Rodrigo Samayoa Rivas; así mismo, de los Diputados César René Florentín Reyes Dheming, Erik Mira Bonilla y Rafael Eduardo Paz Velis del Período Legislativo 2009-2012.

DECRETA, las siguientes:

REFORMAS AL CODIGO PENAL

Artículo 1.- Adiciónese al Artículo 338-B como último inciso, el siguiente párrafo:

«El funcionario o empleado penitenciario que mediante acción u omisión alterare o modificare las normas de seguridad que corresponden al Régimen de Internamiento, afectando su funcionalidad, será sancionado con prisión de cuatro a ocho años e inhabilitación especial del cargo o empleo por igual tiempo.»

Artículo 2.-

Intercálase entre el Artículo 338-B y el Artículo 339, el Artículo 338-C, así:

«USO DE APARATOS DE APARATOS, COMPONENTES Y ACCESORIOS ELECTRONICOS Y DE TELECOMUNICACIONES, EN CENTROS PENITENCIARIOS, CENTROS DE DETENCION O REEDUCATIVOS.

Artículo 338-C.-

El que estando detenido provisionalmente o se encuentre cumpliendopena de prisión, en el interior de un centro penitenciario o de un centro o lugar de detención, resguardo o reeducativo, utilizare cualquier tipo de aparato electrónico para almacenamiento o procesamiento de información, o aparatos de telecomunicación, componentes o accesorios para ellos, tales como tarjetas SIM o chips, tarjetas telefónicas o de saldo pre-pagado o similares, o cualquier otro dispositivo o configuración que permita transmitir o recibir señales de voz, imagen, sonidos o datos, aún si la comunicación no se hubiere establecido, será sancionado con prisión de tres a ocho años; sin perjuicio de las medidas disciplinarias que fueren aplicables.

No se aplicará sanción penal alguna, cuando la utilización de los objetos señalados en el inciso anterior se realice de conformidad con la legislación penitenciaria.»

Artículo 3.-

El presente Decreto entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALON AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los veintiún días del mes de noviembre del año dos mil trece.

OTHON SIGFRIDO REYES MORALES, PRESIDENTE.

ENRIQUE ALBERTO LUIS VALDES SOTO, PRIMER VICEPRESIDENTE.

GUILLERMO ANTONIO GALLEGOS NAVARRETE,  SEGUNDO VICEPRESIDENTE.

JOSE FRANCISCO MERINO LOPEZ, TERCER VICEPRESIDENTE.

FRANCISCO ROBERTO LORENZANA DURAN,  CUARTO VICEPRESIDENTE.

CARLOS ARMANDO REYES RAMOS, QUINTO VICEPRESIDENTE.

LORENA GUADALUPE PEÑA MENDOZA, PRIMERA SECRETARIA.

MANUEL VICENTE MENJIVAR ESQUIVEL,  SEGUNDO SECRETARIO.

SANDRA MARLENE SALGADO GARCIA, TERCERA SECRETARIA.

JOSE RAFAEL MACHUCA ZELAYA,  CUARTO SECRETARIO.

IRMA LOURDES PALACIOS VASQUEZ, QUINTA SECRETARIA.

ERNESTO ANTONIO ANGULO MILLA,  SEXTO SECRETARIO.

FRANCISCO JOSE ZABLAH SAFIE, SEPTIMO SECRETARIO.

JOSE SERAFIN ORANTES RODRIGUEZ,  OCTAVO SECRETARIO.

Casa Presidencial: San Salvador, a los once días del mes de diciembre del año dos mil trece.

PUBLIQUESE,

Carlos Mauricio Funes Cartagena, Presidente de la República.

José Ricardo Perdomo Aguilar, Ministro de Justicia y Seguridad Pública.

LA ASAMBLEA LEGISLATIVA DE LA REPUBLICA DE EL SALVADOR,

CONSIDERANDO:

I.- Que el 24 de septiembre de 2009 fue suscrito el Protocolo Facultativo del Pacto Internacional de Derechos Económicos, Sociales y Culturales.

II.- Que el referido Instrumento ha sido aprobado mediante Acuerdo Ejecutivo nº 799/2010, del 4 de junio de 2010 y sometido a consideración de esta Asamblea Legislativa para su inclusión en el ordenamiento jurídico salvadoreño, vigente y positivo.

III.- Que dicho Instrumento no contiene ninguna disposición contraria a la Constitución de la República, siendo procedente su ratificación.

POR TANTO,

en uso de la potestad establecida en el Artículo 131, ordinal 7º de la Constitución de la República en relación con el Artículo 168, ordinal 4º de la misma, y a iniciativa del Presidente de la República por medio del Viceministro de Relaciones Exteriores, Integración y Promoción Económica Encargado del Despacho,

DECRETA:

Artículo 1.-

Ratifícase en todas sus partes el Protocolo Facultativo del Pacto Internacional de Derechos Económicos, Sociales y Culturales, suscrito el 24 de septiembre de 2009 y que consta de Un Preámbulo y Veintidós Artículos, aprobado mediante Acuerdo Ejecutivo 799/2010 del 4 de junio de 2010, al cual se presenta la siguiente Declaración: Con relación a lo establecido en el artículo 11 del Protocolo, el Gobierno de la República de El Salvador declara que reconoce la competencia del Comité prevista en el referido artículo.

Artículo 2.-

El presente Decreto entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALON AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los dieciocho días del mes de mayo del año dos mil once.

OTHON SIGFRIDO REYES MORALES, PRESIDENTE.

CIRO CRUZ ZEPEDA PEÑA, PRIMER VICEPRESIDENTE.

GUILLERMO ANTONIO GALLEGOS NAVARRETE,  SEGUNDO VICEPRESIDENTE.

JOSÉ FRANCISCO MERINO LÓPEZ, TERCER VICEPRESIDENTE.

ALBERTO ARMANDO ROMERO RODRÍGUEZ,  CUARTO VICEPRESIDENTE.

FRANCISCO ROBERTO LORENZANA DURAN, QUINTO VICEPRESIDENTE.

LORENA GUADALUPE PEÑA MENDOZA, PRIMERA SECRETARIA.

CESAR HUMBERTO GARCÍA AGUILERA, SEGUNDO SECRETARIO.

ELIZARDO GONZÁLEZ LOVO, TERCER SECRETARIO.

ROBERTO JOSÉ D'AUBUISSON MUNGUÍA,  CUARTO SECRETARIO.

IRMA LOURDES PALACIOS VÁSQUEZ, QUINTA SECRETARIA. SEXTA SECRETARIA.

MARIO ALBERTO TENORIO GUERRERO, SÉPTIMO SECRETARIO.

CASA PRESIDENCIAL: San Salvador, a los seis días del mes de junio del año dos mil once.

PUBLIQUESE,

Carlos Mauricio Funes Cartagena, Presidente de la República.

Hugo Roger Martínez Bonilla, Ministro de Relaciones Exteriores.　

EL PRESIDENTE DE LA REPÚBLICA

POR CUANTO:

El Congreso de la República del Perú, de conformidad con lo previsto en el Artículo 188º de la Constitución Política del Perú mediante Ley nº 25.327, ha delegado en el Poder Ejecutivo la facultad de legislar, entre otras materias, sobre pacificación nacional para neutralizar la influencia de la subversión terrorista, con el apoyo de los medios de comunicación social, de acuerdo con el artículo 37º de la Constitución y sobre el crecimiento de la inversión privada para eliminar las prácticas monopólicas, controlistas y restrictivas de la libre competencia.

Las normas vigentes en materia de telecomunicaciones han establecido un régimen monopólico que ha impedido invertir a empresarios peruanos y extranjeros en este importante sector de desarrollo económico y social;

Este contexto legal ha originado un ostensible retraso en el desarrollo de los servicios, perjudicando directamente a los usuarios y al país, especialmente a los pobladores de los lugares más apartados de los centros urbanos, muchos de los cuales constituyen hoy zonas de emergencia;

Es importante revertir la situación anterior mediante el uso de medios de comunicación social que difundan sus transmisiones y programas, también es esas zonas, con objeto de permitir forjar una conciencia nacional que contrarreste la propaganda disociadora de los grupos subversivos, a su vez comprometidos con el narcotráfico. Además, en esta lucha por la pacificación nacional, la sociedad peruana en su conjunto, requiere de los mejores y más eficaces medios de comunicación.

En tanto se expida una nueva Ley General de Telecomunicaciones que norme en toda su amplitud el universo de las telecomunicaciones en el país, se hace preciso establecer reglas claras de administración y operación de los distintos servicios de telecomunicación promoviendo la inversión privada y extranjera, eliminando las prácticas monopólicas, controlistas y restrictivas de la libre competencia en la prestación de estos servicios y garantizar seguridades de inversión.

Con el voto aprobatorio del Consejo de Ministros ha dado el Decreto Legislativo siguiente:

Artículo 1º.- Declárese de necesidad pública el desarrollo de las telecomunicaciones como instrumento de pacificación y de afianzamiento de la conciencia nacional, para cuyo fin se requiere captar inversiones privadas, tanto nacionales como extranjeras.

Artículo 2º.– Apruébanse las normas que regulan la Promoción de Inversión Privada en Telecomunicaciones cuyo texto consta de XV Capítulos, 88 Artículos, 03 disposiciones adicionales y 02 disposiciones transitorias.

Artículo 3º.- Dejándose a salvo las normas establecidas en el Decreto Ley nº 19020, referidas al régimen de infracciones y sanciones y lo mencionado en la segunda disposición transitoria del texto que aprueba el presente Decreto Legislativo, deróganse todas las disposiciones de igual o inferior jerarquía que se opongan a este dispositivo legal.

POR TANTO:

Mando se publique y cumpla, dando cuenta al Congreso de la República.

Dado en la Casa de Gobierno, en Lima, a los cinco días del mes de noviembre de mil novecientos noventa y uno.

ALBERTO FUJIMORI FUJIMORI, Presidente Constitucional de la República

JAIME YOSHIYAMA TANAKA, Ministro de Transportes y Comunicaciones

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Visto l'Articolo 29, commi 1 e 2, del Decreto-Legge 21 giugno 2013, n. 69, recante «Disposizioni urgenti per il rilancio dell'economia», convertito, con modificazioni, dalla legge 9 agosto 2013, n. 98, in materia di decorrenza dell'efficacia dei nuovi obblighi amministrativi introdotti a carico di cittadini e imprese;

Visto il comma 1-bis dell'Articolo 12, del decreto legislativo 14 marzo 2013, n. 33 recante «Riordino della disciplina riguardante gli obblighi di pubblicitá, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni», aggiunto dall'Articolo 29, comma 3, del citato Decreto-Legge 21 giugno 2013, n. 69, che dispone la pubblicazione, sui siti istituzionali delle amministrazioni competenti, di scadenzari contenenti l'indicazione delle date relative alla decorrenza dell'efficacia dei nuovi obblighi amministrativi introdotti;

Visto, in particolare, l'Articolo 29, comma 4, del Decreto-Legge 21 giugno 2013, n. 69, che demanda ad uno o piú decreti del Presidente del Consiglio dei ministri, su proposta del Ministro per la pubblica amministrazione e la semplificazione, la determinazione delle modalitá di applicazione delle disposizioni di cui all'Articolo 12, comma 1-bis, del decreto legislativo 14 marzo 2013, n. 33;

Visto il decreto del Presidente della Repubblica 28 aprile 2013 con cui l'on. avv. Gianpiero D'Alia é stato nominato Ministro senza portafoglio;

Visto il decreto del Presidente del Consiglio dei ministri 28 aprile 2013 con cui al Ministro senza portafoglio on. avv. Gianpiero D'Alia é stato conferito l'incarico per la pubblica amministrazione e la semplificazione;

Visto il decreto del Presidente del Consiglio dei ministri 27 maggio 2013 recante «Delega di funzioni del Presidente del Consiglio dei ministri al Ministro senza portafoglio per la pubblica amministrazione e la semplificazione on. avv. Gianpiero D'Alia;

Su proposta del Ministro per la pubblica amministrazione e la semplificazione;

Decreta:

Articolo 1.- Oggetto e ambito di applicazione

1. Il presente decreto, in attuazione dell'Articolo 29, comma 4, del Decreto-Legge 21 giugno 2013, n. 69, convertito, con modificazioni, dalla legge 9 agosto 2013, n. 98, disciplina le modalitá di pubblicazione, a cura del responsabile della trasparenza, di uno scadenzario sul sito istituzionale delle amministrazioni competenti, ai sensi dell'Articolo 12, comma 1-bis, del decreto legislativo 14 marzo 2013, n. 33, con l'indicazione delle date di efficacia dei nuovi obblighi amministrativi introdotti. Il presente decreto disciplina, altresí, le modalitá di comunicazione del predetto scadenzario al Dipartimento della funzione pubblica, ai fini della pubblicazione riepilogativa degli stessi in un'apposita sezione del sito istituzionale.

2. Fermo restando, per le amministrazioni dello Stato, per gli entipubblici nazionali e per le agenzie di cui al decreto legislativo 30 luglio 1999, n. 300, l'obbligo di fissare la data di decorrenza dell'efficacia dei nuovi obblighi amministrativi ai sensi dell'Articolo 29, comma 1, del citato decreto-legge n. 69 del 2013, il presente decreto, ai sensi dell'Articolo 12, comma 1-bis, del decreto legislativo 14 marzo 2013, n. 33, si applica a tutte le pubbliche amministrazioni di cui all'Articolo 11, comma 1, del medesimo decreto legislativo.

3. Ai sensi dell'Articolo 29, comma 2, del Decreto-Legge 21 giugno 2013, n. 69, per obbligo amministrativo si intende qualunque adempimento, comportante raccolta, elaborazione, trasmissione, conservazione e produzione di informazioni e documenti, cui cittadini e imprese sono tenuti nei confronti della pubblica amministrazione.

Articolo 2.- Criteri e modalitá di pubblicazione dello scadenzario

1. Il responsabile della trasparenza pubblica le informazioni di cui al comma 3, relative ai nuovi obblighi amministrativi introdotti, sul sito web istituzionale in apposita area denominata «Scadenzario dei nuovi obblighi amministrativi», all'interno della sotto-sezione di secondo livello «Oneri informativi per cittadini e imprese», nell'ambito della sotto-sezione di primo livello «Disposizioni generali» della sezione «Amministrazione trasparente», di cui all'allegato A del decreto legislativo 14 marzo 2013, n. 33.

2. Per facilitare l'accesso ai contenuti dei nuovi obblighi amministrativi, le informazioni di cui al comma 3 sono distinte tra quelle che hanno per destinatari i cittadini e quelle che hanno come destinatari le imprese, e organizzate in successione temporale secondo la data d'inizio dell'efficacia degli obblighi stessi. Le amministrazioni dello Stato, gli enti pubblici nazionali e le agenzie di cui al decreto legislativo 30 luglio 1999, n. 300, tenute a fissare, salvo casi particolari, la data di decorrenza dell'efficacia dei nuovi obblighi amministrativi alle date del 1° luglio o del 1° gennaio, pubblicano le informazioni dello scadenzario rispettando l'ordine temporale del 1° luglio, del 1° gennaio e delle altre date eventualmente stabilite ai sensi dell'Articolo 29, comma 1, del citato decreto-legge n. 69 del 2013.

3. Per ciascun nuovo obbligo amministrativo sono indicati i seguenti dati:

a) denominazione;

b) sintesi o breve descrizione del suo contenuto;

c) riferimento normativo;

d) collegamento alla pagina del sito contenente le informazioni sull'adempimento dell'obbligo e sul procedimento.

4. Nel rispetto dell'Articolo 6 del citato decreto legislativo n. 33 del 2013, le amministrazioni aggiornano tempestivamente lo scadenzario a seguito dell'approvazione di ciascun provvedimento che introduce un nuovo obbligo.

Articolo 3 .- Trasmissione dei dati al Dipartimento della funzione pubblica

1. Le amministrazioni di cui all'Articolo 29, comma 1, del citato decreto-legge n. 69 del 2013, comunicano tempestivamente i dati relativi ai nuovi obblighi inseriti nello scadenzario, incluso il link diretto alla pagina web, al Dipartimento della funzione pubblica via pec all'indirizzo [email protected], oppure via e-mail all'indirizzo [email protected]. Nel secondo caso, il Dipartimento della funzione pubblica invia riscontro dell'avvenuta ricezione con lo stesso mezzo. Sulla base delle comunicazioni ricevute, il medesimo Dipartimento pubblica in una apposita sezione del sito istituzionale, facilmente raggiungibile dalla homepage, un riepilogo, in successione temporale, degli scadenzari, distinti per destinatari e per amministrazione competente.

2. Per le amministrazioni di cui all'Articolo 11, comma 1, del decreto legislativo n. 33 del 2013, diverse da quelle indicate al comma 1, i collegamenti agli scadenzari pubblicati sui rispettivi siti sono acquisiti e resi accessibili attraverso il portale «Bussola della trasparenza», operativo presso il medesimo Dipartimento, all'indirizzo web www.magellanopa.it/bussola.

Articolo 4.- Fase di prima applicazione

1. Entro trenta giorni dalla data di pubblicazione del presente decreto nella Gazzetta Ufficiale, le amministrazioni di cui all'Articolo 1, comma 2, creano sul proprio sito web istituzionale l'apposita sezione di cui all'Articolo 2, comma 1.

2. Le amministrazioni di cui all'Articolo 3, comma 1, contestualmente alla pubblicazione degli scadenzari, comunicano gli stessi al Dipartimento della funzione pubblica con le modalitá di cui al medesimo Articolo 3.

Il presente decreto é inviato ai competenti organi di controllo ed é pubblicato nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 8 novembre 2013

p. Il Presidente del Consiglio dei ministri

Il Ministro per la pubblica amministrazione e la semplificazione

D'Alia

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, el artículo 132° de la Ley nº 29571, Código de Protección y Defensa del Consumidor (en adelante, el Código), creó el Sistema Nacional Integrado de Protección del Consumidor como el conjunto de principios, normas, procedimientos, técnicas e instrumentos destinados a armonizar las políticas públicas con el fin de optimizar las actuaciones de la administración del Estado para garantizar el cumplimiento de las normas de protección y defensa del consumidor en todo el país, en el marco de las atribuciones y autonomía de cada uno de sus integrantes;

Que, el artículo 133° del Código establece que el Consejo Nacional de Protección del Consumidor constituye un órgano de coordinación en el ámbito de la Presidencia del Consejo de Ministros y es presidido por el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI e integrado por representantes de Ministerios, la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, los Gobiernos Regionales y Locales, Organismos reguladores de los servicios públicos, asociaciones de consumidores, gremios empresariales y la Defensoría del Pueblo;

Que, el mencionado artículo 133° del Código dispone que se dicten las medidas reglamentarias por las cuales se establecen los mecanismos para la propuesta y designación de los representantes de las entidades y gremios;

Que, por consiguiente, resulta pertinente aprobar el Reglamento que establece los mecanismos para la propuesta y designación de los representantes de las entidades y gremios que integrarán el Consejo Nacional de Protección del Consumidor, de acuerdo a lo dispuesto en el artículo 133° de la Ley nº 29571, Código de Protección y Defensa del Consumidor;

De conformidad con el numeral 8) del artículo 118° de la Constitución Política del Perú y la Ley nº 29571;

DECRETA:

Artículo 1º.-Aprobación del Reglamento

Apruébese el Reglamento que establece los mecanismos para la propuesta y designación de los representantes de las entidades y gremios que integran el Consejo Nacional de Protección del Consumidor, de acuerdo a lo dispuesto en el artículo 133° de la Ley nº 29571, Código de Protección y Defensa del Consumidor, que forma parte integrante del presente Decreto Supremo.

Artículo 2º.- Publicación

El presente Decreto Supremo y el Reglamento deberán ser publicados en el Diario Oficial El Peruano, en el Portal del Estado Peruano (www.peru.gob.pe), en el Portal de la Presidencia del Consejo de Ministros (www.pcm.gob.pe) y en el Portal del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (www.indecopi.gob.pe).

Artículo 3º.- Refrendo

El presente Decreto Supremo será refrendado por la Presidenta del Consejo de Ministros.

Dado en la Casa de Gobierno, en Lima, a los trece días del mes de abril del año dos mil once.

ALAN GARCÍA PÉREZ, Presidente Constitucional de la República

ROSARIO DEL PILAR FERNÁNDEZ FIGUEROA, Presidenta del Consejo de Ministros y Ministra de Justicia

REGLAMENTO QUE ESTABLECE LOS MECANISMOS PARA LA PROPUESTA Y DESIGNACIÓN DE LOS REPRESENTANTES DE LAS ENTIDADES Y GREMIOS QUE INTEGRAN EL CONSEJO NACIONAL DE PROTECCIÓN DEL CONSUMIDOR

Artículo 1º.- Objeto

El objeto del presente Reglamento es establecer los mecanismos para la propuesta y designación de los representantes de las entidades y gremios que integran el Consejo Nacional de Protección del Consumidor, de acuerdo a lo dispuesto en el artículo 133° de la Ley nº 29571, Código de Protección y Defensa del Consumidor.

Artículo 2º.- Requisito para ser integrante del Consejo Nacional de Protección del Consumidor

Para ser integrante del Consejo Nacional de Protección del Consumidor se requiere tener el pleno ejercicio de los derechos civiles.

Artículo 3°.- Propuesta y designación de los integrantes

3.1. Los integrantes del Consejo Nacional de Protección del Consumidor son designados mediante resolución ministerial de la Presidencia del Consejo de Ministros a propuesta de las entidades y gremios que conforman dicho Consejo Nacional.

3.2. El representante del INDECOPI preside el Consejo Nacional de Protección del Consumidor, y es propuesto por su Consejo Directivo mediante comunicación dirigida a la Presidencia del Consejo de Ministros.

3.3. Los representantes de las demás entidades y gremios que integran el Consejo Nacional de Protección del Consumidor, con excepción del de la Defensoría del Pueblo, son propuestos por éstos a la Presidencia del Consejo de Ministros para la verificación del cumplimiento de lo dispuesto por el artículo 2º del presente Reglamento y la expedición de la resolución ministerial correspondiente.

3.4. El representante de la Defensoría del Pueblo es designado por resolución de su titular.

3.5. A solicitud de la entidad o gremio que propuso la designación, la Presidencia del Consejo de Ministros podrá dar por concluida la misma.

Artículo 4º.- Mecanismos especiales para la propuesta de representantes

4.1. El representante de los gobiernos regionales y el de los gobiernos locales es propuesto por la Asamblea Nacional de Gobiernos Regionales y por la Asociación de Municipalidades del Perú, respectivamente, siguiendo los mecanismos previstos en sus respectivas normas internas.

4.2. El representante de los organismos reguladores de los servicios públicos es propuesto por acuerdo de los titulares de dichos organismos, adoptado con el voto de la mayoría de los titulares.

4.3. El mecanismo para la propuesta de representantes de las asociaciones de consumidores es el siguiente:

4.3.1. Dichos representantes son propuestos por aquellas asociaciones inscritas en el registro especial a cargo del INDECOPI.

4.3.2.Para tal efecto, INDECOPI convoca de oficio o a pedido de alguna de las asociaciones mencionadas en el párrafo anterior, una reunión de los representantes legales de tales asociaciones en la que deberán arribar a un acuerdo adoptado con el voto de la mayoría de los representantes asistentes a la reunión. Un representante del INDECOPI actúa como facilitador en la reunión.

4.3.3.El acuerdo deberá reflejarse en un acta suscrita al menos por el representante del INDECOPI y por aquellos cuyo voto formó la decisión.

4.4. El representante de los gremios empresariales es propuesto por acuerdo de sus representantes legales siguiendo el mecanismo previsto en el numeral anterior.

Artículo 5º.- Implementación y funcionamiento del Consejo Nacional de Protección del Consumidor

Corresponde al Consejo Directivo del INDECOPI dictar las demás directivas que resulten necesarias para la implementación y funcionamiento del Consejo Nacional de Protección del Consumidor.

DISPOSICIONES TRANSITORIAS

Primera.- Plazo para la instalación

El Consejo Nacional de Protección del Consumidor deberá instalarse en un plazo que no debe exceder los treinta (30) días contados a partir de la entrada en vigencia de la presente norma.

Para tal efecto, las entidades y gremios representados deberán elevar sus propuestas antes de dicho plazo según los mecanismos previstos en los artículos 3º y 4º del presente reglamento.

Para el caso de la propuesta y designación de los representantes de las asociaciones de consumidores y gremios empresariales, la convocatoria a la que hace referencia el numeral 4.4.2 del presente Reglamento la hará INDECOPI de oficio.

Segunda.- Instalación

La sesión de instalación del Consejo Nacional de Protección del Consumidor se llevará a cabo con los representantes que hayan sido designados en el plazo señalado en la disposición anterior, sin perjuicio que los demás representantes se integren progresivamente según ocurra su designación. Los acuerdos adoptados antes de tales designaciones no pueden ser desconocidos.

Délibération nº 2006-065 du 16 mars 2006 portant avis sur un projet de décret modifiant le décret nº 2005-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy – Charles de Gaulle.

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le ministère de l'intérieur d'un projet de décret en Conseil d'Etat modifiant le décret nº 2005-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy – Charles-de-Gaulle ;

Vu la convention nº 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive nº 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;

Vu le décret nº 2005-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy – Charles-de-Gaulle ;

Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 ;

Vu la délibération de la CNIL nº 2005-020 du 10 février 2005 portant avis sur un projet de décret en Conseil d'Etat relatif à une expérimentation ayant pour objet d'améliorer, par comparaison d'empreintes digitales, les conditions et la fiabilité des contrôles effectués lors du passage de la frontière à l'aéroport Roissy – Charles-de-Gaulle ;

Après avoir entendu M. François Giquel, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations.

