Закон о защите данных 2018
Закон о защите данных 2018 (Data Protection Act 2018, DPA 2018) — это основной закон Соединённого Королевства, регулирующий обработку персональных данных. Он заменил Закон о защите данных 1998 года и вступил в силу 25 мая 2018 года, одновременно с Общим регламентом по защите данных Европейского союза (GDPR). DPA 2018 адаптирует и дополняет положения GDPR для применения в Великобритании, а также регулирует области, не охваченные GDPR, такие как обработка данных для целей национальной безопасности, полицейской деятельности и правосудия.
История принятия
Предпосылки
Необходимость обновления законодательства о защите данных в Великобритании была вызвана несколькими факторами. Во-первых, Закон 1998 года устарел в связи с развитием цифровых технологий, ростом объёмов собираемых данных и появлением новых способов их обработки (большие данные, облачные вычисления, социальные сети). Во-вторых, Великобритания, будучи на тот момент членом Европейского союза, была обязана имплементировать GDPR — регламент ЕС, принятый в 2016 году и вступавший в силу 25 мая 2018 года. DPA 2018 был разработан как национальный закон, который дополняет и уточняет GDPR, а также регулирует сферы, выведенные из-под его действия.
Разработка и принятие
Законопроект был внесён в парламент Великобритании в сентябре 2017 года. После прохождения всех стадий обсуждения в Палате общин и Палате лордов он получил королевскую санкцию 23 мая 2018 года, за два дня до вступления в силу. Закон был принят как часть подготовки Великобритании к выходу из ЕС (Brexit), чтобы обеспечить непрерывность и адекватность правового регулирования защиты данных после выхода из состава Европейского союза.
Структура и основные положения
DPA 2018 состоит из семи частей, каждая из которых регулирует определённые аспекты обработки данных.
Часть 1: Вводные положения
Определяет ключевые термины, сферу действия закона и его взаимосвязь с GDPR. Закон устанавливает, что GDPR применяется в Великобритании с учётом положений DPA 2018.
Часть 2: Общие положения по обработке данных
Эта часть является основным дополнением к GDPR. Она устанавливает, что обработка персональных данных должна соответствовать принципам GDPR (законность, справедливость, прозрачность, ограничение целей, минимизация данных, точность, ограничение хранения, целостность и конфиденциальность). DPA 2018 уточняет основания для законной обработки, включая обработку специальных категорий данных (например, данные о здоровье, расовой или этнической принадлежности, политических взглядах, религиозных убеждениях, генетические и биометрические данные) и данных о судимостях.
Часть 3: Обработка данных в правоохранительных целях
Регулирует обработку персональных данных компетентными органами (полиция, суды, прокуратура) для целей предотвращения, расследования, выявления или преследования преступлений, а также исполнения наказаний. Эта часть основана на Полицейской директиве ЕС (Law Enforcement Directive) и содержит особые требования к защите прав субъектов данных, включая право на доступ, исправление и удаление данных, а также ограничения на передачу данных в третьи страны.
Часть 4: Обработка данных в целях национальной безопасности
Регулирует обработку данных разведывательными службами и другими органами, действующими в интересах национальной безопасности. Эта часть выводит обработку данных для целей национальной безопасности из-под действия GDPR и устанавливает собственные правила, включая требования к законности, пропорциональности и надзору со стороны независимого органа (Комиссара по защите данных).
Часть 5: Комиссар по защите данных
Определяет статус, полномочия и обязанности Комиссара по защите данных (Information Commissioner’s Office, ICO). ICO является независимым надзорным органом, ответственным за соблюдение DPA 2018 и GDPR. Комиссар имеет право проводить расследования, выдавать предписания, налагать штрафы (до 17,5 миллионов фунтов стерлингов или 4% от глобального годового оборота компании, в зависимости от того, что больше) и принимать другие меры принудительного характера.
Часть 6: Правоприменение
Устанавливает процедуры рассмотрения жалоб, проведения проверок и наложения санкций. ICO может издавать предупреждения, выговоры, приказы о прекращении обработки, приказы об удалении данных и налагать административные штрафы.
Часть 7: Дополнительные и заключительные положения
Включает положения о передаче данных в третьи страны, о взаимодействии с международными организациями, о внесении изменений в другие законы (например, в Закон о свободе информации 2000 года) и о вступлении в силу.
