Jump to content

Закон о защите данных 1998 г.

(Перенаправлено из Закона о защите данных 1984 г. )

Закон о защите данных 1998 г.
Акт парламента
Длинное название Закон, содержащий новые положения, регулирующие обработку информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации.
Цитирование 1998 г. 29
Территориальная протяженность
  • Англия и Уэльс
  • Шотландия
  • Северная Ирландия
Даты
Королевское согласие 16 июля 1998 г.
Другое законодательство
Аннулирование/аннулирование Закон о защите данных 1984 г.
Отменено Закон о защите данных 2018 г.
Статус: Отменен
Текст закона в первоначально принятом виде
Закон о защите данных 1984 г.
Act of Parliament
Long titleAn Act to regulate the use of automatically processed information relating to individuals and the provision of services in respect of such information.
Citation1984 c. 35
Dates
Royal assent12 July 1984
Repealed1 March 2000
Other legislation
Repealed byData Protection Act 1998
Status: Repealed
Text of statute as originally enacted

Закон о защите данных 1998 года (пункт 29) (DPA) — это парламентский акт Соединенного Королевства , разработанный для защиты персональных данных , хранящихся на компьютерах или в организованной системе бумажной документации. Он ввел в действие положения Директивы Европейского Союза (ЕС) о защите данных 1995 года о защите, обработке и перемещении данных.

Согласно DPA 1998 года, люди имели законное право контролировать информацию о себе. Большая часть Закона не распространялась на домашнее использование. [1] например, ведение личной адресной книги. Любой, кто хранит персональные данные для других целей, по закону обязан соблюдать этот Закон, за некоторыми исключениями. Закон определил восемь принципов защиты данных, обеспечивающих законную обработку информации.

Он был заменен Законом о защите данных 2018 года (DPA 2018) 23 мая 2018 года. DPA 2018 дополняет Общий регламент ЕС по защите данных (GDPR), который вступил в силу 25 мая 2018 года. GDPR регулирует сбор, хранение и использование персональных данных значительно строже. [2]

Предыстория [ править ]

Закон 1998 года заменил Закон о защите данных 1984 года и Закон о доступе к личным файлам 1987 года . Кроме того, Закон 1998 года реализовал Директиву ЕС о защите данных 1995 года .

Положения о конфиденциальности и электронных коммуникациях (Директива ЕС) 2003 года изменили требование согласия для большей части электронного маркетинга на «положительное согласие», такое как поле для согласия. Исключения сохраняются для маркетинга «аналогичных продуктов и услуг» существующим клиентам и покупателям, что по-прежнему может быть разрешено на основе отказа.

Закон о защите данных Джерси был создан по образцу законодательства Соединенного Королевства. [3]

Содержание [ править ]

Объем охраны [ править ]

В разделе 1 DPA 1998 года «персональные данные» определяются как любые данные, которые могут быть использованы для идентификации живого человека. Анонимные или агрегированные данные в меньшей степени регулировались Законом при условии, что анонимизация или агрегирование не были выполнены обратимо. Лица могли быть идентифицированы различными способами, включая имя и адрес, номер телефона или адрес электронной почты. Закон распространялся только на данные, которые хранились или предназначались для хранения на компьютерах («оборудование, работающее автоматически в ответ на инструкции, данные для этой цели») или хранящиеся в «соответствующей файловой системе». [4]

В некоторых случаях бумажные записи можно было бы классифицировать как соответствующую систему хранения документов, например, адресную книгу или дневник продавца, используемый для поддержки коммерческой деятельности. [5]

Закон о свободе информации 2000 года изменил закон для государственных органов и властей, а дело Дюранта изменило толкование закона, предоставив прецедентное право и прецеденты. [6]

Лицо, чьи данные были обработаны, имело следующие права: [7] [8]

