Закон за защита на данните във Великобритания (2018) — дефиниция и права

Научете всичко за Закона за защита на данните във Великобритания (2018): права на субектите, задължения на администраторите, правила за събиране и съхранение на лични данни.

Автор: Leandro Alegsa

Законът за защита на данните от 2018 г. (c 29) е закон, приет от британското правителство през 2018 г., който заменя закона, приет през 1998 г. Законът е приет в контекста на Общия регламент за защита на данните (GDPR) и въвежда в британското право съвременни изисквания за обработка на лични данни, като след Brexit той се прилага съвместно с т.нар. UK GDPR (версията на GDPR, приложима във Великобритания).

В него се определят правилата за лицата, които използват или съхраняват данни за живи хора, и се предоставят права на лицата, чиито данни са били събрани. Законът се прилага за данни, съхранявани на компютри или във всякакъв вид системи за съхранение, дори на хартиен носител. Обхватът му покрива както частни фирми, така и публични органи, когато те обработват лични данни.

Законът обхваща лични данни, които са факти като адрес, телефонен номер, имейл адрес, трудова история и др. Към личните данни се отнасят и данни, които могат да идентифицират човек директно или косвено (например идентификационни номера, IP адреси, данни от видеонаблюдение и т.н.).

Хората, които използват информацията, се наричат администратори на данни. Хората, за които се отнасят данните, се наричат субекти на данни. В допълнение към администраторите има и обработващи — организации или лица, които обработват лични данни от името на администратора (например доставчици на облачни услуги). В някои случаи администраторите трябва да назначат офицер по защита на данните (DPO), особено когато обработката е систематично наблюдение в голям мащаб или включва специални категории данни.

Основни принципи на обработката

  • Законност, справедливост и прозрачност — личните данни трябва да се обработват законно и по честен начин, като субектите на данни се информират за целите на обработката.
  • Ограничение на целта — данните се събират за конкретни, изрични и легитимни цели и не се обработват по несъвместим с тях начин.
  • Минимализиране на данните — събират се само данни, необходими за целите.
  • Правилност — данните трябва да са точни и при необходимост да се актуализират.
  • Ограничение на срока на съхранение — данните не се пазят по-дълго от необходимото.
  • Интегритет и поверителност — осигуряване на подходящи технически и организационни мерки за защита.

Права на субектите на данни

  • Право на достъп — всяко лице може да поиска копие от личните си данни и информация за това как се използват.
  • Право на коригиране — неточни или непълни данни трябва да бъдат коригирани.
  • Право на заличаване („правото да бъдеш забравен“) — при определени обстоятелства субектът може да поиска изтриване на своите данни.
  • Право на ограничаване на обработката — временно спиране на обработката при спор за точност или законност.
  • Право на преносимост на данните — получаване на данни в структурираен, често използван и машинно четим формат и прехвърляне към друг администратор.
  • Право на възражение — възражение срещу обработка на данни за директен маркетинг или по основания, основани на частни интереси.
  • Права, свързани с автоматизирано вземане на решения — включително профилиране; субектите имат право да не бъдат обект на изцяло автоматизирано решение при определени условия.

Администраторите трябва да отговорят на исканията за упражняване на права обикновено в срок до 1 месец; срокът може да бъде удължен при сложни искания. Ако правото е нарушено, субектите могат да подадат жалба до Комисията за информация (ICO) във Великобритания или да потърсят съдебна защита.

Задължения на администраторите и обработващите

  • Законни основания за обработка — обработката трябва да се базира на поне едно законно основание, например: съгласие, изпълнение на договор, законово задължение, защита на жизнени интереси, изпълнение на задача в обществен интерес/официални правомощия или легитимни интереси.
  • Оценка на въздействието върху защитата на данните (DPIA) — необходима при висок риск за правата и свободите на хората (напр. при масово профилиране, наблюдение в голям мащаб и др.).
  • Документиране и отчетност — администраторите трябва да водят регистър на дейностите по обработка и да са в състояние да докажат съответствието с изискванията.
  • Сигнали за нарушения на защитата на данните — при сериозна кражба или изтичане на лични данни администраторите трябва да уведомят ICO в рамките на 72 часа и, при необходимост, да информират засегнатите лица.

Специални категории (чувствителни) данни

Определени данни са със специален режим на защита — това включва здравословно състояние, религиозни убеждения, расов или етнически произход, политически възгледи, членство в синдикати, сексуален живот и биометрични данни за идентификация. За обработката им обикновено е нужно допълнително законово основание и по-високо ниво на защита.

Надзор и санкции

Изпълнението и контрола на закона се осъществяват от Комисията за информация (ICO). ICO има правомощия да извършва разследвания, да налага корективни мерки и глоби. Подчертаните санкции за сериозни нарушения могат да достигнат до £17.5 милиона или 4% от годишния световен оборот на предприятието (в зависимост кое от двете е по-голямо). Освен това Законът предвижда и наказателни разпоредби за определени престъпления, свързани с неправомерно обработване на данни.

Международни преноси на данни

При прехвърляне на лични данни извън Великобритания се изискват адекватни гаранции: държава с решение за адекватност, стандартни договорни клаузи, обвързващи корпоративни правила или други подходящи механизми, както и оценка на риска от страна на администратора.

Практически съвети за гражданите

  • Проверявайте политиките за поверителност преди да давате данни и търсете ясно обяснение за целите и сроковете на съхранение.
  • Записвайте и съхранявайте доказателства за дадено съгласие или съобщения за упражнени права.
  • Ако смятате, че вашите права са нарушени, първо се свържете с организацията, която обработва данните, и ако отговорът не е задоволителен — подайте жалба до ICO.
  • Бъдете внимателни с личните си данни в социалните мрежи и при използване на услуги онлайн.

Законът за защита на данните от 2018 г. и UK GDPR са основният правен рамков инструмент за защита на личните данни във Великобритания. За конкретни казуси и актуални указания е полезно да се консултирате с официалните ресурси на ICO или с правен специалист.



Основни моменти в Закона за защита на личните данни

Това е кратко опростено обобщение на основните принципи на Закона за защита на данните на Обединеното кралство.

Това се отнася например за информацията, която се съхранява за персонала, клиентите и притежателите на сметки;

  • Ако събирате данни за хора по една причина, не трябва да ги използвате по друга;
  • Не трябва да предоставяте данните на хората на други хора или организации, освен ако те не се съгласят;
  • Хората имат право да преглеждат данните, които всяка организация съхранява за тях;
  • Не трябва да съхранявате данните по-дълго, отколкото е необходимо, и трябва да ги актуализирате;
  • Не трябва да изпращате данните на места извън Европейското икономическо пространство, освен ако не съществуват адекватни нива на защита;
  • Организациите, които съхраняват данни за хора, трябва да се регистрират в Службата на комисаря по информацията;
  • Ако съхранявате данни за хора, трябва да се уверите, че те са сигурни и добре защитени;
  • Ако дадена организация разполага с грешни данни за вас, имате право да поискате да ги промени.



Свързани страници



Въпроси и отговори

В: Какво представлява Законът за защита на личните данни от 2018 г.?


О: Законът за защита на данните от 2018 г. е закон, приет от британското правителство през 2018 г., и заменя този, приет през 1998 г. Той определя правилата за хората, които използват или съхраняват данни за живи хора, и дава права на тези хора, чиито данни са били събрани.

Въпрос: За какви видове данни се прилага законът?


О: Законът се прилага за лични данни, които са факти като вашия адрес, телефонен номер, имейл адрес, трудова история и др.

В: Какви видове системи за съхранение на данни обхваща законът?


О: Законът се прилага за данни, съхранявани на компютри или на всякакъв вид системи за съхранение, дори на хартиен носител.

В: Как се наричат хората, които използват информацията?


О: Хората, които използват информацията, се наричат администратори на данни.

В: Как се наричат хората, за които се отнасят данните?


О: Хората, за които се отнасят данните, се наричат субекти на данни.

Въпрос: Законът за защита на личните данни от 2018 г. дава ли някакви права на лицата, чиито данни са били събрани?


О: Да, Законът за защита на данните от 2018 г. дава права на хората, чиито данни са били събрани.

В: Какви права се дават на хората, чиито данни са събрани, съгласно Закона за защита на данните от 2018 г.?


О: Законът за защита на данните от 2018 г. дава права на хората, чиито данни са били събрани, като например правото на достъп до тяхната информация, правото на коригиране или изтриване на тяхната информация и правото на възражение срещу използването на тяхната информация за определени цели.


обискирам
AlegsaOnline.com - 2020 / 2025 - License CC3