什么是《 2018年数据保护法》?

 
《 2018年数据保护法》是英国管理个人数据收集和使用的第三代法律。它于2018年5月23日获得王室同意，旨在对数据保护法律进行现代化处理，以应对不断扩大数据收集范围的新创新和数字平台。
DPA 2018建立了英国数据使用监管框架，并取代了之前的1998年《数据保护法案》。该法案涵盖了广泛的数据政策，但其主要目的是为数据主体提供新的工具来保护其信息并帮助他们让组织负责。
该法案还扩大了欧盟法律未涵盖的领域，以补充于2018年5月25日生效的《通用数据保护条例》(GDPR)提供的监管监督。请务必注意，DPA 2018并未实施GDPR，因为GDPR会自动适用于英国作为欧盟成员国。但是，该法案确实执行了《欧盟执法指令》，该指令为执法机构使用个人数据时提供了数据保护的基本权利。
拥有GDPR时为什么需要DPA 2018?
DPA 2018在很大程度上反映了GDPR，但是存在一些细微的差异。
尽管GDPR自动适用于所有欧盟成员国，但该法规确实允许各州制定自己的附加规定，以便将其更顺利地实施到国家法律中。
以英国为例，大多数数据处理将受GDPR管辖，但是，《 2018年数据保护法》涵盖了与移民问题，FOI公共当局处理数据以及某些国家安全豁免相关的某些活动。
例如，在DPA 2018下，如果内政部和其他处理移民数据的组织认为这样做会损害“有效的移民控制”，则允许该组织拒绝对个人数据的访问请求。
但是，这项豁免受到人权和数字权利运动人士的挑战，开放权利组织和300万在2019年1月发起了一项联合法律挑战。该挑战认为与移民数据有关的豁免是非法的，最终遭到了反对者的拒绝。十月高等法院。
GDPR中还有许多未在英国法律中适用的条款，否则DPA 2018对此做了规定。例如，GDPR规定同意处理个人数据的法定年龄为16岁，而在GDPR中在英国，此值为13。根据DPA 2018，英国组织也可以执行一定程度的自动决策，这是GDPR所禁止的。
尽管已投票决定退出欧盟，但英国仍受制于2020年1月31日之前颁布的任何欧盟立法，包括GDPR-现在将作为2018年《欧盟(退出)法》的一部分签署为英国法律。
由于我们已经离开欧盟，因此还需要DPA 2018来确保数据从欧盟到英国的顺畅流动。作为即将进行的谈判的一部分，英国将寻求一项“充分性协议”，这是欧盟的一项正式承认，即英国作为“第三国”，已经制定了足够强大的数据保护法律，以提供与用户(根据GDPR规定)。尽管英国表示将授权自动向欧盟传输数据，但在没有达成充分协议的情况下，英国可能会发现很难合法接收数据。尽管有种种迹象表明这种情况会发生，但只有英国离开欧盟后才能开始这一过程，而且无法说出谈判需要多长时间。
此外，任何位于英国(或其他任何地方)，拥有欧洲居民客户的组织都必须遵守GDPR规则，无论英国是在欧盟内部还是欧盟外部。因此，拥有在很大程度上反映GDPR的国内法是有道理的。
有关英国退欧可能影响GDPR的各种方式的更多信息，请访问我们的深入指南。
DPA 2018下个人数据的定义
根据DPA 2018，个人数据是指与已识别或可识别的在世个人有关的任何信息，即可以通过数据直接或间接识别的个人。这包括名称，标识号，位置数据，在线标识符或特定于它们的一个或多个因素，例如身体，生理，遗传，心理，经济或文化信息，或它们的社会身份。
实际上，任何可以用来以某种方式识别个人身份的东西都被视为个人数据，其中包括更现代的因素，例如互联网IP地址。
自1998年DPA以来发生了什么变化
DPA 2018寻求现代化的数据保护框架，以应对数字平台和社交媒体公司数量的增长以及互联网上数据收集的广泛性。该法案赋予了数据主体更大的权力，并普遍加强了1998年版本中的许多规定。
尽管仍然需要合法，公正地处理数据，但现在要求组织在其活动中更加透明。数据收集还必须仅用于明确，特定和合法的目的。
必要时，还完善和更新了合法处理的条件。同意，履行合同，法律义务，重大利益，公共利益和合法利益都是处理数据的法律条件。在同意的情况下，一个主要的变化是数据主体必须就处理与特定目的相关的数据给予明确同意，而不是一揽子明确同意。
数据存储时的管理方式也发生了变化，对企业的更高要求不仅是使数据保持最新状态，而且还要不拖延地擦除所有不准确的信息。
根据1998年法案，可以收集哪些数据也可以作进一步解释，允许组织处理被认为不超出其原始目的的数据。现在，处理完全限于认为相关的数据。
DPA 2018的结构
DPA 2018实施了四个不同的数据保护框架，每个框架都与特定类别的数据处理相关。
在GDPR范围内
不在GDPR范围内
主管当局出于执法目的
通过情报服务
该法案也分为七个部分，每个部分包含多个时间表。在介绍性部分和关键术语之后，第2部分介绍了个人数据的一般处理的各个方面，第3部分介绍了执法，第4部分介绍了情报服务处理，第5部分介绍了信息专员办公室(ICO)的权限，第6部分概述了执行权力的范围，第7部分介绍了不属于先前类别的其他条款。
规定了执法处理的特殊规定，包括由警察，检察官和类似的刑事司法机构处理个人数据。情报部门的处理也有类似规定，旨在使英国标准与国际标准保持一致。这些框架还确保国际数据畅通无阻，以打击犯罪，同时确保维护数据保护。
违反DPA 2018的处罚
与GDPR一样，DPA 2018赋予ICO征收比过去更大的罚款的权力。 根据1998年法令，可能的最高罚款为500,000美元。
根据DPA 2018，如果未在72小时内报告数据泄露，可能导致公司年度全球营业额的2%处以罚款，或处以1000万(900万)以下罚款，以较高者为准。 对于数据泄露本身，最高罚款将翻倍至4%，即2000万(1700万)。