  • в соответствии с разделом 7, для просмотра данных о них, хранящихся в организации, за разумную плату: максимальная плата составляла 2 фунта стерлингов за запросы в кредитно-информационные агентства, 50 фунтов стерлингов за запросы в области здравоохранения и образования и 10 фунтов стерлингов за человека в противном случае, [9]
  • согласно разделу 14, требовать исправления неверной информации. Если бы компания проигнорировала запрос, суд мог бы обязать исправить или уничтожить данные, а в некоторых случаях компенсация . могла бы быть присуждена [10]
  • в соответствии с разделом 10 требовать, чтобы их данные не использовались каким-либо образом, который потенциально мог бы причинить ущерб или страдания. [11]
  • в соответствии с разделом 11 требовать, чтобы их данные не использовались для прямого маркетинга . [12]

Принципы защиты данных [ править ]

В Приложении 1 перечислены восемь «принципов защиты данных»:

  1. Персональные данные должны обрабатываться справедливо и законно и, в частности, не должны обрабатываться, если:
    1. хотя бы одно из условий Приложения 2 соблюдено, и
    2. в случае конфиденциальных персональных данных также соблюдается хотя бы одно из условий Приложения 3.
  2. Персональные данные должны быть получены только для одной или нескольких указанных и законных целей и не подлежат дальнейшей обработке каким-либо образом, несовместимым с этой целью или этими целями.
  3. Персональные данные должны быть адекватными, актуальными и не чрезмерными по отношению к цели или целям, для которых они обрабатываются.
  4. Персональные данные должны быть точными и, при необходимости, обновляться.
  5. Персональные данные, обрабатываемые для каких-либо целей или задач, не должны храниться дольше, чем это необходимо для этой цели или этих целей.
  6. О правах личности, например [13] Персональные данные обрабатываются в соответствии с правами субъектов данных (физических лиц).
  7. Должны быть приняты соответствующие технические и организационные меры против несанкционированной или незаконной обработки персональных данных, а также от случайной потери, уничтожения или повреждения персональных данных.
  8. Персональные данные не передаются в страну или территорию за пределами Европейской экономической зоны , если эта страна или территория не обеспечивает адекватный уровень защиты прав и свобод субъектов данных в отношении обработки персональных данных.

В общих чертах эти восемь принципов были аналогичны шести принципам, изложенным в GDPR 2016 года. [14]

Условия, относящиеся к первому принципу

Персональные данные должны обрабатываться только справедливо и законно. Чтобы данные можно было отнести к категории «достаточно обработанных», к этим данным должно быть применимо хотя бы одно из этих шести условий (Таблица 2).

  1. Субъект данных (лицо, данные которого хранятся) дал согласие («дал разрешение») на обработку;
  2. Обработка необходима для выполнения или начала действия контракта;
  3. Обработка требуется в соответствии с юридическим обязательством (кроме указанного в договоре);
  4. Обработка необходима для защиты жизненно важных интересов субъекта данных;
  5. Обработка необходима для выполнения каких-либо публичных функций;
  6. Обработка необходима для реализации законных интересов «контролера данных» или «третьих лиц» (за исключением случаев, когда это может неоправданно нанести ущерб интересам субъекта данных). [15]
Согласие

За исключением исключений, упомянутых ниже, физическое лицо должно было дать согласие на сбор его личной информации. [16] и его использование в рассматриваемых целях. Европейская директива о защите данных определяет согласие как «…любое свободно данное конкретное и осознанное указание своих желаний, посредством которого субъект данных выражает свое согласие на обработку относящихся к нему персональных данных», что означает, что физическое лицо могло выразить свое согласие не в письменной форме. [ нужна ссылка ] Однако отказ от общения не следует интерпретировать как согласие.

