Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Закон о защите данных 1998 г.
акт парламента
Парламент Соединенного Королевства
Длинное названиеЗакон, содержащий новое положение, регулирующее обработку информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации.
Цитата1998 г. 29
Территориальная протяженностьСоединенное Королевство Великобритании и Северной Ирландии
Даты
Королевское согласие16 июля 1998 г.
Другое законодательство
ОтменяетЗакон о защите данных 1984 г.
С поправкамида
ОтмененоЗакон о защите данных 2018
Статус: аннулирован
Текст статута в первоначальной редакции

Закон о защите данных 1998 года (ок. 29) был законодательным актом Соединенного Королевства, разработанным для защиты личных данных, хранящихся на компьютерах или в организованной системе хранения бумажных документов. Он ввел в действие положения Директивы ЕС о защите данных 1995 года о защите, обработке и перемещении данных.

В соответствии с DPA 1998, физические лица имели законное право контролировать информацию о себе. Большая часть Закона не применяется к домашнему использованию [1], например, к ведению личной адресной книги. Любой, кто хранит персональные данные для других целей, был юридически обязан соблюдать этот Закон, за некоторыми исключениями. Закон определил восемь принципов защиты данных, чтобы гарантировать, что информация обрабатывалась на законных основаниях.

Он был заменен Законом о защите данных 2018 (DPA 2018) 23 мая 2018 года. DPA 2018 дополняет Общий регламент ЕС по защите данных (GDPR), который вступил в силу 25 мая 2018 года. GDPR регулирует сбор, хранение и значительно более строгое использование личных данных. [2]

Фон [ править ]

Закон 1998 года заменил Закон о защите данных 1984 года и Закон о доступе к личным файлам 1987 года и ввел в действие Директиву ЕС о защите данных 1995 года .

Конфиденциальность и электронная связь (Директива ЕС) Положение 2003 изменено требование согласия для большинства электронного маркетинга для «положительного согласия» , таких как поле выбора в. Исключения остаются для маркетинга «аналогичных продуктов и услуг» существующим клиентам и запрашивающим, которым все еще может быть предоставлено разрешение на основе отказа.

Закон о защите данных Джерси был разработан по образцу закона Соединенного Королевства. [3]

Содержание [ править ]

Объем защиты [ править ]

Раздел 1 определяет «личные данные» как любые данные, которые могут быть использованы для идентификации живого человека. Анонимные или агрегированные данные в меньшей степени регулируются Законом, при условии, что анонимизация или агрегирование не производились обратимым образом. Людей можно идентифицировать различными способами, включая их имя и адрес, номер телефона или адрес электронной почты. Закон применяется только к данным, которые хранятся или предназначены для хранения на компьютерах («оборудование, работающее автоматически в ответ на инструкции, данные для этой цели») или хранятся в «соответствующей файловой системе». [4]

В некоторых случаях бумажные записи могут быть классифицированы как «соответствующая файловая система», например, адресная книга или дневник продавца, используемые для поддержки коммерческой деятельности. [5]

Закон о свободе информации 2000 года изменил этот закон для государственных органов и властей, а дело Дюранта изменило толкование закона, предоставив прецедентное право и прецедент. [6]

Лицо, чьи данные обрабатываются, имеет следующие права: [7] [8]

  • в разделе 7, чтобы просмотреть данные, которые организация хранит о них за разумную плату: максимальная плата составляет 2 фунта стерлингов за запросы в кредитные справочные агентства, 50 фунтов стерлингов за запрос в области здравоохранения и образования и 10 фунтов стерлингов на человека в противном случае [9]
  • в разделе 14 попросите исправить неверную информацию. Если компания проигнорирует запрос, суд может приказать исправить или уничтожить данные, а в некоторых случаях может быть присуждена компенсация . [10]
  • в соответствии с разделом 10 требовать, чтобы данные не использовались каким-либо образом, который потенциально может вызвать повреждение или бедствие. [11]
  • согласно разделу 11, потребовать, чтобы их данные не использовались для прямого маркетинга . [12]

Принципы защиты данных [ править ]

В Приложении 1 перечислены восемь «принципов защиты данных».

  1. Персональные данные должны обрабатываться справедливо и законно и, в частности, не должны обрабатываться, если:
    1. по крайней мере одно из условий в Приложении 2 выполнено, и
    2. в случае конфиденциальных персональных данных также выполняется по крайней мере одно из условий Приложения 3.
  2. Персональные данные должны быть получены только для одной или нескольких указанных и законных целей и не должны обрабатываться в дальнейшем каким-либо образом, несовместимым с этой целью или этими целями.
  3. Персональные данные должны быть адекватными, актуальными и не чрезмерными по отношению к цели или целям, для которых они обрабатываются.
  4. Персональные данные должны быть точными и при необходимости обновляться.
  5. Персональные данные, обрабатываемые для любых целей или целей, не должны храниться дольше, чем это необходимо для этой цели или этих целей.
  6. О правах физических лиц например [13] персональные данные должны обрабатываться в соответствии с правами субъектов данных (физических лиц).
  7. Должны быть приняты соответствующие технические и организационные меры против несанкционированной или незаконной обработки персональных данных, а также от случайной потери, уничтожения или повреждения персональных данных.
  8. Персональные данные не должны передаваться в страну или территорию за пределами Европейской экономической зоны, если эта страна или территория не обеспечивает адекватный уровень защиты прав и свобод субъектов данных в отношении обработки персональных данных.
Условия, относящиеся к первому принципу

Персональные данные должны обрабатываться только справедливо и законно. Чтобы данные были классифицированы как «правильно обработанные», к этим данным должно применяться по крайней мере одно из этих шести условий (Приложение 2).

  1. Субъект данных (лицо, чьи данные хранятся) дал согласие («дал свое разрешение») на обработку;
  2. Обработка необходима для выполнения или начала контракта;
  3. Обработка требуется в соответствии с юридическим обязательством (кроме указанного в контракте);
  4. Обработка необходима для защиты жизненно важных интересов субъекта данных;
  5. Обработка необходима для выполнения каких-либо публичных функций;
  6. Обработка необходима для соблюдения законных интересов «контролера данных» или «третьих лиц» (если только это не может неоправданно нанести ущерб интересам субъекта данных). [14]
Согласие

За исключением упомянутых ниже исключений, физическое лицо должно дать согласие на сбор своей личной информации и ее использование в рассматриваемых целях. Директива о защите европейских данных определяет согласие , как «... любые свободно данные и осознанное указание его желания , с помощью которого субъект данных означает его согласие на персональные данные , связанных с ним обрабатываемым», то есть человек может означать согласие другого , чем в письменной форме. Однако , отказ от общения не следует интерпретировать как согласие.

Кроме того, согласие должно соответствовать возрасту и дееспособности человека, а также другим обстоятельствам дела. Например, если организация «намеревается продолжать хранить или использовать персональные данные после прекращения отношений с физическим лицом, то согласие должно охватывать это». И даже когда согласие дается, не следует думать, что оно будет длиться вечно. Хотя в большинстве случаев согласие длится столько времени, сколько необходимо для обработки персональных данных, отдельные лица могут отозвать свое согласие в зависимости от характера согласия и обстоятельств, при которых личная информация собирается и используется. [15]

Закон о защите данных также указывает, что конфиденциальные личные данные должны обрабатываться в соответствии с более строгим набором условий, в частности, любое согласие должно быть явным. [15]

Исключения [ править ]

Закон структурирован таким образом, что вся обработка персональных данных подпадает под действие закона, при этом в Части IV предусмотрен ряд исключений. [1] Примечательные исключения:

  • Раздел 28 - Национальная безопасность. Любая обработка в целях обеспечения национальной безопасности освобождается от всех принципов защиты данных, а также от Части II (права доступа субъектов), Части III (уведомление), Части V (обеспечение выполнения) и Раздела 55 (Незаконное получение персональных данных). ).
  • Раздел 29 - Преступность и налогообложение. Данные, обрабатываемые для предотвращения или раскрытия преступлений, задержания или судебного преследования правонарушителей, а также оценки или сбора налогов, не подпадают под действие первого принципа защиты данных.
  • Раздел 36 - Внутренние цели. Обработка физическим лицом только для целей личных, семейных или домашних дел этого человека освобождается от всех принципов защиты данных, а также от Части II (права доступа субъектов) и Части III (уведомление).

Полномочия полиции и суда [ править ]

Закон предоставляет или признает различные полномочия полиции и суда.

  • Раздел 29 - Согласие Субъекта данных не требуется при обработке Персональных данных для предотвращения или выявления преступлений, задержания или судебного преследования правонарушителей, оценки и сбора налогов и сборов, а также для выполнения установленных законом функций. [16]
  • Раздел 35 - Раскрытие информации, требуемое по закону или сделанное в связи с судебным разбирательством. Это включает подчинение постановлениям суда, другим законам и является частью судебного разбирательства. [17]

Нарушения [ править ]

В законе подробно описывается ряд гражданских и уголовных правонарушений, за которые контролеры данных могут нести ответственность, если контролер данных не смог получить соответствующее согласие от субъекта данных. Однако «согласие» конкретно не определено в Законе и, следовательно, является делом общего права.

  • В соответствии с разделом 21 (1) обработка личной информации без регистрации является правонарушением . [18]
  • Раздел 21 (2) объявляет преступлением несоблюдение правил уведомления , установленных Государственным секретарем [18] (предложенных Комиссаром по информации в соответствии с разделом 25 Закона). [19]
  • Раздел 55 делает незаконным получение личных данных. В этом разделе рассматривается преступление для лиц (других лиц), таких как хакеры и имитаторы, за пределами организации, получение несанкционированного доступа к личным данным. [20]
  • Раздел 56 квалифицирует как уголовное преступление требование к человеку подать запрос на доступ к теме, касающийся предупреждений или обвинительных приговоров, в целях приема на работу, продолжения трудоустройства или предоставления услуг. [21] Этот раздел вступил в силу 10 марта 2015 года. [22]

Сложность [ править ]

Закон Великобритании о защите данных - крупный закон, известный своей сложностью. [23] Хотя основные принципы защиты частной жизни соблюдаются, интерпретация акта не всегда проста. Многие компании, организации и частные лица, похоже, очень не уверены в целях, содержании и принципах Закона. Некоторые прикрываются законом и отказываются предоставить даже самые простые общедоступные материалы, цитируя этот закон как ограничение. [24] Закон также влияет на способ ведения бизнеса организациями с точки зрения того, с кем можно связаться для маркетинговых целей, не только по телефону и прямой почтовой рассылке, но и в электронном виде, и привел к разработке маркетинговых стратегий на основе разрешений. [25]

Определение личных данных [ править ]

Определение личных данных - это данные, относящиеся к живому человеку, которого можно идентифицировать.

  • из этих данных или
  • из этих данных и другой информации, которой владеет или может получить контролер данных

Конфиденциальные личные данные касаются расы, этнической принадлежности, политики, религии, профсоюзного статуса, здоровья, половой жизни или судимости субъекта. [26]

Запросы на доступ к теме [ править ]

На веб-сайте Офиса Комиссара по информации говорится о запросах на доступ к субъектам (SAR): [27] « Вы имеете право узнать, использует ли организация или хранит ваши персональные данные. Это называется правом доступа. Вы можете воспользоваться этим правом, запросив для копии данных, которая обычно известна как «запрос на доступ к субъекту ».

