Закон о защите данных 1998 г.

Законодательство Соединенного Королевства

Законодательство Соединенного Королевства

Закон о защите данных 1998 года (пункт 29) (DPA) — это парламентский акт Соединенного Королевства , разработанный для защиты персональных данных , хранящихся на компьютерах или в организованной системе бумажной документации. Он ввел в действие положения Директивы Европейского Союза (ЕС) о защите данных 1995 года о защите, обработке и перемещении данных.

Согласно DPA 1998 года, люди имели законное право контролировать информацию о себе. Большая часть Закона не применялась к домашнему использованию, ^[1] например, к ведению личной адресной книги. Любой, кто хранит персональные данные для других целей, по закону обязан соблюдать этот Закон, за некоторыми исключениями. Закон определил восемь принципов защиты данных, обеспечивающих законную обработку информации.

Он был заменен Законом о защите данных 2018 года (DPA 2018) 23 мая 2018 года. DPA 2018 дополняет Общий регламент ЕС по защите данных (GDPR), который вступил в силу 25 мая 2018 года. GDPR регулирует сбор, хранение и использование персональных данных значительно строже. ^[2]

Фон

Закон 1998 года заменил Закон о защите данных 1984 года и Закон о доступе к личным файлам 1987 года . Кроме того, Закон 1998 года реализовал Директиву ЕС о защите данных 1995 года .

Положения о конфиденциальности и электронных коммуникациях (Директива ЕС) 2003 года изменили требование согласия для большей части электронного маркетинга на «положительное согласие», такое как поле для согласия. Исключения остаются для маркетинга «аналогичных продуктов и услуг» существующим клиентам и покупателям, что по-прежнему может быть разрешено при условии отказа.

Закон о защите данных Джерси был создан по образцу законодательства Соединенного Королевства. ^[3]

Содержание

Объем защиты

В разделе 1 DPA 1998 года «персональные данные» определяются как любые данные, которые могут быть использованы для идентификации живого человека. Анонимизация или агрегирование данных в меньшей степени регулировались Законом при условии, что анонимизация или агрегирование не были выполнены обратимо. Лица могли быть идентифицированы различными способами, включая имя и адрес, номер телефона или адрес электронной почты. Закон распространялся только на данные, которые хранились или предназначались для хранения на компьютерах («оборудование, работающее автоматически в ответ на инструкции, данные для этой цели») или хранящиеся в «соответствующей файловой системе». ^[4]

В некоторых случаях бумажные записи можно было бы классифицировать как соответствующую систему хранения документов, например, адресную книгу или дневник продавца, используемый для поддержки коммерческой деятельности. ^[5]

Закон о свободе информации 2000 года изменил закон для государственных органов и властей, а дело Дюранта изменило толкование закона, предоставив прецедентное право и прецеденты. ^[6]

Лицо, чьи данные были обработаны, имело следующие права: ^{[7] [8]}

• в соответствии с разделом 7, для просмотра данных о них, хранящихся в организации, за разумную плату: максимальная плата составляла 2 фунта стерлингов за запросы в кредитно-справочные агентства, 50 фунтов стерлингов за запросы на здравоохранение и образование и 10 фунтов стерлингов за человека в противном случае ^[9]
• согласно разделу 14, требовать исправления неверной информации. Если бы компания проигнорировала запрос, суд мог бы обязать исправить или уничтожить данные, а в некоторых случаях могла бы быть присуждена компенсация . ^[10]
• в соответствии с разделом 10 требовать, чтобы их данные не использовались каким-либо образом, который потенциально мог бы причинить ущерб или страдания. ^[11]
• в соответствии с разделом 11 требовать, чтобы их данные не использовались для прямого маркетинга . ^[12]

Принципы защиты данных

В Приложении 1 перечислены восемь «принципов защиты данных»:

