Закон о защите данных 1998 г. - Data Protection Act 1998

Закон о защите данных 1998 г.
акт парламента
Длинное названиеЗакон, содержащий новое положение для регулирования обработки информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации.
Цитирование1998 г. 29
Территориальная протяженностьСоединенное Королевство Великобритании и Северной Ирландии
Даты
Королевское согласие16 июля 1998 г.
Другое законодательство
ОтменяетЗакон о защите данных 1984 г.
С поправкамида
ОтмененоЗакон о защите данных 2018
Статус: отменен
Текст статута в первоначальной редакции

В Закон о защите данных 1998 г. (ок. 29) был объединенное Королевство акт парламента предназначен для защиты личные данные хранятся на компьютерах или в организованной системе хранения бумажных документов. Он ввел в действие ЕС Директива о защите данных 1995 г. Положения о защите, обработке и перемещении данных.

Согласно DPA 1998, физические лица имели законное право контролировать информацию о себе. Большая часть Закона не распространялась на домашнее использование,[1] например ведение личной адресной книги. Любой, кто хранит персональные данные для других целей, был юридически обязан соблюдать этот Закон, за некоторыми исключениями. В Законе определены восемь принципов защиты данных, обеспечивающих законную обработку информации.

Он был заменен Закон о защите данных 2018 (DPA 2018) 23 мая 2018 года. DPA 2018 дополняет ЕС Общие правила защиты данных (GDPR), который вступил в силу 25 мая 2018 года. GDPR регулирует сбор, хранение и использование персональных данных значительно более строго.[2]

Фон

Закон 1998 г. заменил Закон о защите данных 1984 г. и Закон о доступе к личным файлам 1987 года, и внедрил ЕС Директива о защите данных 1995 г..

В Правила о конфиденциальности и электронных коммуникациях (Директива ЕС) 2003 г. изменил требование согласия для большей части электронного маркетинга на "положительное согласие", такое как поле выбора. Исключения остаются для маркетинга «аналогичных продуктов и услуг» существующим клиентам и запрашивающим, которым по-прежнему может быть предоставлено разрешение на основе отказа.

В Закон о защите данных Джерси был разработан по закону Соединенного Королевства.[3]

Содержание

Объем защиты

Раздел 1 определяет «личные данные» как любые данные, которые могут быть использованы для идентификации живого человека. Анонимные или агрегированные данные в меньшей степени регулируются Законом при условии, что анонимизация или агрегирование не были выполнены обратимым образом. Физические лица могут быть идентифицированы различными способами, включая их имя и адрес, номер телефона или адрес электронной почты. Закон применяется только к данным, которые хранятся или предназначены для хранения на компьютерах («оборудование, работающее автоматически в соответствии с инструкциями, данными для этой цели») или хранятся в «соответствующей файловой системе».[4]

В некоторых случаях бумажные записи могут быть классифицированы как «соответствующая файловая система», например, адресная книга или дневник продавца, используемые для поддержки коммерческой деятельности.[5]

В Закон о свободе информации 2000 года изменил закон для государственных органов и властей, а Durant дело изменило толкование закона, предоставив прецедент и прецедент.[6]

Лицо, чьи данные обрабатываются, имеет следующие права:[7][8]

  • в соответствии с разделом 7, чтобы просмотреть данные, которые организация хранит о них за разумную плату: максимальная плата составляет 2 фунта стерлингов за запросы в кредитные справочные агентства, 50 фунтов стерлингов за запрос в области здравоохранения и образования и 10 фунтов стерлингов за человека в противном случае,[9]
  • в разделе 14 попросите исправить неверную информацию. Если компания проигнорирует запрос, суд может приказать исправить или уничтожить данные, а в некоторых случаях компенсация может быть награжден.[10]
  • в соответствии с разделом 10 требовать, чтобы данные не использовались каким-либо образом, который потенциально может причинить ущерб или причинить вред.[11]
  • согласно разделу 11, потребовать, чтобы их данные не использовались для прямой маркетинг.[12]

Принципы защиты данных

В Приложении 1 перечислены восемь «принципов защиты данных».

