Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

◎ 陳陽升(中央研究院法律所博士後研究學者)

一、語源與沿革

BfDI是德國聯邦個人資料保護暨資訊自由監察官Bundesbeauftragter für den Datenschutz und die Informationsfreiheit(英文:Federal Commissioner for Data Protection and Freedom of Information)之縮寫。1

BfDI最初是因應德國於1977年1月27日制定之聯邦個人資料保護法(Bundesdatenschutzgesetz,簡稱BDSG),而於1978年1月1日該法生效後所設置聯邦層級之個人資料保護監察官(Bundesbeauftragter für den Datenschutz,簡稱BfD),負責監管聯邦公務機關及非公務機關(私人)因電信或郵務服務而獲悉之個人資料;2006年1月1日聯邦資訊自由法(Informationsfreiheitsgesetz,簡稱IFG,相當於我國的政府資訊公開法)生效後,由於原BfD也兼負保護資訊自由之任務,因此改稱聯邦資料保護暨資訊自由監察官,即BfDI。

2018年5月25日歐盟個人資料保護規則(Datenschutz-Grundverordnung,簡稱DS-GVO)生效後,原先作為轉換歐盟個人資料保護指令(Richtlinie 95/46/EG)的聯邦個人資料保護法即為歐盟個人資料保護規則所取代,BfDI的設立依據也因此轉為前揭規則第51條第1項:「各會員國應設立至少一個獨立公務機關,職司本規則適用之監控,以保護當事人有關個人資料處理之基本權利與自由,及促進歐盟內個人資料之自由流動。」

二、BfDI之任務

BfDI於個資保護領域之權限,依歐盟個人資料保護規則第57條及聯邦個人資料保護法第14條之規定主要有:

  • 於管轄範圍內監督歐盟個人資料保護規則、聯邦個人資料保護法及其他所掌個資保護相關規範之執行情況;
  • 與個資處理相關之風險、規範、保護措施及權利之宣導;
  • 提供聯邦議會、聯邦參議院、聯邦政府及其他機關關於個資保護相關立法與行政措施之諮詢;
  • 於管轄範圍內提高管控者(Verantwortlicher; controller)2對其個資保護義務之認識;
  • 處理資料主體(betroffene Person; data subject)3或個資保護協會之申訴;
  • 與各邦及歐盟其他監管機關協調合作,包含資訊交換與職務協助;
  • 調查與監管之執行。

此外,BfDI得向聯邦議會或其委員會、聯邦參議院、聯邦政府及其他機關,乃至於公眾發表意見,提出自身觀點。

三、BfDI之職權4

(一)個資保護部分

BfDI享有全面的調查權,其所監管之單位及其人員皆負有配合之義務,包括:

  • 回覆BfDI之提問;
  • 允許BfDI調閱其存儲或處理之文件及檔案;
  • 允許BfDI會隨時進入其工作場所。

BfDI如發現有違反個資保護相關法律之情事,亦可採取下列措施,防止危害:

  • 對管控者或處理者就可預見之違反個資保護規範情事預先提出警示;
  • 對管控者或處理者就違法情事提出警告;
  • 應當事人依個資保護相關法律提出之請求,給予管控者或處理者指示;
  • 為令個資處理程序合於個資保護相關法律,而給予管控者或處理者指示;
  • 暫時或終局限制個資處理,或予以禁止;
  • 要求更正或刪除個資;
  • 施以罰鍰;
  • 停止向第三國流通個資。

(二)資訊自由部分

依資訊自由法第12條規定,BfDI得於人民請求資訊公開之權利受侵害時受理其申訴,並作成調處決定,惟不得自行公開相關資訊。

四、BfDI之組織

在組織上,BfDI為獨立之個人資料保護專責機關,且為一人機關,其機關擔當人由聯邦政府提名,經聯邦議會不經討論(ohne Aussprache)之過半數同意選出,任期5年,得連任一次。BfDI在身分上為與國家(或其他公權力主體)構成公法上之職務關係(öffentlich-rechtliches Amtsverhältnis),但非為公務員(Beamter)。申言之,其在德國法制上雖屬最廣義的服公務之人員(öffentliche Ämter),卻不具有公勤務人員(Angehörige des öffentlichen Dienstes)的身分。此種類型之服公務之人員除民間公證人(Notar)及受委託行使公權力之人(Beliehener)外,主要為包含聯邦總統、聯邦及各邦總理、部長、政務次長等所謂的政務官。5

在組織層級上,BfDI原先隸屬於聯邦內政部,惟在行政組織上具有特殊地位,其在個人資訊保護之專責事務上並不受聯邦內政部之監督,僅在合法性與職務紀律上分別受聯邦政府及聯邦內政部之監督。然歐洲法院(EuGH: C-518/07)認為上述設計仍不符歐盟個人資料保護指令(Richtlinie 95/46/EG)第28條第1項所規定個人資料保護專責機關完全之獨立性,德國因此於2015年2月25日修正聯邦個人資料保護法(BDSG)第22條,並自2016年1月1日起,將BfDI調整為聯邦最高層級之機關(oberste Bundesbehörde),與聯邦總統府、總理府及各部會同級。6

BfDI除機關擔當人外,尚設有四個部門襄贊任務執行,其分別為負責監理非公部門事務、歐盟個人資料保護規則轉換、財政、司法、立法、社會與健康事務及歐洲與國際事務監理之第一處;負責確保資訊自由、個資保護之技術、電信事業之第二處;負責國安、軍情、檢警及情報機關事務的第三處;負責內部人事、預算、職務及資訊基數的Z處。

五、法律適用

歐盟個人資料保護規則作為歐盟規則(europäische Verordnung)直接為各成員國之有效法律,其不僅較之個成員國之內國法優先適用,各成員國立法者亦不得制定與之牴觸之法律。換言之,涉及個人資料處理的合法性問題,其判斷皆須優先以歐盟個人資料保護規則為依歸。準此,聯邦個人資料保護法僅於歐盟個人資料保護規則保留予成員國內國法補充的部分,始作為個資保護相關案件之判準。

此外,若在其他專門領域之法律-例如社會法法典(SGB)、租稅通則(AO)及聯邦資訊安全局法(Gesetz über das Bundesamt für Sicherheit in der Informationstechnik,簡稱BSI-Gesetz)-中,對個資保護設有特別規定,則其效力優先於聯邦個人資料保護法(聯邦個人資料保護法第1條第2項參照)。

宜補充的是,BfDI除負責確保歐盟個人資料保護規則及聯邦個人資料保護法之落實外,其他專門領域中涉及個資保護之法規有否遵循,亦為其職責(聯邦個人資料保護法第7條第1項第2款參照)。

參考資料

  • Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Hrsg.), DSGVO – BDSG. Texte und Erläuterungen, Bonn 2020.
  • Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Hrsg.), Informationsfreiheitsgesetz des Bundes. Text und Erläuterungen, Bonn 2020. 
  • Ehmann, Eugen/Selmayr, Martin (Hrsg), Datenschutz-Grundverordnung: Kommentar, München 2018.
  • Gola, Peter (Hrsg.), Datenschutz-Grundverordnung: VO (EU) 2016/679: Kommentar, München 2018.
  • Schoch, Friedrich, Informationsfreiheitsgesetz: Kommentar, 2. Aufl., München 2016.
« Back to Glossary Index