Dahir n° 1-13-57 du 8 chaabane 1434 (17 juin 2013) portant promulgation de la loi nº 93-12 modifiant la loi nº 24-96 relative à la poste et aux télécommunications

LOUANGE A DIEU SEUL!

(Grand Sceau de Sa Majesté Mohammed VI)

Que l'on sache par les présentes – puisse Dieu en élever et en fortifier la teneur 1

Que Notre Majesté Chérifienne,

Vu la Constitution, notamment ses articles 42 et 50,

A DÉCIDÉ CE QUI SUIT:

Est promulguée et sera publiée au Bulletin officiel, à la suite du présent dahir, la loi nº 93-12 modifiant la loi nº 24-96 relative à la poste et aux télécommunications, telle qu'adoptée par la Chambre des représentants et la Chambre des conseillers.

Fait à Rabat, le 8 chaabane 1434 (17 juin 2013).

Pour contreseing :

Le Chef du gouvernement, ABDEL-ILAH BENKIRAN.

Loi nº 93-12 modifiant la loi nº 24-96 relative à la poste et aux télécommunications

Article 1

Sont abrogées les dispositions prévues par les tirets 6, 12 et 13 du 3^ème alinéa de l'article 29 de la loi nº 24-96 relative à la poste et aux télécommunications, promulguée par le dahir nº 1-97-162 du 2 rabii II 1418 (7 août 1997), telle qu'elle a été modifiée et complétée par la loi nº 29-06, promulguée par le dahir nº 1-07-43 du 28 rabii I 1428 (17 avril 2007).

Article 2

Les dispositions de la présente loi entrent en vigueur dans un délai de six mois courant à compter de la date de sa publication au Bulletin officiel.

ENTIDADES MIEMBROS DEL SISTEMA NACIONAL DE COMPENSACIÓN ELECTRÓNICA SISTEMA NACIONAL DE INTERCAMBIOS

Norma SNCE007

SUBSISTEMA GENERAL DE EFECTOS DE COMERCIO

Norma primera. Ámbito legal.

El presente Subsistema de Intercambios se integra en el Sistema Nacional de Compensación Electrónica (en adelante, SNCE), como un Subsistema de “ámbito general”, según definición de la norma tercera punto 2.1.1 de la Circular del Banco de España 8/1988 (Reglamento del SNCE).

Su funcionamiento se rige por lo dispuesto en el Real Decreto 1369/1987, de creación del SNCE, por la Orden de 29 de febrero de 1988, y por el Reglamento que lo desarrolla, así como por la presente Norma SNCE007 y sus instrucciones operativas correspondientes (en adelante, instrucciones), a cuyo cumplimiento se someten las entidades participantes, miembros del SNCE, que, con anterioridad a su incorporación al Subsistema, deberán, además, haber suscrito el “Convenio de intercambio de efectos de comercio” (en adelante, el Convenio).

Norma segunda. Objeto.

Este Subsistema tiene por objeto el tratamiento de los documentos que se enumeran en la norma tercera, mediante el intercambio de sus datos representativos, de acuerdo con las especificaciones contenidas en las instrucciones, la compensación de los importes correspondientes, el cuadre y, finalmente, el establecimiento de las posiciones respectivas resultantes que, posteriormente se comunican al Servicio de Liquidación del Banco de España, para la liquidación por éste del Subsistema, dentro ya del Sistema Nacional de Liquidación (en adelante SNL).

Norma tercera. Documentos.

1. Este Subsistema contempla el tratamiento de las letras de cambio, los recibos y los pagarés, entre los que se incluyen también los pagarés de c/c negociados, a los que se hará referencia en lo sucesivo como “documentos” o “efectos”, que cumplan los requisitos que se indican en la presente norma y los que se establezcan, en cada caso, en las instrucciones:

Satisfacer los requisitos establecidos en la legislación vigente.

Satisfacer los requisitos de normalización contenidos en los anejos correspondientes a las instrucciones.

Haber sido tomados, bien directamente a clientes cedentes, bien por aplicación de otras entidades por entidades participantes en el Subsistema, tanto en soporte papel como en soporte informático, si la naturaleza del documento lo permite.

Tener domiciliado su pago en cuentas abiertas en entidades participantes en cualquier plaza del territorio nacional, según lo dispuesto al efecto en las instrucciones, sin perjuicio de la tramitación de documentos no domiciliados a los efectos previstos en la norma cuarta.

A los efectos de su tramitación en el Subsistema se entenderá por pagarés de c/c negociados aquellos en los que la operación interbancaria subyacente suponga para la entidad tomadora bien su descuento o anticipo de fondos, bien la custodia y subsiguiente gestión de cobro.

2. Se excluyen del tratamiento en el Subsistema los documentos afectados por una o más de las excepciones que se detallan a continuación:

Los susceptibles de protesto notarial emitidos con anterioridad al 1 de enero de 1986.

Los de importe superior a 500.000 pesetas, cuando se trate de documentos a abonar y/o domiciliados en cuentas de no residentes.

Los efectos cuyo vencimiento sea anterior en más de noventa días naturales a la fecha de su compensación.

Los que no estén librados o emitidos en pesetas.

Norma cuarta. Tramitación de documentos no domiciliados.

En la forma establecida en las instrucciones, podrán tramitarse a través de este Subsistema documentos no domiciliados, previo pacto con la destinataria de los mismos a los efectos de la realización por parte de ésta de las gestiones necesarias para su domiciliación, como paso previo y necesario para su compensación en el Subsistema.

Norma quinta. Tratamiento de los documentos en el Subsistema.

Este Subsistema, como parte integrante que es del SNCE, tiene por objeto de intercambio no los propios documentos originales mencionados en las normas tercera y cuarta, sino los datos representativos de éstos especificados en las instrucciones, que se transmiten electrónicamente y basándose en los cuales se lleva a cabo la operativa del Subsistema.

No obstante lo que antecede, en el Subsistema se establece una separación entre documentos “truncables”, y “no truncables”, cuya diferencia fundamental, a los efectos de estas normas, consiste en la existencia de una operativa complementaria, a la que deben ser sometidos los documentos ano truncables,, que se tramitan en este Subsistema.

Se define como truncamiento la inmovilización física de los documentos por parte de la entidad tomadora.

En las instrucciones se detallan qué documentos de entre los definidos en la norma tercera, por sus caracteristicas, han de tener el tratamiento de documentos “no truncables, y la operativa a la que serán sometidos.

Norma sexta. Devoluciones.

Cuando, no obstante, realizar todas cuantas gestiones sean necesarias para conseguir el cobro del efecto tramitado a través de este Subsistema, ello no resulte posible, las entidades domiciliatarias o destinatarias realizarán la devolución del efecto también a través del Subsistema, en la forma y plazos establecidos en las instrucciones, en las que igualmente se especifican los motivos de devolución.

Norma séptima. Entidades participantes.

Las definiciones que precisan el cometido de las distintas entidades participantes en este Subsistema son las contenidas en el Reglamento del SNCE, normas duodécima y vigésima quinta, con la particularidad de que la entidad “originante”, se corresponde con la entidad tenedora de los documentos, y la entidad “destinataria” se identifica con la entidad domiciliataria, en el caso de los documentos previstos en la norma tercera, o, en el caso de los previstos en la norma cuarta, con la entidad encargada de realizar la gestión de domiciliación.

Norma octava. Condiciones generales de participación en el Subsistema.

Toda entidad miembro del SNCE que desee participar en este Subsistema enviará su solicitud al Banco de España, la cual se tramitará de conformidad con el procedimiento establecido en la normativa vigente, debiendo hacer constar en ella el compromiso expreso de la entidad de satisfacer las siguientes condiciones:

1. Cumplir lo establecido en el Reglamento del SNCE y en las normas e instrucciones de este Subsistema.

2. Haber suscrito el Convenio.

3. Pertenecer a los Organos de dirimir incidencias (DIRIBAN, INTERCAJAS, SERDI Y SERDIRRUR), según corresponda, a través de los cuales se resolverán las posibles incidencias conforme a las reglas fijadas en la norma vigésima tercera del Reglamento del SNCE.

4. Estar adherida al procedimiento de comunicación del fichero de oficinas de entidades de depósito.

5. Tener normalizados, de conformidad con lo especificado en las instrucciones operativas correspondientes, todos los documentos que, emitidos por ella misma o por sus clientes, debidamente autorizados por ella, sean susceptibles de tratamiento en el Subsistema.

6. Utilizar el Subsistema para presentar y recibir todos los documentos susceptibles de tratamiento en él, según lo establecido en las normas tercera y séptima de esta Circular, y en las instrucciones operativas, a partir de la fecha de su incorporación al Subsistema.

7. Realizar, en los casos en que sea necesario y según lo previsto en la norma vigésima sexta del Reglamento, la declaración equivalente al protesto utilizando el texto contenido en los modelos del anejo 1 de la presente Circular y de acuerdo con el procedimiento que se establezca en las instrucciones.

Además de las responsabilidades frente a terceros y de las que, según lo establecido en la norma del Reglamento indicada en el párrafo anterior, asumen las entidades participantes frente al Sistema Nacional por cualquier perjuicio que pudiera derivarse de la omisión de la declaración equivalente en tiempo y forma, será de aplicación el régimen de reparto de responsabilidades entre entidades establecido en el Convenio.

Norma novena. Fechas del Subsistema.

1. Fecha de intercambios (D).

Día hábil del Sistema Nacional de Intercambios (SNI) en el cual se llevan a cabo las sesiones de intercambios de datos entre entidades.

2. Fecha de compensación y reembolso.

Día hábil del SNI posterior a la fecha de intercambios, de acuerdo con los plazos que se regulan en las instrucciones.

3. Fecha de liquidación.

La misma de compensación y reembolso, si ésta es hábil en el SNL, o siguiente día hábil del SNL si no lo fuera.

Norma décima. Ciclos del Subsistema.

Este Subsistema tiene unos ciclos temporales específicos de presentación, devolución y reembolso, entendiéndose por ello el que los documentos intercambiados con fecha del día hábil (D), que pueden corresponder a más de una fecha de compensación y reembolso, son liquidados por el Servicio de Liquidación del Banco de España, y posteriormente reembolsados a través de éste, en la fecha de liquidación correspondiente.

Las particularidades propias de los referidos ciclos se desarrollarán en las instrucciones operativas de esta Norma SNCE007.

Norma undécima. Características del Subsistema.

Las normas de funcionamiento aplicables con las particularidades que, en su caso, se indican, serán las mismas dictadas en la Circular del Banco de España 11/1990, que a continuación se relacionan:

Operatividad.

Condiciones particulares de participación.

Procedimiento de incorporación.

Modificaciones en la participación.

Bajas de participación, con la particularidad de que el plazo de antelación con que las solicitudes de baja deberán ponerse en conocimiento del Banco de España será el que se especifica en las instrucciones, en las que asimismo se precisan los criterios con los que se determinarán las fechas del periodo de adaptación que se estime necesario.

Medios de comunicación para la transmisión de los datos representativos de los documentos y para el intercambio físico de los mismos.

Modalidad de transmisión.

Reembolso, con las particularidades, en cuanto a plazos, que se especifican en las instrucciones operativas.

Centro de proceso.

Procedimiento de excepción.

Procedimiento alternativo de transmisión.

Norma duodécima Garantía de la información intercambiada

La introducción en el Subsistema de los datos representativos del documento original se efectúa siempre por la entidad presentadora, que en todo momento garantiza y responde del cumplimiento de las normas de este Subsistema, y, en especial, de la fidelidad de los datos intercambiados, tanto por sus operaciones propias como solidariamente, por las de entidades a las que representa bien se hayan transcrito desde los propios documentes originales, bien hayan sido completados por las propias entidades, de acuerdo con los procedimientos de verificación y validación descritos en las instrucciones.

Norma decimotercera. Seguridad y protección de la información.

El funcionamiento de este Subsistema se fundamenta en la confianza mutua que se otorgan las entidades que en él participan, en cuanto a que conforme a los datos que se transmiten, representativos de los documentos se efectúa la gestión de cobro y/o los cargos corres pendientes en el domicilio de pago.

Para asegurar la inalterabilidad e inviolabilidad de los datos durante su transmisión, una vez esté garantizada, mediante su captura adecuada, la fiabilidad de dichos datos se aplicará a un procedimiento criptográfico a todo él conjunto de datos a transmitir, de conformidad con los métodos y procedimientos que se establecen en la Norma SNCE002 y en la forma que se dispone en las instrucciones.

Norma decimocuarta. Instrucciones operativas.

Las instrucciones operativas exigibles para un adecuado cumplimiento de las normas fijadas por esta Circular, así como sus sucesivas actualizaciones, las recibirán las entidades adheridas al Subsistema a través de la Unidad Administrativa del Banco de España responsable del SNCE.

Las instrucciones operativas complementan estas normas en los aspectos técnicos, operativos y de normalización necesarios y exigibles para un adecuado funcionamiento del Subsistema.

Norma decimoquinta. Liquidación del Subsistema.

La liquidación del Subsistema se efectuará de conformidad con las normas establecidas en la Circular del Banco de España número 13/1992 y en sus instrucciones técnicas y operativas complementarias.

Los totales operacionales, según se definen en las instrucciones operativas de esta Norma SNCE007, deberán comunicarse por las entidades asociadas a este Subsistema, de conformidad con las normas antes citadas y con las relativas a formatos de comunicación y horarios que oportunamente serán publicadas por la Unidad Administrativa del Banco de España responsable del SNCE, mediante instrucciones del SNCE.

Entrada en vigor La presente Circular entrará en vigor el día de su publicación en el “Boletín Oficial del Estado”.

Madrid 27 de enero de 1998.El Gobernador, Luis Angel Roló Duque.

ANEJO 1 (Circular 1/1998)

Modelos de sello de declaración equivalente

A) Primer caso. Impago por importe total.

Conforme al Real Decreto 1369/1987, de 18 de septiembre, y a los efectos previstos en la Ley 19/1985 Cambiarla y del Cheque, la entidad tenedora abajo firmante, por cuenta y en nombre del Sistema Nacional de Compensación Electrónica, declara que, presentado a compensación este documento en tiempo hábil, ha sido denegado su pago por la entidad domiciliataria.

. , de de 19

(ENTIDAD TENEDORA) Por poder.

B) Segundo caso.Impago por importe parcial.

Conforme al Real Decreto 1369/1987, de 18 de septiembre, y a los efectos previstos en la Ley 19/1985 Cambiaria y del Cheque, la entidad tenedora abajo firmante, por cuenta y en nombre del Sistema Nacional de Compensación Electrónica, declara que, presentado a compensación este documento en tiempo hábil, ha sido denegado su pago, por importe …….., por la entidad domiciliataria.

. , de de 19

(ENTIDAD TENEDORA) Por poder.

VISTO la Ley nº 24848; los Decretos 1807/93, 292/95, 492/95, 1018/98 y 1520/98; las resoluciones S.C. nº 2288/98 y S.C. nº 18771/99; el expediente nº 12/98 del Registro de la SECRETARIA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACION y el expediente nº 5081/99 del registro de la COMISIÓN NACIONAL DE COMUNICACIONES ; y

CONSIDERANDO:

Que el punto 7) de la declaración segunda del Pacto Federal para el Empleo, la Producción y el Crecimiento establece, como obligación del Estado Nacional, asegurar, a través de los respectivos organismos sectoriales responsables y los Entes Reguladores de servicios públicos privatizados, que las medidas impositivas a adoptarse en los niveles de gobierno nacional, provincial o municipal que puedan implicar directa o indirectamente, reducciones de costos o aumentos de los beneficios en las empresas prestadoras de servicios públicos y/o proveedoras de bienes y servicios en mercados no competitivos, resulten una completa transferencia de beneficios a los usuarios y consumidores;

Que los Decretos nº 292/95 y 492/95 establecieron rebajas en los aportes patronales, disponiendo, además, que las empresas que brindaran servicios públicos con precios regulados debían ser autorizadas previamente por el Ente Regulador correspondiente para acceder a los beneficios de dichas disminuciones.

Que por decreto 1520/98 se dispuso, en su artículo 1 ° la disminución de las contribuciones a cargo de los empleadores sobre la nómina de salarios con destino al Sistema Único de Seguridad Social, las que quedaron fijadas en las alícuotas que, para las distintas áreas y regiones que se categorizan en el Anexo I, se detallan en los Anexos I, II y IV, según fueren los distintos períodos alcanzados con el beneficio.

Que el mencionado Decreto estableció, además, que las nuevas alícuotas indicadas en los anexos II, III y IV, serían de aplicación para las remuneraciones que se devenguen a partir del 1 de abril, 1 de agosto y 1 de diciembre de 1999, respectivamente. Que, en ese contexto, resulta necesario precisar que las reducciones de costos derivadas de la aplicación del Decreto 1520/98 son susceptibles de ser a ser afectados al financiamiento de proyectos sociales de telecomunicaciones en tanto éstos signifiquen beneficios para los usuarios y consumidores.

Que en efecto, y tal como señala la Declaración Segunda, punto 7 del Pacto Federal para el Empleo, la Producción y el Crecimiento, los entes reguladores de servicios públicos privatizados tienen el deber de asegurar que las medidas impositivas que se adopten en el ámbito Nacional, Provincial o Municipal que puedan implicar directa o indirectamente reducciones de costos o aumentos de los beneficios de las prestadoras resulten una completa transferencia de beneficios a los usuarios.

Que por medio de la presente se dispone la utilización de los fondos generados por las reducciones de aportes patronales establecidas en el Decreto 1520/98 para el financiamiento de los diferentes programas integrantes de la iniciativa presidencial “[email protected]” establecida por el Decreto 1018/98. Que puede mencionarse al Decreto nº 554/97 como antecedente directo de esta iniciativa, el que declaró como de Interés Nacional “el acceso de los habitantes de la República Argentina a la red mundial INTERNET, en condiciones sociales y geográficas equitativas, con tarifas razonables y con parámetros de calidad acordes a las modernas aplicaciones de la multimedia”.

Que, en esta misma línea de difusión de INTERNET como una verdadera política de estado, el Gobierno Nacional estableció, mediante Decreto 1279/97 que “el servicio de INTERNET se considera comprendido dentro de la garantía constitucional que ampara la libertad de expresión, correspondiéndole en tal sentido las mismas consideraciones que a los demás medios de comunicación social” ; y que esta disposición impide toda censura previa del gobierno sobre los contenidos presentes en la red, base fundamental para la ampliación y mejoramiento continuo de su oferta a los consumidores.

Que, posteriormente, el Decreto 1018/98 creó el programa [email protected], estableciendo los siguientes objetivos:
a) Promover el desarrollo de la infraestructura de telecomunicaciones en todo el país, procurando el acceso universal a la misma en condiciones de equidad geográfica y social; 
b) Estimular el desarrollo de redes nacionales y regionales sobre la base de la infraestructura de telecomunicaciones cuya implementación se propicia; 
c) Promover el acceso universal a INTERNET y a la tecnología de la información; y d) Promover en el ámbito nacional la constitución de CENTROS TECNOLOGICOS COMUNITARIOS (CTC) como medio para el cumplimiento de los objetivos del presente decreto.

Que la Autoridad de Aplicación de este impulso oficial a la difusión de INTERNET y de las tecnologías de la información es la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACION.

Que en el mencionado Decreto nº 554/97, se encomienda a esta Secretaría a “desarrollar un plan estratégico para la expansión de INTERNET en la República Argentina; (a) analizar la incorporación de INTERNET dentro de los parámetros de análisis y las características definitorias del servicio universal; (b) analizar y proponer alternativas de política tarifaria a los efectos de estimular y diversificar la utilización de INTERNET; y (c) fomentar el uso de INTERNET como soporte de actividades educativas, culturales, informativas, recreativas y relativas a la provisión de servicios de salud”, mientras que en el Decreto 1018/98 la Secretaría es convocada a “planificar, dirigir y evaluar la ejecución” del programa [email protected].

Que la SECRETARIA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACION es la responsable de planificar, dirigir y evaluar el Programa [email protected], conforme a lo dispuesto por el Artículo 2° de Decreto 1018/98 y que, en tal carácter, le fue encomendada la tarea de celebrar un convenio con la UIT mediante la disposición contenida en el Artículo 4° del Decreto mencionado.

Que, conforme a tal mandato, la Secretaría suscribió, el 18 de Septiembre de 1998, el “Acuerdo Administrativo de Cooperación Técnica nº 2/98 entre la Secretaría de Comunicaciones de la República Argentina y la UIT” con el propósito de “diseñar, desarrollar e implementar” el mencionado programa, registrándolo bajo Resolución S.C. nº 2288/98 y que, posteriormente, la UIT estableció el proyecto EQT-9/ARG/98/008 destinado a materializar la letra y el espíritu del Acuerdo Administrativo, actualmente en ejecución con singular éxito.

Que, en virtud de estos antecedentes, la aplicación del Decreto 1520/98 a los programas integrantes de [email protected] es una forma de dar cumplimiento a la finalidad del Pacto establecido en el Decreto 1807/93, esto es, promover el empleo, la producción y el crecimiento económico armónico del país y sus regiones.

Que puede concluirse que, de acuerdo a las características del sector de las telecomunicaciones, la completa transferencia de beneficios a los usuarios de los montos derivados de las reducciones de costos de las LSB originadas con motivo del dictado del Decreto 1520/98 se verifica en la aplicación de los montos de tales reducciones al programa [email protected], amén que tal transferencia implica una modalidad que contribuye en forma directa y concreta al cumplimiento del objeto del Pacto.

Que la modalidad establecida significa una medida relevante en orden a contribuir el desarrollo armónico del país y sus regiones puesto que, sin duda, la expansión homogénea de las comunicaciones telemáticas y las tecnologías de la información en el mundo actual, aparece como uno de los presupuestos indispensables para el desarrollo de un país y el incremento de las habilidades de su pueblo.

Que la Resolución S.C. nº 18771/99 estableció que los costos resultantes de la prestación de los diferentes servicios de comunicaciones inherentes a los programas de la iniciativa [email protected] serían asegurados por las LICENCIATARIAS DEL SERVICIO BASICO TELEFONICO (LSB) en función de la disminución de las contribuciones patronales establecidas por el Decreto 1520/98 o por los saldos “que resultaron de la aplicación de los Price Cap correspondientes al año 1997 y al año 1998”.

Que, asimismo, la mencionada Resolución estableció en su Anexo I los costos de provisión de servicios de telecomunicaciones para cada uno de los programas de [email protected].

ue, en función de la aplicación de esta normativa, esta Secretaría ha receptado una serie de inquietudes asociadas a cuestiones procedimentales y de interpretación que es conveniente aclarar.

Que de acuerdo con su Constitución, la UNION INTERNACIONAL DE TELECOMUNICACIONES (UIT) tiene la responsabilidad, como Agencia Especializada del Sistema de Naciones Unidas y como Agencia Ejecutora, de la implementación de proyectos de cooperación técnica bajo el programa del PNUD y bajo otros medios de financiamiento.

Que es necesario señalar, asimismo, que las actividades de cooperación técnica desarrolladas por la UIT en cumplimiento de sus funciones de Agencia Ejecutora están en general orientadas a la ejecución de proyectos, los que tienen como meta lograr objetivos de desarrollo de las telecomunicaciones o de las comunidades beneficiarias de sistemas de telecomunicaciones, de manera que se contribuya al crecimiento económico, el desarrollo humano o el avance de las técnicas pedagógicas.

Que la ejecución de tales proyectos corren por cuenta del Sector de Desarrollo de la UIT, a través de su Oficina de Desarrollo de las Telecomunicaciones (BDT/UIT).

Que los programas integrantes de la iniciativa [email protected] se encuentran plenamente comprendidos dentro de la misión y objetivos del BDT/UIT. Que por lo expuesto, es altamente recomendable que la UIT actúe como administrador de los fondos generados a través del sistema normativo de reducciones de Aportes Patronales, generado a través de los Decretos nº 1807/93, nº 292/95 y nº 1520/98, y que avalan esta decisión de la Secretaría los antecedentes de cooperación y asistencia técnica de la Unión con el gobierno argentino desde 1992.

Que los antecedentes antes mencionados, junto con la reconocida capacidad de gestión de la UIT de los proyectos de carácter social en todo el mundo, hacen de esta Agencia Especializada de las Naciones Unidas el fideicomisario adecuado para que los programas de [email protected] tengan viabilidad en el tiempo y logren modificar positivamente la vida de millones de argentinos en condiciones de desventaja económica o de desfavorable localización geográfica.

Que ha se ha expedido a este respecto el Director Ejecutivo del Programa [email protected].

Que, asimismo, la Dirección de Asuntos Legales de esta Secretaría ha tomado debida intervención. Que la presente medida se dicta en uso de las atribuciones conferidas por el Decreto nº 1620/96 y el Decreto nº 1018/98.

Por ello,

EL SECRETARIO DE COMUNICACIONES RESUELVE:

Artículo 1º.- Aclárase que la obligación establecida en el artículo 1 ° de la Resolución S.C. nº 18771/99, estableciendo que las obligaciones de asegurar la prestación de los diferentes servicios propios de los programas integrantes de la iniciativa presidencial [email protected] por parte de TELECOM ARGENTINA STET FRANCE TELECOM S . A. y TELEFONICA DE ARGENTINA S.A., alcanzan únicamente a aquellas bonificaciones establecidas en el Anexo I de la referida resolución.

Artículo 2º.- Sustitúyese el artículo 3 ° de la Resolución S.C. nº 18 771/99 por el siguiente: “Establécese que el costo que demanden los pagos de los servicios descriptos en el Anexo I para cada programa deberán ser imputados a las rebajas que las Licenciatarias del Servicio Básico Telefónico efectúen en función de la disminución de las contribuciones patronales establecidas por el Decreto nº 1520/98, en tanto y en cuanto dicha disminución siga siendo aplicable “.

Artículo 3º.- Modifícase el Anexo I de la Resolución S.C. nº 18.771/99, el que quedará redactado de la siguiente manera:

Artículo 4º.- Establécese que para el pago de los costos descriptos en el Anexo I de la presente, correspondientes a los programas detallados en el Anexo I de la ya mencionada Resolución S.C. nº 18771/99, las Licenciatarias del Servicio Básico Telefónico (LSB) deberán girar los montos correspondientes a un fondo especial administrado por la UNIÓN INTERNACIONAL DE TELECOMUNICACIONES (UIT), hasta los límites del financiamiento anual disponible para los costos mencionados.

Artículo 5º.- Establécese que las LSB deberán abonar el costo de los servicios descriptos en el Anexo II de la presente, correspondiente a los programas descriptos en el Anexo I de la Resolución S.C. N| 18771/99, hasta los límites del financiamiento anual disponible para estos montos.

Artículo 6º.- Instrúyese a la Dirección ejecutiva del programa [email protected] a celebrar, dentro de los diez (10) días de publicada la presente, un Acuerdo con la UIT con el objetivo y alcances establecidos en el artículo 5°.

Artículo 7º.- Los programas de [email protected] estarán sujetos a financiación por los mecanismos dispuestos en la Resolución S.C. nº 18771/99 y en la presente por el término de cuatro años o hasta el agotamiento de los fondos destinados a los mismos, lo que ocurra primero. Transcurrido este período, la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN podrá prorrogar la vigencia de estos programas siempre y cuando subsistan las fuentes de financiamiento establecidas en la mencionada Resolución.

Artículo 8º.- Comuníquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Dr. Alejandro B. Cima Secretario de Comunicaciones- Presidencia de la Nación 

Para los participantes de Ecomder:

Se tiene el agrado de invitarlos a participar de siguiente evento:

Miércoles 2 de julio a las 15 y jueves 3 de julio de 10 a 19.30
2/7: En Sarmiento 329, piso 11, Sede MJSyDDHH; y 3/7: en Uruguay 412, piso 5, Sede C.P.A.C.F.

Primer Seminario Internacional e Interdisciplinario sobre la “PROTECCIÓN DE LOS DATOS PERSONALES”
Autoridades Institucionales: Dr. Juan Antonio Travieso (Director Nacional – DNPDP), Dr. Hugo Germano (Presidente – CPACF)
Directores Académicos: Dres. Rodolfo Daniel Uicich, Daniel Ricardo Altmark, Eduardo Molina Quiroga

Programa
MIERCOLES 2/7:
– a las 15: ACTO INAUGURAL: Inauguración por el Ministerio de Justicia, Seguridad y Derechos Humanos de la Nación – Palabras del Dr. Hugo Germano – Conferencia: a cargo del Dr. Michel Gentot (Francia) – Conferencia: “La Protección de los Datos Personales en la República Argentina”: Dr. Juan Antonio Travieso – Conferencia: a cargo del Dr. Raúl Sapena Brugada (Paraguay) – Conferencia: a cargo del Dr. Marcelo Bauza Reilly (Uruguay)

JUEVES 3/7:
– a las 10: Primera Sesión – Panel: “El Derecho a la Autodeterminación Informativa” – Relator: Dr. Rodolfo D. Uicich – Coordinador: Dr. Oscar Puccinelli – Panelistas: Representante de la Defensoría de la Nación, Dr. Adrián Ventura, Dra. María Angélica Gelli, Dr. Carlos A. Acquistapace – 12 hs.: Receso
– a las 14: Segunda Sesión – Panel: “La Actividad Económica y el Tratamiento de los Datos Personales” – Relator: Dr. Eduardo Molina Quiroga – Coordinador: Dr. Esteban Ruiz Martinez – Panelistas: Dr. Ramón G. Brenna, Dra. Alejandra Gils Carbó, Dr. Alberto Bueres, Dr. Carlos Regunaga, Dr. Rodolfo Lira, Dr. Bernardo Casagne
– a las 16: Tercera Sesión – Panel: “La adecuación de los Bancos de Datos a la ley 25.326” – Relator: Dr. Daniel Ricardo Altmark – Coordinador: Dr. Jorge Bekerman – Panelistas: Ing. Jorge Pintos, Dr. Horacio Granero, Representante del Hospital Italiano, Representante de la Cámara de Empresas de Informes Comerciales
– a las 18: Cuarta Sesión – Panel: “Los Bancos de Datos Públicos” – Relator: Dr. Pablo Tiscornia Gálvez – Coordinadores: Dra. Paula Rómulo, Dr. Guillermo Méndez – Panelistas: Dra. Graciela Conway, Dra. Mabel Luján, Lic. Ramiro Soria, Dr. Eliseo Devoto
– a las 19.30: ACTO DE CLAUSURA: Palabras de los Organizadores

CORTE SUPERIOR DE JUSTICIA DE LIMA.

CONSEJO EJECUTIVO DISTRITAL

Lima, 9 de marzo de 2011

VISTA:

La Resolución Administrativa nº 183-2009-CED-CSJLI/PJ, de echa diecisiete de julio de dos mil nueve; la Resolución Administrativa nº 12-20-10-CED-CSJLI/PJ, de fecha diecisiete de marzo de dos mil diez; y,

CONSIDERANDO:

Que mediante Resolución Administrativa nº 183-2009-CED-CSJLI/PJ se dispuso ampliar las facultades otorgadas a la Comisión Encargadas de la Organización, Coordinación y Supervisión del Sistema de Notificaciones Electrónicas de la Corte Superior de Justicia de Lima, a fin de que, en adición a su labor de seguimiento, monitoreo y supervisión de la implantación del Sistema de Notificaciones Electrónicas del Poder Judicial (SINOE-PJ) en esta Corte Superior de Justicia, se encargue del seguimiento, monitoreo y supervisión de la implantación del Servicio de Notificación (SERNOT) en este Distrito Judicial.

Que, por Resolución Administrativa nº 12-2010-CED-CSJLIP/PJ se estableció la conformación de la Comisión de Organización, Coordinación y Monitoreo de la Implantación del Sistema de Notificaciones Electrónicas (SINOE-PJ) se estableció la conformación de la Comisión de Organización, Coordinación y Monitoreo de la Implantación del Sistema de Notificaciones Electrónicas (SINOE-PJ) y de Coordinación y Monitoreo del Servicio de Notificaciones (SERNOT) en la Corte Superior de Justicia de Lima para el año Judicial 2010; asimismo, se dispuso -entre otras cosas- que la Comisión eleve al Consejo Ejecutivo Distrital un informe mensual conteniendo los avances de su labor, así como sugerencias y propuestas destinadas a la implementación del Sistema de Notificaciones Electrónicas en este Distrito Judicial.

Que, si bien es cierto la Resolución Administrativa nº 12-2010-CED-CSJLI/PJ estableció la conformación de la Comisión, para el año 2010, el Colegiado estima, que el trabajo encomendado a la Comisión no ha finalizado, siendo en cambio de profunda actualidad; debido a ello, estima prudente la continuidad de las labores de la citada Comisión; correspondiendo -asimismo- el reconformarla, a fin de coadyuvar al logro de sus objetivos.

Por los fundamentos indicados, el Consejo Ejecutivo Distrital de la Corte Superior de Justicia de Lima, en uso de sus atribuciones previstas en el numeral 19) del artículo 96º del Texto Único Ordenado de la Ley Orgánica del Poder Judicial.

RESUELVE:

Artículo Primero.- APROBAR la continuidad  de las labores de la Comisión de Organización, Coordinación y Monitoreo de la Implantación del Sistema de Notificaciones Electrónicas (SINOE-PJ) y de Coordinación y Monitoreo del Servicio de Notificaciones (SERNOT) en la Corte Superior de Justicia de Lima.

Artículo Segundo.- RECONFORMAR la Comisión precitada, la misma que estará integrada por:

Dr. Julio Martín Wong Abad            Juez Superior, quien la Presidirá

Dra. Carolina Lizarraga Houghton    Juez Superior

Dr. Roberto Vilchez Dávila              Juez Especializado

Dra. Henry Antonio Huerta Saenz    Juez Especializado

Dra. Raquel Centeno Huamán          Juez Especializado

Dr. Alexis López Aliaga Vargas       Juez Especializado

Dr. José Luis Chipana Saavedra      Jefe de la Oficina de Administración Distrital

Dr. Elvis Espinoza Castillo               Jefe del Área de Desarrollo de la Presidencia

Artículo Tercero.- PONER la presente resolución en conocimiento de la Corte Suprema de Justicia de la República, Consejo Educativo del Poder Judicial, Oficina de Control de la Magistratura, Gerencia General, Gerencia de Servicios Judiciales y Recaudación, Oficina Desconcentrada de Control de la Magistratura, Oficina de Administración Distrital y de los miembros de la Comisión para los fines pertinentes.

Regístrese, publíquese, cúmplase y archívese.

HÉCTOR ENRIQUE LAMA MORE,  Presidente

LUIS CARLOS ARCE CÓRDOVA

CÉSAR JAVIER VEGA VEGA

RICARDO LUIS CALLE TAGUCHE

WILLIAM CIRO CONTRERAS CHÁVEZ    

Comisión Nacional del Mercado de Valores

Dirección General de Entidades del Mercado de Valores

A los Presidentes de las Gestoras de Instituciones de Inversión Colectiva, Sociedades Gestoras de Cartera , SIM y SIMCAV sin Gestora y Depositarios de Instituciones de Inversión Colectiva

Madrid, 20 de marzo de 2001

Muy Sr. mío:

Con objeto de agilizar la verificación y el registro de los folletos explicativos de las lIC; así como sus posteriores actualizaciones, la Orden Ministerial de Folletos, de inminente publicación, va a establecer la necesaria utilización del sistema CIFRADOC/CNMV para la remisión de dichos folletos a la CNMV.

Este sistema, implantado en 1998 y que viene ya utilizándose por un amplio número de Gestoras para el envío de la información de estados financieros periódicos, consiste básicamente en la remisión por vía telemática de un fichero informático a la CNMV. Para asegurar la confidencialidad de la información y la autenticidad del remitente se usa un sistema de cifrado y firma electrónica. La utilización del sistema precisa la autorización de la CNMV y la aceptación del usuario.

Teniendo en cuenta la obligatoria utilización de CIFRADOC/CNMV para la remisión y trámite de los Folletos a la CNMV, les rogamos encarecidamente que, si su entidad (Gestora o Depositaria) no se ha dado de alta aún en el sistema, inicie a la mayor brevedad los trámites necesarios para ello.

Al ser necesaria la doble firma de Gestora y Depositaria para la mayoría de los trámites ante la CNMV y por supuesto para los de Folletos, el sistema CIFRADOC/CNIVIV ha sido complementado con esta facilidad de doble firma electrónica. Por ello deberán utilizar el sistema y previamente estar autorizados, tanto la Gestora como la Depositaria. A las Gestoras que ya están autorizadas y lo utilizan regularmente, la CNMV les proporcionará la nueva versión del sistema que incorpora esta nueva facilidad de doble firma.

Los pasos a dar para la solicitud y autorización de CIFRADOC/CNMV son:

1. Remitir a la CNMV, a la atención del Director General de Sistemas de Información, por correo o por fax (número 91.585.09.16), un escrito en que se solicita el uso del sistema CIFRADOC/CNMV, indicando:

– Denominación y CIF de la entidad.

– Nombre, CIF y cargo de la persona facultada para firmar electrónicamente el envío (en general, la misma persona que actualmente firma los folletos).

– Nombre, CIF y cargo de, al menos, dos personas más, que actuarían como usuarios u operadores del sistema.

Para su comodidad, se adjuntan Modelos de solicitud para Gestora y Depositario.

2. La CNMV se pondrá en contacto la Entidad, con objeto de fijar una fecha para la firma del documento de aceptación, el intercambio de las claves iniciales reservadas y la entrega gratuita de los programas informáticos correspondientes.

3. Una vez firmado el documento e instalada la aplicación, el sistema ya podrá ser utilizado por la Entidad.

En la espera de que el contenido de esta carta pueda ser de utilidad, les saluda atentamente,

Juan Carlos Basallote

Director General

Solicitud de autorización para la utilización del sistema CIFRADOC/CNMV:

Lima, 4 de junio de 2003

CONSIDERANDO:

Que, el Estado Peruano, acorde con el principio constitucional consagrado en el artículo 1 de la Constitución Política del Estado, busca promover políticas y medios que permitan el desarrollo de la persona humana;

Que, en tal sentido, constituye interés del Estado establecer políticas en materia de tecnología de la información coherentes con los fines de la Ley nº 27658, Ley Marco de Modernización de la Gestión del Estado y que, asimismo, se defina la forma de incorporarlas al servicio de las personas;

Que, en ese orden de ideas resulta importante establecer los mecanismos necesarios que posibiliten el acceso de las personas a las ventajas que se derivan de la revolución de las comunicaciones y la expansión de la tecnología informática y sus consecuencias, en el marco del proceso de globalización imperante;

Que, la Sociedad de la Información es un estadio de desarrollo social caracterizado por la capacidad de las personas y organizaciones de la sociedad para obtener y compartir cualquier información, instantáneamente, desde cualquier lugar y en la forma que se prefiera. La facilidad para el acceso a información originado por nuevas tecnologías de la información y comunicación, por el uso generalizado de las redes abiertas, como Internet, y de la telefonía celular, genera grandes cambios en las actividades de las personas y en diversos sectores, como son la educación, el trabajo, la administración pública, la industria y el comercio, llegando incluso a transformar las formas de las relaciones humanas y sociales;

Que, en numerosos países, la Sociedad de la Información se encuentra en un elevado nivel de desarrollo, siendo que en muchos casos este grupo de países, no sólo está conformado por los denominados países desarrollados o de primer orden, sino que también incorpora a aquellos otros países que, sin pertenecer a dicho grupo, han aprovechado y regulado de manera eficiente el uso de las tecnologías de la información y comunicaciones, logrando importantes mejoras en su sociedad y en su gobierno, acortando así la denominada “brecha digital”, término que se utiliza para establecer la frontera con los países que se mantienen al margen del concierto de naciones impulsoras y beneficiarias de la Sociedad de la Información;

Que, el adecuado desarrollo, dirección y promoción de un Plan para crear las bases que permitan la implementación de la Sociedad de la Información generará mejoras en el comercio y la industria, incrementará la eficiencia en la prestación de los servicios públicos estatales, mejorará la generación de productividad y de beneficios empresariales lo que incidirá directamente en una mejora en la competitividad del Estado en un entorno económico caracterizado por el fenómeno de la globalización;

Que, para los fines del establecimiento de una Sociedad de la Información corresponde al Estado garantizar y mejorar el acceso a las nuevas tecnologías de la información y comunicaciones y asimismo, procurar una infraestructura de sistemas y de comunicaciones segura, que garantice la intimidad de las personas, el secreto de las comunicaciones, la seguridad de las transacciones por medios electrónicos, la protección de los derechos de propiedad intelectual, entre otros;

Que, sobre la base de una pertinente y eficiente infraestructura de sistemas y de comunicaciones, el Estado podrá realizar de mejor manera sus planes de contenido social, mejorar la participación de las personas en el acceso a la información pública y en las decisiones de gobierno, fortalecer el proceso de descentralización e instaurar una Administración moderna y eficiente orientada a la prestación de servicios en línea;

Que, en el país se vienen observando iniciativas de agentes económicos, instituciones educativas, asociaciones gremiales y profesionales, así como de diversas entidades del sector público, que han desarrollado proyectos cuya ejecución han tenido como denominador común el aprovechamiento de las tecnologías de la información y comunicación;

Que, con el propósito de coordinar, fortalecer y optimizar las diversas iniciativas y proyectos desarrollados por el sector público y privado, resulta necesario conformar una Comisión Multisectorial que elabore un Plan para el desarrollo de la Sociedad de la Información en el Perú, el mismo que deberá contener un diagnóstico de la situación actual del Perú en el contexto de la Sociedad de la Información, las acciones necesarias a ejecutar para el desarrollo de la misma y los proyectos de normas y dispositivos que coadyuven al adecuado desarrollo, implementación y promoción de la Sociedad de la Información en el Perú;

De conformidad con lo establecido en el Decreto Ley nº 21292, Decreto Legislativo nº 560, modificado por Ley nº 27779 y el Decreto Supremo nº 083-2002-PCM;

SE RESUELVE:

Artículo 1º.- De la Creación de la CODESI

Créase la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI, en adelante CODESI, adscrita a la Presidencia del Consejo de Ministros.

Artículo 2º.- Del Objeto y Funciones de la CODESI

La CODESI tiene como objeto elaborar un Plan para el desarrollo de la Sociedad de la Información en el Perú, el mismo que deberá contener un diagnóstico de la situación actual del Perú en el contexto de la Sociedad de la Información, las acciones necesarias a ejecutar para el desarrollo de la misma y los proyectos de normas y dispositivos que coadyuven al adecuado desarrollo, implementación y promoción de la Sociedad de la Información en el Perú.

Entre sus funciones están además, la promoción y ejecución de programas que promuevan un uso seguro de internet, de las telecomunicaciones y de las tecnologías de la información por parte del Estado, con la finalidad de fomentar el desarrollo de la Sociedad de la Información en beneficio de las personas.

Excepcionalmente, cuando el caso lo requiera, la CODESI podrá solicitar a otros organismos, instituciones, gremios y entidades en general, públicas o privadas, y a especialistas, el asesoramiento, información y apoyo necesarios para el cumplimiento de su objeto. (1)

Artículo 3º.- De los Integrantes de la CODESI

La CODESI estará conformada como sigue:

– El Secretario General de la Presidencia del Consejo de Ministros, quien la presidirá;
– Un representante del Ministerio de Transportes y Comunicaciones; (4)
– Un representante del Ministerio de Educación;
– Un representante del Ministerio de Agricultura; (3)
– Un representante del Ministerio de Salud; (5)
– Un representante del Ministerio de Economía y Finanzas; (6)
– Un representante de la Secretaría de Gestión Pública de la Presidencia del Consejo de Ministros; (7)
– Un representante del Consejo Nacional de Ciencia y Tecnología – CONCYTEC;
– Un representante del Organismo Supervisor de la Inversión Privada en Telecomunicaciones – OSIPTEL;
– Un representante del Instituto Nacional de Estadística e Informática – INEI; (2)
– Un representante del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI;
– Un representante de la Asamblea Nacional de Rectores – ANr. (8)
“- Un representante del Ministerio de Relaciones Exteriores (8)(10)
– Un representante del Ministerio de la Producción (8)(9)
– Un representante del Ministerio de Comercio Exterior y Turismo; y, (8)
– Un representante del Instituto Nacional de Investigación y Capacitación de Telecomunicaciones – INICTEL” (8)

Artículo 4º.- De la Secretaría Técnica de la CODESI y sus funciones

La Secretaría Técnica de la CODESI estará a cargo del representante del Ministerio de Transportes y Comunicaciones.

Entre las funciones a cargo de la Secretaría Técnica están las siguientes:

a. Convocar por encargo del Presidente de la CODESI a las sesiones ordinarias y extraordinarias;
b. Preparar la agenda y los documentos que correspondan para cada sesión;
c. Redactar las actas de las sesiones y servir de depositario de ellas;
d. Brindar apoyo administrativo a la CODESI;
e. Presentar en cada reunión de la CODESI, informes sobre el avance de las labores encomendadas por ésta;
f. Presentar a la CODESI, para su aprobación, planes, proyectos técnicos, programas, proyectos de dispositivos normativos, otros trabajos realizados al interior de ésta relacionados con el tema de la Sociedad de la Información, así como trabajos recibidos por otras entidades para su consideración;
g. Solicitar, recibir, registrar, procesar y evaluar planes, programas, proyectos, dispositivos normativos, entre otros proyectos presentados a su consideración por otras entidades públicas, entidades privadas, especialistas o representantes de la sociedad civil organizada;
h. Las demás que le encomiende la CODESI.

Artículo 5º.- De la instalación de la CODESI

La instalación de la CODESI se realizará en la fecha convocada por su Presidente, lo cual deberá ocurrir dentro de los diez (10) días útiles posteriores a la fecha de publicación de la presente Resolución.

Artículo 6º.- De la designación de los integrantes de la CODESI

Los integrantes de la CODESI serán designados por Resolución del Titular de la entidad correspondiente a la que representan, en el plazo de cinco (5) días útiles, contados a partir de la fecha de publicación de la presente Resolución.

Artículo 7º.- De las solicitudes de apoyo a otras entidades.

La CODESI, directamente o por intermedio de su Secretaría Técnica, podrá solicitar a las entidades públicas o privadas y especialistas, el asesoramiento, información y apoyo necesarios para el cumplimiento de la labor encomendada.

Artículo 8º.- Del Informe

La CODESI deberá entregar al Presidente del Consejo de Ministros el informe que contenga el Plan para el Desarrollo de la Sociedad de la Información, en un plazo no mayor de doce (12) meses contados desde la fecha de su instalación. (11)

Artículo 9º.- De los recursos y gastos de la CODESI

Los gastos que irrogue la aplicación de lo dispuesto en el presente dispositivo, deberán ser cubiertos con cargo a los presupuestos institucionales que correspondan. No se demandarán recursos adicionales del tesoro público.

La CODESI, por intermedio de la Presidencia del Consejo de Ministros podrá recibir y ser beneficiaria de recursos provenientes de la cooperación internacional a título de donaciones o recursos no reembolsables para el desarrollo y logro de sus objetivos. También le estará permitido recibir donaciones provenientes de instituciones educativas u otras instituciones similares sin fines de lucro.

Artículo 10º.- De las labores de coordinación de la CODESI

La CODESI actuará como órgano de coordinación con los órganos cuya competencia esté directa o indirectamente vinculada con las tecnologías de la información y comunicación, cualquiera sea su naturaleza.

Artículo 11º.- De la Reglamentación

La CODESI aprobará su Reglamento Interno dentro de un plazo de veinte (20) días útiles, contados a partir de la fecha de su instalación.

Artículo 12º.- De la Vigencia

La presente Resolución entrará en vigencia al día siguiente de su publicación.

Regístrese, comuníquese y publíquese.

LUIS SOLARI DE LA FUENTE, Presidente del Consejo de Ministros

—————————————————————————————-

(1) Párrafo modificado por el Artículo 1 de la Resolución Ministerial nº 397-2003-PCM, publicada el 14-12-2003, cuyo texto es el siguiente:
” La CODESI solicitará a otros organismos, instituciones, gremios y entidades en general, públicas o privadas, y a especialistas, el asesoramiento, información y apoyo necesarios para el cumplimiento de su objeto, buscando involucrar a la sociedad civil en la formulación del Plan encomendado”.

(2) De conformidad con el Artículo Único de la Resolución Jefatural nº 185-2003-INEI, publicada el 14-06-2003, se designa a la Lic. Cherly Oré Ramírez, como representante del INEi ante la Comisión
Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI.

(3) De conformidad con el Artículo Único de la Resolución Ministerial nº 0528-2003-AG, publicada el 20-06-2003, se designa al señor Javier Alberto López Velarde, como representante del Ministerio de
Agricultura ante la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI.

(4) De conformidad con el Artículo Único de la Resolución Ministerial nº 453-2003-MTC-03, publicada el 23-06-2003, se designa al doctor Juan Antonio Pacheco Romaní, Viceministro de Comunicaciones, como representante del Ministerio de Transportes y Comunicaciones ante la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información-CODESI.

(5) De conformidad con el Artículo Único de la Resolución Ministerial nº 805-2003-SA-DM, publicada 12-07-2003, se designa al Ing. Tulio Edgardo Gálvez Escudero, como representante del Ministerio de Salud ante la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI.

(6) De conformidad con el Artículo Único de la Resolución Ministerial nº 333-2003-EF-10, publicada el 15-07-2003, se designa al señor Julio Molina Gárate, como representante del Ministerio de Economía y Finanzas ante la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI.

(7) De conformidad con el Artículo Único de la Resolución Ministerial nº 234-2003-PCM, publicada el 16-07-2003, se designa al señor Ing. Rafael Parra Erkel como representante titular y al Dr. Iván Ferrando Perea como representante alterno de la Secretaria de Gestión Pública de la Presidencia del Consejo de Ministros ante la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información.

(8) Miembros incorporados por el Artículo 2 de la Resolución Ministerial nº 397-2003-PCM, publicada el 14-12-2003.

(9) De conformidad con el Artículo Único de la Resolución Ministerial nº 087-2004-PRODUCE, publicada el 06-03-2004, se designa al señor Ing. Enrique Garrido Lecca Risco, como representante titular y al señor Percy Solorzano Díaz, como representante alterno del Ministerio de la Producción.

(10) De conformidad con el Artículo Único de la Resolución Ministerial nº 0165-2004-RE, publicada el 11-03-2004, se designa como Representantes del Ministerio de Relaciones Exteriores ante la Comisión
Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI, a los siguientes funcionarios diplomáticos: Embajador en el Servicio Diplomático de la República, José Alberto Carrión Tejada, Director Ejecutivo de la Subsecretaría de Política Cultural Exterior, Representante Titular; y, Ministro Consejero en el Servicio Diplomático de la República, Carlos Amézaga Rodríguez, funcionario de la Subsecretaría de Política Cultural Exterior, Representante Alterno.

(11) De conformidad con el Artículo Único de la Resolución Ministerial nº 222-2004-PCM, publicada el 23-07-2004, se amplía en sesenta (60) días útiles el plazo conferido a la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI para que haga entrega del informe que contenga el Plan para el Desarrollo de la Sociedad de la Información al Presidente del Consejo de Ministros.

Recomendación 99/2, sobre la protección de la intimidad en el contexto de la interceptación de las telecomunicaciones, adoptada por el Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales, el 3 de Mayo de 1999 (DG XV D 5005/99/final WP 18)

WP 18 Grupo de trabajo sobre la protección de las personas por lo que respecta al tratamiento de datos personales

Recomendación 2/99 sobre la protección de la intimidad en el contexto de la interceptación de las telecomunicaciones

Adoptada el 3 de Mayo de 1999

EL GRUPO DE PROTECCIÓN DE LAS PERSONAS POR LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES,

Creado por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995(1),

Considerando del artículo 29 y los apartados 1 y 3 del artículo 30 de la Directiva(2),

Considerando su reglamento interno, y en particular los artículos 12 y 14 de este último,

Ha adoptado la presente recomendación:

El objetivo de la recomendación consiste en recordar la aplicación de las medidas adoptadas a nivel europeo en cuanto a interceptación de las telecomunicaciones, de los principios de protección de los derechos y libertades fundamentales de las personas físicas, y, en particular, de su intimidad y del secreto de la correspondencia.

El ámbito de aplicación de la presente recomendación contempla las interceptaciones en sentido amplio, es decir, la interceptación del contenido de las telecomunicaciones, pero también los datos correspondientes a las telecomunicaciones, y, en particular, posibles medidas preparatorias (tales como el “monitoring” y el “datamining” de los datos de tráfico) que se pudieran prever con el fin de decidir la oportunidad de la interceptación del contenido de la telecomunicación(3).”

(1) Directiva de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos DO L 281 de 23.11.1995, p 31.

(2) Los tres miembros que representan respectivamente el Registertilsynet (Dinamarca), la Commission Nationale de l'Informatique et des Libertés (CNIL, Francia) y el Data Protection Register (Reino Unido), no participaron en el voto de esta recomendación, considerando que el asunto tratado no era competencia del grupo. Con todo dan su apoyo, de un modo general, en cuanto al fondo de la recomendación.

(3) Este carácter amplio del concepto de interceptación de las telecomunicaciones corresponde al ámbito de aplicación de la Resolución del Consejo del 17 de enero de 1995 relativa a la interceptación legal de las telecomunicaciones, ya citada (Capítulo A.1.), y al marco general de las disposiciones jurídicas aplicables sobre este tema (véase más adelante, Capítulo B.).

A. Alcance de las disposiciones adoptadas a nivel europeo en cuanto a interceptación de las comunicaciones

La recomendación se aplica así a la interceptación de las telecomunicaciones no públicas en Internet. Se presta especial atención a la problemática general del tratamiento de datos personales vinculada al desarrollo de la red Internet por el grupo de protección de las personas respecto al tratamiento de los datos personales, en el marco de trabajos realizados en paralelo por el “grupo de trabajo Internet” del grupo.

1. La Resolución del Consejo de 17 de enero de 1995 relativa a la interceptación legal de las telecomunicaciones(4) enumera las condiciones técnicas necesarias para la interceptación de las telecomunicaciones, sin abordar la cuestión de las condiciones en las que deberían tener lugar tales interceptaciones. El texto de la Resolución prevé una obligación por parte los operadores de redes o proveedores de servicios de proporcionar ya descifrados a los “servicios autorizados” los datos interceptados.

Estos datos abarcan las llamadas telefónicas, móviles o no, los correos electrónicos, los mensajes fax y télex, los flujos de datos Internet, tanto por lo que se refiere al conocimiento del contenido de las telecomunicaciones como de los datos sobre las telecomunicaciones (en particular, los datos de tráfico, pero también todas las señales emitidas por la persona supervisada – apartado 1.4.4. de la Resolución).

Los datos se refieren a la persona supervisada, a las personas que la llaman y a las personas a quienes ésta llama(5).

La Resolución prevé también que la localización geográfica de los abonados de servicios móviles constituya un dato al cual deben tener acceso los servicios autorizados (6).

Esta Resolución de 18 de enero de 1995 está actualmente siendo objeto de una revisión, uno de cuyos principales objetivos es adaptarla a las nuevas tecnologías de la comunicación. El texto en proyecto precisa en particular la aplicación de las medidas de interceptación a las telecomunicaciones por satélite(7).

2. Las reflexiones del grupo de trabajo se refieren al ámbito de aplicación de las medidas previstas por la Resolución del Consejo de 17 de enero de 1995. Una versión no publicada del documento antes citado y posterior a éste (“declaración de intenciones” con fecha de 25 de octubre de 1995) prevé que los signatarios del texto puedan ponerse en contacto, por lo que se refiere a las especificaciones en cuanto a interceptación de las telecomunicaciones, con el director del “Federal Bureau of Investigation” de los Estados Unidos. El texto prevé por otro lado que, con el consentimiento de los “participantes”, otros Estados puedan participar en el intercambio de información, en la revisión y en la actualización de las especificaciones.

El grupo observa, por una parte, que el estatuto jurídico de este texto – en particular su firma efectiva por los países implicados – no queda claro y que no constituye, en el sentido de la jurisprudencia citada del Tribunal Europeo de Derechos Humanos , una medida accesible al ciudadano al no ser objeto de publicación alguna. Por otra parte, este texto confirma la voluntad de desarrollar medidas técnicas de interceptación de las telecomunicaciones en concertación con Estados no sujetos a las exigencias del Convenio Europeo de Derechos Humanos y de las Directivas 95/46/CE y 97/66/CE.

(4) DO C329 de 14.11.1996.

(5) Artículo 1.4 del Anexo de la Resolución del Consejo de 17 de enero de 1995.

(6) Artículo 1.5, ibid.

(7) Documento 10951/1/98, Enfopol 98 Rev 1 (http://www.heise.de/tp/deutsch/special/enfo/6332/1.htm). Parece que una versión aún más reciente ha recibido el acuerdo del grupo de trabajo sobre cooperación policial del Consejo y que se ha transmitido al Parlamento Europeo para que éste pueda adoptarlo o modificarlo. Se prevé al parecer que el Consejo adopte la nueva Resolución los días 27-28 de mayo de 1999 (véase “Datenschutz- Berater”, 15.02.99, p 5, que hace referencia a una versión no pública de 20.01.99). La comisión jurídica del Parlamento europeo recomendó a la comisión sobre libertades públicas (coordinador) rechazar el proyecto de revisión de la recomendación del Consejo tal como se propone en ENFOPOL 98, entre otras cosas por razones de protección de la intimidad y por la entrada en vigor inminente del Tratado de Amsterdam (véase informe Florio). La comisión de libertades públicas no siguió este dictamen y propondrá al Pleno que apruebe ENFOPOL 98 sobre la base del informe Schmid. El Parlamento Europeo debería tomar una decisión a principios de mayo.

3. El grupo constata que el texto de la Resolución del Consejo pretende resolver cuestiones técnicas relativas a las modalidades de interceptación de las comunicaciones, sin poner en causa las disposiciones nacionales que regulan las escuchas desde el punto de vista jurídico. Resulta, sin embargo, que algunas medidas previstas por la Resolución y destinadas a ampliar las posibilidades de interceptación de las comunicaciones están en contradicción con las disposiciones nacionales, más protectoras, de ciertos países de la Unión Europea (en particular: apartado 1.4, comunicación de los datos correspondientes a las llamadas, incluidas las llamadas de los usuarios móviles, sin tomar en consideración los servicios anónimos y pagados por adelantado actualmente disponibles; apartado 1.5, localización geográfica de los usuarios móviles; apartado 5.1, prohibición a los operadores de revelar a posteriori las interceptaciones realizadas).

4. Si bien la Resolución del Consejo se inscribe en un objetivo “de protección de los intereses nacionales, de seguridad nacional e investigación de crímenes graves”, el grupo desea llamar la atención sobre los riesgos de deriva por lo que respecta a los objetivos de las escuchas, riesgos que se verían aumentados por una extensión a un número creciente de países – exteriores algunos a la Unión Europea – de las técnicas de interceptación y descifrado de las telecomunicaciones.

Una resolución oficial del Parlamento Europeo de 16 de septiembre de 1998 sobre las relaciones transatlánticas(8), “considera que la importancia creciente de la red Internet, de las telecomunicaciones a escala mundial, en general, pero sobre todo del sistema ECHELON, así como los riesgos de su utilización abusiva, exigen la adopción de medidas de protección de las informaciones económicas y de un cifrado eficaz.”

Estas consideraciones ponen de relieve los riesgos vinculados a una interceptación de las telecomunicaciones que sobrepase el marco estricto de las cuestiones de seguridad nacional – e incluso el marco del “tercer pilar” de la Unión Europea. Plantean asimismo la cuestión de su legitimidad, en particular, a la luz de las obligaciones que se derivan de los textos de derecho comunitario en cuanto a protección de los derechos y libertades fundamentales de las personas físicas, y, en particular, de su intimidad.

5. El grupo destaca finalmente que la entrada en vigor del Tratado de Amsterdam implicará un cambio de base jurídica a nivel europeo por lo que se refiere a las medidas de interceptación de las telecomunicaciones. La competencia actual del Consejo para elaborar el texto de la Resolución, basada en el apartado 9 del artículo K.1 y en el apartado 2 del artículo K.3 del Tratado relativos a la cooperación policial y judicial, se convertirá en una competencia de iniciativa de la Comisión Europea sobre la base del apartado 2 del nuevo artículo K.6.

(8) Sesión plenaria, parte II, B4-0803, 0805, 0806 y 0809/98.

B. Cuadro jurídico general

6. El grupo recuerda que cada interceptación de telecomunicación, entendida como el conocimiento de una tercera parte del contenido y/o de los datos asociados a las telecomunicaciones privadas entre dos o varios corresponsales, en particular los datos de tráfico vinculados a la utilización de los servicios de telecomunicación, constituye una violación del derecho a la intimidad de los individuos y del secreto de la correspondencia.

Sólo puede por lo tanto admitirse una interceptación si responde a tres requisitos fundamentales, de acuerdo con el apartado 2 del artículo 8 del Convenio Europeo de Protección de los Derechos Humanos y de las Libertades Fundamentales de 4 de noviembre de 1950(9), y de la interpretación reservada a esta disposición por el Tribunal Europeo de Derechos Humanos: un fundamento jurídico, la necesidad de tal medida en una sociedad democrática y la conformidad con uno de los objetivos legítimos enumerados en el Convenio(10).

El fundamento jurídico deberá definir precisamente los límites y modalidades de su ejercicio, por medio de normas claras y detalladas, necesarias sobre todo debido al perfeccionamiento continuo de los medios técnicos utilizables(11). Este texto legal debe ser accesible al público para que el ciudadano pueda prever las consecuencias de su comportamiento(12).

En este contexto jurídico debe prohibirse la vigilancia exploratoria o general de las telecomunicaciones a gran escala(13).

7. En la Unión Europea, la Directiva 95/46/CE (14) consagra el principio de la protección del derecho a la intimidad inscrito en los sistemas jurídicos de Estados miembros. Esta Directiva precisa los principios contenidos en el Convenio Europeo de Protección de los Derechos Humanos de 4 de noviembre de 1950 y en el Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales. La Directiva 97/66/CE (15) concreta las disposiciones de esta Directiva y precisa la obligación de los Estados miembros de proteger el secreto de las comunicaciones por medio de normativas nacionales que garanticen la confidencialidad de las comunicaciones efectuadas a través de redes públicas de telecomunicaciones o de servicios de telecomunicaciones accesibles al público.

(9) Conviene destacar que las garantías fundamentales reconocidas por el Consejo de Europa en cuanto a interceptación de las comunicaciones generan obligaciones a cargo de los Estados independientemente de las distinciones que existan en la Unión Europea en función del carácter comunitario o intergubernamental de los ámbitos abordados.

(10) El Convenio nº 108 del Consejo de Europa prevé también que sólo se tolerará una medida de injerencia cuando constituya una medida necesaria en una sociedad democrática para la protección de los intereses nacionales enumerados en el apartado 2 de su artículo 9 (se tendrá en cuenta que los intereses nacionales enumerados en el Convenio 108 y en el Convenio de Protección de Derechos Humanos no son exactamente iguales), y cuando esté estrictamente definida respecto a esta finalidad.

(11) Véanse a este respecto, más adelante, las obligaciones previstas por el artículo 4 de la recomendación n§ 4 del Consejo de Europa sobre la protección de los datos personales en el ámbito de los servicios de telecomunicaciones, respecto, en particular, a los servicios telefónicos, de 7 de febrero de 1995

(12) Sentencias Huvig y Kruslin contra Francia de 25 de abril de 1990, serie A nº 176 A y B, p 15 y s.

(13) Véanse, en particular, las sentencias Klass, de 6 de septiembre de 1978, serie A nº 28, p 23 y s, y Malone, de 2 de agosto de 1984, serie A nº 82, p 30 y s.

La sentencia Klass, así como la sentencia Leander de 25 de febrero de 1987, hacen hincapié en la necesidad de “garantías suficientes contra los abusos, ya que un sistema de vigilancia secreta destinado a proteger la seguridad nacional crea el riesgo de minar, o incluso de destruir, la democracia pretendiendo defenderla” (Sentencia Leander, serie A nº 116, p 14 y s).

El Tribunal observa en la sentencia Klass (apartados 50 y s) que la valoración de la existencia de garantías adecuadas y suficientes contra los abusos depende de todas las circunstancias de la causa. Considera en la sentencia en cuestión que las medidas de vigilancia previstas por la legislación alemana no autorizan la vigilancia exploratoria o general y no infringen el artículo 8 del Convenio europeo de protección de los derechos humanos. Las garantías previstas por la ley alemana son las siguientes: sólo pueden efectuarse medidas de vigilancia cuando ciertos indicios permitan sospechar que alguien proyecta realizar, realiza o ha realizado infracciones graves; sólo pueden prescribirse si el esclarecimiento de los hechos por otros medios está llamado al fracaso o presenta considerables obstáculos; incluso en ese caso la vigilancia sólo podrá referirse a la persona del sospechoso o a las personas presuntamente en contacto con éste.

Según el apartado 1 del artículo 13 de la Directiva 95/46/CE, un Estado miembro puede adoptar medidas legislativas destinadas a limitar el alcance de determinadas obligaciones (por ejemplo acerca de la recogida de datos) y determinados derechos (por ejemplo el derecho a ser informado en caso de recogida de datos) previstos por la Directiva16. Estas excepciones se enumeran taxativamente: la limitación debe constituir una medida necesaria para proteger los intereses públicos enunciados de manera exhaustiva en las letras a) a g) de este artículo, tales como la seguridad del Estado, la defensa, la seguridad pública o la prevención, investigación, detección y represión de infracciones penales.

En el apartado 1 del artículo 14, la Directiva 97/66/CE precisa también que los Estados miembros sólo pueden restringir la obligación de confidencialidad de las comunicaciones a través de redes públicas cuando tal medida constituya una medida necesaria para salvaguardar la seguridad del Estado, la defensa, la seguridad pública, la prevención, investigación, detección y represión de infracciones penales.

C. Obligaciones de los operadores y de los proveedores de servicios de telecomunicación

8. Hay que hacer hincapié en el hecho de que las obligaciones de seguridad y confidencialidad de los datos a las que se somete a los operadores de telecomunicaciones, a los proveedores de servicios y a los Estados miembros, respectivamente sobre la base de los apartados 1 y 2 del artículo 17 de la Directiva 95/46 (14) y sobre la base de los artículos 4, 5 y 6 de la Directiva 97/66/CE (15), constituyen el principio y no la excepción.

El grupo recuerda que estas obligaciones se imponen también de manera general a los operadores con arreglo al artículo 7 del Convenio del Consejo de Europa nº 108 para la protección de las personas respecto al tratamiento de los datos personales, de 28 de enero de 1981, y del artículo 4 de la Recomendación nº 4 del Consejo de Europa sobre protección de datos personales en el ámbito de los servicios de telecomunicaciones, de 7 de febrero de 1995(17), que tiene en cuenta, en particular, a los servicios telefónicos.

(14) Se deberá tener en cuenta que el artículo 3 de la Directiva 95/46/CE excluye de su ámbito de aplicación los tratamientos de datos personales en el ejercicio de actividades no incluidas en el ámbito de aplicación del Derecho comunitario, y los tratamientos cuyo objeto sea la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado relativas a ámbitos de derecho penal. La mayoría de los Estados miembros que transponen esta Directiva no han establecido sin embargo hasta ahora, en sus leyes nacionales, una distinción según la cual esta ley no se aplicaría a las materias no cubiertas por el Derecho comunitario.

Hay que añadir que, a partir del momento en que se aplica en el marco de la Directiva un tratamiento de datos (por ejemplo, la lista de las llamadas registradas para facturación por un operador), pero que en una segunda fase es objeto de un tratamiento consistente en una interceptación de estos datos, deben aplicarse las disposiciones de Derecho comunitario. La Directiva 95/46/CE prevé a este respecto una serie de garantías que deben respetarse en el marco de estas interceptaciones, y que se exponen a continuación.

(15) Directiva de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, DO L 24 de 30 de enero de 1998, p.1.

(16) Previstos en el apartado 1 del artículo 6 – principios relativos a la calidad de los datos, en el artículo 10, en el apartado 1 del artículo 11 – información a la persona en cuestión, y en los artículos 12 – derecho de acceso y 21 – publicidad de los tratamientos.

9. Estas obligaciones implican, por una parte, que los operadores de telecomunicación y los proveedores de servicios sólo pueden tratar los datos relativos al tráfico y a la facturación de las telecomunicaciones cumpliendo determinadas condiciones: a partir del principio de que los datos referentes al tráfico relativos a abonados y usuarios deben borrarse o tornarse anónimos en cuanto termina la comunicación, se deduce que las finalidades para las cuales pueden tratarse los datos, la duración de su posible conservación, así como el acceso a dichos datos están estrictamente limitados(18).

10. Por otra parte, los operadores de telecomunicaciones y los proveedores de servicios de telecomunicaciones deben adoptar las medidas necesarias con el fin de hacer técnicamente difíciles o imposibles, según el estado actual de la técnica, la interceptación de las telecomunicaciones por instancias no autorizadas por la ley.

El grupo destaca a este respecto que la aplicación de medios eficaces de interceptación de las comunicaciones con fines legítimos, utilizando precisamente las técnicas más avanzadas, no debe tener por consecuencia reducir el nivel general de confidencialidad de las comunicaciones y de protección de la intimidad de las personas.

Estas obligaciones toman un sentido particular cuando las telecomunicaciones entre personas situadas en el territorio de los Estados miembros transiten o puedan transitar por el exterior del territorio europeo, en particular en la utilización de satélites o de Internet.

11. En la medida en que sea de aplicación la Directiva 95/46/CE, el hecho de hacer accesibles tales telecomunicaciones en el exterior de la Unión Europea podría por otra parte constituir una violación de su artículo 25, dado que los organismos extranjeros que interceptan los datos no necesariamente pueden pretender garantizar un nivel adecuado de protección.

(17) “4.1. No deberían comunicarse los datos personales recogidos y tratados por los concesionarios de red o los proveedores de servicios, a menos que el abonado interesado haya dado por escrito su consentimiento claro y explícito y que la información comunicada no permita identificar a los abonados llamados.

El abonado puede retirar su consentimiento en cualquier momento pero no con efecto retroactivo.

4.2. Los datos personales recogidos y tratados por los concesionarios de red o los proveedores de servicios pueden comunicarse a las autoridades públicas si esta comunicación está prevista por la ley y constituye una medida necesaria, en una sociedad democrática:

a. para la protección de la seguridad del Estado, la seguridad pública, los intereses monetarios del Estado o la represión de las infracciones penales;

b. para la protección de la persona en cuestión y los derechos y libertades de otros.

4.3. En caso de comunicación de datos personales a autoridades públicas, el derecho interno debería

regular:

a. el ejercicio de los derechos de acceso y rectificación por parte de la persona interesada;

b. las condiciones en las cuales las autoridades públicas competentes tendrán derecho a negarse a dar información a la persona interesada o a diferirla;

c. la conservación o destrucción de estos datos.”

(18) Véanse en particular las obligaciones del artículo 6 de la Directiva 97/66/CE.

Estas obligaciones plantean algunos interrogantes en cuanto a las prácticas que se desarrollan actualmente entre los prestadores de servicios de telecomunicación y que consisten en un examen general y previo de los datos de tráfico de los suscriptores, con objeto de identificar el comportamiento sospechoso de algunos abonados – y eventualmente permitir la interceptación específica del contenido de ciertas telecomunicaciones.

D. Respeto de las libertades fundamentales por parte de las autoridades públicas en el ámbito de las interceptaciones

12. Es importante que el derecho nacional precise de manera rigurosa y tomando en cuenta todas las disposiciones previamente mencionadas:

_ las autoridades habilitadas para permitir la interceptación legal de las telecomunicaciones, los servicios autorizados para proceder a las interceptaciones y el fundamento jurídico de su intervención,

_ las finalidades según las cuales pueden tener lugar tales interceptaciones, que permitan apreciar su proporcionalidad respecto a los intereses nacionales en juego,

_ la prohibición de cualquier vigilancia exploratoria o general de las telecomunicaciones a gran escala,

_ las circunstancias y condiciones precisas (por ejemplo elementos de hecho que justifiquen la medida, duración de la medida) a las cuales están sometidas las interceptaciones, en cumplimiento del principio de especificidad al que se supedita toda injerencia en la intimidad de otros(19),

_ el respeto de este principio de especificidad, corolario de la prohibición de cualquier vigilancia exploratoria o general, que implica, por lo que se refiere concretamente a los datos de tráfico, que las autoridades públicas no pueden tener acceso a estos datos sino con carácter particular, y no de manera general y proactiva.

_ las medidas de seguridad por lo que se refiere al tratamiento y el almacenamiento de los datos, y la duración de su conservación,

_ por lo que se refiere a las personas implicadas de manera indirecta o aleatoria(20) en las escuchas, las garantías particulares referentes al tratamiento de los datos personales: en particular, los criterios que justifican la conservación de los datos, y las condiciones de la comunicación de estos datos a terceros,

_ la información a la persona supervisada, lo antes posible(21),

_ los tipos de recurso que puede ejercer la persona supervisada(22) ,

_ las modalidades de vigilancia de estos servicios por una autoridad de control independiente(23),

_ la publicidad – por ejemplo en forma de informes estadísticos regulares – de la política de interceptación de las telecomunicaciones efectivamente practicada(24),

_ las condiciones precisas en las que pueden comunicarse los datos a terceros en el marco de acuerdos bilaterales o multilaterales.

(19) Véase más arriba, nota 13.

(20) Los datos que aquí se contemplan se refieren a personas que no son objeto de medidas de vigilancia, pero cuyo corresponsal sí es objeto de tales medidas; por ejemplo: número de teléfono marcado por la persona supervisada y correspondiente a uno de los progenitores de este último; localización geográfica de personas en contacto por teléfono móvil con la persona objeto de escucha.

(21) La persona bajo vigilancia debería en efecto poder ser informada a partir del momento en que la información no perjudica o ya no perjudica más a la investigación.

(22) La sentencia Leander antes citada recuerda que el órgano ante el cual puede presentarse el recurso “no es necesario que sea una institución judicial strictu sensu, pero sí que sus poderes y las garantías de procedimiento de que dispone permitan apreciar la eficacia del recurso”. Este recurso “debe ser un recurso lo más efectivo posible, habida cuenta de las limitaciones inherentes a todo sistema de vigilancia secreta destinado a proteger la seguridad nacional” (83 y 84).

(23) La sentencia Leander contempla el control democrático de las interceptaciones cuando precisa que “incumbe al Parlamento y a instituciones independientes [del Gobierno] velar por el buen funcionamiento del sistema” (64).

(24) Esta exigencia de publicidad, así como, en particular, la necesidad de un control de las interceptaciones por una autoridad independiente, se mencionan en el “Common position on public accountability in relation to interceptation of private communications” adoptada en Hong Kong el 15 de abril de 1998 por el grupo internacional de trabajo sobre protección de datos en el sector de las telecomunicaciones

Hecho en Bruselas, a 3 de Mayo de 1999

En nombre del grupo

Peter HUSTINX

Presidente

1. peatükk.- ÜLDSÄTTED

§ 1. Määruse reguleerimisala

Käesoleva määrusega kehtestatakse riigisaladuse ja salastatud välisteabe kaitse kord ning riigisaladuseks oleva teabe alaliigid, teabe alaliigi salastamistase ja -tähtaeg.

§ 2. Mõisted

Käesolevas määruses kasutatakse mõisteid järgmises tähenduses:
1) salastatud teave – riigisaladus või salastatud välisteave;
2) töötlev üksus – salastatud teavet töötlev asutus, põhiseaduslik institutsioon või juriidiline isik või töötlemisloa alusel salastatud teavet töötlev füüsiline isik;
3) administratiivala – töötleva üksuse kasutuses olev selge välispiiriga ala, millele sisenenud kõik isikud ja sõidukid tuvastatakse;
4) avalik ruum – ala, mis ei ole turva- ega administratiivala;
5) salastamisandmete parandamine – õigusliku aluseta riigisaladusena töödeldava teabe salastatuse kustutamine; valel tasemel, valel õiguslikul alusel või vale tähtajaga salastatud riigisaladuse taseme, õigusliku aluse või tähtaja muutmine;
6) avatud hoiuala – turvaala, kus ei pea kasutama seifi ega lukustatavat kappi või sahtlit;
7) kuller – isik, kes edastab salastatud teabekandjat.

§ 3. Ministeeriumi kantsleri volitamine

Minister võib ministeeriumi kantslerit volitada tegema kõiki toiminguid ja otsuseid, mida minister saab käesoleva korra kohaselt teha asutuse juhina.

2. peatükk.- RIIGISALADUSE ALALIIGID

§ 4. Välissuhete riigisaladuse alaliigid

(1) Välissuhtlemisasutuse loodud rahvusvahelisi suhteid käsitleva sellise teabe ja välissuhtlemisasutuse loodud sellise teabe osas, mille avalikuks tulek kahjustaks oluliselt Eesti Vabariigi välissuhtlemist, on riigisaladuseks:
1) välissuhtlemisasutuse töötaja või esindaja rahvusvahelisel kohtumisel saadud või kohtumist käsitlev teave, mille avalikustamine võib oluliselt kahjustada riigi julgeolekut. Selline teave salastatakse salajasel tasemel 50 aastaks;
2) välissuhtlemisasutuse töötaja või esindaja rahvusvahelisel kohtumisel saadud või kohtumist käsitlev teave, mille avalikustamine võib kahjustada riigi julgeolekut või oluliselt kahjustada välissuhtlemist. Selline teave salastatakse piiratud tasemel kohtumisel osalenud poolte kokkulepitud tähtpäeva või sündmuse saabumiseni, kuid mitte kauemaks kui 50 aastaks;
3) välissuhtlemisasutuse loodud teave rahvusvaheliste läbirääkimiste või kohtumiste ettevalmistamise ja läbiviimise kohta, mille avalikuks tulek enne läbirääkimiste või kohtumise toimumist võib kahjustada riigi julgeolekut või oluliselt kahjustada välissuhtlemist. Selline teave salastatakse piiratud tasemel kuni kohtumise toimumiseni või 50 aastaks, kui teabe avalikustamine pärast kohtumist või kohtumise ärajäämise korral kahjustaks riigi julgeolekut või oluliselt kahjustaks välissuhtlemist;
4) rahvusvaheliste visiitide või tseremooniate (selles punktis edaspidi üritus) ettevalmistamist või läbiviimist kajastav teave, välja arvatud juhul, kui selle avalikuks tulek ei kahjusta riigi julgeolekut ega kahjusta oluliselt välissuhtlemist. Selline teave salastatakse piiratud tasemel kuni ürituse toimumiseni või 50 aastaks, kui teabe avalikustamine pärast üritust või ürituse ärajäämise korral kahjustaks riigi julgeolekut või oluliselt kahjustaks välissuhtlemist;
5) rahvusvahelisel kohtumisel saadud või kohtumist kajastav välissuhtlemisasutuse loodud teave, mida kaitstakse avalikuks tuleku eest rahvusvaheliste tavade kohaselt või mille kaitsmises on kohtumisel või muul üritusel osalejate vahel kokku lepitud. Selline teave salastatakse osalejate kokkuleppel või rahvusvahelise tava kohaselt määratud tasemel ja tähtajaks, kuid mitte kõrgemal kui salajasel tasemel ja mitte kauemaks kui 50 aastaks;
6) välissuhtlemisasutuse loodud teave, mis käsitleb rahvusvahelisi suhteid, välisriiki või rahvusvahelist institutsiooni või nende esindajat, kui teabe sisu, selle edastamise viisi või allika avalikustamine kahjustaks riigi julgeolekut või kahjustaks oluliselt välissuhtlemist. Selline teave salastatakse piiratud tasemel 50 aastaks.

(2) Strateegilise kauba sisseveo, väljaveo, transiidi, sõjalise kaubaga seotud teenuse väljaveo ja strateegilise kauba lõppkasutuse kohta Välisministeeriumi juures tegutseva strateegilise kauba komisjoni kogutud ja koostatud teabe osas on riigisaladuseks:
1) strateegilise kauba komisjoni ülesannete täitmiseks kogutud teave strateegilise kauba sisseveo, väljaveo, transiidi, sõjalise kaubaga seotud teenuse väljaveo ja strateegilise kauba lõppkasutuse kohta, välja arvatud teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse salajasel tasemel 30 aastaks;
2) strateegilise kauba komisjoni ülesannete täitmiseks strateegilise kauba sisseveo, väljaveo, transiidi, sõjalise kaubaga seotud teenuse väljaveo ja strateegilise kauba lõppkasutuse kohta koostatud teave, milles analüüsitakse strateegilise kauba levikut ja sellega seotud ohtu julgeolekule. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;
3) strateegilise kauba kontrolli rahvusvahelisele kontrollsüsteemile – Wassenaari kokkuleppe osalistele – ja Euroopa Liidu tavarelvastuse töögrupile edastatav teave strateegilise kauba komisjoni poolt sõjalise kauba, välja arvatud massihävitusrelvadega seotud materjalid, rajatised ja seadmed, sisseveo- või väljaveolitsentsi, transiidiloa või lõppkasutuse järelevalve dokumendi väljastamisest keeldumise kohta; samuti teave sellist keeldumist arutanud strateegilise kauba komisjoni koosolekul käsitletu kohta. See teave salastatakse piiratud tasemel 10 aastaks;
4) strateegilise kauba kontrolli rahvusvahelistele kontrollsüsteemidele – tuumatarnijate grupile ja Austraalia grupile – edastatav strateegilise kauba komisjoni koostatud teave massihävitusrelvadega seotud materjalide, rajatiste ja seadmete sisseveo- või väljaveolitsentsi, transiidiloa või lõppkasutuse järelevalve dokumendi väljastamisest keeldumise kohta; samuti teave sellist keeldumist arutanud strateegilise kauba komisjoni koosolekul käsitletu kohta. See teave salastatakse konfidentsiaalsel tasemel 20 aastaks.

§ 5. Riigikaitse riigisaladuse alaliigid

(1) Sõjalise riigikaitse ettevalmistamist, juhtimist ja tegevust käsitleva teabe osas on riigisaladuseks:

1) kaitseväe reservüksuse ja sõjaaja üksuse koosseisu ja varustuse koondandmeid kajastav teave. See teave salastatakse piiratud tasemel 10 aastaks või kuni mobilisatsiooni väljakuulutamiseni;

[RT I 2008, 55, 312 – jõust. 1.01.2009]

1¹) kaitseväe väeüksuste tüüpsuurusi käsitlev teave. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;

[RT I 2008, 55, 312 – jõust. 1.01.2009]

2) [Kehtetu – RT I 2008, 55, 312 – jõust. 1.01.2009]

3) kaitseväe kaitsetegevuse riigi ulatuses operatiivplaneerimist kajastav teave. See teave salastatakse salajasel tasemel 50 aastaks;
4) kaitseväe kaitsetegevuse operatiivplaneerimist kaitseringkonna ulatuses kajastav teave. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;

5) kaitseväe kaitsetegevuse operatiivplaneerimist sõjaaja üksuse ulatuses kajastav teave. See teave salastatakse piiratud tasemel 30 aastaks;

[RT I 2008, 55, 312 – jõust. 1.01.2009]

6) kaitseväe tegevuskava erakorralise seisukorra ajal. See teave salastatakse salajasel tasemel 20 aastaks. Salastatus kustub teabe avalikul kasutamisel erakorralise seisukorra ajal;
7) kaitseväe tegevuskava kõrgendatud valmisoleku, tõrjevalmisoleku ning täieliku valmisoleku puhul riigi ulatuses. See teave salastatakse salajasel tasemel 50 aastaks;
8) kaitseväe tegevuskava kõrgendatud valmisoleku, tõrjevalmisoleku ja täieliku valmisoleku korral kaitseringkonna ulatuses. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;

9) kaitseväe tegevuskava kõrgendatud valmisoleku, tõrjevalmisoleku ning täieliku valmisoleku korral sõjaaja üksuses. See teave salastatakse piiratud tasemel 30 aastaks;

[RT I 2008, 55, 312 – jõust. 1.01.2009]

10) kaitseväe sõjalisel operatsioonil osalemist, selle juhtimist ja läbiviimist kajastav, üksuste kaitseks vajalik teave. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
11) teave kaitseväe sõjaaja struktuuri ja juhtimissüsteemi kohta. See teave salastatakse konfidentsiaalsel tasemel 20 aastaks;
12) kaitseväe sõjaaja info- ja sidesüsteemide ning nende kaitsevahendite ülesehitust kajastav teave. See teave salastatakse konfidentsiaalsel tasemel 25 aastaks;
13) teave sõjaaja raadiosageduste kohta. See teave salastatakse salajasel tasemel 50 aastaks;
14) kaitseväe mereseiresüsteemide andmeedastusseadmete parameetrid ja tegevusvõime. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
15) kaitseväe sõjalaevade magnet- ja akustiliste väljade mõõtmise tulemused. See teave salastatakse salajasel tasemel 10 aastaks;
16) sadamate sõjalise kaitse kava. See teave salastatakse konfidentsiaalsel tasemel 20 aastaks;
17) kaitseväe relvastatud jõu kasutamise reeglid. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;

18)  kaitseväe kaitsetegevuse operatiivjuhtimist kajastav teave. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(2) Mobilisatsiooni ettevalmistamist ja läbiviimist käsitleva teabe osas on riigisaladuseks mobilisatsiooni riiklikusse keskregistrisse kantud andmed kogumis. See teave salastatakse salajasel tasemel 30 aastaks.

(3) Mobilisatsioonivaru käsitleva teabe osas on riigisaladuseks teave mobilisatsioonivaru üldkoguste kohta. See teave salastatakse salajasel tasemel 10 aastaks.

(4) Kaitseväe ja Kaitseliidu sõjaväerelvi ja lahingumoona käsitleva teabe osas on riigisaladuseks:
1) kaitseväe ja Kaitseliidu sõjaväerelvade ja lahingumoona koondandmeid ja -jaotust kajastav teave, välja arvatud teave, mille avaldamine on kohustuslik välislepingu alusel. See teave salastatakse salajasel tasemel 20 aastaks;

2) [Kehtetu – RT I 2008, 55, 312– jõust. 1.01.2009]

3) mereväe relvasüsteemide taktikalised andmed, välja arvatud rannakaitse relvasüsteemide taktikalised andmed. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks.

(5) Kaitseväe radariteabe ja seiresüsteemidelt kogutud teabe osas on riigisaladuseks:
1) piirivalve radariteave ja seiresüsteemide seadmete tehnilised parameetrid ja tegevusvõime. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
2) õhuväe õhuseireradari võime parameetrid, mille avalikuks tulek võib kahjustada õhuseiret. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
3) teave radari elektroonilise sõjapidamise võime ning elektroonilise sõjapidamise olukorras rakendatavate vastumeetmete kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
4) radari andmetöötluse algoritmid, filtreeritud alad ja sihtmärgi kriteeriumid. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
5) radari ja passiivse seiresüsteemi tegevusseisund ja plaanilised hooldusajad. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
6) statsionaarsete radarite paiknemise koondandmed, mille avalikuks tulek võib kahjustada õhuseire võimet, ja mobiilse radari täpne geograafiline asukoht kraadi ja minuti täpsusega. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
7) radari hoolduse ja analüüsi tulemused. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
8) teave objekti tuvastamist võimaldava krüpteeritud sekundaarradari signaali kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
9) õhuseiresüsteemi poolt kogutud ja töödeldud terviklik radariteave. See teave salastatakse konfidentsiaalsel tasemel 5 aastaks;
10) õhuväe passiivse õhuseiresüsteemi poolt kogutud ja selle alusel analüüsitud teave. See teave salastatakse salajasel tasemel 10 aastaks;
11) teave õhukaitsesüsteemi paiknemise, tegevusfunktsiooni ja koodnimetuse kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
12) teave õhuseire vastutus- ja jälgimisala kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
13) teave õhukaitsesüsteemi tegevusfunktsioonide kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
14) õhuseiresüsteemi tegevusseisund. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
15) passiivses seiresüsteemis kasutatavad seadmed ja nende tehnilised parameetrid. See teave salastatakse piiratud tasemel 10 aastaks;
16) mereseirevahenditega kogutud ja analüüsitud teave. See teave salastatakse salajasel tasemel 10 aastaks;
17) teave mereseiresüsteemi merepildi tuvastus- ja analüüsivõime kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
18) teave konkreetsetes kasutustingimustes laevadele paigutatud mereseiresüsteemide seadistuse kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks.

(6) Riigikaitselisi leiutisi ja uuringuid ning nende tulemusi käsitleva teabe osas on riigisaladuseks riigikaitselisi leiutisi ja uuringuid käsitlev teave, välja arvatud teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse salajasel või madalamal tasemel kuni 15 aastaks.

(7) Kaitseväeluurega tegeleva kaitseväe struktuuriüksuse kogutud ja sünteesitud teabe osas on riigisaladuseks:

1) sideluure vahenditega kogutud teave või selle põhjal sünteesitud teave, mille põhjal on võimalik tuvastada kogumisviis. See teave salastatakse täiesti salajasel tasemel 50 aastaks;

2) elektroonilise luure vahenditega kogutud teave või selle põhjal sünteesitud teave. See teave salastatakse salajasel tasemel 30 aastaks;

3) varjatud jälgimise teel kogutud teave või selle põhjal sünteesitud teave. See teave salastatakse salajasel tasemel 30 aastaks;

4) käesoleva lõike punktis 3 nimetatud teave, kui selle avaldamisega kaasneks oht inimese elule või tervisele. See teave salastatakse täiesti salajasel tasemel 50 aastaks;

5) teave, mis kajastab riigikaitselisi ja sõjalisi ohuallikaid. See teave salastatakse konfidentsiaalsel tasemel 15 aastaks;

6) teave, mis kajastab välisriike, rahvusvahelisi organisatsioone, välismaiseid sõjalisi tegureid ja tegevust. See teave salastatakse piiratud tasemel 15 aastaks;

7) kaitseväeluuret teostava kaitseväe struktuuriüksuse poolt koostatud ohuhinnangut käsitlev teave. See teave salastatakse salajasel tasemel 50 aastaks;

8) kaitseväeluuret teostava kaitseväe struktuuriüksuse poolt julgeolekuasutuste korraldatud luure- ja vastuluureoperatsioonide käigus kogutud teave või selle alusel sünteesitud teave. See teave salastatakse salajasel tasemel 30 aastaks;

9) välisriigi, rahvusvahelise organisatsiooni, rahvusvahelise kokkuleppega loodud institutsiooni või julgeolekuasutuste teave, mille lähteandmed on salastatud kõrgemal tasemel või pikemaks ajaks, kui on sätestatud käesoleva lõike punktides 5 ja 6, salastatakse lähteandmete kõrgeimat taset ja pikimat tähtaega sätestava riigisaladuse alaliigi alusel;

10) piltluure kaudu kogutud teave või selle põhjal sünteesitud teave, välja arvatud teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse piiratud tasemel 15 aastaks.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(8) “Kaitseväe korralduse seaduse” § 37 lõike 1 punktides 1 ja 2 nimetatud viisil teavet koguva kaitseväe struktuuriüksuse ja kaitseväeluure ülesannet täitva Kaitseväe Peastaabi struktuuriüksuse koosseisu, ülesandeid ja eelarve jaotust käsitleva teabe osas on riigisaladuseks:
1) struktuuriüksuse või allüksuste struktuurid, koosseisu käsitlev teave ja ametikohtade jaotus ning paiknemine struktuuriüksustes eraldiseisvalt ja andmekoguna, välja arvatud struktuuriüksuste ülemate ametikohad ja teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse salajasel tasemel 25 aastaks;
2) struktuuriüksuse või allüksuse ülesanded ja nende teenistujate tööülesanded ning tööülesandeid käsitlev teave, välja arvatud teave, mille avalikustamine ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse salajasel tasemel 25 aastaks;
3) struktuuriüksuse või allüksuse teenistujate koondandmed, samuti andmed kaitseväe luure värbamisstatistika ja ametikohtade komplekteerimise ning täituvuse osas. See teave salastatakse salajasel tasemel 25 aastaks;
4) struktuuriüksuse või allüksuse eelarve kulude liigendus, eelarve täitmise aruandlus, eelarve planeering ja investeeringud, välja arvatud teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse salajasel tasemel 25 aastaks.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(9) [Kehtetu – RT I 2008, 55, 312 – jõust. 1.01.2009]

(10) “Kaitseväe korralduse seaduse” § 37 lõike 1 punktides 1 ja 2 ning lõikes 2 nimetatud viisil teavet koguva kaitseväeluuret teostava kaitseväe struktuuriüksusepoolt teabe kogumist kajastava teabe, kaasa arvatud kogumiseks kasutatavate meetodite, vahendite ja jälgitavaid objekte käsitleva teabe osas on riigisaladuseks:
1) struktuuriüksuse poolt teabe varjatud kogumisel kasutatavad meetodid ja vahendid ning neid kajastav teave. See teave salastatakse salajasel tasemel 50 aastaks;
2) signaalluure ja muude tehniliste luurevahendite võimeid käsitlev teave. See teave salastatakse salajasel tasemel 50 aastaks;
3) signaalluure ja muude tehniliste luurevahendite võimet tagavad süsteemid või vahendid. See teave salastatakse konfidentsiaalsel tasemel 20 aastaks;
4) teabe kogumise alustamiseks ja lõpetamiseks tehtud otsuseid käsitlev teave. See teave salastatakse salajasel tasemel 50 aastaks.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(11) Kaitseväeluurealast rahvusvahelist koostööd käsitleva teabe osas on riigisaladuseks:
1) teave välissuhtluse kohta, kui see ei sisalda käesoleva lõike punktides 2–4 nimetatud teavetvõi ei kahjusta riigi julgeolekut. See teave salastatakse piiratud tasemel 30 aastaks;
2) teave koostöö kohta välisriigi ja rahvusvahelise organisatsiooniga, kui see ei sisalda käesoleva lõike punktides 3 ja 4 nimetatud teavet. See teave salastatakse konfidentsiaalsel tasemel 50 aastaks, kui ei ole kokku lepitud teisiti. Teavet ei salastata, kui see on õiguspäraselt avalikustatud;
3) rahvusvahelise koostöö käigus varjatult kogutud teave ja selle teabe vahetamist kajastav teave. See teave salastatakse salajasel tasemel 50 aastaks, kui ei ole kokku lepitud teisiti;
4) koos välisriigi politsei- või julgeolekuasutusega varjatult kogutud luure- ja vastuluure alane teave ja selle kogumist kajastav teave. See teave salastatakse täiesti salajasel tasemel 50 aastaks, kui ei ole kokku lepitud teisiti.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(12) Kaitseväe ja Kaitseliidu militaargeograafia valdkonda käsitleva teabe osas on riigisaladuseks:

1) mõõtkavas 1:50.000 kaitsejõudude ruumiandmebaas, kolmemõõtmelised maastikumudelid, töödeldud kaugseireandmed. See teave salastatakse piiratud tasemel 10 aastaks;

[RT I 2008, 55, 312 – jõust. 1.01.2009]

2) kaitseväe poolt Eesti riigi territooriumi kohta koostatud strateegilise ja taktikalise tasandi maastikuanalüüsid, riigikaitseliste objektide geokoordineeritud plaanid ja kaitseväe poolt koostatud riigikaitseliste objektide kolmemõõtmelised geograafilised mudelid. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;
3) kaitseväe poolt välisriigi territooriumi kohta koostatud strateegilise ja taktikalise tasandi maastikuanalüüsid, riigikaitseliste objektide koordineeritud plaanid, töödeldud kaugseireandmed ja kolmemõõtmelised mudelid. See teave salastatakse salajasel tasemel 30 aastaks.

§ 6. Korrakaitse riigisaladuse alaliigid

(1) Jälitusasutuste poolt jälitustegevuse käigus kogutud teabe ning teabe kogumisel kasutatud meetodeid, taktikat ja vahendeid käsitleva teabe osas on riigisaladuseks:
1) tunnistajakaitse teostamiseks jälitustegevuse käigus kogutud teave. See teave salastatakse salajasel tasemel 25 aastaks;
2) jälitusasutuse poolt jälitustoiminguga kogutud teave. See teave salastatakse piiratud tasemel 25 aastaks. Sellise teabe salastatus kustub selles ulatuses, mis on kantud kriminaaltoimikusse või mida tutvustatakse isikule, kelle suhtes jälitustoiming tehti, või isikule, kelle perekonna- või eraelu puutumatust jälitustoiminguga riivati;
3) jälitusasutuse poolt jälitustegevuses salajasele koostööle kaasatud isikult saadud teave. See teave salastatakse piiratud tasemel 50 aastaks;
4) Keskkriminaalpolitsei poolt koostatud organiseeritud ja muu raske kuritegevuse ohuhinnangutes ning ülevaadetes kajastuv jälitustegevuse käigus kogutud teave. See teave salastatakse piiratud tasemel 50 aastaks;
5) jälitustegevuses kasutatavaid meetodeid, taktikat ja vahendeid kajastav teave, välja arvatud teave, mis on tuletatav õiguspäraselt avaldatud jälitustoiminguga kogutud teabest. See teave salastatakse piiratud tasemel 25 aastaks;
6) teave jälitusasutuse poolt jälitustegevuses salajasele koostööle kaasatud isiku tasu, hüvitise ja neilt tasutud maksude ning neid kajastavate dokumentide kohta. See teave salastatakse piiratud tasemel 25 aastaks;
7) andmed jälitusasutuse poolt teeseldud isiku või organi kohta, mis võivad paljastada tema seotust jälitusasutusega. See teave salastatakse piiratud tasemel 25 aastaks.

(2) Jälitusasutuste poolt jälitustegevuses salajasele koostööle kaasatud isiku ja variisiku kohta käivate andmete osas on riigisaladuseks andmed jälitusasutuse poolt jälitustegevuses salajasele koostööle kaasatud isiku ja variisiku identiteedi kohta. See teave salastatakse piiratud tasemel 75 aastaks. Salastatus kustub, kui isiku surmast on möödunud 20 aastat, kuid mitte varem kui 50 aastat teabe salastamisest arvates.

(3) Andmed jälitusasutuste politseiagendi kohta on riigisaladus. See teave salastatakse piiratud tasemel 75 aastaks. Sellise teabe salastatus kustub selles ulatuses, mis on kantud kriminaaltoimikusse. Kriminaaltoimikusse kandmata teabe salastatus kustub, kui isiku surmast on möödunud 20 aastat, kuid mitte varem kui 50 aastat teabe salastamisest arvates.

(4) Keskkriminaalpolitsei tunnistajakaitse struktuuriüksuse struktuuri, koosseisu ja ülesandeid kajastava teabe osas on riigisaladuseks Keskkriminaalpolitsei tunnistajakaitse struktuuriüksuse struktuuri, koosseisu ja selle ametikohtadel töötavaid isikuid ning nende ülesandeid kajastav teave Keskkriminaalpolitsei juhi käskkirjaga määratud ulatuses. See teave salastatakse salajasel tasemel 50 aastaks.

(5) Keskkriminaalpolitsei tunnistajakaitse struktuuriüksuse kasutuses olevat vara ja eelarve jaotust kajastava teabe osas on riigisaladuseks:
1) teave Keskkriminaalpolitsei tunnistajakaitse struktuuriüksuse poolt kasutatavate transpordivahendite kohta, kui selle avalikuks tulek ohustaks tunnistajakaitse kohaldamist või tunnistajakaitse struktuuriüksuse või kaitse alla võetud isiku turvalisust. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
2) teave Keskkriminaalpolitsei tunnistajakaitse struktuuriüksuse poolt kasutatava vara kohta, kui selle avalikuks tulek ohustaks tunnistajakaitse kohaldamist või tunnistajakaitse struktuuriüksuse või kaitse alla võetud isiku turvalisust. See teave salastatakse salajasel tasemel 25 aastaks;
3) Keskkriminaalpolitsei tunnistajakaitse struktuuriüksuse eelarve kulude liigendus ja eelarve täitmise aruandlus. See teave salastatakse salajasel tasemel 25 aastaks.

(6) Tunnistajakaitse kaitseabinõude kohaldamise meetodeid ja taktikat käsitleva teabe osas on riigisaladuseks tunnistajakaitse kaitseabinõude kohaldamise meetodeid ja taktikat käsitlev teave. See teave salastatakse salajasel tasemel 50 aastaks.

(7) Konkreetse isiku suhtes tunnistajakaitse kaitseabinõude kohaldamist kajastava teabe osas on riigisaladuseks:
1) konkreetse isiku suhtes tunnistajakaitse kaitseabinõude kohaldamist kajastav teave, välja arvatud teave, mis kajastab üksnes tunnistajakaitse alla võtmise fakti. See teave salastatakse täiesti salajasel tasemel 75 aastaks. Salastatus kustub, kui tunnistajakaitse all olnud isiku surmast on möödunud 20 aastat, kuid mitte vähem kui 50 aastat teabe salastamisest arvates;
2) Keskkriminaalpolitsei tunnistajakaitse struktuuriüksuse eelarve kulude liigendus ja eelarve täitmise aruandlus, kui selles kajastuvad konkreetse isiku suhtes rakendatavad kaitseabinõud. See teave salastatakse täiesti salajasel tasemel 75 aastaks. Salastatus kustub, kui tunnistajakaitse all olnud isiku surmast on möödunud 20 aastat, kuid mitte vähem kui 50 aastat dokumendi salastamisest arvates.

(8) Riiklikus kriisireguleerimisplaanis erakorralise seisukorra ja sõjaseisukorra ajal tegutsemist käsitleva teabe osas on riigisaladuseks riiklikus kriisireguleerimisplaanis erakorralise seisukorra ja sõjaseisukorra ajal tegutsemist käsitlev teave, välja arvatud teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse täiesti salajasel tasemel 50 aastaks. Salastatus kustub teabe avalikul kasutamisel erakorralise seisukorra või sõjaseisukorra ajal.

(9) “Turvaseaduse” tähenduses kõrgendatud ohuga valveobjekte ja nende turvalisuse tagamise erinõudeid kajastava teabe osas on riigisaladuseks kõrge füüsilise rünnakuriskiga objektide loetelu, riskianalüüs ja kaitseplaan. See teave salastatakse piiratud tasemel 20 aastaks.

(10) Kaitseministeeriumi ja Siseministeeriumi kriisireguleerimisplaanis hädaolukorra ajal tegutsemist käsitleva teabe osas on riigisaladuseks Kaitseministeeriumi ja Siseministeeriumi kriisireguleerimisplaanis hädaolukorra ajal tegutsemist käsitlev teave, välja arvatud teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse konfidentsiaalsel tasemel 20 aastaks. Salastatus kustub teabe avalikul kasutamisel hädaolukorras.

§ 7. Julgeolekuasutuste riigisaladuse alaliigid

(1) Julgeolekuasutuste rahvusvahelist koostööd kajastava teabe osas on riigisaladuseks:
1) julgeolekuasutuse koostatud teave julgeolekualase välissuhtluse kohta, kui see ei sisalda käesoleva lõike punktides 2–4 nimetatud teavet. See teave salastatakse piiratud tasemel 30 aastaks;
2) julgeolekuasutuse julgeolekualast koostööd välisriigi või rahvusvahelise organisatsiooniga kajastav teave, kui see ei hõlma käesoleva lõike punktides 3 ja 4 nimetatud teavet. See teave salastatakse konfidentsiaalsel tasemel 50 aastaks, kui ei ole kokku lepitud teisiti. Seda teavet ei salastata, kui see on õiguspäraselt avalikustatud;
3) julgeolekuasutuse rahvusvahelise koostöö käigus edastatav varjatult kogutud teave ja selle teabe vahetamist kajastav teave. See teave salastatakse salajasel tasemel 50 aastaks, kui ei ole kokku lepitud teisiti;
4) julgeolekuasutuse poolt koos välisriigi politsei- või julgeolekuasutusega varjatult kogutud teave ja selle kogumist kajastav või selle käigus vahetatav teave. See teave salastatakse täiesti salajasel tasemel 50 aastaks, kui ei ole kokku lepitud teisiti.

(2) Julgeolekuasutuse kasutatava vara ja julgeolekuasutuse eelarve jaotust kajastava teabe osas on riigisaladuseks:
1) teave julgeolekuasutuse kasutatava vara kohta, kui selle avalikuks tulek ohustaks julgeolekuasutuse ülesande täitmist või julgeolekuasutuse turvalisust. See teave salastatakse konfidentsiaalsel tasemel kuni vara kasutamise või hoone või rajatise valdamise lõppemiseni, kuid mitte kauemaks kui 25 aastaks;
2) teave teabe varjatult kogumiseks kasutatavate tehniliste vahendite kohta, kui selle avalikuks tulek ohustaks julgeolekuasutuse ülesande täitmist. See teave salastatakse salajasel tasemel 50 aastaks;
3) julgeolekuasutuse eelarve kulude liigendus ja eelarve täitmise aruandlus. See teave salastatakse salajasel tasemel 25 aastaks.

(3) Hädaolukorra lahendamisel julgeolekuasutuse tegevust kajastava teabe osas on riigisaladuseks julgeolekuasutuse hädaolukorra lahendamise kava, sealhulgas kasutatavad meetodid ja taktika ning hädaolukorra lahendamisel osalevate ametnike tegevusjuhised. See teave salastatakse konfidentsiaalsel tasemel 20 aastaks. Salastatus kustub teabe avalikul kasutamisel hädaolukorras.

(4) Julgeolekuasutuse ülesannete täitmisel varjatult kogutud teabe ja selle kogumist kajastava teabe osas on riigisaladuseks:
1) “Julgeolekuasutuste seaduse” alusel varjatult kogutud ja kogutav teave ning kavad ja juhised selle teabe kogumiseks. See teave salastatakse salajasel tasemel 25 aastaks. Salastatus kustub, kui julgeolekuasutuse ülesannete täitmiseks on julgeolekuasutuse peadirektori otsusel vajalik teabe avalik kasutamine. Käesolevat punkti ei kohaldata elektroonilise side ettevõtja või isikuandmete töötleja seadmes automaatselt talletatavate logide kohta;
2) punktis 1 nimetatud teave, kui selle avaldamisega kaasneks oht inimese elule või tervisele või täiesti salajasel tasemel salastatud teabe kaitstusele. See teave salastatakse täiesti salajasel tasemel 50 aastaks;
3) punktis 1 nimetatud teabe kogumise meetodid ja taktika. See teave salastatakse salajasel tasemel 50 aastaks;
4) signaalluure meetodeid ja allikaid kajastav teave. See teave salastatakse täiesti salajasel tasemel 25 aastaks;
5) “Julgeolekuasutuste seaduse” alusel teabe varjatud kogumise toimingute loetelusid sisaldav aruandlus, milles ei kajastu täiesti salajasel tasemel salastatav teave. See teave salastatakse salajasel tasemel 25 aastaks;
6) Vabariigi Valitsuse ja Vabariigi Valitsuse julgeolekukomisjoni poolt julgeolekuasutusele teabe kogumiseks antavad ülesanded. See teave salastatakse salajasel tasemel 25 aastaks;
7) Kaitsepolitseiameti poolt “Julgeolekuasutuste seaduse” alusel teabe varjatud kogumise käigus laekunud teave toimepandud või ettevalmistatavate kuritegude kohta, mis ei ole Kaitsepolitseiameti uurimisalluvuses, juhul kui selles ei avaldu teabe allikad, kogumise taktika või käesoleva lõike punktides 2–6 nimetatud teave. See teave salastatakse piiratud tasemel 25 aastaks.

(5) Julgeolekuasutuse ülesannete täitmisel analüüsitud ja sünteesitud teabe osas on riigisaladuseks:
1) julgeolekuasutuse ülesannete täitmisel analüüsitud ja sünteesitud teave, mis kajastab välisriike, välismaiseid tegureid või tegevust. See teave salastatakse piiratud tasemel 15 aastaks;
2) julgeolekuasutuse ülesannete täitmisel analüüsitud ja sünteesitud teave, mis kajastab riigisiseseid või välismaiseid ohuallikaid. See teave salastatakse konfidentsiaalsel tasemel 15 aastaks;
3) julgeolekuasutuse poolt koostatud ohuhinnangud. See teave salastatakse salajasel tasemel 50 aastaks;
4) ürituse või isiku julgestamise eesmärgil julgeolekuasutuse poolt koostatud ohuhinnang. See teave salastatakse piiratud tasemel 15 aastaks;
5) julgeolekuasutuse analüüsitud või sünteesitud teave, mille lähteandmed on salastatud kõrgemal tasemel või pikemaks ajaks, kui on sätestatud punktides 1–4, salastatakse lähteandmete kõrgeimat taset ja pikimat tähtaega sätestava riigisaladuse alaliigi alusel;
6) punktide 1–5 alusel ei salastata teavet, mis koostatakse eesmärgiga avalikkuse teavitamise teel ennetada ohtu või riigi huvide kahjustamist või teavitada avalikkust julgeolekuasutuse tegevusest. Samuti ei salastata teabe seda osa, mis kantakse kriminaaltoimikusse.

(6) Julgeolekuasutuse struktuuriüksusi, koosseisu ja nende ülesandeid kajastava teabe osas on riigisaladuseks:
1) julgeolekuasutuse struktuur, välja arvatud struktuuriüksused, mis avaldatakse vastava julgeolekuasutuse põhimääruses. See teave salastatakse salajasel tasemel 25 aastaks;
2) julgeolekuasutuse struktuuriüksuste ja teenistujate ülesanded, välja arvatud teave, mille avalikustamine ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse salajasel tasemel 25 aastaks;
3) julgeolekuasutuse teenistujate koondandmed ja üksnes teabe varjatud kogumisega seonduvaid tööülesandeid täitvate teenistujate koosseis. See teave salastatakse salajasel tasemel 25 aastaks;
4) julgeolekuasutuse dokumendiregistris sisalduv teave. See teave salastatakse salajasel tasemel 25 aastaks või kõrgemal tasemel ja pikemaks tähtajaks, kui register sisaldab vastava salastatuse taseme ja tähtajaga teavet.

(7) Andmed julgeolekuasutuse poolt salajasele koostööle kaasatud isiku ja variisiku kohta, välja arvatud § 6 lõikes 2 nimetatud teave, on riigisaladus. See teave salastatakse täiesti salajasel tasemel 75 aastaks. Salastatus kustub, kui isiku surmast on möödunud 20 aastat, kuid mitte varem kui 50 aastat teabe salastamisest arvates.

(8) Andmed isiku kohta, kes “Eestit okupeerinud riikide julgeolekuorganite või relvajõudude luure- või vastuluureorganite teenistuses olnud või nendega koostööd teinud isikute arvelevõtmise ja avalikustamise korra seaduse” § 5 lõike 2 punktis 1 sätestatud korras on Kaitsepolitseiametile esitanud isikliku ülestunnistuse julgeoleku- või luureorgani teenistuses olemise või sellega koostöö tegemise kohta, välja arvatud juhul, kui julgeoleku- või luureorgani teenistuses olnud või sellega koostööd teinud isik on eelnimetatud teenistuse või koostööga seonduvalt pannud toime õigusrikkumise, mis Eesti Vabariigis kehtiva õiguse kohaselt on karistatav esimese astme kuriteona, või on toime pannud kuriteo inimsuse vastu või sõjakuriteo ning õigusrikkumise või kuriteo toimepanemine selle isiku poolt on kohtulikult tõendatud jõustunud kohtulahendiga või kui julgeoleku- või luureorgani teenistuses oli või tegi sellega koostööd Vabariigi President või Riigikogu, Vabariigi Valitsuse või Riigikohtu liige, on riigisaladus. See teave salastatakse salajasel tasemel 50 aastaks. Salastatus kustub, kui isiku surmast on möödunud 20 aastat, kuid mitte varem kui 50 aastat teabe salastamisest arvates.

(9) Julgeolekuasutuste tegevuse koordineerimist, nende koostööd kaitseväega ja Vabariigi Valitsuse julgeolekukomisjoni tööd käsitleva teabe osas on riigisaladuseks:
1) Riigikantseleis julgeolekuasutuste töö koordineerimisega ja Vabariigi Valitsuse julgeolekukomisjoni töö korraldamisega seotud ametnike koostatud teave julgeolekualase välissuhtluse kohta, kui see ei sisalda käesoleva lõike punktis 2 nimetatud teavet. See teave salastatakse piiratud tasemel 30 aastaks;
2) Riigikantseleis julgeolekuasutuste tööd koordineeriva ja Vabariigi Valitsuse julgeolekukomisjoni tööd korraldava struktuuriüksuse julgeolekualast koostööd välisriigi või rahvusvahelise organisatsiooniga kajastav teave. See teave salastatakse konfidentsiaalsel tasemel 50 aastaks, kui ei ole kokku lepitud teisiti. Seda teavet ei salastata, kui see on õiguspäraselt avalikustatud;
3) teave Vabariigi Valitsuse julgeolekukomisjoni ning selle alakomisjoni istungitel käsitletavate teemade kohta, välja arvatud teave, mis Vabariigi Valitsuse julgeolekukomisjoni otsusega avalikustatakse eesmärgiga avalikkuse teavitamise teel ennetada ohtu või riigi huvide kahjustamist või teavitada avalikkust julgeolekukomisjoni tegevusest. See teave salastatakse piiratud tasemel 25 aastaks;
4) Riigikantseleis julgeolekuasutuste tööd koordineeriva ja Vabariigi Valitsuse julgeolekukomisjoni tööd korraldava struktuuriüksuse ja teenistujate ülesanded, välja arvatud teave, mille avalikustamine ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse piiratud tasemel 25 aastaks;
5) Riigikantseleis julgeolekuasutuste tööd koordineeriva ja Vabariigi Valitsuse julgeolekukomisjoni tööd korraldava struktuuriüksuse poolt koostatud ohuhinnangud ja riigi teabehanke eelistuskava. See teave salastatakse salajasel tasemel 50 aastaks;
6) Riigikantseleis julgeolekuasutuste tööd koordineeriva ja Vabariigi Valitsuse julgeolekukomisjoni tööd korraldava struktuurüksuse poolt julgeolekuasutuste teabe alusel analüüsitud ning koostatud teave. See teave salastatakse salajasel tasemel 50 aastaks;
7) teave, mille lähteandmed on salastatud kõrgemal tasemel või pikemaks tähtajaks, kui on sätestatud käesoleva lõike punktides 3 ja 6, salastatakse lähteandmete kõrgeimat taset ja pikimat tähtaega sätestava riigisaladuse alaliigi alusel.

(10) Julgeolekuasutuse poolt teeseldud isikute ja organite ning kasutatavate variandmete kohta käiva teabe osas on riigisaladuseks teave, millest nähtub teeseldud isikute ja organite või kasutatavate variandmete seotus julgeolekuasutusega. See teave salastatakse salajasel tasemel 50 aastaks.

§ 8. Infrastruktuuri ja teabe kaitse riigisaladuse alaliigid

(1) Vabariigi Presidendi Kantselei, Riigikantselei, julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste valve-, häire-, side- ja infosüsteeme käsitleva teabe osas on riigisaladuseks:
1) Vabariigi Presidendi Kantselei, Riigikantselei, julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste elektroonilise läbipääsu-, häire- või videovalvesüsteemi koondteave ühe hoone või tervikuna käsitatava hooneosa ulatuses, mis sisaldab andmeid süsteemi moodustavate seadmete asukoha, tüübi, margi, mudeli, nendevaheliste ühenduste, samuti valvealade või -tsoonide kohta või süsteemi üldist kirjeldust. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;
2) Vabariigi Presidendi Kantselei, Riigikantselei, julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste elektroonilise läbipääsu-, häire- või videovalvesüsteemide kohta käivad analüüsid ja hinnangud, mis kajastavad süsteemide toimimist ja efektiivsust. See teave salastatakse piiratud tasemel 30 aastaks;
3) Vabariigi Presidendi Kantselei, julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste elektroonilise läbipääsu- ja häiresüsteemi kohta käiv koondteave ühe hoone või tervikuna käsitatava hooneosa ulatuses, milles sisalduvad andmed süsteemi kuuluvate keskseadmete asukohtade kohta. See teave salastatakse piiratud tasemel 30 aastaks;
4) Vabariigi Presidendi Kantselei, Kaitseministeeriumi, kaitseväe, Kaitseliidu ja Kaitseressursside Ameti elektroonilise läbipääsu- ja häiresüsteemi kohta käiv koondteave ühe hoone või tervikuna käsitatava hooneosa ulatuses, milles sisalduvad andmed süsteemi kuuluvate lõppseadmete (andurite) asukoha ja tüüpide ning nendest moodustatavate valvealade ja -tsoonide kohta. See teave salastatakse piiratud tasemel 30 aastaks;
5) julgeolekuasutuse ja Välisministeeriumi, sealhulgas välisesinduste elektroonilise läbipääsu- ja häiresüsteemi kohta käiv teave ühe hoone või tervikuna käsitatava hooneosa ulatuses, milles sisalduvad andmed süsteemi kuuluvate lõppseadmete (andurite) asukoha ja tüüpide ning nendest moodustatavate valvealade ja -tsoonide või valveala asukoha ja oleku kohta. See teave salastatakse piiratud tasemel 30 aastaks;
6) Välisministeeriumi, sealhulgas välisesinduste elektroonilise läbipääsu- ja häiresüsteemi kohta käiv teave ühe hoone või tervikuna käsitatava hooneosa ulatuses, mis sisaldab andmeid süsteemi moodustavate seadmete markide, mudelite ja teiste täpsete tehniliste näitajate kohta. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;
7) julgeolekuasutuse ja Välisministeeriumi, sealhulgas välisesinduste elektroonilises läbipääsu- või häiresüsteemis töödeldav teave kogumis. See teave salastatakse piiratud tasemel 30 aastaks;
8) Vabariigi Presidendi Kantselei, Riigikantselei, julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste elektroonilise läbipääsu- või häiresüsteemi seadistusinfo kogumis. See teave salastatakse piiratud tasemel 30 aastaks;
9) Välisministeeriumi, sealhulgas välisesinduste videovalvesüsteemi kohta käiv teave ühe hoone või tervikuna käideldava hooneosa ulatuses, mis sisaldab andmeid süsteemi moodustavate seadmete ja nende markide ning mudelite kohta. See teave salastatakse piiratud tasemel 30 aastaks;
10) julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste videovalvesüsteemi kohta käiv koondteave hoone või tervikuna käideldava hooneosa ulatuses, mis kajastab süsteemis kasutatavate keskseadmete asukohti. See teave salastatakse piiratud tasemel 30 aastaks;
11) julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste videovalvesüsteemi seadistusinfo kogumis. See teave salastatakse piiratud tasemel 30 aastaks;
12) julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste automaatse tulekahjusignalisatsiooni kohta käiv koondinfo ühe hoone või tervikuna käsitatava hooneosa ulatuses, mis sisaldab andmeid süsteemi moodustavate seadmete asukoha, tüübi, margi, mudeli ja nendevaheliste ühenduste kohta ning süsteemi üldist kirjeldust. See teave salastatakse piiratud tasemel 30 aastaks;
13) julgeolekuasutuse, Kaitseministeeriumi, kaitseväe, Kaitseliidu, Kaitseressursside Ameti ja Välisministeeriumi, sealhulgas välisesinduste elektroonilise läbipääsu-, valve- ja videovalvesüsteemi ning automaatse tulekahjusignalisatsiooni kohta käiv teave, mis kajastab nende süsteemide ühendusi teiste samas hoones või hooneosas asuvate tehnosüsteemidega. See teave salastatakse piiratud tasemel 30 aastaks;
14) Vabariigi Presidendi Kantselei, julgeolekuasutuse, Kaitseministeeriumi, Kaitseressursside Ameti, kaitseväe ja Kaitseliidu füüsiliste julgeolekumeetmete kohta käivad analüüsid ja hinnangud, mis kajastavad julgeolekumeetmete toimimist ja efektiivsust. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;
15) teave kaitseväes signaalluureks, õhuseireks, mereseireks, objektide turbeks ja valveks ning sõjaliseks juhtimiseks sõjaajal, eri- või erakorralises olukorras püsivalt kasutatavate raadiosageduste kohta. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;
16) teave kaitsejõudude üleriigiliste sidevõrkude ja infosüsteemide andmete loetelude kohta. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;
17) teave kaitseväe kaitseringkonna sideplaani ja sideskeemi, kommunikatsiooniplaanide ning nende andmete loetelude kohta. See teave salastatakse piiratud tasemel 10 aastaks;
18) kaitseväe ja Kaitseliidu asutusesiseseks kasutamiseks mõeldud teavet töötlevate side- ja infosüsteemide, milles ei töödelda salastatud teavet, ülesehitust, turbemeetodeid, turbevahendeid ning spetsiaaltarkvara käsitlev teave. See teave salastatakse piiratud tasemel 10 aastaks või andmete juurdepääsupiirangu kehtivuse lõppemiseni;
19) kaitseväe sõjaaja sidesüsteemide ning nende kaitsevahendite ülesehitust käsitlev teave. See teave salastatakse konfidentsiaalsel tasemel 25 aastaks;
20) teave õhuväe õhuseire sidesüsteemis kasutatava krüptoseadme kirjelduse kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
21) teave õhuväe õhuseire sidesüsteemis kasutatava võtmeta krüptoseadme kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
22) teave õhuväe õhuseire sidesüsteemis kasutatava võtmega krüptoseadme kohta. See teave salastatakse salajasel tasemel 10 aastaks;
23) teave õhuväe õhuseire sidesüsteemis kasutatavate sidelinkide skeemide kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
24) teave õhuseiresüsteemide andmeedastusseadmete parameetrite ja tegevusvõime kohta. See teave salastatakse konfidentsiaalsel tasemel 10 aastaks;
25) teave Välisministeeriumi ja välisesinduste side- ja infosüsteemide loogilise arhitektuuri, sealhulgas võrkude kaabelduse kohta ühe hoone või tervikuna käsitatava hooneosa ulatuses. Selline teave salastatakse konfidentsiaalsel tasemel 30 aastaks või kuni võrgu võõrandamiseni või kasutamise lõppemiseni;
26) Teabeameti poolt eriside korraldamiseks ning kontrollimiseks kasutatavaid meetodeid ja vahendeid kajastav teave. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks.

(2) Riigisaladuse ja salastatud välisteabe töötlussüsteeme käsitleva teabe osas on riigisaladuseks:
1) kaitseministri kehtestatavad krüptomaterjalide ning nende töötlemise ja kaitse nõuded. See teave salastatakse piiratud tasemel 30 aastaks;
2) kaitseministri kehtestatavad kiirgusturbe tagamise nõuded. See teave salastatakse piiratud tasemel 30 aastaks;
3) töötlussüsteemi asukoha ruumide kiirgusturbe mõõtmise tulemused. See teave salastatakse konfidentsiaalsel tasemel 25 aastaks;
4) krüptomaterjalide registris või allregistris olevad andmed kogumis. See teave salastatakse konfidentsiaalsel tasemel 25 aastaks;
5) salastatud teabe valdajale spetsiaalselt salastatud teabe töötlemiseks loodud tarkvara lähtekood. See teave salastatakse piiratud tasemel 30 aastaks;
6) piiratud tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastav teave. See teave salastatakse piiratud tasemel 30 aastaks;
7) konfidentsiaalse või kõrgema taseme salastatud teabe töötlussüsteemis teabe töötlemise tingimused ja kasutajate ülesannete jagunemine salastatud teabe töötlemisel. See teave salastatakse piiratud tasemel 30 aastaks;
8) konfidentsiaalsel tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastav teave. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks;
9) salajasel tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastav teave. See teave salastatakse salajasel tasemel 50 aastaks;
10) täiesti salajasel tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastav teave. See teave salastatakse täiesti salajasel tasemel 50 aastaks.

(3) Lõike 2 punktides 6 ja 8–10 nimetatud salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastav teave on teave, millest nähtuvad:
1) töötlussüsteemi seadmete kiirgusturbe mõõtmise tulemused, kui neid pole avaldanud tootja ise;
2) töötlussüsteemi tehniline kirjeldus;
3) töötlussüsteemi võrguskeem;
4) tehniline teave töötlussüsteemi teise infotöötlussüsteemiga ühendamise kohta ning teave rakendatavate turvameetmete kohta;
5) töötlussüsteemis elektrooniliste krüptovõtmete haldamise tarkvara seadistus;
6) õigusaktis sätestatud elektroonilise teabeturbe nõude täitmata jätmise kompenseerimiseks rakendatav turvameede;
7) töötlussüsteemi riskianalüüsi tulemused;
8) töötlussüsteemi jääkriskide hinnangud;
9) töötlussüsteemi haavatavuse analüüsi tulemused.

(4) “Kaitseväe korralduse seaduse” § 37 lõike 1 punktides 1 ja 2 nimetatud viisil teavet koguva kaitseväeluure ülesannet täitva kaitseväe struktuuriüksuse või allüksuse ja kaitseväeluure ülesannet täitva Kaitseväe Peastaabi struktuuriüksuse kasutuses olevaid hooneid ja rajatisi käsitleva teabe osas on riigisaladuseks teave struktuuriüksuse hoonete ja erivajadusteks kohandatud ruumide kohta, välja arvatud teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse konfidentsiaalsel tasemel 50 aastaks või hoone või rajatise valduse lõppemiseni.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(5) Kaitseväe ja Kaitseliidu relva- ja lahingumoonaladusid käsitleva teabe osas on riigisaladuseks:
1) teave relva- või lahingumoonalao turvalisuse tagamise erinõuete kohta, välja arvatud valve- ja häiresüsteemide kohta kehtestatud nõuded. See teave salastatakse piiratud tasemel 10 aastaks või kuni relva- või laskemoonalao valduse lõppemiseni;
2) kaitseväe ja Kaitseliidu sõjaväerelvade ja lahingumoona ladude andmed kogumis. See teave salastatakse piiratud tasemel 20 aastaks.

(6) Teabevaldaja salastatud teabekandjate evakueerimist käsitleva teabe osas on riigisaladuseks konfidentsiaalsel või kõrgemal tasemel salastatud teavet sisaldavate teabekandjate evakueerimist käsitlev teave. See teave salastatakse konfidentsiaalsel tasemel 20 aastaks.

(7) Teabevaldaja turvaala valve- ja häiresüsteeme käsitleva teabe osas on riigisaladuseks teave salastatud teabe valdaja turvaalale paigaldatud signalisatsioonisüsteemi plaanide ja skeemide ning süsteemis kasutatavate ja turvaalal asuvate seadmete loetelu kohta. Kui turvaalale paigaldatud süsteem on suurema signalisatsioonisüsteemi osa, salastatakse vaid turvaalale paigaldatud seadme kohta käivad plaanid, skeemid ja loetelud. See teave salastatakse konfidentsiaalsel tasemel kuni ruumi turvaalana kasutamise lõpetamiseni, kuid mitte kauemaks kui 30 aastaks.

3. peatükk.- RIIGISALADUSE SALASTATUSE KUSTUTAMINE, SALASTAMISALUSE, -TASEME JA -TÄHTAJA MUUTMINE

1. jagu Riigisaladuse salastatuse ennetähtaegne kustutamine

§ 9. Salastatuse ennetähtaegse kustutamise taotluse esitamine

(1) Asutus või põhiseaduslik institutsioon, kellel puudub pädevus kustutada enda loodud riigisaladuse salastatust enne tähtaja möödumist, esitab “Riigisaladuse ja salastatud välisteabe seaduse” § 13 lõikes 4 sätestatud juhul taotluse riigisaladuse salastatuse ennetähtaegseks kustutamiseks Vabariigi Valitsusele ministri kaudu, kelle valitsemisalasse ta kuulub. Kui asutus või põhiseaduslik institutsioon ei asu ühegi ministeeriumi valitsemisalas, esitab ta taotluse Vabariigi Valitsusele siseministri kaudu.

(2) Taotluses märgitakse salastatuse ennetähtaegse kustutamise vajaduse põhjendused, millisele asutusele või põhiseaduslikule institutsioonile on see teave edastatud ja kas teave oleks pärast kustutamist asutusesiseseks kasutamiseks mõeldud teave. Taotlusele lisatakse selle kohta esitatud vastuväited. “Riigisaladuse ja salastatud välisteabe seaduse” § 13 lõikes 2 nimetatud teabe korral lisatakse taotlusele ka füüsilise isiku kirjalik nõusolek.

(3) Ministril on õigus suunata taotlus Vabariigi Valitsuse julgeolekukomisjonile arvamuse andmiseks.

§ 10. Taotluse kohta vastuväidete esitamine

(1) Paragrahvi 9 lõikes 1 nimetatud asutus või põhiseaduslik institutsioon peab enne salastatuse kustutamise taotlemist teavitama taotluse esitamise kavatsusest kõiki asutusi ja põhiseaduslikke institutsioone, kellele seda riigisaladust sisaldav teabekandja on edastatud, ja andma neile vastuväidete esitamiseks vähemalt ühekuulise tähtaja. Samuti teavitatakse vajaduse korral asutust ja põhiseaduslikku institutsiooni, kelle ülesandeid see teave võib puudutada.

(2) Salastatuse ennetähtaegse kustutamise kavatsuse teates märgitakse salastatuse ennetähtaegse kustutamise vajaduse põhjendused ja kas teave oleks pärast salastatuse kustutamist asutusesiseseks kasutamiseks mõeldud teave.

(3) Teate saanud asutus või põhiseaduslik institutsioon esitab riigisaladuse salastatuse ennetähtaegsele kustutamisele vastuväited hiljemalt käesoleva paragrahvi lõike 1 alusel antud tähtaja jooksul.

(4) Minister kaalub taotluse Vabariigi Valitsusele esitamisel taotlusele esitatud vastuväiteid.

§ 11. Kustutamiseks pädeva asutuse poolt kustutamise kavatsusest teavitamine

(1) Asutus või põhiseaduslik institutsioon, kes on pädev kustutama enda loodud riigisaladuse salastatust enne tähtaja möödumist, peab kustutamise kavatsusest teavitama kõiki asutusi ja põhiseaduslikke institutsioone, kellele seda riigisaladust sisaldav teabekandja on edastatud, ja andma neile vastamiseks vähemalt ühekuulise tähtaja. Samuti teavitatakse vajaduse korral asutust ja põhiseaduslikku institutsiooni, kelle ülesandeid see teave võib puudutada.

(2) Kustutamise kavatsuse teates märgitakse salastatuse ennetähtaegse kustutamise põhjendused, kavandatav kustutamise kuupäev ja selgitus, kas teave oleks edaspidi asutusesiseseks kasutamiseks mõeldud teave.

(3) Teate saanud asutus või põhiseaduslik institutsioon esitab salastatuse ennetähtaegse kustutamise kohta vastuväited käesoleva paragrahvi lõike 1 alusel antud tähtaja jooksul.

(4) Lõikes 1 nimetatud asutuse või põhiseadusliku institutsiooni juht kaalub salastatuse ennetähtaegse kustutamise otsustamisel asutuste ja põhiseaduslike institutsioonide vastuväiteid.

§ 12. “Riigisaladuse ja salastatud välisteabe seaduse” § 35 lõikes 3 nimetatud asutuse ja põhiseadusliku institutsiooni teavitamine salastatuse ennetähtaegsest kustutamisest

Kui §-des 10 ja 11 nimetatud teate saanud asutus või põhiseaduslik institutsioon on kõnealuse riigisaladuse edastanud “Riigisaladuse ja salastatud välisteabe seaduse” § 35 lõikes 3 nimetatud asutusele või põhiseaduslikule institutsioonile, teavitab ta seda asutust või põhiseaduslikku institutsiooni riigisaladuse ennetähtaegse kustutamise kavatsuse teate saamisest. Sel viisil teavitatud asutusel ja põhiseaduslikul institutsioonil on õigus esitada oma vastuväited samas korras, salastatuse ennetähtaegse kustutamise taotluse esitamist või ennetähtaegset kustutamist kavatseva asutuse või põhiseadusliku institutsiooni antud tähtaja jooksul.

§ 13. Ennetähtaegsest kustutamisest teavitamine

(1) Kui asutus või põhiseaduslik institutsioon on kustutanud enda loodud riigisaladuse salastatuse enne tähtaja möödumist, teavitab ta sellest viivitamata kõiki töötlevaid üksusi, kes seda riigisaladust sisaldavat teabekandjat valdavad.

(2) Kui Vabariigi Valitsus kustutab riigisaladuse salastatuse enne tähtaja möödumist ministri taotluse või ministri edastatud taotluse alusel, teavitab minister salastatuse kustutamisest viivitamata kõiki asutusi ja põhiseaduslikke institutsioone, kellele seda riigisaladust sisaldav teabekandja on edastatud.

(3) Asutus või põhiseaduslik institutsioon, kes on edastanud salastatud teabekandja, mille salastatus on kustutatud, “Riigisaladuse ja salastatud välisteabe seaduse” § 35 lõikes 3 nimetatud asutusele või põhiseaduslikule institutsioonile, teavitab salastatuse kustutamisest viivitamata ka seda asutust või põhiseaduslikku institutsiooni.

2. jagu Riigisaladuse salastamistähtaja pikendamine

§ 14. Salastamistähtaja pikendamise taotlus

(1) Asutus või põhiseaduslik institutsioon, kellel puudub pädevus pikendada enda loodud riigisaladuse salastamistähtaega, esitab taotluse salastamistähtaja pikendamiseks Vabariigi Valitsusele ministri kaudu, kelle valitsemisalasse ta kuulub. Kui asutus või põhiseaduslik institutsioon ei asu ühegi ministeeriumi valitsemisalas, esitab ta taotluse Vabariigi Valitsusele siseministri kaudu.

(2) Riigisaladuseks oleva teabe salastamistähtaja pikendamise taotlus esitatakse Vabariigi Valitsusele võimaluse korral vähemalt kolm kuud enne salastamistähtaja lõppu.

(3) Taotluses märgitakse salastamistähtaja pikendamise vajaduse põhjendused ja millisele asutusele või põhiseaduslikule institutsioonile on see teave edastatud. Taotlusele lisatakse selle kohta esitatud vastuväited.

(4) Ministril on õigus suunata taotlus Vabariigi Valitsuse julgeolekukomisjonile arvamuse andmiseks.

§ 15. Salastamistähtaja pikendamise kohta vastuväidete esitamine

(1) Paragrahvi 14 lõikes 1 nimetatud asutus või põhiseaduslik institutsioon peab enne salastamistähtaja pikendamise taotlemist teavitama taotluse esitamise kavatsusest kõiki asutusi ja põhiseaduslikke institutsioone, kellele seda riigisaladust sisaldav teabekandja on edastatud, ja andma neile vastamiseks vähemalt ühekuulise tähtaja.

(2) Pikendamise kavatsuse teates märgitakse salastamistähtaja pikendamise põhjendused.

(3) Teate saanud asutus või põhiseaduslik institutsioon esitab riigisaladuse salastamistähtaja pikendamisele vastuväited käesoleva paragrahvi lõike 1 alusel antud tähtaja jooksul.

(4) Minister kaalub taotluse Vabariigi Valitsusele esitamisel taotlusele esitatud vastuväiteid.

§ 16. Salastamistähtaja pikendamisest teavitamine

(1) Kui asutus või põhiseaduslik institutsioon on pikendanud enda loodud riigisaladuse salastamistähtaega, teavitab ta sellest viivitamata kõiki töötlevaid üksusi, kes seda riigisaladust sisaldavat teabekandjat valdavad.

(2) Kui Vabariigi Valitsus on pikendanud riigisaladuse salastamistähtaega ministri taotluse või ministri poolt edastatud taotluse alusel, teavitab minister salastatuse pikendamisest viivitamata kõiki asutusi ja põhiseaduslikke institutsioone, kellele seda riigisaladust sisaldav teabekandja on edastatud.

(3) Asutus või põhiseaduslik institutsioon, kes on edastanud salastatud teabekandja, mille salastamistähtaega on pikendatud, “Riigisaladuse ja salastatud välisteabe seaduse” § 35 lõikes 3 nimetatud asutusele või põhiseaduslikule institutsioonile, teavitab salastatuse pikendamisest viivitamata ka seda asutust või põhiseaduslikku institutsiooni.

3. jagu Salastamisandmete parandamine

§ 17. Salastamisandmete parandamise taotluse esitamine

(1) Asutus või põhiseaduslik institutsioon, kelle töötajal või teenistujal puudub pädevus salastamisandmete parandamiseks, esitab “Riigisaladuse ja salastatud välisteabe seaduse” § 15 lõikes 1 sätestatud juhul taotluse salastamisandmete parandamiseks vastavalt Vabariigi Valitsusele või siseministrile selle ministri kaudu, kelle valitsemisalasse ta kuulub. Töötlemisloaga isik esitab taotluse riigisaladuse töötlemise loa saamist toetanud asutuse kaudu.

(2) Taotluses märgitakse salastamisandmete parandamise põhjendused ja selgitus, kas teave oleks edaspidi juurdepääsupiiranguta avalik või asutusesiseseks kasutamiseks mõeldud teave või millisel alusel või millise tähtajaga salastatud teave ning millistele asutustele ja põhiseaduslikele institutsioonidele on see teave edastatud. Taotlusele lisatakse selle kohta esitatud vastuväited.

(3) Ministril on õigus suunata taotlus Vabariigi Valitsuse julgeolekukomisjonile arvamuse andmiseks.

§ 18. Salastamisandmete parandamise taotluse esitamise kavatsusest teavitamine

(1) Enne salastamisandmete parandamise taotluse esitamist peab taotluse esitamise kavatsusest teavitama kõiki asutusi ja põhiseaduslikke institutsioone, kellele seda riigisaladust sisaldav teabekandja on edastatud, ja andma neile vastamiseks vähemalt ühekuulise tähtaja.

(2) Salastamisandmete parandamise teates märgitakse salastamisandmete parandamise põhjendused ja selgitus, kas teave oleks edaspidi juurdepääsupiiranguta avalik või asutusesiseseks kasutamiseks mõeldud teave või millisel alusel või millise tähtajaga salastatud teave.

(3) Teate saanud asutus või põhiseaduslik institutsioon esitab riigisaladuse salastamisandmete parandamisele vastuväited hiljemalt käesoleva paragrahvi lõike 1 alusel antud tähtaja jooksul.

(4) Salastamisandmete parandamine otsustatakse taotluse ja sellele esitatud vastuväidete alusel.

§ 19. Enda loodud riigisaladuse salastamisandmete parandamise kavatsusest teavitamine

(1) Töötlev üksus peab enne enda loodud riigisaladuse salastamisandmete parandamist sellest kavatsusest teavitama kõiki asutusi ja põhiseaduslikke institutsioone, kellele seda riigisaladust sisaldav teabekandja on edastatud, andes vastamiseks vähemalt ühekuulise tähtaja.

(2) Teates märgitakse salastamisandmete parandamise põhjendused ja selgitus, kas teave oleks edaspidi juurdepääsupiiranguta avalik või asutusesiseseks kasutamiseks mõeldud teave või millisel alusel või millise tähtajaga salastatud teave.

(3) Teate saanud asutus või põhiseaduslik institutsioon esitab vastuväited salastamisandmete parandamisele käesoleva paragrahvi lõike 1 alusel antud tähtaja jooksul.

(4) Lõikes 1 nimetatud töötlev üksus kaalub salastamisandmete parandamise otsustamisel teiste asutuste ja põhiseaduslike institutsioonide vastuväiteid.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

§ 20. “Riigisaladuse ja salastatud välisteabe seaduse” § 35 lõikes 3 nimetatud asutuse ja põhiseadusliku institutsiooni teavitamine salastamisandmete parandamise kavatsusest

Kui teate saanud asutus või põhiseaduslik institutsioon on riigisaladuse edastanud “Riigisaladuse ja salastatud välisteabe seaduse” § 35 lõikes 3 nimetatud asutusele või institutsioonile, teavitab ta seda asutust või põhiseaduslikku institutsiooni riigisaladuse salastamisandmete parandamise kavatsuse teate saamisest. Sel viisil teavitatud asutusel või põhiseaduslikul institutsioonil on õigus esitada oma vastuväited samas korras parandamise kavatsuse teate saanud asutuste ja põhiseaduslike institutsioonidega, salastamisandmete parandamisele vastuväidete esitamiseks antud tähtaja jooksul.

§ 21. Salastamisandmete parandamisest teavitamine

(1) Kui töötlev üksus parandab salastamisandmeid, teavitab ta sellest viivitamata kõiki töötlevaid üksusi, kellele seda riigisaladust sisaldav teabekandja on edastatud.

(2) Kui salastamisandmete parandamise on otsustanud Vabariigi Valitsus taotluse alusel, teavitab taotluse esitanud ministeerium sellest kõiki töötlevaid üksusi, kellele seda riigisaladust sisaldav teabekandja on edastatud.

(3) Kui salastamisandmeid parandatakse väärteo- või kohtuotsusega, teavitab Kaitsepolitseiamet kõiki töötlevaid üksusi, kellele seda riigisaladust sisaldav teabekandja on edastatud.

(4) Töötlev üksus, kes on edastanud salastatud teabekandja, mille salastamisandmed on parandatud, “Riigisaladuse ja salastatud välisteabe seaduse” § 35 lõikes 3 nimetatud asutusele või põhiseaduslikule institutsioonile, teavitab salastamisandmete muutmisest viivitamata seda asutust või põhiseaduslikku institutsiooni.

4. peatükk.- SALASTATUD TEABE KAITSE KORRALDAMISE NÕUDED

§ 22. Riigisaladust valdava asutuse, põhiseadusliku institutsiooni ja juriidilise isiku riigisaladuse kaitse juhendile esitatavad nõuded

(1) Riigisaladust valdava asutuse, põhiseadusliku institutsiooni ja juriidilise isiku riigisaladuse kaitse juhendis reguleeritakse järgmisi küsimusi, arvestades töötleva üksuse eripära:
1) väljastpoolt saabuvate ja väljapoole saadetavate salastatud teabekandjate vastuvõtmise ja edastamise kord;
2) salastatud teabekandjate registreerimise kord;
3) seifi võtme ja ligipääsukoodi hoiustamise kord;
4) juurdepääsuloa ja juurdepääsusertifikaadi käitlemise kord;
5) salastamisandmete parandamise kord;
6) salastatud koosolekute pidamise kord;
7) turvaala asukoht;
8) turvaala valve, turvaalale pääsemise, sellel liikumise ja sealt lahkumise kord;
9) salastatud teabe kaitse plaan ohuolukorras;
10) teavitamine isikust, kes püüab mis tahes viisil saavutada ebaseaduslikku juurdepääsu salastatud teabele, ning “Riigisaladuse ja salastatud välisteabe seaduse” või selle alusel antud õigusakti nõuete rikkumisest;
11) loend kõikide asutuses, põhiseaduslikus institutsioonis ja juriidilises isikus kehtivate selliste kordade, juhendite ja muude eeskirjade kohta, mis reguleerivad riigisaladuse töötlemist;
12) salastatud teabekandja hävitamise meetod ja kord;
13) administratiivala ulatus;
14) relva ning tehnilise vahendi ja muu eseme, mida saab kasutada tehnilise vahendina pealtkuulamiseks või salvestamiseks, turvaalale viimise kord;
15) sissepääsuloa või sissepääsu tagava vahendi kaotamise, kaotamiskahtluse või muu valduse kaotamisest teavitamise kord;
16) selle isiku määramine, kellele tuleb anda hoiule konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandja säilitamiseks kasutatava seifi luku varuvõti ja luku kood.

(2) Lisaks lõikes 1 nimetatutele võib riigisaladuse kaitse juhendis sätestada näiteks:
1) töötleva üksuse piires salastatud teabekandjate vastuvõtmise ja edastamise korra (turvaala piires, administratiivala kaudu);
2) salastatud teabekandjate edastamise täpsema korra;
3) salastatud teabekandjate reprodutseerimise korra;
4) kohapealse mehitatud valve kontrollkäikude korra;
5) turvaalale iseseisva sissepääsuõigusega isikute sissepääsuloa erisused samas töötlevas üksuses töötavate isikute kohta;
6) külalise turvaalale lubamise erisused samas töötlevas üksuses töötavate isikute kohta;
7) riigisaladuse töötlussüsteemi turvanõuete rakendamise juhendi kehtestamine.

(3) Riigisaladuse kaitse juhendi osa, mis peab olema salastatud, kehtestatakse juhendi lisana või eraldi dokumendina.

§ 23. Salastatud teavet valdava asutuse, põhiseadusliku institutsiooni ja juriidilise isiku riigisaladuse kaitset korraldava isiku või struktuuriüksuse tegevusele esitatavad nõuded

Salastatud teavet valdava asutuse, põhiseadusliku institutsiooni ja juriidilise isiku riigisaladuse kaitset korraldav isik või struktuuriüksus peab:
1) korraldama salastatud teabe kaitset ning “Riigisaladuse ja salastatud välisteabe seaduse” ja selle alusel antud aktide nõuetest kinnipidamist;
2) nõustama töötajaid salastatud teabe töötlemisel;
3) korraldama juurdepääsuõigust omavate isikute koolitust salastatud teabe kaitse küsimustes, sealhulgas elektroonilise teabeturbe alal;
4) korraldama turvaala valvurite tööd ja teostama järelevalvet nende tegevuse üle, kui seda ülesannet ei ole antud teisele ametiisikule;
5) kontrollima nõusolekute, kinnituste, juurdepääsuloa ja töötlemisloa ning nende kehtivuse pikendamise taotluste ning juurdepääsuloa ja töötlemisloa taotleja ankeedi vormilist nõuetele vastavust enne edastamist;
6) pidama arvestust töötajate riigisaladusele juurdepääsu lubade ja juurdepääsusertifikaatide üle;
7) pidama arvestust salastatud teabekandjate üle;
8) pidama seifide kasutajate nimekirja;

9) edastama iga 90 päeva järel vastavalt Kaitsepolitseiametile, Kaitseväe Peastaabile või Teabeametile info juurdepääsuluba mitteomavate isikute ametisse nimetamisest ametikohale, millel on ette nähtud piiratud tasemel riigisaladusele juurdepääsu õigus, samuti sellisel ametikohal oleva isiku ametikohalt vabastamisest ning teenistusvälistele isikutele piiratud taseme riigisaladusele juurdepääsu lubamise otsustamisest;

[RT I 2008, 55, 312 – jõust. 1.01.2009]

10) korraldama elektroonilise teabeturbe nõuete täitmist ja andma Teabeametile sellekohast teavet viimase nõudmisel;
11) turvanõuete rakendamise juhendi kohaselt dokumenteerima teabe töötlussüsteemide ja nende osade kohta;
12) töötama koostöös süsteemi- ja võrguhalduritega välja süsteemi turvanõuete rakendamise juhendi ning tagama selle tutvustamise ja kättesaadavuse;
13) määrama kindlaks isikud, kes omavad töötlussüsteemile või selle osale juurdepääsu õigust, ning juurdepääsuõiguse sisu ja ulatuse, kui seda ei ole määranud töötleva üksuse juht;
14) väljastama salasõnu ja muid teabele juurdepääsu andvaid füüsilisi ja elektroonilisi vahendeid ning tagama selliste vahendite perioodilise vahetamise ja nende üle arvestuse pidamise;
15) jälgima ja dokumenteerima töötlussüsteemide hooldamist ja remontimist ning nende konfiguratsiooni muutmist;

16) pidama arvestust salastatud teavet sisaldavate töötlussüsteemi osade, sealhulgas diskettide ja muude teisaldatavate salvestuskandjate ja nende kasutajate üle ning kontrollima perioodiliselt salvestuskandjate tegelikku olemasolu, sisu, hoiutingimusi ja märgistust;

[RT I 2008, 55, 312 – jõust. 1.01.2009]

17) selgitama välja sündmuse või protsessi mittetoimumise või töötlussüsteemi volitustevastase kasutamise asjaolud;
18) teavitama viivitamatult Kaitsepolitseiametit ja vastavalt Kaitseväe Peastaapi, Teabeametit või riigi julgeoleku volitatud esindajat, kui talle on teatavaks saanud “Riigisaladuse ja salastatud välisteabe seaduse” ning selle alusel antud õigusaktidest tulenevate nõuete rikkumine või teabe teatavaks saamine vastava taseme juurdepääsuõigust mitteomavale isikule;

[RT I 2008, 55, 312 – jõust. 1.01.2009]

19) võtma seletusi isikutelt, kes on rikkunud “Riigisaladuse ja salastatud välisteabe seaduse” või selle alusel antud õigusakti nõudeid.

5. peatükk.- SALASTATUD TEABE JA SALASTATUD TEABEKANDJA TÖÖTLEMISE NÕUDED

1. jagu Turvaala

1. jaotis Turvaala üldnõuded

§ 24. Turvaala üldnõuded

(1) Turvaalal peab olema määratletud ja kaitstud välispiir, millel on võimalik kontrollida kõiki sisse- ja väljapääse, ning sisse- ja väljapääsukontrolli süsteem, mis võimaldab turvaalale iseseisvalt siseneda ainult nõutava tasemega juurdepääsuõigusega isikul.

(2) Ala turvaalana kasutamine peab olema eelnevalt kooskõlastatud vastavalt Kaitsepolitseiameti, Kaitseväe Peastaabi või Teabeametiga.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(3) Kaitsepolitseiamet, Kaitseväe Peastaap või Teabeamet võivad teha käesolevas määruses sätestatud turvaalale esitatavates nõuetes konkreetse hoone või töötleva üksuse suhtes erandeid, kui nõuete rakendamine ei ole tehniliselt või seadusest tulenevatel põhjustel võimalik või kui turvaala nõuetekohasuse võib tagada muude meetmete abil.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(4) Turvaala üldisi nõudeid kohaldatakse ajutisele ja liikuvale turvaalale niivõrd, kuivõrd käesolevas määruses ei ole sätestatud teisiti.

(5) Ala turvaalana kasutamise lõpetamisel tuleb sellest teavitada kooskõlastanud asutust 30 päeva jooksul kasutamise lõpetamisest arvates.

§ 25. Turvaala asukoht

(1) Turvaala peab asuma riigisaladust valdava töötleva üksuse otseses valduses olevates ruumides. Väljaspool töötleva üksuse otseses valduses olevat turvaala võib teavet töödelda ainult konkreetsele teabele juurdepääsuvajadust ja õigust omava töötleva üksuse turvaalal.

(2) Enne turvaala rajamise planeerimist tuleb konsulteerida kooskõlastamiseks pädeva asutuse esindajatega, et määrata turvaala parim asukoht hoones.

(3) Võimaluse korral ei rajata turvaala hoone esimesele ega viimasele korrusele.

(4) Võimaluse korral tuleb turvaala asukoht hoones valida selliselt, et akende olemasolul avaneksid need riigisaladust töötleva asutuse valduses olevale territooriumile.

(5) Riigisaladust ja salastatud teabekandjaid töötlevad isikud ja struktuuriüksused tuleb võimaluse korral paigutada asutuses lähestikku, näiteks ühte ja samasse ruumi või hoone ühte tiiba.

§ 26. Liikuv ja ajutine turvaala

(1) Erandkorras võib turvaala rajada ka liikuvatele platvormidele (edaspidi liikuv turvaala) või aladele, mis tavaliselt ei ole kasutuses turvaalana (edaspidiajutine turvaala). Liikuvaks ja ajutiseks turvaalaks võib olla näiteks sõiduk, haagis, laev, punker, konteiner, soojak, telk, ülesande täitmiseks sobiv olemasolev ehitis. Võimaluse korral tuleb ajutise turvaalana kasutada püsiehitist.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(2) Sellise turvaala kasutusele võtmine tuleb eelnevalt kooskõlastada vastavalt Kaitsepolitseiameti, Kaitseväe Peastaabi või Teabeametiga, salastatud välisteabega turvaala korral ka riigi julgeoleku volitatud esindajaga. Liikuva või ajutise turvaala kooskõlastamist taotleval asutusel tuleb kooskõlastuse saamiseks esitada kooskõlastavale asutusele kirjalik taotlus vähemalt 30 päeva enne sellise turvaala kasutusele võtmist.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(3) Kiireloomulistel asjaoludel võib lõikes 2 nimetatud tähtaega lühendada kooskõlastava asutuse nõusolekul.

(4) Liikuvale ja ajutisele turvaalale kohaldatakse võimalusel kõiki turvaala nõudeid, võimaluse puudumisel tagatakse salastatud teabe turvalisus muude meetmetega.

(5) Erandina võib eriolukorra, erakorralise seisukorra, mobilisatsiooni või sõjaseisukorra ajal ning kaitseväe sõjalise valmisoleku suurendamise korral liikuva või ajutise turvaala luua iga riigisaladust valdava asutuse juhi suulise korralduse alusel. Suuliselt antud korraldus tuleb esimesel võimalusel ka kirjalikult jäädvustada. Asutused, kelle tegevus eeldab nimetatud olukordades liikuva või ajutise turvaala loomist, peavad kajastama sellekohase info asutuse ja teiste tasandite, näiteks maakonna ja ministeeriumi kriisiplaanides ning teavitama sellest kooskõlastavat asutust.

(6) Liikuval ja ajutisel turvaalal töödeldakse vaid konkreetse ülesande täitmiseks vajalikke salastatud teabekandjaid. Kui töötlemisvajadus on lõppenud, viiakse salastatud teabekandjad viivitamata alalisele turvaalale.

(7) Liikuva või ajutise turvaala koha valikul tuleb eelkõige arvestada ülesande tõhusat ja turvalist täitmist.

(8) Asutuse juht peab määrama isiku, kes vastutab liikuval või ajutisel turvaalal salastatud teabekandjate kaitseks rakendatavate julgeolekumeetmete eest (edaspidi vastutav isik).

(9) Kui turvaala kasutamisel ilmneb lahknevusi eelnevalt kooskõlastamisele esitatud andmetest, siis tuleb vastutaval isikul sellest kirjalikult teavitada kooskõlastavat asutust hiljemalt 30 päeva pärast muudatuse toimumist.

§ 27. Turvaala sein, lagi ja põrand

(1) Turvaala sein, lagi ja põrand peavad olema valmistatud betoonist, terasest või kivist nii, et detaile, millest sein, lagi või põrand koosneb, ei oleks võimalik väljastpoolt lihtsalt eemaldada.

(2) Kahe turvaala vaheline sein või turvaala sisesein võivad olla kergkonstruktsiooniga. Turvaala välissein, lagi või põrand võib olla kergkonstruktsiooniga, kui hoones on pidev mehitatud valve või kui neid on tugevdatud füüsiliste tõkete lisamisega või tehniliste valveseadmetega.

(3) Turvaala helipidavus peab olema selline, et seal toimuv ei kostaks ümbritsevatesse ruumidesse.

§ 28. Turvaala uks

(1) Turvaala välispiiril asuv uks (edaspidi turvaala uks) peab olema kooskõlastava asutuse hinnangul piisavalt turvaline, et valvepersonal jõuaks sissetungikatsele reageerida enne, kui sissetungija on ületanud füüsilised tõkked.

(2) Turvaala uks peab kinnituma ukselengi külge vähemalt kolme hingega, hingedepoolsel küljel peavad olema turvatapid, mis ukse sulgemisel sulguvad lengi sisse. Turvaala uksel peab olema automaatne sulgur, mis tagab ukse iseenesliku sulgumise määratud aja jooksul, ja andur, mis annab märguande, kui uks on olnud avatud üle määratud aja.

(3) Kui nõuetekohast turvaala ust ei ole võimalik paigaldada, tuleb turvaala ust valvata täiendavate valve- ja häiresüsteemiseadmetega.

(4) Turvaala uks peab olema varustatud vähemalt kahe lukuga, millest vähemalt üks peab olema automaatselt lukustuv ja vähemalt üks mehaaniline turvalukk. Turvaluku keel peab olema kaitstud.

(5) Turvaala mehaanilised ukselukud ei tohi olla avatavad sama võtmega, millega saab avada hoones asuvaid teisi mehaanilisi ukselukke. Kui seda nõuet ei ole võimalik järgida, tuleb võtmeid hoida samadel tingimustel seifivõtmetega.

§ 29. Turvaala aken

(1) Kergesti ligipääsetavas kohas, näiteks katusel, rõdul ja hoonelaiendusel asuv turvaala aken tuleb varustada sissemurdmist takistavate turvaelementidega. Vajaduse korral tuleb kasutada akna turvalisuse suurendamiseks muid füüsilisi tõkkeid või valve- ja häiresüsteemiseadmeid.

(2) Turvaala aken tuleb katta kardina või toonkilega, et väljastpoolt ei oleks võimalik jälgida turvaalal toimuvat.

§ 30. Turvaala muu avaus

Turvaalal asuv muu avaus peab olema kaitstud füüsiliste tõkete või valve- ja häiresüsteemiseadmetega, et välistada turvaalale tehniliste seadmete ebaseaduslik paigaldamine või turvaalal hoitaval salastatud teabekandjal sisalduva teabe muul viisil ohustamine.

§ 31. Avatud hoiuala

Avatud hoiuala välissein, lagi ega põrand ei tohi olla kergkonstruktsiooniga.

§ 32. Liikuva ja ajutise turvaala konstruktsiooniline kaitse

(1) Liikuval ja ajutisel turvaalal peab olema füüsilise tõkkega selgelt määratud ja kaitstud välispiire, milles on võimalik kontrollida kõiki sisse- ja väljapääse. Kooskõlastava asutuse nõudel peab muutma turvaala asukohta, tugevdama turvaala konstruktsiooni ja kasutama lisapiirdeid.

(2) Liikuva ja ajutise turvaala konstruktsioon peab tagama, et väljastpoolt oleks välistatud juurdepääs salastatud teabele või selle ohustamine.

§ 33. Evakuatsiooniplaan

(1) Turvaala kohta peab olema koostatud ohuolukorras tegutsemiseks salastatud teabekandjate evakueerimise plaan.

(2) Evakuatsiooniplaanis peavad olema kajastatud erinevad võimalikud ohuolukorrad, millal tuleb salastatud teabekandjad evakueerida või hävitada.

(3) Lõike 2 alusel määratletud iga ohuolukorra kohta tuleb ette näha, kuidas toimub evakuatsioon või hävitamine, kellel on õigus anda selleks korraldus, kes seda läbi viib, milliseid vahendeid selleks kasutatakse, kuhu evakueeritakse salastatud teabekandjad.

2. jaotis Turvaala valve nõuded

§ 34. Turvaala valve üldnõuded

(1) Turvaalal peab olema sissetungimisvastane häiresüsteem (edaspidi häiresüsteem) ja kohapealne mehitatud valve.

(2) Kohapealse mehitatud valve nõue ei kehti juhul, kui turvaala tehniline valve ja füüsilise kaitse meetmed võimaldavad mehitatud valvel reageerida sissetungikatsele enne, kui sissetungija on ületanud füüsilised tõkked.

(3) Turvaala või selle osa peab olema valve all, kui sellel ei viibita.

§ 35. Tehnilise valve süsteemi nõuded

(1) Tehnilise valve süsteem peab:
1) andma häire, kui toimub sissetung või selle katse;
2) olema selline, et mehitatud valve jõuaks reageerida enne, kui sissetungija on ületanud füüsilised tõkked;
3) võimaldama turvaala valvet eraldi sisse ja välja lülitada, sisse- ja väljalülitamist ning häire aega hiljem elektrooniliselt tuvastada. Neid toiminguid kajastavaid andmeid tuleb säilitada vähemalt üks aasta;
4) automaatselt tuvastama süsteemi rikked.

(2) Tehnilise valve süsteemi rikke korral peab süsteem andma kohe häire mehitatud valvele.

(3) Riigisaladuse kaitseks kasutatava tehnilise valve süsteemi reservtoide peab tagama süsteemi toimimise põhielektrisüsteemi tõrke korral turvaala mehitatud valve alla võtmiseni.

§ 36. Liikuva ja ajutise turvaala mehitatud valve

(1) Liikuvat või ajutist turvaala peavad kaitsma liikuvad või püsipositsioonidel relvastatud valvurid, kes jälgivad kogu kaitstavat ala. Sellest nõudest võib teha erandeid ainult kooskõlastava asutuse loal lähtuvalt turvaala asukohale antud ohuhinnangust. Turvaala valvamiseks võib kasutada nii valvemeeskonna valvureid kui ka turvaalal ööpäevaringselt töötavaid instrueeritud isikuid.

(2) Kui liikuva või ajutise turvaala pidevat mehitatust ei suudeta tagada, siis tuleb liikuvale või ajutisele turvaalale paigaldada häiresüsteem, mis edastab häiresignaali instrueeritud isikutele, s.t valvemeeskonnale või turvaala töötajatele, kes peavad jõudma turvaalale kooskõlastava asutusega kooskõlastatud reageerimisaja jooksul. Reageerimisaeg ei tohi olla pikem ajast, mis kulub sissetungijal füüsiliste tõkete ületamiseks.

§ 37. Kohapealse mehitatud valve ringkäigud

(1) Kohapealse mehitatud valve ringkäigud peavad väljaspool tööaega, puhkepäevadel ja riigipühadel toimuma eri intervalliga. Ringkäikude intervall ei tohi ületada kahte tundi, välja arvatud valvekaamerate kasutamise korral.

(2) Kohapealne mehitatud valve peab kindlaks tegema kõik turvaalal töötavad isikud ja nende tööruumid. Igal järgmisel ringkäigul tuleb üle kontrollida need ruumid, kus viimase ringkäigu ajal isikud töötasid.

(3) Järgmistel ringkäikudel peab kohapealne mehitatud valve jälgima, et juhuslikult valitud ruumide kontrollimise käigus oleksid kolme ringkäiguga üle kontrollitud kõik ruumid. Samuti peab ringkäigul kontrollima, et turvaalal ei oleks ühtegi märki sissetungijatest ning kõik ringkäigu marsruudile jäävad uksed, aknad ja muud sissepääsud turvaalale on suletud ja puutumata.

(4) Juurdepääsuõigusest ja teadmisvajaduse nõudest lähtuvalt võib töötleva üksuse juht piirata mehitatud valve sissepääsu turvaalale või selle osale.

§ 38. Kohapealse mehitatud valve õigus juurdepääsuks riigisaladusele

Turvaalal ringkäiku tegeval kohapealsel mehitatud valvel peab olema vähemalt selle taseme riigisaladusele juurdepääsu luba, mis tasemel salastatud teavet kontrollitaval turvaalal töödeldakse.

3. jaotis Isikute viibimine ja töötamine turvaalal

§ 39. Isikute viibimine turvaalal

Isikute turvaalal viibimise korraldus peab arvestama isiku riigisaladusele juurdepääsu õigust, teadmisvajadust ning tegema kindlaks isiku turvaalale sisenemise ja sealt väljumise.

§ 40. Iseseisva sissepääsuõigusega isiku pääs turvaalale

(1) Turvaalale iseseisva sissepääsuõigusega isikule antakse sissepääsuluba, millele kantakse loa number. Sissepääsuluba ei pea andma, kui turvaala koosneb ühest või kahest ruumist.

(2) Töötlev üksus peab pidama arvestust turvaalale pääsevate isikute sissepääsuõiguse, sissepääsu tagavate vahendite ja sissepääsulubade üle.

(3) Turvaalal töötav isik kannab sissepääsuluba nähtaval kohal, et oleks võimalik tuvastada tema isik. Sissepääsuloa nähtaval kohal kandmise nõue ei kehti julgeolekuasutuste puhul. Väljaspool turvaala ja administratiivala ei tohi sissepääsuluba nähtaval kohal kanda.

(4) Turvaala sisse- ja väljapääsukorraldus peab tagama iseseisva sissepääsuõigusega isikute tuvastamise sisenemisel ja väljumisel.

(5) Sissepääsuloa või sissepääsu tagava eseme kaotamise, kaotamiskahtluse või muu valduse kaotuse korral tuleb sellest viivitamata teavitada töötlevas üksuses määratud isikut, kes võtab meetmed sissepääsuloa või sissepääsu tagava eseme kasutamise takistamiseks.

§ 41. Külalise viibimine turvaalal

(1) Turvaalale võib lubada külalise töötleva üksuse riigisaladuse kaitse juhendis sätestatud korras.

(2) Külalisele antakse numbriga külastusluba, millele on märgitud sõna “KÜLALINE” ja mis võimaldab tuvastada loa saanud isiku. Külaline peab kandma külastusluba nähtaval kohal.

(3) Külastusluba ei pea väljastama, kui turvaala koosneb ühest või kahest ruumist.

(4) Külastusloa andmine ja selle tagastamine, külalise saabumise ja lahkumise aeg, külalise ees- ja perekonnanimi tuleb registreerida. Külaline tuleb identifitseerida kehtiva isikut tõendava dokumendi alusel.

(5) Külaline võib turvaalal liikuda üksnes koos vastuvõtjaga või temale määratud saatjaga. Külalist on keelatud jätta turvaalale üksinda,

§ 42. Liikuval ja ajutisel turvalal töötamise nõuded

(1) Ajutise turvaala eest vastutav isik peab turvaala kolimise korral hüljatud turvaala üle vaatama ja veenduma, et alale ei ole jäänud salastatud teabekandjaid.

(2) Kui töö ajutisel turvaalal on lõppenud, tuleb salastatud teabekandjad toimetada asutuse alalisele turvaalale andmete võrdlemiseks ja eesmärgi täitnud materjali hävitamiseks.

(3) Ajutise turvaala olemasolevaid füüsilise julgeoleku meetmeid tuleb vajaduse korral tugevdada ka pärast seda, kui turvaala kasutamine on kooskõlastatud.

4. jaotis Salastatud teavet käsitleva koosoleku pidamise nõuded

§ 43. Koosoleku pidamise üldnõuded

Salastatud teavet käsitleva nõupidamise, koosoleku, konverentsi või muu kohtumise (edaspidi koosolek) korraldamiseks peavad olema täidetud järgmised nõuded:
1) salastatud teavet käsitleva koosoleku korraldaja peab tagama, et koosolekule on juurdepääs ainult isikutel, kellel on käsitletava taseme salastatud teabele juurdepääsu õigus ning teadmisvajadus;
2) koosolekuruumis toimuvat ei või olla võimalik väljastpoolt näha ega kuulda.

§ 44. Koosoleku pidamine turvaalal ja administratiivalal

(1) Koosoleku pidamiseks kasutatavad ruumid peavad asuma turvaalal.

(2) Piiratud taseme riigisaladust käsitleva koosoleku läbiviimiseks kasutatavad ruumid võivad asuda ka administratiivalal ja neile ei pea kohaldama käesolevas jaos järgnevalt sätestatud nõudeid.

§ 45. Koosolekuruumide perioodiline kontrollimine

Koosolekuruume tuleb perioodiliselt kontrollida, et vältida lubamatut audio- või videosalvestamist. Koosolekuruumis ei tohi koosoleku toimumise ajal olla ühtegi tehnilist vahendit ega eset, mis on eelnevalt kontrollimata või mida saab kasutada pealtkuulamiseks või lubamatuks salvestamiseks.

§ 46. Koosolekul tehtud märkmete registreerimine

Iga koosolekul osaleja poolt koosolekul tehtud märkmed, kokkuvõtted ja muu sellise materjali vaatab läbi ja tagastab või edastab koosoleku korraldaja osalejatele alles siis, kui riigisaladust sisaldavad märkmed on märgistatud ja registreeritud.

2. jagu Salastatud teabekandjate arvestus

§ 47. Salastatud teabekandjate registreerimise üldnõuded

Salastatud teabekandjate registreerimisel juhindutakse “Avaliku teabe seaduse” § 58 lõike 1 alusel kehtestatud Vabariigi Valitsuse määrusest käesolevas määruses sätestatud erisustega.

§ 48. Dokumendi originaal

Mitmes eksemplaris loodud salastatud dokumendi originaaliks loetakse dokumendi esimest eksemplari. Muid eksemplare käsitatakse ja töödeldakse koopiatena.

§ 49. Salastatud teabekandjate register

(1) Salastatud teabekandjate registreerimiseks peavad riigisaladust valdavad asutused, põhiseaduslikud institutsioonid ja isikud sisse seadma salastatud teabekandjate registri (edaspidi register).

(2) Olenevalt salastatud teabekandjate hulgast võib sisse seada eraldi registrid täiesti salajase, salajase, konfidentsiaalse ja piiratud taseme salastatud teabekandjate registreerimiseks.

(3) Piiratud tasemel salastatud teabekandjaid võib töötleva üksuse juhi otsusega registreerida ka üldises dokumendiregistris, kui on tagatud, et salastatud teave ei saa seetõttu teatavaks kõrvalistele isikutele.

(4) Salastatud teabekandjate allregistri võib töötleva üksuse juhi otsusega sisse seada asutuse igas struktuuriüksuses.

§ 50. Nõuded registrile

(1) Salastatud teabekandjate registrit võib pidada elektrooniliselt või paberil.

(2) Registrikanne ise ei tohi võimaluse korral sisaldada salastatud teavet.

(3) Töötlev üksus peab tagama registriandmete säilimise.

§ 51. Registrisse kantav teave

(1) Salastatud teabekandjate registrisse märgitakse:
1) teabekandja identifitseerimiseks vajalikud andmed: registreerimisnumber, registreerimise kuupäev, koostamise kuupäev, selle asutuse nimetus, kust teabekandja on saabunud, ja edastaja registreerimisnumber, dokumendi puhul ka pealkiri ning dokumendi koostaja ja allkirjastaja. Koopiale ei pea andma uut registreerimisnumbrit, kui märgitakse koopia järjekorranumber;
2) teabekandja liik;
3) teabekandja salastamise alus, salastatuse tase ja tähtaeg, nende muudatus ja muudatuse tegemise alus;
4) eksemplaride arv ja numbrid; eksemplaride arvu ei pea registrisse kandma piiratud ja konfidentsiaalsel tasemel salastatud teabekandja puhul;
5) teabekandja osade ja dokumendi lehtede arv. Kui dokument on vormistatud lehe mõlemale küljele, registreeritakse salastatud teabekandjate registris selle dokumendi lehtede arv, märkides juurde, et dokument on vormistatud lehe mõlemale küljele;
6) koopiate arv; koopiate arvu ei pea registrisse kandma konfidentsiaalsel ja madalamal tasemel salastatud teabekandja puhul;
7) selle töötleva üksuse nimetus, kellele salastatud teabekandja või selle koopia on edastatud, ning edastamise aeg; vastuvõtja allkiri või üleandmis-vastuvõtmisakti number;
8) märge selle kohta, kui teisele töötlevale üksusele on antud luba edastada salastatud teabekandjal sisalduvat salastatud teavet kolmandale töötlevale üksusele;
9) märge hävitamise kohta.

(2) Teisaldatavate elektrooniliste salvestuskandjate kohta märgitakse salastatud teabekandjate registrisse:
1) salvestuskandja liik – näiteks kõvaketas, diskett, mälupulk;
2) registreerimisnumber;
3) registreerimise kuupäev;
4) salvestuskandjal sisalduva teabe kõrgeim salastatuse tase;
5) töötlev üksus, kellele salvestuskandja edastati, edastamise aeg.

§ 52. Salastatud teabekandjate registreerimine

(1) Salastatud teabekandja registreeritakse selle koostamise või saabumise päeval.

(2) Salastatud teabekandja registreeritakse üldjuhul üks kord. Põhiregistris registreeritud salastatud teabekandjat ei pea registreerima sama töötleva üksuse allregistris.

(3) Kui salastatud dokumentide kogum sisaldab ka salastamata teabekandjaid, võib kogumisse kuuluvad salastamata teabekandjad registreerida salastatud teabekandjate registris. Kui kogum koosneb eraldi kasutatavatest salastatud dokumentidest, võib iga kogumi osaks oleva dokumendi registreerida eraldi.

§ 53. Registripidaja

Registrisse kandeid tegeval isikul (edaspidi registripidaja) peab olema registreeritavate teabekandjate kõrgeimale salastatuse tasemele juurdepääsu õigus. Registripidaja või registripidajad ja vajaduse korral nende asendajad määrab töötleva üksuse juht.

§ 54. Tutvumisleht

(1) Salajasel ja kõrgemal tasemel salastatud teabekandjas sisalduva teabega tutvumise kohta tehakse märge ja tutvuja annab allkirja tutvumise kohta teabekandja juures olevale tutvumislehele või teabekandjale endale.

(2) Tutvumislehti säilitatakse sama kaua kui registriandmeid.

3. jagu Salastatud teabekandja märgistamine

1. jaotis Märgistamise üldnõuded

§ 55. Riigisaladust sisaldava salastatud teabekandja märgistamine

(1) Kui märgistamine ei sea ohtu riigisaladuse salastatust, tuleb teha salastatud teabekandjale selgelt nähtav salastusmärge “täiesti salajane”, “salajane”, “konfidentsiaalne” või “piiratud”:
1) sõrendatud paksus kirjas, vähemalt 16-punktiste suurtähtedega trükituna või
2) punaselt sama suurusega ja samal kujul templijäljendiga, kleepsuga või muul sellisel viisil.

(2) Kui teabekandja suuruse tõttu ei ole võimalik seda märgistada, võib märgistuse kanda teabekandja külge kinnitatud sildile. Väikeste teabekandjate puhul võib põhjendatud juhtudel märgistus olla väiksem lõike 1 punktis 1 sätestatust, tingimusel et märgistus on hõlpsasti nähtav ja loetav.

(3) Riigisaladust sisaldavale salastatud teabekandjale märgitakse ka teabe salastamise alus järgmisel kujul: “Riigisaladus … alusel”. Lünka tuleb märkida viide käesolevale määrusele, vastavale paragrahvile, lõikele ja punktile. Kui salastatud teabekandja on salastatud mitmel alusel, tuleb teabekandjale märkida kõik alused.

(4) Salastatud teabekandjale tuleb veel märkida teabekandja registreerimise kuupäev, number ja salastamistähtaeg.

(5) Teabekandja üldine salastatus peab vastama selle osade kõrgeimale salastatuse tasemele.

(6) Riigisaladust sisaldava teabekandja edastamisel välisriigile või rahvusvahelisele organisatsioonile kantakse teabekandjale välislepingu nõuetele vastavad salastusmärked ning esilehele inglise keeles märge ka selle kohta, et tegemist on Eesti Vabariigi teabega.

§ 56. Salastatud välisteavet sisaldava teabekandja märgistamine

Salastatud välisteavet sisaldavale teabekandjale ja selle osadele, mis sisaldavad salastatud välisteavet, kantakse salastatud välisteabe avaldaja salastatuse taseme märgistus, kui see on välislepinguga ette nähtud, ja sellele vastava taseme riigisaladuse märgistus. Teabekandja esilehe ülemisse paremasse nurka tehakse täiendav märge “salastatud välisteave” suurtähtedes ja märgitakse salastatud välisteabe avaldaja nimi, salastatuse tase ja tähtaeg, kui salastatuse tähtaeg on välisteabe avaldaja poolt määratud.

§ 57. Salastatud teabekandja koopia ja väljavõtte märgistamine

(1) Koopiale märgitakse “KOOPIA”. Kui dokumendi originaalil olevad märked ei kandu reprodutseerimisel automaatselt üle koopiale, kantakse koopiale samad märked, mis on originaalil.

(2) Väljavõttele märgitakse “VÄLJAVÕTE”, millisest originaaldokumendist on väljavõte tehtud ja originaali salastamismärked.

§ 58. Lisamärgistus turvameetmete ja juurdepääsuõigust omavate isikute kohta

(1) Kui teabekandja märgistatakse lisatähisega täiendavate turvameetmete või teabekandjale juurdepääsu õigust omavate isikute ringi kohta, tehakse vastav märge salastamisaluse märke juurde.

(2) Salastatud krüptomaterjalidele tehakse lisamärge “KRÜPTO”.

§ 59. Pakendatud teabekandja täiendavad salastusmärked

(1) Kui salastatud teabekandjat või andmekogumit säilitatakse kokkupakituna, -rullituna, konteinerisse või karpi panduna või muul viisil nii, et pakend varjab salastusmärget, tuleb teabekandjale või pakendile teha täiendavad salastusmärked selliselt, et asjaolu, et tegemist on riigisaladust sisaldava teabekandjaga, on tuvastatav nii pakitud kui lahtipakitud teabekandja korral kui ka teabekandjat töödeldes.

(2) Teabekandja pakendamisel selle edastamiseks kohaldatakse käesoleva peatüki 7. jao sätteid.

§ 60. Märgistuse kustutamine ja muutmine

(1) Salastatuse kustumisel salastamistähtaja möödumisel kriipsutatakse salastusmärge läbi.

(2) Salastatuse ennetähtaegsel kustutamisel kriipsutatakse salastusmärge läbi ning märgitakse salastamise aluse märke juurde “Salastatus kustutatud … alusel”, viidates kustutamise otsuse teinud organile, otsuse rekvisiitidele ja otsuse jõustumise ajale.

(3) Salastamistähtaja pikendamisel märgitakse salastamise aluse märke juurde “Salastamistähtaeg pikendatud … alusel”, viidates pikendamise otsuse teinud organile ja otsuse rekvisiitidele, ning märgitakse uus salastamistähtaeg.

(4) Salastamisandmete parandamisel kriipsutatakse vale märgistus läbi ja selle alla märgitakse “Salastatus parandatud …” vastavalt salastamisandmete parandamise otsusele. Juurde märgitakse otsuse teinud organi nimetus ning otsuse rekvisiidid või otsuse teinud ametniku ametinimetus, nimi ja allkiri.

(5) Uus märgistus tehakse üldises korras lõigetes 2–4 nimetatu juurde.

2. jaotis Dokumendi märgistamine

§ 61. Dokumentide vormistamise üldnõuete kohaldamine

Salastatud dokumendi koostamisel ja vormistamisel juhindutakse dokumentide vormistamise üldnõuetest, arvestades käesolevast määrusest tulenevaid erisusi.

§ 62. Lehtede nummerdamine

Salastatud dokumendi lehed peavad olema nummerdatud alates esilehest, samuti tuleb igale dokumendi lehele märkida lehtede koguarv. Kui dokument on vormistatud lehe mõlemale küljele, tuleb nummerdada ja märkida vastavalt leheküljed.

§ 63. Dokumendi märgistamine

(1) Salastatud dokumendi esilehele tehakse üles paremale märge teabe salastamise taseme ja aluse, teabekandja registreerimise kuupäeva, numbri ning salastamistähtaja kohta. Kõikidele dokumendi lehtedele märgitakse salastusmärge lehe keskele ülemisse ja alumisse serva vastavalt lehel sisalduva teabe kõrgeimale salastatuse tasemele.

(2) Salastatud dokumendil tervikuna on tema eri osade kõrgeim riigisaladuse tase, mille kohta tehakse salastusmärge dokumendi esilehele, samuti tiitellehele, esi- ja tagakaanele, kui need on olemas.

§ 64. Dokumendi lisa märgistamine

Kui dokumendi lisa on kasutatav algdokumendita, tuleb see märgistada ja vormistada nagu eraldi dokument.

§ 65. Tekstilõikude ja illustratsioonide kaupa märgistamine

Kui teabekandja märgistatakse täiendavalt tekstilõikude ja illustratsioonide kaupa, tuleb salastatuse taseme märge teha salastatud lõigu esimese rea algusesse ja viimase rea lõppu või illustratsiooni ette ja järele. Salastatuse taseme märge kirjutatakse suurtähtedega paksus kirjas nurk- või looksulgudes. Salastatuse taseme märget võib lühendada, märkides salastatuse taseme esitähe.

§ 66. Märgistamine dokumendil oleva teabe salastatuse kustumisel ja salastamisandmete parandamisel

(1) Märge dokumendi salastatuse kustumise, ennetähtaegse kustutamise või salastamistähtaja pikendamise, samuti salastamisaluse ja -tähtaja muutmise kohta tehakse dokumendi esilehe ülemisse parempoolsesse nurka teabekandja salastamise aluse kohta tehtud märke juurde.

(2) Teistel lehtedel kriipsutatakse salastatuse kustumisel ja kustutamisel salastusmärge lehe all- ja ülaservas läbi.

§ 67. Dokumentide kogumi märgistamine

(1) Salastatud dokumentidest moodustatud kogum märgistatakse kogumis sisalduva kõrgeima taseme riigisaladuse märkega.

(2) Toimikuks liidetud või muul viisil kaante vahele kogutud kogumi puhul tehakse salastusmärge toimiku esi- ja tagakaane ülemisse ja alumisse serva.

(3) Muudel juhtudel tehakse salastusmärge kogumi esimeseks dokumendiks oleva dokumendi esimese lehe ülemisse ja alumisse serva.

(4) Kui kogumi esileht ei sisalda riigisaladust, tehakse dokumendi paremasse ülemisse nurka lisaks ka märge: “Märgistatud riigisaladusena kui kogumi esileht”.

3. jaotis Muu teabekandja märgistamine

§ 68. Salastatud foto, transparendi ja slaidi märgistamine

Salastatud foto, transparendi ja slaidi märgistamiseks tehakse salastusmärge igale fotole, transparendile või slaidile.

§ 69. Heli-, filmi- ja videosalvestise märgistamine

Heli-, filmi- ja videosalvestisel peab olema märgistus nii selle pakendil kui teabekandjal ning selguma ka teabekandja sisust selle kasutamisel.

4. jaotis Elektroonilise teabe märgistamine

§ 70. Faili märgistamine

(1) Salastatud teavet sisaldava faili salastatuse tase märgitakse suurtähtedega faili nime algusesse, kui see on võimalik, ja faili metaandmetesse.

(2) Kui fail sisaldab dokumenti, siis märgistatakse lisaks failile ka failis sisalduv dokument dokumendi märgistamise nõuete kohaselt. Failis sisalduva dokumendi märgistamisel tuleb parimal võimalikul moel tagada, et salastusmärge oleks kestvalt nähtav riigisaladust sisaldava andmekogumi kuvamisel, projitseerimisel või muul viisil tajutavaks muutmisel.

§ 71. Elektrooniliste sõnumite märgistamine

(1) Elektrooniliste sõnumite salastatuse märge kantakse suurtähtedega sõnumi pealkirja ning sõnumi põhiosa algusesse ja lõppu dokumendi märgistamise nõuete kohaselt.

(2) Sõnumi pealkirja ei pea salastatuse märget kandma juhul, kui sõnumile lisatud salastatud teabekandja on krüpteeritud ja sõnumi krüpteerimata osa ega pealkiri ei sisalda riigisaladust.

4. jagu Salastatud teabekandja säilitamine

1. jaotis Säilitamistingimustele ja -vahenditele esitatavad nõuded

§ 72. Seif

(1) Konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandjaid tuleb säilitada koodlukuga seifis, mille murdmiskindlus vastab vähemalt standardi EVS-EN 1143-1 1. klassi nõuetele.

(2) Piiratud tasemel salastatud teabekandjat võib säilitada ka lukustatud kapis või sahtlis, mis on kaitstud kõrvaliste isikute juurdepääsu eest.

(3) Seif, milles säilitatakse konfidentsiaalsel või kõrgemal tasemel salastatud teabekandjat, peab paiknema turvaalal.

(4) Kui seifi kasutab mitu isikut, tuleb seif jagada füüsiliselt osadeks lähtuvalt teadmisvajaduse põhimõttest. Seifil peavad niisugusel juhul olema eraldi lukustatavad osad.

(5) Kooskõlastava asutuse loal võib salastatud teabekandjaid säilitada avatud hoiualal. Kooskõlastav asutus määrab sellel töödeldava teabe lubatud kõrgeima salastatuse taseme.

§ 73. Salastatud teabekandjate säilitamine nende kasutamise ajal

(1) Salastatud teabekandjad peavad pärast nende väljavõtmist seifist või muust säilituskohast olema pideva järelevalve all. Kui salastatud dokumente parajasti ei kasutata, tuleb neid hoida tühi lehekülg ülespoole või kinnikaetult.

(2) Ruumist lahkumisel peab salastatud teabekandja lukustama vastavalt salastatuse tasemele seifi, kappi või sahtlisse.

§ 74. Erandid üldistest säilitustingimustest

(1) Kui salastatud teabekandjate säilitamise nõudeid ei ole töötlevas üksuses võimalik täita, tuleb salastatud teabekandjad anda ajutisele hoiule riigiasutusele, kus salastatud teabekandjate säilitamise nõuded on täidetud.

(2) Kooskõlastav asutus võib lubada liikuval ja ajutisel turvaalal kasutada § 72 lõikes 1 sätestatust madalama murdvarguskindluse klassiga seife.

(3) Kooskõlastav asutus võib lubada erandjuhul kasutada salastatud teabekandjate säilitamiseks ka muid võimalusi, näiteks säilitamine pakendatuna vastuvõtva baasi või staabi turvaalal, lukustatavas metallkastis, nahktaskus või mujal.

(4) Salajasel või konfidentsiaalsel tasemel salastatud teabekandjat võib asutuse juhi loal erandjuhtudel lühiajaliselt, näiteks sobiva suurusega seifi hankimiseni, säilitada metallist dokumendikapis või sahtlis, kui hoidmispaik asub turvaalal ja on varustatud vähemalt ühe sulgemisrauaga või kolmeosalise võtmekombinatsiooniga lukuga.

2. jaotis Säilituspaiga võtmete ja lukukoodide kaitse

§ 75. Seifi lukukood

(1) Seifi lukukoodi tohib teada ainult selle seifi kasutaja.

(2) Lukukood ei tohi koosneda numbrite või tähtede reast, mida on kerge ära arvata, näiteks tähtpäevade kuupäevad, telefoninumbrid, aritmeetilised jadad.

(3) Lukukoode peab muutma:
1) kasutaja vahetumisel;
2) pärast avamist kasutaja juuresolekuta;
3) kui on põhjust arvata, et kood on saanud teatavaks kõrvalisele isikule;
4) 12 kuu möödumisel viimasest muutmisest.

§ 76. Seifi võti ja lukk

(1) Tööajal asub seifi võti selle seifi kasutaja käes.

(2) Töökohalt lahkudes tuleb seifi võti sulgeda võtmete kappi.

(3) Seifi lukud tuleb vahetada, kui on põhjust arvata, et seifi võti on sattunud kõrvalise isiku kätte.

§ 77. Võtmete kapp

(1) Võtmete kapp peab olema metallist, lukustatav ja asuma pideva valve all.

(2) Kui võtmete kappi kasutab mitu isikut, peab olema tagatud, et kasutaja saab võtta ainult talle vajaliku võtme.

§ 78. Seifi võtme varueksemplari ja lukukoodi hoidmine

(1) Seifi võtme varueksemplar ja seifi lukukood antakse pitseeritud ümbrikus riigisaladuse kaitse juhendis määratud isikule, kes hoiab neid eraldi seifis.

(2) Seifi võtit ja lukukoodi võib hoida panga seifis.

(3) Muud seifiluku koodi ülestähendused on keelatud.

§ 79. Piiratud tasemel salastatud teabekandja säilitamiseks kasutatava kapi või sahtli võti

Piiratud tasemel salastatud teabekandja säilitamiseks kasutatava kapi või sahtli võtit tuleb hoida nii, et see oleks kaitstud kõrvaliste isikute kätte sattumise eest.

5. jagu Salastatud teabekandja reprodutseerimine ja sellest väljavõtte tegemine

§ 80. Reprodutseerimise põhimõtted

(1) Töötlev üksus peab välistama salastatud teabekandja kontrollimatu reprodutseerimise ja sellest väljavõtte tegemise.

(2) Salajasel ja täiesti salajasel tasemel salastatud teabekandja reprodutseerimine ja sellest väljavõtte tegemine teabekandja koostanud töötleva üksuse kirjaliku nõusolekuta on keelatud. Lubatud on nõusolekuta reprodutseerida salastatud teavet töötleva üksuse töötlussüsteemis kasutamiseks.

(3) Salajasel ja täiesti salajasel tasemel teabekandjat võib reprodutseerida ja sellest väljavõtte teha ainult registripidaja.

(4) Reprodutseerimise käigus reprodutseerimisvahendis jäädvustunud teavet tuleb kaitsta ebaseadusliku juurdepääsu eest.

§ 81. Reprodutseerimisseade

(1) Konfidentsiaalsel, salajasel ja täiesti salajasel tasemel salastatud teabekandja reprodutseerimise seade peab asuma turvaalal ning töötlev üksus peab tagama, et nendele reprodutseerimisseadmetele ei pääse juurde kõrvalised isikud. Salastatud teabekandja reprodutseerimiseks ja väljavõtte tegemiseks tuleb kasutada ainult selleks ettenähtud reprodutseerimisseadmeid.

(2) Piiratud tasemel salastatud teabekandja reprodutseerimine ja sellest väljavõtte tegemine on lubatud administratiivalal selleks ettenähtud reprodutseerimisseadmega.

6. jagu Salastatud teabekandja hävitamine

§ 82. Salastatud teabekandja hävitamise põhimõtted

(1) Konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandja hävitamise seade peab asuma turvaalal.

(2) Kasutuskõlbmatuks muutunud salastatud teabekandja tuleb hävitada esimesel võimalusel, välja arvatud siis, kui seda on vaja säilitada eriotstarbeks.

§ 83. Salastatud teabekandja hävitamine

(1) Konfidentsiaalsel ja kõrgemal tasemel salastatud paberkandja hävitamiseks kasutatav paberipurustaja peab paberi purustama tükkideks, mis ei tohi olla suuremad kui 2 x 15 mm.

(2) Piiratud tasemel salastatud paberkandja hävitamiseks kasutatav paberipurustaja peab paberi purustama tükkideks, mis ei tohi olla suuremad kui 4 x 40 mm.

(3) Teisaldatava salvestuskandja hävitamise seadmed tuleb kooskõlastada Teabeametiga.

(4) Lõigetes 1–3 nimetamata seadmeid võib kasutada salastatud teabekandja hävitamiseks vastavalt Kaitsepolitseiameti, Kaitseväe Peastaabi või Teabeameti nõusolekul.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

§ 84. Salastatud teabekandja hävitamine juriidiliste isikute poolt

(1) Eraõiguslikud juriidilised isikud, kelle valduses on salastatud teave, edastavad hävitamisele kuuluva konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandja, sealhulgas originaali, koopia ja väljavõtte, hävitamiseks salastatud teabekandja koostanud või juriidilise isiku juurdepääsuloa taotlemist toetanud asutusele.

(2) Kaitsepolitseiameti kirjalikul loal võib juriidiline isik hävitada lõikes 1 nimetatud salastatud teabekandja ka iseseisvalt, järgides käesolevas määruses kehtestatud nõudeid.

§ 85. Salastatud teabekandjat hävitavad füüsilised isikud

(1) Konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandja hävitamises peab osalema vähemalt kaks isikut, kes allkirjastavad salastatud teabekandja hävitamise akti.

(2) Hävitamises osalevatel isikutel peab olema vastaval tasemel riigisaladusele juurdepääsu õigus.

§ 86. Salastatud teabekandja hävitamise akt

(1) Salastatud teabekandja hävitamisel koostatakse salastatud teabekandja hävitamise akt.

(2) Salastatud teabekandja hävitamise aktis peavad olema märgitud:
1) salastatud teabekandjat identifitseerivad andmed;
2) teabekandja hävitanud isikute andmed;
3) hävitamismeetod.

(3) Salastatud teabekandja hävitamise akte säilitatakse turvaalal vähemalt viis aastat.

(4) Salastatud teabekandja hävitamise akti koostamata võib hävitada konfidentsiaalsel ja madalamal tasemel salastatud teabekandja registreerimata koopia.

7. jagu Salastatud teabekandja edastamine

1. jaotis Salastatud teabekandja edastamise üldpõhimõtted

§ 87. Vastuvõtja õigus juurde pääseda asjakohase taseme salastatud teabele

Riigisaladuse valdaja peab enne salastatud teabekandja edastamist olema veendunud, et salastatud teabekandja vastuvõtjal on asjakohasel tasemel salastatud teabele juurdepääsu õigus.

§ 88. Salastatud teabekandja edastamise pakend

(1) Salastatud teabekandja edastamiseks tuleb salastatud teabekandja panna läbipaistmatusse topeltpakendisse.

(2) Salastatud teabekandja peab olema pakendatud turvaliselt viisil, mis võimaldab tagantjärele tuvastada pakendi avamist. Vajaduse korral peab rakendama lisameetmeid pakendi sisu kaitsmiseks õigustamata isikute juurdepääsu eest.

(3) Välispakendile märgitakse saaja töötleva üksuse nimi, pakendis sisalduvate teabekandjate registreerimise numbrid ja vajaduse korral ka aadress.

(4) Sisepakendile märgitakse adressaadiks vastuvõtva töötleva üksuse salastatud teabekandjate register, samuti selles oleva teabekandja salastamistase, registreerimisnumber ja ühikute arv.

§ 89. Edastamise korraldamine

(1) Salastatud teabekandja edastamisel lepivad teabekandja edastaja ning saaja teabekandja edastamises kokku, järgides käesolevas määruses sätestatud nõudeid.

(2) Kui salastatud teabekandja edastamise kohta kehtestatud nõudeid ei ole töötleval üksusel võimalik järgida, peab ta pöörduma salastatud teabekandja edastamise korraldamiseks Kaitsepolitseiameti või Kaitseväe Peastaabi poole.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

§ 90. Edastamisviis

(1) Salastatud teabekandja tuleb edastada viisil, mis tagab teadmisvajaduse põhimõtte arvestamise.

(2) Salastatud teabekandja edastatakse viivitamata. Salastatud teabekandja edastamiseks tuleb valida võimalikult lühike teekond ja ohutu viis.

(3) Kuller peab salastatud teabekandjat kuni üleandmiseni hoidma kogu aeg enda otseses valduses.

(4) Kui konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandjat ei ole võimalik kohe edastada, tagastatakse see saatja registripidajale või riigisaladuse kaitset korraldavale isikule.

(5) Piiratud tasemel salastatud teabekandjat võib edastada posti teel väljastusteatega tähtsaadetisena. Väljastusteadet säilitatakse registri juures.

§ 91. Kulleri õigus juurde pääseda salastatud teabele

Konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandja edastamiseks peab kulleril olema asjakohasel tasemel salastatud teabele juurdepääsu õigus.

§ 92. Salastatud teabekandja väljaviimine turvaalalt

Konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandja võib turvaalalt välja viia ainult töötleva üksuse juhi, registripidaja või töötleva üksuse riigisaladuse kaitse juhendis määratud muu isiku loal transportimiseks mõeldud lukustatavas kotis või kastis või pitseeritud diplomaatilise posti kotis.

§ 93. Salastatud teabekandja üleandmis-vastuvõtmisakt

(1) Salastatud teabekandja edastamise kohta koostab edastaja üleandmis-vastuvõtmisakti. Piiratud tasemel salastatud teabekandja edastamise kohta ei pea akti koostama.

(2) Üleandmis-vastuvõtmisakti peab olema märgitud:
1) teabekandja koostamise kuupäev, registreerimise number, kõrgeim salastatuse tase ning edastatavate ühikute arv. Üleandmis-vastuvõtmisakti ei tohi märkida pakendis sisalduva salastatud teabekandja pealkirja ega muud viidet teabekandja sisule;
2) adressaadiks oleva töötleva üksuse nimi ja aadress;
3) vastuvõtja nimi ja allkiri;
4) üleandja nimi ja allkiri.

(3) Vastuvõtja allkirjastab üleandmis-vastuvõtmisakti pärast edastatud pakendil ja aktis olevate kirjete võrdlemist.

(4) Üleandmis-vastuvõtmisakti säilitatakse registri juures turvaalal vähemalt viis aastat.

(5) Ühes ja samas üleandmis-vastuvõtmisaktis võib kajastada mitme salastatud teabekandja edastamist.

§ 94. Salastatud teabekandja vastuvõtja kohustused

(1) Salastatud teabekandja vastuvõtmisel kontrollitakse, kas saadetis on terviklik, kinnine ja avamisjälgedeta.

(2) Avatud saadetise või avamisjälgedega saadetise või sellise kahtluse korral peab sellest kohe teavitama registripidajat või muud riigisaladuse kaitse juhendis sätestatud isikut.

(3) Pärast välispakendi avamist tuleb sisepakend edastada viivitamata registreerimiseks registripidajale, kes edastab selle riigisaladuse kaitse juhendis sätestatud korras.

(4) Registripidaja peab kontrollima, kas teabekandjad ja neis sisalduv vastavad märgitud ühikute arvule.

2. jaotis Salastatud teabekandja edastamine ühelt turvaalalt teisele administratiivala kaudu

§ 95. Administratiivala kaudu edastavad isikud

(1) Konfidentsiaalsel ja madalamal tasemel salastatud teabekandjat võib administratiivala kaudu edastada isiklikult, registripidaja või kulleriga.

(2) Salajasel ja kõrgemal tasemel salastatud teabekandjat võib ühelt turvaalalt teisele administratiivala kaudu edastada registripidaja, kes võib kasutada kullerit.

§ 96. Edastamise üldnõuete välistamine administratiivala kaudu edastamisel

Teabekandja edastamisele ühelt turvaalalt teisele ei kohaldata § 88 ja 92.

3. jaotis Salastatud teabekandja edastamine avaliku ruumi kaudu

§ 97. Edastamine kahe füüsilise isiku poolt

Salajasel ja kõrgemal tasemel salastatud teabekandjat edastavad kaks füüsilist isikut. Kaitsepolitseiameti, Kaitseväe Peastaabi, riigi julgeoleku volitatud esindaja ja Teabeameti loal võib edastada ka üks isik.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

§ 98. Sõiduki kasutamine avaliku ruumi kaudu edastamisel

(1) Salajasel ja kõrgemal taseme salastatud teabekandjat edastatakse üldjuhul autoga.

(2) Auto aknad hoitakse suletud ja uksed lukustatud ning autojuht peab olema edastamist korraldava töötleva üksusega töö- või teenistussuhtes.

(3) Paragrahvis 99 nimetatud isikud ei või teabekandjat edastades samal ajal juhtida autot.

§ 99. Relva kandmine avaliku ruumi kaudu edastamisel

Täiesti salajasel tasemel salastatud teabekandjat edastav kuller peab kandma sõjaväe- või teenistusrelva või temaga peab olema kaasas sõjaväe- või teenistusrelva kandev isik.

4. jaotis Salastatud teabekandja edastamine välismaale, välismaal ja välismaalt

§ 100. Välismaale, välismaal ja välismaalt kulleriga edastamine

(1) Välismaale, välismaal ja välismaalt edastatakse konfidentsiaalsel ja kõrgemal tasemel salastatud teabekandja diplomaatilise või sõjalise kulleriga, kellel on asjakohasel tasemel salastatud teabele juurdepääsu õigus.

(2) Vastavalt Kaitsepolitseiamet, Kaitseväe Peastaap, riigi julgeoleku volitatud esindaja või Teabeamet võib anda kirjaliku loa lõikes 1 nimetatud teabekandjate edastamiseks diplomaatilise või sõjalise kullerita juhul, kui kulleri kasutamine tooks kaasa ebasoovitava viivituse või kui teistsuguse edastamise vajadus on tingitud objektiivsest olukorrast.

[RT I 2008, 55, 312 – jõust. 1.01.2009]

(3) Lõikes 2 nimetatud luba peab sisaldama nõudeid, mida peab saadetise edastamisel täitma, eelkõige teekonna ja edastamiseks kasutatavate transpordivahendite kohta.

§ 101. Kuller välismaale, välismaal ja välismaalt edastamisel

(1) Välismaale, välismaal ja välismaalt edastamiseks peab kulleril olema diplomaatilise kulleri tunnistus, mille väljastab Välisministeerium, või diplomaatiline puutumatus.

(2) Sõjaliste missioonide piirkonnas edastamiseks peab kulleril olema sõjalise kulleri tunnistus, mille väljastab Kaitseministeerium.

8. jagu Salastatud teabe edastamine tehnilise sidekanali kaudu

§ 102. Akrediteeritud süsteemi kasutamine

Salastatud teabe edastamine tehnilise sidekanali kaudu on lubatud ainult juhul, kui kasutatakse asjakohasel tasemel teabe edastamiseks akrediteeritud süsteemi.

§ 103. Hädaolukorras tehniliste sidekanalite kaudu edastamine

(1) Asjakohasel tasemel salastatud teabe edastamiseks akrediteerimata süsteemi kasutades võib salastatud teavet, välja arvatud täiesti salajasel tasemel teave, edastada ainult hädaolukorras ja salastatud teavet valdava töötleva üksuse juhi ühekordsel loal. Salastatud teavet valdava riigiasutuse juht võib anda loa, kui riigisaladuse kiire edastamine on möödapääsmatu ja salastatud teavet ei ole aja või vastavate vahendite puudumise tõttu võimalik krüpteerida. Salastatud teabe krüpteerimata edastamisest teatatakse esimesel võimalusel Kaitsepolitseiametile ja Teabeametile.

(2) Kui salastatud välisteabe edastamiseks kasutatakse akrediteerimata süsteemi, tuleb sellest viivitamata teavitada ka riigi julgeoleku volitatud esindajat, välja arvatud “Riigisaladuse ja salastatud välisteabe seaduse” § 52 lõikes 3 sätestatud juhul.

9. jagu Elektrooniline teabeturve

§ 104. Mõisted

Käesolevas jaos kasutatakse mõisteid järgmises tähenduses:
1) elektrooniline teabeturve – teabe käideldavuse, salajasuse ja terviklikkuse tagamine salastatud teabe töötlussüsteemides;
2) töötlussüsteemi akrediteerimine – töötlussüsteemi elektroonilise teabeturbe nõuetele vastavuse hindamine;
3) käideldavus – teabe kasutamise ja teabele juurdepääsu võimalus volitatud isiku nõudel;
4) salajasus – teabe volitamata isikutele mittekättesaadavus või mittearusaadavus;
5) terviklikkus – teabe omadus olla volitamata isikute poolt muutmata, täiendamata või hävitamata;
6) oht – teabe käideldavuse, salajasuse või terviklikkuse potentsiaalne kahjustumine;
7) turvarike – olukord, kus teave või selle kaitsmist toetavad süsteemitoimingud ja -vahendid kaotasid või võisid kaotada varguse, sabotaaži, terrorismiaktide, muu lubamatu tegevuse või turvaaukude tõttu salajasuse, terviklikkuse või käideldavuse (sealhulgas teabe kadumine, volitamata isikutele teatavakssaamine, volitamata isikute poolt muutmine või hävitamine või rünne süsteemi suhtes);
8) turvarisk – turvarikke esinemise tõenäosus;
9) riskihaldus – vara, teabe, ohu, turvarikke ja turvariski analüüs, mille põhjal määratakse kindlaks teabe ja selle kaitsmist toetavate süsteemitoimingute ja -vahendite turvameetmed. Riskihaldus hõlmab süsteemi turvameetmete planeerimist, korraldamist, kasutamist ja kontrollimist, selleks et vältida turvariski väljumist vastuvõetavatest piiridest ja turvarikkeid;
10) haavatavuse analüüs – süsteemi üksikasjalik kontrollimine, et selgitada välja süsteemi turvaaugud, ohud süsteemis töödeldava teabe salajasusele, terviklikkusele ja käideldavusele ning süsteemi vastuvõtlikkus mis tahes ründele või ohule;
11) töötlussüsteemi turvanõuete loetelu – süsteemi kohustuslike turvanõuete loetelu, mis sätestab, kuidas saavutada süsteemi piisav turvalisus ning kuidas tagada ja kontrollida teabe turvalisust süsteemis;
12) töötlussüsteemi turvanõuete rakendamise juhend – dokument, mis kirjeldab detailselt süsteemi turvanõuete loetelus ettenähtud turvanõuete täitmise korda ja iga konkreetse töötaja või muu isiku ülesandeid teabe turvalisuse tagamisel;
13) väline turvakeskkond – süsteemi paiknemiskohta ümbritsev keskkond, sealhulgas hoone või ala, milles toimuvad sündmused võivad mõjutada süsteemi turvalisust;
14) sisemine turvakeskkond – välise turvakeskkonnaga piirnev ruum või ala, kus paiknevad süsteemi komponendid või kus neid kasutatakse;
15) elektrooniline turvakeskkond – piirdub süsteemi komponentidega, mille abil teavet elektrooniliselt töödeldakse ning mille kaitseks süsteemi käitav personal rakendab elektroonilisi turvameetmeid.

§ 105. Elektroonilise teabeturbe põhimõtted

(1) Käesolevas osas sätestatakse elektroonilise teabeturbe nõuded salastatud teabe kaitseks selle elektroonilisel töötlemisel.

(2) Salastatud teavet võib elektrooniliselt töödelda salastatud teabe töötlussüsteemis, mis vastab elektroonilise teabeturbe nõuetele ning millel on Teabeameti antud kehtiv vastavussertifikaat või ajutine kasutusluba.

(3) Salastatud teavet on lubatud töödelda ainult sisemises turvakeskkonnas paiknevate arvutite ja kohtvõrkude abil.

(4) Arvuti, milles töötlemiseks lubatud kõrgeim salastatud teabe tase on piiratud, võib viia väljapoole sisemist turvakeskkonda, kui:
1) salastatud teave on krüpteeritud nõuetele vastavate krüptovahenditega;
2) arvutil ei ole märgistust, mis viitaks töödeldava salastatud teabe salastatuse tasemele.

(5) Elektroonilise teabeturbe tagamisel salastatud välisteabe kaitseks võetakse täiendavalt arvesse salastatud välisteabe avaldaja poolt ettenähtud nõudeid.

(6) Elektroonilise teabeturbe tagamisel arvestatakse eelkõige järgmisi turvapõhimõtteid:
1) kasutada võib üksnes funktsioone, protokolle või teenuseid, mis on vajalikud teabe töötlemiseks või selle turvalisuse tagamiseks – minimaalsuse põhimõte;
2) katkematult peab toimuma süsteemi turvariskide ohjamine, sealhulgas vältimine, vähendamine, kõrvalejuhtimine ja lubatav aktsepteerimine – turvariskide pideva haldamise põhimõte – ja süsteemi turvalisuse regulaarne kontrollimine;
3) süsteemi kasutajatel ja administraatoritel on ainult tööülesannete täitmiseks vajalikud kasutajaõigused – privileegide piiratuse põhimõte;
4) eeldatakse kõigi süsteemiga ühendatud teiste süsteemide ebausaldusväärsust ning nendega teabe vahetamisel peab rakendama piisavaid turvameetmeid – isekaitsvate sõlmede kasutamise põhimõte;
5) ühe kasutatava turvameetme rikke korral ei tohi süsteem muutuda ebaturvaliseks – sügavuti kaitse põhimõte.

§ 106. Töötlussüsteemile esitatavad nõuded

(1) Salastatud teabe töötlussüsteemis peab olema tagatud salastatud teabe käideldavus, salajasus ja terviklikkus.

(2) Salastatud teabe töötlussüsteem peab võimaldama:
1) tuvastada ja registreerida isikud, kes omasid või võisid omada juurdepääsu salastatud teabele ja selle kaitsmist toetavatele süsteemitoimingutele ja -vahenditele;
2) eristada süsteemi kasutajaid salastatud teabele juurdepääsu õiguse põhjal;
3) juurdepääsu teabele ja selle kaitsmist toetavatele süsteemitoimingutele ja -vahenditele üksnes juurdepääsuõiguse ja põhjendatud teadmisvajaduse olemasolul;
4) kontrollida teabe ning selle kaitsmist toetavate süsteemitoimingute ja -vahendite salajasust, terviklikkust, käideldavust, samuti nende päritolu, usaldatavust ja ühendusi;
5) saavutada olukorra, kus elektroonilise teabeturbe kaitsemehhanismid toimivad nõuetekohaselt süsteemi kogu kasutusaja jooksul;
6) ära hoida ja kõrvaldada turvarikkeid ning vältida või vähendada nende tekkimisega kaasnevat kahju;
7) käsitleda turvarikkeid, mille käigus määratakse kindlaks ja registreeritakse süsteemile või selle osale avaldunud oht ja selle tagajärjel teabele tekkinud kahju ning selle kõrvaldamiseks võetud meetmed.

(3) Süsteemi kohta käiv teave dokumenteeritakse süsteemi turvanõuete loetelus ja süsteemi turvanõuete rakendamise juhendis.

(4) Töötlev üksus teostab süsteemi suhtes pidevat riskihaldust.

§ 107. Süsteemi turvanõuete loetelu

(1) Süsteemi turvanõuete loetelus esitatakse:
1) süsteemi tehniline kirjeldus;
2) ülevaade süsteemi riskianalüüsi tulemustest;
3) süsteemile esitatavate turvanõuete kirjeldus;
4) süsteemis rakendatavate turvameetmete loetelu;
5) süsteemi turvalisuse korraldamise kirjeldus.

(2) Süsteemi turvanõuete loetelu töötab välja töötlev üksus. Enne salastatud teabe töötlemiseks uue süsteemi ehitamist või kasutusele võtmist kooskõlastab töötlev üksus loetelu Teabeametiga.

(3) Süsteemi turvanõuete loetelu täpsustatakse süsteemi ehitamise ja kasutamise käigus, juhul kui toimuvad muudatused, näiteks kui muutub süsteemi kasutusotstarve, struktuur, ilmnevad uued olulised ohud või muutub süsteemis töödeldava salastatud teabe tase. Süsteemi turvanõuete loetelu muudatused kooskõlastab töötlev üksus Teabeametiga.

§ 108. Süsteemi turvanõuete rakendamise juhend

(1) Süsteemi turvanõuete rakendamise juhendis esitatakse:
1) süsteemi turvalisuse eest vastutavate isikute ülesanded, õigused ja kohustused;
2) süsteemi kasutajad ning nende ülesanded, õigused ja kohustused;
3) süsteemi riist- ja tarkvara konfiguratsioonihalduse kirjeldus;
4) juhised salastatud teabe elektrooniliseks töötlemiseks;
5) süsteemis kasutatavate teabekandjate töötlemise kirjeldus;
6) süsteemi logifailide ülevaatamise ja intsidentide halduse kirjeldus.

(2) Süsteemi turvanõuete rakendamise juhendi töötab välja töötlev üksus, lähtudes süsteemi turvanõuete loetelust, ning kooskõlastab loetelu Teabeametiga, enne kui süsteemis alustatakse salastatud teabe töötlemist.

(3) Süsteemi turvanõuete rakendamise juhendit täpsustatakse süsteemi ekspluateerimise käigus, juhul kui toimuvad muudatused, näiteks kui muutub süsteemi kasutusotstarve, struktuur, ilmnevad uued olulised ohud või muutub süsteemis töödeldava salastatud teabe tase. Süsteemi turvanõuete rakendamise juhendi muudatused kooskõlastatakse Teabeametiga.

§ 109. Süsteemi akrediteerimine

(1) Süsteemi akrediteerimise eesmärk on saada piisav veendumus, et süsteem vastab elektroonilise teabeturbe tagamiseks kehtestatud nõuetele.

(2) Süsteemi akrediteerimisel lähtub Teabeamet:
1) süsteemi füüsilistest turvameetmetest;
2) süsteemiga seotud turvariskidest;
3) süsteemi turvanõuete loetelust;
4) süsteemi turvanõuete rakendamise juhendist;
5) süsteemi asukoha kiirgusturbe tsoneerimise tulemustest;
6) teabest elektroonilise teabeturbe nõuete täitmise kohta töötleva üksuse poolt.

(3) Teabeamet algatab süsteemi akrediteerimise töötleva üksuse taotlusel või omal algatusel. Töötlev üksus lisab süsteemi akrediteerimise taotlusele süsteemi turvanõuete loetelu ja turvanõuete rakendamise juhendi. Ülejäänud lõikes 2 nimetatud teabe esitab töötlev üksus Teabeameti nõudmisel.

(4) Akrediteerimise tulemusena antakse töötlevale üksusele vastavussertifikaat Teabeameti peadirektori käskkirjaga.

(5) Süsteemile akrediteerimise tulemusena antav ajutine kasutusluba antakse Teabeameti peadirektori käskkirjaga.

(6) Teabeamet keeldub süsteemile vastavussertifikaati või ajutist kasutusluba väljastamast ja keelab selle kasutamise salastatud teabe töötlemiseks, kui süsteem ei vasta elektroonilise teabeturbe nõuetele. Vastav otsus tehakse Teabeameti peadirektori käskkirjaga.

§ 110. Teabe andmise kohustus

Teabeameti nõudel on töötlev üksus kohustatud viivitamata andma, sealhulgas kirjalikus vormis, teavet tema valduses oleva süsteemi ja elektroonilise teabeturbega seotud asjaolude kohta ning tagama Teabeametile tööajal pideva ning puhkepäevadel ja riiklikel pühadel eelnevalt kokkulepitud ajal juurdepääsu süsteemi osadele, sõltumata nende paiknemiskohast.

§ 111. Vastavussertifikaadi ja ajutise kasutusloa kehtivuse pikendamise kord

(1) Vastavussertifikaadi pikendamiseks esitab töötlev üksus Teabeametile taotluse vähemalt kaks kuud enne vastavussertifikaadi kehtivuse lõppemist.

(2) Ajutise kasutusloa kehtivust võib Teabeamet pikendada omal algatusel ja töötleva üksuse taotluse alusel.

(3) Vastavussertifikaadi ja ajutise kasutusloa pikendamisele kohaldatakse süsteemi akrediteerimise sätteid.

§ 112. Vastavussertifikaadi ja ajutise kasutusloa kehtetuks tunnistamine

(1) Teabeamet tunnistab vastavussertifikaadi või ajutise kasutusloa kehtetuks:
1) töötleva üksuse taotluse alusel;
2) kui töötlev üksus ei ole täitnud Teabeameti ettekirjutust elektroonilise teabeturbe nõude rikkumise või rikkumise ohu kõrvaldamiseks;
3) ilmneb vastavussertifikaadi või ajutise kasutusloa andmisest keeldumise aluseks olev asjaolu.

(2) Vastavussertifikaat või ajutine kasutusluba tunnistatakse kehtetuks Teabeameti peadirektori käskkirjaga.

(3) Vastavussertifikaadi või ajutise kasutusloa kehtetuks tunnistamine tehakse töötlevale üksusele teatavaks kirjalikult.

§ 113. Riigi julgeoleku volitatud esindaja teavitamine

Teabeamet teavitab süsteemile vastavussertifikaadi või ajutise kasutusloa andmisest, vastavussertifikaadi kehtivuse pikendamisest või kehtetuks tunnistamisest riigi julgeoleku volitatud esindajat, kui süsteemis töödeldakse salastatud välisteavet.

10. jagu Salastatud välisteabe kaitse

1. jaotis Salastatud välisteabe töötlemine

§ 114. Salastatud välisteabe töötlemise põhimõtted

Salastatud välisteabe töötlemine toimub riigisaladuse töötlemisega samadel alustel ja korras, arvestades välislepingutest tulenevaid erisusi. Käesolevas jaos sätestatud töötlemisnõudeid ei kohaldata Teabeametis arvele võetud krüptomaterjalile ning “Riigisaladuse ja salastatud välisteabe seaduse” § 52 lõikes 3 nimetatud teabele.

§ 115. Salastatud välisteavet sisaldavate teabekandjate arvestus

Salastatud välisteavet sisaldavate teabekandjate arvestust peetakse riigisaladuse arvestusest eraldi, nii et on tagatud registriandmetele ja teabekandjatele juurdepääsu piirang teadmisvajaduse ja juurdepääsuõiguse alusel. Registris tuleb arvestust pidada iga salastatud välisteabe avaldaja kohta eraldi.

§ 116. Riigi julgeoleku volitatud esindaja peetav salastatud välisteabe põhiregister

Riigi julgeoleku volitatud esindaja peab salastatud välisteabe põhiregistrit, kus registreeritakse kõik riigile edastatud või riigis loodud salajasel ja kõrgemal salastatuse tasemel salastatud välisteabe kandjad ja kuhu kogutakse andmed kõigi riigile edastatud või riigis loodud konfidentsiaalse tasemega salastatud välisteavet sisaldavate teabekandjate kohta.

§ 117. Töötleva üksuse peetav salastatud välisteabe register

(1) Salastatud välisteavet valdav töötlev üksus on kohustatud sisse seadma salastatud välisteabe registri ja teavitama sellest eelnevalt kirjalikult riigi julgeoleku volitatud esindajat.

(2) Täiesti salajase taseme ja erimärgistusega, näiteks ATOMAL, BOHEMIAN või muu selline, salastatud välisteabe töötlemiseks ning registri ja selle allregistri pidamiseks peab töötlev üksus saama riigi julgeoleku volitatud esindajalt kirjaliku nõusoleku. Riigi julgeoleku volitatud esindaja väljastab nõusoleku pärast kontrolli, mille käigus tuvastatakse, kas töötlemisnõuded on täidetud.

§ 118. Salastatud välisteavet sisaldava teabekandja registreerimine

(1) Salastatud välisteavet valdav töötlev üksus on kohustatud tema valduses olevad salajase ja kõrgema salastatuse taseme ning erimärgistusega salastatud välisteavet sisaldavad teabekandjad registreerima lisaks töötleva üksuse registrile riigi julgeoleku volitatud esindaja poolt peetavas põhiregistris esimesel võimalusel, kuid mitte hiljem kui seitse tööpäeva pärast salastatud teabekandja loomist või töötlevasse üksusesse saabumist.

(2) Konfidentsiaalsel tasemel salastatud välisteavet sisaldavate teabekandjate kohta peab teavet valdav töötlev üksus edastama riigi julgeoleku volitatud esindajale andmed ühe kuu jooksul pärast salastatud teabekandja loomist või töötlevasse üksusesse saabumist.

(3) Töötlev üksus ei pea riigi julgeoleku volitatud esindaja poolt peetavas põhiregistris registreerima neid teabekandjaid, mis on talle edastanud riigi julgeoleku volitatud esindaja.

(4) Salastatud välisteavet valdav töötlev üksus on kohustatud kandma riigi julgeoleku volitatud esindaja antud registreerimisnumbri igale salajase ja kõrgema salastatuse taseme ning erimärgistusega salastatud välisteavet sisaldavale teabekandjale.

§ 119. Salastatud välisteavet sisaldava teabekandja edastamine

(1) Täiesti salajase taseme ja erimärgistusega salastatud välisteavet sisaldav teabekandja võetakse vastu ning edastatakse teistele töötlevatele üksustele ainult riigi julgeoleku volitatud esindaja kaudu, välja arvatud juhul, kui registrit pidavale töötlevale üksusele on selleks antud riigi julgeoleku volitatud esindaja kirjalik nõusolek.

(2) Salajasel ja madalamal salastatuse tasemel salastatud välisteavet sisaldava teabekandja edastamisest teisele töötlevale üksusele teavitatakse riigi julgeoleku volitatud esindajat ühe kuu jooksul pärast edastamise toimumist.

(3) Salastatud välisteavet sisaldava teabekandja võib edastada ainult sellisele töötlevale üksusele, kes on eelnevalt sisse seadnud salastatud välisteabe registri.

§ 120. Täiesti salajase taseme ja erimärgistusega salastatud välisteavet sisaldava teabekandja reprodutseerimine ja hävitamine

(1) Täiesti salajase taseme ja erimärgistusega salastatud välisteavet sisaldavat teabekandjat reprodutseerib ja hävitab ainult riigi julgeoleku volitatud esindaja.

(2) Riigi julgeoleku volitatud esindaja võib anda riigiasutusele kirjaliku loa lõikes 1 nimetatud teabekandja reprodutseerimiseks või hävitamiseks.

§ 121. Täiesti salajase taseme ja erimärgistusega salastatud välisteavet sisaldava teabekandja tagastamine

(1) Täiesti salajase taseme või välisriigi erimärgistusega salastatud teabe registrit pidav töötlev üksus tagastab nimetatud teavet sisaldava teabekandja riigi julgeoleku volitatud esindajale kohe pärast teabekandja kasutamise vajaduse lõppemist.

(2) Juhul kui teabekandjat on vaja kasutada kauem kui üks aasta pärast teabekandja saamist, tuleb teabekandja pikem hoidmine registreerida riigi julgeoleku volitatud esindaja peetavas põhiregistris.

§ 122. Riigi julgeoleku volitatud esindaja kontroll

Riigi julgeoleku volitatud esindaja viib vähemalt korra kahe aasta jooksul läbi salastatud välisteavet valdavas töötlevas üksuses salastatud välisteabe kaitse tagamiseks rakendatavate turvameetmete ja nimetatud teavet töötlevate füüsiliste isikute juurdepääsu kontrolli. Salajase ja kõrgema salastatuse taseme teavet või erimärgistusega teavet valdavates asutustes viib riigi julgeoleku volitatud esindaja kontrolli läbi vähemalt iga kaheksateistkümne kuu järel.

2. jaotis Salastatud välisteabele juurdepääsu sertifikaadi väljastamise, selle väljastamisest keeldumise, pikendamise ja kehtetuks tunnistamise, juurdepääsuõiguse andmise, sellest keeldumise ja selle pikendamise kord

§ 123. Juurdepääs salastatud välisteabele

(1) Salastatud välisteabele juurdepääsu sertifikaat (edaspidi juurdepääsusertifikaat) antakse juurdepääsuks salastatud välisteabele, kui välislepingus on juurdepääsusertifikaadi andmine vastava taseme salastatud välisteabele juurdepääsu õiguse saamiseks ette nähtud.

(2) Välislepinguga ettenähtud juhtudel väljastab riigi julgeoleku volitatud esindaja ka salastatud välisteabele juurdepääsuõiguse kinnituse (edaspidikinnitus).

(3) “Riigisaladuse ja salastatud välisteabe seaduse” § 27 lõigetes 1 ja 2 nimetatud isikutel tekib juurdepääsuõigus Euroopa Liidu ja Põhja-Atlandi Lepingu Organisatsiooni piiratud tasemega salastatud teabele pärast §-s 130 nimetatud tutvustuse läbimist ja kohustuse allkirjastamist ning §-s 131 nimetatud teatise väljastamist.

(4) Lõikes 3 nimetamata füüsilisel isikul ja eraõiguslikul juriidilisel isikul tekib salastatud välisteabele juurdepääsu õigus või töötlemise õigus ainult juurdepääsusertifikaadi alusel.

§ 124. Juurdepääsusertifikaadi taseme vastavus riigisaladuse loa tasemele

Juurdepääsusertifikaati ei anta kõrgemal salastatuse tasemel, kui on füüsilise isiku või töötleva üksuse, kellele juurdepääsusertifikaati taotletakse, riigisaladusele juurdepääsu loa või töötlemisloa tase.

§ 125. Juurdepääsusertifikaadi kehtivus

(1) Juurdepääsusertifikaadi kehtivusaja otsustab riigi julgeoleku volitatud esindaja vastavalt taotluses märgitud soovitavale kehtivusperioodile, riigisaladusele juurdepääsu õiguse kehtivusele ja teadmisvajaduse põhjendatusele. Juurdepääsusertifikaat ei või kehtida kauem kui isiku õigus pääseda juurde riigisaladusele.

(2) Juhul kui isiku õigus pääseda juurde riigisaladusele lõpeb enne juurdepääsusertifikaadil märgitud kehtivusaja lõppu, kaotab juurdepääsusertifikaat kehtivuse.

(3) Kui juurdepääsusertifikaat kaotab kehtivuse varem kui sellele märgitud kehtivuse lõppkuupäeval, tuleb juurdepääsusertifikaat tagastada riigi julgeoleku volitatud esindajale.

§ 126. Juurdepääsusertifikaadi taotlemine füüsilisele isikule

Füüsilisele isikule juurdepääsusertifikaadi taotlemiseks peab juurdepääsusertifikaati taotlev töötlev üksus esitama riigi julgeoleku volitatud esindajale järgmised dokumendid:
1) kirjalik taotlus, milles märgitakse salastatud välisteabe avaldaja ja salastatuse tase, millele juurdepääsu taotletakse, taotletav juurdepääsusertifikaadi kehtivusaeg, samuti isiku nimi, isikukood, selle puudumisel sünniaeg, täpne sünnikoht, kodakondsus ja kontaktandmed;
2) isiku juurdepääsuloa või muu riigisaladusele juurdepääsu õigust kinnitava dokumendi koopia;
3) koopia isiku isikutunnistuse mõlemast küljest või passi isikuandmetega lehest.

§ 127.  Piiratud tasemel salastatud välisteabele juurdepääsu õiguse taotlemine

(1) Piiratud tasemel salastatud välisteabele juurdepääsu õiguse taotlemiseks § 123 lõikes 3 nimetatud isikule esitab asutus või põhiseaduslik institutsioon riigi julgeoleku volitatud esindajale kirjaliku taotluse, milles on märgitud isiku nimi, isikukood ja ametikoht ning lisatud koopia dokumendist, millega isikule on antud piiratud tasemel riigisaladusele juurdepääsu õigus.

(2) Vajaduse korral väljastab riigi julgeoleku volitatud esindaja kinnituse ka piiratud tasemel salastatud välisteabele juurdepääsu õiguse tõendamiseks.

§ 128. Juurdepääsusertifikaadi taotlemine töötlemisloa alusel salastatud teavet töötlevale isikule

Juurdepääsusertifikaadi taotlemiseks töötlemisloa alusel salastatud teavet töötlevale isikule peab juurdepääsu andmist toetav asutus esitama riigi julgeoleku volitatud esindajale järgmised dokumendid:
1) töötleva üksuse kirjalik taotlus, milles nimetatakse salastatud välisteabe avaldaja ja salastatuse tase, millele juurdepääsu taotletakse, ning põhjendatakse isiku salastatud välisteabele juurdepääsu vajadust;
2) toetava asutuse kirjalik taotlus, milles nimetatakse salastatud välisteabe avaldaja ja salastatuse tase, millele juurdepääsu taotletakse, ning põhjendatakse isiku salastatud välisteabele juurdepääsu vajadust, välja arvatud juhul, kui toetavaks asutuseks on riigi julgeoleku volitatud esindaja;
3) töötlemisloa koopia;
4) riigisaladuse kaitse juhendi koopia;
5) koopia dokumendist, millega määratakse juriidilise isiku riigisaladuse kaitset korraldav isik ja tema nimi, samuti nende isikute nimekiri, kes hakkavad salastatud välisteavet töötlema, ning vajaduse korral dokumendid neile füüsilise isiku juurdepääsusertifikaadi taotlemiseks.

§ 129. Juurdepääsusertifikaadi andmise otsustamine taotluse alusel

(1) Kui juurdepääsusertifikaadi andmise taotlus või sellele lisatud dokumendid ei vasta nõuetele, annab riigi julgeoleku volitatud esindaja füüsilisele isikule juurdepääsusertifikaati taotlenud töötlevale üksusele või töötlevale üksusele juurdepääsusertifikaadi andmist toetanud asutusele või põhiseaduslikule institutsioonile kümne tööpäeva jooksul teada puudustest ning määrab tähtaja nende kõrvaldamiseks.

(2) Juurdepääsusertifikaadi andmise või sellest keeldumise otsustab riigi julgeoleku volitatud esindaja ühe kuu jooksul nõuetekohase taotluse saamisest. Põhjendatud vajaduse korral võib tähtaega pikendada, teavitades sellest taotlevat või toetavat asutust või põhiseaduslikku institutsiooni.

§ 130. Välisteabe kaitse nõuete tutvustamine

(1) Riigi julgeoleku volitatud esindaja või tema poolt volitatud asutus tutvustab füüsilisele isikule enne esmakordset piiratud tasemel salastatud välisteabele juurdepääsu õiguse või juurdepääsusertifikaadi andmist salastatud välisteabe kaitse aluseid. Vajadusel viib riigi julgeoleku volitatud esindaja tutvustamise läbi ka juurdepääsusertifikaadi või juurdepääsuõiguse korduval andmisel või kinnituse väljastamisel.

(2) Kui piiratud tasemel salastatud välisteabele juurdepääsu õigus või juurdepääsusertifikaat antakse töötlevale üksusele, tutvustakse salastatud välisteabe kaitse aluseid selle riigisaladuse kaitset korraldavale isikule.

(3) Juurdepääsuõiguse või juurdepääsusertifikaadi saavalt füüsiliselt isikult, töötleva üksuse puhul riigisaladuse kaitset korraldavalt isikult võtab riigi julgeoleku volitatud esindaja enne juurdepääsusertifikaadi üleandmist või teatise väljastamist allkirja kohustuse kohta hoida temale töö või teenistuse kaudu teatavaks saavat salastatud välisteavet.

§ 131. Juurdepääsusertifikaadi ja teatise edastamine

Riigi julgeoleku volitatud esindaja edastab juurdepääsusertifikaadi või teatise piiratud tasemel salastatud välisteabele juurdepääsu õiguse tekkimisest viie tööpäeva jooksul vastavalt juurdepääsu taotlenud töötlevale üksusele või juriidilise isiku juurdepääsu toetanud asutusele. Töötlevale üksusele, kelle juurdepääsuõiguse taotlust toetati, edastatakse juurdepääsusertifikaadi koopia.

§ 132. Juurdepääsusertifikaadi vormistamine

(1) Juurdepääsusertifikaat vormistatakse riigi julgeoleku volitatud esindaja turvaelementidega kirjaplangil ja kinnitatakse riigi julgeoleku volitatud esindaja juhi allkirjaga. Juurdepääsusertifikaadil peavad olema vähemalt järgmised andmed:
1) väljaandmise kuupäev ja number;
2) juurdepääsusertifikaadi saanud füüsilise isiku ees- ja perekonnanimi, sünniaeg, sünnikoht või juriidilise isiku nimi, aadress ja registrikood;
3) salastatud välisteabe kõrgeim tase ja erikategooriad, millele lubatakse isiku juurdepääs;
4) juurdepääsusertifikaadi kehtivusaeg;
5) vajaduse korral selle ürituse nimetus, toimumise aeg ja koht, millel osalemiseks juurdepääsusertifikaati taotleti.

(2) Juurdepääsusertifikaat vormistatakse inglise ja eesti keeles.

§ 133. Kinnituse taotlemine ja vormistamine

(1) Kinnituse taotlemiseks esitab töötlev üksus taotluse, millele lisatakse dokumendid ürituse või sündmuse kohta, millel osalemiseks kinnitust taotletakse, ja riigi julgeoleku volitatud esindaja nõudmisel täiendavad dokumendid, kui see tuleneb välislepingust.

(2) Kinnituse vormistamisel järgitakse juurdepääsusertifikaadi vormistamise nõudeid.

§ 134. Juurdepääsusertifikaadi kehtetuks tunnistamine

Juurdepääsusertifikaat tunnistatakse kehtetuks:
1) isiku teadmisvajaduse äralangemisel;
2) uue juurdepääsusertifikaadi väljastamisel enne eelmise juurdepääsusertifikaadi kehtivusaja lõppu;
3) juurdepääsusertifikaadile kantud isikuandmete muutumisel;
4) kui väljastatud juurdepääsusertifikaadi kehtimise ajal ilmneb mõni juurdepääsusertifikaadi väljastamist välistav asjaolu.

§ 135. Juurdepääsu- ja töötlemisloa, juurdepääsuõiguse ja -vajaduse lõppemisest teavitamine

Füüsilisele isikule salastatud välisteabele juurdepääsu õiguse andmist taotlenud töötlev üksus ja töötleva üksuse taotlust toetanud asutus või põhiseaduslik institutsioon teavitab viivitamata riigi julgeoleku volitatud esindajat juurdepääsuõiguse saanud isiku salastatud välisteabele juurdepääsu vajaduse või riigisaladusele juurdepääsu loa või õiguse või töötlemisloa lõppemisest.

§ 136. Julgeolekukontrolli teostamiseks pädeva asutuse teavitamine

Riigi julgeoleku volitatud esindaja teavitab viivitamata isiku suhtes julgeolekukontrolli teostamiseks pädevat asutust füüsilisele või juriidilisele isikule salastatud välisteabele juurdepääsu õiguse ja juurdepääsusertifikaadi andmisest, selle õiguse kehtetuks tunnistamisest või tühisuse tuvastamisest.

6. peatükk.- NÕUSOLEKU, KINNITUSE, JUURDEPÄÄSULOA JA TÖÖTLEMISLOA NING NENDE KEHTIVUSE PIKENDAMISE TAOTLUSE, JUURDEPÄÄSULOA JA TÖÖTLEMISLOA TAOTLEJA JA PIKENDAJA ANKEEDI VORMIDE KEHTESTAMINE

§ 137. Riigisaladusele juurdepääsu loa vormid

(1) Füüsiline isik esitab riigisaladusele juurdepääsu loa (edaspidi juurdepääsuluba) lisas 1 toodud taotluse vormil.

(2) Füüsiline isik esitab juurdepääsuloa kehtivuse pikendamise lisas 2 toodud taotluse vormil.

(3) Füüsiline isik täidab juurdepääsuloa taotlemisel juurdepääsuloa taotleja ankeedi (lisa 3).

(4) Füüsiline isik täidab juurdepääsuloa kehtivuse pikendamise taotlemisel juurdepääsuloa pikendaja ankeedi (lisa 4).

(5) Füüsiline isik täidab juurdepääsuloa ja selle kehtivuse pikendamise taotlemisel ankeedi lisana nõusoleku vormi (lisa 5).

(6) Füüsiline isik kinnitab juurdepääsuloa ja selle kehtivuse pikendamise taotlemisel, et ta on teadlik riigisaladuse kaitse nõuetest, vastutusest nende rikkumise eest ja kohustusest hoida temale teatavaks saavat riigisaladust (lisa 6).

§ 138. Riigisaladuse töötlemisloa vormid

(1) Juriidiline isik esitab riigisaladuse töötlemisloa (edaspidi töötlemisluba) taotluse lisas 7 toodud vormil.

(2) Juriidiline isik esitab töötlemisloa kehtivuse pikendamise taotluse lisas 8 toodud vormil.

(3) Juriidiline isik täidab töötlemisloa taotlemisel töötlemisloa taotleja ankeedi (lisa 9).

(4) Juriidiline isik täidab töötlemisloa kehtivuse pikendamise taotlemisel töötlemisloa pikendaja ankeedi (lisa 10)

(5) Juriidiline isik täidab töötlemisloa ja selle kehtivuse pikendamise taotlemisel ankeedi lisana nõusoleku vormi (lisa 11).

(6) Juriidiline isik kinnitab töötlemisloa ja selle kehtivuse pikendamise taotlemisel, et ta on teadlik riigisaladuse kaitse nõuetest, vastutusest nende rikkumise eest ja kohustusest hoida temale teatavaks saavat riigisaladust (lisa 12).

(7) Lõikeid 1–6 kohaldatakse ka füüsilisest isikust ettevõtjale.

7. peatükk.- MÄÄRUSE RAKENDAMINE

§ 139. Määruse jõustumine

(1) [Käesolevast tekstist välja jäetud]

(2) Paragrahvi 8 lõike 1 punktid 4, 5, 7, 8 ja 11 jõustuvad 1. jaanuaril 2009. a, välja arvatud teabe osas, mis oli riigisaladuseks enne 1. jaanuari 2008. a.

(3) Paragrahvi 70 lõige 1 jõustub 1. jaanuaril 2009. a.

Richiesta di emissione di decreto penale di condanna -artt. 554, 564 c.p.p.-

Al Giudice per le indagini preliminari presso la Pretura Circondariale di Palermo

Il Pubblico Ministero Dr. T. Hmeljak;

Visti gli atti del procedimento penale indicato in epigrafe;
nei confronti di …………………….., n. a …………………. il ………………………., elettivamente domiciliato a Palermo c/o lo studio dell'avv……………… in via ……………; imputato dei reati p. e p. dagli artt.:

a) 7 e 34 legge 31.12.1996, n. 675 perchè, esercitando l'attività di promotore finanziario per conto della ……………………….., sede di Palermo, procedeva al trattamento dei dati personali relativi a diversi clienti del BANCO ………… – in particolare organizzando tali dati in un archivio informatico ed utilizzandoli per inviare alle persone ivi indicate lettere di contenuto promozionale – omettendo di procedere alla prescritta notificazione al Garante “per la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”.

b) 11 e 35/I legge 31.12.1996 n. 675 perchè, esercitando l'attività di promotore finanziario per conto della ………………. – sede di Palermo, al fine di trarne profitto, procedeva al trattamento dei dati personali relativi a diversi clienti del BANCO ………- in particolare organizzando tali dati in un archivio informatico e utilizzandoli per inviare alle persone ivi indicate lettere di contenuto promozionale – senza il consenso espresso degli interessati ai dati medesimi.

c) 646 e 61 n.11 c.p. perchè, al fine di procurarsi un ingiusto profitto, si appropriava di alcune carpette intestate “Banco ……..”, appartenenti al Banco …….., delle quali aveva il possesso e commettendo il fatto con l'abuso della prestazione d'opera, in qualità di dipendente del predetto istituto di credito.

In Palermo il 2.12.1998.

Ritenuto che i reati per i quali si procede sono perseguibili d'ufficio e che deve applicarsi soltanto la pena pecuniaria, anche in sostituzione a quella detentiva;

Rilevato che fra i reati contestati si ravvisa la sussistenza di un medesimo disegno criminoso e che, pertanto, agli stessi può applicarsi il vincolo della continuazione;

Ritenuto che il reato più grave sia quello di cui al capo a);

Considerato che la pena finale può determinarsi nella misura di £. 6.750.000 di multa (p.b. mesi tre di reclusione, diminuita ex art. 63 bis c.p., vista l'incensuratezza dell'imputato, a mesi 2 di reclusione ed aumentata ex art. 81/II c.p. a mesi 3 di reclusione, con la sostituzione della pena detentiva nella corrispondente pena pecuniaria);

Visti gli artt. 554 e 565 c.p.p.

CHIEDE

emettersi nei confronti del sopra generalizzato imputato decreto penale di condanna alla pena di £. 6.750.000 di multa, nonchè alle pene accessorie della pubblicazione della pronunzia di condanna e della confisca di quanto in sequestro in quanto corpo di reato, oltre alle spese processuali;

Manda alla Segreteria per gli adempimenti di competenza.

Palermo 2.2.1999

IL PUBBLICO MINISTERO
Dr. Tania Hmeljak

uff. GIP Pretura Palermo

depositato in Cancelleria il 4.2.1999

f.to il Cancelliere

N.901/1999 decr. pen. N.1451/1999 R.G.G.i.p.

PRETURA CIRCONDARIALE DI PALERMO
Ufficio del giudice per le indagini preliminari

Decreto penale di condanna

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

Il Giudice, dr. M.L. Barone

letti gli atti ed esaminata la richiesta del P.M. depositata il 4.2.1999 nel procedimento penale n.19588/1998 r.g.n.r. e ritenuto che dalla comunicazione della notizia di reato e dagli allegati emerge in maniera evidente la responsabilità dell'imputato in ordine al reato rubricato e che, con riferimento agli elementi di valutazione di cui all'art.133 cod. pen., appare adeguata la pena richiesta dal P.M.

P.Q.M.

Visto l'art.565 cod. proc. pen. Condanna ……………………………………………………………….., n. il ……………….. a …………………… e res. a …………………… elett. dom. in ………………………. presso l'avv.to ……………………..

In ordine ai reati di cui alla retroscritta richiesta del P.M.:

– con la concessione delle circostanze attenuanti generiche; – unificati i reati sotto il vincolo della continuazione sub a); – alla pena di £. 6.750.000 di multa, in sostituzione di mesi tre di reclusione, oltre al pagamento delle spese processuali di £. 52.000.

– Ordina non farsi menzione della condanna nel certificato casellario giudiziale spedito su richiesta di privati e non per ragione di diritto elettorale.

– Ordina la confisca di quanto sequestrato.

AVVERTE

OMISSIS ……..

FISSA

OMISSIS ………..

ORDINA

l'esecuzione del presente decreto ove non venga proposta opposizione nel termine sopra indicato

Palermo 19 aprile 1999

Il collaboratore di Cancelleria
Il Giudice : dr. M.L. Barone

depositato in cancelleria il 19.4.1999

CASACION número 1873/2007
Ponente Excmo. Sr. D.: José Ramón Ferrándiz Gabriel
Votación y Fallo: 05/05/2010
Secretaría de Sala: 001

TRIBUNAL SUPREMO
Sala de lo Civil
SENTENCIA número 316/2010
Excmos. Sres.
D. Xavier O’Callaghan Muñoz
D. Jesús Corbal Fernández
D. José Ramón Ferrándiz Gabriel
D. Antonio Salas Carceller

En la Villa de Madrid, a dieciocho de Mayo de dos mil diez.

Visto por la Sala Primera del Tribunal Supremo, integrada por los Excmos. Sres. Magistrados indicados al margen, el recurso de casación interpuesto por Ruboskizo, SL, representada por la Procurador de los Tribunales doña Elena GIL Bayo, contra la Sentencia dictada, el día veintinueve de junio de dos mil siete, por la Sección Sexta de la Audiencia Provincial de Valencia, que resolvió el recurso de apelación interpuesto, en su día, contra la Sentencia que había pronunciado el Juzgado de Primera Instancia número Veintitrés de Valencia. Es parte recurrida don J. M. M., representado por la Procurador de los Tribunales doña María Jesús Gutiérrez Aceves. Es parte en el procedimiento el Ministerio Fiscal.

ANTECEDENTES DE HECHO

PRIMERO. Por escrito presentado, ante el Juzgado Decano de Valencia, el día veintitrés de mayo de dos mil seis, el Procurador de los Tribunales don Carlos Eduardo Solsona Espriu, obrando en representación de don J. M. M., interpuso demanda de juicio ordinario en protección de su derechos al honor, a la propia imagen y a la intimidad, contra Ruboskizo, SL.

En dicha demanda alegó la representación procesal de don J. M. M. que éste ejercía como abogado en Valencia desde el año mil novecientos setenta y cinco. Que, en concreto, tenía como cliente de su despacho a Mutua Madrileña Automovilista, desde el año mil novecientos noventa y uno. Que dicha Mutua era su cliente más importante. Que Ruboskizo, SL era titular de una página “Web”, denominada “quejasonline”, en la que se recogían quejas contra la Mutua Madrileña Automovilista Que, el día cuatro de junio de dos mil cuatro, apareció en esa página una nota supuestamente emitida por una persona que le suplantó al utilizar su nombre, con el siguiente tenor: “Soy abogado de la Mutua Madrileña y estoy cansado de engañar a la gente, pues la Mutua me hace retrasar las expedientes con el fin de no pagar, tiene pinta de irse al garete”. Que don J. M. M. comunicó la suplantación a Ruboskizo, SL y le requirió para que retirare la nota y le comunicara el nombre del remitente. Que la requerida le contestó que había retirado la nota, pero que no le daba el nombre del remitente de acuerdo con las normas sobre protección de datos, ya que necesitaría el consentimiento del autor y que, en todo caso, estaba dispuesta a colaborar. Que el demandante instó la iniciación de un procedimiento penal, terminado con el archivo de las actuaciones, ante la imposibilidad de conocer al infractor. Que la negligencia de la demandada era evidente y que le había causado daños patrimoniales y morales.

En el suplico de dicho escrito interesó la representación del demandante una sentencia que “declare: a) Que el demandado ha cometido una intromisión ilegítima en el honor del demandante por la publicación de su nombre en una queja frente a Mutua Madrileña Automovilista. b) Se condene al demandado a difundir a su costa los fundamentos jurídicos y fallo de la sentencia una vez firme en la página de inicio de su página web quejasonline.com durante ciento diecinueve días c) Se condene al demandado al pago de la suma de seis mil ciento treinta y cinco euros con diecisiete céntimos en concepto de indemnización por los daños y perjuicios ocasionados. d) Todo ello con expresa condena en costas”.

SEGUNDO. La demanda fue repartida al Juzgado de Primera Instancia número Veintitrés de Valencia, que la admitió a trámite conforme a las normas del juicio ordinario.
La demandada fue emplazada y se personó en las actuaciones, representada por la Procurador de los Tribunales doña Elena Gil Bayo, que contestó la demanda, para oponerse a la estimación de la misma.

Alegó en dicho escrito que la demandada no era responsable del contenido de los mensajes de los usuarios de la página, por lo que carecía de legitimación pasiva. Añadió que no respondía conforme a la legislación vigente, ya que retiró la queja al recibir la protesta.

También dio intervención el Juzgado de Primera Instancia al Fiscal, que informó en el sentido de entender “que dada la especial situación del Ministerio Fiscal, a la vista de la contestación a la demanda y la prueba practicada, informará en defensa de la legalidad y de los derechos fundamentales, solicitando tenga al Ministerio Fiscal por comparecido y parte en los autos y por contestada la demanda”

TERCERO. Celebrados los actos de audiencia previa y del juicio, propuesta y practicada la prueba que había sido admitida, el Juzgado de Primera Instancia número Veintitrés de Valencia dictó sentencia, con fecha treinta de noviembre de dos mil seis, con la siguiente parte dispositiva: “Fallo. Que estimando la demanda deducida por don J. M.í M., representado por el Procurador don Carlos Eduardo Solsona Espriu, contra la mercantil Ruboskizo, SL, representada por la Procuradora doña Elena Gil Bayo; A. Debo declarar y declaro que la demandada he cometido una intromisión ilegítima en el honor del demandante por la publicación de su nombre en una queja frente a Mutua Madrileña Automovilista B. Debo condenar y condeno a la demandada a que difunda a su costa el fallo de esta sentencia, una vez firrne, en la página de inicio de su página web quejasoline. como durante ciento diecinueve días. C Debo condenar y condeno a la demandada a que abone al actor la cantidad de seis mil ciento treinta y cinco euros con diecisiete céntimos (6.135,17 euros), más los intereses del art. 576 Ley de Enjuiciamiento Civil de 2.000. Se imponen a la demandada las costas del procedimiento”.

CUARTO. La sentencia del Juzgado de Primera Instancia número Veintitrés de Valencia fue recurrida en apelación. Elevadas las actuaciones a la Audiencia Provincial de Valencia, el recurso turnado a la Sección Sexta de la misma, que lo tramitó y dictó sentencia con fecha veintinueve de junio de dos mil siete, con la siguiente parte dispositiva: Fallo. En atención a lo expuesto, la Sección Sexta de la Audiencia Provincial de Valencia en nombre de S.M El Rey y por la autoridad conferida por la Constitución aprobada pro el pueblo español, Decide 1°) Desestimar el recurso de apelación interpuesto por la entidad Mercantil Ruboskizc’, SL. 2°) Confirmar la Sentencia de fecha treinta de noviembre de dos mil seis. 3°) imponer a la parte apelante las costas procesales”.

QUINTO. La representación procesal de la demandada interpuso recurso de casación contra la sentencia dictada por la Sección Sexta de la Audiencia Provincial de Valencia, que lo admitió por providencia de diez de octubre de dos mil siete.

Elevadas las actuaciones a la Sala Primera del Tribunal Supremo, la misma, por auto de siete de julio de dos mil nueve, decidió: “1. Admitir el recurso de casación interpuesto por la representación procesal de la entidad Ruboskizo SL contra la Sentencia dictada con fecha veintinueve de junio de dos mil siete, por la Audiencia Provincial de Valencia (Sección Sexta), en el rollo de apelación núm. 138/2007 dimanante de los autos núm. 627/2006 del Juzgado de Primera Instancia número Veintitrés de Valencia. 2° Y entregar copia del escrito de interposición del recurso de casación formalizado, con sus documentos adjuntos, a la parte recurrida personada ante esta Sala para que, en el plazo de veinte días, formalice su oposición y alegue lo que estime conveniente en cuanto a la cuestión prejudicial planteada, durante los cuales estarán de manifiesto las actuaciones en la Secretaría, y transcurrido dicho plazo y verificado, a los mismos fines, dese traslado de las actuaciones al Ministerio Fiscal”

SEXTO. El recurso de casación de Ruboskizo, SL se compone de dos motivos, formulados con amparo en el artículo 477, apartado 2, ordinales l°y 3º, respectivamente, de la Ley de Enjuiciamiento Civil, en los que la recurrente denuncia:

PRIMERO: La infracción de los artículos 18 y 20 de la Constitución Española.

SEGUNDO. La infracción del artículo 16 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, en relación con los artículos 14 y 15 de la Directiva 2.000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio de 2.000

SÉPTIMO. Evacuado el traslado conferido al respecto, la Procuradora doña Maria Jesús Gutiérrez Aceves, en nombre y representación de don J. M. M., impugnó el recurso, solicitando se declarase no haber lugar al mismo.

OCTAVO. No habiéndose solicitado por todas las partas la celebración de vista pública, se señaló como día para votación y fallo del recurso el día cinco de mayo de dos mil diez, en que el acto tuvo lugar.

Ha sido Ponente el Excmo. Sr. D. JOSÉ RAMÓN FERRÁNDIZ GABRIEL,

FUNDAMENTOS DE DERECHO

PRIMERO. Don J. M. M. pretendió, en la demanda rectora del proceso del que deriva el recurso de casación que hemos de decidir, además de la declaración de la ilicitud, la condena de Ruboskizo. SL. servidora de la sociedad de la información, a indemnizarle por los daños morales y patrimoniales que afirmó le había causado la demandada en el ejercicio de la actividad de almacenamiento de datos, al haber alojado en su página “Web”, a solicitud de una persona ajena al proceso, un comentario negativo sobre la seriedad del comportamiento frente a sus clientes de la sociedad aseguradora para la que el propio demandante prestaba, como abogado, servicios de defensa jurídica en la ciudad de Valencia.

Se ha declarado en la instancia que el actor, pese a que aparecía como autor del comentario, no lo era, sino que su nombre había sido utilizado indebidamente por quien redactó la nota

En ambas instancias la demanda fue estimada. La sentencia de la segunda ha sido recurrida en casación por la demandada, que niega su responsabilidad por los contenidos redactados por terceros, pese a estar alojados en sus servidores.

En el primer motivo del recurso señala Ruboskizo, SL como infringido el artículo 20, en relación con el 18, ambos de la Constitución Española. Afirma que la doctrina aplicada por el Tribunal de apelación significaba dejar sin protección la libertad de expresión en el ámbito de que se trata.

En el segundo motivo sostiene producida la infracción del artículo 16 de la Ley 34/2.002. de 11 de noviembre, de servicios de la sociedad de la información y de comercio electrónico, al no haber considerado la Audiencia Provincial concurrente la causa de exclusión de responsabilidad que dicho precepto regula.

Los hechos que han sido declarados probados en las instancias son los siguientes;

1°) Mutua Madrileña Automovilista es uno de los clientes de don J. M. M., ejerciente de la profesión de abogado en Valencia.

2°) Ruboskizo, SL presta servicios de almacenamiento de datos, mediante una página “Web”, denominada “quejasonline”, en la que se recogen y hacen públicas las protestas de los destinatarios de aquellos respecto de las actividades de determinadas empresas.

3°) En junio de dos mil cuatro, en dicha página apareció un comentario sobre Mutua Madrileña Automovilista, a nombre del demandante – – que, como se dijo no fue el autor — del tenor siguiente: “Soy abogado de Mutua Madrileña y estoy cansado de engañar a la gente, pues la Mutua me hace retrasar los expedientes, con el fin de no pagar Tiene pinta de irse al garete”.

4°) El demandante comunicó a Ruboskizo, SL la suplantación y le requirió para que retirase de la página “Web’ aquel comentario. Lo que la requerida hizo seguidamente.

SEGUNDO. Con el propósito de poner fin a las divergencias normativas y jurisprudenciales existentes entre los Estados miembros sobre la materia, la Directiva 2.000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2.000, reguló — en la sección cuarta de su capitulo segundo – — el régimen de responsabilidad de los prestadores de servicios que actúan como intermediarios de la sociedad de la información.

En particular, el artículo 15, apartado 1, niega la posibilidad de que los Estados miembros impongan a los prestadores de servicios “una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas” respecto del servicio de que se trata. A su vez, el artículo 16 dispone que los Estados miembros garantizarán que los prestadores de servicios consistentes en almacenar datos facilitados por el destinatario de los mismos, no responden, cuando se ejercite una acción por daños y perjuicios, siempre que no tengan “conocimiento de hechos o circunstancias por los que la actividad o la información revele su carácter ilícito” y, en el caso de que tuvieran dicho conocimiento, cuando actúen “con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible”

La Ley 34/2.002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, al incorporar al Ordenamiento jurídico español la Directiva, dispone — en el articulo 13, apartado 2- – que, para determinar la responsabilidad de los prestadores de servicios por el ejercicio de actividades de intermediación, “se estará a lo establecido en los artículos siguientes”, entre ellos, el 16 que, en relación con los prestadores de servicios de alojamiento o almacenamiento de datos — condición que es la de la demandada- proclama que los mismos no serán responsables por la información almacenada a petición del destinatario, siempre que no tengan conocimiento efectivo de que la actividad o la información es ilícita o lesiona bienes o derechos de un tercero susceptible de indemnización o, si es que lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

En la sentencia de 9 de diciembre de 2.009 nos pronunciamos sobre la interpretación de ese artículo 16 conforme a la Directiva 2.000/31/CE, en lo referente al conocimiento efectivo, a cuya ausencia se condiciona, en uno de los supuestos, la liberación de responsabilidad de la prestadora de servicios de alojamiento por la información almacenada a petición del destinatario de aquellos.

Pues bien, la Audiencia Provincial no ha tenido en cuenta ese conjunto normativo al declarar la responsabilidad de la demandada Ruboskizo, SL. Y, por ello, no ha extraído consecuencia alguna de que dicha sociedad no conociera ni pudiera razonablemente conocer, directamente o a partir de datos aptos para posibilitar la aprehensión de la realidad, que quien le suministraba el contenido lesivo para el demandante no era él, sino otra persona que utilizaba indebidamente su nombre con el ánimo de perjudicarle; ni de que, conocedora con posterioridad de esa realidad, merced al requerimiento del perjudicado, retirase el comentario sin tacha de negligencia.

Procede estimar el segundo motivo del recurso de casación y, sin necesidad de examinar el primero, casar la sentencia recurrida y, en lugar de ella, hacer lo propio con el recurso de apelación de la demandada y desestimar la demanda.

TERCERO. No procede especial pronunciamiento sobre las costas de la casación y de la apelación, de conformidad con el artículo 498 de la Ley de Enjuiciamiento Civil
Tampoco condenamos al demandante al pago de las costas de la primera instancia, por apreciar concurrente el supuesto excepcional que contiene el artículo 394, apartado 1, de la citada Ley procesal.

Por lo expuesto, en nombre del Rey y por la autoridad conferida por el pueblo español y su Constitución.

FALLAMOS

Declaramos haber lugar al recurso de casación interpuesto por “Ruboskizo, SL” contra la sentencia dictada en fecha veintinueve de junio de dos mil siete, por la Sección Sexta de la Audiencia Provincial de Valencia, la cual casamos y dejamos sin efecto.

Estimamos el recurso de apelación interpuesto, por Ruboskizo, SL, contra la sentencia dictada, el día treinta de noviembre de dos mil seis, por el Juzgado de Primera Instancia número Veintitrés de Valencia, la cual dejamos sin efecto, y desestimamos la demanda interpuesta contra dicha recurrente por don J. M. M.

No pronunciamos condena en costas de las dos instancias ni de la casación.

Líbrese a la mencionada Audiencia la certificación correspondiente, con devolución de los autos y rollo de apelación remitidos.

Así por esta nuestra sentencia, que se insertará en la COLECCIÓN LEGISLATIVA pasándose al efecto las copias necesarias, lo pronunciamos, mandamos y firmamos.-Xavier O’Callaghan Muñoz.-Jesús Corbal Fernández,-José Ramón Ferrándiz GabrieL-Antonio Salas Carceller.-Rubricado.

PUBLICACIÓN.- Leída y publicada fue la anterior sentencia por el EXCMO. SR. D. José Ramón Ferrándiz Gabriel, Ponente que ha sido en el tramite de los presentes autos, estando celebrando Audiencia Pública la Sala Primera del Tribunal Supremo, en el día de hoy; de lo que como Secretario de La misma, certifico.

En la Villa de Madrid, a dieciocho de marzo de dos mil diez

En el recurso de casación por infracción de precepto constitucional, que ante Nos pende, interpuesto por el MINISTERIO FISCAL , contra la sentencia dictada por la Audiencia Provincial de Álava, Sección Segunda, que condenó al acusado Arsenio como autor de un delito de posesión de pornografía infantil y le absolvió de otro de distribución o facilitación de la difusión de pornografía infantil, los Excmos. Sres. Magistrados componentes de la Sala Segunda del Tribunal Supremo que arriba se expresan, se han constituido para votación y fallo bajo la Presidencia del primero de los indicados y Ponencia del Excmo. Sr. D. José Ramón Soriano Soriano, habiendo comparecido como recurrido el acusado Arsenio , representado por la Procuradora Sra. Solera Lama.

ANTECEDENTES

1.- El Juzgado de Instrucción nº 2 de Vitoria incoó Procedimiento Abreviado con el número 40/2008 contra Arsenio , y una vez concluso se remitió a la Audiencia Provincial de Álava, cuya Sección Segunda, con fecha dos de diciembre de dos mil ocho dictó sentencia que contiene los siguientes

HECHOS PROBADOS:

“Son Hechos Probados y así se declaran:

1.- La Unidad de Policía Judicial de la 7ª zona de la Guardia Civil, Área de Delincuencia económica-equipo de investigación tecnológica- realizó durante un tiempo, en el año 2006, unas búsquedas en Internet, al objeto de detectar la posible existencia de personas u organizaciones que se dedicasen al intercambio y/o posesión de imágenes o videos de menores en posturas o realizando actos de carácter sexual.

Fruto de tales búsquedas o investigaciones en Internet, dicha Unidad descubrió que 17 usuarios, definidos a través de direcciones I.P., utilizaban Internet para adquirir para su uso y distribuir o facilitar imágenes y vídeos de menores de edad en tales posturas o realizando dichos actos. Concretamente encontraron una dirección I.P. número NUM000 y otra dirección IP número NUM001 , con el mismo nombre o apodo (nick) ” Chili ” y con el código “hash” de usuario número NUM002 , que a cada usuario asigna el programa informático de intercambio de archivos “Emule”.

También halló aquella Unidad que esa adquisición e intercambio de aquéllas imágenes y vídeos se efectuaba utilizando la infraestructura de las redes “Edonkey” y “Kademlia” y el “software” del programa “Emule”.

2.- Como quiera que la Guardia Civil no podía conocer los datos de filiación del titular o titulares de aquellas dos direcciones de la IP antes reseñadas, solicitó de la Fiscalía del Tribunal Superior de Justicia de Cataluña que acordara requerir a la empresa (Net-Arsys-Euro2/ para que ésta proporcionara a dicha Fiscalía cuantos datos obraran en su poder sobre el usuario o usuarios a los que le fueron asignadas esas dos direcciones IP, así como el número de teléfono desde el cual se hicieron unas conexiones de Internet determinadas, indicando la hora de inicio y de finalización de cada una de las conexiones, así como la titularidad del teléfono o teléfonos desde los que se habrían hecho las conexiones.

La mencionada Fiscalía accedió a dicha solicitud de la Guardia Civil y en las diligencias preprocesales número 350/06 acordó requerir a aquella entidad mercantil para que proporcionara tales datos de dicho usuario o usuarios, y efectivamente Net-Arsys- Euro2) indicó a la Fiscalía que el nombre del usuario de tales direcciones de IP era Arsenio con número de identificación NUM003 , con domicilio en la CALLE000 NUM004 – NUM005 de Vitoria-Gasteiz, Álava, y con el número de teléfono contacto a Internet número NUM006 .

3.- La referida Fiscalía, con los datos suministrados por la empresa Net-Arys-Euro2 ( y los extraídos de los oficios remitidos por otras empresas de telefonía), presentó una denuncia en los Juzgados de Instrucción de Barcelona, que fue repartida al Juzgado de Instrucción número 27 de esa ciudad, que incoó las Diligencias Previas con número de registro 5472/2006 , formando una pieza separada respecto de las actuaciones relativas a Arsenio .

El día 7 de diciembre de 2006, el citado Juzgado de Instrucción dictó un auto, en el que indicaba que la Fiscalía del Tribunal Superior de Justicia de Cataluña le había solicitado la práctica de diligencias de entrada y registro referidas por la 7ª zona de la Guardia Civil de Cataluña, en el atestado de 19 de septiembre de 2006, por la Comisión de un delito de prostitución y corrupción de menores, en base a las razones que en el atestado policial se contienen y se daban por reproducidas, y decretaba la entrada y registro en el domicilio de Arsenio , con NIE NUM003 en la CALLE000 número NUM004 , piso NUM005 de la ciudad de Vitoria-Gasteiz, a efectos de intervenir cuantos instrumentos y objetos del delito de prostitución y corrupción de menores del art. 187 y 188 del Código Penal .

4.- El día 12 de diciembre de 2006 se realizó la diligencia de entrada y registro en el citado domicilio con intervención de los agentes de la Guardia Civil número NUM007 , NUM008 y NUM009 y la Secretaría del Juzgado de Guardia de Vitoria-Gasteiz y en dicho domicilio se hallaron los siguientes efectos u objetos:

a) un ordenador portátil, marca Toshiba, modelo satélite 1955 S803, con s/n NUM010 .

b) dos discos duros (HD), marca Maxtor, de 250 y 320 GB de capacidad y con números de serie NUM011 y NUM012 respectivamente.

c) dos DVDs. marca Verbatim, que fueron etiquetados con la denominación XXX-1 y XXX3.

En dichos discos duros y DVDs, el acusado tenía guardados un total de 435 archivos, que contenían vídeos y fotografías en las que aparecían menores en posturas o actos de contenido sexual.

Asimismo en una carpeta de DVD marca Verbatim XXX-1 había 30 fotografías en las que aparecía desnuda la menor Lucía ; fotos que había realizado Arsenio , reflejando varias fotos, en un primer plano, la zona vaginal de la niña. Igualmente en el disco duro de 250 GB había un video de 26 segundos, en el que aparece desnuda Lucía , recogiendo algunos planos de la zona vaginal de la niña, habiendo realizado este video el acusado con la cámara Eastman Kodak Company Kodak V603 Zoom Digital Camera.

5.- Por orden del Juzgado de Instrucción de Barcelona antes indicado, y a partir del estudio de ese ordenador, dichos dos discos duros y dos DVDs mencionados, la Guardia Civil realizó un informe pericial, en el que se reflejaban una serie de conclusiones.

6.- No consta acreditado que Arsenio difundiera 27 ficheros/archivos que contenían imágenes y vídeos de menores en posturas o realizando actos sexuales; ni que 14 de dichos ficheros de video fueran descargados por Arsenio y compartidos y difundidos por él vía Internet, ni finalmente que fueran aceptadas por parte de otros usuarios de Internet peticiones efectuadas sobre los citados archivos en 317 ocasiones, transfiriendo a aquéllos un total de 837,78 Megabytes.

7.- Arsenio se casó en el año 1997 con Adriana , que tenía una hija, Lucía , que era fruto de otra relación. Lucía había nacido el día 4 de julio de 1994. Desde la celebración de dicho matrimonio, teniendo Lucía 2 años, Arsenio ha tratado y estimado a ésta como una hija, considerándola como hija adoptiva y cuidándola como tal, aunque no ha formalizado tal adopción, y Lucía le ha considerado su padre hasta el día de hoy. Los tres miembros de la familia conviven juntos desde ese año 1997 y concretamente desde el año 2002 en España y desde enero de 2004 en Vitoria-Gasteiz”.

2.- La Audiencia de instancia dictó el siguiente pronunciamiento:

“FALLAMOS:

1.- Condenamos a Arsenio , como autor responsable de un delito de posesión de pornografía infantil, ya definido, a la pena de 6 meses de prisión, con la pena accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y con las penas accesorias de prohibición de aproximarse a Lucía a una distancia inferior a 500 metros y de comunicarse por cualquier medio con ella durante un tiempo de 2 años.

2.- Absolvemos a Arsenio del delito de distribución o facilitación de la difusión de pornografía infantil por el que estaba acusado en este procedimiento.

3.- Se le imponen al acusado el pago de la mitad de las cosas de este procedimiento.

4.- Para el cumplimiento de aquella pena privativa de libertad se le computará el tiempo que ha estado privado de libertad por esta causa.

Para el cumplimiento de las penas de prohibición de aproximarse y comunicar en relación a Lucía se tendrá en cuenta el tiempo cumplido de tales penas como medida cautelar en este procedimiento de modo que el día 21 de diciembre de 2008 se extinguirán dichas penas.

5.- Comuníquese esta sentencia a la Diputación Foral de Álava, Consejo del Menor, al objeto de que eventualmente adopte las medidas de prevención del riesgo o desamparo, respecto de la menor Lucía en relación al acusado, previstas en la Ley de Protección Jurídica del Menor y en la Ley Vasca de Atención y Protección a la Infancia y la Adolescencia.

Frente a la presente resolución cabe interponer recurso de casación ante la Sala Segunda del Tribunal Supremo, preparándose ante esta Audiencia Provincial en el plazo de cinco días desde el siguiente al de su notificación”.

3.- Notificada la sentencia a las partes, se preparó recurso de casación por infracción de precepto constitucional por el MINISTERIO FISCAL, que se tuvo por anunciado, remitiéndose a esta Sala Segunda del Tribunal Supremo las certificaciones necesarias para su sustanciación y resolución, formándose el correspondiente rollo y formalizándose dicho recurso.

4.- El recurso interpuesto por el MINISTERIO FISCAL se basó en el siguiente MOTIVO DE CASACIÓN: Primero y único.- Por infracción de precepto constitucional, al amparo del art. 852 de la Ley de Enjuiciamiento Criminal por considerar infringido por la Sala de instancia el derecho a la tutela judicial efectiva en relación con el derecho a la prueba por cuanto la Audiencia Provincial dictó sentencia absolutoria respecto de determinados hechos por los que acusaba el Ministerio Fiscal tras declarar la nulidad de la prueba en que se sustentaba la acusación del Ministerio Público, por estimar vulnerado el derecho al secreto de las comunicaciones y a la intimidad personal del acusado.

5.- Instruida la parte recurrida del recurso interpuesto por el Ministerio Fiscal, la misma impugnó dicho recurso; la Sala lo admitió a trámite y quedaron conclusos los autos para señalamiento de fallo cuando por turno correspondiera.

6.- Hecho el correspondiente señalamiento, se celebró la votación y fallo del presente recurso el día 15 de Julio del año 2009.

Por auto dictado con fecha dieciséis de julio siguiente se acordó prorrogar el término para dictar sentencia hasta que se convoque a un Pleno no jurisdiccional de esta Sala en el que se resuelvan las cuestiones controvertidas planteadas. Pleno que fue convocado para el día 23 de febrero del año 2010.

En providencia de tres de marzo siguiente y una vez celebrado el pleno no jurisdiccional acordado se señala de nuevo para la deliberación, votación y fallo el día 9 de Marzo del año 2010 con la misma composición de la Sala excepto la sustitución del Excmo. Sr. D. Luis Román Puerta Luis, por jubilación del mismo, por el Excmo. Sr. D. Manuel Marchena Gómez.

FUNDAMENTOS DE DERECHO

PRIMERO.- En motivo único el Fiscal ataca la sentencia, parcialmente absolutoria, al amparo del art. 852 L.E.Cr . por considerar infringido el derecho a la tutela judicial efectiva y a valerse de las pruebas pertinentes, todo ello al declarar la Audiencia la nulidad de parte de las probanzas en las que el Mº Público sustentaba la acusación.

1. El Fiscal acusaba por delito de corrupción de menores de los arts. 189.1.bis b) y 189.3. bis b) y f) del Código Penal y a su vez por otro delito del art. 189-2 del mismo cuerpo legal. La Audiencia condena por el último de los mencionados, por cuanto a pesar de declarar nula la mayor parte de la prueba por su origen vicioso, aplicó la doctrina del Tribunal Constitucional de desconexión de antijuricidad (véase S.T.C. nº 167/2002 ) y pudo apoyarse en la confesión del acusado para condenarle por posesión de pornografía infantil para usos propios, pero por el delito más grave de difusión de información pornográfica referida a menores fue absuelto.

