Открыть сервис

Закон о защите данных 2018

Закон о защите данных 2018 (Data Protection Act 2018, DPA 2018) — это основной закон Соединённого Королевства, регулирующий обработку персональных данных. Он заменил Закон о защите данных 1998 года и вступил в силу 25 мая 2018 года, одновременно с Общим регламентом по защите данных Европейского союза (GDPR). DPA 2018 адаптирует и дополняет положения GDPR для применения в Великобритании, а также регулирует области, не охваченные GDPR, такие как обработка данных для целей национальной безопасности, полицейской деятельности и правосудия.

История принятия

Предпосылки

Необходимость обновления законодательства о защите данных в Великобритании была вызвана несколькими факторами. Во-первых, Закон 1998 года устарел в связи с развитием цифровых технологий, ростом объёмов собираемых данных и появлением новых способов их обработки (большие данные, облачные вычисления, социальные сети). Во-вторых, Великобритания, будучи на тот момент членом Европейского союза, была обязана имплементировать GDPR — регламент ЕС, принятый в 2016 году и вступавший в силу 25 мая 2018 года. DPA 2018 был разработан как национальный закон, который дополняет и уточняет GDPR, а также регулирует сферы, выведенные из-под его действия.

Разработка и принятие

Законопроект был внесён в парламент Великобритании в сентябре 2017 года. После прохождения всех стадий обсуждения в Палате общин и Палате лордов он получил королевскую санкцию 23 мая 2018 года, за два дня до вступления в силу. Закон был принят как часть подготовки Великобритании к выходу из ЕС (Brexit), чтобы обеспечить непрерывность и адекватность правового регулирования защиты данных после выхода из состава Европейского союза.

Структура и основные положения

DPA 2018 состоит из семи частей, каждая из которых регулирует определённые аспекты обработки данных.

Часть 1: Вводные положения

Определяет ключевые термины, сферу действия закона и его взаимосвязь с GDPR. Закон устанавливает, что GDPR применяется в Великобритании с учётом положений DPA 2018.

Часть 2: Общие положения по обработке данных

Эта часть является основным дополнением к GDPR. Она устанавливает, что обработка персональных данных должна соответствовать принципам GDPR (законность, справедливость, прозрачность, ограничение целей, минимизация данных, точность, ограничение хранения, целостность и конфиденциальность). DPA 2018 уточняет основания для законной обработки, включая обработку специальных категорий данных (например, данные о здоровье, расовой или этнической принадлежности, политических взглядах, религиозных убеждениях, генетические и биометрические данные) и данных о судимостях.

Часть 3: Обработка данных в правоохранительных целях

Регулирует обработку персональных данных компетентными органами (полиция, суды, прокуратура) для целей предотвращения, расследования, выявления или преследования преступлений, а также исполнения наказаний. Эта часть основана на Полицейской директиве ЕС (Law Enforcement Directive) и содержит особые требования к защите прав субъектов данных, включая право на доступ, исправление и удаление данных, а также ограничения на передачу данных в третьи страны.

Часть 4: Обработка данных в целях национальной безопасности

Регулирует обработку данных разведывательными службами и другими органами, действующими в интересах национальной безопасности. Эта часть выводит обработку данных для целей национальной безопасности из-под действия GDPR и устанавливает собственные правила, включая требования к законности, пропорциональности и надзору со стороны независимого органа (Комиссара по защите данных).

Часть 5: Комиссар по защите данных

Определяет статус, полномочия и обязанности Комиссара по защите данных (Information Commissioner’s Office, ICO). ICO является независимым надзорным органом, ответственным за соблюдение DPA 2018 и GDPR. Комиссар имеет право проводить расследования, выдавать предписания, налагать штрафы (до 17,5 миллионов фунтов стерлингов или 4% от глобального годового оборота компании, в зависимости от того, что больше) и принимать другие меры принудительного характера.

Часть 6: Правоприменение

Устанавливает процедуры рассмотрения жалоб, проведения проверок и наложения санкций. ICO может издавать предупреждения, выговоры, приказы о прекращении обработки, приказы об удалении данных и налагать административные штрафы.

Часть 7: Дополнительные и заключительные положения

Включает положения о передаче данных в третьи страны, о взаимодействии с международными организациями, о внесении изменений в другие законы (например, в Закон о свободе информации 2000 года) и о вступлении в силу.

Ключевые отличия от GDPR

Хотя DPA 2018 во многом основан на GDPR, он содержит ряд важных отличий и дополнений:

  • Расширенные основания для обработки: DPA 2018 добавляет несколько дополнительных оснований для законной обработки персональных данных, особенно в контексте трудовых отношений, научных исследований, статистики и архивного дела.
  • Обработка специальных категорий данных: Закон устанавливает более детальные правила для обработки специальных категорий данных, включая конкретные условия, при которых такая обработка разрешена (например, для целей здравоохранения, социальной работы, страхования, трудового права).
  • Обработка данных о судимостях: DPA 2018 содержит особые правила для обработки данных о судимостях, которые не входят в специальные категории данных по GDPR, но требуют дополнительной защиты.
  • Правоохранительная и национальная безопасность: Как уже упоминалось, DPA 2018 полностью регулирует обработку данных в этих сферах, которые выведены из-под действия GDPR.
  • Иммунитеты и изъятия: Закон предусматривает ряд изъятий из прав субъектов данных (например, право на доступ) для целей национальной безопасности, предотвращения преступлений, налогового контроля, судебных разбирательств и других публичных интересов.
  • Возраст согласия: DPA 2018 устанавливает возраст, с которого ребёнок может самостоятельно дать согласие на обработку своих данных в связи с услугами информационного общества, как 13 лет (в GDPR — 16 лет, с возможностью установления национального порога от 13 до 16 лет).

Применение и значение

DPA 2018 применяется к любой организации или частному лицу, которые обрабатывают персональные данные на территории Великобритании, независимо от того, где находится субъект данных. Он также применяется к организациям за пределами Великобритании, если они предлагают товары или услуги лицам в Великобритании или отслеживают их поведение.

Закон имеет огромное значение для защиты прав граждан на конфиденциальность и контроль над своими данными. Он обязывает организации:

  • Получать явное и информированное согласие на обработку данных.
  • Предоставлять чёткую и прозрачную информацию о том, как используются данные.
  • Обеспечивать безопасность данных и уведомлять о нарушениях.
  • Предоставлять субъектам данных доступ к их данным, право на исправление, удаление, ограничение обработки, переносимость данных и возражение против обработки.
  • Назначать представителя в Великобритании (если организация находится за её пределами).
  • Вести учёт обработки данных и проводить оценку воздействия на защиту данных.

Критика и вызовы

Несмотря на свою важность, DPA 2018 подвергается критике по нескольким направлениям:

  • Сложность и объём: Закон является очень объёмным и сложным для понимания, особенно для малого и среднего бизнеса. Многие организации испытывают трудности с его соблюдением.
  • Изъятия и исключения: Критики отмечают, что закон содержит слишком много изъятий, которые могут ослабить защиту прав граждан, особенно в сфере национальной безопасности и правоохранительной деятельности.
  • Недостаточная эффективность правоприменения: Несмотря на значительные полномочия ICO, некоторые считают, что санкции налагаются недостаточно часто и не являются достаточно сдерживающими для крупных корпораций.
  • Влияние Brexit: После выхода Великобритании из ЕС возникла неопределённость относительно взаимного признания стандартов защиты данных. Хотя Великобритания приняла собственное законодательство, эквивалентное GDPR, ЕС должен был принять решение о признании адекватности уровня защиты данных в Великобритании. Это решение было принято в 2021 году, но оно может быть пересмотрено, что создаёт неопределённость для бизнеса.

Влияние на Россию

Законодательство Великобритании о защите данных, включая DPA 2018, оказало определённое влияние на развитие российского законодательства в этой сфере, хотя и не напрямую. Российский Федеральный закон «О персональных данных» (№ 152-ФЗ) был принят в 2006 году и претерпел множество изменений, в том числе под влиянием европейских тенденций. В частности, в 2015 году были введены требования о локализации персональных данных граждан РФ на территории России, что отчасти перекликается с принципами GDPR и DPA 2018. Однако российское законодательство в целом менее детализировано и не содержит столь же строгих требований к согласию, уведомлению о нарушениях и праву на переносимость данных.

Источники

  1. Data Protection Act 2018 (c. 12). UK Public General Acts.
  2. Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation).
  3. Information Commissioner’s Office (ICO). Guide to the Data Protection Act 2018.
  4. House of Commons Library. Data Protection Bill 2017-19: Briefing Paper.
  5. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →