Закон о защите данных 2012 года (Закон) [1] — это законодательство, принятое парламентом Республики Гана для защиты конфиденциальности и персональных данных физических лиц . Он регулирует процесс получения, хранения, использования или раскрытия персональной информации контроллерами данных и обработчиками данных, требуя соблюдения определенных принципов защиты данных. Несоблюдение положений Закона может повлечь за собой либо гражданскую ответственность, либо уголовные санкции, либо и то, и другое, в зависимости от характера нарушения. Закон также учреждает Комиссию по защите данных , которая уполномочена обеспечивать соблюдение его положений, а также вести Реестр защиты данных.
Акт был впервые представлен в парламент Ганы в 2010 году, но впоследствии был отозван тогдашним министром связи Харуной Иддрису для пересмотра. [2] Парламент принял законопроект в 2012 году, [ 3] который затем получил одобрение президента 10 мая 2012 года . [4] Уведомление о Акте было опубликовано в официальной газете 18 мая 2012 года, [4] и в соответствии с разделом 99 Акт вступил в силу 16 октября 2012 года. [5]
Закон состоит из 99 разделов, которые сгруппированы под различными заголовками следующим образом:
Ключевые термины в Законе определены в разделе толкования, статья 96. Если контекст не требует иного, статья 96 дает следующие определения значимым терминам:
«контролер данных» означает лицо, которое самостоятельно, совместно с другими лицами или совместно с другими лицами или в соответствии с установленной законом обязанностью определяет цели и порядок обработки персональных данных или порядок их обработки.
«Обработчик данных» в отношении персональных данных означает любое лицо, не являющееся сотрудником контролера данных, которое обрабатывает данные от имени контролера данных.
«субъект данных» означает физическое лицо, являющееся субъектом персональных данных.
«иностранный субъект данных» означает информацию о субъекте данных, регулируемую законами иностранной юрисдикции, отправленную в Гану из иностранной юрисдикции исключительно для обработки.
«персональные данные» означают данные о лице, которое может быть идентифицировано, (a) на основе данных или (b) на основе данных или другой информации, находящихся в распоряжении или, вероятно, попавших в распоряжение контролера данных.
«обработка» означает операцию, действие или набор операций, выполняемых автоматическими или иными средствами, которые касаются данных или персональных данных, а также (a) сбора, организации, адаптации или изменения информации или данных, (b) поиска, консультации или использования информации или данных, (c) раскрытия информации или данных путем передачи, распространения или другими доступными способами или (d) выравнивания, комбинирования, блокирования, стирания или уничтожения информации или данных.
«получатель» означает лицо, которому раскрываются данные, включая сотрудника или агента контролера данных или обработчика данных, которому данные раскрываются в ходе обработки данных для контролера данных, но не включает лицо, которому раскрываются в отношении конкретного запроса в соответствии с законодательным актом.
«специальные цели» означают одну или несколько из следующих целей: (a) цель журналистики , (b) когда цель отвечает общественным интересам , (c) художественные цели и (d) литературные цели.
Закон применяется в случаях, когда
Однако данные, которые происходят извне и просто проходят через Гану, не защищены Законом (Раздел 45(4)). Закон применяется к правительству Ганы, и для этой цели каждое правительственное ведомство рассматривается как контролер данных. (Раздел 91)
Закон предусматривает 8 принципов, которые обработчики данных должны учитывать при обработке данных, чтобы защитить конфиденциальность лиц. Эти принципы аналогичны Руководящим принципам ОЭСР [6] и Директиве Европейского Союза о защите данных . [7]
Принципы защиты данных перечислены в разделе 17 следующим образом:
Принцип подотчетности защиты данных обычно рассматривается как основополагающий принцип соответствия. [8] Он требует, чтобы контролер данных нес ответственность за соблюдение мер, которые обеспечивают реализацию принципов защиты данных. [9]
Закон требует от лица, обрабатывающего персональные данные, гарантировать, что данные обрабатываются без нарушения прав субъекта данных и должны обрабатываться законным и разумным образом (Раздел 18(1)). Если данные, подлежащие обработке, касаются иностранного субъекта данных, контролер или обработчик данных должен гарантировать, что персональные данные обрабатываются в соответствии с законами о защите данных исходной юрисдикции (Раздел 18(2)).
Обработка данных является законной, если присутствуют условия, оправдывающие обработку. [10]
В Законе есть положение о минимальности, которое требует, чтобы персональные данные могли обрабатываться только в том случае, если цель, для которой они обрабатываются, является необходимой, уместной и не чрезмерной. (Раздел 19)
Предварительное согласие субъекта данных также требуется до обработки персональных данных. (Раздел 20) Однако это требование подлежит исключениям. Например, когда цель, для которой обрабатываются персональные данные, необходима для целей договора, стороной которого является субъект данных; разрешена или требуется по закону для защиты законных интересов субъекта данных; необходима для надлежащего выполнения установленной законом обязанности или необходима для преследования законных интересов контролера данных или третьей стороны, которой предоставляются данные (раздел 20(1)). Согласие также требуется для обработки особых персональных данных (Раздел 37(2)(b)). Субъект данных также возражает против обработки персональных данных (раздел 20(2)), и обработчик данных обязан прекратить обработку данных при таком возражении (раздел 20(3)).
Что касается хранения записей, Закон запрещает хранение персональных данных в течение периода, превышающего необходимый для достижения цели сбора, за исключением случаев, когда хранение требуется по закону, является обоснованно необходимым для законной цели, связанной с функцией или деятельностью, требуется для договорных целей или субъект данных дал согласие на хранение. (Раздел 24(1)). Требование хранения, однако, не применяется к персональным данным, которые хранятся в исторических, статистических или исследовательских целях (раздел 24(2)), за исключением того, что такие записи должны быть надлежащим образом защищены от доступа или использования в несанкционированных целях (Раздел 24(3)). Если лицо использует запись персональных данных для принятия решения в отношении субъекта данных, данные должны храниться только в течение периода, требуемого законом или кодексом поведения, а если такой закон или кодекс поведения отсутствуют, в течение периода, который предоставит субъекту данных возможность запросить доступ к записи. Однако по истечении срока хранения персональные данные должны быть удалены или уничтожены таким образом, чтобы исключить возможность их восстановления в понятной форме, или запись персональных данных должна быть обезличена. (Разделы 24(4), (5), (6)).
Субъект данных также может потребовать, чтобы запись персональных данных о субъекте данных, хранящаяся у контролера данных, была уничтожена или удалена, если контролер данных больше не имеет полномочий хранить эти данные. (Раздел 33(1) (b))
Закон требует, чтобы контролер данных, который собирает персональные данные, делал это для конкретной цели, которая четко определена и является законной и связана с функциями или деятельностью лица. (Раздел 22) Контролер данных, который собирает данные, также обязан предпринять необходимые шаги для обеспечения того, чтобы субъект данных знал о цели, для которой собираются данные. (Раздел 23)
Закон требует, чтобы в случаях, когда контролер данных хранит персональные данные, собранные в связи с определенной целью, любая дальнейшая обработка этих данных была совместима с целью, для которой персональные данные были первоначально получены. (Раздел 25(1))
Обстоятельства, при которых обработка соответствует требованию совместимости, включают случаи, когда субъекты данных дают согласие на дальнейшую обработку информации, данные находятся в открытом доступе, дальнейшая обработка необходима в целях борьбы с преступностью, для законодательства, касающегося защиты сбора налоговых поступлений, проведения судебных разбирательств, защиты национальной безопасности, общественного здоровья или жизни или здоровья субъекта данных или другого лица. (Раздел 25(3))
В соответствии с разделом 26 Закона контролер данных, обрабатывающий персональные данные, должен гарантировать, что данные являются полными, точными, актуальными и не вводят в заблуждение, с учетом цели, для которой эти данные собираются или обрабатываются.
