Закон о защите данных 1998 г.

Законодательство Соединенного Королевства

Законодательство Соединенного Королевства

Закон о защите данных 1998 г. (гл. 29) (DPA) — это закон парламента Соединенного Королевства, призванный защищать персональные данные, хранящиеся на компьютерах или в организованной бумажной системе хранения. Он ввел в действие положения Директивы Европейского союза (ЕС) о защите данных 1995 г. о защите, обработке и перемещении данных.

Согласно DPA 1998 года, частные лица имели законные права контролировать информацию о себе. Большая часть Акта не применялась к домашнему использованию, ^[1] например, ведению личной адресной книги. Любой, кто хранит персональные данные для других целей, был юридически обязан соблюдать этот Акт, за некоторыми исключениями. Акт определил восемь принципов защиты данных, чтобы гарантировать, что информация обрабатывается законно.

Он был заменен Законом о защите данных 2018 года (DPA 2018) 23 мая 2018 года. DPA 2018 дополняет Общий регламент ЕС о защите данных (GDPR), вступивший в силу 25 мая 2018 года. GDPR значительно строже регулирует сбор, хранение и использование персональных данных. ^[2]

Фон

Закон 1998 года заменил Закон о защите данных 1984 года и Закон о доступе к персональным файлам 1987 года . Кроме того, Закон 1998 года ввел в действие Директиву ЕС о защите данных 1995 года .

Правила конфиденциальности и электронных коммуникаций (Директива ЕС) 2003 года изменили требование согласия для большинства видов электронного маркетинга на «позитивное согласие», например, поле для подписки. Исключения остаются для маркетинга «похожих продуктов и услуг» существующим клиентам и запрашивающим, что по-прежнему может быть разрешено на основе отказа.

Закон о защите данных на острове Джерси был разработан по образцу закона Соединенного Королевства. ^[3]

Содержание

Объем защиты

Раздел 1 DPA 1998 определяет «персональные данные» как любые данные, которые могли бы быть использованы для идентификации живого человека. Анонимизированные или агрегированные данные регулировались Актом в меньшей степени, при условии, что анонимизация или агрегация не были сделаны обратимо. Личности могли быть идентифицированы различными способами, включая имя и адрес, номер телефона или адрес электронной почты. Акт применялся только к данным, которые хранились или предназначались для хранения на компьютерах («оборудование, работающее автоматически в ответ на инструкции, данные для этой цели») или хранились в «соответствующей системе хранения данных». ^[4]

В некоторых случаях бумажные записи можно было бы классифицировать как соответствующую систему хранения, например, адресную книгу или дневник продавца, используемый для поддержки коммерческой деятельности. ^[5]

Закон о свободе информации 2000 года изменил закон для государственных органов и властей, а дело Дюранта изменило толкование закона, предоставив прецедентное право и прецедент. ^[6]

Лицо, чьи данные были обработаны, имеет следующие права: ^{[7] [8]}

• в соответствии с разделом 7, просматривать данные о них, хранящиеся в организации, за разумную плату: максимальная плата составляла 2 фунта стерлингов за запросы в кредитные бюро, 50 фунтов стерлингов за запросы в сфере здравоохранения и образования и 10 фунтов стерлингов за каждого отдельного человека в противном случае, ^[9]
• в соответствии с разделом 14, требовать исправления неверной информации. Если компания проигнорирует запрос, суд может потребовать исправления или уничтожения данных, а в некоторых случаях может быть присуждена компенсация . ^[10]
• в соответствии с разделом 10 требовать, чтобы их данные не использовались каким-либо образом, который потенциально мог бы причинить ущерб или страдания. ^[11]
• в соответствии с разделом 11 требовать, чтобы их данные не использовались для прямого маркетинга . ^[12]

Принципы защиты данных

В Приложении 1 перечислены восемь «принципов защиты данных»:

1. Персональные данные должны обрабатываться справедливо и законно и, в частности, не должны обрабатываться, за исключением случаев, когда:
   1. выполнено по крайней мере одно из условий Приложения 2, и
   2. в случае конфиденциальных персональных данных также выполняется по крайней мере одно из условий Приложения 3.
2. Персональные данные должны быть получены только для одной или нескольких указанных и законных целей и не должны подвергаться дальнейшей обработке каким-либо образом, несовместимым с этой целью или этими целями.
3. Персональные данные должны быть адекватными, значимыми и не должны быть чрезмерными по отношению к цели или целям, для которых они обрабатываются.
4. Персональные данные должны быть точными и, при необходимости, обновляться.
5. Персональные данные, обрабатываемые для какой-либо цели или целей, не должны храниться дольше, чем это необходимо для этой цели или этих целей.
6. О правах физических лиц например ^[13] персональные данные обрабатываются в соответствии с правами субъектов данных (физических лиц).
7. Должны быть приняты соответствующие технические и организационные меры против несанкционированной или незаконной обработки персональных данных, а также против случайной потери, уничтожения или повреждения персональных данных.
8. Персональные данные не должны передаваться в страну или на территорию за пределами Европейской экономической зоны , если эта страна или территория не обеспечивает адекватный уровень защиты прав и свобод субъектов данных в отношении обработки персональных данных.

В целом эти восемь принципов были аналогичны шести принципам, изложенным в GDPR 2016 года. ^[14]

Условия, относящиеся к первому принципу

Персональные данные должны обрабатываться только справедливо и законно. Для того, чтобы данные были классифицированы как «справедливо обработанные», по крайней мере одно из этих шести условий должно быть применимо к этим данным (Приложение 2).

1. Субъект данных (лицо, чьи данные хранятся) дал согласие («дал разрешение») на обработку;
2. Обработка необходима для исполнения или начала действия договора;
3. Обработка необходима в соответствии с юридическим обязательством (кроме указанного в договоре);
4. Обработка необходима для защиты жизненно важных интересов субъекта данных;
5. Обработка необходима для выполнения каких-либо публичных функций;
6. Обработка необходима для реализации законных интересов «контролера данных» или «третьих лиц» (если только она не может неоправданно нанести ущерб интересам субъекта данных). ^[15]

Согласие

За исключением исключений, указанных ниже, лицо должно было дать согласие на сбор его личной информации ^[16] и ее использование в рассматриваемых целях. Европейская директива о защите данных определила согласие как «…любое свободно данное конкретное и осознанное указание на свои желания, посредством которого субъект данных выражает свое согласие на обработку персональных данных, относящихся к нему», что означает, что лицо могло выразить согласие иным образом, нежели в письменной форме. ^{[ необходима цитата ]} Однако несообщение не должно было толковаться как согласие.

Кроме того, согласие должно было соответствовать возрасту и возможностям лица и другим обстоятельствам дела. Если организация «намерена продолжать хранить или использовать персональные данные после окончания отношений с лицом, то согласие должно охватывать это». Когда согласие давалось, оно не предполагалось, что оно будет длиться вечно, хотя в большинстве случаев согласие длилось столько времени, сколько требовалось для обработки персональных данных, и лица могли отозвать свое согласие в зависимости от характера согласия и обстоятельств, при которых персональная информация собиралась и использовалась. ^[17]

В Законе о защите данных также указано, что конфиденциальные персональные данные должны обрабатываться в соответствии с более строгими условиями, в частности, любое согласие должно быть явным. ^[17]

Исключения

Закон был структурирован таким образом, что вся обработка персональных данных подпадала под действие закона, при этом в Части IV предусматривался ряд исключений. ^[1] Известными исключениями были:

• Раздел 28 – Национальная безопасность. Любая обработка в целях обеспечения национальной безопасности освобождается от всех принципов защиты данных, а также Части II (права доступа субъекта), Части III (уведомление), Части V (принудительное исполнение) и Раздела 55 (Незаконное получение персональных данных).
• Раздел 29 – Преступность и налогообложение. Данные, обрабатываемые в целях предотвращения или раскрытия преступлений, задержания или судебного преследования правонарушителей, а также оценки или сбора налогов, освобождаются от первого принципа защиты данных.
• Раздел 36 – Внутренние цели. Обработка данных физическим лицом только в целях личных, семейных или домашних дел этого лица освобождается от всех принципов защиты данных, а также Части II (права доступа субъекта) и Части III (уведомление).

Полномочия полиции и суда

Закон предоставил или признал различные полномочия полиции и суда.

• Раздел 29 – Согласие субъекта данных не требуется при обработке персональных данных в целях предотвращения или раскрытия преступлений, задержания или преследования правонарушителей, оценки и сбора налогов и пошлин, а также выполнения установленных законом функций. ^[18]
• Раздел 35 – Раскрытие информации, требуемое законом или сделанное в связи с судебным разбирательством. Это включало в себя выполнение судебных постановлений и других законов и было частью судебного разбирательства. ^[19]

Правонарушения

В Законе подробно описан ряд гражданских и уголовных правонарушений, за которые контролеры данных могли нести ответственность, если контролер данных не получил надлежащего согласия от субъекта данных. Однако согласие не было конкретно определено в Законе и поэтому являлось вопросом общего права.

• Раздел 21(1) сделал обработку персональных данных без регистрации преступлением . ^[20]
• Раздел 21(2) сделал правонарушением несоблюдение правил уведомления, установленных Государственным секретарем ^[20] (предложенных Комиссаром по информации в соответствии с разделом 25 Закона). ^[21]
• Раздел 55 сделал получение персональных данных незаконным, а получение несанкционированного доступа к персональным данным — правонарушением для лиц (иных сторон), таких как хакеры и имитаторы, находящихся за пределами организации. ^[22]
• Раздел 56 сделал уголовным преступлением требование к лицу подать запрос на доступ к субъекту, касающийся предупреждений или осуждений, в целях найма, продолжения трудоустройства или предоставления услуг. ^[23] Этот раздел вступил в силу 10 марта 2015 года. ^[24]

Сложность

Закон Великобритании о защите данных был крупным законом, который имел репутацию сложного. ^[25] Хотя основные принципы соблюдались для защиты конфиденциальности, толкование закона не всегда было простым. Многие компании, организации и отдельные лица, казалось, были очень не уверены в целях, содержании и принципах Закона. Некоторые отказывались предоставлять даже самые основные общедоступные материалы, ссылаясь на Закон как на ограничение. ^[26] Закон также повлиял на способ ведения бизнеса организациями с точки зрения того, с кем следует связываться в маркетинговых целях, не только по телефону и прямой почтовой рассылке, но и в электронном виде. Это привело к разработке маркетинговых стратегий на основе разрешений. ^[27]

Определение персональных данных

Персональные данные определяются как данные, относящиеся к живому человеку, который может быть идентифицирован.

• из этих данных; или
• из этих данных, а также другой информации, которая находилась в распоряжении или может попасть в распоряжение контролера данных.

Конфиденциальные персональные данные касались расы, этнической принадлежности, политических взглядов, религии, статуса в профсоюзе, состояния здоровья, сексуальной жизни или судимости субъекта. ^[28]

Запросы на доступ к теме

На веб-сайте Управления комиссара по информации в отношении запросов на доступ к субъекту указано следующее : ^[29] «Вы имеете право узнать, использует ли организация или хранит ли она ваши персональные данные. Это называется правом доступа. Вы осуществляете это право, запрашивая копию данных, что обычно называется «запросом на доступ к субъекту».

До вступления в силу Общего регламента по защите данных (GDPR) 25 мая 2018 года организации могли взимать определенную плату за ответ на SAR в размере до 10 фунтов стерлингов для большинства запросов. Согласно GDPR: «Копия ваших персональных данных должна предоставляться бесплатно. Организация может взимать плату за дополнительные копии. Она может взимать плату только в том случае, если считает, что запрос «явно необоснованный или чрезмерный». В таком случае она может запросить разумную плату за административные расходы, связанные с запросом». ^[29]

Комиссар по информации

Соблюдение Закона регулировалось и обеспечивалось независимым органом, Управлением комиссара по информации, которое поддерживало руководство, касающееся Закона. ^{[30] [31]}

Рабочая группа ЕС по статье 29

В январе 2017 года Управление комиссара по информации пригласило общественность высказать свои замечания по поводу изменений, предложенных Рабочей группой ЕС по статье 29 в закон о защите данных, и ожидаемого введения расширений в толкование Закона, Руководства по общему регламенту защиты данных . ^[32]

Смотрите также

• Закон о защите данных, 2012 (Гана)
• Закон о неправомерном использовании компьютеров 1990 г.
• Конфиденциальность данных
• Директива о защите данных (ЕС)
• Закон о свободе информации 2000 г.
• Гаскин против Соединенного Королевства
• Список потерь данных правительства Великобритании
• Правила конфиденциальности и электронных коммуникаций (Директива ЕС) 2003 г.
• Общий регламент по защите данных — регламент ЕС 2016 года о защите данных.
• Смит против Lloyds TSB Bank plc
• Дюрант против Управления по финансовым услугам [2003] EWCA Civ 1746
• Закон о защите данных 2018 г. UK Public General Acts. Vol. 2018 c. 12. 23 мая 2018 г. Из законопроекта о защите данных 2017-19 HL Bill [104] . Получено 26 апреля 2024 г.

Ссылки

1. Закон о защите данных 1998 г. , Часть IV (Исключения), Раздел 36 Архивировано 24 августа 2007 г. в Wayback Machine , Office of Public Sector Information , дата обращения 6 сентября 2007 г.
2. Форд, Майкл (март 1999 г.). «Современное законодательство. Закон о защите данных 1998 г.». Industrial Law Journal . 28 : 57–60. doi : 10.1093/ilj/28.1.57.
3. Джерси: Защита данных в Джерси и других офшорных юрисдикциях Архивировано 27 октября 2012 г. в Wayback Machine 23 июля 2008 г. Статья Венди Бенджамин, mondaq.com,
4. "Закон о защите данных 1998 г., основные положения толкования". Office of Public Sector Information . Архивировано из оригинала 1 марта 2014 г. Получено 14 марта 2014 г.
5. «Определение того, какая информация является «данными» для целей DPA» (PDF) . Офис комиссара по информации . 16 марта 2012 г. Архивировано (PDF) из оригинала 22 июля 2016 г. . Получено 2 марта 2018 г. .
6. "Что такое персональные данные? Уполномоченный по информации обновляет руководство". Pinsent Masons . 30 августа 2007 г. Архивировано из оригинала 20 октября 2011 г. Получено 20 августа 2012 г. В деле с участием Майкла Дюранта он запросил информацию, имеющуюся о нем в Управлении по финансовым услугам. Апелляционный суд постановил, что только потому, что документ содержал его имя, он не обязательно определялся как персональные данные. Это изменило восприятие того, насколько широким может быть определение персональных данных.
7. Ваши права ^{[ постоянная мертвая ссылка ]} , ICO, доступ 6 сентября 2007 г.
8. "Права личности (Принцип 6) Архивировано 18 ноября 2016 г. на Wayback Machine ", ICO, доступ получен 7 декабря 2016 г.
9. "FAQs". Information Commissioner's Office . Архивировано из оригинала 30 мая 2013 года . Получено 19 января 2014 года .
10. "Требование компенсации". Information Commissioner's Office . Архивировано из оригинала 21 июня 2017 года . Получено 24 ноября 2017 года .
11. Закон о защите данных 1998 г. , Часть II (Права субъектов данных и других лиц), Раздел 10. Архивировано 5 сентября 2011 г. на Wayback Machine , Управление информации государственного сектора, дата обращения 6 сентября 2007 г.
12. Закон о защите данных 1998 г. , Часть II (Права субъектов данных и других лиц), Раздел 11. Архивировано 4 сентября 2011 г. на Wayback Machine , Управление информации государственного сектора, дата обращения 6 сентября 2007 г.
13. Права личности (Принцип 6), ICO.org.uk, дата обращения 14 апреля 2011 г.
14. Максвелл, Ф., Шесть принципов GDPR, Quality Compliance Systems Ltd. , опубликовано 3 февраля 2020 г., дата обращения 3 января 2024 г.
15. OPSI.gov.uk Архивировано 16 апреля 2009 г. в приложении 2 к Закону о защите машинных данных Wayback 1998 г.
16. Сара, Фезерстоун (28 мая 2021 г.). «Как соблюдать GDPR». Архивировано из оригинала 29 мая 2021 г.
17. "Условия обработки – Руководство по защите данных – ICO". Управление комиссара по информации. Архивировано из оригинала 6 января 2015 года . Получено 8 февраля 2013 года .
18. Закон о защите данных 1998 г. , Часть IV (Исключения — Преступления и налогообложение), Раздел 29. Архивировано 1 июня 2017 г. на Wayback Machine.
19. Закон о защите данных 1998 г. , Часть IV (Исключения — Раскрытие информации, требуемое законом или произведенное в связи с судебными разбирательствами и т. д.), Раздел 35 Архивировано 23 мая 2017 г. на Wayback Machine
20. Закон о защите данных 1998 г. , Часть III (Уведомление контролерами данных), Раздел 21 Архивировано 7 декабря 2009 г. в Wayback Machine , Управление информации государственного сектора)
21. Закон о защите данных 1998 г. , Часть III (Уведомление контролерами данных), Раздел 25. Архивировано 4 февраля 2013 г. на Wayback Machine.
22. Закон о защите данных 1998 г. , часть VI (разное и общее), раздел 55. Архивировано 24 августа 2007 г. на Wayback Machine , Office of Public Sector Information, дата обращения 14 сентября 2007 г.
23. Закон о защите данных 1998 г. , часть VI (разные и общие положения), раздел 56. Архивировано 24 августа 2007 г. на Wayback Machine , Office of Public Sector Information, дата обращения 14 сентября 2007 г.
24. "Принудительные запросы на доступ к субъекту данных теперь являются уголовным преступлением". Льюис Силкин . Архивировано из оригинала 19 марта 2015 года . Получено 10 марта 2015 года .
25. Бейнбридж, Д.: «Введение в компьютерное право – Пятое издание», стр. 430. Pearson Education Limited, 2005
26. Мифы и реальность защиты данных , Управление комиссара по информации , доступ 30 августа 2008 г.
27. Иверсен, Эми; Лидделл, Кэтлин; Фир, Никола; Хотопф, Мэтью; Уэссели, Саймон (19 января 2006 г.). «Согласие, конфиденциальность и Закон о защите данных». BMJ . 332 (7534): 165–169. doi :10.1136/bmj.332.7534.165. ISSN  0959-8138. PMC 1336771 . PMID  16424496. 
28. "Закон о защите данных 1998 года". База данных законов Великобритании . Архивировано из оригинала 20 августа 2012 года . Получено 20 августа 2012 года .
29. "Ваше право доступа". Information Commissioner's Office . Архивировано из оригинала 26 мая 2018 года . Получено 25 мая 2018 года .
30. "Руководство по защите данных". Офис комиссара по информации . Получено 6 января 2015 г.
31. Руководство – Закон о защите данных , Страница с различными руководствами ^{[ постоянная нерабочая ссылка ]} , Управление комиссара по информации , доступ получен 20 октября 2007 г.
32. "Руководство по Общему регламенту по защите данных (GDPR)". ico.org.uk. 22 декабря 2017 г. Архивировано из оригинала 7 января 2018 г. Получено 6 января 2018 г.

Внешние ссылки

• Офис комиссара по информации
• Департамент по конституционным вопросам
• Совет Европы – ETS № 108 – Конвенция о защите частных лиц при автоматизированной обработке персональных данных (1981 г.) – основа для Закона о защите данных 1984 г.
• Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите лиц в отношении обработки персональных данных и о свободном перемещении таких данных — основа Закона о защите данных 1998 г.

законодательство Великобритании

• Текст Закона о защите данных 1998 года, действующий на сегодняшний день (включая все поправки) в Соединенном Королевстве, с сайта legal.gov.uk .