Datenschutzgesetz 1998 - Data Protection Act 1998
| Parlamentsgesetz | |
| |
| Langer Titel | Ein Gesetz zur Neuregelung der Verarbeitung personenbezogener Daten, einschließlich der Beschaffung, Speicherung, Verwendung oder Offenlegung solcher Daten. |
|---|---|
| Zitat | 1998 c. 29 |
| Territoriale Ausdehnung | Vereinigtes Königreich Großbritannien und Nordirland |
| Termine | |
| königliche Zustimmung | 16. Juli 1998 |
| Andere Rechtsvorschriften | |
| Aufhebungen | Datenschutzgesetz 1984 |
| Geändert von | Jawohl |
| Aufgehoben durch | Datenschutzgesetz 2018 |
Status: Aufgehoben | |
| Gesetzestext in der ursprünglich erlassenen Fassung | |
Der Data Protection Act 1998 (DPA, c. 29) war ein britisches Gesetz des Parlaments zum Schutz personenbezogener Daten, die auf Computern oder in einem organisierten Papierablagesystem gespeichert sind. Es hat die Bestimmungen der EU- Datenschutzrichtlinie 1995 zum Schutz, zur Verarbeitung und zum Datenverkehr erlassen .
Nach dem DPA von 1998 hatten Einzelpersonen das Recht, Informationen über sich selbst zu kontrollieren. Die meisten Gesetze galten nicht für den häuslichen Gebrauch, beispielsweise das Führen eines persönlichen Adressbuchs. Jeder, der personenbezogene Daten zu anderen Zwecken speichert, ist, vorbehaltlich einiger Ausnahmen, gesetzlich zur Einhaltung dieses Gesetzes verpflichtet. Das Gesetz definierte acht Datenschutzgrundsätze, um sicherzustellen, dass Informationen rechtmäßig verarbeitet wurden.
Es wurde am 23. Mai 2018 durch das Datenschutzgesetz 2018 (DSG 2018) abgelöst. Das DSG 2018 ergänzt die am 25. Mai 2018 in Kraft getretene EU -Datenschutzgrundverordnung (DSGVO). Die DSGVO regelt die Erhebung, Speicherung und Umgang mit personenbezogenen Daten deutlich strenger.
Hintergrund
Das Gesetz von 1998 ersetzte das Datenschutzgesetz von 1984 und das Gesetz über den Zugang zu personenbezogenen Dateien von 1987 . Darüber hinaus wurde mit dem Gesetz von 1998 die EU- Datenschutzrichtlinie 1995 umgesetzt .
Die Verordnungen zum Datenschutz und zur elektronischen Kommunikation (EG-Richtlinie) von 2003 änderten die Zustimmungserfordernisse für die meisten elektronischen Marketingmaßnahmen in „positive Zustimmung“, wie z. B. ein Opt-in-Feld. Ausnahmen bleiben für die Vermarktung von „ähnlichen Produkten und Dienstleistungen“ an Bestandskunden und Nachfrager, die weiterhin auf Opt-Out-Basis zugelassen werden können.
Das Datenschutzgesetz von Jersey wurde dem Recht des Vereinigten Königreichs nachempfunden.
Inhalt
Schutzumfang
Abschnitt 1 definiert „personenbezogene Daten“ als alle Daten, die verwendet werden könnten, um eine lebende Person zu identifizieren. Anonymisierte oder aggregierte Daten wurden durch das Gesetz weniger geregelt, sofern die Anonymisierung oder Aggregation nicht rückgängig gemacht wurde. Personen könnten auf verschiedene Weise identifiziert worden sein, einschließlich Name und Adresse, Telefonnummer oder E-Mail-Adresse. Das Gesetz galt nur für Daten, die auf Computern gespeichert waren oder gespeichert werden sollten („Geräte, die automatisch auf zu diesem Zweck erteilte Anweisungen reagieren“) oder in einem „relevanten Dateisystem“ gespeichert waren.
In einigen Fällen könnten Papierunterlagen als „relevantes Ablagesystem“ eingestuft worden sein, wie beispielsweise ein Adressbuch oder ein Tagebuch eines Verkäufers, das zur Unterstützung kommerzieller Aktivitäten verwendet wird.
Der Freedom of Information Act 2000 änderte das Gesetz für öffentliche Einrichtungen und Behörden, und der Fall Durant änderte die Auslegung des Gesetzes durch die Bereitstellung von Rechtsprechung und Präzedenzfällen.
Eine Person, deren Daten verarbeitet wurden, hatte folgende Rechte:
- gemäß Abschnitt 7, um die von einer Organisation gespeicherten Daten gegen eine angemessene Gebühr einzusehen: die Höchstgebühr betrug 2 £ für Anfragen an Kreditauskunfteien, 50 £ für Gesundheits- und Bildungsanfragen und ansonsten 10 £ pro Person,
- gemäß § 14 die Berichtigung unrichtiger Angaben zu verlangen. Ignorierte das Unternehmen den Antrag, hätte ein Gericht die Berichtigung oder Vernichtung der Daten anordnen und in einigen Fällen eine Entschädigung erhalten können.
- gemäß Abschnitt 10 zu verlangen, dass ihre Daten nicht in einer Weise verwendet werden, die möglicherweise Schaden oder Not hätte verursachen können.
- gemäß Abschnitt 11 zu verlangen, dass ihre Daten nicht für Direktmarketing verwendet werden .
Datenschutzgrundsätze
In Anhang 1 sind acht „Datenschutzgrundsätze“ aufgeführt:
- Personenbezogene Daten werden fair und rechtmäßig verarbeitet und insbesondere nicht verarbeitet, es sei denn:
- mindestens eine der Bedingungen in Anhang 2 erfüllt ist und
- bei sensiblen personenbezogenen Daten ist zusätzlich mindestens eine der Bedingungen der Anlage 3 erfüllt.
- Personenbezogene Daten werden nur für einen oder mehrere festgelegte und rechtmäßige Zwecke erhoben und nicht in einer mit diesem Zweck oder diesen Zwecken unvereinbaren Weise weiterverarbeitet.
- Personenbezogene Daten müssen in Bezug auf den Zweck oder die Zwecke, für die sie verarbeitet werden, angemessen, relevant und nicht übermäßig sein.
- Personenbezogene Daten müssen richtig sein und, falls erforderlich, auf dem neuesten Stand gehalten werden.
- Personenbezogene Daten, die für einen oder mehrere Zwecke verarbeitet werden, werden nicht länger aufbewahrt, als es für diesen Zweck oder diese Zwecke erforderlich ist.
- Über die Rechte natürlicher Personen zB werden personenbezogene Daten entsprechend den Rechten der betroffenen Personen (Einzelpersonen) verarbeitet.
- Gegen unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten sowie gegen zufälligen Verlust, Zerstörung oder Beschädigung personenbezogener Daten sind geeignete technische und organisatorische Maßnahmen zu treffen.
- Personenbezogene Daten werden nicht in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftsraums übermittelt, es sei denn, dieses Land oder Gebiet gewährleistet ein angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung personenbezogener Daten.
- Bedingungen, die für den ersten Grundsatz relevant sind
Personenbezogene Daten sollten nur fair und rechtmäßig verarbeitet werden. Damit Daten als „fair verarbeitet“ eingestuft werden können, muss mindestens eine dieser sechs Bedingungen auf diese Daten zutreffen (Anhang 2).
- Die betroffene Person (die Person, deren Daten gespeichert sind) hat der Verarbeitung zugestimmt („ihre Einwilligung gegeben“);
- Die Verarbeitung ist für die Erfüllung oder den Beginn eines Vertrags erforderlich;
- Die Verarbeitung ist aufgrund einer rechtlichen Verpflichtung (außer einer im Vertrag genannten) erforderlich;
- Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person zu schützen;
- Die Verarbeitung ist zur Wahrnehmung öffentlicher Aufgaben erforderlich;
- Die Verarbeitung ist erforderlich, um die berechtigten Interessen des "Datenverantwortlichen" oder "Dritter" zu verfolgen (es sei denn, dies könnte die Interessen der betroffenen Person ungerechtfertigt beeinträchtigen).
- Zustimmung
Abgesehen von den unten genannten Ausnahmen hätte die Person der Erhebung ihrer personenbezogenen Daten und deren Verwendung zu dem/den betreffenden Zweck(en) zustimmen müssen. Die Europäische Datenschutzrichtlinie definiert Zustimmung als „... jede frei den konkreten Fall und in Kenntnis der Wünsche , mit denen die betroffene Person sein Einverständnis zu den personenbezogenen Daten bedeutet , die ihn betreffen , das verarbeitet wird “, was bedeutet , das Individuum haben könnte bedeutete Vereinbarung anders als schriftlich. Die Nichtmitteilung sollte jedoch nicht als Zustimmung interpretiert werden.
Darüber hinaus sollte die Einwilligung dem Alter und der Leistungsfähigkeit der Person sowie den sonstigen Umständen des Falls angemessen gewesen sein. Wenn beispielsweise eine Organisation "beabsichtigt, personenbezogene Daten nach Beendigung der Beziehung mit der Person weiterhin zu speichern oder zu verwenden, sollte die Einwilligung dies abdecken". Und selbst wenn die Zustimmung erteilt wurde, hätte nicht davon ausgegangen werden dürfen, dass sie für immer hält. Obwohl die Einwilligung in den meisten Fällen so lange dauerte, wie die personenbezogenen Daten verarbeitet werden mussten, konnten Einzelpersonen ihre Einwilligung je nach Art der Einwilligung und den Umständen, unter denen die personenbezogenen Daten erhoben und verwendet wurden, möglicherweise widerrufen.
Das Datenschutzgesetz sieht auch vor, dass sensible personenbezogene Daten nach strengeren Bedingungen verarbeitet werden müssen, insbesondere muss eine Einwilligung ausdrücklich erfolgen.
Ausnahmen
Das Gesetz war so strukturiert, dass die gesamte Verarbeitung personenbezogener Daten unter das Gesetz fiel, während in Teil IV eine Reihe von Ausnahmen vorgesehen waren. Bemerkenswerte Ausnahmen waren:
- Abschnitt 28 – Nationale Sicherheit. Jede Verarbeitung zum Zwecke der Wahrung der nationalen Sicherheit ist von allen Datenschutzgrundsätzen sowie von Teil II (Auskunftsrechte des Betroffenen), Teil III (Mitteilung), Teil V (Durchsetzung) und § 55 (Unrechtmäßige Beschaffung personenbezogener Daten) ausgenommen ).
- Abschnitt 29 – Kriminalität und Besteuerung. Vom ersten Datenschutzgrundsatz ausgenommen sind Daten, die zur Verhütung oder Aufdeckung von Straftaten, zur Festnahme oder Verfolgung von Straftätern oder zur Festsetzung oder Erhebung von Steuern verarbeitet werden.
- § 36 – Inländische Zwecke. Die Verarbeitung durch eine natürliche Person nur zum Zweck der persönlichen, familiären oder haushaltspolitischen Angelegenheiten dieser Person ist von allen Datenschutzgrundsätzen sowie Teil II (Auskunftsrechte der Person) und Teil III (Mitteilung) ausgenommen.
Polizei- und Gerichtsbefugnisse
Das Gesetz gewährte oder anerkannte verschiedene polizeiliche und gerichtliche Befugnisse.
- § 29 – Eine Einwilligung der betroffenen Person ist bei der Verarbeitung personenbezogener Daten zur Verhütung oder Aufdeckung von Straftaten, zur Festnahme oder Verfolgung von Straftätern, zur Erhebung und Erhebung von Steuern und Abgaben sowie zur Wahrnehmung einer gesetzlichen Aufgabe nicht erforderlich.
- § 35 – Gesetzlich vorgeschriebene oder im Zusammenhang mit Gerichtsverfahren gemachte Angaben. Dies beinhaltet die Befolgung von Gerichtsbeschlüssen, anderen Gesetzen und ist Teil von Gerichtsverfahren.
Straftaten
Das Gesetz enthält eine Reihe von zivil- und strafrechtlichen Straftaten, für die die für die Verarbeitung Verantwortlichen haftbar gemacht werden können, wenn ein für die Verarbeitung Verantwortlicher keine entsprechende Einwilligung einer betroffenen Person eingeholt hat. Die „Einwilligung“ wurde jedoch im Gesetz nicht speziell definiert und war somit eine Angelegenheit des Common Law.
- § 21 Abs. 1 macht es strafbar, personenbezogene Daten ohne Registrierung zu verarbeiten .
- Abschnitt 21 (2) macht es strafbar, die vom Secretary of State (vom Information Commissioner gemäß Abschnitt 25 des Gesetzes vorgeschlagenen) Benachrichtigungsvorschriften nicht einzuhalten .
- § 55 macht die Erhebung personenbezogener Daten unrechtmäßig. Dieser Abschnitt macht es für Personen (andere Parteien) wie Hacker und Nachahmer außerhalb der Organisation strafbar, sich unbefugten Zugriff auf personenbezogene Daten zu verschaffen.
- Abschnitt 56 macht es strafbar, von einer Person zu verlangen, einen Antrag auf Zugang zu einem Subjekt in Bezug auf Verwarnungen oder Verurteilungen zum Zwecke der Anwerbung, Weiterbeschäftigung oder Erbringung von Dienstleistungen zu stellen. Dieser Abschnitt trat am 10. März 2015 in Kraft.
Komplexität
Das britische Datenschutzgesetz war ein umfangreiches Gesetz, das für seine Komplexität bekannt war. Während die Grundprinzipien für den Schutz der Privatsphäre eingehalten wurden, war die Auslegung des Gesetzes nicht immer einfach. Viele Unternehmen, Organisationen und Einzelpersonen schienen sich der Ziele, Inhalte und Grundsätze des Gesetzes nicht sicher zu sein. Einige weigerten sich, auch nur sehr einfaches, öffentlich zugängliches Material zur Verfügung zu stellen, und zitierten das Gesetz als Einschränkung. Das Gesetz wirkte sich auch auf die Art und Weise aus, in der Organisationen Geschäfte machten, und zwar in Bezug darauf, wer zu Marketingzwecken hätte kontaktiert werden sollen, nicht nur per Telefon und Direktmail, sondern auch auf elektronischem Weg. Dies hat zur Entwicklung von erlaubnisbasierten Marketingstrategien geführt.
Definition personenbezogener Daten
Die Definition von personenbezogenen Daten sind Daten, die sich auf eine lebende Person beziehen, die identifiziert werden kann
- aus diesen Daten; oder
- aus diesen Daten sowie andere Informationen, die sich im Besitz des Datenverantwortlichen befanden oder wahrscheinlich in seinen Besitz gelangen werden.
Sensible personenbezogene Daten betrafen Rasse, ethnische Zugehörigkeit, Politik, Religion, Gewerkschaftsstatus, Gesundheit, sexuelle Vorgeschichte oder Vorstrafen des Subjekts.
Betreff-Zugriffsanfragen
Auf der Website des Information Commissioner’s Office heißt es zu „ Subject Access Requests“ (SARs): „ Sie haben das Recht, herauszufinden, ob eine Organisation Ihre personenbezogenen Daten verwendet oder speichert. Dies wird als Zugangsrecht bezeichnet. Sie üben dieses Recht aus, indem Sie eine Kopie anfordern der Daten, was allgemein als „Betreff-Zugriffsanfrage“ bezeichnet wird.
Bevor die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft trat, hätten Unternehmen für die meisten Anfragen eine bestimmte Gebühr für die Beantwortung einer SAR von bis zu £ 10 erheben können. Gemäß DSGVO: „ Eine Kopie Ihrer personenbezogenen Daten sollte kostenlos zur Verfügung gestellt werden. Eine Organisation kann zusätzliche Kopien in Rechnung stellen. Sie kann nur dann eine Gebühr erheben, wenn sie der Ansicht ist, dass die Anfrage „offensichtlich unbegründet oder übertrieben“ ist. Wenn ja, kann sie eine angemessene Gebühr für die mit der Anfrage verbundenen Verwaltungskosten ."
Informationsbeauftragter
Die Einhaltung des Gesetzes wurde von einer unabhängigen Behörde, dem Information Commissioner's Office , geregelt und durchgesetzt , das Leitlinien in Bezug auf das Gesetz unterhielt.
Artikel-29-Datenschutzgruppe der EU
Im Januar 2017 forderte das Büro des Datenschutzbeauftragten öffentliche Stellungnahmen zu den von der EU-Artikel-29-Datenschutzgruppe vorgeschlagenen Änderungen des Datenschutzrechts und der erwarteten Einführung von Erweiterungen der Auslegung des Gesetzes, dem Leitfaden zur Datenschutz-Grundverordnung, an .
Siehe auch
- Datenschutzgesetz, 2012 (Ghana)
- Computermissbrauchsgesetz 1990
- Datenprivatsphäre
- Datenschutzrichtlinie (EU)
- Informationsfreiheitsgesetz 2000
- Gaskin gegen Vereinigtes Königreich
- Liste der Datenverluste der britischen Regierung
- Verordnungen zum Datenschutz und zur elektronischen Kommunikation (EG-Richtlinie) 2003
- Datenschutz-Grundverordnung – eine EU-Datenschutzverordnung aus dem Jahr 2016
- Smith gegen Lloyds TSB Bank plc
- Durant gegen Financial Services Authority [2003] EWCA Civ 1746
- „ Datenschutzgesetz [HL] 2017-19 “. Gesetzentwurf Nr. HL 104 von 2018 .( „ Der Data Protection Bill wurde auf Bericht Bühne am Mittwoch , 9. Mai 2018 und lese und bestehen mit Änderungen in Betracht gezogen. “)
Verweise
Externe Links
- Büro des Informationskommissars
- Die Abteilung für Verfassungsfragen
- Europarat – ETS-Nr. 108 – Übereinkommen zum Schutz des Einzelnen bei der automatischen Verarbeitung personenbezogener Daten (1981) – Grundlage des Datenschutzgesetzes von 1984
- Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr – Grundlage des Datenschutzgesetzes 1998
Britische Gesetzgebung
- Text des heute gültigen Datenschutzgesetzes von 1998 (einschließlich aller Änderungen) im Vereinigten Königreich, von Gesetzgebung.gov.uk .