Ключевые отличия от GDPR
Хотя DPA 2018 во многом основан на GDPR, он содержит ряд важных отличий и дополнений:
- Расширенные основания для обработки: DPA 2018 добавляет несколько дополнительных оснований для законной обработки персональных данных, особенно в контексте трудовых отношений, научных исследований, статистики и архивного дела.
- Обработка специальных категорий данных: Закон устанавливает более детальные правила для обработки специальных категорий данных, включая конкретные условия, при которых такая обработка разрешена (например, для целей здравоохранения, социальной работы, страхования, трудового права).
- Обработка данных о судимостях: DPA 2018 содержит особые правила для обработки данных о судимостях, которые не входят в специальные категории данных по GDPR, но требуют дополнительной защиты.
- Правоохранительная и национальная безопасность: Как уже упоминалось, DPA 2018 полностью регулирует обработку данных в этих сферах, которые выведены из-под действия GDPR.
- Иммунитеты и изъятия: Закон предусматривает ряд изъятий из прав субъектов данных (например, право на доступ) для целей национальной безопасности, предотвращения преступлений, налогового контроля, судебных разбирательств и других публичных интересов.
- Возраст согласия: DPA 2018 устанавливает возраст, с которого ребёнок может самостоятельно дать согласие на обработку своих данных в связи с услугами информационного общества, как 13 лет (в GDPR — 16 лет, с возможностью установления национального порога от 13 до 16 лет).
Применение и значение
DPA 2018 применяется к любой организации или частному лицу, которые обрабатывают персональные данные на территории Великобритании, независимо от того, где находится субъект данных. Он также применяется к организациям за пределами Великобритании, если они предлагают товары или услуги лицам в Великобритании или отслеживают их поведение.
Закон имеет огромное значение для защиты прав граждан на конфиденциальность и контроль над своими данными. Он обязывает организации:
- Получать явное и информированное согласие на обработку данных.
- Предоставлять чёткую и прозрачную информацию о том, как используются данные.
- Обеспечивать безопасность данных и уведомлять о нарушениях.
- Предоставлять субъектам данных доступ к их данным, право на исправление, удаление, ограничение обработки, переносимость данных и возражение против обработки.
- Назначать представителя в Великобритании (если организация находится за её пределами).
- Вести учёт обработки данных и проводить оценку воздействия на защиту данных.
Критика и вызовы
Несмотря на свою важность, DPA 2018 подвергается критике по нескольким направлениям:
- Сложность и объём: Закон является очень объёмным и сложным для понимания, особенно для малого и среднего бизнеса. Многие организации испытывают трудности с его соблюдением.
- Изъятия и исключения: Критики отмечают, что закон содержит слишком много изъятий, которые могут ослабить защиту прав граждан, особенно в сфере национальной безопасности и правоохранительной деятельности.
- Недостаточная эффективность правоприменения: Несмотря на значительные полномочия ICO, некоторые считают, что санкции налагаются недостаточно часто и не являются достаточно сдерживающими для крупных корпораций.
- Влияние Brexit: После выхода Великобритании из ЕС возникла неопределённость относительно взаимного признания стандартов защиты данных. Хотя Великобритания приняла собственное законодательство, эквивалентное GDPR, ЕС должен был принять решение о признании адекватности уровня защиты данных в Великобритании. Это решение было принято в 2021 году, но оно может быть пересмотрено, что создаёт неопределённость для бизнеса.
Влияние на Россию
Законодательство Великобритании о защите данных, включая DPA 2018, оказало определённое влияние на развитие российского законодательства в этой сфере, хотя и не напрямую. Российский Федеральный закон «О персональных данных» (№ 152-ФЗ) был принят в 2006 году и претерпел множество изменений, в том числе под влиянием европейских тенденций. В частности, в 2015 году были введены требования о локализации персональных данных граждан РФ на территории России, что отчасти перекликается с принципами GDPR и DPA 2018. Однако российское законодательство в целом менее детализировано и не содержит столь же строгих требований к согласию, уведомлению о нарушениях и праву на переносимость данных.
Источники
- Data Protection Act 2018 (c. 12). UK Public General Acts.
- Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation).
- Information Commissioner’s Office (ICO). Guide to the Data Protection Act 2018.
- House of Commons Library. Data Protection Bill 2017-19: Briefing Paper.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →