2017 年 6 月的一个夏日早晨,在疫情爆发前,仿佛已经是很久以前的事了,英国政府宣布计划推出新的数据保护立法。现有的 1998 年数据保护法案几乎是维多利亚时代的,因为它的出现早于社交媒体和智能手机。此外,需要立法来实施即将出台的通用数据保护条例 (GDPR)。2017-18 年数据保护法案于 2018 年 5 月 23 日获得御准,成为 2018 年数据保护法案 (DPA)。
要了解英国脱欧后数据保护立法的变化,请阅读我们关于英国脱欧后的 GDPR的博客,其中解释了英国 GDPR 与欧盟 GDPR 的差异及其含义。
2018 年数据保护法案对企业有何影响
所有处理个人数据的企业都需要了解该法案在其市场领域的应用。首先要考虑的是 2018 年《数据保护法案》和英国《GDPR》中使用的常用术语。
以下是 DPA 2018 和英国 GDPR 术语的非详尽列表,所有组织都应该熟悉这些术语,以确保他们充分掌握与企业相关的数据保护。
加工
数据保护涉及个人数据的 土耳其数据 处理,涉及对个人数据执行的任何操作或操作集合。它涵盖个人数据的整个生命周期,从收集到销毁,以及其间发生的一切 – 无论是手动还是使用自动化、人工智能或机器学习。
资料主体
是已识别或可识别的自然人(“数据主体”)。[请参阅下面的个人数据]
个人资料
个人数据是指与已识别或可 所有这些都是为了确保用户 识别的自然人 [数据主体] 有关的任何信息,这些信息可用于直接或间接识别该人。例如,客户提供姓名、地址并出示带照片的身份证件将直接识别该数据主体;一个人的鞋码、他们选择的电影或他们最喜欢的餐厅不会直接识别他们,但结合更多信息可以间接识别他们,然而,所有这些都被归类为个人数据。
特殊类别个人资料
这些数据被视为特别敏感,通常会 巴西商业名录 导致歧视,它涉及一个人的种族、宗教、健康、工会会员资格、政治信仰、生物特征数据、性生活、性取向、遗传学。除非满足英国 GDPR 第 9 条 [C1] 中的至少一个特定条件,否则禁止处理这些数据。
控制器(又称数据控制器)
决定处理个人数据的目的和方法的法人。控制者始终是公司或组织、公共机构或机构,尽管也可以是个人,例如,处理个人数据的个体经营者就是控制者。当一个控制者与其他控制者合作并共享数据时,他们共同决定处理的目的和方法。例如,当警察、社会服务、住房和学校合作帮助一群家庭时,他们将成为联合控制者,所有人都将对数据负责。
处理器(又称数据处理器)
如果将个人数据的处理外包给第三方,则该第三方将成为 DPA 2018/UK GDPR 的处理者。必须签订一份具有法律约束力的合同(称为“处理者协议”),其中规定处理的范围和方法、合同终止时个人数据的处理方式,以及处理者只能按照控制者的指示行事。如果处理者在任何时候决定进行处理,那么对于该决定,处理者将成为控制者,并承担控制者的责任和义务。
您不能成为同一处理活动的数据控制者和处理者。
支付数据保护费
在英国,除非有豁免,否则所有处理个人数据的组织都必须向信息专员办公室 (ICO) 缴纳费用。这确保了 ICO 的独立性,并且所有使用专员服务的组织都需支付少量费用以维持 ICO。费用从 40 英镑到 2,900 英镑不等,对于大多数私人组织来说,费用为 40 英镑或 60 英镑,只有非常大的组织和公共机构才支付 2,900 英镑。
ICO 公布了收费组织的名称,并公布了因数据保护违规而被罚款的企业。
2018 年数据保护法摘要
上述定义为企业理解数据保护规则和原则提供了基础。为了减轻合规违规风险以及由此造成的财务和声誉损害,公共和私人组织必须了解英国 GDPR 和 2018 年 DPA。这将为制定强有力的数据保护政策和程序奠定基础,旨在保护数据主体和组织本身的最佳利益。