Кроме того, согласие должно было соответствовать возрасту и дееспособности лица, а также другим обстоятельствам дела. Если организация «намеревается продолжать хранить или использовать персональные данные после прекращения отношений с человеком, то согласие должно охватывать это». Когда согласие было дано, не предполагалось, что оно будет длиться вечно, хотя в большинстве случаев согласие длилось столько времени, сколько необходимо для обработки персональных данных, и отдельные лица могли иметь возможность отозвать свое согласие, в зависимости от характера согласия. и обстоятельства, при которых личная информация была собрана и использована. [17]

В Законе о защите данных также указано, что конфиденциальные персональные данные должны обрабатываться в соответствии с более строгими условиями, в частности, любое согласие должно быть явным. [17]

Исключения [ править ]

Закон был построен таким образом, что вся обработка персональных данных подпадала под его действие, хотя в Части IV предусмотрен ряд исключений. [1] Заметными исключениями были:

  • Раздел 28 – Национальная безопасность. Любая обработка в целях обеспечения национальной безопасности освобождается от всех принципов защиты данных, а также от Части II (права доступа субъекта), Части III (уведомление), Части V (принудительное исполнение) и Раздела 55 (Незаконное получение персональных данных). ).
  • Раздел 29 – Преступность и налогообложение. Данные, обрабатываемые для предотвращения или обнаружения преступлений, задержания или судебного преследования правонарушителей, а также для оценки или сбора налогов, освобождаются от первого принципа защиты данных.
  • Раздел 36 – Бытовые цели. Обработка физическим лицом только для целей его личных, семейных или домашних дел освобождается от всех принципов защиты данных, а также от Части II (права доступа субъекта) и Части III (уведомление).

полиции Полномочия и суда

Закон предоставил или признал различные полномочия полиции и суда.

  • Раздел 29. Согласие субъекта данных не требовалось при обработке персональных данных в целях предотвращения или обнаружения преступлений, задержания или преследования правонарушителей, оценки и сбора налогов и пошлин, а также выполнения уставных функций. [18]
  • Раздел 35 – Раскрытие информации, требуемое законом или сделанное в связи с судебным разбирательством. Это включало в себя выполнение постановлений суда и других законов и являлось частью судебного разбирательства. [19]

Преступления [ править ]

В Законе подробно описан ряд гражданских и уголовных правонарушений, за которые контролеры данных могут нести ответственность, если контролер данных не получил надлежащего согласия от субъекта данных. Однако согласие не было конкретно определено в Законе и поэтому являлось вопросом общего права.

  • Раздел 21(1) квалифицирует обработку личной информации без регистрации как правонарушение . [20]
  • Раздел 21(2) квалифицирует как правонарушение несоблюдение правил уведомления, установленных Государственным секретарем. [20] (предложено Комиссаром по информации в соответствии со статьей 25 Закона). [21]
  • Раздел 55 объявил приобретение персональных данных незаконным, а получение несанкционированного доступа к персональным данным — правонарушением для людей (других сторон), таких как хакеры и самозванцы, за пределами организации. [22]
  • Статья 56 квалифицировала уголовным преступлением требование от человека подать запрос на доступ к субъекту, касающийся предупреждений или осуждений, в целях набора персонала, продолжения трудоустройства или предоставления услуг. [23] Этот раздел вступил в силу 10 марта 2015 года. [24]

Сложность [ править ]

Закон Великобритании о защите данных был большим законом, который имел репутацию сложного. [25] Хотя основные принципы защиты конфиденциальности соблюдались, интерпретировать этот закон не всегда было просто. Многие компании, организации и частные лица, похоже, были очень не уверены в целях, содержании и принципах Закона. Некоторые отказались предоставить даже самые простые, общедоступные материалы, ссылаясь на Закон как на ограничение. [26] Закон также повлиял на то, как организации вели бизнес, с точки зрения того, с кем следует связываться в маркетинговых целях, не только по телефону и прямой почтовой рассылке, но и по электронной почте. Это привело к разработке маркетинговых стратегий, основанных на разрешениях. [27]

Определение персональных данных [ править ]

Под персональными данными подразумевались данные, относящиеся к живому лицу, которое можно идентифицировать.

  • из этих данных; или
  • из этих данных, а также другой информации, которая находилась в распоряжении или могла поступить в распоряжение контролера данных.

Конфиденциальные персональные данные касались расы, этнической принадлежности, политики, религии, профсоюзного статуса, здоровья, сексуальной истории или судимости. [28]

Запросы на доступ к теме [ править ]

На веб-сайте Управления комиссара по информации относительно запросов на доступ к теме говорится : [29] «Вы имеете право узнать, использует ли организация или хранит ваши персональные данные. Это называется правом доступа. Вы реализуете это право, запрашивая копию данных, что обычно называется предоставлением «субъектного доступа». запрос.'"

До вступления в силу Общего регламента защиты данных (GDPR) 25 мая 2018 года организации могли взимать определенную плату за ответ на SAR в размере до 10 фунтов стерлингов для большинства запросов. Согласно GDPR: «Копия ваших личных данных должна предоставляться бесплатно. Организация может взимать плату за дополнительные копии. Она может взимать плату только в том случае, если считает, что запрос «явно необоснован или чрезмерен». Если это так, она может запросить разумную плату за административные расходы, связанные с запросом». [29]

Комиссар по информации [ править ]

Соблюдение Закона регулировалось и обеспечивалось независимым органом - Управлением комиссара по информации, которое осуществляло руководство в отношении Закона. [30] [31]

Рабочая группа ЕС 29 по статье

В январе 2017 года Управление Комиссара по информации предложило общественности прокомментировать предложенные Рабочей группой ЕС по статье 29 изменения в законе о защите данных и ожидаемое введение расширений в толкование Закона, Руководства к Общему регламенту защиты данных . [32]

См. также [ править ]

Ссылки [ править ]

  1. Перейти обратно: Перейти обратно: а б Закон о защите данных 1998 г. , Часть IV (Исключения), раздел 36. Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора , по состоянию на 6 сентября 2007 г.
  2. ^ Форд, Майкл (март 1999 г.). «Недавнее законодательство. Закон о защите данных 1998 года». Журнал промышленного права . 28 : 57–60. дои : 10.1093/ilj/28.1.57 .
  3. ^ Джерси: Защита данных в Джерси и других оффшорных юрисдикциях. Архивировано 27 октября 2012 г. в Wayback Machine, 23 июля 2008 г. Статья Венди Бенджамин, mondaq.com,
  4. ^ «Закон о защите данных 1998 г., Основные положения толкования» . Управление информации государственного сектора . Архивировано из оригинала 1 марта 2014 года . Проверено 14 марта 2014 г.
  5. ^ «Определение того, какая информация является «данными» для целей DPA» (PDF) . Управление комиссара по информации . 16 марта 2012 г. Архивировано (PDF) из оригинала 22 июля 2016 г. . Проверено 2 марта 2018 г.
  6. ^ «Что такое персональные данные? Комиссар по информации обновляет руководство» . Пинсентские масоны . 30 августа 2007 г. Архивировано из оригинала 20 октября 2011 г. Проверено 20 августа 2012 г. В деле с участием Майкла Дюранта он запросил информацию, имевшуюся о нем в Управлении по финансовым услугам. Апелляционный суд постановил, что тот факт, что в документе содержится его имя, не обязательно считается персональными данными. Это изменило представление о том, насколько широким может быть определение персональных данных.
  7. ^ Ваши права [ постоянная мертвая ссылка ] , ICO, по состоянию на 6 сентября 2007 г.
  8. ^ « Права отдельных лиц (Принцип 6). Архивировано 18 ноября 2016 г. на Wayback Machine », ICO, по состоянию на 7 декабря 2016 г.
  9. ^ «Часто задаваемые вопросы» . Управление комиссара по информации . Архивировано из оригинала 30 мая 2013 года . Проверено 19 января 2014 г.
  10. ^ «Требование компенсации» . Управление комиссара по информации . Архивировано из оригинала 21 июня 2017 года . Проверено 24 ноября 2017 г.
  11. ^ Закон о защите данных 1998 г. , Часть II (Права субъектов данных и других), раздел 10. Архивировано 5 сентября 2011 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 6 сентября 2007 г.
  12. Закон о защите данных 1998 г. , Часть II (Права субъектов данных и других), раздел 11. Архивировано 4 сентября 2011 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 6 сентября 2007 г.
  13. ^ Права отдельных лиц (Принцип 6), ICO.org.uk , по состоянию на 14 апреля 2011 г.