До вступления в силу Общего регламента по защите данных (GDPR) 25 мая 2018 года организации могли взимать определенную плату за ответ на SAR в размере до 10 фунтов стерлингов за большинство запросов. В соответствии с GDPR: « Копия ваших личных данных должна предоставляться бесплатно. Организация может взимать плату за дополнительные копии. Она может взимать плату только в том случае, если считает, что запрос является« явно необоснованным или чрезмерным ». В таком случае она может запросить разумная плата за административные расходы, связанные с запросом ". [27]

Информационный комиссар [ править ]

Основная статья: Офис Комиссара по информации

Соблюдение Закона регулируется и обеспечивается независимым органом - Управлением Уполномоченного по информации , которое осуществляет руководство в отношении Закона. [28] [29]

Рабочая группа ЕС по статье 29 [ править ]

В январе 2017 года Управление Комиссара по информации предложило общественности высказаться по поводу предложенных Рабочей группой ЕС по статье 29 изменений в законе о защите данных и предполагаемого введения расширений в толкование Закона, Руководства к Общему регламенту защиты данных . [30]

См. Также [ править ]

  • Закон о защите данных, 2012 г. (Гана)
  • Закон о неправомерном использовании компьютеров 1990 г.
  • Конфиденциальность данных
  • Директива о защите данных (ЕС)
  • Закон о свободе информации 2000 года
  • Гаскин против Соединенного Королевства
  • Список потерь данных правительства Великобритании
  • Правила о конфиденциальности и электронных коммуникациях (Директива ЕС) 2003
  • Общее положение о защите данных - постановление ЕС о защите данных от 2016 г.
  • Смит против "Ллойдс ТСБ Банк"
  • Дюран против Управления финансовых услуг [2003] EWCA Civ 1746
  • « Закон о защите данных [HL] 2017-19 ». Билл  No. HL 104  от  2018 года .Законопроект о защите данных был рассмотрен на этапе отчета в среду, 9 мая 2018 г., прочитан и принят с поправками ».)

Ссылки [ править ]