1. Персональные данные должны обрабатываться справедливо и законно и, в частности, не должны обрабатываться, если:
   1. хотя бы одно из условий Приложения 2 соблюдено, и
   2. в случае конфиденциальных персональных данных также соблюдается хотя бы одно из условий Приложения 3.
2. Персональные данные должны быть получены только для одной или нескольких указанных и законных целей и не подлежат дальнейшей обработке каким-либо образом, несовместимым с этой целью или этими целями.
3. Персональные данные должны быть адекватными, актуальными и не чрезмерными по отношению к цели или целям, для которых они обрабатываются.
4. Персональные данные должны быть точными и, при необходимости, обновляться.
5. Персональные данные, обрабатываемые для каких-либо целей или задач, не должны храниться дольше, чем это необходимо для этой цели или этих целей.
6. О правах физических лиц Например, ^[13] персональные данные обрабатываются в соответствии с правами субъектов данных (физических лиц).
7. Должны быть приняты соответствующие технические и организационные меры против несанкционированной или незаконной обработки персональных данных, а также против случайной потери, уничтожения или повреждения персональных данных.
8. Персональные данные не передаются в страну или территорию за пределами Европейской экономической зоны , если эта страна или территория не обеспечивает адекватный уровень защиты прав и свобод субъектов данных в отношении обработки персональных данных.

В общих чертах эти восемь принципов были аналогичны шести принципам, изложенным в GDPR 2016 года. ^[14]

Условия, относящиеся к первому принципу

Персональные данные должны обрабатываться только справедливо и законно. Чтобы данные можно было отнести к категории «достаточно обработанных», к этим данным должно быть применимо хотя бы одно из этих шести условий (Таблица 2).

1. Субъект данных (лицо, данные которого хранятся) дал согласие («дал разрешение») на обработку;
2. Обработка необходима для выполнения или начала действия контракта;
3. Обработка требуется в соответствии с юридическим обязательством (кроме указанного в договоре);
4. Обработка необходима для защиты жизненно важных интересов субъекта данных;
5. Обработка необходима для выполнения каких-либо публичных функций;
6. Обработка необходима для реализации законных интересов «контролера данных» или «третьих лиц» (за исключением случаев, когда это может неоправданно нанести ущерб интересам субъекта данных). ^[15]

Согласие

За исключением исключений, упомянутых ниже, физическое лицо должно было дать согласие на сбор своей личной информации ^[16] и ее использование в рассматриваемых целях. Европейская директива о защите данных определяет согласие как «…любое свободно данное конкретное и осознанное указание своих желаний, посредством которого субъект данных выражает свое согласие на обработку относящихся к нему персональных данных», что означает, что физическое лицо могло выразить свое согласие не в письменной форме. ^{[ нужна цитация ]} Однако отсутствие связи не должно интерпретироваться как согласие.

Кроме того, согласие должно было соответствовать возрасту и дееспособности лица, а также другим обстоятельствам дела. Если организация «намеревается продолжать хранить или использовать персональные данные после прекращения отношений с человеком, то согласие должно охватывать это». Когда согласие было дано, не предполагалось, что оно будет длиться вечно, хотя в большинстве случаев согласие длилось столько времени, сколько необходимо для обработки персональных данных, и отдельные лица могли иметь возможность отозвать свое согласие, в зависимости от характера согласия. и обстоятельства, при которых личная информация была собрана и использована. ^[17]

В Законе о защите данных также указано, что конфиденциальные персональные данные должны обрабатываться в соответствии с более строгими условиями, в частности, любое согласие должно быть явным. ^[17]

Исключения

Закон был структурирован таким образом, что вся обработка персональных данных подпадала под действие закона, хотя в Части IV был предусмотрен ряд исключений. ^[1] Заметными исключениями были:

• Раздел 28 – Национальная безопасность. Любая обработка в целях обеспечения национальной безопасности освобождается от всех принципов защиты данных, а также от Части II (права доступа субъекта), Части III (уведомление), Части V (принудительное исполнение) и Раздела 55 (Незаконное получение персональных данных). ).
• Раздел 29 – Преступность и налогообложение. Данные, обрабатываемые для предотвращения или обнаружения преступлений, задержания или судебного преследования правонарушителей, а также для оценки или сбора налогов, освобождаются от первого принципа защиты данных.
• Раздел 36 – Бытовые цели. Обработка физическим лицом только в целях его личных, семейных или домашних дел освобождается от всех принципов защиты данных, а также от Части II (права доступа субъекта) и Части III (уведомление).

