Questions fréquemment posées au sujet de la protection de données

Pourquoi est-il important que votre organisation se conforme-t-elle à la Loi de protection de données ?

La Loi 1998 (« DPA » de protection) de données, établit huit principes de protection de données aux lesquels n'importe quelle organisation traitant des données des individus doit être conforme.

Que la DPA couvre-t-elle ?

Les DPA sont entrées en vigueur le 1er mars 2000. Les DPA ont mis en application directive européenne des syndicats (la « UE ») concernant la protection de données dans la loi BRITANNIQUE présentant les changements radicaux à la manière dans laquelle des données personnelles concernant les individus vivants identifiables peuvent être employées. Le besoin constant des entreprises de traiter des données personnelles signifie que la DPA effectue sur la plupart des organismes, indépendamment de la taille. En outre, la conscience de croissance du public de leur droite à l'intimité signifie que la protection de données demeurera une question importante.

La DPA fait une distinction entre les données personnelles et les données sensibles personnelles. Les données personnelles incluent des données personnelles concernant des employés, des clients, des contacts d'affaires et des fournisseurs. Les données sensibles couvrent l'origine ethnique d'un individu, les conditions médicales, l'orientation sexuelle et l'acceptabilité pour fonctionner au R-U. Les principes de protection de données visent les normes aux lesquelles une organisation doit répondre en traitant des données personnelles. Ces principes s'appliquent au traitement de toutes les données personnelles, si ces données sont traitées automatiquement ou stockées dans les dossiers manuels structurés.

Quelles sont des données ?

Les données signifient l'information qui est traitée par ordinateur ou tout autre équipement automatique, y compris des equipements de traitement de textes, bases de données et fichiers tableur, ou l'information qui est enregistrée sur le papier avec l'intention d'traitement plus tard par ordinateur ; ou l'information qui est enregistrée en tant qu'élément d'un système de fichiers manuel, où les dossiers sont structurés selon les noms des individus ou d'autres caractéristiques, telles que le nombre de livre de paie, et où les dossiers ont la structure interne suffisante de sorte que des informations spécifiques sur un individu particulier puissent être trouvées facilement.

Quels sont les huit principes de protection de données ?

Les huit principes de protection de données sont comme suit :

Des données personnelles doivent être traitées assez et légalement

Des données personnelles doivent être obtenues seulement pour des buts indiqués et légaux et ne doivent pas être traitées plus loin de n'importe quelle façon incompatible avec ces buts

Les données personnelles doivent être proportionnées, appropriées et non excessives par rapport aux buts pour lesquels elles ont été rassemblées

Les données personnelles doivent être précises et, en cas de besoin, tenues à jour

Des données personnelles ne doivent pas être maintenues plus longues qu'est nécessaire pour les buts pour lesquels elles ont été rassemblées

Des données personnelles doivent être traitées selon les droites des sujets de données

Des données personnelles doivent être maintenues bloquées contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels

Des données personnelles ne doivent pas être transférées aux pays en dehors de l'Européen

Secteur économique à moins que le pays de destination fournisse à niveau proportionné de la protection de données pour ces données.

Quelles données comportent des données personnelles ?

Les données personnelles se relient aux données des individus vivants qui peuvent être identifiés de ces données, ou de ces données et toute autre information qui est dans la possession du contrôleur de données ou qui est susceptible d'hériter sa possession par exemple, noms, adresses et numéros de téléphone à la maison des employés.

Quelles données comportent des données sensibles ?

Les données sensibles personnelles (« données sensibles ») se composent de l'information concernant un sujet de données (individus) :

origine raciale ou ethnique ;

avis politiques ;

croyance religieuse ou toute autre croyance semblable ;

adhésion de syndicat ;

santé ou état physique ou mentale ;

orientation sexuelle ;

commission ou commission alléguée de toutes offenses ; convictions ou démarches criminelles impliquant le sujet de données.

convictions ou démarches criminelles impliquant le sujet de données.

Quelle est la signification du traitement sous les DPA ?

La définition du « traitement » est très large. Elle couvre n'importe quelle opération effectuée sur les données et l'inclut, obtenant ou enregistrant des données, la récupération, consultation ou utilisation des données, la révélation ou rendre autrement disponible des données.

Qui est un contrôleur de données ?

Un « contrôleur de données » est toute personne que (seulement ou en commun avec d'autres) décide les buts pour lequel, et la façon dont, les données personnelles sont traitées. Le contrôleur de données sera donc la personne morale qui exerce le contrôle final des données personnelles. Les différents directeurs ou employés ne sont pas des contrôleurs de données.

Le contrôleur de données est responsable de :

Données personnelles au sujet des individus vivants identifiables

Décidant comment et pourquoi des données personnelles sont traitées

Traitement de l'information - se conformant aux huit principes de protection de données

Acquérant le consentement « de sujets de données » pour traiter des données sensibles

Procédures existantes pour manipuler des données sensibles ou personnelles

Mesures de sécurité de sauvegarder des données personnelles

Avis

Qui est un informaticien ?

Un « informaticien » est une personne ou une organisation qui traite les données au nom du contrôleur de données, mais qui n'est pas un employé du contrôleur de données.

Qui est un sujet de données ?

Un « sujet de données » est n'importe quel individu vivant qui fait l'objet des données personnelles. Il n'y a aucune restriction d'âge à qui qualifie car un sujet de données, mais la définition ne se prolonge pas aux individus qui sont décédés.

Sommes-nous requis d'annoncer ? Que l'avis signifie-t-il ?

Une organisation ne doit traiter aucune données personnelles à moins qu'elle ait d'abord informé le commissaire de l'information de certaines conditions particulières, incluant :

le nom et l'adresse de l'organisation ;

les buts pour lesquels les données doivent être traitées ;

tous destinataires proposés des données ;

pays en dehors du secteur économique européen auquel les données peuvent être révélées.

Quelle est la signification d'un accès soumis ?

C'est une demande par un individu d'être accordée l'accès, et soit équipée de copie, derrière n'importe quelles données personnelles qu'une organisation contient au sujet de lui. Ceci inclut la droite d'être équipé d'informations sur les buts pour lesquels l'organisation traite ces données personnelles, la source de données, l'identité de toute personne à qui les données ont été révélées et la logique derrière tous les processus décisionnels automatisés. Une demande soumise d'accès est une demande d'être accordée l'accès à, certaines données personnelles qu'une organisation contient au sujet d'un individu. Ceci inclut la droite d'être équipé d'information environ :

les buts pour lesquels l'organisation traite ces données personnelles la source de données, l'identité de toute personne à qui les données ont été révélées ; et la logique derrière tous processus décisionnels automatisés empêchant le traitement qui est susceptible de causer les dommages ou la détresse de sujet de données empêchant le traitement qui a lieu pour les buts de la commercialisation directe s'opposant aux décisions automatisées étant prises au sujet de lui (c.-à-d. les décisions qui n'ont aucune participation humaine) ; Compensation réclamante pour tous « dommages » ou « dommages et détresse » qui est causée à un sujet de données (ou à une personne différente) en raison de l'infraction de la compagnie des DPA. À quoi est-ce qu'un sujet de données a droit, si lui ou elle fait une réclamation réussie pour la compensation ?

Un sujet de données a droit à la compensation et a le droit :

empêcher traiter qui est susceptible de causer les dommages ou la détresse de sujet de données ;

empêcher traiter qui a lieu pour les buts de la commercialisation directe ;

s'opposer aux décisions automatisées étant prises au sujet de lui (c.-à-d. les décisions qui n'ont aucune participation humaine) ;

réclamer la compensation pour n'importe quels dommages ou dommages et détresse qui est causée à un sujet de données (ou à une personne différente) en raison de l'infraction d'une compagnie de la Loi ; et

inviter le commissaire de l'information à faire à une évaluation de la manière les processus de compagnie les données que personnelles concernant les données soumettent.

Pour quoi votre organisation peut-elle être poursuivie ?

Comme un contrôleur de données vous peut également être poursuivi pour des offenses comme :

Des offenses d'avis - plusieurs offenses peut être commis en ce qui concerne les obligations des contrôleurs de données d'enregistrer et maintenir une telle obtention d'enregistrement ou révélation illégale des données personnelles - c'est une offense criminelle à sciemment ou recklessly (sans consentement du contrôleur de données) obtenir ou révéler l'accès soumis imposé par données personnelles - l'acte interdit l'accès soumis imposé ; c'est une offense criminelle pour exiger n'importe quelles données sujet à l'accès de sujet de demande en liaison avec le recrutement, emploi ou fourniture de notices d'information - c'est une offense criminelle ne se conforme pas à une notification de l'information publiée par les notices de commissaire Enforcement de l'information - c'est une offense criminelle ne se conforme pas à une notification d'application. La notification d'application peut exiger du contrôleur de données de cesser le traitement : (i) toutes données personnelles ; ou (ii) données personnelles du type indiqué dans la notification.

Quels cas récents sur la protection de données ?

Sur notre site Web principal www.rtcoopers.com, nous avons un certain nombre de mises à jour et d'articles légaux de protection de données.

L'emploi pratique le code de protection de données - lieu de travail surveillant, août 2005

Abus du processus - dommages, août 2005

Nouvelle interprétation de l'acte de protection de données, août 2005

Le nouvel Anti-Spamming accord global, juillet 2004 nous essayerons de garder la jurisprudence de la loi de protection de données mise à jour régulièrement.

Articles de protection de données

Si vous visitez notre site Web, vous pouvez avalez des articles de charge sur la protection de données.

Livres de protection de données

Vous pouvez obtenir des livres en ligne d'Amazon.com et de Blackwell sur la protection de données. Il y a des librairies telles que Hammonds.

Quelle est la signification du traitement des données ?

Cette définition large du « traitement » inclut rassembler et révéler des données personnelles. Ceci signifie qu'un contrôleur de données devrait seulement se rassembler ou révèle des données personnelles s'il peut justifier que la collection ou la révélation au-dessous de une des conditions a énuméré ci-dessus.

Il y a quatre règles d'or pour permettre le traitement à être juste et légal sous les DPA :

Règle 1

Ces conditions sont assez larges pour couvrir la plupart des activités de compilation. Les conditions les plus utiles sont présentées ci-dessous

Un contrôleur de données doit trouver une justification légale pour traiter des données personnelles sous le programme 2 des DPA.

Trouvant une justification légale - La DPA interdit tout traitement des données personnelles à moins qu'une compagnie puisse justifier un tel traitement au-dessous de une des conditions présentées au programme 2 des DPA.

La compagnie peut traiter des données personnelles où : le sujet de données a consenti au traitement ;

il est que une compagnie traite des données personnelles afin d'entrer dans, ou de l'exécution, un contrat avec le sujet de données ;

le traitement est nécessaire pour permettre à une compagnie de se conformer à un engagement légal (autre qu'un engagement imposé par un contrat) ;

le traitement est nécessaire pour s'assurer qu'une compagnie se conforme à un devoir statutaire (c.-à-d. un devoir imposé par la législation) ;

ou le traitement est nécessaire dans les intérêts légitimes d'une compagnie, si les droites et la liberté de sujets de données ne sont pas compromises en conséquence

Règle 2

Si le contrôleur de données traite des données sensibles le contrôleur de données doit trouver une justification légale sous les deux programmes 2 et 3 des DPA.

Traitant des données personnelles sensibles - si la compagnie traite des données personnelles sensibles, alors elle doit avoir une justification sous le programme 2 (voir ci-dessus), et doit également trouver une justification légale sous le programme 3 des DPA (voir vis-à-vis de)

Une compagnie peut traiter des données sensibles où :

le sujet de données a donné son consentement explicite au traitement ; le traitement est nécessaire pour exercer ou exécuter n'importe quelle droite légale ou engagement qui est conféré ou imposé à la compagnie par loi en liaison avec l'emploi ;

le traitement est nécessaire pour protéger les intérêts essentiels du sujet de données ou une autre personne l'information a été faite à public en raison des mesures délibérément prises par le sujet de données ;

le traitement est nécessaire pour des buts légaux des droites légales comprenant prendre le conseil légal et l'établir, s'exercer ou le défendre ; ou le traitement est d'information concernant l'origine raciale ou ethnique du sujet de données, la croyance religieuse ou toute autre croyance semblable, ou la santé ou l'état physique ou mentale, et est effectué pour les buts de surveiller l'égalite3 des chances.

Règle 3

Là où des données personnelles sont rassemblées directement du sujet de données, le contrôleur de données doit faire une mise en demeure de protection de données sur le sujet de données avant que les données soient obtenues ou à l'heure de la collection

Donnant la notification de protection de données - où l'information est obtenue directement à partir du sujet de données, la compagnie doit s'assurer que, autant que faisable, le sujet de données est prévu, ou a rendu facilement disponible à lui, une notification de protection de données. Cette notification devrait être fournie avant que n'importe quelle information soit obtenue. La notification de protection de données devrait décrire :

l'identité du contrôleur de données ;

les buts pour lesquels les données doivent être traitées ; et toute autre information nécessaire dans les circonstances pour assurer le traitement est juste. Par exemple, ceci inclura une description de tous les destinataires de tiers à qui la compagnie a l'intention de révéler des données personnelles et les buts pour leur traitement

Règle 4

Là où les données personnelles ont été obtenues à partir d'un tiers, le contrôleur de données doit faire une mise en demeure de protection de données quand des données sont d'abord traitées par le contrôleur.

Quels sont les engagements de sécurité sous la Loi de protection de données ? La DPA impose des engagements rigoureux de sécurité aux contrôleurs de données. La compagnie est obligée de prendre des mesures appropriées de sauvegarder contre le traitement non autorisé ou illégal des données personnelles et contre la perte ou la destruction accidentelle, ou des dommages, derrière des données personnelles. Une compagnie doit également assurer le sérieux du personnel qui, ont accès aux données personnelles et s'assurent qu'elles sont mises au courant des conditions des DPA.

Quels sont les engagements où des informaticiens sont employés ? La DPA exige d'une compagnie de s'assurer que tous les informaticiens externes fournissent un niveau approprié de sécurité en traitant des données personnelles au nom de la compagnie.

Ce qui sont les règles de vente

Les sujets de données ont le droit de s'opposer au traitement de leurs données personnelles pour les buts de la commercialisation directe. Ils peuvent faire le ce ou en informant une compagnie ou par l'inscription à un des services OPT-dehors courir par l'association de commercialisation directe. Ces services OPT-dehors permettent à l'individu de quitter être entré en contact par la poste, le téléphone, l'email ou le fax pour la commercialisation directe.

Quels sont les règlements 2003 d'intimité et de communications électroniques (directive de l'EC) ?

(« Règlements ») a entré en vigueur tard 2003 et il impose des contraintes à l'utilisation des E-mails, du marketing de SMS et des biscuits de site Web. Règle 1

S'applique à tous les messages de vente envoyés par l'email indépendamment de qui le destinataire est l'expéditeur ne doit pas cacher leur identité ; et l'expéditeur doit fournir une adresse valide pour les demandes OPT-dehors

Il y a certaines exemptions qui s'appliquent aux règlements. Les règlements traitent également l'utilisation des biscuits sur des sites Web.

Les biscuits sont des disques provisoires qui sont gardés de l'email address et d'autres groupes d'une personne quand une personne accède à un site Web. Les règlements établit la loi concernant l'utilisation des biscuits sur des sites Web. Aux termes des règlements l'utilisation des biscuits et d'autres dispositifs de cheminement sont :

interdit à moins que des abonnés et les utilisateurs soient clairement dits ils sont employés ; et donné la chance de refuser leurs règlements d'utilisation ne pas viser quand, où ou comment l'information ou le commutateur outre de l'occasion devrait être communiquée. On le suggère que ceci puisse être communiqué dans un ministère du commerce de politique d'intimité et l'industrie étudie actuellement l'utilisation des biscuits par des contrôleurs de données. Exemptions aux termes des règlements :

Exemption existante de rapport de client

La commercialisation directe limitée par E-mail est permise sans exprès OPT-dans, sujet des conditions suivantes : L'email address doit avoir été obtenu au cours « vente ou des négociations en vente d'un produit ou service à cette » commercialisation directe réceptive est autorisées seulement en ce qui concerne du destinataire des services de l'acheteur « les produits semblables et » doit être donné à l'des moyens simples de refuser l'utilisation des détails de contact pour les buts de la commercialisation directe - par exemple une liste de expédition de legs de case (adresses d'E-mail) rassemblée avant octobre 2003 - peut-être légalement inutilisable

À moins que les adresses d'email des personnes achetées ou négociées en vente des marchandises ou des services OPT-dans requis dans tous autres cas - si les personnes s'enregistraient sur un site Web pour un bulletin ou le dispositif dans des conseils achetés de la Commission de l'information de liste - condition d'inclure « des moyens simples de refuser » des liens utiles d'autres d'email si vous recherchez plus d'information sur la protection de données, puis sont ci-dessous encore plus de liens utiles aux lesquels vous pouvez accéder.

Établissement britannique de normes - liberté d'information
Établissement britannique de normes - protection de données
Département pour l'environnement, la nourriture et les affaires rurales
Département pour des affaires constitutionnelles
Département de santé
Règlements 1992 (SI 3240) ambiantes de conditions
Liberté d'information : Recueil d'instructions, section 45
Liberté d'information : Recueil d'instructions, section 46
Liberté d'information : Consultation
Consultation de carte d'identification de gouvernements
Consultation de cartes de droit de gouvernement
Consultation à la maison de l'Office RIPA
La Chambre des Communes
Tribunal de l'information
Commission parlementaire mixte sur des droits de l'homme
Avis : Guide d'évaluation de soi-même
Office des communications (Ofcom)
Bureaux marchands de gens du pays de normes
Le R-U en ligne
Sommet du monde sur la société de l'information (WSIS)

Si vous avez besoin davantage d'd'information nous contacter à : enquiries@rtcoopers.com

TONNELIERS DU © DROITE, 2005. Cette note sommaire ne fournit pas un rapport complet ou complet de la loi concernant les questions discutées ni il constitue le conseil légal. On le prévoit pour accentuer seulement les questions générales. Le conseil légal de spécialiste devrait toujours être cherché par rapport aux circonstances particulières.