Emet l'avis suivant :

Le ministère de l'intérieur a été autorisé par le décret du 27 mai 2005 susvisé, pris après avis de la CNIL du 10 février 2005, à mettre en oeuvre dans l'enceinte de l'aéroport de Roissy – Charles-de-Gaulle un dispositif expérimental de reconnaissance biométrique des voyageurs, lors de leur passage à la frontière.

Conduite depuis juin 2005, cette expérimentation repose sur la reconnaissance des empreintes digitales (index droit et gauche), de voyageurs volontaires qui empruntent régulièrement les lignes des compagnies aériennes utilisant l'aérogare 2 F de Roissy – Charles-de-Gaulle. Elle s'inscrit dans le cadre du programme PEGASE (programme d'expérimentation d'une gestion automatisée et sécurisée) de la police de l'air et des frontières » en vue d'un franchissement accéléré de la frontière dans des conditions de sécurité grâce à la technologie biométrique «.

Le voyageur participant au programme peut éviter l'attente en vue d'un contrôle classique des documents de voyage par les agents de la police de l'air et des frontières. Il emprunte à cet effet un sas » passage rapide «, dont l'ouverture est commandée par la carte PEGASE qui lui est délivrée au moment de l'inscription au programme. A l'intérieur du sas, il pose un de ses index sur le lecteur biométrique. L'empreinte de son index est alors comparée à celle du titulaire de la carte PEGASE, enregistrée lors de son inscription dans une base de données centrale. La reconnaissance du voyageur permet l'ouverture du sas et donc le passage de la frontière. En revanche, si le voyageur n'est pas reconnu à l'issue de trois tentatives, une porte latérale s'ouvre et le contrôle est réalisé par un agent de la police de l'air et des frontières. Enfin, si l'inscription du voyageur au fichier des personnes recherchées est intervenue depuis son inscription au programme, l'ouverture du sas nécessitera l'intervention d'un agent dûment informé de la situation.

Le ministère de l'intérieur a saisi la commission d'un projet de décret modifiant le décret du 27 mai 2005 susvisé. Cette modification porte uniquement sur la durée d'expérimentation du programme PEGASE, qui serait prolongée d'une année en raison de difficultés techniques qui sont en cours de résolution. Compte tenu des précisions qui lui ont été apportées sur ce point, de nature à justifier cette modification, la commission prend acte de l'extension de l'expérimentation du programme PEGASE jusqu'au 28 mai 2007.

Elle prend également acte du doublement de la population concernée (actuellement 5 000 voyageurs volontaires) dans le cadre de la poursuite de l'expérimentation.

S'agissant du recours à une base centrale de données biométriques dans le cadre du dispositif PEGASE, la commission tient à rappeler ses précédentes observations et demandes formulées dans sa délibération du 10 février 2005.

Elle observe à titre liminaire que les précautions prises pour la première inscription d'un passager, pourvu qu'elles soient sûres et fiables, devraient rendre inutiles la constitution et la consultation d'une base centrale enregistrant les gabarits d'empreintes digitales, si celle-ci n'a comme objet que d'éviter une deuxième inscription sous un faux nom.

Elle observe également que la vérification de l'identité du passager pourrait être réalisée de façon tout aussi pertinente par une comparaison des empreintes digitales de la personne avec celles conservées dans une carte à puce détenue par l'intéressé dès lors que cette carte serait infalsifiable. Elle relève à cet égard qu'une carte à puce est d'ores et déjà utilisée pour l'ouverture du sas de contrôle.

Ce traitement ne saurait en tout état de cause être étendu à d'autres points de contrôle aux frontières ou pérennisé au-delà de la durée de l'expérimentation sans que la commission ait été informée des avantages et des inconvénients précis retirés du recours à une base centrale, tout particulièrement sur le plan de la protection des droits des intéressés au regard du traitement des données biométriques les concernant et sur celui du respect du principe de proportionnalité.

La commission demande en conséquence que lui soit adressé tout document, d'étape ou définitif, propre à lui apporter l'information nécessaire.

Ces éléments d'information devront être accompagnés :

– du protocole d'évaluation qui aura été établi, lequel devrait intégrer la prise en compte d'incidents ou de défaillances techniques graves ou une défaillance due à une compromission interne ; le principe de cette évaluation pourrait être inscrit expressément dans le projet de décret ;

– d'un rapport d'évaluation de la fiabilité des dispositifs et outils de lecture des empreintes digitales.

La commission recommande que, sur le plan technique, l'élaboration de ces documents soit menée avec le concours de la direction centrale de la sécurité des systèmes d'information, responsable de la définition, de l'application et du suivi de la politique des systèmes d'information au niveau interministériel ou de tout autre organisme habilité et susceptible d'homologuer tout ou partie des dispositifs prévus.

L'extension quantitative et le prolongement dans le temps de l'expérimentation devraient fournir l'opportunité de prendre en compte ces différents points.

Le président, A. Türk

Lov om behandling af personoplysninger Nr. 429 af 31. maj 2000.

VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt:

Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:

Afsnit I. Indledende bestemmelser

Kapitel 1. Lovens område

§ 1.

Stk. 1. Loven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Stk. 2. Loven gælder tillige for anden ikke- elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette gælder dog ikke reglerne i lovens kapitel 8 og 9.

Stk. 3. Loven gælder endvidere for behandling af oplysninger om virksomheder m.v., jf. stk. 1 og 2, hvis denne behandling udføres for kreditoplysningsbureauer. Tilsvarende gælder for så vidt angår behandlinger, som er omfattet af § 50, stk. 1, Nr. 2.

Stk. 4. Kapitel 5 gælder også for behandling af oplysninger om virksomheder m.v. , jf. stk. 1.

Stk. 5. Uden for de i stk. 3 nævnte tilfælde kan justitsministeren bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for private.

Stk. 6. Uden for de i stk. 4 nævnte tilfælde kan vedkommende minister bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for den offentlige forvaltning.

§ 2.

Stk. 1. Regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i denne lov.

Stk. 2. Loven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10.

Stk. 3. Loven gælder ikke for behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter.

Stk. 4. Bestemmelserne i lovens kapitel 8 og 9 og §§ 35-37 og § 39 finder ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Bestemmelserne i lovens kapitel 8 og §§ 35-37 og § 39 finder heller ikke anvendelse på behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område.

Stk. 5. Loven finder ikke anvendelse på behandling af oplysninger, der foretages for Folketinget og institutioner med tilknytning dertil.

Stk. 6. Loven finder ikke anvendelse på behandlinger, der er omfattet af lov om massemediers informationsdatabaser.

Stk. 7. Loven finder ikke anvendelse på informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller lyd- og billedprogrammer, der er omfattet af medieansvarslovens § 1, Nr. 1 eller 2, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens §§ 41, 42 og 69.

Stk. 8. Loven gælder endvidere ikke for informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte tekster, billeder og lydprogrammer, der omfattes af medieansvarslovens § 1, Nr. 3, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens §§ 41, 42 og 69.

Stk. 9. Loven finder ikke anvendelse på manuelle arkiver over udklip fra offentliggjorte, trykte artikler, som udelukkende behandles i journalistisk øjemed. Dog gælder bestemmelserne i lovens §§ 41, 42 og 69.

Stk. 10. For behandling af oplysninger, som i øvrigt udelukkende finder sted i journalistisk øjemed, gælder alene bestemmelserne i lovens §§ 41, 42 og 69. Det samme gælder for behandling af oplysninger, som udelukkende sker med henblik på kunstnerisk eller litterær virksomhed.

Stk. 11. Loven gælder ikke for behandlinger, der udføres for politiets og forsvarets efterretningstjenester.

Kapitel 2. Definitioner

§ 3.

Stk. 1. I denne lov forstås ved:

1) Personoplysninger:
Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

2) Behandling:
Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for.

3) Register med personoplysninger (register):
Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.

4) Den dataansvarlige:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

5) Databehandleren:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.

6) Tredjemand:
Enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger.

7) Modtager:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand. Myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere.

8) Den registreredes samtykke:
Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

9) Tredjeland:
En stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

Kapitel 3. Lovens geografiske område

§ 4.
Stk. 1. Loven gælder for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område.

Stk. 2. Loven gælder endvidere for den behandling, som udføres for danske diplomatiske repræsentationer.

Stk. 3. Loven gælder også for en dataansvarlig, som er etableret i et tredjeland, hvis

1) behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område eller

2) indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland.

Stk. 4. Dataansvarlige, som i henhold til stk. 3, Nr. 1, er omfattet af denne lov, skal udpege en repræsentant, som er etableret i Danmark. Den registreredes mulighed for at foretage retslige skridt mod vedkommende dataansvarlige berøres ikke heraf.

Stk. 5. Den dataansvarlige skal skriftligt underrette Datatilsynet om, hvem der er udpeget som repræsentant, jf. stk. 4.

Stk. 6. Loven gælder, hvis der for en dataansvarlig, der er etableret i et andet medlemsland, behandles oplysninger i Danmark og behandlingen ikke er omfattet af direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Loven gælder også, hvis der for en dataansvarlig, der er etableret i en stat, som har gennemført en aftale med Det Europæiske Fællesskab, der indeholder regler svarende til det i 1. pkt. nævnte direktiv, behandles oplysninger i Danmark og behandlingen ikke er omfattet af de nævnte regler.

Afsnit II. Behandlingsregler

Kapitel 4. Behandling af oplysninger

§ 5.
Stk. 1. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Stk. 4. Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

Stk. 5. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

§ 6.
Stk. 1. Behandling af oplysninger må kun finde sted, hvis

1) den registrerede har givet sit udtrykkelige samtykke hertil,

2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale,

3) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige,

4) behandlingen er nødvendig for at beskytte den registreredes vitale interesser,

5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,

6) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller

7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.

Stk. 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 6 a.

Stk. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk. 1, Nr. 7, er opfyldt.

Stk. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i §§ 7 og 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 3.

§ 7.
Stk. 1. Der må ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.

Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis

1) den registrerede har givet sit udtrykkelige samtykke til en sådan behandling,

2) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke,

3) behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede, eller

4) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

Stk. 3. Behandling af oplysninger om fagforeningsmæssige tilhørsforhold kan endvidere ske, hvis behandlingen er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder.

Stk. 4. En stiftelse, en forening eller en anden almennyttig organisation, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, kan inden for rammerne af sin virksomhed foretage behandling af de i stk. 1 nævnte oplysninger om organisationens medlemmer eller personer, der på grund af organisationens formål er i regelmæssig kontakt med denne. Videregivelse af sådanne oplysninger kan dog kun finde sted, hvis den registrerede har meddelt sit udtrykkelige samtykke hertil eller behandlingen er omfattet af stk. 2, Nr. 2-4, eller stk. 3.

Stk. 5. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.

Stk. 6. Behandling af de i stk. 1 anførte oplysninger kan ske, hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område.

Stk. 7. Undtagelse fra bestemmelsen i stk. 1 kan endvidere gøres, hvis behandlingen af oplysninger sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden giver tilladelse hertil. Der kan fastsættes nærmere vilkår for behandlingen. Hvor tilladelse meddeles, giver tilsynsmyndigheden underretning herom til Europa-Kommissionen.

Stk. 8. For den offentlige forvaltning må der ikke føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige.

§ 8.
Stk. 1. For den offentlige forvaltning må der ikke behandles oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver.

Stk. 2. De i stk. 1 nævnte oplysninger må ikke videregives. Videregivelse kan dog ske, hvis

1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen,

2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår,

3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller

4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Stk. 3. Forvaltningsmyndigheder, der udfører opgaver inden for det sociale område, må kun videregive de i stk. 1 nævnte oplysninger og de oplysninger, der er nævnt i § 7, stk. 1, hvis betingelserne i stk. 2, Nr. 1 eller 2, er opfyldt, eller hvis videregivelsen er et nødvendigt led i sagens behandling eller nødvendig for, at en myndighed kan gennemføre tilsyns- eller kontrolopgaver.

Stk. 4. Private må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.

Stk. 5. De i stk. 4 nævnte oplysninger må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

Stk. 6. Behandling af oplysninger i de tilfælde, der er reguleret i stk. 1, 2, 4 og 5, kan i øvrigt finde sted, hvis betingelserne i § 7 er opfyldt.

Stk. 7. Et fuldstændigt register over straffedomme må kun føres for en offentlig myndighed.

§ 9.
Stk. 1. Oplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for førelsen af systemerne.

Stk. 2. De af stk. 1 omfattede oplysninger må ikke senere behandles i andet øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages med henblik på at føre retsinformationssystemer, jf. § 6.

Stk. 3. Tilsynsmyndigheden kan meddele nærmere vilkår for de i stk. 1 nævnte behandlinger. Tilsvarende gælder for de i § 6 nævnte oplysninger, som alene behandles i forbindelse med førelsen af retsinformationssystemer.

§ 10.
Stk. 1. Oplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.

Stk. 2. De af stk. 1 omfattede oplysninger må ikke senere behandles i andet end statistisk eller videnskabeligt øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed, jf. § 6.

Stk. 3. De af stk. 1 og 2 omfattede oplysninger må kun videregives til tredjemand efter forudgående tilladelse fra tilsynsmyndigheden. Tilsynsmyndigheden kan stille nærmere vilkår for videregivelsen.

§ 11.
Stk. 1. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lov eller bestemmelser fastsat i henhold til lov,

2) den registrerede har givet sit udtrykkelige samtykke hertil eller

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed.

Stk. 3. Uanset bestemmelsen i stk. 2, Nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke.

§ 12.
Stk. 1. Dataansvarlige, der med henblik på markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle

1) oplysninger om navn, adresse, stilling, erhverv, e-postadresse, telefon- og telefaxnummer,

2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, samt

3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil. Et samtykke skal indhentes i overensstemmelse med markedsføringslovens § 6 a.

Stk. 2. Oplysninger som nævnt i § 7, stk. 1, eller § 8, må dog ikke behandles. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at behandle bestemte typer af oplysninger.

§ 13.
Stk. 1. Offentlige myndigheder og private virksomheder m.v. må ikke foretage automatisk registrering af, hvilke telefonnumre der er foretaget opkald til fra deres telefoner. Registrering må dog ske efter forudgående tilladelse fra tilsynsmyndigheden i tilfælde, hvor afgørende hensyn til private eller offentlige interesser taler herfor. Tilsynsmyndigheden kan fastsætte nærmere vilkår for registreringen.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis andet følger af lov, eller for så vidt angår udbydere af telenet og teletjenesters registrering af, til hvilke telefonnumre der er foretaget opkald, enten til eget brug eller til brug ved teknisk kontrol.

§ 14.
Stk. 1. Oplysninger, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

Kapitel 5. Videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige

§ 15.
Stk. 1. Oplysninger om gæld til det offentlige kan efter bestemmelserne i dette kapitel videregives til kreditoplysningsbureauer.

Stk. 2. Oplysninger som nævnt i § 7, stk. 1, eller § 8, stk. 1, må ikke videregives.

Stk. 3. Fortrolige oplysninger videregivet efter reglerne i dette kapitel anses ikke af den grund for offentligt tilgængelige i øvrigt.

§ 16.
Stk. 1. Oplysninger om gæld til det offentlige kan videregives til et kreditoplysningsbureau, hvis

1) det følger af lov eller bestemmelser fastsat i henhold til lov eller

2) den samlede gæld er forfalden og overstiger 7.500 kr., idet der dog ikke heri må indgå gældsposter, der er omfattet af en overholdt aftale om henstand eller afdragsvis betaling.

Stk. 2. Det er en betingelse, at den samlede gæld, jf. stk. 1, Nr. 2, administreres af samme inddrivelsesmyndighed.

Stk. 3. Det er endvidere en betingelse for videregivelse efter stk. 1, Nr. 2, at

1) gælden kan inddrives ved udpantning og der er fremsendt 2 rykkere til skyldneren,

2) der er foretaget eller forsøgt foretaget udlæg for kravet,

3) kravet er fastslået ved endelig dom eller

4) det offentlige har erhvervet skyldnerens skriftlige erkendelse af den forfaldne gæld.

§ 17.
Stk. 1. Myndigheden skal give skyldneren skriftlig meddelelse herom, forinden videregivelse finder sted. Videregivelse må tidligst ske 4 uger efter, at denne meddelelse er givet.

Stk. 2. Den i stk. 1 nævnte meddelelse skal indeholde oplysninger om,

1) hvilke oplysninger der vil blive videregivet,

2) til hvilket kreditoplysningsbureau videregivelsen vil ske,

3) hvornår videregivelse vil finde sted, og

4) at videregivelse ikke vil ske, hvis betaling af gælden sker inden videregivelsen eller der indrømmes henstand eller indgås og overholdes en aftale om afdragsvis betaling.

§ 18.
Stk. 1. Vedkommende minister kan fastsætte nærmere regler om fremgangsmåden ved videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige. Det kan i den forbindelse bestemmes, at oplysninger om visse former for gæld til det offentlige ikke må videregives eller kun må videregives, hvis yderligere betingelser end de i § 16 nævnte er opfyldt.

Kapitel 6. Kreditoplysningsbureauer

§ 19.
Stk. 1. Den, som ønsker at drive virksomhed med behandling af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed med henblik på videregivelse (kreditoplysningsbureau), skal indhente tilladelse hertil fra Datatilsynet, inden behandlingen påbegyndes, jf. § 50, stk. 1, Nr. 3.

§ 20.
Stk. 1. Kreditoplysningsbureauer må kun behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed.

Stk. 2. Oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4, må ikke behandles.

Stk. 3. Oplysninger om forhold, der taler imod kreditværdighed, og som er mere end 5 år gamle, må ikke behandles, medmindre det i det enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for bedømmelsen af den pågældendes økonomiske soliditet og kreditværdighed.

§ 21.
Stk. 1. Kreditoplysningsbureauer skal i overensstemmelse med § 28, stk. 1, eller § 29, stk. 1, meddele de oplysninger, der er nævnt i disse bestemmelser, til den, der behandles oplysninger om.

§ 22.
Stk. 1. Kreditoplysningsbureauer skal til enhver tid på begæring af den registrerede inden 4 uger på en let forståelig måde meddele denne indholdet af de oplysninger og bedømmelser, som bureauet har videregivet om den pågældende inden for de sidste 6 måneder, samt af de øvrige oplysninger, som bureauet på tidspunktet for begæringens fremsættelse opbevarer om den pågældende i bearbejdet form eller på digitalt medium, herunder foreliggende bedømmelser.

Stk. 2. Er bureauet i besiddelse af yderligere materiale om den registrerede, skal dette samtidig meddeles den pågældende med oplysning om materialets art samt om, at den registrerede kan få adgang til at gennemgå det ved personlig henvendelse til bureauet.

Stk. 3. Bureauet skal endvidere give oplysning om kategorien af modtagere af oplysningerne samt tilgængelig information om, hvorfra de i stk. 1 og 2 nævnte oplysninger stammer.

Stk. 4. Den registrerede kan forlange, at bureauet giver meddelelse som nævnt i stk. 1-3 skriftligt. Justitsministeren fastsætter regler om betaling for skriftlige meddelelser.

§ 23.
Stk. 1. Oplysninger om økonomisk soliditet og kreditværdighed må kun meddeles skriftligt, jf. dog § 22, stk. 1-3. Bureauet kan dog til abonnenter meddele summariske oplysninger mundtligt eller på lignende måde, såfremt spørgerens navn og adresse noteres og opbevares i mindst 6 måneder.

Stk. 2. Kreditoplysningsbureauers publikationer må kun indeholde oplysninger i summarisk form og kun udsendes til personer eller virksomheder, der abonnerer på meddelelser fra bureauet. Publikationerne må ikke indeholde oplysninger om de registreredes personnummer.

Stk. 3. Summariske oplysninger om skyldforhold må kun videregives, hvis oplysningerne hidrører fra Statstidende, er indberettet af en offentlig myndighed efter reglerne i kapitel 5, eller hvis oplysningerne vedrører skyldforhold til samme kreditor på mere end 1.000 kr. og kreditor enten har erhvervet den registreredes skriftlige erkendelse af en forfalden gæld, eller hvis der er foretaget retslige skridt mod den pågældende. Oplysninger om endeligt godkendt gældssanering må dog ikke videregives. De i 1. og 2. pkt. nævnte regler gælder tillige for videregivelse af summariske oplysninger om skyldforhold i forbindelse med udarbejdelse af bredere kreditbedømmelser.

Stk. 4. Videregivelse af summariske oplysninger om enkeltpersoners skyldforhold må kun ske på en sådan måde, at oplysningerne ikke kan danne grundlag for vurderingen af økonomisk soliditet og kreditværdighed for andre end de pågældende enkeltpersoner.

§ 24.
Stk. 1. Oplysninger eller bedømmelser, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

§ 25.
Stk. 1. Er en oplysning eller bedømmelse, der viser sig urigtig eller vildledende, forinden blevet videregivet, skal bureauet straks give skriftlig underretning om berigtigelsen til den registrerede og til alle, der har modtaget oplysningen eller bedømmelsen inden for de sidste 6 måneder, før bureauet er blevet bekendt med forholdet. Den registrerede skal tillige have meddelelse om, hvem der har modtaget underretning efter 1. pkt., og hvorfra oplysningen eller bedømmelsen stammer.

§ 26.
Stk. 1. Henvendelser fra en registreret om sletning, berigtigelse eller blokering af oplysninger eller bedømmelser, der angives at være urigtige eller vildledende, eller om sletning af oplysninger, der ikke må behandles, jf. § 37, stk. 1, skal snarest og inden 4 uger efter modtagelsen besvares skriftligt af bureauet.

Stk. 2. Nægter bureauet at foretage den begærede sletning, berigtigelse eller blokering, kan den registrerede inden 4 uger efter modtagelsen af bureauets svar eller efter udløbet af den i stk. 1 nævnte svarfrist indbringe spørgsmålet for Datatilsynet, der træffer afgørelse om, hvorvidt der skal foretages sletning, berigtigelse eller blokering. Bestemmelsen i § 25 gælder tilsvarende.

Stk. 3. Bureauets svar skal i de i stk. 2 nævnte tilfælde indeholde oplysning om adgangen til at indbringe spørgsmålet for Datatilsynet og om fristen herfor.

Kapitel 7. Overførsel af oplysninger til tredjelande

§ 27.
Stk. 1. Der må kun overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. dog stk. 3.

Stk. 2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet.

Stk. 3. Ud over de i stk. 1 nævnte tilfælde kan der overføres oplysninger til et tredjeland, såfremt

1) den registrerede har givet udtrykkeligt samtykke,

2) overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale,

3) overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand,

4) overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares,

5) overførsel er nødvendig for at beskytte den registreredes vitale interesser,

6) overførsel finder sted fra et register, der ifølge lov eller bestemmelser fastsat i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri, i det omfang de i lovgivningen fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde,

7) overførsel er nødvendig af hensyn til forebyggelse, efterforskning og forfølgning af strafbare forhold samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig forfølgning eller

8) overførsel er nødvendig af hensyn til den offentlige sikkerhed, rigets forsvar eller statens sikkerhed.

Stk. 4. Uden for de i stk. 3 nævnte tilfælde kan tilsynsmyndigheden give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen. Tilsynsmyndigheden underretter Europa-Kommissionen og de øvrige medlemsstater om tilladelser meddelt i henhold til denne bestemmelse.

Stk. 5. Reglerne i denne lov finder i øvrigt anvendelse ved overførsel af oplysninger til tredjelande efter stk. 1, 3 og 4.

Afsnit III. Registreredes rettigheder

Kapitel 8. Oplysningspligt over for den registrerede

§ 28.
Stk. 1. Ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes repræsentant give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Kategorierne af modtagere.

b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare.

c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i Nr. 1-3 nævnte oplysninger.

§ 29.
Stk. 1. Hvor oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Hvilken type oplysninger det drejer sig om.

b) Kategorierne af modtagere.

c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i Nr. 1-3 nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov.

Stk. 3. Bestemmelsen i stk. 1 gælder heller ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig.

§ 30.
Stk. 1. Bestemmelserne i § 28, stk. 1, og § 29, stk. 1, gælder ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Stk. 2. Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv,

5) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og

6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i Nr. 3-5 nævnte områder.

Kapitel 9. Den registreredes indsigtsret

§ 31.
Stk. 1. Fremsætter en person begæring herom, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om,

1) hvilke oplysninger der behandles,

2) behandlingens formål,

3) kategorierne af modtagere af oplysningerne og

4) tilgængelig information om, hvorfra disse oplysninger stammer.

Stk. 2. Den dataansvarlige skal snarest besvare begæringer som nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår afgørelsen kan forventes at foreligge.

§ 32.
Stk. 1. Bestemmelserne i § 30 finder tilsvarende anvendelse.

Stk. 2. Oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra indsigtsretten i samme omfang som efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og 14.

Stk. 3. Der er ikke ret til indsigt i oplysninger, der behandles for domstolene, hvis oplysningerne indgår i tekst, som ikke foreligger i endelig form. Dette gælder dog ikke, hvis oplysningerne er videregivet til en tredjemand. Der er ikke ret til indsigt i voteringsprotokoller og andre referater af domstolenes rådslagning samt materiale udarbejdet af domstolene til brug for rådslagningen.

Stk. 4. Bestemmelsen i § 31, stk. 1, finder ikke anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller hvor oplysningerne kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker.

Stk. 5. For behandling af oplysninger på det strafferetlige område, der foretages for den offentlige forvaltning, kan justitsministeren fastsætte undtagelser fra retten til at få oplysninger efter § 31, stk. 1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås.

§ 33.
Stk. 1. En registreret person, der har fået meddelelse efter § 31, stk. 1, har ikke krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.

§ 34.
Stk. 1. Meddelelser i henhold til § 31, stk. 1, skal på begæring gives skriftligt. I tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse dog gives i form af en mundtlig underretning om indholdet af oplysningerne.

Stk. 2. Justitsministeren kan fastsætte regler om betaling for meddelelser, som gives skriftligt af private virksomheder m.v.

Kapitel 10. Øvrige rettigheder

§ 35.
Stk. 1. Den registrerede kan til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.

Stk. 2. Hvis indsigelsen efter stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.

§ 36.
Stk. 1. Fremsætter en forbruger indsigelse herimod, må en virksomhed ikke videregive oplysninger om den pågældende til en anden virksomhed med henblik på markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed.

Stk. 2. Inden virksomheden videregiver oplysninger om en forbruger til en anden virksomhed med henblik på markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. Inden oplysninger om en forbruger, der ikke i CPR har frabedt sig sådanne henvendelser, videregives eller anvendes som nævnt i 1. pkt., skal virksomheden tydeligt og på en forståelig måde oplyse om retten til at gøre indsigelse efter stk. 1. Forbrugeren skal samtidig gives adgang til på en nem måde inden for to uger at gøre sådan indsigelse. Oplysningerne må ikke videregives, inden fristen til at gøre indsigelse er udløbet.

Stk. 3. Henvendelse til forbrugeren efter stk. 2 skal i øvrigt ske i overensstemmelse med reglerne i markedsføringslovens § 6 a og regler udstedt i medfør af markedsføringslovens § 6 a, stk. 6.

Stk. 4. Virksomheden kan ikke kræve betaling for behandlingen af en indsigelse.

§ 37.
Stk. 1. Den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

Stk. 2. Den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig.

§ 38.
Stk. 1. Den registrerede kan tilbagekalde et samtykke.

§ 39.
Stk. 1. Fremsætter en registreret person indsigelse herimod, kan den dataansvarlige ikke foranstalte, at den registrerede undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis

1) den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en aftale, såfremt den registreredes anmodning om indgåelse eller opfyldelse af aftalen er blevet efterkommet eller der findes passende foranstaltninger til at beskytte den registreredes berettigede interesser eller

2) den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes berettigede interesser.

Stk. 3. Den registrerede har ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en afgørelse som nævnt i stk. 1. § 30 finder tilsvarende anvendelse.

§ 40.
Stk. 1. Den registrerede kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den pågældende.

Afsnit IV. Sikkerhed

Kapitel 11. Behandlingssikkerhed

§ 41.
Stk. 1. Personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.

Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt.

Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger.

§ 42.
Stk. 1. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

Afsnit V. Anmeldelse

Kapitel 12. Anmeldelse af behandlinger, der foretages for den offentlige forvaltning

§ 43.
Stk. 1. Forinden iværksættelse af en behandling af oplysninger, som foretages for den offentlige forvaltning, skal der af den dataansvarlige eller dennes repræsentant foretages anmeldelse til Datatilsynet, jf. dog § 44. Den dataansvarlige kan bemyndige andre myndigheder eller private til at foretage anmeldelse på dennes vegne.

Stk. 2. Anmeldelsen skal indeholde oplysninger om følgende:

1) Navn og adresse på den dataansvarlige, dennes eventuelle repræsentant og på en eventuel databehandler.

2) Behandlingens betegnelse og formål.

3) En generel beskrivelse af behandlingen.

4) En beskrivelse af kategorierne af registrerede og af de typer af oplysninger, der vedrører dem.

5) Modtagere eller kategorier af modtagere, som oplysningerne kan overføres til.

6) Påtænkte overførsler af oplysninger til tredjelande.

7) En generel beskrivelse af de foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden.

8) Tidspunktet for påbegyndelsen af behandlingen.

9) Tidspunktet for sletning af oplysningerne.

§ 44.
Stk. 1. Behandling, som ikke omfatter oplysninger af fortrolig karakter, er undtaget fra reglerne i § 43, jf. dog stk. 2. En sådan behandling kan uden anmeldelse endvidere omfatte identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed, medmindre der er tale om en behandling som nævnt i § 45, stk. 1.

Stk. 2. Justitsministeren fastsætter nærmere regler om de i stk. 1 nævnte behandlinger.

Stk. 3. Behandlinger, hvis eneste formål er at føre et register, der i henhold til lov eller regler udstedt i medfør af lov er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden, er ligeledes undtaget fra reglerne i § 43.

Stk. 4. Justitsministeren kan fastsætte regler om, at bestemte typer af behandlinger af oplysninger undtages fra bestemmelsen i § 43. Det gælder dog ikke behandlinger som nævnt i § 45, stk. 1.

§ 45.
Stk. 1. Forinden behandling, som er omfattet af anmeldelsespligten i § 43, iværksættes, skal Datatilsynets udtalelse indhentes, når

1) behandlingen omfatter oplysninger, der er omfattet af § 7, stk. 1, og § 8, stk. 1,

2) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer,

3) behandlingen udelukkende finder sted i videnskabeligt eller statistisk øjemed eller

4) behandlingen omfatter sammenstilling eller samkøring af oplysninger i kontroløjemed.

Stk. 2. Justitsministeren kan fastsætte regler om, at tilsynets udtalelse skal indhentes inden iværksættelsen af andre end de i stk. 1 nævnte behandlinger.

§ 46.
Stk. 1. Ændringer i de i § 43, stk. 2, nævnte oplysninger skal forud for iværksættelsen anmeldes til tilsynet. Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.

Stk. 2. Forinden iværksættelse af ændringer i de i § 43, stk. 2, nævnte oplysninger i anmeldelser af behandlinger, som er omfattet af § 45, stk. 1 eller 2, skal tilsynets udtalelse indhentes. Ændringer af mindre væsentlig betydning skal alene anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.

§ 47.
Stk. 1. I tilfælde, hvor dataansvaret er henlagt til en underordnet myndighed og tilsynet ikke kan tiltræde udførelsen af en behandling, forelægges sagen for vedkommende minister, der træffer afgørelse i sagen.

Stk. 2. Kan tilsynet ikke tiltræde udførelsen af en behandling, som foretages for en kommunal myndighed, forelægges sagen for indenrigsministeren, der træffer afgørelse i sagen.

Kapitel 13. Anmeldelse af behandlinger, der foretages for en privat dataansvarlig

§ 48.
Stk. 1. Forinden iværksættelse af en behandling af oplysninger, som foretages for en privat dataansvarlig, skal der af den dataansvarlige eller dennes repræsentant foretages anmeldelse til Datatilsynet, jf. dog § 49.

Stk. 2. Anmeldelsen skal indeholde de oplysninger, som fremgår af § 43, stk. 2.

§ 49.
Stk. 1. Behandling af oplysninger er, bortset fra de i § 50, stk. 2, angivne tilfælde, undtaget fra reglerne i § 48, når

1) behandlingen omfatter oplysninger om ansatte, i det omfang behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

2) behandlingen omfatter oplysninger om ansattes helbredsforhold, i det omfang behandlingen af helbredsoplysningerne er nødvendig til opfyldelse af bestemmelser i lov eller forskrifter fastsat i henhold til lov,

3) behandlingen omfatter oplysninger om ansatte, hvis registrering er nødvendig som følge af kollektiv overenskomst eller kollektiv aftale på arbejdsmarkedet,

4) behandlingen omfatter oplysninger om kunder, leverandører eller andre forretningsforbindelser, i det omfang behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4, eller i det omfang der ikke er tale om behandlinger som omtalt i § 50, stk. 1, Nr. 4,

5) behandlingen foretages med henblik på udførelsen af markedsundersøgelser, i det omfang behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

6) behandlingen foretages af en forening eller lignende, i det omfang der alene behandles oplysninger om foreningens medlemmer,

7) behandlingen foretages af advokater eller revisorer som led i deres virksomhed, i det omfang der alene behandles oplysninger vedrørende klientforhold,

8) behandlingen foretages af læger, sygeplejersker, tandlæger, kliniske tandteknikere, apotekere, terapiassistenter, kiropraktorer og lignende personer med autorisation til at udøve virksomhed inden for sundheds- og sygeplejen, i det omfang oplysningerne alene anvendes til brug ved denne virksomhed og behandlingen af oplysningerne ikke sker for et privat sygehus, eller

9) behandlingen foretages til brug ved en bedriftssundhedstjeneste.

Stk. 2. Justitsministeren fastsætter nærmere regler om de i stk. 1 nævnte behandlinger.

Stk. 3. Justitsministeren kan fastsætte regler om, at andre typer af behandlinger undtages fra bestemmelsen i § 48. Det gælder dog ikke behandlinger, der er omfattet af § 50, stk. 1, medmindre behandlingerne undtages efter § 50, stk. 3.

§ 50.
Stk. 1. Forinden iværksættelse af en behandling, som er omfattet af anmeldelsespligten i § 48, skal Datatilsynets tilladelse indhentes, når

1) behandlingen omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

2) behandlingen af oplysningerne sker med henblik på at advare andre mod forretningsforbindelser med eller ansættelsesforhold til en registreret,

3) behandlingen sker med henblik på erhvervsmæssig videregivelse af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed,

4) behandlingen sker med henblik på erhvervsmæssig bistand ved stillingsbesættelse eller

5) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer.

Stk. 2. Ved overførsel af oplysninger som nævnt i stk. 1 til tredjelande i medfør af § 27, stk. 1, og stk. 3, Nr. 2-4, skal Datatilsynets tilladelse indhentes til overførslen, uanset at behandlingen i øvrigt er undtaget fra anmeldelse i medfør af § 49, stk. 1.

Stk. 3. Justitsministeren kan fastsætte undtagelser fra bestemmelserne i stk. 1, Nr. 1, og stk. 2.

Stk. 4. Justitsministeren kan fastsætte regler om, at der forinden iværksættelse af andre anmeldelsespligtige behandlinger end de i stk. 1 eller 2 nævnte skal indhentes tilladelse fra tilsynet.

Stk. 5. Tilsynet kan i forbindelse med meddelelse af tilladelse efter stk. 1, 2 eller 4 fastsætte nærmere vilkår for udførelsen af behandlingerne til beskyttelse af de registreredes privatliv.

§ 51.
Stk. 1. Ændringer i de i § 48, stk. 2, jf. § 43, stk. 2, nævnte oplysninger skal forud for iværksættelsen anmeldes til tilsynet. Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.

Stk. 2. Forinden iværksættelse af ændringer i de i § 48, stk. 2, jf. § 43, stk. 2, nævnte oplysninger i anmeldelser af behandlinger, som er omfattet af § 50, stk. 1, 2 eller 4, skal Datatilsynets tilladelse indhentes. Ændringer af mindre væsentlig betydning skal alene anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.

Kapitel 14. Anmeldelse af behandlinger, der foretages for domstolene

§ 52.
Stk. 1. Reglerne i §§ 43-46 gælder for anmeldelse til Domstolsstyrelsen af behandling af oplysninger, der foretages for domstolene.

Kapitel 15. Øvrige bestemmelser

§ 53.
Stk. 1. Databehandlere, der er etableret i Danmark, og som udøver edb-servicevirksomhed, skal forinden påbegyndelsen af behandlingen foretage anmeldelse til Datatilsynet.

§ 54.
Stk. 1. Tilsynsmyndigheden skal føre en fortegnelse over de behandlinger, der er anmeldt efter §§ 43, 48 og 52. Fortegnelsen, som mindst skal indeholde de oplysninger, som er anført i § 43, stk. 2, skal være tilgængelig for offentligheden.

Stk. 2. En dataansvarlig skal stille de i § 43, stk. 2, Nr. 1, 2 og 4-6, nævnte oplysninger om alle de behandlinger, som udføres for vedkommende, til rådighed for enhver, som anmoder derom.

Stk. 3. Offentlighedens adgang til indsigt i den fortegnelse, der er nævnt i stk. 1, og de oplysninger, der er nævnt i stk. 2, kan begrænses, i det omfang det er nødvendigt til forebyggelse, opklaring og forfølgning af lovovertrædelser eller afgørende hensyn til private interesser gør det påkrævet.

Afsnit VI. Tilsyn og afsluttende bestemmelser

Kapitel 16. Datatilsynet

§ 55.
Stk. 1. Datatilsynet, der består af et råd og et sekretariat, fører tilsyn med enhver behandling, der omfattes af loven, jf. dog kapitel 17.

Stk. 2. Tilsynets daglige forretninger varetages af sekretariatet, der ledes af en direktør.

Stk. 3. Rådet, der nedsættes af justitsministeren, består af en formand, der er dommer, og af 6 andre medlemmer. Der kan udnævnes stedfortrædere for medlemmerne. Medlemmerne og stedfortræderne for disse udnævnes for 4 år.

Stk. 4. Rådet fastsætter sin forretningsorden og de nærmere regler om arbejdets fordeling mellem råd og sekretariat.

§ 56.
Stk. 1. Datatilsynet udøver sine funktioner i fuld uafhængighed.

§ 57.
Stk. 1. Ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, skal der indhentes en udtalelse fra Datatilsynet.

§ 58.
Stk. 1. Datatilsynet påser af egen drift eller efter klage fra en registreret, at behandlingen finder sted i overensstemmelse med loven og regler udstedt i medfør af loven.

Stk. 2. Tilsynet kan til enhver tid tilbagekalde en afgørelse truffet i henhold til § 27, stk. 4, eller § 50, stk. 2, jf. § 27, stk. 1, eller stk. 3, Nr. 2-4, såfremt Europa-Kommissionen træffer afgørelse om, at der ikke må ske overførsel af oplysninger til bestemte tredjelande, eller om, at der lovligt kan ske en sådan overførsel. Dette gælder dog kun, såfremt tilbagekaldelsen er nødvendig for at efterleve Kommissionens afgørelse.

§ 59.
Stk. 1. Datatilsynet kan påbyde en privat dataansvarlig at ophøre med en behandling, der ikke må finde sted efter denne lov, og at berigtige, slette eller blokere bestemte oplysninger, som er omfattet af en sådan behandling.

Stk. 2. Tilsynet kan forbyde en privat dataansvarlig at anvende en nærmere angiven fremgangsmåde i forbindelse med behandlingen af oplysninger, hvis tilsynet finder, at den pågældende fremgangsmåde medfører en væsentlig risiko for, at der behandles oplysninger i strid med loven.

Stk. 3. Tilsynet kan påbyde en privat dataansvarlig at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger mod, at der behandles oplysninger, som ikke må behandles, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Stk. 4. Tilsynet kan i særlige tilfælde meddele databehandlere påbud eller forbud, jf. stk. 1-3.

§ 60.
Stk. 1. Datatilsynet træffer over for vedkommende myndighed afgørelse i sager vedrørende § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, §§ 28-31, § 32, stk. 1, 2 og 4, §§ 33-37, § 39 samt § 58, stk. 2.

Stk. 2. I andre tilfælde afgiver tilsynet udtalelser over for den dataansvarlige myndighed.

§ 61.
Stk. 1. Datatilsynets afgørelser efter denne lov kan ikke indbringes for anden administrativ myndighed.

§ 62.
Stk. 1. Datatilsynet kan kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser.

Stk. 2. Tilsynets medlemmer og personale har til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes.

Stk. 3. Bestemmelsen i stk. 2 gælder tilsvarende for behandlinger, som foretages for private dataansvarlige, i det omfang behandlingen er omfattet af § 50.

Stk. 4. Bestemmelsen i stk. 2 gælder også, for så vidt angår den behandling, der udføres af databehandlere som nævnt i § 53.

§ 63.
Stk. 1. Datatilsynet kan bestemme, at anmeldelser og ansøgninger om tilladelse efter denne lov og ændringer heri kan eller skal indgives på nærmere angiven måde.

Stk. 2. For indgivelse af følgende anmeldelser og ansøgninger om tilladelser i henhold til denne lov betales 1.000 kr.:

1) Anmeldelse i henhold til § 48.

2) Tilladelse i henhold til § 50.

3) Anmeldelse i henhold til § 53.

Stk. 3. En anmeldelse som nævnt i stk. 2, Nr. 1 og 3, anses først for indgivet, når betaling er sket. Datatilsynet kan bestemme, at en tilladelse som nævnt i stk. 2, Nr. 2, ikke meddeles, før betaling er sket.

Stk. 4. Bestemmelserne i stk. 2, Nr. 1 og 2, gælder ikke for behandlinger, der udelukkende finder sted i videnskabeligt eller statistisk øjemed.

Stk. 5. Såfremt en behandling både skal anmeldes efter § 48 og tillades efter § 50, betales kun ét gebyr.

§ 64.
Stk. 1. Datatilsynet kan af egen drift eller efter anmodning fra en anden medlemsstat påse, at en behandling af oplysninger, som finder sted i Danmark, er lovlig, uanset at den pågældende behandling er undergivet en anden medlemsstats lovgivning. Bestemmelserne i §§ 59 og 62 finder tilsvarende anvendelse.

Stk. 2. Datatilsynet kan videregive oplysninger til tilsynsmyndigheder i andre medlemsstater i det omfang, det er nødvendigt for at påse overholdelsen af bestemmelserne i denne lov eller af den pågældende medlemsstats databeskyttelseslovgivning.

§ 65.
Stk. 1. Datatilsynet afgiver en årlig beretning om sin virksomhed til Folketinget. Beretningen offentliggøres. Tilsynet kan i øvrigt offentliggøre sine udtalelser. Bestemmelsen i § 30 finder tilsvarende anvendelse.

§ 66.
Stk. 1. Datatilsynet og Domstolsstyrelsen samarbejder, i det omfang det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle relevante oplysninger.

Kapitel 17. Tilsyn med domstolene

§ 67.
Stk. 1. Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der foretages for domstolene.

Stk. 2. Tilsynet omfatter behandling af oplysninger med hensyn til domstolenes administrative forhold.

Stk. 3. For anden behandling af oplysninger træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den i 1. pkt. nævnte afgørelse kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende.

§ 68.
Stk. 1. For Domstolsstyrelsens udøvelse af tilsyn i henhold til § 67 gælder bestemmelserne i §§ 56 og 58, § 62, stk. 1, 2 og 4, § 63, stk. 1, og § 66. Domstolsstyrelsens afgørelser er endelige.

Stk. 2. Ved udarbejdelse af bekendtgørelser eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, der foretages for domstolene, skal der indhentes en udtalelse fra Domstolsstyrelsen.

Stk. 3. Domstolsstyrelsen offentliggør en årlig beretning om dens virksomhed.

Kapitel 18. Erstatnings- og strafansvar

§ 69.
Stk. 1. Den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

§ 70.
Stk. 1. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som udføres for private,

1) overtræder § 4, stk. 5, § 5, stk. 2-5, § 6, § 7, stk. 1, § 8, stk. 4, 5 og 7, § 9, stk. 2, § 10, stk. 2 og 3, 1. pkt., § 11, stk. 2 og 3, § 12, stk. 1 og stk. 2, 1. pkt., § 13, stk. 1, 1. pkt., §§ 20-25, § 26, stk. 1, stk. 2, 2. pkt., og stk. 3, § 27, stk. 1, § 28, stk. 1, § 29, stk. 1, § 31, §§ 33 og 34, § 35, stk. 2, §§ 36 og 37, § 39, stk. 1 og 3, § 41, stk. 1 og 3, § 42, § 48, § 50, stk. 1 og 2, § 51, § 53 eller § 54, stk. 2,

2) undlader at efterkomme Datatilsynets afgørelse efter § 5, stk. 1, § 7, stk. 7, § 13, stk. 1, 2. pkt., § 26, stk. 2, 1. pkt., § 27, stk. 4, §§ 28 og 29, § 30, stk. 1, § 31, § 32, stk. 1 og 4, §§ 33-37, § 39, § 50, stk. 2, eller § 58, stk. 2,

3) undlader at efterkomme Datatilsynets krav efter § 62, stk. 1,

4) hindrer Datatilsynet i at få adgang efter § 62, stk. 3 og 4,

5) tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, § 50, stk. 5, eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven eller

6) undlader at efterkomme forbud eller påbud, der er meddelt i henhold til § 59 eller i henhold til regler udstedt i medfør af loven.

Stk. 2. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som udføres for offentlige myndigheder, overtræder § 41, stk. 3, eller § 53 eller tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven.

Stk. 3. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som er undergivet en anden medlemsstats lovgivning, undlader at efterkomme Datatilsynets afgørelser efter § 59 eller at opfylde Datatilsynets krav efter § 62, stk. 1, eller hindrer Datatilsynet i at få adgang efter § 62, stk. 3 og 4.

Stk. 4. I regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller hæfte.

Stk. 5. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

§ 71.
Stk. 1. Den, der driver eller er beskæftiget med virksomhed som nævnt i § 50, stk. 1, Nr. 2-5, eller § 53, kan ved dom for strafbart forhold frakendes retten hertil, såfremt det udviste forhold begrunder en nærliggende fare for misbrug. I øvrigt finder straffelovens § 79, stk. 3 og 4, anvendelse.

Kapitel 19. Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v.

§ 72.
Stk. 1. Vedkommende minister kan i særlige tilfælde fastsætte nærmere regler for behandlinger, som udføres for den offentlige forvaltning.

§ 73.
Stk. 1. Justitsministeren kan fastsætte nærmere regler for bestemte typer af behandlinger, som udføres for private dataansvarlige, herunder at bestemte typer oplysninger ikke må behandles.

§ 74.
Stk. 1. Brancheforeninger eller andre organer, som repræsenterer andre kategorier af private dataansvarlige, kan i samarbejde med Datatilsynet udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i denne lov.

§ 75.
Stk. 1. Justitsministeren kan fastsætte regler, som er nødvendige for at gennemføre de af Det Europæiske Fællesskab udstedte beslutninger, som træffes med henblik på gennemførelse af direktivet om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, eller regler, som er nødvendige for at anvende de af Fællesskabet udstedte retsakter på direktivets område.

§ 76.
Stk. 1. Loven træder i kraft den 1. juli 2000.

Stk. 2. Lov om offentlige myndigheders registre, jf. lovbekendtgørelse Nr. 654 af 20. september 1991, og lov om private registre m.v., jf. lovbekendtgørelse Nr. 622 af 2. oktober 1987, ophæves.

Stk. 3. Registerrådets medlemmer indtræder som medlemmer af Datarådet, indtil justitsministeren har udnævnt Datarådets medlemmer.

Stk. 4. Bekendtgørelse Nr. 160 af 20. april 1979 om forretningsorden for registerrådet m.v. gælder for Datatilsynets virksomhed, indtil den ophæves eller erstattes af regler udstedt i medfør af denne lov.

Stk. 5. Anordning Nr. 73 af 5. marts 1979 om, at forskrifter for registre m.v., der udfærdiges i medfør af loven om offentlige myndigheders registre, ikke indføres i Lovtidende, ophæves.

Stk. 6. Klage- eller tilsynssager, der er oprettet før den 24. oktober 1998, færdigbehandles efter de hidtil gældende regler. Datatilsynet udøver den kompetence, som efter disse regler tilkommer Registertilsynet.

Stk. 7. Datatilsynet udfører i øvrigt de opgaver, som efter lovgivningen udføres af Registertilsynet.

§ 77.
Stk. 1. For behandlinger, der foretages for private, og som er iværksat før den 24. oktober 1998, skal reglerne i kapitel 13 være opfyldt senest den 1. oktober 2000.

Stk. 2. For behandlinger, der foretages for offentlige myndigheder, og som er iværksat før den 24. oktober 1998, skal reglerne i kapitel 12 og 14 være opfyldt senest den 1. april 2001.

Stk. 3. Behandlinger, der er iværksat før den 24. oktober 1998, kan fortsætte uden tilladelse i 16 uger efter lovens ikrafttræden, hvis der skal indhentes tilladelse hertil efter reglerne i lovens afsnit II eller bestemmelsen i stk. 7.

Stk. 4. Behandlinger, der er iværksat den 24. oktober 1998 eller senere, men inden lovens ikrafttræden, kan fortsætte uden forudgående anmeldelse, udtalelse eller tilladelse i 16 uger efter lovens ikrafttræden.

Stk. 5. Der skal senest 16 uger efter lovens ikrafttræden foretages anmeldelse efter bestemmelsen i § 53.

Stk. 6. Justitsministeren kan fastsætte regler om, at den i stk. 1 og 2 nævnte frist forlænges.

Stk. 7. Tilsynsmyndigheden kan i ganske særlige tilfælde efter ansøgning bestemme, at behandlinger, der er iværksat før lovens ikrafttræden, kan fortsætte uanset behandlingsreglerne i afsnit II.

§ 78.
Stk. 1. Behandlinger, som før lovens ikrafttræden er anmeldt efter § 2, stk. 3, 2. pkt., i lov om private registre m.v., kan fortsætte efter de hidtil gældende regler indtil den 1. oktober 2001. Datatilsynet udøver den kompetence, som efter disse regler tilkommer Registertilsynet.

Stk. 2. Behandlinger som nævnt i stk. 1 skal overholde lovens § 5 og §§ 41 og 42. For disse behandlinger kan den registrerede kræve berigtigelse, sletning eller blokering af oplysninger, der er urigtige eller vildledende, eller som opbevares på en måde, der er uforenelig med de legitime formål, som den dataansvarlige forfølger. Datatilsynet fører tilsyn efter reglerne i lovens kapitel 16.

§ 79.
Stk. 1. Et samtykke, som er givet i overensstemmelse med de hidtil gældende regler, gælder for behandlinger, der foretages efter lovens ikrafttræden, såfremt samtykket opfylder kravene i denne lovs § 3, Nr. 8, sammenholdt med § 6, Nr. 1, § 7, stk. 2, Nr. 1, § 8, stk. 2-5, § 11, stk. 2, Nr. 2, eller stk. 3, eller § 27, stk. 3, Nr. 1.

§ 80.
Stk. 1. I lov Nr. 572 af 19. december 1985 om offentlighed i forvaltningen, som senest ændret ved lov Nr. 276 af 13. maj 1998, foretages følgende ændring:

1. § 5, stk. 3, affattes således:

«Stk. 3. Vedkommende minister kan fastsætte regler om offentlighedens adgang til at blive gjort bekendt med fortegnelser som nævnt i stk. 2, der ikke er omfattet af lov om behandling af personoplysninger. Der kan herunder fastsættes regler om betaling.»

§ 81.
Stk. 1. I lov Nr. 430 af 1. juni 1994 om massemediers informationsdatabaser foretages følgende ændringer:

1. I § 3, stk. 1 og 3, og § 6, stk. 1, ændres «Registertilsynet» til: «Datatilsynet».

2. Som ny § 11 a indsættes følgende bestemmelse:

Ǥ 11 a.
Der skal træffes de fornødne sikkerhedsforanstaltninger mod, at informationer i offentligt tilgængelige informationsdatabaser ændres af uvedkommende.»

2. § 16, stk. 1, Nr. 1, affattes på følgende måde:

«1) overtræder § 4, § 5, § 7, § 8, stk. 1, § 9, Nr. 2 og 3, § 11, stk. 1 og 3, eller § 11 a.»

3. § 17 affattes således:

Ǥ 17.
Et massemedie skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger. Lovgivningens almindelige erstatningsregler finder i øvrigt anvendelse.

Stk. 2. Lovgivningens almindelige regler om straf finder anvendelse på sager omfattet af denne lov.

Stk. 3. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.»

§ 82.
Stk. 1. I tinglysningsloven, jf. lovbekendtgørelse Nr. 622 af 15. september 1986, som senest ændret ved § 2 i lov Nr. 1019 af 23. december 1998, foretages følgende ændringer:

1. I § 50 d, stk. 1, indsættes i stedet for «Registertilsynet»: «Domstolsstyrelsen».

2. § 50 d, stk. 2 og 3, affattes således:

«Stk. 2. Domstolsstyrelsen fører tilsyn med tinglysningsregistrene. Domstolsstyrelsens afgørelser er endelige.

Stk. 3. Justitsministeren fastsætter nærmere regler om dette tilsyn efter forhandling med Domstolsstyrelsen.»

§ 83.
Stk. 1. Loven gælder ikke for Færøerne, men kan ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysninger med de afvigelser, som de særlige færøske forhold tilsiger. Loven gælder heller ikke for Grønland, men kan ved kongelig anordning sættes i kraft med de afvigelser, som de særlige grønlandske forhold tilsiger.

Givet på Christiansborg Slot, den 31. maj 2000

Under Vor Kongelige Hånd og Segl

Margrethe R./Frank Jensen

Izdoti saskana ar Šengenas informacijas sistemas darbibas likuma 8.panta otro dalu, 9.panta trešo dalu un 10.panta piekto dalu

Izdarit Ministru kabineta 2007.gada 18.septembra noteikumos Nr. 639 «Kartiba, kada ieklauj, labo un dzeš zinojumus　Šengenas informacijas sistema, ka ari nodrošina papildinformacijas pieejamibu　SIRENE　Latvijas birojam, un kartiba, kada institucijas un iestades apmainas ar papildinformaciju» (Latvijas Vestnesis, 2007, 160.Nr.) šadus grozijumus:

1. Izteikt 10. un 11.punktu šada redakcija:

«10. Zinojuma par personu, priekšmetu vai dokumentu ieklauj datus, kuru ieklaušanu pielauj sistemas darbibu regulejošie normativie akti.

11. Institucija vai iestade, kas izveido zinojumu, var ieklaut sistema noradi par zinojumu sasaisti atbilstoši Eiropas Parlamenta un Padomes 2006.gada 20.decembra Regula (EK) Nr. 1987/2006 par otras paaudzes Šengenas Informacijas sistemas (SIS II) izveidi, darbibu un izmantošanu (turpmak – Regula Nr. 1987/2006) un citos sistemas darbibu regulejošos normativajos aktos noteiktajiem principiem. Tadu zinojumu sasaisti, kas izveidoti kriminalprocesa vai operativas darbibas procesa merka sasniegšanai, veic, savstarpeji vienojoties amatpersonam, kuras ir kompetentas pienemt lemumu par zinojuma ieklaušanu sistema.»

2. Svitrot 12., 13., 14., 15., 16. un 17.punktu.

3. Izteikt 38.punktu šada redakcija:

«38. Sistemas automatisko bridinajumu par šo noteikumu 27.punkta mineta termina iestašanos nosuta institucijai vai iestadei, kurasamatpersona　izveidojusi zinojumu, Regula Nr. 1987/2006 un citos sistemas darbibu regulejošos normativajos aktos noteiktaja termina.»

Ministru prezidents　Valdis Dombrovskis

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, regula en sus artículos 27 y 28 las comunicaciones y notificaciones electrónicas, cuya práctica supone una de las expresiones más importantes de la administración electrónica, al pasar a constituir tanto el medio de comunicación preferente entre las distintas administraciones públicas como una forma de comunicación rápida, ágil y eficaz de éstas con los administrados.

En concreto, el artículo 27.6 de la citada ley permite establecer reglamentariamente la obligación de comunicarse con las administraciones públicas mediante la utilización exclusiva de medios electrónicos tanto por parte de las personas jurídicas como por parte de colectivos de personas físicas respecto a las que, por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados, pueda entenderse que tienen garantizado el acceso y disponibilidad de los medios tecnológicos precisos.

En desarrollo de lo previsto en el referido precepto legal, el artículo 32 del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, dispone que la obligatoriedad de comunicarse por medios electrónicos con los órganos de la Administración General del Estado o sus organismos públicos vinculados o dependientes podrá establecerse mediante orden ministerial, en los términos en él previstos, precisando que tal obligación puede comprender la práctica de notificaciones administrativas por medios electrónicos.

El real decreto indicado dedica su artículo 40 a la notificación por comparecencia electrónica, como una de las formas de practicar las notificaciones por medios electrónicos, consistente en el acceso por el interesado, debidamente identificado, al contenido de la actuación administrativa correspondiente a través de la sede electrónica del órgano u organismo público actuante, siempre que se reúnan las condiciones exigidas en dicho artículo.

Dentro del ámbito de la Administración de la Seguridad Social, la manifestación más importante del uso de técnicas y medios electrónicos en el ejercicio de sus funciones está constituida en la actualidad por el Sistema de remisión electrónica de datos (RED), a través del cual se efectúa la transmisión de los datos relativos al encuadramiento, cotización, recaudación y gestión de la incapacidad temporal por parte de la inmensa mayoría de los sujetos responsables y obligados en relación con tales procedimientos y actuaciones, todo ello en los términos y condiciones establecidos en los artículos 29 y 30 de la Ley 50/1998, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, y en la Orden ESS/484/2013, de 26 de marzo, por la que se regula dicho Sistema de remisión electrónica de datos, así como también en la Orden TAS/1562/2005, de 25 de mayo, por la que se establecen normas para la aplicación y desarrollo del Reglamento general de recaudación de la Seguridad Social; en la Orden TAS/399/2004, de 12 de febrero, sobre presentación en soporte informático de los partes médicos de baja, confirmación de la baja y alta correspondientes a procesos de incapacidad temporal, y en las demás disposiciones reguladoras de aquél.

De acuerdo con la previsión contenida en el artículo 27.6 de la Ley 11/2007, de 22 de junio, y en coherencia con lo dispuesto en el artículo 32 del Real Decreto 1671/2009, de 6 de noviembre, el artículo 5.2.e) del texto refundido de la Ley General de la Seguridad Social, aprobado por el Real Decreto legislativo 1/1994, de 20 de junio, faculta al Ministerio de Empleo y Seguridad Social para establecer los supuestos y condiciones en que los sujetos responsables en el ámbito de la Seguridad Social quedarán obligados a recibir las notificaciones por medios informáticos o telemáticos.

Tales notificaciones también se regulan, dentro del ámbito de la Seguridad Social, por la disposición adicional quincuagésima de la Ley General de la Seguridad Social, cuyo apartado 1 establece que las notificaciones por medios electrónicos de los actos administrativos de la Seguridad Social se efectuarán a través de la sede electrónica de la Secretaría de Estado de la Seguridad Social, creada mediante la Orden TIN/1459/2010, de 28 de mayo, tanto respecto a los sujetos obligados que determine la Ministra de Empleo y Seguridad Social como respecto a quienes, sin estar obligados, opten por dicha clase de notificación, estableciendo en sus apartados 2 y 3 otras peculiaridades relativas a la práctica de esas notificaciones.

Esta orden se dicta con la finalidad de fijar los supuestos y condiciones relativas a esa obligatoriedad en el uso de medios electrónicos respecto a las notificaciones de los actos administrativos de la Administración de la Seguridad Social, prevista en la Ley General de la Seguridad Social, mediante la determinación de su ámbito subjetivo y objetivo de aplicación así como de los requisitos necesarios para su práctica y los casos en que ésta quedará excluida.

Esta orden ha sido informada favorablemente por la Comisión Ministerial de Administración Electrónica del Ministerio de Empleo y Seguridad Social, al amparo de lo previsto por el artículo 2.2.e) de la Orden TIN/3155/2011, de 8 de noviembre, por la que se regula la composición y funciones del citado órgano colegiado.

La orden se dicta en ejercicio de la competencia atribuida al efecto por el artículo 5.2.e) del texto refundido de la Ley General de la Seguridad Social, aprobado por el Real Decreto legislativo 1/1994, de 20 junio.

En su virtud, con la aprobación previa del Ministro de Hacienda y Administraciones Públicas, y de acuerdo con el Consejo de Estado, dispongo:

Artículo 1.- Objeto.

Esta orden tiene por objeto establecer los supuestos y condiciones en que los sujetos a que se refiere el artículo 3 quedarán obligados a recibir por medios electrónicos las notificaciones y comunicaciones que les dirija la Administración de la Seguridad Social, de acuerdo con lo establecido en el artículo 5.2.e) del texto refundido de la Ley General de la Seguridad Social, aprobado por el Real Decreto legislativo 1/1994, de 20 de junio.

A los efectos de esta orden, se entenderá por Administración de la Seguridad Social la totalidad de las direcciones generales, entidades gestoras y servicios comunes incluidos en el ámbito de aplicación de la sede electrónica de la Secretaría de Estado de la Seguridad Social (en adelante SEDESS), de conformidad con el artículo 2.a) de la Orden TIN/1459/2010, de 28 de mayo, creadora de dicha sede.

Artículo 2.- Sistema de notificación electrónica.

La Administración de la Seguridad Social, de acuerdo con lo establecido en la disposición adicional quincuagésima del texto refundido de la Ley General de la Seguridad Social, practicará notificaciones electrónicas a los sujetos a que se refiere el artículo 3, mediante el sistema de comparecencia en la SEDESS, en la dirección electrónica https://sede.seg-social.gob.es.

Artículo 3.- Ámbito de aplicación subjetivo.

1. Lo dispuesto en esta orden será de aplicación a las personas físicas, jurídicas o entes sin personalidad jurídica que sean sujetos de relaciones jurídicas con la Administración de la Seguridad Social en materia de inscripción de empresas, afiliación, altas, bajas y variaciones de datos de trabajadores, cotización, recaudación y prestaciones, así como respecto de cualquier otra relación jurídica en materia de Seguridad Social que resulte de la aplicación de la normativa propia en dicha materia o de otra norma con rango de ley que se refiera o no excluya expresamente a las obligaciones de Seguridad Social.

En todo caso, quedarán excluidas las relaciones jurídicas en las que la Administración de la Seguridad Social actúe en calidad de sujeto de derecho privado.

2. Estarán obligados a recibir por medios electrónicos las notificaciones y comunicaciones que en el ejercicio de sus competencias les dirija la Administración de la Seguridad Social:

a) Las empresas, agrupaciones de empresas y demás sujetos responsables del cumplimiento de la obligación de cotizar que estén obligados a incorporarse al Sistema de remisión electrónica de datos (en adelante Sistema RED), según lo previsto en la Orden ESS/484/2013, de 26 de marzo, reguladora de dicho sistema.

b) Las empresas, agrupaciones de empresas y demás sujetos responsables del cumplimiento de la obligación de cotizar que, sin estar obligados a incorporarse al Sistema RED, se hayan adherido voluntariamente al mismo, en tanto se mantenga su incorporación al citado sistema.

Los sujetos responsables señalados en los párrafos anteriores quedarán obligados a comparecer en la SEDESS, a efectos de recibir las notificaciones y comunicaciones electrónicas a que se refiere esta orden, desde el momento en que deban estar incorporados al Sistema RED, en el supuesto previsto en el párrafo a), y desde el momento de su incorporación a dicho sistema, en el supuesto previsto en el párrafo b).

3. Las personas, físicas o jurídicas, o entes sin personalidad jurídica no incluidos en el apartado anterior podrán manifestar su voluntad de recibir las notificaciones y comunicaciones de la Administración de la Seguridad Social por medios electrónicos, a través del servicio correspondiente de la SEDESS, quedando automáticamente obligados a recibirlas mediante comparecencia en dicha sede electrónica desde que hayan ejercitado su opción por esa forma de notificación.

4. Las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social, así como sus entidades y centros mancomunados, deberán incorporarse al sistema de notificación electrónica regulado en esta orden, a efectos de recibir las notificaciones y comunicaciones de la Administración de la Seguridad Social mediante comparecencia en la SEDESS, desde la fecha de efectos de la autorización de su constitución.

Artículo 4.- Recepción de las notificaciones electrónicas.

1. En los supuestos previstos en el artículo 3.2, las notificaciones y comunicaciones electrónicas se pondrán a disposición, en todo caso, tanto del sujeto responsable obligado a recibirlas como del autorizado que en cada momento tenga asignada la gestión en el Sistema RED del código de cuenta de cotización principal de aquél o, en su defecto, del autorizado que tenga asignado, en su caso, el número de Seguridad Social de los trabajadores por cuenta propia o autónomos obligados a incorporarse a dicho sistema, en los términos previstos en la Orden ESS/484/2013, de 26 de marzo, reguladora del mismo.

Como excepción a lo previsto en el párrafo anterior, los sujetos responsables a que se refiere el artículo 3.2 podrán optar porque las notificaciones y comunicaciones electrónicas a ellos dirigidas se pongan exclusivamente a su disposición o también a la de un tercero a quien hayan otorgado su representación, opción que deberá ejercitarse mediante el acceso al correspondiente servicio de la SEDESS, según lo previsto en el artículo 2.b) de la Orden TIN/1459/2010, de 28 de mayo.

2. Los sujetos a que se refiere el artículo 3, apartados 3 y 4, podrán otorgar su representación a un tercero para recibir las notificaciones y comunicaciones por medios electrónicos, en cuyo caso éstas se pondrán a disposición asimismo del representante.

3. Las notificaciones y comunicaciones electrónicas practicadas a los autorizados en el Sistema RED o a otros representantes por los que hubieran optado los sujetos obligados a recibirlas se entenderán realizadas a estos últimos, siendo válidas y vinculantes para ellos.

Cuando las notificaciones y comunicaciones por medios electrónicos se pongan a disposición de un autorizado en el Sistema RED y éste hubiera designado uno o más usuarios secundarios para la transmisión electrónica de datos en dicho sistema, conforme a lo previsto en la orden reguladora del mismo, las notificaciones y comunicaciones que éstos reciban se entenderán practicadas directamente al titular de la autorización.

Artículo 5.- Supuestos de notificación por cese de receptores.

1. Cuando, conforme a lo establecido en el artículo 4.1, un autorizado en el Sistema RED sea receptor de notificaciones electrónicas y se produzca la desvinculación del código de cuenta de cotización principal asignado a su autorización y, en su caso, la del trabajador por cuenta propia o autónomo obligado a incorporarse a dicho sistema, las notificaciones y comunicaciones electrónicas se pondrán exclusivamente a disposición del sujeto responsable hasta tanto dicho código o, en su caso, el número de Seguridad Social del trabajador autónomo obligado a incorporarse al Sistema RED queden asignados a un nuevo autorizado, en cuyo caso también se pondrán a disposición de este último.

En el supuesto de los sujetos responsables a que se refiere el artículo 3.2.b), cuando la desvinculación efectuada implique que la totalidad de los códigos de cuenta de cotización o, en su caso, el trabajador por cuenta propia o autónomo, carezcan de autorización RED, las notificaciones y comunicaciones que se les dirijan no tendrán carácter electrónico, al haber cesado su incorporación efectiva al Sistema RED, de acuerdo con lo previsto en el artículo 6.2.

En caso de desvinculación de códigos de cuenta de cotización o números de Seguridad Social de una autorización RED, producida tanto a solicitud del autorizado en el Sistema RED o del sujeto responsable como de oficio, conforme a lo previsto en la Orden ESS/484/2013, de 26 de marzo, reguladora de dicho sistema, la Administración de la Seguridad Social comunicará a ambos los efectos que en materia de recepción de notificaciones electrónicas se deriven de la citada desvinculación, de acuerdo con lo establecido en los párrafos anteriores.

2. En los supuestos de opciones para la recepción de notificaciones y comunicaciones electrónicas realizadas a favor de un tercero no autorizado en el Sistema RED, a que se refiere el artículo anterior, cuando aquél manifieste su renuncia a la representación otorgada o su voluntad de no recibir dichas notificaciones y comunicaciones, mediante el correspondiente servicio en la SEDESS, tal circunstancia se comunicará por la Administración de la Seguridad Social al sujeto responsable, practicándose aquéllas directamente a éste.

Artículo 6.- Supuestos de exclusión del sistema de notificación electrónica.

1. Los sujetos responsables a que se refiere el artículo 3.2.a) en ningún caso podrán quedar excluidos del sistema de notificación por comparecencia en la SEDESS, con independencia de que haya tenido o no lugar su incorporación efectiva al Sistema RED en los términos previstos en la Orden ESS/484/2013, de 26 de marzo, reguladora de dicho sistema.

Las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social y sus entidades y centros mancomunados tampoco podrán quedar excluidas del citado sistema de notificación electrónica.

2. Los sujetos responsables a que se refiere el artículo 3.2.b) sólo podrán quedar excluidos del sistema de notificación por comparecencia en la SEDESS cuando previamente dejen de estar incorporados al Sistema RED. Producida dicha circunstancia, se producirá el cese de notificaciones electrónicas, que será comunicado al interesado.

No obstante lo anterior, los interesados en continuar adheridos al sistema de notificación electrónica podrán solicitar su inclusión voluntaria en él mediante comparecencia en la SEDESS, en los términos señalados en el artículo 3.3.

3. Las personas, físicas o jurídicas, o entes sin personalidad jurídica, a que se refiere el artículo 3.3 podrán quedar excluidos del sistema de notificación por comparecencia en la SEDESS cuando así lo soliciten. El sistema generará el correspondiente justificante de la transmisión efectuada, así como del día y la hora de la solicitud formulada.

Artículo 7.- Registro electrónico de apoderamientos.

Los apoderamientos que se otorguen por los sujetos a que se refiere el artículo 3, apartados 2, 3 y 4, deberán constar debidamente inscritos en el Registro electrónico de apoderamientos de la Seguridad Social, en los términos y condiciones que determine la orden ministerial reguladora de éste, poniéndose las notificaciones y comunicaciones electrónicas a disposición de los apoderados desde que se incorpore su representación al citado registro.

Artículo 8.- Ámbito de aplicación objetivo.

1. La obligación de recibir por medios electrónicos las notificaciones y comunicaciones efectuadas por la Administración de la Seguridad Social alcanzará a todas las actuaciones y procedimientos en materia de Seguridad Social, incluidos los correspondientes a la recaudación de los recursos a que se refiere el artículo 1 del Reglamento general de recaudación de la Seguridad Social, aprobado por el Real Decreto 1415/2004, de 11 de junio, con excepción de aquellos actos derivados de las relaciones jurídicas en que aquélla actúe en calidad de sujeto de derecho privado.

A los efectos previstos en el apartado 2 de la disposición adicional quincuagésima de la Ley General de la Seguridad Social, se entiende por actos administrativos que traigan causa o se dicten como consecuencia de los datos que deben comunicarse electrónicamente a través del Sistema RED, todos aquellos que vengan motivados por las transmisiones efectuadas o que deban efectuarse y los subsiguientes que tengan lugar en los procedimientos administrativos incoados como consecuencia de la obligación de transmitir tales datos en materia de inscripción, altas, bajas y variaciones de datos de empresarios y trabajadores, cotización, recaudación voluntaria y ejecutiva, comunicación de partes de baja, confirmación y alta de incapacidad temporal y cualesquiera otras materias que sean objeto de transmisión a través del citado sistema.

2. Sin perjuicio de lo establecido en el apartado anterior, la Administración de la Seguridad Social podrá practicar las notificaciones y comunicaciones por medios no electrónicos, en los términos previstos en el　artículo 59 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, en los siguientes supuestos:
a) Cuando la notificación o comunicación se practique con ocasión de la comparecencia espontánea del interesado o de su representante en las dependencias de la Administración de la Seguridad Social en que se tramite el procedimiento de que se trate y solicite la notificación o comunicación personal en ese momento.
b) Cuando la notificación o comunicación electrónica resulte incompatible con la inmediatez o celeridad que requiera la actuación administrativa para asegurar su eficacia. En este caso el interesado no podrá optar por la notificación en la SEDESS.
3. Cuando en los supuestos referidos en el apartado anterior, la Administración de la Seguridad Social hubiera practicado la notificación o comunicación por medios electrónicos y no electrónicos, se entenderán producidos todos los efectos administrativos del acto de que se trate a partir de la primera de las notificaciones o comunicaciones correctamente efectuada.
4. En ningún caso se efectuarán por comparecencia en la SEDESS las notificaciones o comunicaciones siguientes:
a) Aquellas en las que el acto a notificar vaya acompañado de elementos que no sean susceptibles de conversión en formato electrónico.
b) Las que, conforme a su normativa específica, deban practicarse mediante personación en el domicilio del interesado o en otro lugar señalado al efecto por la normativa o en cualquier otra forma no electrónica.
c) Las que pudieran contener medios de pago a favor de los interesados, tales como cheques.
d) Las dirigidas a las entidades financieras adheridas al procedimiento para efectuar por medios electrónicos el embargo de dinero en cuentas abiertas en entidades de crédito.
e) Las dirigidas a las administraciones públicas adheridas al procedimiento para efectuar por medios electrónicos la traba de las devoluciones tributarias o de ingresos indebidamente realizados y pagos con cargo al presupuesto de gastos de dichas administraciones públicas.
f) Las dirigidas a las administraciones públicas y a los profesionales oficiales solicitando información, objeto o no de tratamiento automatizado, que sea útil para la recaudación de los recursos de la Seguridad Social.
g) Las comunicaciones dirigidas por la Administración de la Seguridad Social en los supuestos en que, de acuerdo con el　artículo 66 de la Ley General de la Seguridad Social, esté obligada al suministro o cesión de los datos, informes o antecedentes obtenidos en el ejercicio de sus funciones.
h) Todas aquellas comunicaciones que se realicen a través del sistema de intercambio de ficheros institucionales entre diferentes entidades o administraciones (sistema IFI).
5. La obligatoriedad de la notificación electrónica de los actos administrativos a que se refiere este artículo se hará efectiva de acuerdo con lo previsto en la disposición adicional única.

Artículo 9. Práctica de las notificaciones electrónicas.—1. El acceso a las notificaciones practicadas por la Administración de la Seguridad Social mediante el sistema de comparecencia en la SEDESS, a que se refiere el artículo 2, se efectuará de acuerdo con los requerimientos previstos en el　artículo 40 del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, relativos a identificación de los interesados, conocimiento previo del carácter de notificación del acceso y constancia del mismo.

2. La identificación de los interesados necesariamente se realizará mediante certificado electrónico que garantice la identidad del usuario, la integridad de los documentos electrónicos y el no repudio de los mismos, tal como se establece en la Ley 59/2003 de 19 de diciembre, de firma electrónica.

A efectos de identificación al acceder al servicio de notificaciones los interesados podrán utilizar los correspondientes certificados electrónicos, conforme a lo establecido en los artículos 13 de la Ley 11/2007, de 22 de junio, y 10 y siguientes del Real Decreto 1671/2009, de 6 de noviembre, así como los certificados emitidos por la propia Seguridad Social.

3. Con carácter previo al acceso al contenido de las actuaciones administrativas, y una vez seleccionada por el interesado la que corresponda, se visualizará un aviso del carácter de notificación de la actuación administrativa que tendrá dicho acceso, debiendo aceptar expresamente la notificación para que se haga efectivo el acceso al contenido de la actuación administrativa.

En todo caso, constando la puesta a disposición de las notificaciones o comunicaciones practicadas en la SEDESS, transcurrido el plazo de 10 días naturales sin que se acceda a su contenido, se entenderán rechazadas, dándose por cumplido dicho trámite y continuándose con el procedimiento, salvo que por causas imputables a la Administración de la Seguridad Social se compruebe la imposibilidad técnica o material del acceso.

4. El sistema de notificación electrónica mediante comparecencia en la SEDESS acreditará la fecha y hora en que tenga lugar la puesta a disposición del interesado del acto objeto de notificación, así como la fecha y hora del acceso a su contenido y dejará constancia de la concreta actuación administrativa comunicada o notificada y de su contenido.

Todos los datos anteriores podrán ser certificados por la SEDESS. La certificación podrá generarse de manera automatizada e incluirá la identidad del destinatario y del receptor, así como, en su caso, la fecha en que la notificación se consideró rechazada por haber transcurrido el plazo de 10 días naturales indicados en el apartado anterior o en que se rechazó expresamente.

DISPOSICIÓN ADICIONAL

Disposición adicional única.- Efectividad inicial de la obligación de recibir las notificaciones y comunicaciones de la Administración de la Seguridad Social mediante el sistema de notificación electrónica.

1. Sin perjuicio de lo indicado en el último párrafo del　artículo 3.2, los sujetos responsables comprendidos en el ámbito de aplicación subjetivo previsto en dicho apartado que, en la fecha de entrada en vigor de la orden, ya estén obligados a incorporarse o se hayan incorporado voluntariamente al Sistema RED, quedarán inicialmente obligados a comparecer en la SEDESS, a efectos de recibir las notificaciones y comunicaciones que les dirija la Administración de la Seguridad Social, en el plazo de un mes a contar desde el día siguiente a aquel en que se les notifique la resolución sobre su inclusión en el sistema de notificación electrónica.

Las referidas resoluciones deberán dictarse por los titulares de las secretarías provinciales de las direcciones provinciales de la Tesorería General de la Seguridad Social, pudiendo interponerse frente a ellas recurso de alzada ante los titulares de la respectiva dirección provincial, en la forma, plazos y demás condiciones previstos en los artículos 114 y 115 de la Ley 30/1992, de 26 de noviembre. La interposición del citado recurso suspenderá la ejecución del acto impugnado.

La falta de notificación de la resolución relativa a la inclusión en el sistema de notificación electrónica por causa no imputable a la Administración de la Seguridad Social determinará su publicación en el tablón de edictos y anuncios de la Seguridad Social situado en dicha SEDESS, de acuerdo con lo previsto en el　apartado 4 de la disposición adicional quincuagésima de la Ley General de la Seguridad Social.

2. Los sujetos responsables comprendidos en el ámbito de aplicación subjetivo previsto en el artículo 3.2, antes de recibir la notificación a que se refiere el apartado anterior, podrán manifestar mediante comparecencia en la SEDESS su voluntad de recibir las notificaciones y comunicaciones de la Administración de la Seguridad Social electrónicamente, si bien no quedarán efectivamente obligados a recibirlas hasta que se produzca la citada notificación y transcurra el plazo de un mes a contar desde el día siguiente a su recepción.

3. Las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social, así como sus entidades y centros mancomunados, que se encuentren constituidos en la fecha de entrada en vigor de esta orden, quedarán incluidos obligatoriamente en el sistema de notificación electrónica a partir de la citada fecha.

4. Por resoluciones de la Secretaría de Estado de la Seguridad Social se fijarán las fechas a partir de las cuales las distintas actuaciones y procedimientos en materia de Seguridad Social se notificarán o comunicarán a través del sistema de notificación electrónica.

Sin perjuicio de lo previsto en el párrafo anterior, a partir de la entrada en vigor de esta orden las reclamaciones de deuda, las providencias de apremio y las comunicaciones de inicio del procedimiento de deducción frente a entidades públicas emitidas por la Tesorería General de la Seguridad Social, serán notificadas electrónicamente mediante comparecencia en la SEDESS tanto a los sujetos a que se refiere el artículo 3, apartados 2 y 4, una vez que queden inicialmente obligados en los términos indicados en el apartado 1 de esta disposición adicional, como a los sujetos a que se refiere el artículo 3.3, una vez que opten por esa forma de notificación.

DISPOSICIÓN TRANSITORIA

Disposición transitoria única.- Suscripción voluntaria para la recepción de notificaciones electrónicas.

Los sujetos a que se refiere el artículo 3.2 que, con anterioridad a su entrada en vigor, se hubiesen suscrito al correspondiente servicio de la SEDESS para recibir notificaciones y comunicaciones de la Administración de la Seguridad Social por medios electrónicos, continuarán recibiéndolas por tales medios en tanto permanezcan suscritos a dicho servicio, hasta que se produzca su inclusión obligatoria en el sistema de notificación electrónica conforme a lo previsto en el párrafo primero del apartado 1 de la disposición adicional única.

DISPOSICIONES FINALES

Disposición final primera.- Título competencial.

Esta orden se dicta al amparo de lo dispuesto en el artículo 149.1.17.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de legislación básica y régimen económico de la Seguridad Social.

Disposición final segunda.- Facultades de aplicación y desarrollo.

Se faculta al titular de la Secretaría de Estado de la Seguridad Social para dictar cuantas disposiciones resulten necesarias para la aplicación y ejecución de lo previsto en esta orden.

Disposición final tercera.- Entrada en vigor.

La presente orden entrará en vigor el día 1 del mes siguiente al de su publicación en el «Boletín Oficial del Estado».

El artículo 20.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, dispone que la creación, modificación o supresión de los ficheros de las Administraciones Públicas solo podrá hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o «Diario Oficial» correspondiente.

En consecuencia, para dar cumplimiento a lo establecido en dicho artículo y con el fin de completar la relación de ficheros con datos de carácter personal gestionados por el Ministerio de Sanidad, Servicios Sociales e Igualdad y sus organismos dependientes, se procede a modificar la Orden de 21 de julio de 1994, por la que se regulan los ficheros con datos de carácter personal gestionados por el Ministerio de Sanidad y Consumo, suprimiendo un fichero automatizado, denominado «Sistema de Información de Usuarios de Servicios Sociales (SIUSS)», que fue creado por la Orden SPI/3495/2011, de 14 de diciembre, y modificado por la Orden SSI/1464/2012, de 21 de junio, cuyos datos figuran como anexo de esta orden.

En la tramitación de esta orden ha emitido informe preceptivo la Agencia Española de Protección de Datos.

En su virtud, dispongo:

Artículo 1.- Supresión de fichero.

Se suprime el fichero automatizado, denominado «Sistema de Información de Usuarios de Servicios Sociales (SIUSS)», cuyos datos figuran como anexo de esta orden, conforme a lo dispuesto en el artículo 20.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Artículo 2.- Inscripción en el Registro General de Protección de Datos.

El Ministerio de Sanidad, Servicios Sociales e Igualdad, a través de la Dirección General de Servicios para la Familia y la Infancia, procederá a la notificación de la supresión de este fichero a la Agencia Española de Protección de Datos, para la realización de los trámites oportunos para su inscripción en el correspondiente Registro General de Protección de Datos.

DISPOSICIÓN FINAL

Disposición final única.- Entrada en vigor.

La presente orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

ANEXO.- Denominación del fichero: Sistema de Información de Usuarios de Servicios Sociales (SIUSS).

Código de inscripción asignado por la Agencia: 2120170005.

Motivos de la supresión: Informe de la Agencia Española de Protección de Datos en la que se concluye que el Ministerio de Sanidad, Servicios Sociales e Igualdad únicamente podrá actuar en relación con el Sistema de Información de Usuarios de Servicios Sociales (SIUSS) como encargado del tratamiento, pudiendo ostentar la condición de responsables las distintas Comunidades Autónomas y Ciudades de Ceuta y Melilla, en virtud de las competencias atribuidas a las mismas por sus Estatutos de Autonomía, sin perjuicio de las especialidades que puedan establecer las mismas en casos concretos, como el referido a las competencias de los Consejos Insulares en las Islas Baleares.

Destino de la información o previsiones adoptadas para su destrucción: No hay datos registrados en el fichero, al no haberse producido aún la incorporación de las Comunidades Autónomas a la aplicación en web por lo que no procede la destrucción de los mismos.

Chapter I.- General Principles

Article 1.- In order to ensure that citizens, legal persons and other organizations obtain government information in accordance with the law, enhance transparency of the work of government, promote administration in accordance with the law, and bring into full play the role of government information in serving the people’s production and livelihood and their economic and social activities, these Regulations are hereby formulated

Article 2.- «Government information» referred to in these Regulations means information made or obtained by administrative agencies in the course of exercising their responsibilities and recorded and stored in a given form.

Article 3.- The people’s governments at various levels shall make more efforts in organizing and leading government information disclosure work.

The General Office of the State Council is the competent department of the government information disclosure work of the whole nation and is responsible for promoting, guiding, coordinating and supervising the government information disclosure work of the whole nation.

The general office of the people’s government at or above the county level or any other competent department in charge of government information disclosure work appointed by the people’s government at or above the county level shall be responsible for promoting, guiding, coordinating and supervising the government information disclosure work of this region of administration.

Article 4.- The people’s governments at various levels and the departments of the people’s governments at or above the county level shall establish and improve a government information disclosure working system of their respective administrative organ, and appoint an institution (hereinafter referred to as working institution of government information disclosure) to be responsible for the daily work of government information disclosure of their respective administrative organ.

The specific duties of the working institution of government information disclosure of an administrative organ shall be:

(1) Undertaking specific government information disclosure issues of this administrative organ;
(2) Maintaining and updating the government information disclosed by this administrative organ;
(3) Organizing the compilation of this administrative organ’s directory for government information disclosure, catalogue of government information disclosure and annual report on government information disclosure work;
(4) Conducting confidentiality review on the government information to be disclosed;
(5) Other duties related to government information disclosure as prescribed by this administrative organ.

Article 5.- An administrative organ shall follow the principles of impartiality, justice and bringing convenience to the people when disclosing government information.

Article 6.- An administrative organ shall disclose government information in a timely and accurate manner. Where any administrative organ finds out any false or incomplete information that has affected or may affect social stability or has disturbed or may disturb social management order, it shall disclose the corresponding accurate government information within its scope of duties to clarify.

Article 7.- An administrative organ shall establish and improve a coordination mechanism for government information disclosure. In case the disclosure of government information concerns any other administrative organ, it shall communicate with the relevant administrative organ for confirmation to make sure that the government information to be disclosed is accurate and consistent.

In case an approval is needed for the disclosure of government information by an administrative organ as required by the relevant state provisions, no information may be disclosed without approval.

Article 8.- No administrative organ may endanger national security, public security, economic security or social stability when disclosing government information.

Chapter II.- Scope of Information to Be Disclosed

Article 9.- An administrative organ shall voluntarily disclose the government information satisfying any of the following basic requirements:

(1) Information concerning the vital interests of citizens, legal persons or other organizations;
(2) Information that should be widely known by the general public or concerns the participation of the general public;
(3) Information reflecting the structural establishment, duties, procedures for handling affairs and other situation of the administrative organ;
(4) Other information that shall be voluntarily disclosed by the administrative organ as prescribed by laws, regulations and the relevant state provisions.

Article 10.- The people’s governments at or above the county level and their departments shall, in accordance with the provisions of Article 9 of these Provisions and within their respective scope of duties, determine the specific government information to be voluntarily disclosed and lay stress on the disclosure of the following government information:

(1) Administrative regulations, rules and normative documents;
(2) Development planning for national economy and social development, special planning, regional planning and the relevant policies;
(3) Statistical information on national economy and social development;
(4) Fiscal budget report and final report;
(5) Items, charging basis and charging rates of administrative fees;
(6) Catalogue of centralized government procurement items, standards and the implementation;
(7) Issues subject to administrative license, the corresponding basis, requirements, quantity, procedures, time limit and list of all the materials that shall be submitted for purposes of administrative license, and the progress of processing;
(8) Situation on the approval of great construction projects and the implementation;
(9) Polices and measures for relieving poverty, education, medical care, social security and promoting employment, etc., and their implementation;
(10) Emergency plans, early warning information and responding situation of unexpected public incidents;
(11) Situation on the supervision and inspection of environmental protection, public health, safe production, food and drugs and product quality.

Article 11.- The government information of the people’s governments of the cities divided into districts, the county people’s governments and their departments, which is on top of the list for disclosure shall include the following contents:

(1) Major issues on urban and rural construction and administration;
(2) Situation on the construction of social public welfare establishments;
(3) Situation on the requisition or use of lands, demolition of houses and corresponding compensations, and the grant and use of subsidies;
(4) Situation on the management, use and distribution of funds for emergency and disasters, funds for giving special care to disabled servicemen and to family members of revolutionary martyrs and servicemen and funds contributed to the society.

Article 12.- A village (town) people’s government shall, in accordance with the provisions of Article 9 of these Provisions and within its scope of duties, determine the specific government information to be voluntarily disclosed and lay stress on the disclosure of the following government information:

(1) The implementation of the relevant state policies regarding rural work;
(2) Government revenue and expenditure, and the management and use of various kinds of special funds;
(3) The overall planning of land utilization and the examination and approval of the utilization of house sites of the village (town);
(4) The requisition or use of lands, demolition of houses and corresponding compensations, and the grant and use of subsidies;
(5) Situation on creditor’s rights and debts, fund-raising and labor-input of the village (town);
(6) The grant of funds for emergency and disasters, funds for giving special case to disabled servicemen and to family members of revolutionary martyrs and servicemen and funds contributed to the society;
(7) The contracting, lease and auction activities conducted by township collective enterprises and other township economic entities;
(8) Situation on the implementation of family planning policies.

Article 13.- Besides the government information voluntarily disclosed by administrative organs in accordance with the provisions of Article 9, 10, 11 and 12 of these Provisions, citizens, legal persons or other organizations may, in light of their special needs for production, living or scientific research, apply to the departments under the State Council, the local people’s governments at various levels and the departments of the local people’s government at or above the county level for accessing the relevant government information.

Article 14.- An administrative organ shall establish and improve a confidentiality review mechanism of government information disclosure, and clarify the corresponding procedures and duties.

An administrative organ shall, before making government information disclosure, examine the government information to be disclosed in accordance with the Law of the People’s Republic of China on Keeping State Secrets and other laws, regulations and relevant state provisions.

Where an administrative organ is not certain whether certain government information may be disclosed, it shall report to the relevant competent department or the department in charge of confidentiality work of the same level for determination in accordance with laws, regulations and the relevant state provisions.

No administrative organ may disclose any government information involving state secrets, commercial secrets or individual privacy. But in case the obligee approves or the administrative organ believes that the failure to disclose such information would result in great influence on public interests, such government information may be disclosed.

Chapter III.- Forms and Procedures

Article 15.- An administrative organ shall disclose the government information that shall be voluntarily disclosed through government bulletins, government websites, news releases, newspapers and periodicals, broadcasting, television or any other means easy for the general public to access.

Article 16.- The people’s governments at various levels shall set up a place for consulting government information at national archives and public libraries and equip with corresponding facilities and equipments to provide convenience for citizens, legal persons or other organizations to access government information.

An administrative organ may, in light of the actual needs, set up such places as public consulting room, place for demanding materials, information board and electronic information screen for government information disclosure.

An administrative organ shall provide the government information voluntarily disclosed by it to national archives and public libraries in a timely manner.

Article 17.- Government information produced by an administrative organ shall be disclosed by the administrative organ; while government information acquired from any citizen, legal person or any other organization shall be disclosed by the administrative organ that keeps such information. Where it is otherwise prescribed by law or regulation on the power limit of government information disclosure, such provision shall prevail.

Article 18.- Government information that shall be voluntarily disclosed by administrative organs shall be disclosed within 20 workdays since the day when such government information is formed or changed. Where it is otherwise stipulated by any law or regulation on the time limit for government information disclosure, such provision shall prevail.

Article 19.- An administrative organ shall compile and publish a directory for government information disclosure and the catalogue of government information disclosure, and update them in a timely manner.

The directory for government information disclosure shall include the classification, arrangement system, and acquisition methods of government information, and the name, business address, office hours, telephone number, fax number and e-mail of the working institution of government information disclosure.

Catalogue of government information shall include the index, name, content summary, date of formation and other contents of government information.

Article 20.- A citizen, legal person or any other organization shall apply to the administrative organ for acquiring government information in accordance with the provision of Article 13 of these Provisions in written form (including the form of data text); where it is really difficult for it/him to apply in written form, the applicant may apply orally, while the administrative organ accepting the oral application shall fill in the application form for government information disclosure on its/his behalf.

An application for government information disclosure shall include the following contents:

(1) Name and contact information of the applicant;
(2) Description on the content of the government information applied to be disclosed;
(3) Requirement on the form of the government information applied to be disclosed.

Article 21.- With regard to the government information applied to be disclosed, an administrative organ shall give different replies in light of the following circumstances:

(1) In case it is government information that shall be disclosed, notifying the applicant of the means and channels for accessing such government information;
(2) In case it is government information that shall not be disclosed, notifying the applicant of the fact and giving reasons;
(3) In case it shall not be disclosed by this administrative organ as prescribed by law or such government information does not exist, notifying the applicant of the fact, and if it is possible to determine the administrative organ entitled to disclose such information, notifying the applicant of the name and contact information of such administrative organ;
(4) In case the applied content is ambiguous, notifying the applicant to correct or supplement.

Article 22.- In case the government information applied to be disclosed contains any content that should not be disclosed, but it is possible to distinguish such content from the government information, the administrative organ shall provide those allowed to be disclosed to the applicant.

Article 23.- Where an administrative organ believes that the government information applied to be disclosed involves any business secret or individual privacy and that its disclosure may damage the legal rights and interests of a third party, the organ shall solicit the third party’s opinion in written form; if the third party disagrees with the disclosure, the organ may not disclose such information, unless it believes that failure to disclose such information would exert great influence on public interests, and under such circumstance, the organ shall notify the third party of the content of the government information to be disclosed and the corresponding reasons in written form.

Article 24.- An administrative organ shall give a reply on an application for government information disclosure on the spot when possible.

Where it is impossible for the administrative organ to do so, it shall give a reply within 15 workdays since the day when the application is received; if it is necessary to extend the time limit for reply, it shall obtain the consent of the person in charge of the working institution of government information disclosure and notify the applicant of it. The time limit for rely may be extended for no more than 15 workdays.

Where the government information applied to be disclosed involves the rights and interests of a third party, the administrative organ shall solicit the third party’s opinion, and the time needed therefor shall not be counted into the time limit prescribed in Paragraph 2 of this Article.

Article 25.- A citizen, legal person or any other organization applying to the administrative organ for providing the government information related to his/its tax payment, social security, medical care and health, etc., shall produce his/its valid identity certificate or evidentiary documents.

Where a citizen, legal person or any other organization has evidence to prove that the related government information provided by the administrative organ is inaccurate, he/it is entitled to request the administrative organ to correct. If the administrative organ has no right to correct such information, it shall transfer it to the administrative organ entitled to correct and notify the applicant of the situation.

Article 26.- An administrative organ shall provide government information in the form required by the applicant; where it is impossible to do so, it may provide such information by arranging the applicant to consult the relevant materials, providing photocopies or in any other appropriate form.

Article 27.- An administrative organ may, when providing government information as applied, only collect the costs for retrieval, replication and mailing, etc., and may not charge any other fee. No administrative organ may provide government information in the form of paid service through any other organization or individual.

The charging rates for collecting the costs for retrieval, replication and mailing, etc., shall be formulated by the competent department of price of the State Council together with the department of finance of the State Council.

Article 28.- In case a citizen applying for government information disclosure is really in economic hardship, upon the application of the citizen himself and the approval of the person in charge of the working institution of government information disclosure, the relevant expenses may be deducted or exempted.

Where a citizen applying for government information disclosure has any difficulty in reading, seeing or hearing, the administrative organ shall provide necessary help for him.

Chapter IV.- Supervision and Safeguard

Article 29.- The people’s governments at various levels shall establish and improve an evaluation system, a social appraisal system and a responsibility system of government information disclosure work to evaluate and appraise the government information disclosure work on a regular basis.

Article 30.- The competent department and supervisory organ of government information disclosure shall be responsible for supervising and examining the government information disclosure work conducted by administrative organs.

Article 31.- The administrative organs at various levels shall disclose their respective annual report on government information disclosure work before March 31st of every year.

Article 32.- The annual report on government information disclosure work of an administrative organ shall include the following contents:

(1) Its voluntary disclosure of government information;
(2) Its disclosure of government information upon application and its refusal to disclose government information;
(3) Its charging fees for government information disclosure and the deduction and exemption of the relevant fees;
(4) Applications for administrative reconsideration or binging administrative lawsuits for government information disclosure;
(5) The major problems existing in government information disclosure work and their improvement;
(6) Other issues to be reported as required.

Article 33.- Where any citizen, legal person or any other organization believes that an administrative organ fails to fulfill its obligation of government information disclosure according to law, he/it may inform the superior administrative organ, supervisory organ or the competent department of government information disclosure. The informed organ shall investigate and handle it according to law.

Where any citizen, legal person or any other organization believes that a specific administrative act committed by an administrative organ in carrying out government information disclosure work has infringed upon his/its legal rights and interests, he/it may apply for administrative reconsideration or bring an administrative lawsuit according to law.

Article 34.- Where any administrative organ fails to establish and improve a confidentiality review mechanism of government information disclosure as required by these Provisions, the supervisory organ or the administrative organ at the next higher level shall order it to correct and impose a penalty upon the person-in-charge of the administrative organ in case the circumstance is serious.

Article 35.- Where an administrative organ violates these Provisions and falls under any of the following circumstances, the supervisory organ or the administrative organ at the next higher level shall order it to correct and, in case the circumstance is serious, impose a penalty upon the directly liable person-in-charge and other persons directly liable of the administrative organ according to law, and where a crime is constituted, the relevant personnel shall be subject to criminal liabilities:

(1) Failing to fulfill the obligation of disclosing government information according to law;
(2) Failing to update the contents of disclosed government information, directory for government information disclosure and catalogue of government information disclosure in a timely manner;
(3) Charging fees by violating the relevant provisions;
(4) Providing government information in the form of paid services through any other organization or individual;
(5) Disclosing the government information that should not be disclosed;
(6) Other behaviors going against these Provisions.

Chapter V.- Supplementary Rules

Article 36.- These Provisions apply to the government information disclosure activities conducted by organizations which are authorized by law and regulation and have the function of administering public affaris.

Article 37.- The disclosure of the information produced or acquired by the public enterprises and institutions in the field of education, medical care and health, family planning, supply of water, power, air and heat, environmental protection, public traffic or any other field closely related to the people’s interests shall be governed by these Provisions by analogy, and the specific measures shall be formulated by the relevant competent departments or institutions of the State Council.

Article 38.- These Provisions shall come into force as of May 1st, 2008.

Premier Wen Jiabao
April 5th, 2007

PUBLIC LAW 93-579

THE PRIVACY ACT OF 1974

5 U.S.C. § 552a

§ 552a. Records maintained on individuals

(a) Definitions

ASAMBLEA LEGISLATIVA:

El Comité de Ministros del Consejo de Europa, en el curso de la reunión sostenida a nivel de delegados el 31 de enero de 2007, invitó a Costa Rica a adherirse al Convenio sobre la Ciberdelincuencia hecho en Budapest, el 23 de noviembre de 2001, de conformidad con su artículo 37.

Este instrumento jurídico entró en vigencia el 1 de julio de 2004 como fruto de la reunión internacional de expertos celebrada en Budapest, Hungría, en noviembre de 2001. En la actualidad, son Partes de este Convenio los siguientes miembros del Consejo de Europa: Albania, Armenia, Azerbaiyán, Bosnia y Herzegovina, Bulgaria, Croacia, Chipre, Dinamarca, Estonia, Finlandia, Francia, Alemania, Hungría, Islandia, Italia, Letonia, Lituania, Malta, Moldavia, Montenegro, Reino de los Países Bajos, Noruega, Portugal, Rumania, Serbia, Eslovaquia, España, Eslovenia, Antigua República Yugoslava de Macedonia, Suiza, Ucrania y Reino Unido.

Asimismo, como Parte de este Convenio, aparece los Estados Unidos de América, el cual no es miembro del Consejo de Europa.

Su texto es considerado como el estándar mundial en esta materia, lo que ha cerrado la posibilidad de que se elabore un Convenio Interamericano sobre Delitos Informáticos, como se sugirió en sendas reuniones americanas en México de 2004 y Paraguay en 2009.

Según lo expuso, la Procuraduría General de la República, mediante la opinión jurídica OJ-057-2006 del 24 de abril de 2006, desde la adopción del citado Convenio, diversos países europeos no miembros de la Comunidad Económica, así como otras naciones no europeas, entre estos, Estados Unidos, Japón, Canadá y Sudáfrica vieron con interés el contenido del Convenio sobre la Ciberdelincuencia, en virtud de que representaba una oportunidad valiosa para lograr consenso internacional en la persecución de las nuevas formas de delincuencia ejecutadas a través de los medios telemáticos. Los países mencionados son los que han suscrito el Acuerdo fuera de la Unión Europea, con miras a incorporarlo a su legislación interna, mientras que en América Latina, Argentina, México Chile, República Dominicana y Costa Rica han sido invitados a formar parte de dicho Convenio. Cabe recalcar que, a la fecha, ningún país latinoamericano es Parte de dicho instrumento jurídico.

Con la intención que los demás países de la región conozcan e integren a su legislación interna el texto del Convenio, o que al menos elaboren legislación sobre ciberdelitos que cumplan con los términos del acuerdo europeo, la Organización de Estados Americanos ha realizado numerosas reuniones con sus países miembros, procurando encontrar respuestas conjuntas para enfrentar conductas que las más de las veces no encuentran reacción en los ordenamientos jurídicos penales latinoamericanos, o se encuentran mal reguladas, como es el caso de Costa Rica. Este vacío o inexistencia normativa se explica no por negligencia o desinterés del legislador, sino principalmente por el avance tan acelerado de las tecnologías de información y comunicación que dejan rezagadas las previsiones penales en cuanto a conductas sancionables.

Ello es, pues, una consecuencia lógica de un fenómeno mundial al que el Derecho positivo apenas está comenzando a dar respuestas adecuadas. Si bien el tema de los delitos informáticos es aún una materia jurídicamente novedosa y de poco desarrollo doctrinal, hemos encontrado que en Costa Rica la legislación penal (no solo la que contempla el propio Código Penal, sino otras leyes especiales que contiene tipos penales informáticos) no mantiene un contenido adecuado para perseguir, prevenir o reprender las conductas lesivas de los delincuentes informáticos. Más aún, el propio legislador nacional ha cometido yerros importantes a la hora de elaborar y emitir tipos penales, pues no solo ha promulgado normas que bien podrían tenerse por contradictorias, sino que ha suprimido inexplicablemente algunas de las pocas existentes. Si bien no analizaremos a fondo las normas penales existentes en Costa Rica, sí es necesario hacer al menos mención de estas importantes deficiencias legislativas para apoyar la posición de reelaborar las normas penales existentes en la materia, y ajustarlas en particular al Convenio sobre la Ciberdelincuencia, consecuencia obligada de ser Parte de este instrumento jurídico Internacional.