  1. Персональные данные должны обрабатываться справедливо и законно и, в частности, не должны обрабатываться, если:
    1. по крайней мере одно из условий в Приложении 2 выполнено, и
    2. в случае конфиденциальных персональных данных также выполняется по крайней мере одно из условий Приложения 3.
  2. Персональные данные должны быть получены только для одной или нескольких указанных и законных целей и не должны обрабатываться в дальнейшем каким-либо образом, несовместимым с этой целью или этими целями.
  3. Персональные данные должны быть адекватными, актуальными и не чрезмерными по отношению к цели или целям, для которых они обрабатываются.
  4. Персональные данные должны быть точными и, при необходимости, обновляться.
  5. Персональные данные, обрабатываемые для любых целей или целей, не должны храниться дольше, чем это необходимо для этой цели или этих целей.
  6. О правах человека, например.[13] Персональные данные обрабатываются в соответствии с правами субъектов данных (физических лиц).
  7. Соответствующие технические и организационные меры должны быть приняты против несанкционированной или незаконной обработки персональных данных и против случайной потери, уничтожения или повреждения персональных данных.
  8. Персональные данные не передаются в страну или территорию за пределами Европейская экономическая зона кроме случаев, когда эта страна или территория обеспечивает адекватный уровень защиты прав и свобод субъектов данных в отношении обработки персональных данных.
Условия, относящиеся к первому принципу

Персональные данные должны обрабатываться только справедливо и законно. Чтобы данные были классифицированы как «правильно обработанные», к этим данным должно применяться хотя бы одно из этих шести условий (Приложение 2).

  1. Субъект данных (лицо, данные которого хранятся) дал согласие («дал свое разрешение») на обработку;
  2. Обработка необходима для выполнения или начала контракта;
  3. Обработка требуется в соответствии с юридическим обязательством (кроме указанного в контракте);
  4. Обработка необходима для защиты жизненно важных интересов субъекта данных;
  5. Обработка необходима для выполнения каких-либо публичных функций;
  6. Обработка необходима для соблюдения законных интересов «контролера данных» или «третьих лиц» (если только это не может неоправданно нанести ущерб интересам субъекта данных).[14]
Согласие

За исключением нижеприведенных исключений, физическое лицо должно дать согласие на сбор своей личной информации и ее использование в рассматриваемых целях. В Европейская директива о защите данных определяет согласие как «… любое свободно данное конкретное и информированное указание своего желания, которым субъект данных выражает свое согласие с личными данными, относящимися к его обработке», что означает, что физическое лицо может означать иное соглашение, кроме письменного. Однако отказ от общения не следует интерпретировать как согласие.

Кроме того, согласие должно соответствовать возрасту и дееспособности человека, а также другим обстоятельствам дела. Например, если организация «намеревается продолжать хранить или использовать персональные данные после завершения отношений с физическим лицом, то согласие должно охватывать это». И даже когда согласие дается, не следует думать, что оно будет длиться вечно. Хотя в большинстве случаев согласие длится до тех пор, пока персональные данные должны быть обработаны, отдельные лица могут отозвать свое согласие в зависимости от характера согласия и обстоятельств, при которых личная информация собирается и используется.[15]

Закон о защите данных также указывает, что конфиденциальные личные данные должны обрабатываться в соответствии с более строгим набором условий, в частности, любое согласие должно быть явным.[15]

Исключения

Закон структурирован таким образом, что вся обработка персональных данных подпадает под действие закона, при этом в Части IV предусмотрен ряд исключений.[1] Примечательные исключения:

  • Раздел 28 - Национальная безопасность. Любая обработка в целях обеспечения национальной безопасности освобождается от всех принципов защиты данных, а также от Части II (права доступа субъектов), Части III (уведомление), Части V (обеспечение выполнения) и Раздела 55 (Незаконное получение персональных данных). ).
  • Раздел 29 - Преступность и налогообложение. Данные, обрабатываемые для предотвращения или раскрытия преступлений, задержания или судебного преследования правонарушителей, а также оценки или сбора налогов, не подпадают под действие первого принципа защиты данных.
  • Раздел 36 - Внутренние цели. Обработка физическим лицом только для целей личных, семейных или домашних дел этого человека освобождается от всех принципов защиты данных, а также от Части II (права доступа субъектов) и Части III (уведомление).

Полномочия полиции и суда

Закон предоставляет или признает различные полномочия полиции и суда.

  • Раздел 29 - Согласие Субъекта данных не требуется при обработке Персональных данных для предотвращения или выявления преступлений, задержания или преследования правонарушителей, оценки и сбора налогов и сборов, а также для выполнения установленных законом функций.[16]
  • Раздел 35 - Раскрытие информации, требуемое по закону или сделанное в связи с судебным разбирательством. Это включает в себя подчинение постановлениям суда, другим законам и является частью судебного разбирательства.[17]

Правонарушения

В законе подробно описывается ряд гражданских и уголовных правонарушений, за которые контролеры данных могут нести ответственность, если контролер данных не смог получить соответствующее согласие от субъекта данных. Однако «согласие» конкретно не определяется в Законе и, следовательно, является делом общего права.

  • В соответствии с разделом 21 (1) обработка личной информации без постановка на учет.[18]
  • Раздел 21 (2) квалифицирует нарушение закона как нарушение правила уведомления сделано госсекретарем[18] (предложено Информационный комиссар согласно разделу 25 Закона).[19]
  • Раздел 55 делает незаконным получение личных данных. В этом разделе рассматривается преступление для лиц (других сторон), таких как хакеры и имитаторы, вне организации, получение несанкционированного доступа к личным данным.[20]
  • Раздел 56 квалифицирует как уголовное преступление требование к человеку подать запрос на доступ к теме, относящийся к предостережения или же убеждения с целью найма, продолжения трудоустройства или предоставления услуг.[21] Данный раздел вступил в силу 10 марта 2015 года.[22]

Сложность

Закон Великобритании о защите данных - крупный закон, известный своей сложностью.[23] Хотя основные принципы защиты конфиденциальности соблюдаются, интерпретация акта не всегда проста. Многие компании, организации и частные лица, похоже, очень не уверены в целях, содержании и принципах Закона. Некоторые прячутся за Законом и отказываются предоставить даже самые простые общедоступные материалы, цитируя Закон как ограничение.[24] Закон также влияет на способ ведения бизнеса организациями с точки зрения того, с кем можно связаться для маркетинговых целей, не только по телефону и прямой почтовой рассылке, но и в электронной форме, и привел к разработке маркетинговых стратегий на основе разрешений.[25]

Определение личных данных

Определение личных данных - это данные, относящиеся к живому человеку, которого можно идентифицировать.

  • из этих данных или
  • из этих данных и другой информации, которой владеет или может получить контролер данных

Конфиденциальные личные данные касаются расы, этнической принадлежности, политики, религии, профсоюзного статуса, здоровья, половой жизни или судимости субъекта.[26]

Запросы на доступ к теме

На веб-сайте Офиса Комиссара по информации говорится о запросах на доступ к субъектам (SAR):[27] "У вас есть право узнать, использует ли организация ваши личные данные или хранит их. Это называется правом доступа. Вы реализуете это право, запрашивая копию данных, что обычно называется «запрос на доступ к теме».До вступления в силу Общего регламента по защите данных (GDPR) 25 мая 2018 года организации могли взимать определенную плату за ответ на SAR в размере до 10 фунтов стерлингов за большинство запросов. Согласно GDPR:[27] "Копия ваших личных данных должна быть предоставлена ​​бесплатно. Организация может взимать плату за дополнительные копии. Он может взимать плату только в том случае, если считает запрос «явно необоснованным или чрезмерным». В таком случае он может потребовать разумную плату за административные расходы, связанные с запросом.."

Информационный комиссар

Основная статья: Офис уполномоченного по информации

Соблюдение Закона регулируется и обеспечивается независимым органом, Офис уполномоченного по информации, который поддерживает руководство, относящееся к Закону.[28][29]

Рабочая группа ЕС по статье 29

В январе 2017 года Управление Комиссара по информации предложило общественности прокомментировать предложенные Рабочей группой ЕС по статье 29 изменения в законе о защите данных и предполагаемое введение расширений в толкование Закона, Руководство к Общему регламенту защиты данных.[30]

Смотрите также

Рекомендации

  1. ^ а б Закон о защите данных 1998 г., Часть IV (Исключения), Раздел 36 В архиве 24 августа 2007 г. Wayback Machine, Управление информации государственного сектора, по состоянию на 6 сентября 2007 г.
  2. ^ Форд, Майкл (март 1999). «Недавнее законодательство. Закон о защите данных 1998 года». Журнал промышленного права. 28: 57–60. Дои:10.1093 / ilj / 28.1.57.
  3. ^ Джерси: защита данных в Джерси и других офшорных юрисдикциях В архиве 27 октября 2012 г. Wayback Machine 23 июля 2008 г. Статья Венди Бенджамин, mondaq.com,
  4. ^ «Закон о защите данных 1998 г., Основные положения о толковании». Управление информации государственного сектора. В архиве из оригинала 1 марта 2014 г.. Получено 14 марта 2014.
  5. ^ «Определение того, какая информация является« данными »для целей DPA» (PDF). Офис уполномоченного по информации. 16 марта 2012 г. В архиве (PDF) из оригинала 22 июля 2016 г.. Получено 2 марта 2018.
  6. ^ «Что такое личные данные? Информационный комиссар обновляет руководство». Пинсент масоны. 30 августа 2007 г. В архиве из оригинала 20 октября 2011 г.. Получено 20 августа 2012. В случае с Майклом Дюрантом он искал информацию о нем в Управлении финансовых услуг. Апелляционный суд постановил, что то, что документ содержит его имя, не обязательно определяется как личные данные. Это изменило представление о том, насколько широким может быть определение личных данных.
  7. ^ Ваши права[постоянная мертвая ссылка ], ICO, по состоянию на 6 сентября 2007 г.
  8. ^ "Права личности (Принцип 6) В архиве 18 ноября 2016 г. Wayback Machine ", ICO, по состоянию на 7 декабря 2016 г.
  9. ^ "Часто задаваемые вопросы". Офис уполномоченного по информации. Получено 19 января 2014.[постоянная мертвая ссылка ]
  10. ^ «Требование компенсации». Офис уполномоченного по информации. Архивировано из оригинал 21 июня 2017 г.. Получено 24 ноября 2017.
  11. ^ Закон о защите данных 1998 г., Часть II (Права субъектов данных и других лиц), Раздел 10 В архиве 5 сентября 2011 г. Wayback Machine, Office of Public Sector Information, по состоянию на 6 сентября 2007 г.
  12. ^ Закон о защите данных 1998 г., Часть II (Права субъектов данных и других лиц), Раздел 11 В архиве 4 сентября 2011 г. Wayback Machine, Office of Public Sector Information, по состоянию на 6 сентября 2007 г.
  13. ^ Права человека (Принцип 6), ICO.org.uk, по состоянию на 14 апреля 2011 г.
  14. ^ OPSI.gov.uk В архиве 16 апреля 2009 г. Wayback Machine Закон о защите данных 1998 года, Приложение 2
  15. ^ а б «Условия обработки - Руководство по защите данных - ICO». Офис уполномоченного по информации. Архивировано из оригинал 6 января 2015 г.. Получено 8 февраля 2013.
  16. ^ Закон о защите данных 1998 г., Часть IV (Исключения - Преступность и налогообложение), Раздел 29 В архиве 1 июня 2017 г. Wayback Machine
  17. ^ Закон о защите данных 1998 г., Часть IV (Исключения - раскрытие информации, требуемое по закону или сделанное в связи с судебными разбирательствами и т. Д.), Раздел 35 В архиве 23 мая 2017 в Wayback Machine
  18. ^ а б Закон о защите данных 1998 г., Часть III (Уведомление контроллеров данных), Раздел 21 В архиве 7 декабря 2009 г. Wayback Machine, Управление информации государственного сектора)
  19. ^ Закон о защите данных 1998 г., Часть III (Уведомление контроллеров данных), Раздел 25 В архиве 4 февраля 2013 г. Wayback Machine
  20. ^ Закон о защите данных 1998 г., Часть VI (Разное и общее), Раздел 55 В архиве 24 августа 2007 г. Wayback Machine, Office of Public Sector Information, доступ 14 сентября 2007 г.
  21. ^ Закон о защите данных 1998 г., Часть VI (Разное и общее), Раздел 56 В архиве 24 августа 2007 г. Wayback Machine, Office of Public Sector Information, доступ 14 сентября 2007 г.
  22. ^ «Запросы на принудительный доступ к данным теперь являются уголовным преступлением». Льюис Силкин. В архиве из оригинала 19 марта 2015 г.. Получено 10 марта 2015.
  23. ^ Бейнбридж, Д.: "Введение в компьютерный закон - пятое издание", стр. 430. Pearson Education Limited, 2005 г.
  24. ^ Мифы и реальность о защите данных[постоянная мертвая ссылка ], Офис уполномоченного по информации, по состоянию на 30 августа 2008 г.
  25. ^ Иверсен, Эми; Лидделл, Кэтлин; Страх, Никола; Хотопф, Мэтью; Уэссели, Саймон (19 января 2006 г.). «Согласие, конфиденциальность и Закон о защите данных». BMJ. 332 (7534): 165–169. Дои:10.1136 / bmj.332.7534.165. ISSN  0959-8138. ЧВК  1336771. PMID  16424496.
  26. ^ "Закон о защите данных 1998 г.". База данных статутного права Великобритании. В архиве с оригинала от 20 августа 2012 г.. Получено 20 августа 2012.
  27. ^ а б «Ваше право доступа». Офис уполномоченного по информации. В архиве из оригинала 26 мая 2018 г.. Получено 25 мая 2018.
  28. ^ «Руководство по защите данных». Офис уполномоченного по информации. Получено 6 января 2015.
  29. ^ Руководство - Закон о защите данных, Страница разного руководства[постоянная мертвая ссылка ], Офис уполномоченного по информации, доступ 20 октября 2007 г.
  30. ^ «Руководство к Общему регламенту защиты данных (GDPR)». ico.org.uk. 22 декабря 2017. В архиве из оригинала 7 января 2018 г.. Получено 6 января 2018.

внешняя ссылка

Законодательство Великобритании