1998年數據保護法令
國會法令 | |
大不列顛及北愛爾蘭聯合王國 | |
---|---|
全名 | An Act to make new provision for the regulation of the processing of information relating to individuals, including the obtaining, holding, use or disclosure of such information. |
適用地域 | 大不列顛及北愛爾蘭聯合王國 |
日期 | |
御准 | 1998年7月16日 |
生效 | 2000年3月 |
其他法例 | |
廢止 | Data Protection Act 1984 |
現狀:已施行 | |
1998年數據保護法令的當今生效版本(包括所有修訂)(官方文本由英國成文法資料庫提供) |
《1998年數據保護法案》(Data Protection Act 1998,簡稱DPA)是英國一項議會法案。該法案規定了如何處理可識別身份的在世人士的個人信息,是數據保護管制的主要法規。雖然該法案本身並沒有提到私隱,它的頒佈使英國關於個人信息的處理以及此類信息自由流通的相關規定符合1995年歐盟數據保護指令中對個人的保護所作出的相關指示。在執行上,這項法案讓個人有途徑控制與自己有關的信息。該法案的大部分並不是針對家居用途,例如保存一份個人的地址簿。根據規定,任何人要將個人信息用於其他目的時,都有義務遵循這一法案,但有一些例外。該法規定了八個數據保護原則,適用於各種情況,以確保信息的依法處理。
歷史
[編輯]1998年法案取代、鞏固了先前如《1984年數據保護法》和《1987年查閱個人檔案法》等相關法案。與此同時,它旨在貫徹歐洲數據保護指令。在一些方面中,特別是電子通信和銷售,它已因法律原因被後來的立法細化。2003年私隱和電子通信(EC指令)規例改變了適用於大多數電子營銷的同意要求,必需要「主動同意」,比如在選擇框選擇「同意」。對於向現有客戶和查詢者推銷「類似產品和服務」,豁免仍然保留,在提供「選擇不參加」選項的基礎上可以繼續進行。
澤西的數據保護法是仿照英國的法律。
個人資料
[編輯]該法的「個人資料」的定義涵蓋可用於識別個別在世人士的任何數據。該法不規管匿名或代表整體的數據,只要匿名化或整體化的數據不能逆向得出個人數據就可以。個人可以通過各種手段,包括他們的姓名、地址、電話號碼或電子郵件地址來標識。該法只適用於被持有,或擬保留在計算機(「按照為此目的而作出的指示自動操作的設備」)或「相關檔案系統」內的數據。
在某些情況下,即使是紙本地址簿也可以歸類為「相關檔案系統」,舉例,用於支持商業活動的日記,如銷售人員的日記。
《2000年信息自由法》以公共機構和當局為對象修改法律,而「杜蘭特案」則成為改變對本法的詮釋的一個判例。
《數據保護法》為那些被存儲數據的個人創建了權利,而存儲、處理或傳輸這些數據的人則需要負上責任。有個人資料被處理的人擁有下列權利:
- 檢視被某組織保存的關於自己的數據。只要付出一個象徵性的費用,就可以提出檢視數據的請求。截至2014年1月,信用調查機構對該等請求的最高收費是2英鎊,關於健康和教育的請求是50鎊,而其它則是每人10鎊。
- 請求更正不正確的信息。如果公司忽略該請求,法院可以命令數據更正或銷毀,並且在一些情況下可以頒令提供補償。
- 要求數據不以任何可能會潛在地導致損害或引起苦惱的方式使用。
- 要求其數據不用於直接營銷。
數據保護原則(附表1)
[編輯]- 個人資料應被公平、合法地處理,特別是,不得在除下面以外的情況下處理:
- 至少滿足一條附表2中的條款,並且
- 若涉及敏感的個人信息,則還需要滿足附表3中的至少一條條款。
- 個人數據僅能因一個或多個明確規定且合法的目的而獲得,並且不得以任何與該目的相悖(incompatible)的方式額外處理。
- 就處理該等資料的目的而言,個人資料應充分、與目的相關以及不應超出該等目的所需。
- 個人數據應當準確,並在必要時保持更新。
- 為任何目的或用途而處理的個人數據,保存期限不得超過為該等目的而需要保存的期限。
- 關於個人權利,例如個人資料將遵遁數據主體(人)的權利處理。
- 應採取適當的技術和組織措施保護個人數據,防止未經授權或非法的處理個人數據,及防止意外丟失、破壞或損壞個人數據。
- 個人資料不得轉移到歐洲經濟區以外的國家或地區,除非該國家或地區在有關個人數據處理方面確保了數據主體的權利和自由受到適當水平的保障。
第一條原則的相關條件
[編輯]個人資料只應公平、合法地處理。為了數據被歸類為「公平的處理」,這六個條件中的至少一個必須是適用於該數據(附表2)。
- 數據主體(其數據被存儲的人)已同意(「給予其許可」)該等處理;
- 處理是執行或開始一個合約所必需;
- 處理是因應(在合同規定以外)法律上義務所必需;
- 處理是保護數據主體的切身利益所必需;
- 處理是進行任何公共職能所必需;
- 處理是「數據控制」或「第三方」追求合法利益所必需(除非此舉可能無理損害資料當事人的利益)。
同意
[編輯]除了下面提到的例外下,個體需要同意將他們的個人信息和其在所討論的目的(多個)使用的集合。在歐洲數據保護指令同意定義為「......正在處理由數據主體表示他同意與他的個人資料他的願望的任何自由給予具體指示知情」,這意味着個人可能意味着比其他書面形式的協議。然而,非通信不應該被解釋為同意。
此外,同意應適當的年齡和情況下的個人和其他情況的能力。例如,如果一個組織「打算繼續持有或個人目的的關係後使用個人數據,那麼同意應涵蓋這一點。」 並且給出同意,即使,它不應該被假定為永遠持續下去。雖然在大多數情況下,同意只要需要個人數據要被處理持續,個人可能能夠撤回他們的同意,這取決於同意的性質,並且其中所述個人信息被收集和使用的情況。
數據保護法案還規定,敏感的個人數據必須按照嚴格的一系列條件,特別是任何同意必須是明確的處理。
例外
[編輯]該法案的結構是這樣,個人的所有數據處理由該法所覆蓋,而在第四部分提供了大量異常。值得注意的例外是:
- 第28條 - 國家安全。為維護國家安全的目的,任何的處理是所有的數據保護原則豁免,以及第二部分(如有的訪問權限),第三部分(通知),第五部分(實施),和第55條(非法獲取個人數據)。
- 第29條 - 犯罪與稅收。為預防或犯罪的檢測處理的數據,逮捕或起訴罪犯,或稅收評估或徵收是從第一保障資料原則的約束。
- 第36條 - 國內的目的。處理只針對個人的個人,家庭或家庭事務的目的,一個人是從所有的數據保護原則豁免,以及第二部分(如有訪問權限)和第三部分(通知)。
罪行
[編輯]該法詳細介紹了一些民事和刑事犯罪為其如果數據控制器未能從數據主體獲得適當的同意,數據控制器可能會承擔責任。然而,'同意'沒有具體的法律規定,因此是一種常見的法律問題。
- 次節21(1),使得它處理個人信息不屬違法登記。
- 次節21(2)使之成為進攻不遵守通知規定(頁面存檔備份,存於互聯網檔案館)由國務秘書(提議的信息專員根據該法第25條)。
- 第55條非法使個人數據的獲取。本節使它成為人(其他締約方),如黑客和模仿的罪行,組織外部獲取到的個人數據的未授權訪問。
- 第56使它成為刑事犯罪,要求個人作出的關乎一個主題訪問請求警告或定罪招聘的目的,繼續就業,或服務的提供。本節3月10日2015年生效
複雜性
[編輯]英國數據保護法是具有複雜性的聲譽的大型法案。雖然基本原則榮幸為保護私隱,在解釋該行為並不總是簡單的。許多企業,組織和個人顯得非常不確定該法案的目標,內容和原則。一些隱藏法案後面,拒絕提供連非常基本的,公開資料報價行為為限。該法在其組織中誰可以聯繫用於營銷目的,不僅通過電話和直接郵寄,而且電子,並導致了基於許可營銷戰略的發展方面開展業務的方式也會影響。
解讀
[編輯]個人數據的定義
[編輯]個人數據的定義是與誰可以識別一個活個體數據
- 從該數據或
- 從數據中藏等信息,或有可能接觸到藏,數據控制器
敏感的個人數據關注對象的種族,民族,政治,宗教,工會的地位,健康狀況,性生活或犯罪記錄。
條例
[編輯]一個獨立機構信息專員辦公室負責本法的規管和執行。