La Audiencia Provincial tomó como base la doctrina de esa Sala contenida en las sentencias nº 236/2008 de 9 de mayo y la 292/08 de 28 de mayo . El Fiscal rechaza una afirmación de la Audiencia, en la que a su juicio no distingue entre el derecho al secreto de las comunicaciones y la reserva de los datos de identificación. En la sentencia se afirma: “…. hubiese sido preciso una resolución judicial, un auto motivado de un Juzgado de instrucción que, ponderando, por un lado, el derecho al secreto de las comunicaciones y, en todo caso, a la intimidad de las personas afectadas por la investigación y la proporcionalidad, necesidad e idoneidad de limitar tales derechos de aquéllos, entre ellos el imputado, en la investigación de un delito grave como es la pornografía infantil, acordara que la empresa proveedora de servicios de Internet cediera o proporcionara los datos de que disponía que permitieran identificar a la persona que tenía asignada esas direcciones de IP”.

2. El Fiscal argumenta la improcedencia de la decisión de expulsar del proceso las pruebas por varias razones:

a) En primer término nos dice que la cuestión ya fue resuelta al comienzo de las sesiones del juicio de conformidad al art. 786.2 L.E.Cr . y en tal ocasión la parte afectada, al rechazar cualquier nulidad de la prueba formuló la pertinente protesta. Al dictar sentencia cambia la Audiencia de posición y declara nula la mayor parte de la prueba practicada.

b) No puede jamás afirmarse que se ha vulnerado el derecho al secreto de las comunicaciones por conseguir la identidad que encerraba una clave de IP. El tema ha de quedar fuera del derecho al secreto de las comunicaciones.

c) Acepta, según doctrina del T. Constitucional (véase S. nº 123 de 9 de mayo de 2003 ) que el concepto de secreto de las comunicaciones no sólo cubre su contenido, sino la identidad subjetiva de los interlocutores. No obstante existen mecanismos como el llamado Protocolo WHOIS, que se utiliza para hacer consultas en una base de datos que permite determinar el propietario o titular de un “nombre de dominio” o una dirección I.P. No obstante quien interviene en el contrato no siempre es el que usa el terminal o actúa bajo la encriptada clave identificativa.

d) Asimismo en el ámbito de la intimidad existen distintos grados de afectación de tal derecho y por ende puede existir diversidad de exigencias para llevar a cabo un acto injerencial en función de la intensidad que comporte, sin que sea siempre y en todo caso necesaria la intervención de la autoridad judicial.

e) En las sentencias que se citan en la recurrida se está hablando de la necesidad que tiene la policía de interesar mandamiento judicial para desvelar la identidad de un internauta, pero el caso es distinto cuando tal diligencia la interesa el Mº Fiscal al servidor de Internet.

f) La petición efectuada por el Ministerio Fiscal es una actuación proporcional y está amparada por las leyes, en atención a la necesidad de facilitar el ejercicio de las funciones que le competen en la investigación y prevención de los delitos. La petición se canaliza dentro de una actuación procedimental del Fiscal, situación en la que las normas administrativas imponen la facilitación de tal identidad (véase Ley Orgánica de Protección de Datos nº 15/1999 ).

3. Respecto de la decisión denegatoria recaída al inicio de las sesiones del juicio, no es descabellada la tesis sostenida por el Ministerio Fiscal, ya que resuelta una cuestión durante las sesiones del juicio lo procedente sería desatender el problema durante la práctica de las pruebas. Por otro lado, es evidente que muchas de las cuestiones que deben someterse a decisión al inicio de las sesiones del plenario, necesariamente requieren un pronunciamiento en el momento (por ejemplo cuestiones de competencia, causas de suspensión del juicio, etc.), pero otras no es posible resolverlas en tal momento o puede en algunos casos faltar datos probatorios para decidir con justicia ciertos problemas planteados, que en buena medida dependerán de las pruebas. El Fiscal sostiene que es correcto que se defieran para sentencia, pero que se haga constar de forma expresa, pues el Tribunal adoptó una decisión y sobre ella se hizo la correspondiente protesta.

No obstante el Tribunal tuvo a bien matizar que la decisión adoptada se tomaba en consideración a los datos de que disponía en tal momento, pero se dejaba la puerta abierta para incidir sobre el tema, si la prueba modificaba el pronunciamiento inicial. Con esta matización el Fiscal ya no está indefenso y la aplicación del art. 267.1 LOPJ . que consagra el principio de la invariabilidad de las resoluciones judiciales, resultaría excesivamente riguroso, a pesar de lo sustentado por la S.T.C. nº 112/99 de 14 de junio .

SEGUNDO.- La cuestión planteada pasa por trasladar la doctrina sentada por esta Sala al caso que nos ocupa, destacando la especialidad del mismo, que se refiere a la intervención del Mº Fiscal, esto es, el Ministerio Fiscal en el ejercicio de la función investigadora que le reconoce el art. 773.2 L.E.Cr . es el que solicita la identidad del titular de un terminal informático y no la policía.

Las sentencias 236/2008 de 9 de mayo y la 292/08 de 28 de mayo , condensan los principios o criterios a tener en cuenta, como en su momento dijimos. Recordemos las más importantes afirmaciones de la primera de ellas:

“Planteado así el problema, se hace preciso o cuando menos conveniente esbozar un esquema de los criterios legales y jurisprudenciales en orden a la calificación de la actuación policial de acuerdo con la legalidad procesal y constitucional.

En este sentido y en cuanto al alcance del contenido del derecho al secreto de las comunicaciones previsto en el art. 18-3 C.E ., la sentencia recurrida concreta acertadamente su alcance material, circunstancia que concuerda con las tesis del Fiscal recurrente.

Desde la sentencia del Tribunal Constitucional nº 123 de 20 de mayo de 2002 , se establece, haciéndose eco del caso Malone (2-8-82), resuelto por el Tribunal de Estrasburgo de Derechos Humanos, que la obtención del listado de llamadas hechas por los usuarios mediante el mecanismo técnico utilizado por las compañías telefónicas constituye una injerencia en el derecho fundamental al secreto de las comunicaciones reconocido en el art. 8 del Convenio Europeo, equivalente al 18-3 C.E. En cuanto al concepto de secreto de la comunicación no sólo cubre su contenido, sino otros aspectos de la comunicación, como la identidad subjetiva de los interlocutores. Consecuentemente podemos afirmar que el secreto a las comunicaciones telefónicas garantiza también la confidencialidad de los comunicantes, esto es, alcanzaría no sólo al secreto de la existencia de la comunicación misma y el contenido de lo comunicado, sino a la confidencialidad de las circunstancias o datos externos de la conexión telefónica: su momento, duración y destino….. Hasta este nivel discursivo existe coincidencia entre la posición del tribunal de instancia y el Mº Fiscal”.

La sentencia referida sigue diciendo : “Queda en pie la duda, de si para solicitar el número telefónico o identidad de un titular de un terminal telefónico o un IP, es necesario acudir a la autorización judicial, si no han sido positivas las actuaciones policiales legítimas integradas por injerencias leves y proporcionadas, que puede respaldar la Ley Orgánica de Cuerpos y Fuerzas de Seguridad del Estado o Ley de Seguridad Ciudadana, en la misión de los agentes de descubrir delitos y perseguir a los delincuentes.

A nuestro juicio, sin pretensiones ni mucho menos de sentar doctrina (obiter dicta), los datos identificativos de un titular o de un terminal deberían ser encuadrados, no dentro del derecho al secreto de las comunicaciones (art. 18-3 C.E.) sino en el marco del derecho a la intimidad personal (art. 18.1º C.E .) con la salvaguarda que puede dispensar la Ley de Protección de Datos de Carácter Personal, L. O. 15/1999 de 13 de diciembre : art. 11.2 d. o su Reglamento, Real – Decreto 1720/2007 de 21 de diciembre, que entró en vigor el 31 de marzo de 2008 , sin despreciar la Ley 32 de 3 de noviembre de 2003, General de Telecomunicaciones y su Reglamento, R.D. 424 de 15 de abril de 2005 , en los que parece desprenderse que sin el consentimiento del titular de unos datos reservados, contenidos en archivos informáticos, no pueden facilitarse a nadie, salvo los casos especiales que autorizan sus propias normas, entre las que se halla la autorización judicial, que lógicamente estaría justificada en un proceso de investigación penal”.

TERCERO.- Tampoco debe pasar por alto, aunque sólo sea con carácter dialéctico, el contenido de la Ley nº 25 de 18 de octubre de 2007 de Conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicación, que al igual que el Reglamento de la Ley de protección de datos son posteriores a los hechos aquí enjuiciados y por ende no aplicables.

La ley últimamente citada que se dicta en desarrollo de la Directiva de la Unión Europea 2006/24/C.E. del Parlamento Europeo y del Consejo de 15 de marzo del mismo año tiene por objeto imponer la obligación a los operadores de Telecomunicaciones de retener determinados datos generados o tratados por los mismos con el fin de entregarlos a los agentes facultados, en caso de que le fueran requeridos por éstos, entendiendo por tales agentes los pertenecientes a los Cuerpos policiales, al Centro Nacional de Inteligencia y a la Dirección de Vigilancia aduanera. Esta ley exige para la cesión de estos datos, con carácter general, la autorización judicial previa y entre los datos que deben conservar figura el que es objeto del proceso que nos ocupa (los datos que deben ser custodiados por los operadores de telecomunicaciones están ampliamente descritos en su art. 3º ).

La radicalidad o rotundidad de la Ley 25/2007, en su artículo 6º, en relación al tercero , provocó ciertas dudas entre los Magistrados que tenían que dictar sentencia en esta instancia, especialmente sobre su posible proyección al caso de autos, consecuencia de lo cual se estimó oportuno llevar a Pleno no jurisdiccional de esta Sala, la reserva atribuída a la autorización judicial para la obtención de datos, con su amplia enumeración del art. 3 , con exclusión del Mº Fiscal.

1. El contraste de pareceres o puntos de vista jurídicos permitió al Pleno establecer ciertas conclusiones, que a fin de cuentas no afectaron a la cuestión de fondo suscitada en el recurso del Fiscal.

La Ley 25/2007, tiene muy en cuenta el campo aplicativo de la Ley Orgánica nº 15 de 1999 de Protección de Datos de carácter personal y le reconoce su mayor rango, aunque en el ámbito de vigencia de la Ley de Conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicación, se erigía como preferente esta Ley, por la materia específica a la que se refería, esto es, a las comunicaciones , su contenido y todos los datos externos o de tráfico que de modo exhaustivo enumera la ley.

Prueba del respeto que muestra la Ley 25/2007 a las previsiones normativas de la Ley de Protección de Datos, es que la menciona en multitud de ocasiones, incluída la exposición de motivos. A título de ejemplo el art. 8 la cita hasta cuatro veces, estableciendo, entre otras cosas, que “las obligaciones relativas a las medidas para garantizar la calidad de los datos y la confidencialidad y seguridad en el tratamiento de los mismos serán las establecidas en la Ley Orgánica 15/1999 de 13 de diciembre y su normativa de desarrollo” . Y a continuación declara el mismo art. 8 que “El nivel de protección de los datos almacenados se determinará de conformidad con lo previsto en la Ley Orgánica 15/1999 de 13 de diciembre y en su normativa de desarrollo”.

2. Pero independientemente de que ambas leyes operen en ámbitos diferentes, no excluye la posibilidad de producirse ciertas coincidencias o colisiones, sobre todo cuando se relacionan con el derecho fundamental al secreto de las comunicaciones regulado en el art. 18-3 C.E .

La Sala General no jurisdiccional aprobó el 23 de febrero de 2010 el siguiente acuerdo: “Es necesaria la autorización judicial para que los operadores que prestan servicios de comunicaciones electrónicas o de redes públicas de comunicación cedan los datos generados o tratados con tal motivo. Por lo cual, el Mº Fiscal precisará de tal autorización para obtener de los operadores los datos conservados que se especifican en el art. 3 de la Ley 25/2007 de 18 de octubre “.

De conformidad al tenor del acuerdo es patente que no resulta de aplicación al caso que nos concierne por haber ocurrido los hechos en 2006, esto es, antes de su vigencia.

3. Acudiendo a las normas en vigor que garantizan la reserva de las claves encubridoras de la identidad de usuarios de la Red (I.P.), se hace preciso de nuevo recordar la doctrina del Tribunal de Derechos Humanos europeo (caso Malone), contenido en la sentencia de 2 de a gosto de 1982, que viene a establecer que la protección del derecho al secreto de las comunicaciones alcanza “a cualquier forma de interceptación en el proceso de comunicación, mientras el mismo esté teniendo lugar , siempre que sea apta para desvelar la existencia misma de la comunicación, el contenido de lo comunicado o los datos o elementos externos del proceso de comunicación”.

La correcta interpretación de esta doctrina nos debe llevar a la distinción de cuándo unos datos personales pueden afectar al secreto a las comunicaciones y cuándo conservados y tratados por las Operadoras, no se están refiriendo a comunicación alguna, es decir, datos estáticamente almacenados, conservados y tratados por operadores que se hallan obligados a la reserva frente a terceros.

Distinguimos pues dos conceptos:

a) datos personales externos o de tráfico que hacen referencia a una comunicación concreta y contribuyen a desvelar todo o parte del secreto que protege el art. 18-3 C.E :

b) datos o circunstancias personales referentes a la intimidad de una persona (art. 18-1º C.E.), pero autónomos o desconectados de cualquier comunicación, que caerán dentro del derecho a la protección de datos informáticos o habeas data del art. 18-4 C.E. que no pueden comprometer un proceso de comunicación.

Desde esta perspectiva dicotómica la absoluta equiparación de todo tipo de datos de tráfico o externos o la inclusión de todos ellos dentro del derecho al secreto de las comunicaciones comportaría un auténtico desenfoque del problema, pues incorporaría en el ámbito de la protección constitucional del art. 18-3 , circunstancias cuyo tratamiento jurídico no debería separarse del que se dispensa a la protección de datos o al derecho a la autodeterminación informática del art. 18-4 C.E . (véase por todas S.T.S. nº 249 de 20-5-2008 ).

4. En el caso concernido es patente que los datos cuyo obtención se pretende por el Fiscal no tienen relación ni afectan ni interceptan ni descubren ni tratan de descubrir una comunicación concreta, sino que por ser preciso para la acción investigadora el conocimiento del domicilio, número de teléfono o identidad del titular del terminal informático que opera en la Red (I.P.), la solicita a la operadora, al objeto de pedir del juez un mandamiento de entrada y registro con fines indagatorios o de investigación de un posible delito, acerca del que se conocen datos indiciarios.

El Mº Fiscal se hallaba en el ejercicio de sus funciones, entre otras, promover la acción de la justicia (art. 126 C.E . y art. 3 de su Estatuto Orgánico ) y también investigando los hechos delictivos, dentro del marco de unas diligencias preprocesales de naturaleza criminal (art. 773-2 L.E.Cr .).

CUARTO.- Tal proceder del Mº Fiscal no afecta al secreto de las comunicaciones sino que se desenvuelve en el marco del derecho a la intimidad, más concretamente dada la escasa intensidad en que es efectuada, la cuestión se proyectaría sobre la obligación que establece la Ley Orgánica de Protección de Datos de no publicar los datos personales de los usuarios que un servidor de Internet posee, los cuales no pueden cederse sin el consentimiento del titular, pero la ley establece diversas excepciones.

Así el art. 11.2 d) de la Ley Orgánica 15/1999 de 13 de diciembre nos dice que el consentimiento del interesado a que se refiere el párrafo anterior no será necesario…. d) “Cuando la comunicación que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal , los Jueces o Tribunales o el Tribunal de Cuentas en el ejercicio de las funciones que tienen atribuidas”.

Por su parte la Ley 32/2003 de 3 de noviembre, General de Telecomunicaciones, cuyo articulado se remite al art. 12 de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (ahora derogada por la Ley 25/2007 ) se establece el deber de retención de datos de tráfico relativos a las comunicaciones electrónicas en cuyo nº 3 nos dice que los “datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguarda de la seguridad pública y la defensa nacional, poniéndola a disposición de los jueces o tribunales o del Ministerio Fiscal que así lo requieran” .

Finalmente la propia Agencia de Protección de Datos, órgano público de carácter autónomo que conforme al art. 37.1. a) de la L.O. 15/1999 , tiene por misión “velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos, ha dicho en sus informes 135/2003 y 297/2005 que en los supuestos a que se refiere el art. 11.2 la cesión de datos personales no está sujeta a reserva jurisdiccional”.

Por todo ello entendemos que el Fiscal tiene facultades de investigación paralelas a las del juez de instrucción en el Procedimiento Abreviado (art. 773-2 L.E.Cr .) y salvo los actos injerenciales en los derechos fundamentales y la adopción de medidas cautelares posee las mismas atribuciones y responsabilidades que un juez. Si el juez instructor no hubiera estimado pertinente la adopción de la medida de entrada y registro los datos se archivarían, sin haber salido del ámbito de disponibilidad y reserva de la autoridad encargada de la investigación criminal (bien se trate del Fiscal o del Juez).

Pero es que la decisión de invadir el domicilio particular de una persona no provenía de haber desvelado su identidad, ya que ello era absolutamente secundario o anodino; el juez acordó la entrada y registro valorando la necesidad, utilidad y proporcionalidad de la medida de acuerdo con los datos aportados por la policía indiciarios de la comisión de un delito grave, y la medida interesada, fuera quien fuera el titular del terminal, solo tenía por objeto el desvelamiento del nombre de la persona física o jurídica que contrató con el operador de Internet y le asignó un I.P. encriptado en una clave alfanumérica

Ni que decir tiene que este régimen jurídico sólo es aplicable antes de la ley 25/2007 de 18 de octubre ; con posterioridad a su vigencia debemos estar al acuerdo del Pleno no jurisdiccional de esta Sala de 23 de febrero de 2010 .

QUINTO.- En atención a lo expuesto parece ser que la Audiencia confunde el derecho al secreto de las comunicaciones (art. 18-3 C.E.), el derecho a la intimidad (art. 18-1 C.E.) y la obligación de conservar secretos los datos informáticos personales (art. 18-4 C.E.) conforme a la Ley Orgánica de Protección de Datos de carácter personal, que excepciona la petición del Fiscal en el ejercicio de sus funciones legales de investigación de los delitos.

No habiéndose quebrantado ningún derecho fundamental, el art. 11.1 LOPJ . no es aplicable, debiendo surtir efecto en el proceso los datos obtenidos en la entrada y registro y las demás pruebas (testimonios o pericias) practicadas a consecuencia del mismo.

El motivo habrá de estimarse, declarando nula la sentencia, con devolución al Tribunal que la dictó, para que valorando todo el material probatorio legítimo existente en la causa se pronuncie sobre las pretensiones acusatorias del Fiscal y las aducidas por las demás partes procesales.

SEXTO.- Las costas del recurso se deben declarar de oficio, de conformidad con lo establecido en el art. 901 L.E .Criminal.

FALLO

Que debemos DECLARAR Y DECLARAMOS HABER LUGAR al recurso de casación interpuesto por el MINISTERIO FISCAL, por estimación del motivo único formulado por el mismo, DECLARANDO NULA la sentencia dictada por la Audiencia Provincial de Álava, Sección Segunda, con fecha dos de diciembre de dos mil ocho , devolviendo al Tribunal que la dictó la causa para que valorando todo el material probatorio legítimo existente en la misma se pronuncie sobre las pretensiones acusatorias del MINISTERIO FISCAL y demás partes procesales.

Comuníquese esta resolución a la mencionada Audiencia Provincial de Álava, Sección Segunda, a los efectos legales procedentes, con devolución de la causa.

Así por esta nuestra sentencia, que se publicará en la Colección Legislativa lo pronunciamos, mandamos y firmamos Adolfo Prego de Oliver y Tolivar José Ramón Soriano Soriano José Manuel Maza Martin Luciano Varela Castro Manuel Marchena Gómez

PUBLICACION .- Leída y publicada ha sido la anterior sentencia por el Magistrado Ponente Excmo. Sr. D José Ramón Soriano Soriano , estando celebrando audiencia pública en el día de su fecha la Sala Segunda del Tribunal Supremo, de lo que como Secretario certifico. 

Gem. RdErl. des MI, der StK und der übrigen Min. vom 31.8.2002 – 41.21B-05519/1 – (MBl. LSA S. 1091), geändert durch Gem. RdErl. des MI, der StK und der übrigen Min. vom 13.7.2007 – 41.21A-05519/2 (MBl. LSA S. 629), vom 12.11.2007 – 41.21A-05519/2 (MBl. LSA S. 834), vom 10.3.2009 – 41-21A-05519/2 (MBl. LSA S. 198) und vom 19.4.2010 -41.21-05519/2 (MBl. LSA S 208).

Mit dem Gesetz zum Schutz personenbezogener Daten der Bürger (DSG-LSA) i. d. F. der Bek. vom 18.2.2002 (GVBl. LSA S. 54), zuletzt geändert durch Art. 15 des Gesetzes vom 18.11.2005 (GVBl. LSA S. 698, 701), in der jeweils geltenden Fassung, hat der Landesgesetzgeber allgemeine datenschutzrechtliche Vorschriften für Behörden und sonstige öffentliche Stellen des Landes, der Gemeinden, der Landkreise und der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie für Vereinigungen solcher Körperschaften, Anstalten und Stiftungen getroffen. Zugleich hat der Landesgesetzgeber für die genannten Stellen von der in § 12 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) i. d. F. der Bek. vom 14.1.2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes vom 22.8.2006 (BGBl. I S. 1970), in der jeweils geltenden Fassung, genannten Möglichkeit Gebrauch gemacht, den Datenschutz, auch soweit Bundesrecht ausgeführt wird, durch Landesrecht zu regeln.

Adressaten des Zweiten Abschnitts des Bundesdatenschutzgesetzes sind im öffentlichen Bereich grundsätzlich nur öffentliche Stellen des Bundes. Für natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG) richtet sich die Zulässigkeit der Datenverarbeitung grundsätzlich nach dem Dritten Abschnitt des Bundesdatenschutzgesetzes.

1. Zu § 1 (Zweck des Gesetzes)

1.1 Zweck des Gesetzes

Nach Art. 6 Abs. 1 der Verfassung des Landes Sachsen-Anhalt hat jeder das Recht auf Schutz seiner personenbezogenen Daten; in dieses Recht darf unter Beachtung des Zitiergebotes nach Art. 20 Abs. 1 der Landesverfassung nur durch oder aufgrund eines Gesetzes eingegriffen werden. Dabei sind insbesondere Inhalt, Zweck und Ausmaß der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten zu bestimmen und das Recht auf Auskunft, Löschung und Berichtigung näher zu regeln.

Entsprechend den Vorgaben der Landesverfassung trifft das DSG-LSA für die öffentlichen Stellen des Landes die für die Gewährleistung des Rechts auf informationelle Selbstbestimmung erforderlichen bereichsübergreifenden Regelungen. Das Gesetz berücksichtigt, dass aufgrund der Gemeinschaftsbezogenheit und -gebundenheit der Einzelnen und des dadurch bestehenden Spannungsverhältnisses zwischen dem Persönlichkeitsrecht der Einzelnen und den Interessen der Allgemeinheit die Einzelnen im überwiegenden Allgemeininteresse bestimmte Einschränkungen ihres Rechts auf informationelle Selbstbestimmung hinnehmen müssen. Es gibt hierfür vorbehaltlich bereichsspezifischer Regelungen die erforderliche rechtliche Grundlage. Des Weiteren sieht das DSG-LSA organisatorische und verfahrensrechtliche Vorkehrungen vor, die der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.

1.2 Datensparsamkeit und Datenvermeidung

Die Pflichten zur Datensparsamkeit und Datenvermeidung sind Konkretisierungen des Grundsatzes der Verhältnismäßigkeit bei der Gestaltung von Datenverarbeitungsverfahren. Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist soweit wie möglich zu vermeiden. Auf die Kenntnis der Identität Betroffener während der Datenverarbeitungsvorgänge ist zu verzichten, soweit dies sachgerecht und technisch möglich ist. Reicht eine anonymisierte oder pseudonymisierte Erhebung, Verarbeitung oder Nutzung von Daten aus, ist davon Gebrauch zu machen. Nach dem letzten Halbsatz muss die Anonymisierung und Pseudonymisierung nur erfolgen, wenn der durch diese Maßnahmen verursachte Aufwand in einem angemessenen Verhältnis zu dem vom Gesetz verlangten Schutz der Daten steht. Die Ausführungen zu § 6 Abs. 1 Satz 2 gelten entsprechend.

2. Zu § 2 (Begriffsbestimmungen)

2.1 Allgemeine Begriffsbestimmungen

Die Begriffsbestimmungen entsprechen grundsätzlich denen des § 3 BDSG. Sie weichen mitunter vom üblichen Sprachgebrauch, aber auch von Begriffsinhalten der Informationstechnologie ab. Um eine gleichmäßige Anwendung des Gesetzes zu erreichen, ist von Folgendem auszugehen:

2.1.1 Personenbezogene Daten

Einzelangaben sind Daten, die eine natürliche lebende Person (Betroffene oder Betroffener) bestimmen oder bestimmbar machen (z. B. Name, Personalnummer, Sozialversicherungsnummer, Personalausweisnummer, Kfz-Kennzeichen). Einzelangaben sind aber auch Daten, die in der Person der Betroffenen liegende oder auf die Betroffenen bezogene Sachverhalte beschreiben (z. B. Adresse, Einkommen, Familienstand, Geburtsdatum, Staatsangehörigkeit, Krankheit, Zeugnisnoten, Berufsbezeichnung); auch Werturteile, Planungs- und Prognosedaten über Betroffene gehören dazu. Einzelangaben in diesem Sinne sind nicht nur Daten, an deren Geheimhaltung die Betroffenen Interesse haben (Geheimnisse), sondern auch jedwede andere Angaben zur Person.

Die Einzelangaben können persönliche oder sachliche Verhältnisse einer Person betreffen (z. B. Familienstand, Geschlecht, Geburtsdatum einerseits, Besitz, Eigentum, Kraftfahrzeug, Wasserverbrauch andererseits). Die Unterscheidung ist wegen der gleichen Rechtsfolge nicht begriffserheblich, in der Praxis oft fließend. Nicht personenbezogen und damit vom Schutzbereich des Gesetzes nicht erfasst sind Daten über juristische Personen (AG, KG auf Aktien) oder über Personenvereinigungen (z. B. offene Handelsgesellschaften, nicht rechtsfähige Vereine), soweit kein Rückschluss auf eine natürliche Person möglich ist. Dieser Rückschluss ist nicht gegeben, soweit eine natürliche Person nur in ihrer Eigenschaft als Organ oder z. B. als Geschäftsführer oder Geschäftsführerin einer juristischen Person erfasst ist. Der Schutz von Daten über juristische Personen und andere in Satz 1 genannte Stellen bestimmt sich gegebenenfalls nach

a) allgemeinen Vorschriften, z. B. nach § 1 Abs. 1 Satz 1 des Verwaltungsverfahrensgesetzes Sachsen-Anhalt (VwVfG LSA) vom 18.11.2005 (GVBl. LSA S. 698, 699) i. V. m. § 30 des Verwaltungsverfahrensgesetzes (VwVfG), § 203 des Strafgesetzbuches (StGB) oder

b) speziellen Regelungen wie § 16 des Bundesstatistikgesetzes vom 22.1.1987 (BGBl. I S. 462, 565), zuletzt geändert durch Art. 2 des Gesetzes vom 9.6.2005 (BGBl. I S. 1534), in der jeweils geltenden Fassung.

Die natürliche Person muss bestimmt (z. B. durch Identifizierungsdaten wie Name und Anschrift, Personalnummer, Kontonummer) oder bestimmbar sein (z. B. durch Bezugnahme auf andere Daten oder äußere Umstände). Aggregierte Daten (Summendaten), wie sie z. B. in der Statistik anfallen, sind nicht personenbezogen; enthält die statistische Gruppe nur Angaben über eine oder zwei Personen, so sind die Daten grundsätzlich wieder personenbezogen.

Bei personenbezogenen Daten, bei denen die verantwortliche Stelle Namen und Anschrift der Betroffenen nicht kennt, ist sie von der Einhaltung solcher Bestimmungen entbunden, die eine solche Kenntnis voraussetzen.

2.1.2 Personenbezogene Daten besonderer Art

Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben sind besonders schützenswert. Sie werden entsprechend § 3 Abs. 9 BDSG als personenbezogene Daten besonderer Art definiert. Die Erhebung, Verarbeitung oder Nutzung solcher Daten ist zusätzlichen formellen (§ 14 Abs. 2 Satz 1) und materiellen (§ 26 Abs. 1) Anforderungen unterworfen.

2.1.3 Allgemein zugängliche personenbezogene Daten

Personenbezogene Daten sind dann allgemein zugänglich, wenn sie jedermann ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgeltes frei verwenden kann. Hierzu zählen insbesondere personenbezogene Daten, die allgemein zugänglichen Quellen entnommen werden können (z.B. Tageszeitungen, Telefonbüchern, Internet).

2.2 Automatisiertes Verfahren

2.2.1.1 Die Definition des automatisierten Verfahrens beschränkt sich auf die Beschreibung der wesentlichen Kriterien, nämlich dass durch den gesteuerten Einsatz von Technik ohne weiteres menschliches Zutun die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten abläuft. Die Definition ist so offen formuliert, dass sie auch künftigen technischen Entwicklungen gerecht wird. Es kommt nicht auf die Speicherung in einer einzelnen Datei an. Entscheidend ist auch nicht, wie viele personenbezogene Daten oder Merkmale erhoben, verarbeitet oder genutzt werden. Regelungsgegenstand sind Vorgänge oder Vorgangsreihen; diese sind mit dem Begriff Verfahren umschrieben.

Auf das Vorliegen eines automatisierten Verfahrens stellen eine Vielzahl von Regelungen des Gesetzes ab, z. B. die Regelungen zum Verfahrensverzeichnis (§ 14 Abs. 3), zur Einsetzung des Beauftragten für den Datenschutz (§ 14a Abs. 1) und zur Gefährdungshaftung (§ 18 Abs. 2).

2.2.1.2a Datei

Das Gesetz verwendet einen doppelten Dateibegriff. Es unterscheidet zwischen automatisierten und nichtautomatisierten Dateien. Der Dateibegriff hat bei Anwendung des DSG-LSA nur geringe Bedeutung. Das DSG-LSA regelt die materielle Zulässigkeit des Umgangs öffentlicher Stellen mit personenbezogenen Daten grundsätzlich unabhängig davon, ob automatisierte Verfahren eingesetzt werden oder ob die Daten in nichtautomatisierten Dateien oder Akten enthalten sind. Der Dateibegriff ist nur bei der Anwendung einzelner Regelungen des DSG-LSA bedeutsam, insbesondere bei solchen verfahrensrechtlicher Art.

2.2.1.2b Automatisierte Datei

Im zweiten Halbsatz wird die bisherige Definition der automatisierten Datei beibehalten. Dies ist erforderlich, weil der Begriff automatisierte Datei in vielen bereichsspezifischen Rechtsvorschriften zum Datenschutz noch verwendet wird. Automatisierte Dateien sind sämtliche elektronisch verarbeiteten Datenbestände personenbezogenen Inhalts, die automatisiert ausgewertet werden können. Von dem Begriff erfasst werden auch Bild- und  Tonaufzeichnungen in digitalisierter Form, bei denen eine Auswertbarkeit durch automatisierte Verfahren gegeben ist.

2.2a Nicht-automatisierte Datei

Nicht-automatisierte Datei ist jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen (mindestens zwei) geordnet, umgeordnet und ausgewertet werden kann (z. B. Kartei, Register, Sammlung von ausgefüllten Antragsvordrucken; nicht aber eine Liste, da sie – ohne physische Veränderung – nicht umgeordnet werden kann). Gleichartig aufgebaut ist eine Sammlung von Daten, die sich entweder auf einem einzigen Datenträger oder auf mehreren physisch gleichartigen Datenträgern (z. B. Karteikarten) befindet. Die darauf gespeicherten Daten müssen auf dem Datenträger in einer bestimmten Ordnung enthalten sein, also in einer für die weitere Verarbeitung geeigneten Weise formalisiert sein.

2.3 Akte

Obwohl das DSG-LSA – anders als das BDSG für den nicht-öffentlichen Bereich – bei seiner Anwendung nicht auf den Umgang mit personenbezogenen Daten in automatisierten Verfahren und in oder aus nicht-automatisierten Dateien beschränkt ist, kommt der Definition der Akte Bedeutung zu. Das Gesetz trifft für Akten einzelne differenzierende Regelungen, die auf die Besonderheiten dieses Mediums abstellen. Akte ist abweichend vom allgemeinen Sprachgebrauch jede sonstige amtlichen, dienstlichen oder Geschäftszwecken dienende Unterlage, die nicht Datei ist. Bild- und Tonträger sind danach Akten, sofern sie nicht bereits als nicht-automatisierte Dateien einzustufen sind oder Teil eines automatisierten Verfahrens sind. Nicht vom Aktenbegriff erfasst werden Notizen und Vorentwürfe. Die Sonderregelungen für Akten und Aktensammlungen gelten nicht, soweit diese durch automatisierte Verfahren umgeordnet und ausgewertet werden können. Das entsprechende Verfahren muss eingerichtet und einsatzbereit sein.

2.4 Erheben

Erheben ist die zielgerichtete (= mit Wissen und Wollen) Beschaffung oder Entgegennahme personenbezogener Daten, und zwar auch dann, wenn der Vorgang nicht in eine Verarbeitung oder Nutzung einmündet. Beispiel: Eine Befragung ergibt, dass keine weiteren Maßnahmen zu treffen sind. Die Übermittlung auf Ersuchen ist seitens der ersuchenden Stelle (Stelle, an die übermittelt werden soll) stets auf eine Erhebung gerichtet.

2.5 Verarbeitung

2.5.2.1 Speichern

Speichern ist das Erfassen, Aufnehmen oder Aufbewahren (z. B. gezielte Aneignung zum Zwecke eigener Verwendung) personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung. Datenträger ist jeder Informationsträger, auf dem Daten lesbar festgehalten sind, z. B. auch eine Liste oder ein einzelnes Blatt. Bereits die Kenntnisnahme unaufgefordert mitgeteilter personenbezogener Daten mit dem Ziele ihrer weiteren Verwendung ist Speichern. Das Speichern endet mit dem Löschen der Daten.

2.5.2.3 Übermitteln

Übermitteln setzt grundsätzlich voraus, dass personenbezogene Daten zielgerichtet in den Einflussbereich eines Dritten (Nr. 2.9) gelangen. Auch eine unbeabsichtigte, aber tatsächlich erfolgte Übermittlung kann zielgerichtet sein.

Weitergeben umfasst sowohl die physische Übergabe, Aushändigung oder Übersendung von Datenträgern als auch die bloße Informationsvermittlung (z. B. fernmündlich oder durch schlüssiges Verhalten). Hierbei ist nicht erforderlich, dass der Dritte die Daten tatsächlich zur Kenntnis nimmt. Zum Weitergeben innerhalb der verantwortlichen Stelle und an Auftragnehmer siehe Nrn. 2.6 und 2.9.

Eine Übermittlung durch Einsicht oder Abruf liegt nur vor, wenn der Dritte von der verantwortlichen Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten tatsächlich einsieht oder abruft.

Ein Unterfall der Übermittlung ist die Veröffentlichung. Hierbei handelt es sich um die ungezielte Weitergabe von Daten an unbestimmte Dritte, z. B. in einem Presseorgan. Das Merkmal der Veröffentlichung ist aber auch erfüllt, wenn Daten zum Abruf für unbestimmte Dritte, also für jedermann, bereitgehalten werden.

2.5.2.4 Sperren

Gesperrte Daten sind mit einem entsprechenden Vermerk zu versehen; sie dürfen nur noch unter eingeschränkten Voraussetzungen übermittelt oder genutzt werden (Nr. 16.5).

2.5.2.5 Löschen

Mit dem Löschen endet die Verarbeitung der Daten. Löschen liegt vor, wenn die Daten von Menschen auch unter Zuhilfenahme technischer Mittel nicht mehr zur Kenntnis genommen werden können. Das kann in verschiedener Form geschehen. Auf Papier können Schriftzeichen durch Ausstreichen, Überschreiben oder Schwärzen unkenntlich gemacht werden, aber auch durch Vernichten des Datenträgers (z. B. Verbrennen oder Zerkleinern im Reißwolf). Auf maschinenlesbaren Datenträgern sind Daten dann unkenntlich, wenn durch technische oder organisatorische Mittel sichergestellt ist, dass sie von niemandem mehr zur Kenntnis genommen werden können. Das kann z. B. durch Neuformatierung von Magnetschichten (z. B. Überschreiben) geschehen, wenn die Daten danach für den Lesekopf der Verarbeitungsanlage nicht mehr lesbar gemacht werden können. Ein Datenbestand ist erst dann vollständig gelöscht, wenn auch die Datenträger, die der Datensicherung dienen (Duplikate, Archivbänder), gelöscht wurden.

2.6 Nutzen

Nutzen ist jede Verwendung personenbezogener Daten, die nicht den Begriff der Verarbeitung erfüllt. Dies betrifft wiederum Dateien wie Akten. Das Nutzen ist ein Auffangtatbestand, der immer dann greift, wenn eine Verwendung der Daten keiner Phase der Datenverarbeitung zugeordnet werden kann. Damit wird sichergestellt, dass jeder Umgang mit personenbezogenen Daten vom Gesetz erfasst wird. Nutzen ist insbesondere die Verwendung personenbezogener Daten innerhalb der verantwortlichen Stelle, z. B. die interne Weitergabe an eine andere Organisationseinheit innerhalb der gleichen Behörde. Die daran beteiligten Organisationseinheiten sind zueinander grundsätzlich nicht Dritte (Nr. 2.9).

Eine Nutzung liegt auch vor, wenn ein Datenabgleich durchgeführt wird. Fehlt bei der Informationsverwendung der Personenbezug, liegt ein Nutzen im Sinne des DSG-LSA nicht vor.

2.7 Anonymisieren

Es wird klargestellt, dass personenbezogene Daten nicht nur dann anonymisiert sind, wenn ein Personenbezug überhaupt nicht mehr herstellbar ist, sondern auch dann, wenn die Zuordnung nur noch mit unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft möglich wäre (faktische Anonymisierung). Je sensibler die Daten sind, desto größer muss der Aufwand sein, sie zu repersonifizieren.

2.7a Pseudonymisieren

Pseudonymisieren ist das Verändern personenbezogener Daten durch Verwendung einer Zuordnungsfunktion derart, dass mit verhältnismäßigem Aufwand Einzelangaben nur in Kenntnis dieser Funktion einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. An die Stelle identifizierbarer Daten tritt ein Pseudonym, das es ermöglicht, Daten ohne Kenntnis der Identität des Betroffenen zu nutzen. Bei der Wahl der Zuordnungsfunktionen ist darauf zu achten, dass die Pseudonyme möglichst wenig Informationsgehalt aufweisen. Pseudonyme können von unterschiedlichen Personen vergeben werden:

a) durch die betroffene Person,

b) durch einen vertrauenswürdigen Dritten, der allein die Zuordnungsfunktion kennt (z. B. pseudonymisierter Signaturschlüssel nach § 7 des Signaturgesetzes vom 16.5.2001, BGBl. I S. 876, zuletzt geändert durch Art. 4 des Gesetzes vom 26.2.2007, BGBl. I S. 179, in der jeweils geltenden Fassung),

c) durch den Datenverwender.

Im Rahmen des DSG-LSA kommen kurz- und mittelfristig vor allem die Varianten nach Buchst. a und c in Betracht.

2.8 Verantwortliche Stelle

Verantwortliche Stelle ist diejenige Stelle, die Daten für die ihr übertragenen Aufgaben selbst erhebt, verarbeitet oder nutzt oder durch Auftragnehmer erheben, verarbeiten oder nutzen lässt. Werden personenbezogene Daten im Auftrag verarbeitet, ist im Rahmen des Auftrages der Auftragnehmer nicht verantwortliche Stelle; dies ist vielmehr der jeweilige Auftraggeber. Verantwortliche Stellen sind grundsätzlich nicht die juristischen Personen des öffentlichen Rechts selbst, sondern deren Behörden und die von ihnen getragenen sonstigen öffentlichen Stellen. Das Gesetz geht vom organisatorischen und nicht vom funktionalen Stellenbegriff aus; d. h. verschiedene Organisationseinheiten einer Behörde sind grundsätzlich zueinander nicht Dritte, wohl aber Empfänger (Nr. 2.10). Außenstellen einer Behörde sind Teile der verantwortlichen Stelle, soweit sie nicht organisatorisch verselbständigt sind.

2.9 Dritter

2.9.1 Grundsätzlich ist jeder außerhalb der verantwortlichen Stelle Dritter. Außerhalb der verantwortlichen Stelle steht jede natürliche oder juristische Person, Gesellschaft oder andere Personenvereinigung des privaten Rechts sowie jede öffentliche Stelle, die nicht mit der verantwortlichen Stelle identisch oder ein Teil von ihr ist. Maßgebend ist die juristische, nicht die wirtschaftliche Betrachtungsweise.

2.9.2 Als Dritte gelten nicht

a) Betroffene oder

b) diejenigen Stellen, die im Inland, in einem anderen Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (Norwegen, Island und Liechtenstein) personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

2.10 Empfänger

Der Begriff “Empfänger” steht für alle, die Daten erhalten in ihrer Eigenschaft als

a) Dritte,

b) Personen oder Stellen, die für die verantwortliche Stelle personenbezogene Daten im Auftrag verarbeiten oder nutzen, oder

c) anderer Organisationsteil der verantwortlichen Stelle, dem Daten für andere Zwecke zur Verfügung gestellt werden.

Die Einbeziehung anderer Organisationsteile der verantwortlichen Stelle berücksichtigt den Beschluss des BVerfG vom 18.12.1987 (NJW 1988 S. 959), wonach auch innerhalb einer verantwortlichen Stelle eine aufgabenspezifische Trennung im Umgang mit personenbezogenen Daten besteht (informationelle Gewaltenteilung). Die stelleninterne Weitergabe personenbezogener Daten ist grundsätzlich keine Übermittlung, sondern ein Unterfall der Nutzung. Diese Differenzierung hat überwiegend formale Bedeutung, da die materiellen Voraussetzungen der internen Weitergabe nach § 10 und der Übermittlung im öffentlichen Bereich nach § 11 regelmäßig übereinstimmen.

Nicht Empfänger im Sinne des Gesetzes sind Betroffene.

2.11 Mobiler personenbezogener Datenträger

Dies ist ein Datenträger, der alle Voraussetzungen des Absatzes 11 Nrn. 1 bis 3 erfüllt. Die Definition des mobilen personenbezogenen Datenträgers erfasst nicht nur intelligente Medien, insbesondere Chipkarten, sondern auch nicht intelligente Medien, z. B. Magnetkarten oder maschinenlesbare Ausweise. Es wird nicht nur auf Prozesse abgestellt, die auf dem Medium ablaufen, sondern auch auf solche, die durch das Medium in anderen Datenverarbeitungssystemen ausgelöst werden.

Je nach Verwendung können mittels solcher Datenträger Bewegungsprofile erstellt oder beim Einlesen des Datenträgers gespeicherte Daten unbewusst anderen verfügbar gemacht werden. Um diesen Risiken für die Gewährleistung des Rechts auf informationelle Selbstbestimmung zu begegnen, ist vor dem Einsatz mobiler Datenträger nach § 14 Abs. 2 die Vorabkontrolle vorgeschrieben.

Soweit RFID-Tags durch öffentliche Stellen an Betroffene ausgegeben werden und unmittelbar der Verarbeitung personenbezogener Daten dienen, handelt es sich um Datenträger im Sinne des § 2 Abs. 11.

3. Zu § 3 (Anwendungsbereich)

Grundsätzlicher Anwendungsbereich

Die Vorschrift legt den Anwendungsbereich des DSG-LSA und die Ausnahmen hiervon fest. Dabei stellt das DSG-LSA grundsätzlich nur auf die Eigenschaft des Adressaten als einer öffentlichen Stelle ab, ohne danach zu differenzieren, ob dieser hoheitlich oder fiskalisch handelt.

3.1 Öffentliche Stelle

Absatz 1 führt die Adressaten des DSG-LSA an. Satz 1 trifft zugleich eine Legaldefinition öffentlicher Stellen des Landes. Hierzu gehören nicht die Kirchen (Nr. 11.4), wohl aber die Ortskrankenkasse, die allerdings in ihrer Eigenschaft als Leistungsträger bereichsspezifischen Datenschutzvorschriften des Zehnten Buches Sozialgesetzbuch – Sozialverwaltungsverfahren und Sozialdatenschutz -(SGB X) i. d. F. der Bek. vom 18.1.2001 (BGBl. I S. 130), zuletzt geändert durch Art. 263 der Verordnung vom 31.10.2006 (BGBl. I S. 2407), in der jeweils geltenden Fassung unterfällt.

3.1.1.1 Behörde

Behörde ist entsprechend § 1 Abs. 2 VwVfG LSA jede organisatorisch selbständige Stelle, der Aufgaben der öffentlichen Verwaltung zur eigenverantwortlichen Wahrnehmung übertragen sind (z. B. auch die Landtagsverwaltung, der Gerichtspräsident). Äußeres Zeichen der organisatorischen Selbständigkeit ist insbesondere die Befugnis zum eigenverantwortlichen Auftreten im eigenen Namen nach außen. Amtsträger oder Dienststellen, die nach den maßgeblichen organisatorischen Bestimmungen nur im Namen und mit Wirkung für und gegen andere Stellen handeln können, insbesondere Ämter, Sachgebiete, Dezernate, Referate und Abteilungen einer Behörde, sind nicht selbst Behörde oder öffentliche Stelle im Sinne dieses Gesetzes.

3.1.1.2 Organe der Rechtspflege

Zu den Organen der Rechtspflege zählen neben den Gerichten, soweit sie in ihrer originären Funktion der Streitentscheidung in Rechtssachen und im Bereich der freiwilligen Gerichtsbarkeit tätig werden, die Staatsanwaltschaften, die Strafvollzugsbehörden, die Gerichtsvollzieher und die Schiedspersonen. Auch Notare sind Organe der Rechtspflege, da sie Träger eines öffentlichen Amtes sind, durch Hoheitsakt bestellt werden und der Dienstaufsicht der Landesjustizverwaltung unterliegen. Nach § 1 der Bundesrechtsanwaltsordnung in der im BGBl. III, Gliederungs-Nr. 303-8, veröffentlichten bereinigten Fassung, zuletzt geändert durch Art. 1 des Gesetzes vom 26.3.2007 (BGBl. I S. 358), in der jeweils geltenden Fassung, sind auch Rechtsanwälte Organe der Rechtspflege; sie werden aber von § 3 deshalb nicht erfasst, weil es an einer öffentlich-rechtlichen Organisationsform fehlt. Für Rechtsanwälte gelten die für nicht-öffentliche Stellen einschlägigen Vorschriften des Bundesdatenschutzgesetzes.

3.1.1.3 Andere öffentlich-rechtlich organisierte Einrichtungen

Andere öffentlich-rechtlich organisierte Einrichtungen sind nach außen eigenverantwortlich handelnde Stellen, die keine Behördeneigenschaft besitzen, z. B. der Landtag als Parlament, Stellen mit lediglich fiskalischen Aufgaben und öffentliche Wettbewerbsunternehmen.

3.1.1.4 Vereinigungen

Vereinigungen juristischer Personen des öffentlichen Rechts sind ungeachtet ihrer Rechtsform öffentliche Stellen (z. B. die kommunalen Spitzenverbände). Vereinigungen in diesem Sinne sind auch Personen- oder Kapitalgesellschaften (des privaten Rechts), bei denen ausschließlich Adressaten des DSG-LSA (das Land, die Gemeinden, die Landkreise und sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts) Gesellschafter sind oder sämtliche Anteile halten. Dies gilt auch, wenn die Vereinigung nur von einer juristischen Person des öffentlichen Rechts gebildet ist, gegebenenfalls über eine Schachtelbeteiligung.

Der Begriff der Vereinigung ist hier nach dem Normzweck so auszulegen, dass entscheidendes weiteres Kriterium die Erfüllung einer öffentlichen Aufgabe ist. Im Bereich der Daseinsvorsorge ist von einer solchen Aufgabe nur auszugehen, wenn sich die öffentliche Hand der Wahrnehmung nicht entziehen kann, weil ein dringender öffentlicher Bedarf für eine wirtschaftliche Betätigung der öffentlichen Hand besteht. Dies ist z. B. bei Aufgaben des öffentlichen Personennahverkehrs der Fall. Soweit die Vereinigungen – ganz oder teilweise – keine öffentlichen Aufgaben in diesem Sinne erfüllen (z. B. Energieversorgung, Wohnungswirtschaft, Betrieb einer jedermann zugänglichen KfzWerkstatt), gilt für sie – wie für andere nicht-öffentliche Stellen – uneingeschränkt das BDSG.

Stehen die Vereinigungen bei Erledigung einer öffentlichen Aufgabe im oben beschriebenen Sinne faktisch oder potentiell im Wettbewerb, ist § 3 Abs. 2 Nr. 1 anzuwenden. Die Kontrolle erfolgt in diesem Fall durch den Landesbeauftragten für den Datenschutz unter überwiegender Anwendung des BDSG.

3.1.2 Beliehene

Nicht-öffentliche Stellen, die hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen (beliehene Unternehmer), sind z. B. die KfzSachverständigen des TÜV und die Öffentlich bestellten Vermessungsingenieure. Soweit diese Stellen im Rahmen der Beleihung tätig werden, gelten sie als öffentliche Stellen.

Im Übrigen sind nicht-öffentliche Stellen natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG).

3.2 Ausnahmen vom Anwendungsbereich des DSG-LSA

3.2.1 Am Wettbewerb teilnehmende öffentliche Unternehmen

Soweit Unternehmen, die öffentlichrechtlich organisiert sind (z. B. Eigenbetriebe oder selbständige Anstalten des öffentlichen Rechts) am Wettbewerb teilnehmen, werden sie den materiellen Datenschutzbestimmungen, die das Bundesdatenschutzgesetz für den nicht-öffentlichen Bereich trifft, unterworfen. Diese Vorschriften kommen gemäß § 1 Abs. 2 Nr. 3 bzw. § 27 BDSG grundsätzlich nur zur Anwendung, wenn personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen oder in oder aus nichtautomatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden, nicht aber bei herkömmlicher Informationsverarbeitung in Akten. Die Unternehmen sind verpflichtet, die Durchführung des Datenschutzes gemäß § 14 zu gewährleisten. Sie haben Verfahrensverzeichnisse nach § 14 Abs. 3 zu führen und Beauftragte für den Datenschutz nach § 14a einzusetzen. Zu beachten sind ferner die Regelungen über den Umgang mit Personal- und Bewerberdaten in § 28 und zum Fernmessen und Fernwirken in § 29. Die Unternehmen unterliegen der Kontrolle durch den Landesbeauftragten für den Datenschutz in §§ 19, 22 bis 24.

3.2.1.1 Krankenhäuser

Krankenhäuser in öffentlich-rechtlicher Trägerschaft gehören zu den öffentlich-rechtlichen Wettbewerbsunternehmen. Bei Erledigung hoheitlicher Aufgaben (z. B. Zwangseinweisungen) nehmen sie nicht am Wettbewerb teil. Soweit Krankenhausträger ein entsprechendes Unternehmen in ihrer Eigenschaft als Sozialleistungsträger nach § 35 des Ersten Buches Sozialgesetzbuch – Allgemeiner Teil – (SGB I) vom 11.12.1975 (BGBl. I S. 3015), zuletzt geändert durch Art. 2 Abs. 15 des Gesetzes vom 5.12.2006 (BGBl. I S. 2748, in der jeweils geltenden Fassung, betreiben, unterliegt das Krankenhaus nach Maßgabe des § 81 Abs. 4 Satz 3 SGB X einzelnen Vorschriften des ersten und zweiten Abschnitts des Bundesdatenschutzgesetzes (Nr. 3.3).

3.2.1.2 Krankenkassen

Soweit sich Krankenkassen, die der Aufsicht des Landes unterstehen (z. B. die Ortskrankenkasse, Innungskrankenkassen, Landwirtschaftliche Krankenkassen oder bestimmte Betriebskrankenkassen) darum bemühen, freiwillig Versicherte im Sinne des § 9 des Fünften Buches Sozialgesetzbuch – Gesetzliche Krankenversicherung – (SGB V) vom 20.12.1988 (BGBl. I S. 2477), zuletzt geändert durch Art. 6 Abs. 3 des Gesetzes vom 20.7.2007 (BGBl. I S. 1574), in der jeweils geltenden Fassung, zu gewinnen oder nicht mehr Versicherungspflichtige als freiwillig Versicherte zu übernehmen, stehen sie damit in Wettbewerb zu privaten Krankenversicherungen. Sie werden insoweit aber nicht zu Wettbewerbsunternehmen im Sinne des § 3 Abs. 2 Nr. 1; die Beziehungen zwischen Krankenkasse und freiwillig Versicherten bestimmen sich ausschließlich nach Sozialleistungsrecht.

3.2.2 Öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten

Öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten unterliegen allen Vorschriften des Bundesdatenschutzgesetzes, die auf entsprechende privatrechtliche Unternehmen anzuwenden sind, also auch der Kontrolle der Aufsichtsbehörde nach § 38 BDSG. Im Übrigen ist nur § 28 zu beachten, der den Umgang mit Personal- und Bewerberdaten regelt.

Öffentlich-rechtliche Versicherungsanstalten, bei denen Beitrittszwang besteht, nehmen insoweit nicht am Wettbewerb teil und fallen deshalb insoweit in den Anwendungsbereich des DSG-LSA. Dieses gilt auch für organisatorisch und aufgabenmäßig verselbständigte Teile öffentlichrechtlicher Kreditinstitute und Versicherungsanstalten, die dem Wettbewerb nicht zugängliche Aufgaben der öffentlichen Verwaltung wahrnehmen, z. B. die Investitionsbank SachsenAnhalt, soweit sie über die Vergabe von Subventionen und Wohnungsbaufördermitteln entscheidet.

3.2.3 Ausübung des Gnadenrechts

Auch wenn wegen verfahrensmäßiger Besonderheiten bei der Ausübung des Gnadenrechts das DSG-LSA nicht gilt, sollte im Interesse des Persönlichkeitsschutzes soweit wie möglich entsprechend den materiellrechtlichen Vorgaben des DSG-LSA verfahren werden.

3.3 Andere Rechtsvorschriften

3.3.1 Subsidiarität des DSG-LSA

Das DSG-LSA gilt nur subsidiär. Soweit andere Rechtsvorschriften auf personenbezogene Daten anzuwenden sind, haben sie Vorrang, wie z. B.

a) das Gesetz über die öffentliche Sicherheit und Ordnung des Landes Sachsen-Anhalt (SOG LSA) i. d. F. der Bek. vom 23.9.2003 (GVBl. LSA S. 214),

b) das Gesetz über den Verfassungsschutz im Land Sachsen-Anhalt (VerfSchG-LSA) i. d. F. der Bek. vom 6.4.2006 (GVBl. LSA S. 236), zuletzt geändert durch Gesetz vom 16.11.2006 (GVBl. LSA S. 524), und

c) das Meldegesetz des Landes Sachsen-Anhalt (MG LSA) i. d. F. der Bek. vom 11.8.2004 (GVBl. LSA S. 506), zuletzt geändert durch Art. 17 des Gesetzes vom 18.11.2005 (GVBl. LSA S. 698, 702),

in der jeweils geltenden Fassung. Vorrang haben auch solche Rechtsvorschriften, die keine Datenschutzregelungen treffen, aber auf personenbezogene Daten anzuwenden sind, z. B. § 71 LHO hinsichtlich der Pflicht zur Buchführung. Der Umfang des Vorrangs anderer Rechtsvorschriften ist bei der Herausgabe von Verwaltungsvorschriften hierzu allgemein, im Übrigen anlässlich der laufenden Bearbeitung im Einzelfall zu ermitteln.

Treffen die anderen Rechtsvorschriften nur teilweise Regelungen, gilt ergänzend das DSG-LSA. Zum Beispiel ist die Pflicht zu technischen und organisatorischen Maßnahmen im Sinne des § 6 nicht im SOG LSA geregelt.

Für Rechtsvorschriften des Bundes ergibt sich der Vorrang bereits aus Art. 71, 72 oder 31 des Grundgesetzes. Solche Regelungen sind z. B.

a) §§ 67 bis 85 des SGB X,

b) §§ 16, 21 und 22 des Passgesetzes vom 19.4.1986 (BGBl. I S. 537), zuletzt geändert durch Art. 1 des Gesetzes vom 20.7.2007 (BGBl. I S. 1566),

c) § 61 des Personenstandsgesetzes in der im BGBl. III Gliederungsnummer 211-1 veröffentlichten bereinigten Fassung,

d) §§ 86 bis 91a des Aufenthaltsgesetzes vom 30.7.2004 (BGBl. I S. 1950), zuletzt geändert durch Art. 6 des Gesetzes vom 20.7.2007 (BGBl. I S. 1566) und

e) §§ 474 bis 495 der Strafprozessordnung (StPO) in der jeweils geltenden Fassung.

3.3.2 Berufs- oder besondere Amtsgeheimnisse

Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. So ist z. B. das Arztgeheimnis nur standesrechtlich geregelt, auch wenn dessen Verletzung nach § 203 StGB strafbewehrt ist.

3.4 Abgrenzung zum VwVfG LSA i. V. m. dem VwVfG

Bei der Ermittlung des Sachverhalts im Verwaltungsverfahren ist das DSGLSA gegenüber dem VwVfG LSA i. V. m. den VwVfG vorrangig; dies ist insbesondere bei Anwendung des Untersuchungsgrundsatzes (§ 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 24 VwVfG) und der Beiziehung von Beweismitteln (§ 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 26 VwVfG) zu beachten. Eine um Amtshilfe ersuchte Behörde darf bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Amtshilfe nur leisten, soweit dies insbesondere nach § 11 DSG-LSA zulässig ist. Ansonsten bestehen rechtliche Hinderungsgründe im Sinne des § 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 5 Abs. 2 Satz 1 Nr. 2 VwVfG.

4. Zu § 4 (Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung)

4.1 Zulässigkeit der Datenerhebung, -verarbeitung oder -nutzung

Ob eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zulässig ist, kann sich aus anderen Rechtsvorschriften (Nr. 3.3) oder dem DSG-LSA selbst ergeben (z.B. §§ 4, 9, 10, 11). Gemeint sind damit materielle Rechtsnormen im weitesten Sinne; z. B. auch kommunale Satzungen und Satzungen sonstiger öffentlich-rechtlicher Körperschaften (z. B. der IHK). Ein Schluss von der Aufgabe auf die Befugnis ist grundsätzlich nicht möglich.

Die entsprechende Rechtsvorschrift muss die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ausdrücklich erlauben oder vorschreiben.

4.2 Einwilligung

Soweit die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von der Einwilligung Betroffener abhängig gemacht wird, ist eine informierte Einwilligung vorgesehen. Die Einwilligung ist die vorherige Zustimmung Betroffener. Die Betroffenen müssen handlungsfähig (§ 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 12 VwVfG) sein (z. B. Religionsmündigkeit ab Vollendung des 14. Lebensjahres nach § 5 des Gesetzes über die religiöse Kindererziehung in der im BGBl. III, Gliederungs-Nr. 404-9, veröffentlichten bereinigten Fassung, geändert durch Art. 7 § 31 des Betreuungsgesetztes vom 12.9.1990, BGBl. I S. 2002, in der jeweils geltenden Fassung, eigene Meldepflicht nach § 9 Abs. 3 MG LSA ab Vollendung des 16. Lebensjahres). Sind Betroffene nicht handlungsfähig, erteilen die gesetzlichen Vertreter oder im Rahmen ihres Aufgabenkreises Betreuer im Sinne des Betreuungsgesetzes die Einwilligung.

Ein Muster für Einwilligungserklärungen ist als Anlage 1 beigefügt.

Die Einwilligung kann genutzt werden, um im Falle der Zweckänderung vom Grundsatz der Erhebung bei Betroffenen abzuweichen. Hierdurch können die Betroffenen über die Fälle des § 10 Abs. 2 Nr. 3 hinaus von Mehrfacherhebungen freigestellt werden.

4.2.1 Allgemeine Anforderungen

Die Einwilligung muss hinreichend bestimmt sein. Besondere Bedeutung kommt der Information der Betroffenen zu.

4.2.2 Form

Soweit nicht wegen besonderer Umstände eine andere Form oder ein anderer Inhalt angemessen ist, bedarf die Einwilligung der Schriftform (§ 126 des Bürgerlichen Gesetzbuches – BGB) und muss die Art der Daten, die Form ihrer Verarbeitung und die Dritten, an die Übermittlungen vorgesehen sind, bestimmen. Ist damit zu rechnen, dass die Daten von manuellen in automatisierte Verfahren übernommen werden, sollte die Einwilligung auch zur automatisierten Verarbeitung eingeholt werden.

Die Ersetzung der Schriftform durch die elektronische Form (mit qualifizierter elektronischer Signatur) kann nach § 126a BGB oder für die öffentlichrechtliche Verwaltungstätigkeit nach § 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 3a Abs. 2 VwVfG erfolgen. Eine geringerwertige als die qualifizierte elektronische Signatur kommt in Betracht, wenn nach § 4 Abs. 2 Satz 2 wegen des Vorliegens besonderer Umstände von der Schriftform abgewichen werden darf.

4.2.3 Mehrzahl von Erklärungen

Die Einwilligung kann auch zusammen mit anderen Erklärungen schriftlich erteilt werden; sie ist dann aber drucktechnisch besonders hervorzuheben.

4.2.4 Widerruf

Das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, ist abdingbar (Nr. 17.1). Haben sich Betroffene einmal mit der Erhebung, Verarbeitung oder Nutzung einverstanden erklärt, so wird bei unveränderten Verhältnissen davon ausgegangen werden können, dass die Einwilligung weiterhin Gültigkeit besitzt und nicht erneut eingeholt werden muss.

4.4 Einwendungsrecht

4.4.1 Recht der Betroffenen

Die Betroffenen haben das Recht, sich gegen die Erhebung, Verarbeitung oder Nutzung ihrer Daten zu wenden, auch wenn die rechtlichen Voraussetzungen für den Umgang mit den Daten dem Grunde nach vorliegen. Für das Erheben von Einwendungen ist keine bestimmte Form vorgeschrieben. Wenn die Behörde bei der gebotenen Abwägung zu dem Ergebnis kommt, dass die von der betroffenen Person vorgetragenen besonderen persönlichen Gründe das öffentliche Interesse an der Erhebung, Verarbeitung oder Nutzung der Daten überwiegen, dann muss der Umgang mit den Daten unterbleiben oder so gestaltet werden, wie es dem Anliegen der betroffenen Person entspricht. Die Einwendung kann z. B. darauf gerichtet sein, dass eine Angelegenheit, die höchstpersönliche Daten zum Gegenstand hat, nicht von zum Bekanntenkreis der betroffenen Person gehörenden Mitarbeitern bearbeitet wird. Solche Personen sind nicht nach § 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 20 VwVfG LSA vom Handeln ausgeschlossen. Das Ergebnis der Abwägung ist den Betroffenen mitzuteilen. Gegen eine ablehnende Entscheidung kann Widerspruch nach den Regeln des Verwaltungsprozessrechtes einlegt werden (§§ 68 bis 70 der Verwaltungsgerichtsordnung (VwGO) i. d. F. der Bek. vom 19.3.1991 (BGBl. I S. 686), zuletzt geändert durch Art. 3 des Gesetzes vom 21.12.2006, BGBl. I S. 3316, in der jeweils geltenden Fassung).

4.4.2 Ausschluss des Einwendungsrechts

Das Einwendungsrecht besteht nur eingeschränkt gegenüber Sicherheitsbehörden, Strafverfolgungsorganen und Stellen der Finanzverwaltung.

4a. Zu 4a (Automatisierte Einzelentscheidungen)

4a.1 Verbot der alleinigen automatisierten Einzelentscheidung

Für eine betroffene Person nachteilige Entscheidungen, die auf einer Bewertung ihrer Persönlichkeitsmerkmale beruhen, dürfen vorbehaltlich einer spezialgesetzlichen Regelung nicht allein auf das Ergebnis einer automatisierten Verarbeitung gestützt sein. Solche Entscheidungen müssen letztlich immer von einer natürlichen Person verantwortet werden. § 90g Abs. 4 des Beamtengesetzes Sachsen-Anhalt (BG LSA) i. d. F. der Bek . vom 9.2.1998 (GVBl. LSA S. 50), zuletzt geändert durch Art. 2 des Gesetzes vom 21.3.2006 (GVBl. LSA S. 102, 120), in der jeweils geltenden Fassung geht nach § 3 Abs. 3 Satz 1 vor.

Das Verbot kommt dann zum Tragen, wenn mehrere Informationen über die Persönlichkeit der betroffenen Person zusammengeführt werden und einer rein automatisierten Bewertung unterzogen werden sollen. Die ausgewerteten Informationen müssen dabei eine gewisse Komplexität (z. B. Angaben über die berufliche Leistung, die Zuverlässigkeit) aufweisen. Bloße Vorentscheidungen, wie etwa die automatisierte Vorauswahl im Vorfeld einer Personalbesetzung (automatisierter Abgleich des Personalbestandes anhand bestimmter Suchkriterien wie Alter, Ausbildung, Zusatzqualifikation) sind nicht erfasst, auch nicht reine Messwerte.

4a.2 Ausnahmen vom Verbot automatisierter Einzelentscheidungen

Das Verbot automatisierter Einzelentscheidungen im Sinne des Abs. 1 gilt nicht, wenn

a) ein Gesetz solche Entscheidungen ausdrücklich vorsieht oder

b) die Betroffenen vorher Gelegenheit zur Stellungnahme erhalten und damit auf die Entscheidung Einfluss nehmen können.

5. Zu § 5 (Datengeheimnis)

Während das DSG-LSA im Allgemeinen nur Regelungen für die datenverarbeitenden Stellen enthält, wendet es sich in § 5 unmittelbar an die bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigten Personen und untersagt jede Erhebung, Verarbeitung oder Nutzung, die nicht durch die zur jeweilig rechtmäßigen Aufgabenerfüllung gehörenden Zwecke gerechtfertigt ist. Eine Verletzung des Datengeheimnisses wird in den meisten Fällen gleichzeitig eine Verletzung der Amtverschwiegenheit oder einen Verstoß gegen die arbeitsvertragliche Schweigepflicht darstellen; auch kann zugleich eine Verletzung spezieller Geheimhaltungsvorschriften, z. B. der Schweigepflicht nach § 10 des Landespersonalvertretungsgesetzes Sachsen-Anhalt (PersVG LSA) i. d. F. der Bek. vom 16.3.2004 (GVBl. LSA S. 205, 491), zuletzt geändert durch Art. 3 des Gesetzes vom 21.3.2006 (GVBl. LSA S. 102, 122), in der jeweils geltenden Fassung, vorliegen. Die zur Wahrung des Datengeheimnisses Verpflichteten sind grundsätzlich Beamte oder Richter im statusrechtlichen Sinne; anderenfalls stehen sie in einem sonstigen öffentlich-rechtlichen Amtsverhältnis oder sind nach dem Verpflichtungsgesetz vom 2.3.1974, BGBl. I S. 469, geändert durch § 1 Nr. 4 des Gesetzes vom 15.8.1974 (BGBl. I S. 1942), in der jeweils geltenden Fassung verpflichtet und dementsprechend Amtsträger im Sinne des § 11 Abs. 1 Nr. 2 StGB.

Verstöße gegen das Datengeheimnis können dienstrechtlich verfolgt und nach § 31 und anderen einschlägigen Rechtsvorschriften (z. B. § 203 StGB) mit Freiheits- oder Geldstrafe geahndet werden. Sie können auch Anlass einer außerordentlichen Kündigung sein. ine förmliche Verpflichtung auf das Datengeheimnis sieht das DSG-LSA nicht vor. Es empfiehlt sich allerdings ein Hinweis oder eine Belehrung über die Pflichten nach dem DSG-LSA.

6. Zu § 6 (Technische und organisatorische Maßnahmen)

6.1 Datensicherheit

Das DSG-LSA verwendet in § 6 nicht den Begriff Datensicherheit, regelt aber diesem Zweck dienende Maßnahmen, soweit sie für den Datenschutz von Bedeutung sind, also dem Schutz des Persönlichkeitsrechts dienen. Durch geeignete technische und organisatorische Vorkehrungen soll die Erfüllung der Vorschriften des DSG-LSA gewährleistet werden, also der Beeinträchtigung schutzwürdiger Interessen Betroffener bei der Datenverarbeitung entgegengewirkt werden.

Datensicherheit bezeichnet also zunächst einen Zustand und beinhaltet darüber hinaus die Umsetzung aller technischen und organisatorischen Maßnahmen, die von einer öffentlichen Stelle zu treffen sind, um eine Verletzung des Persönlichkeitsrechts Einzelner bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten zu verhindern. Diese Maßnahmen sind sowohl für automatisierte als auch für nicht-automatisierte Verfahren zu treffen und umzusetzen. Ziel aller getroffenen technischen und organisatorischen Maßnahmen ist eine störungsfreie und gegen Missbrauch gesicherte Datenverarbeitung. Maßnahmen der Datensicherheit sind für jede Art von Datenverarbeitung unerlässlich; besonders wichtig sind sie in automatisierten Verfahren. Jede Störung oder Verzögerung der Datenverarbeitung kann schwerwiegende Folgen haben.

6.1.1 Pflicht zur Datensicherheit

Nach Satz 1 sind Maßnahmen zur Gewährleistung der Datensicherheit unabhängig von der Art des Umgangs mit personenbezogenen Daten zu treffen. Der Verweis auf die Absätze 2 und 3 stellt klar, dass je nachdem, ob personenbezogene Daten automatisiert oder nicht-automatisiert erhoben, verarbeitet oder genutzt werden, unterschiedliche Anforderungen bestehen.

6.1.1.1 Verpflichtete Stelle

Zu den technischen und organisatorischen Maßnahmen ist jede öffentliche Stelle verpflichtet, die selbst oder im Auftrag solcher Stellen personenbezogene Daten erhebt, verarbeitet oder nutzt. Verpflichtet ist somit einmal die verantwortliche Stelle im Sinne des § 2 Abs. 8, zum anderen aber auch ein öffentlicher Auftragnehmer im Sinne des § 8 Abs. 4. Für andere Auftragnehmer ergibt sich die entsprechende Pflicht aus den für sie einschlägigen Datenschutzvorschriften, z. B. bei Auftragnehmern im Sinne des § 8 Abs. 5 oder 6, § 11 Abs. 4 BDSG.

Beauftragt eine verantwortliche Stelle ganz oder teilweise eine andere Stelle mit der Durchführung der Erhebung, Verarbeitung oder Nutzung, dann ist die Verantwortung für die Durchführung der Maßnahmen zwischen Auftraggeber und Auftragnehmer verteilt.

6.1.1.2 Pflichten der öffentlichen Stelle als Auftraggeber

Der Auftraggeber hat nach § 8 Abs. 2 Satz 1 bei Erteilung des Auftrages die vom Auftragnehmer vorgesehenen technischen und organisatorischen Maßnahmen zu berücksichtigen. Die Wirksamkeit dieser Maßnahmen ist ein Auswahlkriterium für die Vergabe des Auftrages. Dem Auftraggeber müssen aber nicht notwendigerweise alle im Einzelnen getroffenen Maßnahmen offengelegt werden; dies könnte zu einer Ausspähung führen.

6.1.1.3 Überprüfung der Maßnahmen des Auftragnehmers

Der Auftraggeber hat sich nach Maßgabe des § 8 Abs. 2 Satz 4 beim Auftragnehmer von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

6.1.2 Angemessenheit der einzelnen Maßnahmen

Eine Datensicherheitsmaßnahme ist nicht schon allein deshalb zu treffen, weil sie objektiv geeignet ist, ein Höchstmaß an Datensicherheit zu gewährleisten. Alle Maßnahmen stehen unter dem Grundsatz der Angemessenheit (Abs. 1 Satz 2). Eine Maßnahme braucht dann nicht getroffen zu werden, wenn der durch sie verursachte Aufwand im Verhältnis zu dem vom Gesetz verlangten Schutz der Daten unangemessen groß wäre. Dieser Grundsatz darf jedoch nicht dazu führen, die dem DSG-LSA unterliegende Datenverarbeitung ohne jede Sicherheitsmaßnahme zu lassen. Soweit im Einzelfall eine Anforderung nicht durch angemessene Maßnahmen voll erfüllt wird, ist die dadurch entstehende Lücke durch entsprechende Maßnahmen zur Erfüllung anderer Anforderungen zu schließen.

Ob eine Maßnahme als verhältnismäßig anzusehen ist, kann nur an Hand der konkreten Umstände des Einzelfalles entschieden werden. Dabei ist zwischen dem vom DSG-LSA verlangten Schutz der Daten und dem durch die Maßnahme verursachten Aufwand abzuwägen.

Als Entscheidungshilfen bei der Angemessenheitsprüfung können neben der Art der verarbeiteten Daten und ihrer Schutzwürdigkeit auch die Menge der verarbeiteten Daten sowie die Art der eingesetzten Verfahren dienen; so erfordern z. B. Angaben über gesundheitliche Verhältnisse, strafbare Handlungen, religiöse oder politische Anschauungen weitergehende Schutzvorkehrungen. Gleiches gilt, je mehr Daten über Betroffene gespeichert werden (z. B. mit Hilfe einer Datenbank).

Es sind immer alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Ausführung der Vorschriften des DSGLSA zu gewährleisten. Satz 3 verpflichtet dazu, das Sicherheitskonzept fortzuschreiben, d. h. die Technikentwicklung zu beobachten und dementsprechend die Schutzmaßnahmen zu überprüfen und bei Bedarf neu einzurichten.

6.1.3 Auswahl der Maßnahmen

Der zur Datensicherheit Verpflichtete muss in eigener Verantwortung unter den in Betracht kommenden technischen und organisatorischen Maßnahmen jene auswählen, die den vorgeschriebenen Schutz der Daten gewährleisten. Sie sind vor dem Einsatz eines neuen oder geänderten Verfahrens im Einzelnen festzulegen und mit Beginn des Einsatzes zu realisieren. Im Falle der Auftragsdatenverarbeitung wirken Auftraggeber und Auftragnehmer zusammen. Für das gesamte Verfahren trägt der Auftraggeber die Verantwortung.

Für die Wirksamkeit der Datensicherheit ist die Summe aller Maßnahmen entscheidend. Die Datensicherheit ist dann ausreichend, wenn die getroffenen technischen und organisatorischen Maßnahmen in ihrer Gesamtheit einen hinreichenden Schutz gegen die Beeinträchtigung schutzwürdiger Interessen der Betroffenen beim Umgang mit ihren Daten gewährleisten.

6.2 Anforderungen bei automatisierten Verfahren

Die neu eingeführten 6 Sicherheitsziele sind technologieunabhängig und zeigen einen Sicherheitsrahmen auf, der auch bei neuen Formen der Datenverarbeitung anwendbar ist. Das DSG-LSA greift teilweise die auch für Sicherheit in der Informationstechnik (IT-Sicherheit) notwendigen Sicherheitsziele auf (Vertraulichkeit, Integrität, Verfügbarkeit), teilweise geht es mit den in Abs. 2 festgelegten weiteren Sicherheitszielen (Authentizität, Revisionsfähigkeit, Transparenz) im Interesse eines wirksamen Schutzes der personenbezogenen Daten darüber hinaus.

Abhängig von den jeweiligen technischen Gegebenheiten sind im Einzelfall die Maßnahmen festzulegen, die den geforderten Sicherheitsrahmen erfüllen. Die Maßnahmen müssen zur Erreichung des angestrebten Schutzniveaus angemessen sein und das verbleibende Restrisiko tragbar machen. Dementsprechend ist vor dem Einsatz eines automatisierten Verfahrens

a) der Grad der Schutzbedürftigkeit der personenbezogenen Daten festzustellen,

b) eine Bedrohungs- und Risikoanalyse durchzuführen,

c) ein auf dem IT-Sicherheitskonzept basierendes Datensicherheitskonzept zu erstellen und umzusetzen sowie

d) eine entsprechende Kontrolle und Fortschreibung des Datensicherheitskonzeptes zu gewährleisten.

Diese Vorgehensweise ist auch Grundlage für die Verfahrensfreigabe und die Vorabkontrolle gemäß § 14 Abs. 2.

6.2.1 Vertraulichkeit

Vertraulichkeit ist gewährleistet, wenn die gespeicherten Daten nicht in die Hände Unbefugter geraten können. Das Ziel kann durch unterschiedliche Maßnahmen erreicht werden wie die sichere Aufbewahrung oder Unterbringung der verwendeten Hardware und Backup-Datenträger, die Nutzung von Verschlüsselungssoftware bei der Speicherung in unsicheren Umgebungen (z. B. Notebook, Laptop, lokaler PC) und bei der Datenübertragung in Netzwerken oder durch vertrauliche Behandlung von Angaben über verwendete Hard- und Software und die Systemkonfiguration. Beispiele:

a) sichere Unterbringung von Rechentechnik (z. B. Serverräume),

b) Schutz von Serverräumen vor unbefugtem Zugang,

c) Ausschluss der Nutzung von privater Hard- oder Software für dienstliche Belange oder Ausschluss der Nutzung dienstlicher Hard- oder Software für private Belange,

d) Sicherung von Hard- und Softwareschnittstellen,

e) Einsatz von Verschlüsselungsverfahren bei der Datenspeicherung oder der Datenübertragung (z. B. im lokalen Netz einer Behörde – LAN -, im Intranet des Landes – WAN – oder im Internet),

f) Einrichtung einer an der Aufgabenstellung orientierten restriktiven Benutzerverwaltung und Rechtevergabe (Sicherstellung des Zugriffs Berechtigter ausschließlich auf ihre Programme und ihren Datenbestand),

g) Ausnutzung und Aktivierung der Sicherheitseinstellungen von Betriebssystemen, Datenbankbetriebssystemen und anderen Verarbeitungsprogrammen,

h) Einrichtung von zuverlässigen Identifikations- und Authentisierungsmechanismen,

i) Festlegung von Anmeldeversuchsbeschränkungen (z. B. Sperrung der Benutzung nach mehr als drei Fehlversuchen),

j) Einrichtung von Zeitbeschränkungen, die sich an der regelmäßigen Arbeitszeit orientieren.

6.2.2 Integrität

Integrität ist gewährleistet, wenn Datenbestände unversehrt, vollständig und aktuell sind, also verlässlich richtig. Integrität muss während der Erhebung, allen Phasen der Verarbeitung und bei der Nutzung gegeben sein. Unter anderem muss gewährleistet sein, dass Daten nicht durch Computerviren oder andere Schadsoftware verfälscht werden. Dies ist beim Anschluss an das weltweite Internet besonders wichtig. Beispiele:

a) Plausibilitätskontrollen bei der Eingabe von Daten,

b) regelmäßige Überprüfung und Aktualisierung der Datenbestände,

c) Kontrolle der Durchführung von Reparaturen, Wartung oder Fernwartung von Hard- und Software durch Fremdfirmen,

d) Einsatz von Technologien zum Schutz vor schadenstiftender Software,

e) Einsatz von sogenannten FirewallSystemen (Firewall = Brandschutzmauer) zur Abschottung von Verwaltungsnetzen gegenüber Fremdnetzen (z. B. dem Internet).

6.2.3 Verfügbarkeit

Verfügbarkeit liegt vor, wenn Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet oder genutzt werden können. Die Verfügbarkeit bezieht sich nicht nur auf die gespeicherten personenbezogenen Daten im engeren Sinne, sondern gleichermaßen auf die Hardware und die zur Verarbeitung erforderlichen Programme. Ein DV-System muss also in seiner Gesamtheit die vorgesehene Funktionalität bieten und zeitgerecht zur Verfügung stehen. Beispiele:

a) Maßnahmen zur Ausfallsicherheit des Verfahrens (z. B. ErsatzServer; Einsatz redundanter Datenträger; schnelle Wiederanlaufverfahren oder Wiedereinspielung eines Datenbestandes; ErsatzRechenzentren),

b) Einsatz von Technik für eine unterbrechungsfreie Stromversorgung der Hardware (USV),

c) Durchführung einer zeitnahen und regelmäßigen Datensicherung des Datenbestandes (Backup) und der Überprüfung des Backup-Datenbestandes auf Nutzbarkeit,

d) Schutz vor Vandalismus oder gefährlichen äußeren Einflüssen (Feuer, Wasser, starke mechanische Belastung, magnetische Störungen),

e) Aufbewahrung von Datenträgern und sonstigen Backup-Medien in einem sogenannten DATA-Safe oder einem Datensicherungsraum (mit entsprechenden RAL-Prüfsiegeln).

6.2.4 Authentizität

Die Authentizität ist hauptsächlich bei elektronisch übertragenen Dokumenten bedroht. Dem kann durch Verfahren begegnet werden, bei denen die Herkunft der Daten nachvollziehbar ist. Bei der Bewertung der Verfahren sind verwendete Hardwarekomponenten und Programme einzubeziehen, z. B. beim e-Government oder beim elektronischen Zahlungsverkehr. Beispiel: Einsatz von Signaturverfahren, bei denen rechtsverbindlich festgestellt werden kann, ob die Daten von den Betroffenen autorisiert (z. B. digital signiert) sind oder wer Urheber von Daten ist, die nicht von den Betroffenen stammen (z. B. bei Datenübermittlung).

6.2.5 Revisionsfähigkeit

Revisionsfähig sind Daten, wenn nachprüfbar ist, wie Daten in einen Datenbestand gelangt sind und welche Veränderungen sie im Laufe der Zeit erfahren haben. Nachprüfbar muss sein, wer für das Aufnehmen bestimmter Daten in einen Datenbestand oder ihr Entfernen daraus die Verantwortung trägt. Dabei ist jedoch zu bedenken, dass Protokollierungsdaten selbst ein datenschutzrechtliches Risiko bergen. Sie unterliegen deshalb einer engen Zweckbindung nach § 10 Abs. 4. Beispiele:

a) Auswertung von Protokolldateien,

b) Nachvollziehen, wer in welcher Weise Daten eingegeben, verändert oder gelöscht hat, woher oder wohin Daten übermittelt wurden (z. B. Auswertungstools für Protokolldateien).

6.2.6 Transparenz

Automatisierte Verfahren sind in aktueller Form nachvollziehbar zu dokumentieren. Die einzelnen Verfahrensschritte müssen dabei so beschrieben werden, dass die systematische Richtigkeit der Prozesse nachvollziehbar wird. Dieses Sicherungsziel steht in unmittelbarem Zusammenhang mit § 15 (Auskunft) und § 23 (Durchführung der Aufgaben). Beispiele:

a) Dokumentation der Freigabe oder der Vorabkontrolle nach § 14 Abs. 2,

b) Dokumentation von wesentlichen Programmveränderungen oder laufende Fortschreibung der Programmdokumentation, so dass ein Verfahren in allen Verarbeitungsschritten dokumentiert ist und in zumutbarer Zeit nachvollzogen werden kann,

c) ordnungsgemäße Führung des Verfahrensverzeichnisses gem. § 14 Abs. 3.

6.3 Nicht-automatisierte Verfahren

Nicht-automatisierte Verfahren sind solche Verfahren, in denen die Verfahrensschritte ohne Hilfe programmgesteuerter Geräte ablaufen. Dabei ist es unerheblich, ob diesen Verfahren automatisierte Verfahren vorausgehen oder nachfolgen. Datenverarbeitung in nicht-automatisierten Verfahren findet z. B. in manuellen Karteien, Sammlungen gleichartiger Formblätter oder herkömmlichen Akten statt.

Sammlungen von Datenträgern, die zugleich in automatisierten Verfahren verarbeitet werden, unterliegen hinsichtlich ihrer automatisierten Verarbeitung dem Abs. 2, hinsichtlich ihrer nicht-automatisierten Verarbeitung dem Abs. 3. Auch für diese Verfahren sind jedoch nach Abs. 1 geeignete technische und organisatorische Maßnahmen zu treffen, um der Beeinträchtigung schutzwürdiger Belange Betroffener entgegenzuwirken. Der Verhinderung des Zugriffs durch Unbefugte (Vertraulichkeit) kommt zentrale Bedeutung zu. Wenn dies erreicht ist, dann ist in aller Regel auch ausgeschlossen, dass jemand unbefugt Daten zur Kenntnis nehmen oder diese  verändern oder löschen kann.

Notwendigkeit und Umfang einzelner Maßnahmen der Datensicherheit beurteilen sich nach den in Nrn. 6.1.1 bis 6.1.3 dargestellten Grundsätzen.

Besonders in nachstehenden Bereichen sind Maßnahmen angezeigt:

a) Erfassen und Bearbeiten von Daten,

b) Weitergeben von Daten, ihr Bereithalten zur Einsichtnahme und der Transport von Datenträgern,

c) Aufbewahren von Daten,

d) Vernichten von Datenträgern.

Soweit Vorentwürfe und Notizen nicht Bestandteil eines Vorgangs werden und personenbezogene Daten enthalten, ist eine ordnungsgemäße Vernichtung, z. B. mittels eines Aktenvernichters, zu gewährleisten.

7. Zu § 7 (Einrichtung automatisierter Abrufverfahren)

Ein automatisiertes Abrufverfahren ist ein Datenverarbeitungsverfahren, in dem Einzeldaten oder ganze Datenbestände durch Abruf an einen Dritten (§ 2 Abs. 9) übermittelt (§ 2 Abs. 5 Satz 2 Nr. 3 Buchst. a Doppelbuchst. bb) werden können.

Wesentlich für den Abruf ist das Moment der Selbstbedienung. Werden Art und Umfang der zu übermittelnden Daten allein von der übermittelnden Stelle bestimmt und kann der Dritte nur den Zeitpunkt festlegen, liegt kein Abrufverfahren im Sinne des § 7 vor, so etwa bei der regelmäßigen Übermittlung der Kfz-Zulassungsdaten durch Zulassungsstellen an das Kraftfahrtbundesamt im automatisierten Verfahren. In Betracht kommt der Abruf eines Datensatzes, des Teils eines Datensatzes oder mehrerer Datensätze (eines Datenbestandes). Gegenstand eines Abrufs kann auch das Ergebnis einer Datenverarbeitung sein, z. B. des Vergleichs oder Abgleichs zweier Datenbestände.

7.1 Zulässigkeit automatisierter Abrufverfahren

Automatisierte Abrufverfahren sind wegen des erhöhten Gefährdungspotentials für das Persönlichkeitsrecht und der Änderung der Verantwortlichkeit für die Übermittlung vom Gesetzgeber nur eingeschränkt zugelassen. Eine vorweg genommene pauschalierte Prüfung muss ergeben haben, dass das Verfahren bei Abwägung der Interessen Betroffener am Ausschluss automatisierter Abrufe mit den Interessen der an Abrufen beteiligten Stellen angemessen ist. Wesentliche Faktoren sind die Dringlichkeit und die Häufigkeit von Übermittlungen. Die Prüfung erfolgt im Rahmen der Vorabkontrolle nach § 14 Abs. 2.

Außerdem müssen beim einzelnen Abruf die Voraussetzungen für eine Übermittlung im Einzelfall gegeben sein.

7.2.1 Kontrollierbarkeit

Satz 1 verlangt nur, dass die Zulässigkeit des Abrufverfahrens, nicht jedoch des einzelnen Abrufs kontrolliert werden kann. Satz 2 schreibt vor, welche Einzelheiten vor Inbetriebnahme des Verfahrens schriftlich festzulegen sind.

7.2.2 Festlegungen bei automatisierten Abrufverfahren

Technische und organisatorische Maßnahmen haben die zum Abruf bereithaltende und die zum Abruf berechtigte Stelle zu treffen. Es ist Aufgabe der verantwortlichen Stelle, die einzelnen Benutzer (die einzelnen Mitarbeiterinnen und Mitarbeiter) der abrufenden Stelle zu identifizieren und deren Abrufberechtigung festzustellen. Einzelheiten dieser und aller weiteren Maßnahmen zur Sicherheit des Verfahrens sind bei der Vereinbarung des Abrufverfahrens von der verantwortlichen Stelle und der abrufenden Stelle festzulegen. Erforderlich sind solche Maßnahmen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen (§ 6 Abs. 1 Satz 2).

Wegen der prinzipiellen Angreifbarkeit des öffentlichen Wählnetzes, insbesondere des Telefonnetzes, können bei besonders sensiblen Daten anstelle von Wählanschlüssen auch festgeschaltete Leitungen erforderlich sein.

Die erforderlichen Festlegungen sind unter Berücksichtigung des Ergebnisses der Vorabprüfung (Nr. 14.2.1) durch den Beauftragten für den Datenschutz (Nr. 14a.4.2.2) zu treffen.

7.3 Vorabunterrichtung des Landesbeauftragten für den Datenschutz

Die Unterrichtung des Landesbeauftragten für den Datenschutz ist so rechtzeitig durchzuführen, dass er die Zulässigkeit des Verfahrens vor dessen Einrichtung prüfen kann. Die Unterrichtung erfolgt, sofern alle beteiligten Stellen seiner Kontrolle unterliegen, nur durch die Stelle, die die Daten zum Abruf bereithält. Für die Unterrichtung können Auszüge aus Entwürfen zum Verfahrensverzeichnis verwendet werden. Das Ergebnis der Vorabkontrolle sollte schriftlich festgehalten werden.

7.4 Protokollierung und Prüfung einzelner Abrufe

Die Prüfung der Zulässigkeit des einzelnen Abrufs kann grundsätzlich nur im Nachhinein, also nach erfolgtem Abruf, durch Auswertung von Abrufprotokollierungen erfolgen. Der Umfang der Protokollierung ist jeweils für das einzelne Abrufverfahren festzulegen. Zumindest für einen Teil der Abrufe werden Zeitpunkt und Inhalt (Anfragetext und Antworttext) sowie abrufende Stelle und abrufende Person dokumentiert. Eine Vollprotokollierung, d. h. eine lückenlose Protokollierung aller Abrufe mit allen genannten Details, ist grundsätzlich nicht gefordert. Gleichwohl kann sie unter besonderen Umständen geboten sein. Solche Umstände können sich aus der Sensibilität der gespeicherten Daten, der Art des Übertragungsweges, aus dem Benutzerkreis oder aus allen drei Kriterien ergeben. Selbst wenn alle Anforderungen des § 6 erfüllt sind, ist ein Eindringen über die Online-Verbindung in den Datenbestand durch Unbefugte nicht auszuschließen. Zwar dient die Einrichtung geeigneter Stichprobenverfahren der Gewährleistung der Kontrolle (durch den Landesbeauftragten für den Datenschutz oder die Aufsichtsbehörde), es ist aber vor allem Sache der verantwortlichen Stelle zu überprüfen, ob unbefugt auf die von ihr gespeicherten Daten zugegriffen wird. Dies schließt aber eine Schadenersatzpflicht der abrufenden Stelle für eintretende Schäden nicht aus.

Liegen keine besonderen Umstände vor, so erfolgt die Protokollierung in Form einer Auswahl oder ausschnittsweise, wobei sich die Ausschnitte auf Zeiträume, Benutzer oder Benutzergruppen, Datenarten oder Dateninhalte beziehen oder an definierte Ereignisse (z. B. Abrufhäufigkeit) anknüpfen können. Die Auswahl sollte flexibel und situationsangemessen sein. Eine statistisch gleichmäßige (repräsentative) Berücksichtigung des Gesamtaufkommens der Abrufe ist nicht geboten. Eine gezielte Auswahl nach bestimmten Kriterien, zu denen auch Zufallskriterien gehören können, erscheint am Wirkungsvollsten. Von entscheidender Bedeutung für die Missbrauchsprävention ist, dass die Art und Weise der Protokollierung nicht vorhersehbar ist; es muss immer das Risiko einer Protokollierung und Nachprüfung bestehen.

Die Protokolldaten müssen nicht in Papierform vorliegen; es reicht aus, wenn sie maschinenlesbar verfügbar sind.

Eine allgemeine Aussage, wie lange die Protokolle aufzubewahren sind, ist nicht möglich. Im Allgemeinen wird eine Aufbewahrungsdauer von längstens einem Jahr angemessen sein. Die verantwortliche Stelle muss in jedem Fall eine schriftliche Festlegung zur Aufbewahrungsdauer treffen.

7.5 Automatisierte Abrufe von allgemein zugänglichen Daten

Absatz 5 trifft Ausnahmeregelungen für den Abruf von allgemein zugänglichen Daten (z. B. Autorenverzeichnis einer öffentlichen Bibliothek; Nr. 2.1.3).

7.6 Abrufverfahren innerhalb öffentlicher Stellen

Bei Abrufverfahren innerhalb einer öffentlichen Stelle finden keine Übermittlungen an Dritte statt. Um Risiken für das Recht auf informationelle Selbstbestimmung bei dieser Form (stellen-)interner Datenweitergabe zu begegnen, ist bei der Einrichtung eines solchen Verfahrens eine Güterabwägung entsprechend Abs. 1 vorzunehmen. Ferner gelten Abs. 1 Satz 1 und 3 sowie Abs. 4 entsprechend. Auch ohne ausdrückliche Nennung des Abs. 5 unterliegt der interne Abruf von jedermann zugänglichen Daten keinen Beschränkungen.

8. Zu § 8 (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag)

§ 8 umfasst nur jene Fälle, in denen die tatsächliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten für eine andere Stelle erfolgt, der Auftraggeber aber für die Verarbeitung und deren Ergebnisse nach außen verantwortlich bleibt. Bedienen sich öffentliche Stellen zur Erledigung ihrer Aufgaben gemeinsamer Rechenzentren oder Rechenzentren anderer öffentlicher oder privater Stellen, liegt Auftragsdatenverarbeitung vor. Auftragsdatenverarbeitung ist auch gegeben bei externer Datenverarbeitung, Datenerfassung auf Datenträgern, Mikroverfilmung von Unterlagen, Vernichtung von Schriftgut und Datenträgern sowie bei der Auftragsarchivierung. Auftragsdatenverarbeitung liegt im Regelfall nicht vor, wenn personenbezogene Daten im Rahmen einer (teilweise) übertragenen Sachaufgabe erhoben, verarbeitet oder genutzt werden, z. B. bei der Berechnung und Zahlbarmachung von Personalausgaben durch eine zentrale Bezügestelle. Es handelt sich hierbei um Fälle der Funktionsübertragung.

Die Art der Rechtsbeziehung zwischen Auftraggeber und Auftragnehmer (Dienstvertrag, Werkvertrag, gemischtes Vertragsverhältnis) ist unbeachtlich.

§ 8 ist auch dann anwendbar, wenn der Auftragnehmer Daten in nichtautomatisierten Verfahren verarbeitet oder nutzt, weil das Gesetz nicht darauf abstellt, welches Verfahren angewendet wird.

Eine Handreichung zur Auslagerung von Aufgaben (Outsourcing) einschließlich Vertragsmuster ist unter http://www.sachsen-anhalt.de/LPSA/index.php?id=20554 abrufbar.

8.1 Verantwortlichkeit

Bei Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag bleibt der Auftraggeber verantwortliche Stelle. Er trägt die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften und bleibt Adressat der Rechte des Betroffenen. Bei ihm ist das Verfahrensverzeichnis (Nr. 14.3) zu führen.

8.2.1 Auswahl des Auftragnehmers

Dem Auftraggeber obliegt bei der Auswahl des Auftragnehmers eine besondere Sorgfaltspflicht.

8.2.2 Form und Inhalt des Auftrags

Der Auftrag ist schriftlich zu erteilen. Dies ist auch zu beachten, wenn eine nicht-öffentliche Stelle mit der Vernichtung von Akten betraut wird (Nr. 8.6.2). Zu den erforderlichen Festlegungen des Auftraggebers gehören unter anderem die Abgrenzung der Verantwortungsbereiche von Auftraggeber und Auftragnehmer, Regelungen des Verfahrens zum Test und zur Freigabe der Programme, Verfahren zur Fortschreibung, Änderung, Löschung und Sperrung sowie die Vorgabe der erforderlichen technischen und organisatorischen Maßnahmen nach § 6. Ist der Auftragnehmer eine nicht-öffentliche Stelle kann vereinbart werden, dass nur Beschäftigte eingesetzt werden, die nach dem Verpflichtungsgesetz verpflichtet sind; dies kommt insbesondere in Betracht, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, die durch Berufs- oder besondere Amtsgeheimnisse geschützt sind.

8.2.3 Auftragserteilung durch die Fachaufsichtsbehörde

Von der Möglichkeit der Auftragserteilung durch die Fachaufsichtsbehörde dürfte dann Gebrauch gemacht werden, wenn für nachgeordnete Behörden mit gleicher Aufgabenstellung der Auftragnehmer aus Rationalisierungsgründen ein einheitliches Verfahren anwenden soll. Der Umfang der Weisungsbefugnisse von Fachaufsichtsbehörden und verantwortlicher Stelle gegenüber dem Auftragnehmer ist eindeutig abzugrenzen.

8.3 Weisungsgebundenheit des Auftragnehmers

Der Auftragnehmer ist an die Weisungen des Auftraggebers gebunden. Den Auftragnehmer trifft aber eine Hinweispflicht gegenüber dem Auftraggeber und unter bestimmten Voraussetzungen eine Pflicht zur Information des Landesbeauftragten für den Datenschutz, wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt.

8.4 Öffentliche Stellen als Auftragnehmer

Da der Auftragnehmer in dieser Funktion nicht selbst verantwortliche Stelle ist, finden auf ihn nicht alle Vorschriften des DSG-LSA Anwendung. Soweit öffentliche Stellen des Landes als Auftragnehmer (öffentliche Auftragnehmer) tätig werden, haben sie die in Abs. 4 genannten Vorschriften zu beachten. Für die meisten anderen Auftragnehmer trifft § 11 Abs. 4 BDSG vergleichbare Regelungen.

8.5 Von öffentlichen Stellen “beherrschte” Auftragnehmer

Von Adressaten des DSG-LSA “beherrschte” privatrechtlich organisierte Auftragnehmer unterliegen der Kontrolle des Landesbeauftragten für den Datenschutz, soweit sie für öffentliche Stellen im Sinne des § 3 Abs. 1 personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Bei Auftragsdatenverarbeitung für nicht-öffentliche Stellen verbleibt es bei der Kontrollkompetenz der Aufsichtsbehörde nach § 38 BDSG.

8.6.1 Unterwerfung des Auftragnehmers

Der Auftraggeber hat vertraglich sicherzustellen, dass sich der Auftragnehmer, auf den das DSG-LSA nicht anzuwenden ist, der Kontrolle des Landesbeauftragten unterwirft.

Die Unterwerfung führt im Fall der Auftragsdatenverarbeitung bei Auftragnehmern innerhalb des Landes zu einer Doppelüberwachung. Zuständig kraft Gesetzes ist die Aufsichtsbehörde nach § 38 BDSG und aufgrund Unterwerfung zusätzlich der Landesbeauftragte für den Datenschutz. Bei Auftragnehmern außerhalb des Landes schafft die Unterwerfung eine Kontrollkompetenz des Landesbeauftragten für den Datenschutz. Allerdings wird er regelmäßig nicht außerhalb des Landes prüfen, weil eine Prüfung grundsätzlich im Wege der Amtshilfe durch die originär zuständige Kontrollinstanz durchgeführt werden kann. Dies entspricht den Zusammenarbeitsregelungen nach § 26 Abs. 4 BDSG und Art. 28 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31).

8.6.2 Unterrichtung des Landesbeauftragten für den Datenschutz über Auftragserteilung

Nach Satz 2 hat der Auftraggeber den Landesbeauftragten für den Datenschutz von der Auftragserteilung an einen Auftragnehmer, der nicht unter das DSG-LSA fällt, zu unterrichten. Diese Pflicht besteht auch, wenn eine nicht-öffentliche Stelle mit der Vernichtung von Akten betraut wird.

9. Zu § 9 (Datenerhebung)

9.1 Zulässigkeit der Datenerhebung

Öffentliche Stellen dürfen personenbezogene Daten nur für die jeweilige (Fach-) Aufgabe erheben. Die erhebende Stelle muss sowohl örtlich als auch sachlich zuständig sein. Die Zuständigkeit muss nicht durch Rechtsvorschrift begründet sein; sie kann auch auf einer Verwaltungsanordnung beruhen.

Bei der Beurteilung der Erforderlichkeit ist ein strenger Maßstab anzulegen. Die Erhebung ist auf das zum Erreichen des angegebenen Ziels erforderliche Minimum zu beschränken. Es ist jedoch möglich, mit Einwilligung der Betroffenen auch solche Daten zu erheben, die der Erfüllung der Aufgabe lediglich dienen oder sie erleichtern, z. B. Angabe der Telefonnummer durch einen Antragsteller. Eine Erhebung personenbezogener Daten auf Vorrat zu unbestimmten oder noch nicht bestimmbaren Zwecken ist unzulässig.

9.2.1 Erhebung bei Betroffenen

Aus dem Recht auf informationelle Selbstbestimmung ergibt sich grundsätzlich die Befugnis der Einzelnen, selbst über die Preisgabe ihrer personenbezogenen Daten zu entscheiden. Daher legt Abs. 2 Satz 1 fest, dass personenbezogene Daten grundsätzlich bei den Betroffenen selbst mit ihrer Kenntnis zu erheben sind. Ausnahmen hiervon sind die Erhebung bei Betroffenen ohne ihre Kenntnis (verdeckte Erhebung) sowie die Erhebung bei Dritten, z. B. Auskunftsersuchen an nicht-öffentliche Stellen und Übermittlungsersuchen an andere öffentliche Stellen.

9.2.2.1 Erhebung ohne Mitwirkung der Betroffenen aufgrund einer Rechtsvorschrift

Die Erhebung ohne Mitwirkung der Betroffenen ist zulässig, wenn eine besondere Rechtsvorschrift dies ausdrücklich vorsieht (z. B. § 15 Abs. 5 SOG LSA, § 13 Abs. 3 MG LSA). Ferner ist sie zulässig, wenn eine Rechtsvorschrift die Erhebung ohne Mitwirkung der Betroffenen nicht ausdrücklich regelt, aber nach ihrem Inhalt diese Erhebungsweise zwingend voraussetzt. Solche Regelungen finden sich insbesondere in Rechtsvorschriften, die vor dem Urteil des Bundesverfassungsgerichtes vom 15.12.1983 zum Volkszählungsgesetz – Volkszählungsurteil – (BVerfGE 65;1 = NJW 1984, 419) erlassen wurden (z. B. Auskunftspflicht nach § 95 LHO, ferner bezüglich der Vorfeldermittlungen der Steuerfahndung § 93 Abs. 1 Satz 3, § 208 Abs. 1 Nr. 3 Abgabenordnung -AO- i. d. F. der Bek. vom 1.10.2002, BGBl. I S. 3866; 2003 I S. 61, zuletzt geändert durch Art. 8 des Gesetzes vom 20.7.2007, BGBl. I S. 1566, in der jeweils geltenden Fassung).

9.2.2.2 Erhebung ohne Mitwirkung der Betroffenen aus sonstigen Gründen

Wann die zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder die Erhebung bei den Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, wird durch die Bezugnahme auf § 10 Abs. 2 konkretisiert (Nr. 10.2). Liegen zur Aufgabenerfüllung erforderliche Daten einer anderen öffentlichen Stelle vor und hat diese die Daten zum gleichen Zweck bei Betroffenen erhoben, für den die um Übermittlung ersuchende Behörde die Daten benötigt, ist eine nochmalige Erhebung bei Betroffenen grundsätzlich nach Abs. 2 Satz 2 Nr. 2 b entbehrlich.

9.2.2.2.1 Güterabwägung

Die schutzwürdigen Interessen lassen sich abstrakt nicht abschließend fassen. Gemeint ist die Persönlichkeitssphäre im weitesten Sinne; besonderes Gewicht haben verfassungsrechtlich geschützte Positionen der Betroffenen. Ob Interessen der Betroffenen überwiegend schutzwürdig sind, ist durch Abwägung der Interessen der öffentlichen Stelle mit denen der jeweils betroffenen Person festzustellen. Haben Betroffene der Verarbeitung der sie betreffenden Daten widersprochen, ist dies Anhaltspunkt dafür, dass ihre schutzwürdigen Interessen beeinträchtigt sein können (Nr. 4.4.1).

9.3 Hinweise bei der Datenerhebung bei Betroffenen

Sofern personenbezogene Daten bei Betroffenen erhoben werden, sind die Hinweise so zu geben, dass allen Anforderungen des Abs. 3 Satz 1 bis 3 entsprochen wird. Hierauf ist bei der Vordruckgestaltung zu achten. Ein Muster ist als Anlage 2 beigefügt. Nummer 4.2 Sätze 3 und 4 gelten entsprechend.

9.3.2 Pflicht oder Obliegenheit zur Auskunft und Folgen verweigerter Auskunft

Die Betroffenen sind in jedem Fall über die für die Erhebung einschlägige Rechtsvorschrift aufzuklären, ferner über die Folgen der Verweigerung von Angaben (z. B. Erfüllen eines Ordnungswidrigkeitentatbestandes, Ablehnung einer beantragten Leistung, eventuell verzögerte Bearbeitung wegen des Ausschlusses telefonischer Rückfragen bei Nichtangabe der Telefonnummer).

9.3.3.2 Zweck der Erhebung, Verarbeitung oder Nutzung

Der Zweck der Erhebung bestimmt sich nach der Aufgabe, für die die Daten erhoben werden (z. B. Vollzug baurechtlicher Vorschriften, Sicherung des Straßenverkehrs), nicht nach dem meist engeren Anlass der Erhebung (vgl. OVG Münster Urteil vom 5.12.1988 – 13 A 1885/88, NJW 1989 S. 2966). Öffentliche Aufgaben werden grundsätzlich durch das jeweilige Fachgesetz umschrieben.

Neben dem Zweck der Erhebung ist den Betroffenen auch der Zweck der nachfolgenden Nutzung oder Verarbeitung zu nennen.

9.3.3.3 Vorgesehene Übermittlungsempfänger

Bei der Unterrichtung über den Zweck der Verarbeitung sind Betroffene gleichzeitig über die Dritten, an die Übermittlungen vorgesehen sind, zu unterrichten. Eine uneingeschränkte Pflicht, über vorgesehene Übermittlungen an Sicherheitsbehörden zu unterrichten, besteht nicht. Die Unterrichtung hängt von der Zustimmung der genannten Sicherheitsbehörden ab. Nicht vorgesehen ist eine Unterrichtung über die Weitergabe personenbezogener Daten an Personen oder Stellen, die nicht Dritte (Nrn. 2.9 und 2.5.3) sind, z. B. an

a) Auftragsdatenverarbeiter oder

b) andere Organisationseinheiten innerhalb der verantwortlichen Stelle, sofern dies zur Erfüllung der Aufgabe der weitergebenden Organisationseinheit notwendig ist (z. B. Weitergabe der Antragsdaten innerhalb der Gemeinde an das Meldeamt). Über eine sonstige interne Datenweitergabe ist bei der Angabe des Zwecks zu unterrichten.

9.4 Hinweise bei der Datenerhebung bei Dritten

Bei der Datenerhebung bei Dritten ist, soweit es sich dabei um nichtöffentliche Stellen (Nr. 12.1) handelt, im Falle der Auskunftspflicht auch auf die Folgen der Verweigerung einer Auskunftserteilung hinzuweisen.