  14. ^ Максвелл, Ф., Шесть принципов GDPR , Quality Compliance Systems Ltd. , опубликовано 3 февраля 2020 г., по состоянию на 3 января 2024 г.
  15. ^ OPSI.gov.uk. Архивировано 16 апреля 2009 г. в Wayback 1998 г., Приложение 2. Законе о защите машинных данных
  16. ^ Сара, Физерстоун (28 мая 2021 г.). «Как соблюдать GDPR» . Архивировано из оригинала 29 мая 2021 года.
  17. Перейти обратно: Перейти обратно: а б «Условия обработки – Руководство по защите данных – ICO» . Управление комиссара по информации. Архивировано из оригинала 6 января 2015 года . Проверено 8 февраля 2013 г.
  18. ^ Закон о защите данных 1998 г. , Часть IV (Исключения – преступность и налогообложение), раздел 29. Архивировано 1 июня 2017 г. на Wayback Machine.
  19. ^ Закон о защите данных 1998 г. , Часть IV (Исключения — раскрытие информации, требуемое законом или сделанное в связи с судебными разбирательствами и т. д.), раздел 35. Архивировано 23 мая 2017 г. на Wayback Machine.
  20. Перейти обратно: Перейти обратно: а б Закон о защите данных 1998 г. , Часть III (Уведомление контролеров данных), раздел 21. Архивировано 7 декабря 2009 г. в Wayback Machine , Управление информации государственного сектора)
  21. ^ Закон о защите данных 1998 г. , Часть III (Уведомление контролеров данных), раздел 25. Архивировано 4 февраля 2013 г. на Wayback Machine.
  22. Закон о защите данных 1998 г. , Часть VI (Разное и общее), раздел 55. Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 14 сентября 2007 г.
  23. Закон о защите данных 1998 г. , Часть VI (Разное и общее), раздел 56. Архивировано 24 августа 2007 г. в Wayback Machine , Управление информации государственного сектора, по состоянию на 14 сентября 2007 г.
  24. ^ «Принудительные запросы на доступ к субъектам данных теперь являются уголовным преступлением» . Льюис Силкин . Архивировано из оригинала 19 марта 2015 года . Проверено 10 марта 2015 г.
  25. ^ Бейнбридж, Д.: «Введение в компьютерное право – пятое издание», стр. 430. Pearson Education Limited, 2005 г.
  26. ^ Мифы и реальность о защите данных , Управление комиссара по информации , по состоянию на 30 августа 2008 г.
  27. ^ Иверсен, Эми; Лидделл, Кэтлин; Бойся, Никола; Хотопф, Мэтью; Вессели, Саймон (19 января 2006 г.). «Согласие, конфиденциальность и Закон о защите данных» . БМЖ . 332 (7534): 165–169. дои : 10.1136/bmj.332.7534.165 . ISSN   0959-8138 . ПМЦ   1336771 . ПМИД   16424496 .
  28. ^ «Закон о защите данных 1998 года» . База данных статутного права Великобритании . Архивировано из оригинала 20 августа 2012 года . Проверено 20 августа 2012 г.
  29. Перейти обратно: Перейти обратно: а б «Ваше право доступа» . Управление комиссара по информации . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  30. ^ «Руководство по защите данных» . Управление комиссара по информации . Проверено 6 января 2015 г.
  31. ^ Руководство - Закон о защите данных , страница различных руководств. [ постоянная мертвая ссылка ] , Управление комиссара по информации , по состоянию на 20 октября 2007 г.
  32. ^ «Руководство по Общему регламенту защиты данных (GDPR)» . ico.org.uk. ​22 декабря 2017 года. Архивировано из оригинала 7 января 2018 года . Проверено 6 января 2018 года .

Внешние ссылки [ править ]

Законодательство Великобритании [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 321113089278221e4794c983da1c5d36__1715281560
URL1:https://arc.ask3.ru/arc/aa/32/36/321113089278221e4794c983da1c5d36.html
Заголовок, (Title) документа по адресу, URL1:
Data Protection Act 1998 - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)