En el año 2000, los países miembros de la Organización de Estados Americanos (OEA), en una reunión en Costa Rica, decidieron optar por la elaboración de «leyes-tipo» para que fuesen aplicables a los países participantes en el evento. Desde ese momento, la representación de Costa Rica propuso más bien la elaboración de un Convenio Interamericano sobre Delitos Informáticos, por las enormes ventajas que representa la normativa supranacional.

Posteriormente, a finales de enero y principios de febrero de 2004, en el Foro Legislativo en Materia de Delitos Cibernéticos, celebrado en la Ciudad de México y organizado por la Organización de Estados Americanos, el Departamento de Estado y la Secretaría de Justicia del Gobierno de los Estados Unidos, se evaluó el desarrollo de la normativa latinoamericana en la materia, llegando a la conclusión de que el tema de la ciberdelincuencia tenía poco o ningún avance en las legislaciones del continente, salvo contadas excepciones.

En ese foro de conocimiento una vez más se reiteró la necesidad de que los países integrantes del continente americano contasen con un convenio internacional sobre delitos informáticos, tomando en cuenta, entre otros motivos, el fracaso de la solución de leyes-tipo en materia represiva que se quiso implantar en el pasado como solución para las diferentes naciones participantes que deseaban actualizar su legislación. Muestra de ello es que aún existen numerosos países que carecen absolutamente de leyes sobre delitos informáticos, tales como algunos países centroamericanos (Nicaragua o Guatemala), y otros que las tienen de manera deficiente o insuficiente, como Chile, Paraguay o Costa Rica. En ese mismo Foro, además, se presentó por primera vez a los países participantes el Convenio sobre la Ciberdelincuencia, en el marco del Consejo de Europa. Precisamente, una de las conclusiones a las que se llegó era la posibilidad de ser parte del presente Convenio y pensar en la posibilidad de elaborar, posteriormente, un tratado propiamente del continente americano en tan importante temática. No obstante, la posibilidad de elaborar un convenio americano en materia de delitos informáticos no pareció viable, pues cuando tal idea se planteó una vez más en el foro sobre Ciberdelincuencia llevado a cabo en Paraguay en el año 2009, la representación de los Estados Unidos de América la objetó bajo el argumento de que ya existía un Convenio Internacional sobre la materia, precisamente, el Convenio en examen, del cual nuestro país debería ser Parte.

La utilización de un cuerpo normativo como este Convenio ofrece mayores garantías de cumplimiento que las que posee, por ejemplo, las «leyes-modelo» o «leyes-tipo», dado que, por su naturaleza, el convenio tiene un rango superior al de las normas comunes, situación que exigiría reformar la normativa nacional que no se adecue a los términos del presente tratado.

Además, este instrumento internacional tiene una aplicación territorial tan amplia como países sean Partes.

Cabe indicar que, precisamente por la extensa cantidad de redes de cómputo dentro y fuera de los países, así como la incursión de la Internet, nos enfrentamos a un serio problema de territorialidad que solo puede verse solventado con la aplicación de acuerdos internacionales y la adopción de medidas técnicas uniformes en los diferentes territorios donde se pretenda perseguir penalmente a los infractores cibernéticos. Consideramos que cualquier convenio internacional que pretenda dar soluciones globales debe contemplar en su contenido la posibilidad de tener el territorio de sus miembros como uno solo, y reprimir las conductas delictivas efectuadas fuera de sus fronteras con la misma energía como si el hecho hubiese ocurrido en su propio territorio, tal como ya ocurre con los acuerdos internacionales sobre drogas o el Protocolo al Convenio sobre Derechos del Niño, los cuales contemplan tal posibilidad y constituyen una excelente herramienta en la lucha contra la impunidad.

Resulta de interés público que el Estado costarricense preste atención y procure suscribir convenios internacionales sobre temas que traten de problemáticas jurídicas y situaciones que involucren la aplicación de herramientas tecnológicas, ya de por sí de urgente corrección en nuestro país. La rama de las comunicaciones es sin duda alguna el campo donde el desarrollo tecnológico actual ha tenido su mayor expresión y ello se evidencia en las múltiples opciones con que cuenta el ciudadano para realizar sus contactos, la velocidad, prontitud y seguridad con que puede ejecutarlas, y la constancia de los sistemas remotos, en tanto servicios públicos.

Como consecuencia de esas facilidades, aunado al fenómeno mundial de la Internet, como medio de comunicación por excelencia que engloba a su vez otras posibilidades de comunicación muy diferentes de las tradicionales, la actividad académica e informativa original ha dado paso a una enorme afluencia de tipo más comercial y financiero que provocó en pocos años una nueva forma de relacionarse entre las personas, independientemente del idioma, territorio, estrato social o nivel cultural de ellas.

En el caso concreto de los delitos informáticos, los cuales constituyen la cara oculta y la aplicación torcida de las ventajas tecnológicas, donde personas inescrupulosas aprovechan los enormes beneficios de las telecomunicaciones para llevar a cabo actos condenables y que, increíblemente, pueden quedar sin sanción en virtud de la ausencia de normas penales claras o inteligibles que a fin de cuentas resultan de difícil o imposible aplicación por el juez. Así, por ejemplo, en Costa Rica ciertas conductas no se encuentran tipificadas, tales como el espionaje informático, el phishing, pharming, la suplantación de personalidad, la protección de datos personales, difusión de virus, suplantación de páginas o sitios Web, al igual que la facilitación del nombre de usuario y clave de acceso a sistemas públicos (las cuales solo se dan en legislación aduanera y tributaria).

De allí la urgencia de echar mano de las posibles soluciones que brinde el derecho positivo penal para lograr prevenir y sancionar estas lamentables conductas.

La aprobación del Convenio sobre la Ciberdelincuencia tendrá como consecuencia principal el remozamiento de la legislación penal costarricense que intenta regular el tema, lo cual vendrá a mejorar los términos y conceptos en que están redactados los tipos penales, y a crear nuevas figuras que aún no encuentran debida regulación en las normas represivas. Sin perder de vista que se trata de materias aún muy novedosas y de poco desarrollo doctrinal, hemos encontrado que en Costa Rica la legislación penal (no solo la que contempla el propio Código Penal, sino otras leyes especiales que contienen tipos penales informáticos, según mencionaremos) no mantiene un contenido adecuado para perseguir, prevenir o reprender las conductas lesivas de los delincuentes informáticos. Cabe destacar que la legislación nacional contiene normas que bien podrían tenerse por contradictorias y además se han suprimido temporalmente algunas de las pocas figuras penales existentes.

El análisis del presente Convenio justifica la necesidad de que Costa Rica deba aprobarlo con prontitud, procediendo en lo posible a llevar a cabo importantes reformas legislativas en la materia, dada la necesidad de crear nuevas figuras que respondan a las necesidades sociales producidas por la incorporación de las nuevas tecnologías de información y comunicación en nuestro medio. En este sentido, también resulta de urgente aprobación el proyecto de ley sobre delitos informáticos, tramitado bajo el expediente nº 17.613.

El Convenio sobre la Ciberdelincuencia contiene elementos novedosos. Por ejemplo, crea dos nuevos bienes jurídicos tutelados, como son la protección de la información en soportes digitales y el funcionamiento de un sistema informático. Además, invita a crear tipos penales donde se sancione a personas jurídicas, corriente de pensamiento que tiene un buen nivel de aceptación entre los estudiosos de la materia.

En su contenido, el artículo 1 del Convenio incorpora cuatro definiciones, sobre los que se entenderá por «sistema informático», «datos informáticos», «proveedor de servicios» y «datos sobre el tráfico». Si bien no se incluye el concepto de «sistema de información», sino que se limita a los sistemas informáticos, esto es, las redes o conexión lógica entre computadoras, en cualquier tipo de plataforma, ello no obsta para que nuestro legislador, en su momento, incluya correctamente ambos tipos de sistemas dentro de la protección normativa, pues no se trata de los mismos conceptos, sino que cada uno de ellos tiene aplicaciones diferentes, sin guardar siquiera relación de jerarquía o de género a especie.

La única norma que define los «datos sobre el tráfico» es el artículo 5 del decreto ejecutivo nº 35205 de 16 de abril de 2009, denominado Medidas de Protección de la Privacidad en las Telecomunicaciones, pero no es exactamente materia penal ni ha sido elaborada para fines de delitos informáticos. Con miras a lograr un nivel normativo equivalente dentro de los territorios de los Estados Parte de este, el Convenio sobre la Ciberdelincuencia contempla una serie de disposiciones que procuran uniformar los tipos penales en los diferentes Ordenamientos Jurídicos. Tales disposiciones se refieren a las conductas que deben tenerse como punibles en cada país, relacionadas con la confidencialidad, la integridad y la disponibilidad de los datos y los sistemas informáticos.

Así por ejemplo, el artículo 2 del Convenio se refiere al acceso no autorizado a sistemas informáticos. El artículo 196 bis del Código Penal, Ley nº 4573 de 4 de mayo de 1970 se refiere a la violación de las comunicaciones electrónicas, con un contenido amplio que procura abarcar cualquier conducta que lesione las comunicaciones íntimas de los ciudadanos. No obstante, en ese tipo penal no se entiende a qué se refiere con soportes electrónicos, informáticos o telemáticos. El único soporte que tiene sentido real es el soporte magnético. Inexplicablemente se omite la referencia a los soportes ópticos. Por tanto, debería incluirse también en la norma punitiva.

El artículo 3 regula la interceptación dolosa y sin autorización, utilizando medios técnicos, de datos en un sistema informático o de transmisiones no públicas. La totalidad de los conceptos que abarca este numeral no se hayan recogidas íntegramente en la legislación costarricense, pues los tipos penales contemplados en la legislación nacional se refieren exclusivamente a materia tributaria y aduanera, no aplicándose a otros casos similares.

No obstante, el citado artículo 196 bis del Código Penal sanciona la interceptación o interferencia de datos y otros elementos si son llevados a cabo sin consentimiento del titular de ellos, o si se hace con la intención de vulnerar la intimidad o secretos del afectado. Remitimos a este nuevamente para corroborar la existencia de los verbos «interceptar» e «interferir» y «desviar de su destino», en referencia a mensaje, datos e imágenes contenidas en cualquier tipo de soporte, sea este electrónico, informático, magnético o telemático. No obstante que dicho artículo no se describe de la misma forma que la contemplada en el presente Convenio, aunque su contenido sí parece llenar los requisitos que se exigen en el cuerpo normativo internacional. Por su parte, el artículo 229 bis del Código Penal castiga igualmente el acceso sin autorización a los datos registrados en una computadora: Se reitera la conclusión anterior en el tanto las acciones sancionadas en dichos tipos penales parecen sujetarse a las exigencias de este Convenio.

Por lo tanto, en principio, no se requeriría adicionar más verbos activos, aunque igualmente ello puede ser objeto de revisión, especialmente porque la forma en que están redactadas ciertas conductas podría ser reiterativa, especialmente en lo que se refiere a la acción de borrar datos, contemplada en ambos tipos penales, y con la única diferencia de que en el primer caso la intención debe ser «descubrir los secretos o vulnerar la intimidad de otro»; mientras que en el segundo tipo penal simplemente se exige «falta de autorización», aunque las conductas sean idénticas. Ello ha procurado corregirse en el nuevo proyecto de ley sobre la materia, expediente nº 17.613.

El artículo 4 del Convenio se refiere a la interferencia en los datos, consistente en conductas que causen daños, borren, deterioren, alteren o supriman datos informáticos, provocando daños graves. El artículo 229 bis de nuestro Código Penal, citado en el punto anterior, contiene los verbos «borrar», «suprimir», «modificar» e «inutilizar», sin autorización, los datos registrados en una computadora, por lo que creemos que esta figura se halla debidamente contemplada en nuestra legislación punitiva.

A pesar de lo indicado, pensamos que su redacción podría precisarse aún más, pues su contenido es sumamente genérico. Tomemos en cuenta que no todos los «datos» que se encuentran en una computadora tienen el mismo valor. Quizás debería pormenorizarse según los medios empleados para el borrado, supresión, etc., si es efectuado mediante el empleo de programas dañinos, tales como virus, gusanos, programación, empleo de programas destinados para ello, choque electromagnéticos, etc. Recordemos que los sistemas operativos tienen el borrado y destrucción de datos como una de sus funciones normales, y no todos los elementos eliminados guardan el mismo nivel de importancia, esto es, no es lo mismo eliminar el archivo command.com que los registros de la papelera de reciclaje o los mensajes electrónicos borrados.

En el mismo sentido del numeral anteriormente citado, el artículo 111 de la Ley de Administración Financiera de la República y Presupuestos Públicos nº 8131 de 18 de setiembre de 2001 señala las sanciones contra funcionarios públicos o personas particulares que causen daños a sistemas informáticos de la administración financiera y de proveeduría de las instituciones públicas. Nótese que la existencia de este artículo es innecesaria pues el sujeto activo puede ser cualquier persona, sean funcionarios públicos o particulares.

Además, su redacción carece de técnica legislativa, es confusa y reiterativa, pues sus verbos activos ya se encuentran contemplados en los tipos que recoge el Código Penal, según hemos citado.

El artículo 5 del Convenio se refiere a la interferencia en el sistema, descrito como una obstaculización grave, dolosa e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, daños, borrado, deterioro, alteración o supresión de datos informáticos. Una vez más citamos el artículo 229 bis el cual, en sus párrafos finales, contempla sanciones en caso de que, con ocasión de la alteración de datos o sabotaje informático, se entorpeciese o inutilizase una base de datos o sistema informático. Por demás, el mismo artículo, en su párrafo final, dispone la penalización según el resultado lesivo de la conducta.

Por su parte el artículo 6 se refiere al abuso de los dispositivos, sancionando la tenencia, producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición de programas de cómputo o similares que sirvan para el acceso, intercepción, interferencia de datos o de sistemas informáticos, incluyendo la destrucción, inutilización, alteración, etc., o bien, contraseñas, códigos de entrada o datos informáticos o similares que permitan acceder a un sistema informático. En el caso de la creación o tenencia de tales dispositivos, el propio Convenio prevé la posibilidad de que se exima de responsabilidad la conducta si los programas de cómputo no han sido creados originalmente para fines ilícitos.

La legislación costarricense contiene una disposición similar, concretamente en la Ley de Procedimiento de Observancia de Derechos de Propiedad Intelectual, artículos 2 bis, 62 y 62 bis.

No obstante, sí se hace necesaria la creación legislativa expresa de figuras penales más precisas y que su contenido tenga alcances generales.

Más aún, el delito denominado «suplantación de personalidad» tampoco se encuentra contemplado en la legislación nacional, en cuanto al uso ilegítimo de nombres de usuario y claves de acceso para acceder a sistemas de información. En realidad, disposiciones que penan tal conducta se encuentran previstas solamente en materia aduanera y tributaria.

El artículo 7 del Convenio contempla un delito informático de gran relevancia, como es la falsificación informática, lo que incluye la introducción, alteración, borrado o supresión de datos informáticos con la intención de que se tengan como auténticos para cualquier efecto legal. Si bien existe un tipo penal que sanciona el fraude informático, artículo 217 bis del Código respectivo, existe discordancia en la denominación de la norma, pues el Convenio en examen denomina a dichas conductas como «falsificación informática» mientras que en el Código Penal de Costa Rica se le llama «Fraude Informático». Si bien los términos de este artículo del Código Penal costarricense son bastante criticables, al no incluir los componentes de entrada ni hacer énfasis en la noción del concepto básico de «sistema» (entrada, procesamiento, salida), sí parece cumplir, al menos, con el requisito exigido en el Convenio europeo. No obstante, de la redacción, bastante criticable, parece exigirse que el resultado del hecho delictivo se produzca en el procesamiento (caja negra) del sistema, y no en su salida, lo que exige una revisión y reelaboración del tipo penal.

Por su parte el artículo 8, establece la figura del fraude informático, el cual consiste en la introducción, alteración, borrado o supresión de datos informáticos, o la interferencia en el funcionamiento de un sistema informático, con el objeto de obtener ilícitamente un beneficio económico ilegítimo para sí o para un tercero.

Otro aspecto de gran relevancia lo constituye el artículo 9 del Convenio, referido a los delitos relacionados con la pornografía infantil, incluyendo cualquier conducta que lleve a la producción, oferta, puesta a disposición, difusión, transmisión, adquisición o posesión de pornografía infantil en un sistema informático o soporte apropiado para almacenar datos informáticos. La calidad y cantidad de normas jurídicas que protegen a los y las menores en Costa Rica ha recibido reconocimiento del propio Consejo de Europa, por lo que es posible afirmar que nuestro país cumple debidamente con la exigencia del numeral 9 del Convenio sobre Ciberdelincuencia. Además, la posesión de pornografía infantil es penalizada mediante el artículo 173 bis del Código Penal Costa Rica ha procurado mantener una actitud de salvaguarda de los derechos de los menores, protegiendo precisamente la indemnidad e inexperiencia sexual de los potenciales afectados.

El artículo 16, referido a la conservación rápida de datos informáticos almacenados, tampoco encuentra legislación precisa en materia procesal penal, que trate expresamente de la conservación de datos informáticos. De hecho, no existe norma alguna que obligue de oficio a los denominados ISP’s o proveedores de servicios de Internet a conservar algún dato almacenado por sus usuarios. La única manera como ello podría ocurrir es en virtud de una orden judicial, emanada por juez competente dentro del marco de una investigación abierta.

Otros aspectos contemplados en el presente Convenio de especial relevancia, convienen ser destacados, tales como la cooperación internacional entre los Estados Parte, a los fines de las investigaciones o procedimientos concernientes a infracciones penales relacionadas con sistemas cómputo y datos, o para la recolección de pruebas, en formato electrónico de una infracción penal.

Asimismo, se establecen ciertas reglas relacionadas con la extradición y la asistencia mutua entre Estados Parte, específicamente en materia de adopción de medidas cautelares y los poderes de investigación, incluyendo la posibilidad de que una parte solicite a otra parte que registre o acceda, confisque y revele datos almacenados por medio de un sistema informático, así como acceso transfronterizo a datos almacenados y obtención en tiempo real de datos sobre el registro, mecanismos que son de gran utilidad tratándose de actividades que generalmente trascienden las fronteras, resultando clave la cooperación y asistencia mutua entre Estados.

Finalmente, conviene destacar que el Convenio admite reservas de los países, en caso de que alguna disposición contradiga los términos de la Constitución Política.

Señores Diputados, como puede apreciarse, la adhesión de Costa Rica a este Convenio es de suma importancia pues vendría a complementar las acciones legislativas emprendidas en materia de delitos informáticos (dentro del proyecto nº 17.613) y complementariamente puede incidir en el tema de protección de la niñez, en todos sus extremos y constituye una clara señal a la comunidad internacional del compromiso de Costa Rica por reprimir estas conductas que aún no encuentran una respuesta punitiva adecuada en nuestro Ordenamiento Jurídico.

En virtud de lo anterior, sometemos a conocimiento, y aprobación de la Asamblea Legislativa, el proyecto de ley adjunto relativo a la

«APROBACIÓN DE LA ADHESIÓN AL CONVENIO SOBRE LA CIBERDELINCUENCIA«.

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

«APROBACIÓN DE LA ADHESIÓN AL CONVENIO  SOBRE LA CIBERDELINCUENCIA»

ARTÍCULO ÚNICO.– Apruébese, en cada una de sus partes, el «CONVENIO SOBRE LA CIBERDELINCUENCIA«, hecho en Budapest el 23 de noviembre de 2001», cuyo texto es el siguiente:

DEPARTAMENTO DE SERVICIOS PARLAMENTARIOS ÁREA DE PROCESOS LEGISLATIVOS – 8 – EXP. nº 18.484

YO, KATIA MARÍA JIMÉNEZ POCHET, TRADUCTORA OFICIAL DEL MINISTERIO DE RELACIONES EXTERIORES Y CULTO DE LA REPUBLICA DE COSTA RICA, NOMBRADA POR ACUERDO NUMERO 8-DJ DEL 21 DE NOVIEMBRE DEL 2000 PUBLICADO EN LA GACETA NUMERO 45 DEL 5 DE MARZO DE 2001, CERTIFICO QUE LA TRADUCCIÓN DEL IDIOMA INGLÉS AL IDIOMA ESPAÑOL DEL SIGUIENTE DOCUMENTO DICE LO SIGUIENTE:

Convenio sobre la Ciberdelincuencia [Budapest, 23.XI. 2001]

Preámbulo

Cada Parte miembros del Consejo de Europa y los otros Estados signatarios del presente Convenio, 

Considerando que el objetivo del Consejo de Europa es conseguir una unión más estrecha entre sus miembros; 

Reconociendo el interés de intensificar la cooperación con Cada Parte parte en el presente Convenio; 

Convencidos de la necesidad de aplicar, con carácter prioritario, una política penal común destinada a proteger a la sociedad frente a la ciberdelincuencia, entre otras formas, mediante la adopción de la legislación apropiada y el fomento de la cooperación internacional; 

Conscientes de los profundos cambios suscitados por la digitalización, la convergencia y la globalización continua de las redes informáticas;

Preocupados por el riesgo de que las redes informáticas y la información electrónica sean utilizadas igualmente para cometer delitos y que las pruebas relativas a dichos delitos sean almacenadas y transmitidas por medio de esas redes; 

Reconociendo la necesidad de una cooperación entre Cada Parte y el sector privado en la lucha contra la ciberdelincuencia, así como la necesidad de proteger los legítimos intereses en la utilización y el desarrollo de las tecnologías de la información; 

En la creencia de que la lucha efectiva contra la ciberdelincuencia requiere una cooperación internacional en materia penal reforzada, rápida y operativa;

Convencidos de que el presente Convenio resulta necesario para prevenir los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, mediante la tipificación de esos actos, tal y como se definen en el presente Convenio, y la asunción de poderes suficientes para luchar de forma efectiva contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones que permitan una cooperación internacional rápida y fiable;

Conscientes de la necesidad de garantizar el debido equilibrio entre los intereses de la acción penal y el respeto de los derechos humanos fundamentales consagrados en el Convenio del Consejo de Europa para la Protección de los Derechos Humanos y de las Libertades Fundamentales (1950), el Pacto Internacional de Derechos Civiles y Políticos de las Naciones Unidas (1966), y otros tratados internacionales aplicables en materia de derechos humanos, que reafirman el derecho de todos a defender sus opiniones sin interferencia alguna, así como la libertad de expresión, que comprende la libertad de buscar, obtener y comunicar información e ideas de todo tipo, sin consideración de fronteras, así como el derecho al respeto a la intimidad; 

Conscientes igualmente del derecho a la protección de los datos personales, tal y como se reconoce, por ejemplo, el Convenio de 1981 del Consejo de Europa para la protección de las personas con respecto al tratamiento informatizado de datos personales; 

Considerando la Convención de las Naciones Unidas sobre los Derechos del Niño (1989) y el Convenio de la Organización Internacional del Trabajo sobre las peores formas de trabajo de menores (1999);

Teniendo en cuenta los convenios existentes del Consejo de Europa sobre cooperación en materia penal, así como otros tratados similares celebrados entre Cada Parte miembros del Consejo de Europa y otros Estados, y subrayando que el presente Convenio pretende completar dichos Convenios con objeto de dotar de mayor eficacia las investigaciones y los procedimientos penales relativos a los delitos relacionados con los sistemas y datos informáticos, así como facilitar la obtención de pruebas electrónicas de los delitos; 

Congratulándose de las recientes iniciativas encaminadas a mejorar el entendimiento y la cooperación internacional en la lucha contra la ciberdelincuencia incluidas las medidas adoptadas por las Naciones Unidas, la OCDE, la Unión Europea y el G8; 

Recordando las recomendaciones del Comité de Ministros nº (85) 10 relativa a la aplicación práctica del Convenio europeo de asistencia judicial en materia penal en relación con las comisiones rogatorias para la vigilancia de las telecomunicaciones, nº R (88) 2 sobre medidas encaminadas a luchar contra la piratería en materia de propiedad intelectual y derechos afines, nº R (87) 15 relativa a la regulación de la utilización de datos personales por la policía, nº R (95) 4 sobre la protección de los datos personales en el ámbito de los servicios de telecomunicación, con especial referencia a los servicios telefónicos, así como nº R (89) 9 sobre la delincuencia relacionada con la informática, que ofrece directrices a los legisladores nacionales para la definición de delitos informáticos, y nº R (95) 13 relativa a las cuestiones de procedimiento penal vinculadas a la tecnología de la información; 

Teniendo en cuenta la Resolución nº 1, adoptada por los Ministros europeos de Justicia, en su XXI Conferencia (Praga, 10 y 11 de junio 1997), que recomendaba al Comité de Ministros apoyar las actividades relativas a la ciberdelincuencia desarrolladas por el Comité Europeo de Problemas Penales (CDPC) para aproximar las legislaciones penales nacionales y permitir la utilización de medios de investigación eficaces en materia de delitos informáticos, así como la Resolución nº 3, adoptada en la XXIII Conferencia de Ministros europeos de Justicia (Londres, 8 y 9 de junio de 2000), que animaba a las Partes negociadoras a proseguir sus esfuerzos para encontrar soluciones que permitan que el mayor número posible de Estados pasen a ser partes en el Convenio, y reconocía la necesidad de disponer de un sistema rápido y eficaz de cooperación internacional que refleje debidamente las exigencias específicas de la lucha contra la ciberdelincuencia;

Teniendo asimismo en cuenta el Plan de Acción adoptado por los Jefes de Estado y de Gobierno del Consejo de Europa con ocasión de su Segunda Cumbre (Estrasburgo, 10 y 11 de octubre de 1997), para buscar respuestas comunes ante el desarrollo de las nuevas tecnologías de la información, basadas en las normas y los valores del Consejo de Europa;

Han convenido lo siguiente:

Capítulo I. Terminología

Artículo 1. Definiciones

A los efectos del presente Convenio,

a) por «sistema informático» se entenderá todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan en ejecución de un programa;

b) por «datos informáticos» se entenderá cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa destinado a hacer que un sistema informático ejecute una función;

c) por «proveedor de servicios» se entenderá:

i. toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar por medio de un sistema informático; y

ii. cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios de ese servicio;

d) por «datos sobre el tráfico» se entenderá cualesquiera datos informáticos relativos a una comunicación por medio de un sistema informático, generados por un sistema informático como elemento de la cadena de comunicación, que indiquen el origen, destino, ruta, hora, fecha, tamaño y duración de la comunicación o el tipo de servicio subyacente.

Capítulo II. Medidas que deberán adoptarse a nivel nacional

Sección 1. Derecho penal sustantivo

Título 1. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos

Artículo 2. Acceso ilícito

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, el acceso deliberado e ilegítimo a la totalidad o una parte de un sistema informático. Cualquier Parte podrá exigir que el delito se cometa infringiendo medidas de seguridad, con la intención de obtener los datos informáticos o con otra intención delictiva, o en relación con un sistema informático que esté conectado a otro sistema informático.

Artículo 3. Interceptación ilícita

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, la interceptación deliberada e ilegítima, por medios técnicos, de datos informáticos comunicados en transmisiones no públicas efectuadas a un sistema informático, desde un sistema informático o dentro del mismo, incluidas las emisiones electromagnéticas procedentes de un sistema informático que contenga dichos datos informáticos.

Cualquier Parte podrá exigir que el delito se haya cometido con intención delictiva o en relación con un sistema informático conectado a otro sistema informático

Artículo 4. Interferencia en los datos

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, la comisión deliberada e ilegítima de actos que dañen, borren, deterioren, alteren o supriman datos informáticos.

2. Cualquier Estado Parte podrá reservarse el derecho a exigir que los actos definidos en el apartado I provoquen daños graves.

Artículo 5. Interferencia en el sistema

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, la obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, provocación de daños, borrado, deterioro, alteración o supresión de datos informáticos.

Artículo 6. Abuso de los dispositivos

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, la comisión deliberada e ilegítima de los siguientes actos:

a. la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición de:

i. un dispositivo, incluido un programa informático adaptado principalmente para la comisión de cualquiera de los delitos previstos de conformidad con los anteriores artículos 2 a 5; 

ii. una contraseña, un código de acceso o datos informáticos similares que permitan acceder a todo o parte de un sistema informático, con la intención de utilizarlos como medio para cometer alguna de las delitos previstas en los artículos 2 a 5; y

b. la posesión de alguno de los elementos contemplados en los apartados a.i) o ii) con el fin de que sean utilizados para cometer cualquiera de los delitos previstos en los artículos 2 a 5. Cualquier Parte podrá exigir en su derecho interno que se posea un determinado número de dichos elementos para que se considere que existe responsabilidad penal.

2. No podrá interpretarse que el presente artículo impone responsabilidad penal en los casos en que la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición mencionadas en el apartado 1 del presente artículo, no tengan por objeto la comisión de un delito previsto de conformidad con los artículos 2 a 5 del presente Convenio, como es el caso de las pruebas autorizadas o de la protección de un sistema informático.

3. Cualquier Parte podrá reservarse el derecho de no aplicar lo dispuesto en el el apartado 1 del presente artículo, siempre que la reserva no afecte a la venta, distribución o cualquier otras puesta a disposición de los elementos indicados en el apartado 1.a.ii del presente artículo.

Título 2. Delitos informáticos

Artículo 7. Falsificación informática

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificarcomo delito penal en su derecho interno, cuando se cometa de forma deliberada e ilegítima, la introducción, alteración, borrado o supresión de datos informáticos que dé lugar a datos no auténticos, con la intención de que sean tenidos en cuenta o utilizados a efectos legales como si se tratara de datos auténticos, con independencia de que los datos sean directamente legibles e inteligibles. Cualquier parte podrá exigir que exista una intención fraudulenta o una intención delictiva similar para que se considere que existe responsabilidad penal.

Artículo 8. Fraude informático

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, los actos deliberados e ilegítimos que causen un perjuicio patrimonial a otra persona mediante:

a. cualquier introducción, alteración, borrado o supresión de datos informáticos;

b. cualquier interferencia en el funcionamiento de un sistema informático, con la intención, fraudulenta o delictiva, de obtener ilegítimamente un beneficio económico para uno mismo o para otra persona

Título 3. Delitos relacionados con el contenido

Artículo 9. Delitos relacionados con la pornografía infantil

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, la comisión deliberada e ilegítima de los siguientes actos:

a. la producción de pornografía infantil con vistas a su difusión por medio de un sistema informático; 

b. la oferta o la puesta a disposición de pornografía infantil por medio de un sistema informático;

c. la difusión o transmisión de pornografía infantil por medio de un sistema informático;

d. la adquisición de pornografía infantil por medio de un sistema informático para uno mismo o para otra persona;

e. la posesión de pornografía infantil en un sistema informático o en un medio de almacenamiento de datos informáticos.

2. A los efectos del anterior apartado 1, por «pornografía infantil» se entenderá todo material pornográfico que contenga la representación visual de:

a. un menor comportándose de una forma sexualmente explícita;

b. una persona que parezca un menor comportándose de una forma sexualmente explícita;

c. imágenes realistas que representen un menor comportándose de una forma sexualmente explícita.

3. A los efectos del anterior apartado 2, por «menor» se entenderá toda persona menor de 18 años. No obstante, cualquier Parte podrá establecer un límite de edad inferior, que será como mínimo de 16 años.

4. Cualquier Parte podrá reservarse el derecho a no aplicar, en todo o en parte, las letras d) y e) del apartado 1, y las letras b) y c) del apartado 2.

Título 4. Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines

Artículo 10. Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, las infracciones de la propiedad intelectual, según se definen en la legislación de dicha Parte, de conformidad con las obligaciones asumidas en aplicación del Acta de París del 24 de julio de 1971 por la que se revisó el Convenio de Berna para la protección de obras literarias y artísticas, del Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio y del Tratado de la OMPI sobre Propiedad Intelectual, a excepción de cualquier derecho moral otorgado por dichos convenios, cuando esos actos se cometan deliberadamente, a escala comercial y por medio de un sistema informático.

2. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, las infracciones de los derechos afines definidos por la legislación de dicha Parte, de conformidad con las obligaciones que ésta haya asumido por aplicación de la Convención Internacional sobre la Protección de los Artistas Intérpretes o Ejecutantes, los Productores de Fonogramas y los Organismos de Radiodifusión (Convención de Roma), del Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio y del Tratado de la OMPI sobre las obras de los intérpretes y ejecutantes y los fonogramas, a excepción de cualquier derecho moral conferido por dichos Convenios, cuando esos actos se cometan deliberadamente, a escala comercial y por medio de un sistema informático.

3. En circunstancias bien delimitadas, cualquier Parte podrá reservarse el derecho a no exigir responsabilidad penal en virtud de los apartados 1 y 2 del presente artículo, siempre que se disponga de otros recursos efectivos y que dicha reserva no vulnere las obligaciones internacionales que incumban a dicha Parte en aplicación de los instrumentos internacionales mencionados en los apartados 1 y 2 del presente artículo.

Título 5. Otras formas de responsabilidad y de sanciones

Artículo 11. Tentativa y complicidad

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, cualquier complicidad intencionada con vistas a la comisión de alguno de los delitos previsto de conformidad con los artículos 2 a 10 del presente Convenio, con la intención de que se cometa ese delito

2. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito penal en su derecho interno, cualquier tentativa de comisión de alguno de los delitos previstos de conformidad con los artículos 3 a 5, 7, 8, 9.1.a y c. del presente Convenio, cuando dicha tentativa sea intencionada.

3. Cualquier Estado podrá reservarse el derecho a no aplicar, en todo o en parte, el apartado 2 del presente artículo

Artículo 12. Responsabilidad de las personas jurídicas

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para que pueda exigirse responsabilidad a las personas jurídicas por los delitos previstos de conformidad con el presente Convenio, cuando sean cometidos por cuenta de las mismas, por cualquier persona física, tanto en calidad individual como en su condición de miembro de un órgano de dicha persona jurídica, que ejerza funciones directivas en la misma, en virtud de:

a. un poder de representación de la persona jurídica; 

b. una autorización para tomar decisiones en nombre de la persona jurídica;

c. una autorización para ejercer funciones de control en la persona jurídica.

2. Además de los casos ya previstos en el apartado 1 del presente artículo, cada Parte adoptará las medidas necesarias para asegurar que pueda exigirse responsabilidad a una persona jurídica cuando la falta de vigilancia o de control por parte de una persona física mencionada en el apartado 1 haya hecho posible la comisión de un delito previsto de conformidad con el presente convenio en beneficio de dicha persona jurídica por una persona física que actúe bajo su autoridad.

3. Con sujeción a los principios jurídicos de cada Parte, la responsabilidad de la persona jurídica podrá ser penal, civil o administrativa.

4. Dicha responsabilidad se entenderá sin perjuicio de la responsabilidad penal de las personas físicas que hayan cometido el delito.

Artículo 13. Sanciones y medidas

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para que los delitos previstos en los artículos 2 al 11 puedan dar lugar a la aplicación de sanciones efectivas, proporcionadas y disuasorias, incluidas penas privativas de libertad.

2. Cada Parte garantizará la imposición de sanciones o medidas penales o no penales efectivas, proporcionadas y disuasorias, incluidas las sanciones pecuniarias, a las personas jurídicas consideradas responsables de conformidad con el artículo 12.

Sección 2. Derecho procesal

Título 1. Disposiciones comunes

Artículo 14. Ámbito de aplicación de las disposiciones sobre procedimiento

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para establecer los poderes y procedimientos previstos en la presente sección para los fines de investigaciones o procedimientos penales específicos.

2. Salvo que se establezca específicamente otra cosa en el artículo 21, cada Parte aplicará los poderes y procedimientos mencionados en el apartado 1 del presente artículo a:

a. los delitos penales previstos de conformidad con los artículos 2 a 11 del presente Convenio;

b. otros delitos cometidos por medio de un sistema informático; y

c. la obtención de pruebas electrónicas de un delito.

3.

a. Cualquier Parte podrá reservarse el derecho a aplicar las medidas indicadas en el artículo 20 exclusivamente a los delitos o categorías de delitos especificados en la reserva, siempre que el ámbito de dichos delitos o categorías de delitos no sea más reducido que el de los delitos a los que esa Parte aplique las medidas indicadas en el artículo 21. Las Partes procurarán limitar dichas reservas para permitir la aplicación más amplia posible de la medida indicada en el artículo 20.

b. Cuando, como consecuencia de las limitaciones existentes en su legislación vigente en el momento de la adopción del presente Convenio, una Parte no pueda aplicar las medidas indicadas en los artículos 20 y 21 a las comunicaciones transmitidas en el sistema informático de un proveedor de servicios:

i. utilizado en beneficio de un grupo restringido de usuarios, y

ii. no utilice las redes públicas de comunicaciones ni esté conectado a otro sistema informático, ya sea público o privado, dicha Parte podrá reservarse el derecho a no aplicar dichas medidas a esas comunicaciones. Cada Parte procurará limitar este tipo de reservas de forma que se permita la aplicación más amplia posible de las medidas indicadas en los artículos 20 y 21.

Artículo 15. Condiciones y salvaguardas.

1. Cada Parte se asegurará de que el establecimiento, la ejecución y la aplicación de los poderes y procedimientos previstos en la presente sección están sujetas a las condiciones y salvaguardas previstas en su derecho interno, que deberá garantizar una protección adecuada de los derechos humanos y de las libertades, incluidos los derechos derivados de las obligaciones asumidas en virtud del Convenio del Consejo de Europa para la protección de los derechos humanos y las libertades fundamentales (1950), del Pacto Internacional de Derechos Civiles y Políticos de las Naciones Unidas (1966), y de otros instrumentos internacionales aplicables en materia de derechos humanos, y que deberá integrar el principio de proporcionalidad.

2. Cuando resulte procedente dada la naturaleza del procedimiento o del poder de que se trate, dichas condiciones incluirán, entre otros aspectos, la supervisión judicial u otra forma de supervisión independiente, los motivos que justifiquen la aplicación, y la limitación del ámbito de aplicación y de la duración del poder o del procedimiento de que se trate.

3. Siempre que sea conforme con el interés público y, en particular, con la correcta administración de la justicia, cada Parte examinará la repercusión de los poderes y procedimientos previstos en la presente sección en los derechos, responsabilidades e intereses legítimos de terceros.

Título 2. Conservación rápida de datos informáticos almacenados

Artículo 16. Conservación rápida de datos informáticos almacenados.

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para permitir a sus autoridades competentes ordenar o imponer de otra manera la conservación rápida de determinados datos electrónicos, incluidos los datos sobre el tráfico, almacenados por medio de un sistema informático, en particular cuando existan razones para creer que los datos informáticos resultan especialmente susceptibles de pérdida o de modificación.

2. Cuando una Parte aplique lo dispuesto en el anterior apartado 1 por medio de una orden impartida a una persona para conservar determinados datos almacenados que se encuentren en posesión o bajo el control de dicha persona, la Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para obligar a esa persona a conservar y a proteger la integridad de dichos datos durante el tiempo necesario, hasta un máximo de noventa días, de manera que las autoridades competentes puedan conseguir su revelación. Las Partes podrán prever que tales órdenes sean renovables.

3. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para obligar al encargado de la custodia de los datos o a otra persona encargada de su conservación a mantener en secreto la aplicación de dichos procedimientos durante el plazo previsto en su derecho interno.

4. Los poderes y procedimientos mencionados en el presente artículo estarán sujetos a lo dispuesto en los artículos 14 y 15.

Artículo 17. Conservación y revelación parcial rápidas de datos sobre el tráfico.

1. Para garantizar la conservación de los datos sobre el tráfico en aplicación de lo dispuesto en el artículo 16, cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias:

a) Para asegurar la posibilidad de conservar rápidamente dichos datos sobre el tráfico con independencia de que en la transmisión de esa comunicación participaran uno o varios proveedores de servicios, y

b) para garantizar la revelación rápida a la autoridad competente de la Parte, o a una persona designada por dicha autoridad, de un volumen suficiente de datos sobre el tráfico para que dicha Parte pueda identificar a los proveedores de servicio y la vía por la que se transmitió la comunicación.

2. Los poderes y procedimientos mencionados en el presente artículo estarán sujetos a lo dispuesto en los artículos 14 y 15.

Título 3. Orden de presentación

Artículo 18. Orden de presentación.

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para facultar a sus autoridades competentes a ordenar:

a) A una persona que se encuentre en su territorio que comunique determinados datos informáticos que posea o que se encuentren bajo su control, almacenados en un sistema informático o en un medio de almacenamiento de datos informáticos; y

b) a un proveedor de servicios que ofrezca prestaciones en el territorio de esa Parte que comunique los datos que posea o que se encuentren bajo su control relativos a los abonados en conexión con dichos servicios.

2. Los poderes y procedimientos mencionados en el presente artículo están sujetos a lo dispuesto en los artículos 14 y 14.

3. A los efectos del presente artículo, por «datos relativos a los abonados» se entenderá toda información, en forma de datos informáticos o de cualquier otra forma, que posea un proveedor de servicios y esté relacionada con los abonados a dichos servicios, excluidos los datos sobre el tráfico o sobre el contenido, y que permita determinar:

a) El tipo de servicio de comunicaciones utilizado, las disposiciones técnicas adoptadas al respecto y el periodo de servicio;

b) la identidad, la dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso o información sobre facturación y pago que se encuentre disponible sobre la base de un contrato o de un acuerdo de prestación de servicios;

c) cualquier otra información relativa al lugar en que se encuentren los equipos de comunicaciones, disponible sobre la base de un contrato o de un acuerdo de servicios.

Título 4. Registro y confiscación de datos informáticos almacenados

Artículo 19. Registro y confiscación de datos informáticos almacenados.

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para facultar a sus autoridades competentes a registrar o a tener acceso de una forma similar:

a) A un sistema informático o a una parte del mismo, así como a los datos informáticos almacenados en el mismo; y

b) a un medio de almacenamiento de datos informáticos en el que puedan almacenarse datos informáticos, en su territorio.

2. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para asegurar que, cuando sus autoridades procedan al registro o tengan acceso de una forma similar a un sistema informático específico o a una parte del mismo, de conformidad con lo dispuesto en el apartado 1.a, y tengan razones para creer que los datos buscados están almacenados en otro sistema informático o en una parte del mismo situado en su territorio, y dichos datos sean lícitamente accesibles a través del sistema inicial o estén disponibles para éste, dichas autoridades puedan ampliar rápidamente el registro o la forma de acceso similar al otro sistema.

3. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para facultar a sus autoridades competentes a confiscar o a obtener de una forma similar los datos informáticos a los que se haya tenido acceso en aplicación de lo dispuesto en los apartados 1 ó 2. Estas medidas incluirán las siguientes facultades:

a) Confiscar u obtener de una forma similar un sistema informático o una parte del mismo, o un medio de almacenamiento de datos informáticos;

b) realizar y conservar una copia de dichos datos informáticos;

c) preservar la integridad de los datos informáticos almacenados de que se trate;

d) hacer inaccesibles o suprimir dichos datos informáticos del sistema informático al que se ha tenido acceso.

4. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para facultar a sus autoridades competentes a ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite toda la información necesaria, dentro de lo razonable, para permitir la aplicación de las medidas indicadas en los apartados 1 y 2.

5. Los poderes y procedimientos mencionados en el presente artículo estarán sujetos a lo dispuesto en los artículos 14 y 15.

Título 5. Obtención en tiempo real de datos informáticos

Artículo 20. Obtención en tiempo real de datos sobre el tráfico.

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para facultar a sus autoridades competentes a:

a) Obtener o grabar mediante la aplicación de medios técnicos existentes en su territorio, y

b) obligar a un proveedor de servicios, dentro de los límites de su capacidad técnica:

i) a obtener o grabar mediante la aplicación de medios técnicos existentes en su territorio, o

ii) a prestar a las autoridades competentes su colaboración y su asistencia para obtener o grabar

en tiempo real los datos sobre el tráfico asociados a comunicaciones específicas transmitidas en su territorio por medio de un sistema informático.

2. Cuando una Parte, en virtud de los principios consagrados en su ordenamiento jurídico interno, no pueda adoptar las medidas indicadas en el apartado 1.a), podrá adoptar en su lugar las medidas legislativas y de otro tipo que resulten necesarias para asegurar la obtención o la grabación en tiempo real de los datos sobre el tráfico asociados a determinadas comunicaciones transmitidas en su territorio mediante la aplicación de los medios técnicos existentes en el mismo.

3. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para obligar a un proveedor de servicios a mantener en secreto el hecho de que se ha ejercido cualquiera de los poderes previstos en el presente artículo, así como toda información al respecto.

4. Los poderes y procedimientos mencionados en el presente artículo estarán sujetos a lo dispuesto en los artículos 14 y 15.

Artículo 21. Interceptación de datos sobre el contenido.

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para facultar a las autoridades competentes, por lo que respecta a una serie de delitos graves que deberán definirse en su derecho interno:

a) A obtener o a grabar mediante la aplicación de medios técnicos existentes en su territorio, y

b) a obligar a un proveedor de servicios, dentro de los límites de su capacidad técnica:

i) A obtener o a grabar mediante la aplicación de los medios técnicos existentes en su territorio, o

ii) a prestar a las autoridades competentes su colaboración y su asistencia para obtener o grabar

en tiempo real los datos sobre el contenido de determinadas comunicaciones en su territorio, transmitidas por medio de un sistema informático.

2. Cuando una Parte, en virtud de los principios consagrados en su ordenamiento jurídico interno, no pueda adoptar las medidas indicadas en el apartado 1.a), podrá adoptar en su lugar las medidas legislativas y de otro tipo que resulten necesarias para asegurar la obtención o la grabación en tiempo real de los datos sobre el contenido de determinadas comunicaciones transmitidas en su territorio mediante la aplicación de los medios técnicos existentes en el mismo.

3. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para obligar a un proveedor de servicios a mantener en secreto el hecho de que se ha ejercido cualquiera de los poderes previstos en el presente artículo, así como toda información al respecto.

4. Los poderes y procedimientos mencionados en el presente artículo estarán sujetos a lo dispuesto en los artículos 14 y 15.

Sección 3. Jurisdicción

Artículo 22. Jurisdicción.

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para afirmar su jurisdicción respecto de cualquier delito previsto con arreglo a los artículos 2 a 11 del presente Convenio, siempre que se haya cometido:

a) En su territorio; o

b) a bordo de un buque que enarbole pabellón de dicha Parte; o

c) a bordo de una aeronave matriculada según las leyes de dicha Parte; o

d) por uno de sus nacionales, si el delito es susceptible de sanción penal en el lugar en el que se cometió o si ningún Estado tiene competencia territorial respecto del mismo.

2. Cualquier Estado podrá reservarse el derecho a no aplicar o a aplicar únicamente en determinados casos o condiciones las normas sobre jurisdicción establecidas en los apartados 1.b) a 1.d) del presente artículo o en cualquier otra parte de los mismos.

3. Cada Parte adoptará las medidas que resulten necesarias para afirmar su jurisdicción respecto de los delitos mencionados en el apartado 1 del artículo 24 del presente Convenio, cuando el presunto autor del delito se encuentre en su territorio y no pueda ser extraditado a otra Parte por razón de su nacionalidad, previa solicitud de extradición.

4. El presente Convenio no excluye ninguna jurisdicción penal ejercida por una Parte de conformidad con su derecho interno.

5. Cuando varias Partes reivindiquen su jurisdicción respecto de un presunto delito contemplado en el presente Convenio, las Partes interesadas celebrarán consultas, siempre que sea oportuno, con miras a determinar cuál es la jurisdicción más adecuada para las actuaciones penales.

CAPÍTULO III.- Cooperación internacional

Sección 1. Principios generales

Título 1. Principios generales relativos a la cooperación internacional

Artículo 23. Principios generales relativos a la cooperación internacional.

Las Partes cooperarán entre sí en la mayor medida posible, de conformidad con las disposiciones del presente capítulo, en aplicación de los instrumentos internacionales aplicables a la cooperación internacional en materia penal, de acuerdos basados en legislación uniforme o recíproca y de su derecho interno, para los fines de las investigaciones o los procedimientos relativos a los delitos relacionados con sistemas y datos informáticos o para la obtención de pruebas electrónicas de los delitos.

Título 2. Principios relativos a la extradición

Artículo 24. Extradición.

1. a) El presente artículo se aplicará a la extradición entre las Partes por los delitos establecidos en los artículos 2 a 11 del presente Convenio, siempre que estén castigados en la legislación de las dos Partes implicadas con una pena privativa de libertad de una duración máxima de como mínimo un año, o con una pena más grave.

b) Cuando deba aplicarse una pena mínima diferente en virtud de un acuerdo basado en legislación uniforme o recíproca o de un tratado de extradición aplicable entre dos o más Partes, incluido el Convenio Europeo de Extradición (STE n.º 24), se aplicará la pena mínima establecida en virtud de dicho acuerdo o tratado.

2. Se considerará que los delitos mencionados en el apartado 1 del presente artículo están incluidos entre los delitos que dan lugar a extradición en cualquier tratado de extradición vigente entre las Partes. Las Partes se comprometen a incluir dichos delitos entre los que pueden dar lugar a extradición en cualquier tratado de extradición que puedan celebrar entre sí.

3. Cuando una Parte que condicione la extradición a la existencia de un tratado reciba una solicitud de extradición de otra Parte con la que no haya celebrado ningún tratado de extradición, podrá aplicar el presente Convenio como fundamento jurídico de la extradición respecto de cualquier delito mencionado en el apartado 1 del presente artículo.

4. Las Partes que no condicionen la extradición a la existencia de un tratado reconocerán los delitos mencionados en el apartado 1 del presente artículo como delitos que pueden dar lugar a extradición entre ellas.

5. La extradición estará sujeta a las condiciones establecidas en el derecho interno de la Parte requerida o en los tratados de extradición aplicables, incluidos los motivos por los que la Parte requerida puede denegar la extradición.

6. Cuando se deniegue la extradición por un delito mencionado en el apartado 1 del presente artículo únicamente por razón de la nacionalidad de la persona buscada o porque la Parte requerida se considera competente respecto de dicho delito, la Parte requerida deberá someter el asunto, a petición de la Parte requirente, a sus autoridades competentes para los fines de las actuaciones penales pertinentes, e informará a su debido tiempo del resultado final a la Parte requirente. Dichas autoridades tomarán su decisión y efectuarán sus investigaciones y procedimientos de la misma manera que para cualquier otro delito de naturaleza comparable, de conformidad con la legislación de dicha Parte.

7. a) Cada Parte comunicará al Secretario General del Consejo de Europa, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, el nombre y la dirección de cada autoridad responsable del envío o de la recepción de solicitudes de extradición o de detención provisional en ausencia de un tratado.

b) El Secretario General del Consejo de Europa creará y mantendrá actualizado un registro de las autoridades designadas por las Partes. Cada Parte garantizará en todo momento la exactitud de los datos que figuren en el registro.

Título 3. Principios generales relativos a la asistencia mutua

Artículo 25. Principios generales relativos a la asistencia mutua.

1. Las Partes se concederán asistencia mutua en la mayor medida posible para los fines de las investigaciones o procedimientos relativos a delitos relacionados con sistemas y datos informáticos o para la obtención de pruebas en formato electrónico de un delito.

2. Cada Parte adoptará también las medidas legislativas y de otro tipo que resulten necesarias para cumplir las obligaciones establecidas en los artículos 27 a 35.

3. En casos de urgencia, cada Parte podrá transmitir solicitudes de asistencia o comunicaciones relacionadas con las mismas por medios rápidos de comunicación, incluidos el fax y el correo electrónico, en la medida en que dichos medios ofrezcan niveles adecuados de seguridad y autenticación (incluido el cifrado, en caso necesario), con confirmación oficial posterior si la Parte requerida lo exige. La Parte requerida aceptará la solicitud y dará respuesta a la misma por cualquiera de estos medios rápidos de comunicación.

4. Salvo que se establezca específicamente otra cosa en los artículos del presente capítulo, la asistencia mutua estará sujeta a las condiciones previstas en el derecho interno de la Parte requerida o en los tratados de asistencia mutua aplicables, incluidos los motivos por los que la Parte requerida puede denegar la cooperación. La Parte requerida no ejercerá el derecho a denegar la asistencia mutua en relación con los delitos mencionados en los artículos 2 a 11 únicamente porque la solicitud se refiere a un delito que considera de naturaleza fiscal.

5. Cuando, de conformidad con las disposiciones del presente capítulo, se permita a la Parte requerida condicionar la asistencia mutua a la existencia de una doble tipificación penal, dicha condición se considerará cumplida cuando la conducta constitutiva del delito respecto del cual se solicita la asistencia constituya un delito en virtud de su derecho interno, con independencia de que dicho derecho incluya o no el delito dentro de la misma categoría de delitos o lo denomine o no con la misma terminología que la Parte requirente,.

Artículo 26. Información espontánea.

1. Dentro de los límites de su derecho interno, y sin petición previa, una Parte podrá comunicar a otra Parte información obtenida en el marco de sus propias investigaciones cuando considere que la revelación de dicha información podría ayudar a la Parte receptora a iniciar o llevar a cabo investigaciones o procedimientos en relación con delitos previstos en el presente Convenio o podría dar lugar a una petición de cooperación de dicha Parte en virtud del presente capítulo.

2. Antes de comunicar dicha información, la Parte que la comunique podrá solicitar que se preserve su confidencialidad o que se utilice con sujeción a determinadas condiciones. Si la Parte receptora no puede atender esa solicitud, informará de ello a la otra Parte, que deberá entonces determinar si a pesar de ello debe facilitarse la información o no. Si la Parte destinataria acepta la información en las condiciones establecidas, quedará vinculada por las mismas.

Titulo 4. Procedimientos relativos a las solicitudes de asistencia mutua en ausencia de acuerdos internacionales aplicables

Artículo 27. Procedimientos relativos a las solicitudes de asistencia mutua en ausencia de acuerdos internacionales aplicables.

1. Cuando entre las Partes requirente y requerida no se encuentre vigente un tratado de asistencia mutua o un acuerdo basado en legislación uniforme o recíproca, serán de aplicación las disposiciones de los apartados 2 a 10 del presente artículo. Las disposiciones del presente artículo no serán de aplicación cuando exista un tratado, acuerdo o legislación de este tipo, salvo que las Partes interesadas convengan en aplicar en su lugar la totalidad o una parte del resto del presente artículo.

2. a) Cada Parte designará una o varias autoridades centrales encargadas de enviar solicitudes de asistencia mutua y de dar respuesta a las mismas, de su ejecución y de su remisión a las autoridades competentes para su ejecución.

b) Las autoridades centrales se comunicarán directamente entre sí.

c) En el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, cada Parte comunicará al Secretario General del Consejo de Europa los nombres y direcciones de las autoridades designadas en cumplimiento del presente apartado.

d) El Secretario General del Consejo de Europa creará y mantendrá actualizado un registro de las autoridades centrales designadas por las Partes. Cada Parte garantizará en todo momento la exactitud de los datos que figuren en el registro.

3. Las solicitudes de asistencia mutua en virtud del presente artículo se ejecutarán de conformidad con los procedimientos especificados por la Parte requirente, salvo que sean incompatibles con la legislación de la Parte requerida.

4. Además de las condiciones o de los motivos de denegación contemplados en el apartado 4 del artículo 25, la Parte requerida podrá denegar la asistencia si:

a) La solicitud se refiere a un delito que la Parte requerida considera delito político o delito vinculado a un delito político;

b) la Parte requerida considera que la ejecución de la solicitud podría atentar contra su soberanía, seguridad, orden público u otros intereses esenciales.

5. La Parte requerida podrá posponer su actuación en respuesta a una solicitud cuando dicha actuación pudiera causar perjuicios a investigaciones o procedimientos llevados a cabo por sus autoridades.

6. Antes de denegar o posponer la asistencia, la Parte requerida estudiará, previa consulta cuando proceda con la Parte requirente, si puede atenderse la solicitud parcialmente o con sujeción a las condiciones que considere necesarias.

7. La Parte requerida informará sin demora a la Parte requirente del resultado de la ejecución de una solicitud de asistencia. Deberá motivarse cualquier denegación o aplazamiento de la asistencia solicitada. La Parte requerida informará también a la Parte requirente de cualquier motivo que haga imposible la ejecución de la solicitud o que pueda retrasarla de forma significativa.

8. La Parte requirente podrá solicitar a la Parte requerida que preserve la confidencialidad de la presentación de una solicitud en virtud del presente capítulo y del objeto de la misma, salvo en la medida necesaria para su ejecución. Si la Parte requerida no puede cumplir esta petición de confidencialidad, lo comunicará inmediatamente a la Parte requirente, que determinará entonces si pese a ello debe procederse a la ejecución de la solicitud.

9. a) En casos de urgencia, las solicitudes de asistencia mutua o las comunicaciones al respecto podrán ser enviadas directamente por las autoridades judiciales de la Parte requirente a las autoridades correspondientes de la Parte requerida. En tal caso, se enviará al mismo tiempo copia a la autoridad central de la Parte requerida a través de la autoridad central de la Parte requirente.

b) Cualquier solicitud o comunicación en virtud de este apartado podrá efectuarse a través de la Organización Internacional de Policía Criminal (INTERPOL).

c) Cuando se presente una solicitud en aplicación de la letra a) del presente artículo y la autoridad no sea competente para tramitarla, remitirá la solicitud a la autoridad nacional competente e informará directamente a la Parte requirente de dicha remisión.

d) Las solicitudes y comunicaciones efectuadas en virtud del presente apartado que no impliquen medidas coercitivas podrán ser remitidas directamente por las autoridades competentes de la Parte requirente a las autoridades competentes de la Parte requerida.

e) En el momento de la firma o el depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, cada Parte podrá informar al Secretario General del Consejo de Europa de que, por razones de eficacia, las solicitudes formuladas en virtud del presente apartado deberán dirigirse a su autoridad central.

Artículo 28. Confidencialidad y restricción de la utilización.

1. En ausencia de un tratado de asistencia mutua o de un acuerdo basado en legislación uniforme o recíproca que esté vigente entre las Partes requirente y requerida, serán de aplicación las disposiciones del presente artículo. Las disposiciones del presente artículo no serán de aplicación cuando exista un tratado, acuerdo o legislación de este tipo, salvo que las Partes interesadas convengan en aplicar en su lugar la totalidad o una parte del resto del presente artículo.

2. La Parte requerida podrá supeditar la entrega de información o material en respuesta a una solicitud a la condición de que:

a) Se preserve su confidencialidad cuando la solicitud de asistencia judicial mutua no pueda ser atendida en ausencia de esta condición, o

b) no se utilicen para investigaciones o procedimientos distintos de los indicados en la solicitud.

3. Si la Parte requirente no puede cumplir alguna condición de las mencionadas en el apartado 2, informará de ello sin demora a la otra Parte, que determinará en tal caso si pese a ello debe facilitarse la información. Cuando la Parte requirente acepte la condición, quedará vinculada por ella.

4. Cualquier Parte que facilite información o material con sujeción a una condición con arreglo a lo dispuesto en el apartado 2 podrá requerir a la otra Parte que explique, en relación con dicha condición, el uso dado a dicha información o material.

Sección 2. Disposiciones especiales

Título 1. Asistencia mutua en materia de medidas provisionales

Artículo 29. Conservación rápida de datos informáticos almacenados.

1. Una Parte podrá solicitar a otra Parte que ordene o asegure de otra forma la conservación rápida de datos almacenados por medio de un sistema informático que se encuentre en el territorio de esa otra Parte, respecto de los cuales la Parte requirente tenga la intención de presentar una solicitud de asistencia mutua con vistas al registro o al acceso de forma similar, la confiscación o la obtención de forma similar, o la revelación de los datos.

2. En las solicitudes de conservación que se formulen en virtud del apartado 1 se indicará:

a) La autoridad que solicita dicha conservación;

b) el delito objeto de investigación o de procedimiento penal y un breve resumen de los hechos relacionados con el mismo;

c) los datos informáticos almacenados que deben conservarse y su relación con el delito;

d) cualquier información disponible que permita identificar a la persona encargada de la custodia de los datos informáticos almacenados o la ubicación del sistema informático;

e) la necesidad de la conservación; y

f) que la Parte tiene la intención de presentar una solicitud de asistencia mutua para el registro o el acceso de forma similar, la confiscación o la obtención de forma similar o la revelación de los datos informáticos almacenados.

3. Tras recibir la solicitud de otra Parte, la Parte requerida tomará las medidas adecuadas para conservar rápidamente los datos especificados de conformidad con su derecho interno. A los efectos de responder a una solicitud, no se requerirá la doble tipificación penal como condición para proceder a la conservación.

4. Cuando una Parte exija la doble tipificación penal como condición para atender una solicitud de asistencia mutua para el registro o el acceso de forma similar, la confiscación o la obtención de forma similar o la revelación de datos almacenados, dicha Parte podrá reservarse, en relación con delitos distintos de los previstos con arreglo a los artículos 2 a 11 del presente Convenio, el derecho a denegar la solicitud de conservación en virtud del presente artículo en los casos en que tenga motivos para creer que la condición de la doble tipificación penal no podrá cumplirse en el momento de la revelación.

5. Asimismo, las solicitudes de conservación únicamente podrán denegarse si:

a) La solicitud hace referencia a un delito que la Parte requerida considera delito político o delito relacionado con un delito político;

b) la Parte requerida considera que la ejecución de la solicitud podría atentar contra su soberanía, seguridad, orden público u otros intereses esenciales.

6. Cuando la Parte requerida considere que la conservación por sí sola no bastará para garantizar la futura disponibilidad de los datos o pondrá en peligro la confidencialidad de la investigación de la Parte requirente o causará cualquier otro perjuicio a la misma, informará de ello sin demora a la Parte requirente, la cual decidirá entonces si debe pese a ello procederse a la ejecución de la solicitud.

7. Las medidas de conservación adoptadas en respuesta a la solicitud mencionada en el apartado 1 tendrán una duración mínima de sesenta días, con objeto de permitir a la Parte requirente presentar una solicitud de registro o de acceso de forma similar, confiscación u obtención de forma similar, o de revelación de los datos. Cuando se reciba dicha solicitud, seguirán conservándose los datos hasta que se adopte una decisión sobre la misma.

Artículo 30. Revelación rápida de datos conservados sobre el tráfico.

1. Cuando, con motivo de la ejecución de una solicitud presentada de conformidad con el artículo 29 para la conservación de datos sobre el tráfico en relación con una comunicación específica, la Parte requerida descubra que un proveedor de servicios de otro Estado participó en la transmisión de la comunicación, la Parte requerida revelará rápidamente a la Parte requirente un volumen suficiente de datos sobre el tráfico para identificar al proveedor de servicios y la vía por la que se transmitió la comunicación.

2. La revelación de datos sobre el tráfico en virtud del apartado 1 únicamente podrá denegarse si:

a) La solicitud hace referencia a un delito que la Parte requerida considera delito político o delito relacionado con un delito político;

b) la Parte requerida considera que la ejecución de la solicitud podría atentar contra su soberanía, seguridad, orden público u otros intereses esenciales.

Título 2. Asistencia mutua en relación con los poderes de investigación

Artículo 31. Asistencia mutua en relación con el acceso a datos informáticos almacenados.

1. Una Parte podrá solicitar a otra Parte que registre o acceda de forma similar, confisque u obtenga de forma similar y revele datos almacenados por medio de un sistema informático situado en el territorio de la Parte requerida, incluidos los datos conservados en aplicación del artículo 29.

2. La Parte requerida dará respuesta a la solicitud aplicando los instrumentos internacionales, acuerdos y legislación mencionados en el artículo 23, así como de conformidad con otras disposiciones aplicables en el presente capítulo.

3. Se dará respuesta lo antes posible a la solicitud cuando:

a) Existan motivos para creer que los datos pertinentes están especialmente expuestos al riesgo de pérdida o modificación; o

b. los instrumentos, acuerdos o legislación mencionados en el apartado 2 prevean la cooperación rápida.

Artículo 32. Acceso transfronterizo a datos almacenados, con consentimiento o cuando estén a disposición del público.

Una Parte podrá, sin la autorización de otra Parte:

a) Tener acceso a datos informáticos almacenados que se encuentren a disposición del público (fuente abierta), con independencia de la ubicación geográfica de dichos datos; o

b) tener acceso o recibir, a través de un sistema informático situado en su territorio, datos informáticos almacenados situados en otra Parte, si la Parte obtiene el consentimiento lícito y voluntario de la persona legalmente autorizada para revelar los datos a la Parte por medio de ese sistema informático.

Artículo 33. Asistencia mutua para la obtención en tiempo real de datos sobre el tráfico.

1. Las Partes se prestarán asistencia mutua para la obtención en tiempo real de datos sobre el tráfico asociados a comunicaciones específicas en su territorio transmitidas por medio de un sistema informático. Con sujeción a lo dispuesto en el apartado 2, dicha asistencia se regirá por las condiciones y procedimientos establecidos en el derecho interno.

2. Cada Parte prestará dicha asistencia como mínimo respecto de los delitos por los que se podría conseguir la obtención en tiempo real de datos sobre el tráfico en un caso similar en su país.

Artículo 34. Asistencia mutua relativa a la interceptación de datos sobre el contenido.

Las Partes se prestarán asistencia mutua para la obtención o grabación en tiempo real de datos sobre el contenido de comunicaciones específicas transmitidas por medio de un sistema informático en la medida en que lo permitan sus tratados y el derecho interno aplicables.

Título 3. Red 24/7

Artículo 35. Red 24/7.

1. Cada Parte designará un punto de contacto disponible las veinticuatro horas del día, siete días a la semana, con objeto de garantizar la prestación de ayuda inmediata para los fines de las investigaciones o procedimientos relacionados con delitos vinculados a sistemas y datos informáticos, o para la obtención de pruebas electrónicas de un delito. Dicha asistencia incluirá los actos tendentes a facilitar las siguientes medidas o su adopción directa, cuando lo permitan la legislación y la práctica internas:

a) El asesoramiento técnico;

b) la conservación de datos en aplicación de los artículos 29 y 30;

c) la obtención de pruebas, el suministro de información jurídica y la localización de sospechosos.

2. a) El punto de contacto de una Parte estará capacitado para mantener comunicaciones con el punto de contacto de otra Parte con carácter urgente.

b) Si el punto de contacto designado por una Parte no depende de la autoridad o de las autoridades de dicha Parte responsables de la asistencia mutua internacional o de la extradición, el punto de contacto velará por garantizar la coordinación con dicha autoridad o autoridades con carácter urgente.

3. Cada Parte garantizará la disponibilidad de personal debidamente formado y equipado con objeto de facilitar el funcionamiento de la red.

CAPÍTULO IV.- Disposiciones finales

Artículo 36. Firma y entrada en vigor.

1. El presente Convenio estará abierto a la firma de los Estados miembros del Consejo de Europa y de los Estados no miembros que hayan participado en su elaboración.

2. El presente Convenio estará sujeto a ratificación, aceptación o aprobación. Los instrumentos de ratificación, aceptación o aprobación se depositarán en poder del Secretario General del Consejo de Europa.

3. El presente Convenio entrará en vigor el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que cinco Estados, de los cuales tres como mínimo sean Estados miembros del Consejo de Europa, hayan expresado su consentimiento para quedar vinculados por el Convenio de conformidad con lo dispuesto en los apartados 1 y 2.

4. Respecto de cualquier Estado signatario que exprese más adelante su consentimiento para quedar vinculado por el Convenio, éste entrará en vigor el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que haya expresado su consentimiento para quedar vinculado por el Convenio de conformidad con lo dispuesto en los apartados 1 y 2.

Artículo 37. Adhesión al Convenio.

1. Tras la entrada en vigor del presente Convenio, el Comité de Ministros del Consejo de Europa, previa consulta con los Estados Contratantes del Convenio y una vez obtenido su consentimiento unánime, podrá invitar a adherirse al presente Convenio a cualquier Estado que no sea miembro del Consejo y que no haya participado en su elaboración. La decisión se adoptará por la mayoría establecida en el artículo 20.d) del Estatuto del Consejo de Europa y con el voto unánime de los representantes con derecho a formar parte del Comité de Ministros.

2. Para todo Estado que se adhiera al Convenio de conformidad con lo dispuesto en el anterior apartado 1, el Convenio entrará en vigor el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha del depósito del instrumento de adhesión en poder del Secretario General del Consejo de Europa.

Artículo 38. Aplicación territorial.

1. En el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, cada Estado podrá especificar el territorio o territorios a los que se aplicará el presente Convenio.

2. En cualquier momento posterior, mediante declaración dirigida al Secretario General del Consejo de Europa, cualquier Parte podrá hacer extensiva la aplicación del presente Convenio a cualquier otro territorio especificado en la declaración. Respecto de dicho territorio, el Convenio entrará en vigor el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que el Secretario General haya recibido la declaración.

3. Toda declaración formulada en virtud de los dos apartados anteriores podrá retirarse, respecto de cualquier territorio especificado en la misma, mediante notificación dirigida al Secretario General del Consejo de Europa. La retirada surtirá efecto el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que el Secretario General haya recibido dicha notificación.

Artículo 39. Efectos del Convenio.

1. La finalidad del presente Convenio es completar los tratados o acuerdos multilaterales o bilaterales aplicables entre las Partes, incluidas las disposiciones de:

– El Convenio europeo de extradición, abierto a la firma en París el 13 de diciembre de 1957 (STE n.º 24);

– el Convenio europeo de asistencia judicial en materia penal, abierto a la firma en Estrasburgo el 20 de abril de 1959 (STE n.º 30);

– el Protocolo adicional al Convenio europeo de asistencia judicial en materia penal, abierto a la firma en Estrasburgo el 17 de marzo de 1978 (STE n.º 99).

2. Si dos o más Partes han celebrado ya un acuerdo o tratado sobre las materias reguladas en el presente Convenio o han regulado de otra forma sus relaciones al respecto, o si lo hacen en el futuro, tendrán derecho a aplicar, en lugar del presente Convenio, dicho acuerdo o tratado o a regular dichas relaciones en consonancia. No obstante, cuando las Partes regulen sus relaciones respecto de las materias contempladas en el presente Convenio de forma distinta a la establecida en el mismo, deberán hacerlo de una forma que no sea incompatible con los objetivos y principios del Convenio.

3. Nada de lo dispuesto en el presente Convenio afectará a otros derechos, restricciones, obligaciones y responsabilidades de las Partes.

Artículo 40. Declaraciones.

Mediante notificación por escrito dirigida al Secretario General del Consejo de Europa, cualquier Estado podrá declarar, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, que se acoge a la facultad de exigir elementos complementarios según lo dispuesto en los artículos 2, 3, 6.1.b), 7, 9.3 y 27.9.e).

Artículo 41. Cláusula federal.

1. Los Estados federales podrán reservarse el derecho a asumir las obligaciones derivadas del capítulo II del presente Convenio de forma compatible con los principios fundamentales por los que se rija la relación entre su gobierno central y los estados que lo formen u otras entidades territoriales análogas, siempre que siga estando en condiciones de cooperar de conformidad con el capítulo III.

2. Cuando formule una reserva en aplicación del apartado 1, un Estado federal no podrá aplicar los términos de dicha reserva para excluir o reducir sustancialmente sus obligaciones en relación con las medidas contempladas en el capítulo II. En todo caso, deberá dotarse de una capacidad amplia y efectiva que permita la aplicación de las medidas previstas en dicho capítulo.

3. Por lo que respecta a las disposiciones del presente Convenio cuya aplicación sea competencia de los estados federados o de otras entidades territoriales análogas que no estén obligados por el sistema constitucional de la federación a la adopción de medidas legislativas, el gobierno federal informará de esas disposiciones a las autoridades competentes de dichos estados, junto con su opinión favorable, alentándoles a adoptar las medidas adecuadas para su aplicación.

Artículo 42. Reservas.

Mediante notificación por escrito dirigida al Secretario General del Consejo de Europa, cualquier Estado podrá declarar, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, que se acoge a una o varias de las reservas previstas en el apartado 2 del artículo 4, apartado 3 del artículo 6, apartado 4 del artículo 9, apartado 3 del artículo 10, apartado 3 del artículo 11, apartado 3 del artículo 14, apartado 2 del artículo 22, apartado 4 del artículo 29 y apartado 1 del artículo 41. No podrán formularse otras reservas.

Artículo 43. Situación de las reservas y retirada de las mismas.

1. La Parte que haya formulado una reserva de conformidad con el artículo 42 podrá retirarla en todo o en parte mediante notificación dirigida al Secretario General del Consejo de Europa. Dicha retirada surtirá efecto en la fecha en que el Secretario General reciba la notificación. Si en la notificación se indica que la retirada de una reserva surtirá efecto en una fecha especificada en la misma y ésta es posterior a la fecha en que el Secretario General reciba la notificación, la retirada surtirá efecto en dicha fecha posterior.

2. La Parte que haya formulado una reserva según lo dispuesto en el artículo 42 retirará dicha reserva, en todo o en parte, tan pronto como lo permitan las circunstancias.

3. El Secretario General del Consejo de Europa podrá preguntar periódicamente a las Partes que hayan formulado una o varias reservas según lo dispuesto en el artículo 42 acerca de las perspectivas de que se retire dicha reserva.

Artículo 44. Enmiendas.

1. Cualquier Estado Parte podrá proponer enmiendas al presente Convenio, que serán comunicadas por el Secretario General del Consejo de Europa a los Estados miembros del Consejo de Europa, a los Estados no miembros que hayan participado en la elaboración del presente Convenio así como a cualquier Estado que se haya adherido al presente Convenio o que haya sido invitado a adherirse al mismo de conformidad con lo dispuesto en el artículo 37.

2. Las enmiendas propuestas por una Parte serán comunicadas al Comité Europeo de Problemas Penales (CDPC), que presentará al Comité de Ministros su opinión sobre la enmienda propuesta.

3. El Comité de Ministros examinará la enmienda propuesta y la opinión presentada por el CDPC y, previa consulta con los Estados Partes no miembros en el presente Convenio, podrá adoptar la enmienda.

4. El texto de cualquier enmienda adoptada por el Comité de Ministros de conformidad con el apartado 3 del presente artículo será remitido a las Partes para su aceptación.

5. Cualquier enmienda adoptada de conformidad con el apartado 3 del presente artículo entrará en vigor treinta días después de que las Partes hayan comunicado su aceptación de la misma al Secretario General.

Artículo 45. Solución de controversias.

1. Se mantendrá informado al Comité Europeo de Problemas Penales del Consejo de Europa (CDPC) acerca de la interpretación y aplicación del presente Convenio.

2. En caso de controversia entre las Partes sobre la interpretación o aplicación del presente Convenio, éstas intentarán resolver la controversia mediante negociaciones o por cualquier otro medio pacífico de su elección, incluida la sumisión de la controversia al CDPC, a un tribunal arbitral cuyas decisiones serán vinculantes para las Partes o a la Corte Internacional de Justicia, según acuerden las Partes interesadas.

Artículo 46. Consultas entre las Partes.

1. Las Partes se consultarán periódicamente, según sea necesario, con objeto de facilitar:

a) La utilización y la aplicación efectivas del presente Convenio, incluida la detección de cualquier problema derivado del mismo, así como los efectos de cualquier declaración o reserva formulada de conformidad con el presente Convenio;

b) el intercambio de información sobre novedades significativas de carácter jurídico, político o tecnológico relacionadas con la ciberdelincuencia y con la obtención de pruebas en formato electrónico;

c) el estudio de la conveniencia de ampliar o enmendar el presente Convenio.

2. Se mantendrá periódicamente informado al Comité Europeo de Problemas Penales (CDPC) acerca del resultado de las consultas mencionadas en el apartado 1.

3. Cuando proceda, el CDPC facilitará las consultas mencionadas en el apartado 1 y tomará las medidas necesarias para ayudar a las Partes en sus esfuerzos por ampliar o enmendar el Convenio. Como máximo tres años después de la entrada en vigor del presente Convenio, el Comité Europeo de Problemas Penales (CDPC) llevará a cabo, en cooperación con las Partes, una revisión de todas las disposiciones del Convenio y, en caso necesario, recomendará las enmiendas procedentes.

4. Salvo en los casos en que sean asumidos por el Consejo de Europa, los gastos realizados para aplicar lo dispuesto en el apartado 1 serán sufragados por las Partes en la forma que éstas determinen.

5. Las Partes contarán con la asistencia de la Secretaría del Consejo de Europa para desempeñar sus funciones en aplicación del presente artículo.

Artículo 47. Denuncia.

1. Cualquier Parte podrá denunciar en cualquier momento el presente Convenio mediante notificación dirigida al Secretario General del Consejo de Europa.

2. Dicha denuncia surtirá efecto el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que el Secretario General haya recibido la notificación.