Benötigen Dritte zur Beurteilung des Auskunftsersuchens weitere Angaben (z. B. für die Prüfung der Übermittlungsvoraussetzungen) sind diese, um unzulässige Übermittlungen auszuschließen, auf das unbedingt erforderliche Maß zu beschränken. Die Übermittlungsbeschränkungen nach § 12 sind zu beachten.

9.5. Benachrichtigung der Betroffenen

Grundsätzlich hat eine Benachrichtigung der jeweils Betroffenen zu erfolgen, wenn personenbezogene Daten nicht bei ihnen erhoben worden sind. Von der Unterrichtung kann abgesehen werden, wenn

a) die Betroffenen auf andere Weise Kenntnis von der Verarbeitung ihrer Daten erlangen. Das ist z. B. der Fall, wenn die bei Dritten erhobenen Daten in einen Bescheid einfließen, der an die betroffene Person gerichtet ist,

b) der Informationswert für die Betroffenen den mit der Benachrichtigung verbundenen Aufwand der öffentlichen Stelle nicht rechtfertigt, oder

c) die Verarbeitung oder Nutzung durch Gesetz ausdrücklich vorgesehen und damit für die Betroffenen transparent ist.

Betroffene werden nicht benachrichtigt, wenn eine Auskunft nach § 15 Abs. 2 nicht erfolgt oder nach § 15 Abs. 4 unterbleibt.

10. Zu § 10 (Datenspeicherung, -ver- änderung und -nutzung)

10.1 Zulässigkeit27

Die Zulässigkeit des Speicherns, Veränderns oder Nutzens personenbezogener Daten ist daran geknüpft, dass es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben (Nr. 9.1) erforderlich ist und es für Zwecke erfolgt, für die die Daten erhoben worden sind.

10.1.1 Bindung an den Erhebungszweck

Ob das Speichern, Verändern oder Nutzen personenbezogener Daten im Rahmen des Erhebungszwecks liegt, ist im Falle der Einwilligung nach deren Inhalt zu prüfen. Ansonsten ist der Verwendungszweck regelmäßig in  iner Rechtsvorschrift festgelegt oder aus ihr ableitbar. Es kann sowohl sehr enge Zweckbindungen geben (z. B. bei Gesundheitsdaten), als auch weite, z. B. innerhalb der Steuerverwaltung. So dient die Weitergabe von Steuerdaten Steuerpflichtiger innerhalb des Finanzamtes oder deren Übermittlung an andere zuständige Finanzämter grundsätzlich dem einheitlichen Zweck der Steuererhebung bei Steuerpflichtigen.

Für die Annahme eines gemeinsamen Zwecks reicht es regelmäßig nicht aus, dass zwischen verschiedenen Aufgaben Ähnlichkeit besteht oder die Aufgaben in einem gewissen zeitlichen, räumlichen oder sachlichen Zusammenhang stehen.

10.1.2 Bindung an den Zweck der erstmaligen Speicherung

Als nicht erhoben gelten solche Daten, die der verantwortlichen Stelle ohne Anforderung zugegangen sind, z. B. unverlangte Mitteilungen Dritter oder auf Grund besonderer Rechtsvorschrift durch öffentliche Stellen übermittelte Daten.

10.1.2.1 Unzulässig zugegangene oder erhobene Daten

Bestehen in Fällen des Abs. 1 Satz 2 Anhaltspunkte dafür, dass die personenbezogenen Daten der verantwortlichen Stelle unter Verletzung datenschutzrechtlicher Vorschriften zugegangen oder von ihr erhoben worden sind, gilt Folgendes:

Die Pflicht zur Rechtmäßigkeit staatlichen Verwaltungshandelns verbietet grundsätzlich, bisher rechtswidrige Verfahrensweisen oder rechtswidrig zustande gekommene personenbezogene Datensammlungen durch den Beginn eines neuen Verwaltungsverfahrens mit dem Status der Rechtmäßigkeit zu versehen. Zwar gilt im Verwaltungsrecht nicht das im Strafprozess anerkannte enge Beweisverwertungsverbot (z. B. § 136a Abs. 3 Satz 2 StPO), doch kann schon aus dem Grundsatz der Einheitlichkeit der Rechtsordnung der darin zum Ausdruck kommende Rechtsgedanke nicht völlig ignoriert werden. Eine Speicherung, Veränderung und Nutzung solcher Daten ist auf jeden Fall dann ausgeschlossen, wenn die Daten von der öffentlichen Stelle nicht auch auf zulässige Weise hätten erlangt werden können.

10.2 Allgemeine Zweckdurchbrechungstatbestände

Absatz 2 regelt, in welchen Fällen die Zweckbindung im überwiegenden Allgemeininteresse oder im Interesse Betroffener durchbrochen werden darf. Es besteht aber keine Verpflichtung zur Zweckänderung. Die verantwortliche Stelle entscheidet über die Zweckänderung – auch ohne ausdrückliche Erwähnung im DSG-LSA – unter Beachtung des Grundsatzes der Verhältnismäßigkeit.

10.2.1 Rechtsvorschrift

Soweit eine Rechtsvorschrift die Zweckänderung ausdrücklich vorsieht, geht diese Vorschrift gemäß § 3 Abs. 3 vor.

10.2.2 Einwilligung

Die Zulässigkeit der Zweckänderung mit Einwilligung Betroffener ergibt sich auch aus § 4 Abs. 1.

10.2.3 Mutmaßliche Einwilligung

Nummer 3 stellt die Betroffenen von sie belastenden Mehrfacherhebungen frei und kommt grundsätzlich nur zur Anwendung, wenn den jeweils Betroffenen aus der Zweckänderung der Daten ausschließlich Vorteile erwachsen. Dies ist nicht der Fall, wenn Betroffene wegen der Verletzung einer gesetzlichen Auskunftspflicht oder Obliegenheit belangt werden können.

10.2.4 Prüfung von Angaben Betroffener

Nummer 4 lässt, soweit erforderlich eine Zweckänderung zur Prüfung von Angaben der Betroffenen in anderen Verfahren zu. Es müssen tatsächliche Anhaltspunkte für die Unrichtigkeit der Angaben bestehen, z. B. der begründete Verdacht der Leistungserschleichung. Nicht zulässig ist ein Abgleich zwischen verschiedenen Datenbeständen, um solche Verdachtsfälle zu ermitteln; in solchen Fällen mag es zwar tatsächliche Anhaltspunkte für die Erschleichung von Leistungen geben, sie liegen aber (noch) nicht in der Person der Betroffenen.

10.2.5 Allgemein zugängliche Daten (Nr. 2.1.3)

Allgemein zugängliche Quellen sind insbesondere Veröffentlichungen in Zeitungen, im Rundfunk oder in Telefonbüchern und Adressbüchern. Schutzwürdige Interessen der Betroffenen an dem Ausschluss der Zweckänderung überwiegen offensichtlich, wenn es sich z. B. um Daten über Vorstrafen handelt und ihre zeitlich unbeschränkte Verwendung die Resozialisierung gefährdet, Urteil des BVerfG vom 5.6.1973 (BVerfG 35,202). Dies gilt in besonderem Maße, wenn ein Verwertungsverbot nach § 51 des Bundeszentralregistergesetzes i. d. F. der Bek. vom 21.9.1984 (BGBl. I S. 1229), zuletzt geändert durch Art. 2 Abs. 3 des Gesetzes vom 17.3.2007 (BGBl. I S. 314), in der jeweils geltenden Fassung besteht.

10.2.6.1 Gemeinwohl oder Gefahrenabwehr

Wann eine Zweckänderung aus Gründen des Gemeinwohls erforderlich ist, muss unter Berücksichtigung der höchstrichterlichen Rechtsprechung zum Gemeinwohl oder zum Wohl der Allgemeinheit ermittelt werden. Der abstrakte Rechtsbegriff des Gemeinwohls deckt eine Vielzahl von Sachverhalten und Zwecken ab; er bedarf daher der Konkretisierung im einzelnen Fall (BVerfGE 24, 367, 403). Der Begriff lässt sich nicht für alle denkbaren Fälle verlässlich bestimmen. Vielmehr ist von Fall zu Fall zu prüfen, ob übergeordnete Gründe vorliegen, die eine Beeinträchtigung von Einzelinteressen rechtfertigen. Dabei ist die Beachtung der Normen, die das Zusammenleben der Menschen verbindlich regeln und deren Beachtung im Ganzen als überragend notwendig angesehen werden muss, höher einzustufen als das Individualinteresse.

Es reicht nicht jeder Nachteil für das Gemeinwohl aus, die Zweckänderung zu rechtfertigen. Erforderlich ist die Abwehr eines erheblichen Nachteils. Hierzu ist eine Güterabwägung vorzunehmen, ob die Zweckänderung personenbezogener Daten zur Erreichung des Zwecks geeignet und erforderlich ist und bei einer Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht der ihn rechtfertigenden Gründe die Grenze des Zumutbaren noch gewahrt ist (BVerfGE 71, 183, 196 und BVerwGE 78, 77, 85). Bei einem lediglich fiskalischen Nachteil dürfte nur im Ausnahmefall eine Zweckänderung zulässig sein.

Soweit eine Zweckänderung zur Abwehr einer sonstigen gegenwärtigen erheblichen Gefahr für die öffentliche Sicherheit zugelassen ist, wird auf die entsprechenden Begriffsbestimmungen in § 3 Nrn. 1, 3b, c SOG LSA und die Ausführungsbestimmungen hierzu (RdErl. des MI vom 24.11.1993, MBl. LSA 1994 S. 14, zuletzt geändert durch RdErl. vom 2.9.2001, MBl. LSA S. 893) verwiesen.

10.2.7 Verfolgung von Straftaten oder Ordnungswidrigkeiten

Eine Zweckänderung für Zwecke der Verfolgung von Straftaten oder Ordnungswidrigkeiten liegt nicht vor, wenn die öffentliche Stelle im Rahmen ihrer ureigenen Aufgabenstellung Ordnungswidrigkeiten verfolgt oder Straftaten zur Anzeige bringt. Adressaten dieser Regelung sind grundsätzlich diejenigen öffentlichen Stellen, die nicht originär mit Aufgaben der Strafverfolgung und der Ahndung von Ordnungswidrigkeiten betraut sind. DieBefugnisse der Polizei und Staatsanwaltschaft ergeben sich aus der StPO.

10.2.8 Schwerwiegende Beeinträchtigung anderer

Nicht jede Beeinträchtigung der Rechte einer anderen Person rechtfertigt eine Zweckänderung. Eine schwerwiegende Beeinträchtigung ist vor allem anzunehmen bei der Gefährdung bedeutsamer Rechtsgüter wie Leben, Gesundheit, Freiheit, nicht unwesentlicher Vermögenswerte sowie anderer strafrechtlich geschützter Güter. Es muss eine hinreichende Wahrscheinlichkeit geben, dass der Schaden in absehbarer Zeit eintritt oder der Schaden muss bereits entstanden sein. Bei der Güterabwägung der widerstreitenden Interessen muss das rechtliche Interesse privater Dritter das Interesse der jeweils betroffenen Person am Ausschluss der Zweckänderung überwiegen. Ein rechtliches Interesse besteht, wenn Dritte personenbezogene Daten Betroffener zur Verfolgung von Rechten benötigen.

10.2.9 Forschung

Aus Art. 5 des Grundgesetzes ergibt sich kein subjektives Recht, zu Zwecken der Forschung personenbezogene Daten zu erhalten. Die widerstreitenden Interessen zweier Grundrechtsträger, der Forscher und der Betroffenen, sind in der Weise in praktische Konkordanz zu bringen, dass das wissenschaftliche Interesse das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegen muss.

Der Zweck der Forschung darf auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden können. Hierfür ist der Aufwand an Zeit, Kosten und Arbeitskraft in Relation zum Nutzen zu stellen. Reichen für das Forschungsvorhaben aggregierte oder anonymisierte Daten aus und sind diese vorhanden oder lassen sie sich ohne unverhältnismäßigen Aufwand durch die verantwortliche Stelle herstellen, ist eine Übermittlung personenbezogener Daten für Forschungszwecke ausgeschlossen. Gegebenenfalls kann die Anonymisierung im Wege der Auftragsdatenverarbeitung herbeigeführt werden.

10.3 Zweckidentität

10.3.1 Aufsichts- und Kontrollbefugnisse

Eine Zweckänderung liegt nicht vor, wenn personenbezogene Daten zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen verarbeitet oder genutzt werden.

Die Einschränkung auf Organisationsuntersuchungen für die verantwortliche Stelle schließt nicht aus, dass diese Untersuchungen durch dienst- oder fachaufsichtsführende Stellen durchgeführt werden. Im Rahmen der Ressortverantwortung ist es Sache der Ministerien, die Aufgabenerledigung im nachgeordneten Bereich zu steuern und zu beaufsichtigen.

10.3.2 Ausbildungs- und Prüfungszwecke

Eine Zweckänderung liegt auch dann nicht vor, wenn innerhalb der verantwortlichen Stelle personenbezogene Daten zu Ausbildungs- und Prüfungszwecken verarbeitet oder genutzt werden; überwiegende schutzwürdige Interessen der Betroffenen dürfen jedoch nicht entgegenstehen (Nr. 9.2.2.2.1). Vorbehaltlich bereichsspezifischer Regelungen ist somit ausgeschlossen, dass Originalakten mit personenbezogenem Inhalt ohne Anonymisierung auch außerhalb der verantwortlichen Stelle zu Ausbildungszwecken verwendet werden.

10.4 Zweckbindung von Daten, die aus Gründen der Datenschutzkontrolle oder der Datensicherung gespeichert sind

Eine Zweckänderung personenbezogener Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherung des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, liegt nicht vor, wenn diese Daten zur dienst-, arbeits-, haftungsoder strafrechtlichen Ahndung bei der Kontrolle aufgedeckter Verstöße verwendet werden.

Anders als nach § 22 Abs. 3 SOG LSA ist eine Zweckänderung zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person nicht ausdrücklich zugelassen. In einem solchen Fall muss eine Berufung auf rechtfertigenden Notstand (§ 34 StGB) erfolgen. Aufgrund des Vorrangs des Bundesrechts steht Abs. 4 einer Beschlagnahme nach § 94 StPO nicht entgegen.

Unter Datensicherung versteht das Gesetz hier die Gesamtheit der Maßnahmen im Sinne des § 6.

11. Zu § 11 (Datenübermittlung an öffentliche Stellen)

11.1 Zulässigkeit

Absatz 1 lässt im Prinzip eine Übermittlung personenbezogener Daten innerhalb des öffentlichen Bereichs materiell unter den gleichen Voraussetzungen zu, die auch für die Speicherung, Veränderung und Nutzung innerhalb der verantwortlichen Stelle nach § 10 gelten. Nach Nr. 2 muss die Übermittlung im Rahmen des Erhebungszwecks liegen; anderenfalls müssen die Voraussetzungen für eine Zweckänderung im Sinne des § 10 Abs. 2 erfüllt sein.

11.1.1.1 Übermittlung in Erfüllung einer eigenen Aufgabe

Eine Übermittlung gehört zu den eigenen Aufgaben der verantwortlichen (übermittelnden) Stelle, wenn dieser Stelle Benachrichtigungs- oder Beteiligungspflichten obliegen (z. B. Pflicht zur Beteiligung anderer Behörden im Rahmen der Erteilung einer Baugenehmigung). Gleiches gilt dann, wenn die verantwortliche Stelle Daten ohne Ersuchen bei Vorliegen der Voraussetzungen des § 10 Abs. 2 Nr. 6 bis 8 übermittelt.

11.1.1.2 Übermittlung zur Erfüllung von Aufgaben Dritter

Für die Erforderlichkeit einer Übermittlung nach Nr. 1, zweite Alternative, kommt es darauf an, ob der Dritte, an den die Daten übermittelt werden, auf die Kenntnis der Daten angewiesen ist. Nicht entscheidend ist, ob er die Daten auch auf andere Weise erhalten kann.

Bei einer Übermittlung auf Ersuchen kann grundsätzlich davon ausgegangen werden, dass seitens des Dritten geprüft worden ist, dass die Daten nicht vorrangig bei Betroffenen zu erheben sind (Nr. 9.2). Bei der Übermittlung auf Ersuchen liegt grundsätzlich Amtshilfe vor. Das Übermittlungsersuchen ist, soweit nicht bereichsspezifische Regelungen wie §§ 111 bis 115 AO 1977 oder §§ 3 bis 7 SGB X eingreifen, nach §§ 4 bis 8 VwVfG LSA zu behandeln. Sind die Voraussetzungen für eine Zweckänderung nicht erfüllt, steht der Leistung von Amtshilfe ein rechtlicher Hinderungsgrund im Sinne des § 5 Abs. 2 Satz 1 Nr. 1 VwVfG LSA entgegen. Hält sich die ersuchte Stelle nicht für verpflichtet, dem Übermittlungsersuchen nachzukommen, verfährt sie nach § 5 Abs. 5 VwVfG LSA.

11.2 Verantwortung für die Zulässigkeit

Die Verantwortung ist geteilt zwischen der übermittelnden Stelle und dem Dritten, an den die Daten übermittelt werden. Soweit die Übermittlung Amtshilfe ist, wird eine teilweise von § 7 VwVfG LSA abweichende Regelung zur Verantwortungsteilung getroffen.

Nach Satz 1 trägt die Verantwortung für die Zulässigkeit der Übermittlung grundsätzlich die übermittelnde Stelle. Bei Übermittlungen auf Ersuchen weist Satz 2 dem Dritten, an den die Daten übermittelt werden, die Verantwortung für die Zulässigkeit der Übermittlung zu. Satz 3 verpflichtet die übermittelnde Stelle dann nur zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Dritten liegt. Hierzu ist die verantwortliche Stelle grundsätzlich auf entsprechende Darlegungen der ersuchenden Stelle angewiesen.

Das Übermittlungsersuchen muss so abgefasst sein, dass die ersuchte Stelle erkennen kann, ob die Übermittlung im Rahmen des Erhebungszwecks liegt oder die Voraussetzungen für eine Zweckänderung vorliegen. Für die Darlegung gilt der Grundsatz: Soviel Informationen wie nötig, so wenig Informationen wie möglich. Eine weitergehende Prüfung der Zulässigkeitsvoraussetzungen stellt die ersuchte Stelle nur dann an, wenn dazu besonderer Anlass besteht, z. B. bei Zweifeln, ob der Dritte, an den die Daten übermittelt werden, die Daten speichern darf.

Fernmündliche Übermittlungen sind nur zulässig, soweit sich die mit der Übermittlung betraute Person von der Identität der Person, an die übermittelt wird, durch Rückruf vergewissert hat. Bei Übermittlungen per Telefax sollte auch geprüft werden, ob der Adressat unter der bekannten Anschlussnummer erreichbar ist.

11.3 Zweckbindung übermittelter Daten

Nach Satz 1 darf der Dritte, an den die Daten übermittelt werden, die übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Der Hinweis auf § 9 Abs. 1 und 2 bedeutet, dass bei der Verwendung personenbezogener Daten durch den Dritten, insbesondere bei der Übermittlung über mehrere Stufen, der Verwendungszweck von dem ursprünglichen Erhebungszweck nicht so stark abweichen darf, dass Betroffene nicht mehr nachvollziehen können, wer was wann und bei welcher Gelegenheit über sie wissen kann (BVerfGE 65, 1, 43).

Im Übrigen lässt Satz 2 zu, dass der Dritte, an den die Daten übermittelt werden, unter den Voraussetzungen des § 10 Abs. 2 die übermittelten Daten für andere Zwecke verarbeitet oder nutzt als den Übermittlungszweck.

11.4 Kirchen, Religionsgesellschaften und Weltanschauungsgemeinschaften des öffentlichen Rechts

Kirchen, Religionsgesellschaften und Weltanschauungsgemeinschaften des öffentlichen Rechts werden bei der Übermittlung wie Stellen innerhalb des öffentlichen Bereichs behandelt. An sie können unter den gleichen Voraussetzungen wie an öffentliche Stellen personenbezogene Daten übermittelt werden; sie müssen aber ausreichende Datenschutzmaßnahmen getroffen haben. Diese Anforderung ist bei den im Bezugserl. zu a genannten öffentlich-rechtlichen Religionsgesellschaften ohne weitere Prüfung durch die verantwortliche Stelle als erfüllt anzusehen.

Nicht zu den Stellen im Sinne des Abs. 4 gehören die privatrechtlich organisierten Einrichtungen und Werke der Kirchen (z. B. Diakonisches Werk, Caritas). An diese Stellen erfolgen Übermittlungen wie an andere Stellen außerhalb des öffentlichen Bereichs.

11.5 Nicht abtrennbare Daten

Bei der herkömmlichen Informationsverarbeitung in Akten sind weitere personenbezogene Daten der Betroffenen oder Dritter häufig so eng mit den zu übermittelnden Daten verbunden, dass sie bei der Übermittlung nicht oder nur mit unvertretbarem Aufwand voneinander getrennt werden können (z. B. Angaben zu verschiedenen Verfahren oder Personen auf einem einzelnen Blatt; Querverweise innerhalb einer Akte, die zum Verständnis und der richtigen Bewertung einer Information erforderlich sind). In einem solchen Fall kann es unmöglich sein, bei einer Übermittlung die überschüssigen Informationen abzutrennen. Denkbar ist auch, dass die Abtrennung der überschüssigen Informationen nur mit unverhältnismäßigem Aufwand (Nr. 10.2.9) möglich ist. Diese Voraussetzung ist nicht erfüllt, wenn die überschüssigen Informationen ohne besondere Umstände durch Übersendung nur eines Teils der Akte oder auszugsweiser Kopien abgetrennt werden können.

Überschüssige Informationen dürfen nicht mitübermittelt werden, soweit berechtigte Interessen (gleichzusetzen mit schutzwürdigen Interessen im Sinne von Nr. 9.2.2.2.1) der betroffenen Person oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen. Überschüssige Informationen dürfen von dem Dritten, an den übermittelt wurde, nicht verarbeitet oder genutzt werden.

Für personenbezogene Daten aus ehemaligen Einrichtungen (§ 33) trifft § 34 Abs. 3 eine abweichende und strengere Regelung.

Die Regelungen des Abs. 5 gelten nicht für Übermittlungen an Stellen öffentlich-rechtlicher Religionsgesellschaften.

11.6 Stelleninterne Weitergabe

Absatz 6 überträgt die Regelung des Abs. 5 Satz 1 auf Fälle der Weitergabe überschüssiger Informationen innerhalb einer öffentlichen Stelle (Nr. 2.6).

12. Zu § 12 (Datenübermittlung an nicht-öffentliche Stellen)

12.1 Zulässigkeit der Übermittlung

§ 12 begründet keinen Anspruch privater Dritter auf Übermittlung personenbezogener Daten. Wenn sich ein solcher Anspruch nicht aus anderen Rechtsvorschriften ergibt, steht die Übermittlung bei Vorliegen der übrigen Voraussetzungen im pflichtgemäßen Ermessen der verantwortlichen Stelle.

12.1.1 Übermittlung als Aufgabe der übermittelnden Stelle

Gehört die Datenübermittlung zu den eigenen Aufgaben der übermittelnden Stelle, ist diese unter den gleichen Voraussetzungen zulässig wie innerhalb des öffentlichen Bereichs (Nr. 11.1.1.1).

12.1.2 Übermittlung im Interesse der Stelle, an die übermittelt wird

Bei Übermittlungen, die nicht zur Aufgabenerfüllung der übermittelnden Stelle erforderlich sind, muss nach Nr. 2 zwischen den berechtigten Interessen des Dritten, an den die Daten übermittelt werden, und den schutzwürdigen Interessen der jeweils betroffenen Person abgewogen werden. Grundsätzlich muss die Interessenabwägung in jedem Einzelfall nach dem Verhältnismäßigkeitsprinzip vorgenommen werden. Gruppen- und Massenauskünfte, z. B. zu Werbezwecken, sind wegen fehlender Einzelabwägung in der Regel nicht zulässig.

Als berechtigtes Interesse ist jedes ideelle oder wirtschaftliche Interesse anzusehen, das mit der Rechtsordnung in Einklang steht. Das berechtigte Interesse muss an Hand des Zwecks, zu dem die Kenntnis der Daten erstrebt wird, beurteilt werden. Der Dritte, an den die Daten übermittelt werden, muss ein eigenes Interesse an der Kenntnis der Daten haben.

Der Dritte, an den die Daten übermittelt werden, hat sein berechtigtes Interesse an der Kenntnis der Daten nicht zu beweisen, sondern lediglich glaubhaft zu machen. Das bedeutet, dass die Tatsachen, aus denen sich das berechtigte Interesse ergibt, nicht zur vollen Überzeugung der übermittelnden Stelle feststehen müssen; es reicht vielmehr aus, dass nach ihrer Wertung eine überwiegende Wahrscheinlichkeit hierfür besteht. Der Dritte, an den die Daten übermittelt werden, kann sich zur Glaubhaftmachung aller Beweismittel bedienen (§ 294 Abs. 1 der Zivilprozessordnung – ZPO).

12.3.1 Vorherige Unterrichtung

Die Betroffenen gehen grundsätzlich davon aus, dass öffentliche Stellen über sie gespeicherte personenbezogene Daten nicht außerhalb der eigenen Aufgabenstellung an nichtöffentliche Stellen übermitteln. Wird hiervon nach Abs. 1 Nr. 2 abgewichen, ist die übermittelnde Stelle grundsätzlich verpflichtet, die jeweils Betroffenen von der beabsichtigten Übermittlung vorher unter Hinweis auf die Möglichkeit, Einwendungen (Nr. 4.4.1) zu erheben, zu unterrichten.

Die Unterrichtung unterbleibt, wenn durch sie eine Vereitelung von Rechtsansprüchen zu befürchten wäre (z. B. Wegzug eines Schuldners mit unbekannter Adresse).

12.3.2 Ausschluss der vorherigen Unterrichtung

Die Pflicht zur Unterrichtung besteht nicht, wenn damit zu rechnen ist, dass die Betroffenen auf andere Weise Kenntnis von der Übermittlung erlangen. Hiervon ist z. B. auszugehen, wenn sich der Dritte, an den die Daten übermittelt werden, mit der betroffenen Person in Verbindung setzt. Auch in einem solchen Fall ist unter Berücksichtigung der Interessenlage der jeweils Betroffenen und der Sensibilität der Daten zu prüfen, ob der Verzicht auf die vorherige Unterrichtung der betroffenen Person vertretbar erscheint.

12.4 Zweckbindung

Nach Satz 1 darf der Dritte, an den die Daten übermittelt werden, die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dem sie ihm übermittelt worden sind. Auf diese Zweckbindung ist nach Satz 2 durch die verantwortliche (übermittelnde) Stelle hinzuweisen. Nach Satz 3 kann die übermittelnde Stelle einer Zweckänderung zustimmen, wenn sie die Daten auch für den anderen Zweck übermitteln dürfte. Die Nichtbeachtung der Zweckbindung steht nach § 31 Abs. 2 Nr. 2 unter Strafandrohung oder kann nach § 31a Abs. 2 Nr. 1 als Ordnungswidrigkeit verfolgt werden.

13. Zu § 13 (Datenübermittlung ins Ausland sowie an über- oder zwischenstaatliche Stellen)

13.1. Gleichstellung ausländischer mit inländischen Stellen

Die Übermittlung an öffentliche und nicht-öffentliche Stellen innerhalb der Europäischen Union, an entsprechende Stellen in Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vom 2.5.1992 (BGBl. II 1993 S. 266), die nicht zugleich EUStaaten sind (Nr. 2.9.2), sowie an Einrichtungen der Europäischen Gemeinschaften ist unter den gleichen materiellen Voraussetzungen zulässig, die für Übermittlungen im Inland gelten.

13.2 Übermittlung an ausländische Stellen, die nicht gleichgestellt sind

13.2.1 Keine Differenzierung zwischen öffentlichen und nicht-öffentlichen Stellen

Für die Übermittlung an andere als unter Nr. 13.1. aufgeführte Stellen gelten regelmäßig die gleichen Grundsätze wie für Übermittlungen an nicht-öffentliche Stellen. Es wird nicht danach unterschieden, ob die Stelle, der Daten übermittelt werden, eine öffentliche oder nicht-öffentliche Stelle ist. Der Verzicht auf die Unterscheidung reduziert Verwaltungsaufwand. Außerdem wird verhindert, dass entsprechende ausländische öffentliche Stellen bei der Übermittlung privilegiert sind.

13.2.2 Angemessenes Datenschutzniveau

Die Stelle, an die Daten übermittelt werden, muss grundsätzlich über ein angemessenes Datenschutzniveau verfügen. Ein angemessenes Datenschutzniveau ist gegeben, wenn unter Berücksichtigung aller Umstände, die bei der Übermittlung bedeutsam sind, wie der Art der Daten, der Zweckbestimmung und der im Empfängerland geltenden Rechtsvorschriften, Standesregeln und Sicherheitsmaßnahmen, ein dem innereuropäischen Standard gleichwertiger Schutz personenbezogener Daten gegeben ist.

13.2.3 Fehlendes angemessenes Datenschutzniveau

Die Fälle, in denen eine Übermittlung in ein Drittland erfolgen darf, das über kein ausreichendes Datenschutzniveau verfügt, sind in § 13 Abs. 2 Satz 3 abschließend aufgeführt.

13.2a Sonderregelungen

Absatz 2a stellt klar, dass die in §§ 25 bis 30a getroffenen Sonderregelungen auch bei der Übermittlung an ausländische Stellen zu beachten sind.

13.3 Verantwortlichkeit

Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle, und zwar auch im Fall des Abs. 1. Dies gilt vorbehaltlich besonderer Rechtsvorschriften auch für Übermittlungen auf Grund supranationalen Rechts oder eines ratifizierten Staatsvertrages.

Zu 14. Zu § 14 (Durchführung des Datenschutzes)

14.1.1 Verantwortlichkeit für die Durchführung des Datenschutzes

Datenschutz ist Teil jeder (Fach-) Aufgabe. Dementsprechend liegt die Pflicht zur Einhaltung datenschutzrechtlicher Vorgaben grundsätzlich bei jeder verantwortlichen Stelle selbst.

Besonderes Gewicht hat der Gesetzgeber der Selbstkontrolle der Verwaltung beigemessen. Aus diesem Grund haben die obersten Landesbehörden und die sonstigen in Satz 1 genannten Stellen jeweils für ihren Organisationsbereich die Ausführung des DSGLSA sowie anderer Vorschriften über den Datenschutz sicherzustellen. Es müssen die organisatorischen Voraussetzungen für eine effektive Durchsetzung des Datenschutzes geschaffen werden. Aus der Verantwortung für die Sicherstellung des Datenschutzes folgt auch die Pflicht sicherzustellen, dass nur solche automatisierten Verfahren eingesetzt werden, die mit den Rechtsvorschriften über den Datenschutz in Einklang stehen. Orientierungshilfen für eine diesbezügliche Prüfung können sich aus Empfehlungen, Checklisten ergeben, die von den Datenschutzbeauftragten des Bundes und der Länder ins Internet eingestellt sind.

14.1.2 Unterrichtung des Landesbeauftragten für den Datenschutz

Um bei grundlegenden Planungen des Landes zum Aufbau oder zur Änderung von automatisierten Verfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Vorkehrungen zum Datenschutz treffen zu können, besteht die Pflicht, den Landesbeauftragten für den Datenschutz rechtzeitig und unaufgefordert zu unterrichten. Dabei ist der zuständige Beauftragte für den Datenschutz nach § 14a einzubinden. Die frühzeitige Einbindung des Landesbeauftragten für den Datenschutz bei grundlegenden Planungen bietet die Möglichkeit, dass die in der jeweiligen Projektierungs- und Realisierungsphase aus rechtlicher und technischer Sicht zu beachtenden Anforderungen des Datenschutzes nicht vernachlässigt werden. Hierdurch kann späteren zeit- und kostenaufwändigen Umplanungen entgegengewirkt werden. Die Unterrichtung ist an keine besondere Form gebunden.

Grundlegend sind solche Planungen, die den Aufbau oder die wesentliche Änderung bedeutsamer Automationsverfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen. Als bedeutsam sind  Verfahren insbesondere dann anzusehen, wenn sie landesweit oder ressortübergreifend zur Anwendung kommen (z. B. Personalverwaltungsoder Dokumentenmanagementsysteme). Gleiches gilt für ressortspezifische Anwendungen, wenn sehr große Datenmengen bzw. die Daten einer Vielzahl von Personen verarbeitet werden (z. B. bei zu Übermittlungszwecken geführten Registern). Erfasst werden auch Planungen zur Gestaltung der technischen Infrastruktur, wie z. B. des eGovernment-Konzepts, soweit es um die Prüfung der Erforderlichkeit oder die Realisierung technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheitsziele des § 6 Abs. 2 im Allgemeinen geht. Die Unterrichtung über die anstehende Einrichtung von Abrufverfahren nach § 7 Abs. 3 bleibt unberührt.

Am Beispiel des eGovernmentMaßnahmeplans bedeutet dies: Die Unterrichtung obliegt der Stelle, die das jeweilige Verfahren plant oder ändert. So ist entsprechend dem eGovernment-Aktionsplan des Ministerium des Innern für die Bereitstellung der Basiskomponenten verantwortlich. Dem jeweiligen Fachressort obliegt dagegen die Zuständigkeit für die Umsetzung der einzelnen Leitprojekte. Die Regelung erfasst nicht Träger der Selbstverwaltung; diese sind aber nicht gehindert, entsprechend § 14 Abs. 1 Satz 2 zu verfahren. Dies gilt insbesondere in Fällen, in denen eine Beratung durch den Landesbeauftragten für den Datenschutz nach § 22 Abs. 4 gewünscht wird.

Unberührt bleibt die Verpflichtung der Ministerien nach § 40 Satz 2 der Gemeinsamen Geschäftsordnung der Ministerien – Allgemeiner Teil – (GGO LSA I, Beschluss der LReg. vom 15.3.2005, MBl. LSA S. 207, 231, zuletzt geändert durch Beschluss vom 6.3.2007, MBl. LSA S. 323), den Landesbeauftragten für den Datenschutz beim Erlass von allgemeinen Regelungen, insbesondere von Rechtsvorschriften, zu beteiligen, soweit die Verarbeitung personenbezogener Daten geregelt werden soll.

14.2 Vorabkontrolle

Regelmäßig wird die Vereinbarkeit von Verfahren mit dem Datenschutz im Rahmen ihrer Freigabe geprüft. Das Gesetz verzichtet auf formelle Festlegungen zur Freigabe für die Mehrzahl der Verfahren. Abstrakte Festlegungen könnten die Besonderheiten der einzelnen Verfahren nicht ausreichend berücksichtigen. Eine gesonderte Vorabprüfung ist nur vorgesehen, wenn mit personenbezogenen Daten besonderer Art (Nr. 2.1.2) umgegangen wird oder das Erheben, Verarbeiten oder Nutzen darauf gerichtet ist, die Persönlichkeit Betroffener zu bewerten (§ 4a). Ferner ist die Vorabkontrolle für automatisierte Abrufverfahren (§ 7) und den Einsatz mobiler personenbezogener Datenträger (§ 25) vorgeschrieben. Hierbei ist zu prüfen, ob das Verfahren datenschutzrechtlich zulässig ist und die vorgesehenen technischen und organisatorischen Maßnahmen ausreichen. Grundlage der Vorabprüfung sind die in § 23 Abs. 1 Satz 2 Nr. 1 genannten Unterlagen sowie Entwürfe für das Verfahrensverzeichnis. Vorabkontrollen sind auch im Anwendungsbereich des SOG und des VerfSchG LSA durchzuführen.

14.3 Verfahrensverzeichnis

Absatz 3 verpflichtet die verantwortlichen Stellen, über die eingesetzten automatisierten Verfahren, mit deren Hilfe personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ein Verzeichnis zu führen. Geführt wird es grundsätzlich durch Beauftragte für den Datenschutz (Nr. 14a.4.1). Die Festlegungen, die im Verfahrensverzeichnis zu treffen sind, ergeben sich aus Satz 1 Nrn. 1 bis 9. Es wird empfohlen, das Verfahrensverzeichnis nach dem Muster der Anlage 3 zu führen. Die Führung kann auch in automatisierter Form erfolgen. Auf die Übergangsregelungen des § 32 zu früheren Dateifestlegungen nach § 14 Abs. 2 Satz 2, Errichtungsanordnungen nach § 33 Abs. 1 SOG LSA und Dateianordnungen nach § 13 Abs. 1 VerfSchG LSA wird verwiesen (Nr. 32.1.1).

Nach Satz 2 können die Festlegungen zum Verfahrensverzeichnis auch zentral von den in Abs. 1 genannten Stellen für ihren Organisationsbereich getroffen werden. Diese Möglichkeit dient der Verwaltungsvereinfachung, insbesondere wenn mehrere Stellen gleiche Verfahren betreiben. Zentrale Festlegungen müssen der jeweiligen verantwortlichen Stelle zugänglich sein, z.B. in Form von Abdrucken.

Für Verbunddateien, die beim Bundeskriminalamt oder dem Bundesamt für Verfassungsschutz geführt werden, reicht es aus, eine Kopie der entsprechenden Errichtungs- oder Dateianordnung, die die zuständige Bundesbehörde erstellt hat, zum Verfahrensverzeichnis zu nehmen.

14.4 Ausnahmen von der Aufnahme in das Verfahrensverzeichnis

Absatz 4 nimmt einzelne Verfahren von der Pflicht zur Aufnahme in das Verfahrensregister aus.

14.4.1 Register

Nummer 1 betrifft zur Information der Öffentlichkeit bestimmte Register, deren Führung aufgrund von Rechtsvorschriften vorgesehen ist (z. B. Grundbuch). Durch diese Rechtsvorschriften ist ausreichende Transparenz für die Betroffenen gegeben.

14.4.2 Verfahren zur Unterstützung der allgemeinen Bürotätigkeit

Auch Verfahren, die ausschließlich der Unterstützung der allgemeinen Bürotätigkeit dienen, sind grundsätzlich nicht in das Verfahrensverzeichnis aufzunehmen. Dies gilt grundsätzlich nur, wenn das Verfahren keine Beeinträchtigung der Rechte Betroffener erwarten lässt. Eine solche Beeinträchtigung ist nicht zu erwarten, wenn ein Verfahren ausschließlich dient

a) der Erstellung von Texten und die hierfür gespeicherten personenbezogenen Daten gelöscht werden, sobald sie nicht mehr benötigt werden,

b) dem internen Auffinden von Vorgängen, Anträgen oder Akten (Registraturverfahren),

c) der internen Überwachung von Terminen und Fristen (Termin- und Fristenkalender),

d) der Führung von Telefon-, Telefaxund sonstiger Kommunikationsund Teilnehmerverzeichnissen, die durch Dritte nicht abrufbar sind, oder

e) der Führung von Anschriftenverzeichnissen für die Versendung von Unterlagen an Betroffene.

Die Ausnahmeregelung gilt nicht für Verfahren, die über die beschriebenen Hilfsfunktionen hinausgehen. So dienen z. B. von Notaren zu führende Bücher auch als Nachweise über die ordnungsgemäße Erledigung ihrer Amtsgeschäfte.

14a. Zu § 14 a (Beauftragter für den Datenschutz)

14a.1.1 Pflicht zur Einsetzung von Beauftragten für den Datenschutz

Für öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, ist eine Beauftragte für den Datenschutz oder ein Beauftragter für den Datenschutz einzusetzen. Die öffentlichen Stellen sind grundsätzlich mit den verantwortlichen Stellen im Sinne des § 2 Abs. 8 identisch. Die Einsetzung hat schriftlich zu erfolgen; hierfür sollte das Muster der Anlage 4 verwendet werden.

Die Einsetzung von Beauftragten für den Datenschutz ist für solche öffentlichen Stellen nicht vorgesehen, die ausschließlich Verfahren im Sinne des § 14 Abs. 4 Nr. 2 durchführen (Nr. 14.4.2).

14a.1.2 Einsetzen von Beauftragten für den Datenschutz im nachgeordneten Bereich

Im nachgeordneten Bereich können Beauftragte für den Datenschutz auch durch Dienstaufsicht führende Behörden eingesetzt werden. Das erleichtert die Einsetzung einer Person als Beauftragte für den Datenschutz für mehrere Stellen, z. B. durch ein Schulamt für die unterstehenden Schulen.

14a.1.3 Notare und Beliehene

Notare und Beliehene (Nr. 3.1.2) haben Beauftragte für den Datenschutz erst einzusetzen, wenn fünf oder mehr Beschäftigte mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. Maßgeblich ist die Zahl der durchschnittlich Beschäftigten, auch wenn diese nicht vollbeschäftigt sind. Zu den Beschäftigten zählen auch Auszubildende.

14a.2.1 Anforderungen an Beauftragte für den Datenschutz

Beauftragte für den Datenschutz können nur natürliche Personen sein. Sie müssen fachkundig sein. Diese Personen müssen über die technischen, rechtlichen und organisatorischen Kenntnisse verfügen, die sie, abhängig von den Gegebenheiten der öffentlichen Stelle, in die Lage versetzen, ihre Aufgabe wahrzunehmen. Die Anforderungen an die Fachkunde sind nicht einheitlich, sondern hängen unter anderem von der Größe der öffentlichen Stelle, der Sensibilität der Daten und der eingesetzten Technik ab. Gefordert sind mindestens

a) Grundkenntnisse über Verfahren und Techniken der automatischen Datenverarbeitung,

b) allgemeine juristische Kenntnisse, Kenntnisse des Datenschutzrechts und sonstiger relevanter Vorschriften sowie

c) ausreichende Kenntnisse der Verwaltungsorganisation und –aufgaben.

Verfügen Beauftragte für den Datenschutz nicht von Anfang an über die erforderlichen Kenntnisse, müssen sie jedenfalls die Fähigkeit haben, sich diese Kenntnisse anzueignen. Beauftragte für den Datenschutz müssen zuverlässig, also integer, verschwiegen und verantwortungsbewusst sein. Zweifel an der Zuverlässigkeit bestehen z. B. bei erheblichen Interessenkonflikten (Nr. 14a.2.4).

14a.2.2 Organisatorische Stellung von Beauftragten für den Datenschutz

Beauftragte für den Datenschutz sind in dieser Funktion, also insbesondere bei Wahrnehmung ihrer Beratungsund Kontrolltätigkeit nach Abs. 4 Satz 2, weisungsfrei. Die Weisungsfreiheit entbindet Beauftragte für den Datenschutz jedoch nicht davon, nach Recht und Gesetz zu handeln, z. B. bei der Auskunftserteilung gegenüber Betroffenen.

Beauftragte für den Datenschutz sind in den Organigrammen der öffentlichen Stellen gesondert anzuführen.

Die besondere Stellung der Beauftragte für den Datenschutz wird dadurch deutlich, dass sie sich unmittelbar an die Leitung der öffentlichen Stellen wenden können. Außerhalb ihrer Funktion sind Beauftragte für den Datenschutz an den Dienstweg gebunden. Auch können sie sich grundsätzlich nicht unmittelbar an den Landesbeauftragten für den Datenschutz wenden; dieses Recht steht ihnen nur zu, wenn Zweifelsfragen im Rahmen der Vorabkontrolle auftreten.

14a.2.3 Benachteiligungsverbot

Satz 3 sichert die Unabhängigkeit durch ein ausdrückliches Benachteiligungsverbot. Dadurch sind Beauftragte für den Datenschutz vor Umsetzungen, Kündigungen oder anderen Beeinträchtigungen geschützt, die aus einer nicht genehmen Wahrnehmung ihrer Funktion als Beauftragte für den Datenschutz herrühren könnten. Ob eine Benachteiligung vorliegt, kann gerichtlich überprüft werden.

14a.2.4 Art und Umfang der Tätigkeit

Grundsätzlich werden Beauftragte für den Datenschutz Angehörige des öffentlichen Dienstes sein. Sie müssen nicht Beschäftigte der Stelle sein, für die sie die Funktion des Beauftragte für den Datenschutz ausüben. Beauftragte für den Datenschutz müssen nicht hauptberuflich tätig sein. Im Einzelfall kann es ausreichen, die Funktion stundenweise oder fallbezogen auszuüben. Nehmen Beauftragte für den Datenschutz auch andere Aufgaben wahr, sind sie von diesen freizustellen, soweit es die Tätigkeit als Beauftragte für den Datenschutz erfordert. Es ist darauf zu achten, dass durch die sonstigen Aufgaben keine erheblichen Interessenkonflikte entstehen können. Dies kann z. B. bei Entscheidungskompetenzen in den Bereichen

a) Personalverwaltung oder

b) Informationstechnik der Fall sein.

Die Einsetzung externer Beauftragter für den Datenschutz ist nicht ausgeschlossen. Sie kommt insbesondere bei öffentlichen Stellen im Sinne des § 3 Abs. 2 Nr. 1 (z. B. Eigenbetrieben) in Betracht. Sofern externe Beauftragte für den Datenschutz eingesetzt werden, sind diese bei Vorliegen der Voraussetzungen nach dem Verpflichtungsgesetz zur gewissenhaften Erfüllung ihrer Obliegenheiten zu verpflichten.

14a.3 Rechte und Pflichten der Beauftragten für den Datenschutz

14a.3.1/2 Einsicht in Datenverarbeitungsvorgänge

Um ihre Aufgaben erfüllen zu können, haben Beauftragte für den Datenschutz das Recht, Einsicht in Vorgänge über die Verarbeitung personenbezogener Daten zu nehmen. Die Kenntnisnahme ist auf das zur Aufgabenerledigung unerlässliche Maß zu beschränken. Der Einsicht entgegenstehende Berufs- oder besondere Amtsgeheimnisse sind zu beachten.

14a.3.3 Auskunfts- und Einsichtsrechte

Innerhalb der verantwortlichen Stelle stehen Beauftragten für den Datenschutz die gleichen Kontroll-, Auskunfts- und Einsichtsrechte wie dem Landesbeauftragten für den Datenschutz zu. Bedienstete können sich grundsätzlich ohne Einhaltung des Dienstweges an Beauftragte für den Datenschutz wenden, auch dann, wenn es sich nicht um eigene Angelegenheiten handelt. Sie sind nämlich stelleninterne Kontroll- und Beratungseinrichtungen.

14a.3.4 Verschwiegenheitspflicht

Nach Satz 4 dürfen Beauftragte für den Datenschutz die Identität Betroffener, die sich an sie wenden, nicht gegen deren Willen preisgeben. Sofern einer Angelegenheit nicht anonymisiert nachgegangen werden kann, haben Beauftragte für den Datenschutz die Betroffenen hiervon zu unterrichten. Die Betroffenen haben dann selbst zu entscheiden, ob ihre Identität aufgedeckt werden soll.

14a.4 Aufgaben der Beauftragten für den Datenschutz

14a.4.1 Führen des Verfahrensverzeichnisses

Beauftragte für den Datenschutz führen das Verfahrensverzeichnis nach § 14 Abs. 3 Satz 1. Mithin erteilen sie hieraus auch Auskünfte an Interessierte.

Verfahren der Personalvertretungen werden entsprechend dem Urteil des BAG vom 29.10.1997 (NJW 1998, 2466) nicht in das vom Beauftragten für den Datenschutz geführte Verfahrensverzeichnis aufgenommen. Die Personalvertretung ist zwar Teil der verantwortlichen Stelle, unterliegt aber wegen ihrer Unabhängigkeit nicht der Kontrolle des Beauftragte für den Datenschutz, sondern nur der des Landesbeauftragten für den Datenschutz.

14a.4.2 Unterstützungspflicht

Beauftragte für den Datenschutz sind verpflichtet, die öffentlichen Stellen bei der Ausführung der Vorschriften des DSG-LSA und anderer datenschutzrechtlicher Vorschriften zu unterstützen. Die Verantwortlichkeit für den Datenschutz liegt unverändert bei den verantwortlichen öffentlichen Stellen. Beauftragte für den Datenschutz haben dementsprechend keine Weisungsbefugnisse innerhalb der öffentlichen Stellen. Gleichwohl haben sie eine Garantenstellung innerhalb der öffentlichen Stellen. Ihre Aufgaben sind in Nr. 1 bis 3 nicht abschließend aufgezählt.

14a.4.2.1 Hinwirken auf die Beachtung datenschutzrechtlicher Vorschriften

Hinwirken auf die Beachtung datenschutzrechtlicher Vorschriften umfasst z. B. die Prüfung

a) der datenschutzrechtlichen Vereinbarkeit von Verfahren, über deren Einsatz öffentliche Stellen entscheiden,

b) von Dienstanweisungen zum Umgang mit personenbezogenen Daten,

c) ob die Individualrechte Betroffener auf Benachrichtigung, Auskunft, Berichtigung, Löschung und Sperrung (§§ 9, 15, 16) beachtet werden.

Dazu gehört es auch, Hinweise und Vorschläge zu unterbreiten

a) zur Datenvermeidung und Datensparsamkeit (§ 1 Abs. 2) und b) zur Verbesserung technischer und organisatorischer Maßnahmen im Sinne des § 6.

14a.4.2.2 Vorabkontrolle

Beauftragte für den Datenschutz haben die Vorabkontrolle durchzuführen (Nr. 14.2).

14a.4.2.3 Vertrautmachen mit datenschutzrechtlichen Vorschriften

Beauftragte für den Datenschutz haben die mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigten Personen mit den einschlägigen datenschutzrechtlichen Vorschriften vertraut zu machen. Die Bedeutung und die Notwendigkeit des Datenschutzes ist verständlich zu machen. Beauftragte für den Datenschutz können dazu Mitarbeiterschulungen vornehmen, soweit solche nicht im Rahmen der zentralen Mitarbeiterfortbildung erfolgen.

15. Zu § 15 (Auskunft)

15.1 Allgemeines

§15 regelt im Interesse der Transparenz die grundsätzlich umfassende Auskunftserteilung an Betroffene. Der Anspruch kann formlos geltend gemacht werden. Während eines laufenden Verwaltungsverfahrens werden die Regelungen des §15 durch § 1 VwVfG LSA i. V. m. § 29 VwVfG verdrängt. Zuständig für die Auskunftserteilung ist die verantwortliche Stelle. Gehen Auskunftsersuchen bei Auftragnehmern ein, sind diese an den Auftraggeber weiterzuleiten, sofern nicht der Auftragnehmer zur Auskunftserteilung berechtigt worden ist.

Bei der Auskunftserteilung muss die Identität von Antragstellern hinreichend überprüft sein. Fernmündliche Auskünfte sind nur zulässig, wenn die antragstellende Person identifiziert werden kann (z. B. durch Rückruf).

15.1.1.1 Auskunft über personenbezogene Daten und deren Herkunft und Übermittlung

Der Auskunftsanspruch besteht für alle zur Person gespeicherten Daten. Die ausdrückliche Erwähnung von Daten über die Herkunft oder ihre erfolgte Übermittlung hat nur klarstellende Bedeutung, verpflichtet die öffentliche Stelle aber nicht, solche Daten ausschließlich für Auskunftszwecke zu speichern.

Auskunft ist auch zu erteilen über die Dritten, an die personenbezogene Daten übermittelt worden sind; siehe auch die Sonderregelung des § 15 Abs. 3 Satz 1. Voraussetzung ist, dass die Tatsache der Übermittlung gespeichert ist; dies ist zumindest befristet überwiegend der Fall. Unter Berücksichtigung des Urteils des Europäischen Gerichtshofes vom 7.5.2009 – C 553/07 – erscheint eine Speicherung von Angaben über erfolgte Übermittlungen mindestens so lange angezeigt, wie eine Pflicht zur Verständigung von Stellen, denen Daten übermittelt worden sind, über erfolgte Berichtigungen, Sperrungen und Löschungen nach § 16 Abs. 6 besteht. Eine solche Speicherung erfolgt aber regelmäßig nicht, wenn die Übermittlung im Abrufverfahren erfolgt ist. Hier greift eine Sonderregelung (Nr. 15.1.1.3). § 15 Abs. 2 Nr. 1 bleibt unberührt.

15.1.1.2 Auskunft über Verarbeitung oder Nutzung

Als Rechtsgrundlage der Verarbeitung oder Nutzung kommt, soweit keine andere Rechtsvorschrift vorgeht, § 4 (Einwilligung) oder § 10 Abs. 1 in Betracht. Zum Zweck der Speicherung siehe Nrn. 9.3.3.2 und 10.1.1.15.1.1.3 Auskunft über Dritte, an die Übermittlungen vorgesehen sind Den Betroffenen ist Auskunft über alle die Dritten zu erteilen, an die Übermittlungen vorgesehen sind. Dies sind insbesondere Stellen, an die bei Vorliegen bestimmter Voraussetzungen oder zu bestimmten Stichtagen von Amts wegen Daten übermittelt werden. Dazu gehören auch die Stellen, die Übermittlungen durch Abruf (§ 7) bewirken können.

15.1.1.4 Automatisierte Entscheidungen

Im Fall automatisierter Entscheidungen wird auch über den logischen Aufbau der automatisierten Verarbeitung oder Nutzung Auskunft erteilt. Durch Transparenz soll den Betroffenen veranschaulicht werden, was mit ihren Daten geschieht. Die Grenzen des Auskunftsrechtes können beim Schutz von Betriebs- oder Geschäftsgeheimnissen (z. B. Auskünften über die verwendete Software) liegen.

15.1.3 Auskunft aus Akten

Personenbezogene Daten in Sachakten können nur schwer personenbezogen selektiert werden. Es wird daher nur Auskunft erteilt, soweit die Betroffenen Angaben machen, die das Auffinden der Daten ermöglichen. Ferner wird dem erhöhten Verwaltungsaufwand bei der Auskunftserteilung aus Akten in der Weise Rechnung getragen, dass der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von Betroffenen geltend gemachten Informationsinteresse stehen darf. Diese Prognose ist im Einzelfall zu erstellen.