Data Protection Act 1998

Data Protection Act 1998

Act of Parliament
Parliament of the United Kingdom
Lång titel	En lag om att införa nya bestämmelser för reglering av behandlingen av uppgifter som rör enskilda, inklusive inhämtning, innehav, användning eller utlämnande av sådan information.
Citat	1998 c. 29
Territoriell utsträckning	Förenade kungariket Storbritannien och Nordirland
Datum
Kungligt samtycke	16 juli 1998
Annan lagstiftning
Upphäver/återkallar	Data Protection Act 1984
Ändrad av	Ja
Upphävd av	Data Protection Act 2018
Status: Upphävd
Lagtext som ursprungligen antogs

Data Protection Act 1998 (DPA, c. 29) var en lag från Storbritanniens parlament utformad för att skydda personuppgifter som lagras på datorer eller i ett organiserat pappersarkiv. Den antog bestämmelser från Europeiska unionens (EU) dataskyddsdirektiv 1995 om skydd, behandling och överföring av data.

Enligt 1998 års DPA hade individer laglig rätt att kontrollera information om sig själva. Det mesta av lagen gällde inte hushållsbruk, såsom att föra en personlig adressbok. Den som innehar personuppgifter för andra ändamål var juridiskt skyldig att följa denna lag, med vissa undantag. Lagen definierade åtta dataskyddsprinciper för att säkerställa att information behandlades lagligt.

Den ersattes av Data Protection Act 2018 (DPA 2018) den 23 maj 2018. DPA 2018 kompletterar EU:s allmänna dataskyddsförordning (GDPR), som trädde i kraft den 25 maj 2018. GDPR reglerar insamling, lagring och användning av personuppgifter betydligt striktare.

Bakgrund

1998 års lag ersatte dataskyddslagen från 1984 och lagen om tillgång till personliga filer från 1987 . Dessutom genomförde 1998 års lag EU:s dataskyddsdirektiv 1995 .

integritet och elektronisk kommunikation (EG-direktivet) från 2003 ändrade samtyckeskravet för den mesta elektroniska marknadsföringen till "positivt samtycke", såsom en opt-in-box. Undantag kvarstår för marknadsföring av "liknande produkter och tjänster" till befintliga kunder och förfrågan, vilket fortfarande kan tillåtas på basis av opt-out.

Jerseys dataskyddslagstiftning var utformad efter Storbritanniens lag.

Innehåll

Skyddets omfattning

Avsnitt 1 i DPA 1998 definierade "personuppgifter" som alla uppgifter som kunde ha använts för att identifiera en levande individ. Anonymiserade eller aggregerade uppgifter reglerades mindre av lagen, förutsatt att anonymiseringen eller aggregeringen inte hade gjorts reversibelt. Individer kunde ha identifierats på olika sätt, inklusive namn och adress, telefonnummer eller e-postadress. Lagen gällde endast uppgifter som förvarades eller var avsedda att förvaras på datorer ("utrustning som fungerar automatiskt som svar på instruktioner som ges för detta ändamål") eller förvaras i ett "relevant arkivsystem".

I vissa fall kunde pappersregister ha klassificerats som ett relevant arkivsystem, till exempel en adressbok eller en försäljares dagbok som används för att stödja kommersiell verksamhet.

Freedom of Information Act 2000 ändrade lagen för offentliga organ och myndigheter, och Durant-fallet ändrade tolkningen av lagen genom att tillhandahålla rättspraxis och prejudikat.

En person som fick sina uppgifter behandlade hade följande rättigheter:

• enligt avsnitt 7, för att se uppgifterna om dem som innehas av en organisation mot en rimlig avgift: den maximala avgiften var £2 för förfrågningar till kreditupplysningsföretag, £50 för hälso- och utbildningsbegäran, och £10 per individ i övrigt,
• enligt 14 § att begära att felaktiga uppgifter rättas. Om företaget struntade i begäran kunde en domstol ha beordrat att uppgifterna skulle rättas eller förstöras och i vissa fall ersättning ha utdömts.
• enligt 10 §, att kräva att deras uppgifter inte användes på något sätt som potentiellt kunde ha orsakat skada eller ångest.
• enligt 11 § att kräva att deras uppgifter inte användes för direkt marknadsföring .