Полномочия полиции и суда

Закон предоставил или признал различные полномочия полиции и суда.

• Раздел 29. Согласие субъекта данных не требовалось при обработке персональных данных в целях предотвращения или обнаружения преступлений, задержания или преследования правонарушителей, оценки и сбора налогов и пошлин, а также выполнения уставных функций. ^[18]
• Раздел 35 – Раскрытие информации, требуемое законом или сделанное в связи с судебным разбирательством. Это включало в себя выполнение постановлений суда и других законов и являлось частью судебного разбирательства. ^[19]

Преступления

В Законе подробно описан ряд гражданских и уголовных правонарушений, за которые контролеры данных могут нести ответственность, если контролер данных не получил надлежащего согласия от субъекта данных. Однако согласие не было конкретно определено в Законе и поэтому являлось вопросом общего права.

• Раздел 21(1) квалифицирует обработку личной информации без регистрации как правонарушение . ^[20]
• Раздел 21(2) квалифицирует правонарушением несоблюдение правил уведомления, установленных Государственным секретарем ^[20] (предложенных Комиссаром по информации в соответствии со статьей 25 Закона). ^[21]
• Раздел 55 объявил приобретение персональных данных незаконным, а получение несанкционированного доступа к персональным данным — правонарушением для людей (других сторон), таких как хакеры и самозванцы, за пределами организации. ^[22]
• Статья 56 квалифицировала уголовным преступлением требование от лица подать запрос на доступ к субъекту, касающийся предупреждений или осуждений , в целях набора на работу, продолжения трудоустройства или предоставления услуг. ^[23] Этот раздел вступил в силу 10 марта 2015 года. ^[24]

Сложность

Закон Великобритании о защите данных был большим законом, который имел репутацию сложного. ^[25] Хотя основные принципы защиты конфиденциальности соблюдались, интерпретация закона не всегда была простой. Многие компании, организации и частные лица, похоже, были очень не уверены в целях, содержании и принципах Закона. Некоторые отказались предоставить даже самые простые общедоступные материалы, ссылаясь на Закон как на ограничение. ^[26] Закон также повлиял на способ ведения бизнеса организациями с точки зрения того, с кем следует связываться в маркетинговых целях не только по телефону и прямой почтовой рассылке, но и по электронной почте. Это привело к разработке маркетинговых стратегий, основанных на разрешениях. ^[27]

Определение персональных данных

Под персональными данными понимались данные, относящиеся к живому лицу, которое можно идентифицировать.

• из этих данных; или
• из этих данных, а также другой информации, которая находилась в распоряжении или могла поступить в распоряжение контролера данных.

Конфиденциальные персональные данные касались расы, этнической принадлежности, политики, религии, профсоюзного статуса, здоровья, сексуального анамнеза или судимости. ^[28]

Запросы на доступ к субъекту

На веб-сайте Управления комиссара по информации относительно запросов на доступ к субъектам говорится : ^[29] «Вы имеете право узнать, использует или хранит ли организация ваши личные данные. Это называется правом доступа. Вы реализуете это право, запрашивая копию. данных, что обычно называют «запросом субъектного доступа».

До вступления в силу Общего регламента защиты данных (GDPR) 25 мая 2018 года организации могли взимать определенную плату за ответ на SAR в размере до 10 фунтов стерлингов для большинства запросов. Согласно GDPR: «Копия ваших личных данных должна предоставляться бесплатно. Организация может взимать плату за дополнительные копии. Она может взимать плату только в том случае, если считает, что запрос «явно необоснован или чрезмерен». Если это так, она может запросить разумную плату за административные расходы, связанные с запросом». ^[29]

Комиссар по информации

Соблюдение Закона регулировалось и обеспечивалось независимым органом - Управлением комиссара по информации, которое осуществляло руководство в отношении Закона. ^{[30] [31]}

Рабочая группа ЕС по статье 29

В январе 2017 года Управление Комиссара по информации предложило общественности прокомментировать предложенные Рабочей группой ЕС по статье 29 изменения в законе о защите данных и ожидаемое введение расширений в толкование Закона, Руководства к Общему регламенту защиты данных . ^[32]

Смотрите также

• Закон о защите данных, 2012 г. (Гана)
• Закон о неправомерном использовании компьютеров 1990 г.
• Конфиденциальность данных
• Директива о защите данных (ЕС)
• Закон о свободе информации 2000 г.
• Гаскин против Соединенного Королевства
• Список потерь данных правительства Великобритании
• Положения о конфиденциальности и электронных коммуникациях (Директива ЕС) 2003 г.
• Общий регламент по защите данных – постановление ЕС о защите данных 2016 года.
• Смит против Lloyds TSB Bank plc
• Дюрант против Управления финансовых услуг [2003] EWCA Civ 1746
• Закон о защите данных 2018 г. Общие государственные законы Великобритании. Том. 2018 г. 12. 23 мая 2018 г. Из законопроекта о защите данных 2017–19 HL Bill [104] . Проверено 26 апреля 2024 г.

Рекомендации

1. Закон о защите данных 1998 г. , Часть IV (Исключения), Раздел 36. Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора , по состоянию на 6 сентября 2007 г.
2. Форд, Майкл (март 1999 г.). «Недавнее законодательство. Закон о защите данных 1998 года». Журнал промышленного права . 28 : 57–60. дои : 10.1093/ilj/28.1.57.
3. Джерси: Защита данных в Джерси и других оффшорных юрисдикциях. Архивировано 27 октября 2012 г. в Wayback Machine, 23 июля 2008 г. Статья Венди Бенджамин, mondaq.com,
4. «Закон о защите данных 1998 г., Основные положения толкования» . Управление информации государственного сектора . Архивировано из оригинала 1 марта 2014 года . Проверено 14 марта 2014 г.
5. «Определение того, какая информация является« данными »для целей DPA» (PDF) . Управление комиссара по информации . 16 марта 2012 г. Архивировано (PDF) из оригинала 22 июля 2016 г. . Проверено 2 марта 2018 г.
6. «Что такое персональные данные? Комиссар по информации обновляет руководство» . Пинсентские масоны . 30 августа 2007 г. Архивировано из оригинала 20 октября 2011 г. Проверено 20 августа 2012 г. В деле с участием Майкла Дюранта он запросил информацию, имевшуюся о нем в Управлении по финансовым услугам. Апелляционный суд постановил, что тот факт, что в документе содержится его имя, не обязательно считается персональными данными. Это изменило представление о том, насколько широким может быть определение персональных данных.
7. Ваши права ^{[ постоянная мертвая ссылка ]} , ICO, по состоянию на 6 сентября 2007 г.
8. «Права отдельных лиц (Принцип 6). Архивировано 18 ноября 2016 г. на Wayback Machine », ICO, по состоянию на 7 декабря 2016 г.
9. «Часто задаваемые вопросы». Управление комиссара по информации . Архивировано из оригинала 30 мая 2013 года . Проверено 19 января 2014 г.
10. «Требование компенсации». Управление комиссара по информации . Архивировано из оригинала 21 июня 2017 года . Проверено 24 ноября 2017 г.
11. Закон о защите данных 1998 г. , Часть II (Права субъектов данных и других), раздел 10. Архивировано 5 сентября 2011 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 6 сентября 2007 г.
12. Закон о защите данных 1998 г. , Часть II (Права субъектов данных и других), раздел 11. Архивировано 4 сентября 2011 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 6 сентября 2007 г.
13. Права отдельных лиц (Принцип 6), ICO.org.uk, по состоянию на 14 апреля 2011 г.
14. Максвелл, Ф., Шесть принципов GDPR, Quality Compliance Systems Ltd. , опубликовано 3 февраля 2020 г., по состоянию на 3 января 2024 г.
15. OPSI.gov.uk. Архивировано 16 апреля 2009 г. в Законе о защите машинных данных Wayback 1998 г., Приложение 2.
16. Сара, Физерстоун (28 мая 2021 г.). «Как соблюдать GDPR». Архивировано из оригинала 29 мая 2021 года.
17. «Условия обработки – Руководство по защите данных – ICO». Управление комиссара по информации. Архивировано из оригинала 6 января 2015 года . Проверено 8 февраля 2013 г.
18. Закон о защите данных 1998 г. , Часть IV (Исключения – преступность и налогообложение), раздел 29. Архивировано 1 июня 2017 г. на Wayback Machine.
19. Закон о защите данных 1998 г. , Часть IV (Исключения – раскрытие информации, требуемое законом или сделанное в связи с судебными разбирательствами и т. д.), раздел 35. Архивировано 23 мая 2017 г. на Wayback Machine.
20. Закон о защите данных 1998 г. , Часть III (Уведомление контролеров данных), раздел 21. Архивировано 7 декабря 2009 г. в Wayback Machine , Управление информации государственного сектора)
21. Закон о защите данных 1998 г. , Часть III (Уведомление контролеров данных), раздел 25. Архивировано 4 февраля 2013 г. на Wayback Machine.
22. Закон о защите данных 1998 г. , Часть VI (Разное и общее), раздел 55. Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 14 сентября 2007 г.
23. Закон о защите данных 1998 г. , Часть VI (Разное и общее), раздел 56. Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 14 сентября 2007 г.
24. «Принудительные запросы на доступ к субъектам данных теперь являются уголовным преступлением» . Льюис Силкин . Архивировано из оригинала 19 марта 2015 года . Проверено 10 марта 2015 г.
25. Бейнбридж, Д.: «Введение в компьютерное право – пятое издание», с. 430. Pearson Education Limited, 2005 г.
26. Мифы и реальность о защите данных , Управление комиссара по информации , по состоянию на 30 августа 2008 г.
27. Иверсен, Эми; Лидделл, Кэтлин; Бойся, Никола; Хотопф, Мэтью; Вессели, Саймон (19 января 2006 г.). «Согласие, конфиденциальность и Закон о защите данных». БМЖ . 332 (7534): 165–169. дои : 10.1136/bmj.332.7534.165. ISSN  0959-8138. ПМЦ 1336771 . ПМИД  16424496. 
28. «Закон о защите данных 1998 г.» . База данных статутного права Великобритании . Архивировано из оригинала 20 августа 2012 года . Проверено 20 августа 2012 г.
29. «Ваше право доступа». Управление комиссара по информации . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
30. «Руководство по защите данных». Управление комиссара по информации . Проверено 6 января 2015 г.
31. Руководство – Закон о защите данных , Страница различных руководств ^{[ постоянная мертвая ссылка ]} , Управление комиссара по информации , по состоянию на 20 октября 2007 г.
32. «Руководство по Общему регламенту защиты данных (GDPR)» . ico.org.uk. ​22 декабря 2017 года. Архивировано из оригинала 7 января 2018 года . Проверено 6 января 2018 года .

Внешние ссылки

• Офис комиссара по информации
• Департамент по конституционным вопросам
• Совет Европы – ETS no. 108 – Конвенция о защите частных лиц в отношении автоматической обработки персональных данных (1981 г.) – основа Закона о защите данных 1984 г.
• Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных – основа Закона о защите данных 1998 г.

Законодательство Великобритании

• Текст Закона о защите данных 1998 г., действующего на сегодняшний день (включая любые поправки) на территории Соединенного Королевства, с сайта законодательный.gov.uk .