  1. ^ a b Закон о защите данных 1998 г. , Часть IV (Исключения), Раздел 36 Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора , по состоянию на 6 сентября 2007 г.
  2. ^ Форд, Майкл (март 1999). «Недавнее законодательство. Закон о защите данных 1998 года». Журнал промышленного права . 28 : 57–60. DOI : 10.1093 / / 28.1.57 П ± .
  3. Джерси: Защита данных в Джерси и других офшорных юрисдикциях. Архивировано 27 октября 2012 г. в Wayback Machine. 23 июля 2008 г. Статья Венди Бенджамин, mondaq.com,
  4. ^ «Закон о защите данных 1998 г., Основные положения о толковании» . Управление информации государственного сектора . Архивировано 1 марта 2014 года . Проверено 14 марта 2014 года .
  5. ^ «Определение того, какая информация является« данными »для целей DPA» (PDF) . Офис Уполномоченного по информации . 16 марта 2012 года архивации (PDF) с оригинала на 22 июля 2016 года . Проверено 2 марта 2018 .
  6. ^ «Что такое личные данные? Информационный комиссар обновляет руководство» . Пинсент масонов . 30 августа 2007 года. Архивировано 20 октября 2011 года . Проверено 20 августа 2012 года . В случае с Майклом Дюрантом он искал информацию о нем в Управлении финансовых услуг. Апелляционный суд постановил, что то, что документ содержит его имя, не обязательно определяется как личные данные. Это изменило представление о том, насколько широким может быть определение личных данных.
  7. ^ Ваши права [ постоянная мертвая ссылка ] , ICO, по состоянию на 6 сентября 2007 г.
  8. ^ « Права физических лиц (Принцип 6) Архивировано 18 ноября 2016 г. на Wayback Machine », ICO, по состоянию на 7 декабря 2016 г.
  9. ^ «Часто задаваемые вопросы» . Офис Уполномоченного по информации . Проверено 19 января 2014 года .[ постоянная мертвая ссылка ]
  10. ^ "Требование компенсации" . Офис Уполномоченного по информации . Архивировано из оригинального 21 июня 2017 года . Проверено 24 ноября 2017 года .
  11. ^ Закон о защите данных 1998 г. , часть II (Права субъектов данных и других лиц), раздел 10 Архивировано 5 сентября 2011 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 6 сентября 2007 г.
  12. ^ Закон о защите данных 1998 г. , часть II (Права субъектов данных и других лиц), раздел 11 Архивировано 4 сентября 2011 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 6 сентября 2007 г.
  13. ^ Права людей (принцип 6), ICO.org.uk , по состоянию на 14 апреля 2011 г.
  14. ^ OPSI.gov.uk Архивировано 16 апреля 2009 г. вПриложении 2 Закона о защите данных Wayback Machine 1998 г.
  15. ^ a b «Условия обработки - Руководство по защите данных - ICO» . Офис Уполномоченного по информации. Архивировано из оригинала на 6 января 2015 года . Проверено 8 февраля 2013 года .
  16. Закон о защите данных 1998 г. , часть IV (Исключения - преступность и налогообложение), раздел 29. Архивировано 1 июня 2017 г. в Wayback Machine.
  17. ^ Закон о защите данных 1998 г. , часть IV (Исключения - раскрытие информации, требуемое по закону или сделанное в связи с судебными разбирательствами и т. Д.), Раздел 35 Архивировано 23 мая 2017 г. в Wayback Machine
  18. ^ a b Закон о защите данных 1998 г. , часть III (Уведомление контроллеров данных), раздел 21 Архивировано 7 декабря 2009 г. в Wayback Machine , Управление информации государственного сектора)
  19. ^ Закон о защите данных 1998 г. , часть III (Уведомление контроллеров данных), раздел 25 Архивировано 4 февраля 2013 г. на Wayback Machine
  20. ^ Закон о защите данных 1998 г. , часть VI (разное и общее), раздел 55. Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора, доступ осуществлен 14 сентября 2007 г.
  21. ^ Закон о защите данных 1998 г. , часть VI (разное и общее), раздел 56 Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора, доступ осуществлен 14 сентября 2007 г.
  22. ^ «Запросы на принудительный доступ к данным теперь являются уголовным преступлением» . Льюис Силкин . Архивировано 19 марта 2015 года . Проверено 10 марта 2015 года .
  23. ^ Bainbridge, D: "Введение в компьютерный закон - пятое издание", стр. 430. Pearson Education Limited, 2005 г.
  24. ^ Мифы и реальность о защите данных [ постоянная мертвая ссылка ] , Управление комиссара по информации, по состоянию на 30 августа 2008 г.
  25. ^ Иверсен, Эми; Лидделл, Кэтлин; Страх, Никола; Хотопф, Мэтью; Уэссели, Саймон (19 января 2006 г.). «Согласие, конфиденциальность и Закон о защите данных» . BMJ . 332 (7534): 165–169. DOI : 10.1136 / bmj.332.7534.165 . ISSN 0959-8138 . PMC 1336771 . PMID 16424496 .   
  26. ^ "Закон о защите данных 1998" . База данных статутного права Великобритании . Архивировано 20 августа 2012 года . Проверено 20 августа 2012 года .
  27. ^ a b «Ваше право доступа» . Офис Уполномоченного по информации . Архивировано 26 мая 2018 года . Проверено 25 мая 2018 .
  28. ^ «Руководство по защите данных» . Офис Уполномоченного по информации . Проверено 6 января 2015 .
  29. ^ Руководство - Закон о защите данных , страница различных руководств [ постоянная мертвая ссылка ] , Управление комиссара по информации, по состоянию на 20 октября 2007 г.
  30. ^ «Руководство к Общему регламенту защиты данных (GDPR)» . ico.org.uk . 22 декабря 2017. Архивировано 7 января 2018 года . Проверено 6 января 2018 .

Внешние ссылки [ править ]

  • Офис Комиссара по информации
  • Управление по конституционным вопросам
  • Совет Европы - ETS no. 108 - Конвенция о защите частных лиц в отношении автоматической обработки персональных данных (1981 г.) - основа Закона о защите данных 1984 г.
  • Директива 95/46 / EC Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных - основа Закона о защите данных 1998 г.

Законодательство Великобритании [ править ]

  • Текст Закона о защите данных 1998 года, который действует сегодня (включая любые поправки) на территории Соединенного Королевства, с сайта legal.gov.uk .