Принцип открытости гарантирует, что люди знают о своих правах в соответствии с режимом защиты данных и могут участвовать в их реализации. [11]
Раздел 27(1) обязывает контролера данных, который намеревается обрабатывать персональные данные, зарегистрироваться в Комиссии по защите данных. Контролер данных, который намеревается собирать данные, также должен гарантировать, что субъект данных осведомлен о характере собираемых данных, лицах, ответственных за сбор, цели сбора, а также о том, является ли предоставление данных обязательным или дискреционным, среди прочего. (Раздел 27(2))
В случае, если данные собираются от третьей стороны, Закон требует, чтобы субъект данных был проинформирован до сбора данных или как можно скорее после этого. (Раздел 27(3))
Закон предусматривает обстоятельства, при которых требование об уведомлении не применяется, и к ним относятся случаи, когда необходимо избежать компрометации правоохранительных органов, защитить национальную безопасность или когда это связано с подготовкой или проведением судебного разбирательства. Раздел 27(4))
Кроме того, хотя это и не является обязательным, контролер данных может назначить инспектора по защите данных, который будет отвечать за контроль соблюдения Закона (Раздел 58(1), (2)). Инспектор по защите данных может быть сотрудником (Раздел 58(1)) и должен соответствовать квалификационным критериям, установленным Комиссией по защите данных (Раздел 58(7)).
Согласно Закону, контролер данных обязан предотвращать потерю, повреждение или несанкционированное уничтожение персональных данных, а также незаконный доступ к персональным данным или несанкционированную обработку персональных данных. Поэтому контролер данных должен принять соответствующие, разумные, технические и организационные меры для принятия необходимых мер по обеспечению безопасности персональных данных, находящихся в его распоряжении или под его контролем. (Раздел 28(1))
Контролер данных также обязан принимать разумные меры для выявления и предотвращения любых разумно прогнозируемых рисков, а также обеспечивать эффективную реализацию и постоянное обновление любых принятых мер безопасности. (Раздел 28(2))
Контролер данных также должен соблюдать как общепринятые, так и отраслевые передовые практики по защите данных (Раздел 28(3)), а также гарантировать, что обработчики данных соблюдают меры безопасности. (Раздел 30) Если обработчик данных не проживает в Гане, контролер данных должен гарантировать, что обработчик данных соблюдает соответствующие законы своей страны. (Раздел 30(4))
Закон также требует, чтобы контролер данных в кратчайшие разумные сроки уведомлял Комиссию по защите данных и субъекта данных о любых нарушениях безопасности его системы и принимал меры для обеспечения восстановления целостности системы (Раздел 31).
Субъект данных может, при условии подтверждения личности субъекта данных, запросить у контролера данных подтверждение того, владеет ли контролер данными персональными данными этого субъекта данных, описать характер хранящихся персональных данных и личность любой третьей стороны, которая имеет или ранее имела доступ к этим данным (Раздел 32(1)). Однако запрос должен быть сделан разумным образом, в течение разумного периода времени, после уплаты любых предписанных сборов и в форме, которая является общепонятной (Раздел 32(2)).
Субъект данных также может потребовать от контролера данных исправить или удалить персональные данные о субъекте данных, которые хранятся у контролера данных и которые являются неточными, неактуальными, чрезмерными, устаревшими, неполными или вводящими в заблуждение (Раздел 33(1)). После получения запроса контролер данных должен либо выполнить запрос, либо предоставить субъекту данных достоверные доказательства в поддержку данных. (Раздел 33(2)).
В соответствии с разделом 96 «специальные персональные данные» означают персональные данные, которые состоят из информации, которая относится к (a) расе, цвету кожи, этническому или племенному происхождению субъекта данных; (b) политическим взглядам субъекта данных; (c) религиозным убеждениям или другим убеждениям аналогичного характера субъекта данных; (d) физическому, медицинскому, психическому здоровью или психическому состоянию или ДНК субъекта данных; (e) сексуальной ориентации субъекта данных; (f) совершению или предполагаемому совершению преступления лицом; или (g) судебному разбирательству по делу о правонарушении, совершенном или предположительно совершенном лицом, решению по такому разбирательству или приговору любого суда в ходе разбирательства;
Закон запрещает обработку данных, которые относятся к детям, находящимся под родительским контролем, или к религиозным или философским убеждениям, этническому происхождению, расе, членству в профсоюзах, политическим взглядам, здоровью, сексуальной жизни или преступному поведению отдельного лица (раздел 37(1)).
Однако специальные персональные данные могут обрабатываться, если это необходимо или субъект данных дал согласие на обработку (Раздел 37(2)). Обработка персональных данных необходима, если она осуществляется для осуществления права или выполнения обязательства, предоставленного или наложенного законом на работодателя (Раздел 37(3)). Специальные персональные данные, относящиеся к субъектам данных, также могут обрабатываться, если это необходимо для защиты жизненно важных интересов субъекта данных, если субъект данных не может дать согласие или от контролера данных нельзя обоснованно ожидать получения согласия, или согласие субъекта данных было необоснованно отклонено. (Раздел 37(4))
Обработка специальных персональных данных считается необходимой, если она требуется для целей судебного разбирательства, юридической консультации и в медицинских целях, если она осуществляется медицинским работником и подлежит соблюдению конфиденциальности между пациентом и медицинским работником. (Раздел 37(6))
Запрет на обработку особых персональных данных, касающихся религиозных или философских убеждений, не применяется в случаях, когда обработка осуществляется религиозной организацией, членом которой является субъект данных, или учреждением, основанным на религиозных или философских принципах в отношении лиц, связанных с этим учреждением, и необходима для достижения целей учреждения (статья 38(1)).
В соответствии с Законом субъект данных имеет право на исправление своих персональных данных (раздел 33), на доступ к своим персональным данным (раздел 35); на предотвращение обработки персональных данных, которая наносит или может нанести ему неоправданный ущерб или страдания (раздел 39); на предотвращение обработки персональных данных в целях прямого маркетинга (раздел 40); на требование к контролеру данных не принимать решение, которое может существенно повлиять на него, исключительно при обработке автоматическими средствами (раздел 41); на исключение ручных данных (раздел 42), на получение компенсации за несоблюдение контролером данных положений Закона при доказательстве ущерба (раздел 43); и на исправление неточных данных (раздел 44).
Закон учреждает Комиссию по защите данных, имеющую две основные цели:
Функции DPC:
(раздел 3)
DPC управляется советом из 11 членов, который назначается президентом Ганы, и Закон предусматривает определенное конкретное институциональное представительство. (Раздел 4) Члены совета могут занимать должность в течение периода, не превышающего трех лет, и не могут быть назначены более чем на два срока. (Раздел 5(1)) Надбавки для членов совета утверждаются министром, ответственным за коммуникации, по согласованию с министром, ответственным за финансы. (Раздел 9) Совет был официально приведен к присяге 1 ноября 2012 года, [12] в настоящее время его председателем является профессор, судья Сэмюэль Кофи Дате-Бах , отставной судья Верховного суда Ганы. [13] DPC был официально запущен 18 ноября 2014 года . [14]
Акт также уполномочивает президента назначать исполнительного директора (раздел 11), который будет нести ответственность за повседневное управление DPC, а также за реализацию решений Совета. (Раздел 12). Г-жа Теки Акуэтте Фалконер является действующим исполнительным директором. [13]
Согласно Закону, источниками средств DPC являются средства, одобренные парламентом, пожертвования и гранты, средства, которые поступают в DPC при исполнении его функций, а также любые средства, одобренные министром, ответственным за финансы. (Раздел 14)
DPC также наделено полномочиями вручать уведомления о принудительном исполнении контролерам данных, требуя от них воздерживаться от нарушения принципов защиты данных. (Раздел 75) Уведомление о принудительном исполнении может быть отменено или изменено либо DPC по собственной инициативе, либо по заявлению получателя уведомления. (Раздел 76)
Закон предусматривает создание Реестра защиты данных, который должен вести DPC и в котором контролеры данных должны в обязательном порядке регистрироваться. (Раздел 46) Заявки на регистрацию в качестве контролера данных должны быть поданы в письменной форме, и Закон предусматривает определенные сведения, такие как наименование компании и адрес заявителя, описание собираемых персональных данных и описание цели обработки персональных данных. (Раздел 47(1)) Заведомое предоставление ложной информации является правонарушением, наказуемым штрафом или тюремным заключением. (Раздел 47(2)) Кроме того, отдельная запись в реестре должна быть сделана для каждой отдельной цели, для которой контролер данных желает обрабатывать данные. (Раздел 47(3))
DPC имеет право отказать в удовлетворении заявки, если сведения, предоставленные для включения в запись в реестре, недостаточны, контролер данных не смог обеспечить надлежащие гарантии защиты конфиденциальности субъекта данных, и, по мнению DPC, заявитель не заслуживает предоставления регистрации. (Раздел 47(1)) При отклонении заявки на регистрацию DPC обязан сообщить заявителю о причинах отказа, и в таком случае заявитель может обратиться в Высокий суд для судебного пересмотра решения. (Раздел 47(2))
Регистрация в качестве контролера данных подлежит продлению каждые два года (раздел 50). DPC также имеет право отменить регистрацию по уважительной причине. (Раздел 52) Обработка персональных данных без регистрации является правонарушением. (Раздел 56)
Закон также предусматривает доступ общественности к реестру после уплаты установленной платы. (Раздел 54)
Закон предусматривает несколько исключений для различных целей, а именно: обработка персональных данных освобождается от положений Закона, когда это касается национальной безопасности (статья 60), а также в отношении преступности и налогообложения (статья 61); раскрытие персональных данных, касающихся здравоохранения, образования и социальной работы (статья 61); запрещено, если только это не требуется по закону.
Положения Закона также не применяются к защите граждан от определенных убытков или положений о врачебной халатности (раздел 63).
Обработка персональных данных запрещена, за исключением случаев, когда обработка осуществляется в целях создания литературного или художественного материала, и контролер данных обоснованно полагает, что публикация будет отвечать общественным интересам и что соблюдение положения несовместимо с особыми целями. (Раздел 64)
Положения о неразглашении не применяются, если раскрытие информации требуется по закону или по решению суда. (Раздел 66) Закон не применяется, если данные обрабатываются только в целях управления внутренними делами лица. (Раздел 67)
Принципы защиты данных не применяются к персональным данным, если они состоят из ссылок, предоставленных конфиденциально, в целях образования, назначения на должность или предоставления услуг субъектом данных. (Раздел 68)
Положения Закона о субъектной информации не применяются к персональным данным, если они могут нанести ущерб боеспособности Вооруженных сил (статья 69); если они обрабатываются для оценки пригодности лица для назначения на судейскую должность или для предоставления национальной награды (статья 70) или если они содержат информацию в отношении требования о профессиональной привилегии или конфиденциальности (статья 74).
Персональные данные освобождаются от положений Закона, если они относятся к экзаменационным оценкам, обрабатываемым контролером данных, и связаны с результатами отдельного лица (раздел 72) или состоят из информации, записанной кандидатом для академических целей (раздел 73).
Закон запрещает покупку персональных данных, сознательное или неосторожное раскрытие персональных данных, а нарушение этого положения является правонарушением. (Раздел 88)
Закон также квалифицирует продажу, предложение о продаже и рекламу продажи персональных данных как правонарушение. (Раздел 89)
Министр, ответственный за коммуникации, может по согласованию с DPC издавать правила для эффективного применения Закона.
.svg/1280px-Africa_(orthographic_projection).svg.png){kind=small}
