1998年数据保护法令
国会法令 | |
大不列颠及北爱尔兰联合王国 | |
---|---|
全名 | An Act to make new provision for the regulation of the processing of information relating to individuals, including the obtaining, holding, use or disclosure of such information. |
适用地域 | 大不列颠及北爱尔兰联合王国 |
日期 | |
御准 | 1998年7月16日 |
生效 | 2000年3月 |
其他法例 | |
废止 | Data Protection Act 1984 |
现状:已施行 | |
1998年数据保护法令的当今生效版本(包括所有修订)(官方文本由英国成文法资料库提供) |
《1998年数据保护法案》(Data Protection Act 1998,简称DPA)是英国一项议会法案。该法案规定了如何处理可识别身份的在世人士的个人信息,是数据保护管制的主要法规。虽然该法案本身并没有提到隐私,它的颁布使英国关于个人信息的处理以及此类信息自由流通的相关规定符合1995年欧盟数据保护指令中对个人的保护所作出的相关指示。在执行上,这项法案让个人有途径控制与自己有关的信息。该法案的大部分并不是针对家居用途,例如保存一份个人的地址簿。根据规定,任何人要将个人信息用于其他目的时,都有义务遵循这一法案,但有一些例外。该法规定了八个数据保护原则,适用于各种情况,以确保信息的依法处理。
历史
1998年法案取代、巩固了先前如《1984年数据保护法》和《1987年查阅个人档案法》等相关法案。与此同时,它旨在贯彻欧洲数据保护指令。在一些方面中,特别是电子通信和销售,它已因法律原因被后来的立法细化。2003年隐私和电子通信(EC指令)规例改变了适用于大多数电子营销的同意要求,必需要“主动同意”,比如在选择框选择“同意”。对于向现有客户和查询者推销“类似产品和服务”,豁免仍然保留,在提供“选择不参加”选项的基础上可以继续进行。
泽西的数据保护法是仿照英国的法律。
个人资料
该法的“个人资料”的定义涵盖可用于识别个别在世人士的任何数据。该法不规管匿名或代表整体的数据,只要匿名化或整体化的数据不能逆向得出个人数据就可以。个人可以通过各种手段,包括他们的姓名、地址、电话号码或电子邮件地址来标识。该法只适用于被持有,或拟保留在计算机(“按照为此目的而作出的指示自动操作的设备”)或“相关档案系统”内的数据。
在某些情况下,即使是纸本地址簿也可以归类为“相关档案系统”,举例,用于支持商业活动的日记,如销售人员的日记。
《2000年信息自由法》以公共机构和当局为对象修改法律,而“杜兰特案”则成为改变对本法的诠释的一个判例。
《数据保护法》为那些被存储数据的个人创建了权利,而存储、处理或传输这些数据的人则需要负上责任。有个人资料被处理的人拥有下列权利:
- 检视被某组织保存的关于自己的数据。只要付出一个象征性的费用,就可以提出检视数据的请求。截至2014年1月,信用调查机构对该等请求的最高收费是2英镑,关于健康和教育的请求是50镑,而其它则是每人10镑。
- 请求更正不正确的信息。如果公司忽略该请求,法院可以命令数据更正或销毁,并且在一些情况下可以颁令提供补偿。
- 要求数据不以任何可能会潜在地导致损害或引起苦恼的方式使用。
- 要求其数据不用于直接营销。
数据保护原则(附表1)
- 个人资料应被公平、合法地处理,特别是,不得在除下面以外的情况下处理:
- 至少满足一条附表2中的条款,并且
- 若涉及敏感的个人信息,则还需要满足附表3中的至少一条条款。
- 个人数据仅能因一个或多个明确规定且合法的目的而获得,并且不得以任何与该目的相悖(incompatible)的方式额外处理。
- 就处理该等资料的目的而言,个人资料应充分、与目的相关以及不应超出该等目的所需。
- 个人数据应当准确,并在必要时保持更新。
- 为任何目的或用途而处理的个人数据,保存期限不得超过为该等目的而需要保存的期限。
- 关于个人权利,例如个人资料将遵遁数据主体(人)的权利处理。
- 应采取适当的技术和组织措施保护个人数据,防止未经授权或非法的处理个人数据,及防止意外丢失、破坏或损坏个人数据。
- 个人资料不得转移到欧洲经济区以外的国家或地区,除非该国家或地区在有关个人数据处理方面确保了数据主体的权利和自由受到适当水平的保障。
第一条原则的相关条件
个人资料只应公平、合法地处理。为了数据被归类为“公平的处理”,这六个条件中的至少一个必须是适用于该数据(附表2)。
- 数据主体(其数据被存储的人)已同意(“给予其许可”)该等处理;
- 处理是执行或开始一个合约所必需;
- 处理是因应(在合同规定以外)法律上义务所必需;
- 处理是保护数据主体的切身利益所必需;
- 处理是进行任何公共职能所必需;
- 处理是“数据控制”或“第三方”追求合法利益所必需(除非此举可能无理损害资料当事人的利益)。
同意
除了下面提到的例外下,个体需要同意将他们的个人信息和其在所讨论的目的(多个)使用的集合。在欧洲数据保护指令同意定义为“......正在处理由数据主体表示他同意与他的个人资料他的愿望的任何自由给予具体指示知情”,这意味着个人可能意味着比其他书面形式的协议。然而,非通信不应该被解释为同意。
此外,同意应适当的年龄和情况下的个人和其他情况的能力。例如,如果一个组织“打算继续持有或个人目的的关系后使用个人数据,那么同意应涵盖这一点。” 并且给出同意,即使,它不应该被假定为永远持续下去。虽然在大多数情况下,同意只要需要个人数据要被处理持续,个人可能能够撤回他们的同意,这取决于同意的性质,并且其中所述个人信息被收集和使用的情况。
数据保护法案还规定,敏感的个人数据必须按照严格的一系列条件,特别是任何同意必须是明确的处理。
例外
该法案的结构是这样,个人的所有数据处理由该法所覆盖,而在第四部分提供了大量异常。值得注意的例外是:
- 第28条 - 国家安全。为维护国家安全的目的,任何的处理是所有的数据保护原则豁免,以及第二部分(如有的访问权限),第三部分(通知),第五部分(实施),和第55条(非法获取个人数据)。
- 第29条 - 犯罪与税收。为预防或犯罪的检测处理的数据,逮捕或起诉罪犯,或税收评估或征收是从第一保障资料原则的约束。
- 第36条 - 国内的目的。处理只针对个人的个人,家庭或家庭事务的目的,一个人是从所有的数据保护原则豁免,以及第二部分(如有访问权限)和第三部分(通知)。
罪行
该法详细介绍了一些民事和刑事犯罪为其如果数据控制器未能从数据主体获得适当的同意,数据控制器可能会承担责任。然而,'同意'没有具体的法律规定,因此是一种常见的法律问题。
- 次节21(1),使得它处理个人信息不属违法登记。
- 次节21(2)使之成为进攻不遵守通知规定(页面存档备份,存于互联网档案馆)由国务秘书(提议的信息专员根据该法第25条)。
- 第55条非法使个人数据的获取。本节使它成为人(其他缔约方),如黑客和模仿的罪行,组织外部获取到的个人数据的未授权访问。
- 第56使它成为刑事犯罪,要求个人作出的关乎一个主题访问请求警告或定罪招聘的目的,继续就业,或服务的提供。本节3月10日2015年生效
复杂性
英国数据保护法是具有复杂性的声誉的大型法案。虽然基本原则荣幸为保护隐私,在解释该行为并不总是简单的。许多企业,组织和个人显得非常不确定该法案的目标,内容和原则。一些隐藏法案后面,拒绝提供连非常基本的,公开资料报价行为为限。该法在其组织中谁可以联系用于营销目的,不仅通过电话和直接邮寄,而且电子,并导致了基于许可营销战略的发展方面开展业务的方式也会影响。
解读
个人数据的定义
个人数据的定义是与谁可以识别一个活个体数据
- 从该数据或
- 从数据中藏等信息,或有可能接触到藏,数据控制器
敏感的个人数据关注对象的种族,民族,政治,宗教,工会的地位,健康状况,性生活或犯罪记录。
条例
一个独立机构信息专员办公室负责本法的规管和执行。