Dataskyddsprinciper

I schema 1 listades åtta "dataskyddsprinciper":

1. Personuppgifter ska behandlas rättvist och lagligt och ska i synnerhet inte behandlas om inte:
   1. minst ett av villkoren i schema 2 är uppfyllt, och
   2. vid känsliga personuppgifter är även minst ett av villkoren i schema 3 uppfyllt.
2. Personuppgifter ska endast erhållas för ett eller flera specificerade och lagliga ändamål och ska inte behandlas vidare på något sätt som är oförenligt med det eller de ändamålen.
3. Personuppgifterna ska vara adekvata, relevanta och inte överdrivna i förhållande till det eller de ändamål för vilka de behandlas.
4. Personuppgifterna ska vara korrekta och vid behov hållas uppdaterade.
5. Personuppgifter som behandlas för något eller några syften ska inte sparas längre än vad som är nödvändigt för det eller de ändamålen.
6. Om individers rättigheter, t.ex. personuppgifter ska behandlas i enlighet med de registrerades (individers) rättigheter.
7. Lämpliga tekniska och organisatoriska åtgärder ska vidtas mot otillåten eller olaglig behandling av personuppgifter och mot oavsiktlig förlust eller förstörelse av eller skada på personuppgifter.
8. Personuppgifter ska inte överföras till ett land eller territorium utanför Europeiska ekonomiska samarbetsområdet om inte det landet eller territoriet säkerställer en adekvat skyddsnivå för de registrerades rättigheter och friheter i samband med behandling av personuppgifter.

Villkor som är relevanta för den första principen

Personuppgifter bör endast behandlas rättvist och lagligt. För att uppgifter ska klassificeras som "rättvist behandlade" måste minst ett av dessa sex villkor vara tillämpligt på dessa uppgifter (schema 2).

1. Den registrerade (den person vars uppgifter lagras) har samtyckt ("givit sitt tillstånd") till behandlingen;
2. Behandling är nödvändig för att fullgöra eller påbörja ett avtal;
3. Behandling krävs enligt en rättslig skyldighet (annan än den som anges i avtalet);
4. Behandlingen är nödvändig för att skydda den registrerades vitala intressen;
5. Behandling är nödvändig för att utföra alla offentliga funktioner;
6. Behandlingen är nödvändig för att fullfölja "den registeransvariges" eller "tredje parters" legitima intressen (såvida det inte på ett omotiverat sätt skulle kunna skada den registrerades intressen).

Samtycke

Med undantag för de undantag som nämns nedan, var individen tvungen att samtycka till insamlingen av sin personliga information och dess användning i det eller de ifrågavarande ändamålen. Det europeiska dataskyddsdirektivet definierade samtycke som "... varje fritt given specifik och informerad indikation på sina önskemål genom vilken den registrerade godkänner att personuppgifter som rör honom behandlas", vilket innebär att individen kunde ha undertecknat ett avtal annat än skriftligt . ^{[ citat behövs ]} Emellertid borde utebliven kommunikation inte ha tolkats som samtycke.

Dessutom borde samtycke ha varit lämpligt för individens ålder och förmåga och andra omständigheter i ärendet. Om en organisation "avser att fortsätta att inneha eller använda personuppgifter efter det att relationen med den enskilde upphör, bör samtycket omfatta detta." När samtycke gavs antogs det inte vara för evigt, även om samtycket i de flesta fall varade så länge som personuppgifterna behövde behandlas, och individer kan ha kunnat dra tillbaka sitt samtycke, beroende på samtyckets natur och de omständigheter under vilka personuppgifterna samlades in och användes.

Dataskyddslagen angav också att känsliga personuppgifter ska ha behandlats enligt en strängare uppsättning villkor, i synnerhet ska eventuellt samtycke ha varit uttryckligt.

Undantag

Lagen var uppbyggd så att all behandling av personuppgifter omfattades av lagen samtidigt som det fanns ett antal undantag i del IV. Anmärkningsvärda undantag var:

• 28 § – Nationell säkerhet. All behandling i syfte att skydda den nationella säkerheten är undantagen från alla dataskyddsprinciper, såväl som del II (subjektets åtkomsträtt), del III (anmälan), del V (tillämpning) och avsnitt 55 (Olagligt erhållande av personuppgifter ).
• 29 § – Brott och beskattning. Uppgifter som behandlas för att förebygga eller upptäcka brott, gripa eller lagföra lagöverträdare eller beräkning eller indrivning av skatter är undantagna från den första dataskyddsprincipen.
• 36 § – Hushållsändamål. Behandling av en individ endast för ändamålen med dennes personliga, familje- eller hushållsaffärer är undantagen från alla dataskyddsprinciper, såväl som del II (subjektets åtkomsträtt) och del III (anmälan).

Polis- och domstolsbefogenheter

Lagen beviljade eller erkände olika polis- och domstolsbefogenheter.

• 29 § – Samtycke från den registrerade krävdes inte vid behandling av personuppgifter för att förebygga eller upptäcka brott, gripa eller lagföra lagöverträdare, bedömning och uppbörd av skatter och avgifter samt fullgörande av en lagstadgad funktion.
• 35 § – Upplysningar som krävs enligt lag eller som görs i samband med rättsliga förfaranden. Detta inkluderade att lyda domstolsbeslut och andra lagar, och var en del av rättsliga förfaranden.

Förseelser

Lagen specificerade ett antal civilrättsliga och straffrättsliga brott som registeransvariga kan ha varit ansvariga för om en personuppgiftsansvarig misslyckats med att få lämpligt samtycke från en registrerad. Samtycke var dock inte specifikt definierat i lagen och så var det en fråga om sedvanerätt.

• 21 § första stycket gjorde det brottsligt att behandla personuppgifter utan registrering .
• Avsnitt 21(2) gjorde det straffbart att underlåta att följa de anmälningsföreskrifter som utfärdats av Secretary of State (föreslagna av Information Commissioner enligt avsnitt 25 i lagen).
• 55 § gjorde förvärv av personuppgifter olagligt, och gjorde förvärv av obehörig åtkomst till personuppgifter till ett brott för personer (andra parter), såsom hackare och imitatorer, utanför organisationen.
• Avsnitt 56 gjorde det till ett brott att kräva att en individ gör en begäran om tillgång till subjekt som rör varningar eller fällande domar för rekrytering, fortsatt anställning eller tillhandahållande av tjänster. Denna paragraf verkställdes den 10 mars 2015.

Komplexitet

Den brittiska dataskyddslagen var en stor lag som hade rykte om sig att vara komplex. Medan de grundläggande principerna respekterades för att skydda privatlivet, var det inte alltid enkelt att tolka handlingen. Många företag, organisationer och individer verkade mycket osäkra på lagens syften, innehåll och principer. Vissa vägrade att tillhandahålla ens mycket grundläggande, allmänt tillgängligt material och citerade lagen som en begränsning. Lagen påverkade också hur organisationer bedrev sina affärer när det gäller vem som skulle ha kontaktats i marknadsföringssyfte, inte bara via telefon och direktreklam utan även elektroniskt. Detta har lett till utvecklingen av tillståndsbaserade marknadsföringsstrategier.

Definition av personuppgifter

Definitionen av personuppgifter var uppgifter om en levande individ som kan identifieras

• från dessa uppgifter; eller
• från dessa uppgifter plus annan information som var i den personuppgiftsansvariges besittning eller sannolikt kommer att komma i besittning.

Känsliga personuppgifter rörde personens ras, etnicitet, politik, religion, fackliga status, hälsa, sexuella historia eller brottsregister.

Ämnesförfrågningar om åtkomst

Informationskommissionärens webbsida uppgav angående förfrågningar om tillgång till föremål : "Du har rätt att ta reda på om en organisation använder eller lagrar dina personuppgifter. Detta kallas rätten till åtkomst. Du utövar denna rätt genom att be om en kopia av uppgifterna , vilket är allmänt känt som att göra en 'subject access request'."

Innan den allmänna dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018 kunde organisationer ha tagit ut en specificerad avgift för att svara på en SAR på upp till 10 GBP för de flesta förfrågningar. Efter GDPR: "En kopia av dina personuppgifter bör tillhandahållas gratis. En organisation kan ta betalt för ytterligare kopior. Den kan bara ta ut en avgift om den anser att begäran är "uppenbart ogrundad eller överdriven". Om så är fallet kan den begära en skälig avgift för administrativa kostnader i samband med begäran."

Informationskommissionär

Efterlevnaden av lagen reglerades och verkställdes av en oberoende myndighet, Information Commissioner's Office, som bibehöll vägledning om lagen.

EU:s artikel 29-arbetsgrupp

I januari 2017 bjöd informationskommissionärens kontor in offentliga synpunkter på EU:s artikel 29-arbetsgrupps föreslagna ändringar av dataskyddslagstiftningen och det förväntade införandet av utökningar av lagens tolkning, vägledningen till den allmänna dataskyddsförordningen .

Se även

• Data Protection Act, 2012 (Ghana)
• Computer Misuse Act 1990
• Dataintegritet
• Dataskyddsdirektivet (EU)
• Freedom of Information Act 2000
• Gaskin mot Storbritannien
• Lista över dataförluster från brittiska myndigheter
• Förordningar om integritet och elektronisk kommunikation (EG-direktivet) 2003
• General Data Protection Regulation – en EU-förordning från 2016 om dataskydd
• Smith mot Lloyds TSB Bank plc
• Durant mot Financial Services Authority [2003] EWCA Civ 1746
• " Data Protection Bill [HL] 2017-19 ". Bill nr HL 104 från 2018 . ("Dataskyddspropositionen behandlades vid rapportstadiet onsdagen den 9 maj 2018 och lästes och godkändes med ändringar.")

externa länkar

• Informationskommissionärens kontor
• Avdelningen för konstitutionella frågor
• Europarådet – ETS nr. 108 – Konvention för skydd av individer med avseende på automatisk behandling av personuppgifter ( 1981) – grund för Data Protection Act 1984
• Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter – grund för Data Protection Act 1998

Storbritanniens lagstiftning

• Text till Data Protection Act 1998 som är i kraft idag (inklusive eventuella ändringar) i Storbritannien, från legislation.gov.uk .