Zakon o varstvu podatkov 2018: pravice in obveznosti v Združenem kraljestvu

Zakon o varstvu podatkov iz leta 2018 (c 29) je zakon, ki ga je britanska vlada sprejela leta 2018 in je nadomestil zakon iz leta 1998. Usklajen je bil z evropsko Splošno uredbo o varstvu podatkov (GDPR) in po izstopu Združenega kraljestva iz EU deluje skupaj z UK GDPR. Namen zakona je varovati zasebnost posameznikov in zagotoviti jasna pravila za organizacije, ki zbirajo in uporabljajo osebne podatke v Združenem kraljestvu.

Določa pravila za osebe, ki uporabljajo ali shranjujejo podatke o živih ljudeh, in daje pravice osebam, katerih podatki so bili zbrani. Zakon velja za podatke, ki se hranijo v računalnikih ali kakršnem koli sistemu shranjevanja, tudi v papirni obliki, če so podatki organizirani tako, da so dostopni po določenih merilih (npr. v strukturiranih mapah).

Zakon zajema osebne podatke, ki so dejstva, kot so vaš naslov, telefonska številka, e-poštni naslov, zgodovina zaposlitve itd., ter tudi identifikatorje, kot so IP-naslovi in piškotki, kadar omogočajo ali prispevajo k identifikaciji posameznika.

Osebe, ki uporabljajo informacije, se imenujejo upravljavci podatkov. Ljudje, o katerih so podatki, se imenujejo posamezniki, na katere se podatki nanašajo. Poleg upravljavcev zakon ureja tudi vlogo obdelovalcev (organizacij ali oseb, ki obdelujejo podatke v imenu upravljavca, npr. ponudniki storitev v oblaku).

Osnovna načela obdelave osebnih podatkov

  • Zakonitost, poštenost in preglednost: obdelava mora imeti veljavno pravno podlago, biti razumljiva in pričakovana.
  • Omejitev namena: podatki se zbirajo za določene, izrecne in zakonite namene ter se ne obdelujejo nezdružljivo s temi nameni.
  • Minimizacija podatkov: zbirajo se le podatki, ki so nujno potrebni.
  • Točnost: podatki morajo biti točni in posodobljeni.
  • Omejitev hrambe: hramba le toliko časa, kolikor je potrebno za namene obdelave.
  • Celovitost in zaupnost: zagotovljena mora biti ustrezna varnost, vključno z zaščito pred nepooblaščenim ali nezakonitim dostopom ter naključno izgubo.
  • Odgovornost: upravljavec je odgovoren za skladnost in jo mora biti sposoben dokazati (npr. z evidencami in politikami).

Pravne podlage za obdelavo

  • Soglasje posameznika, ki je svobodno dano, specifično, informirano in nedvoumno.
  • Pogodba, kadar je obdelava potrebna za sklenitev ali izpolnitev pogodbe.
  • Pravna obveznost (npr. računovodski predpisi).
  • Življenjski interesi (nujni primeri za zaščito življenja ali zdravja).
  • Javni interes ali izvajanje javne oblasti.
  • Legitimni interesi upravljavca ali tretje osebe, če ne prevladajo interesi ali pravice posameznika; zahteva tehtanje interesov.

Za posebne vrste osebnih podatkov (npr. rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja, članstvo v sindikatu, genetski in biometrični podatki za identifikacijo, zdravstveni podatki, spolno življenje ali usmerjenost) veljajo strožji pogoji in dodatni varovalni ukrepi. Podatki o kaznivih dejanjih se obdelujejo po posebnih pravilih.

Pravice posameznikov

  • Pravica do obveščenosti: jasna obvestila o obdelavi (politike zasebnosti) z navedbo namenov, pravnih podlag, rokov hrambe, prejemnikov, kontaktov in pravic.
  • Dostop do podatkov (SAR): upravljavec mora odgovoriti običajno v enem mesecu; rok se lahko podaljša za največ dva meseca pri zapletenih zahtevah. Praviloma brezplačno.
  • Popravek: netočne ali nepopolne podatke je treba popraviti ali dopolniti.
  • Izbris ("pravica do pozabe"): v določenih primerih, npr. ko podatki niso več potrebni ali je soglasje umaknjeno.
  • Omejitev obdelave: začasno ustavitev obdelave v določenih primerih.
  • Prenosljivost: prejem podatkov v strukturirani, splošno uporabljani in strojno berljivi obliki ter prenos k drugemu upravljavcu, kadar je obdelava avtomatizirana in temelji na soglasju ali pogodbi.
  • Ugovor: zlasti za neposredno trženje ali obdelavo na podlagi legitimnih interesov ali javne naloge.
  • Avtomatizirano sprejemanje odločitev in profiliranje: pravica, da niste predmet odločitev, ki imajo pravne ali podobno pomembne učinke, če temeljijo izključno na avtomatizirani obdelavi, razen v določenih izjemah.
  • Pravica do pritožbe pri nadzornem organu (Informacijski pooblaščenec ICO) in do sodnega varstva.

Obveznosti upravljavcev in obdelovalcev

  • Preglednost: objava jasne politike zasebnosti in obvestil ob zbiranju podatkov.
  • Varnost: tehnični in organizacijski ukrepi (šifriranje, nadzor dostopov, varnostno kopiranje, testiranje).
  • Pogodbe z obdelovalci: pisne pogodbe, ki določajo predmet, trajanje, naravo in namen obdelave, vrste podatkov, kategorije posameznikov ter obveznosti obdelovalca (zaupnost, varnost, pomoč pri uresničevanju pravic).
  • Evidenca dejavnosti obdelave: vodenje ažurnih evidenc, zlasti pri večjem obsegu ali rizični obdelavi.
  • Ocene učinka na varstvo podatkov (DPIA): obvezne pri visokem tveganju (npr. obsežno profiliranje, sistematično spremljanje javno dostopnih območij).
  • Pooblaščena oseba za varstvo podatkov (DPO): obvezna za javne organe in za organizacije, ki izvajajo obsežno sistematično spremljanje ali obdelujejo posebne vrste podatkov v velikem obsegu.
  • Usposabljanje in ozaveščanje: redno izobraževanje zaposlenih, politike ravnanja z incidenti in preverjanje skladnosti.
  • Načelo zasebnosti že pri zasnovi in privzeto: vgradnja varstva podatkov v procese in storitve od začetka.

Kršitve varnosti podatkov

  • Prijava nadzornemu organu: kršitve, ki lahko ogrozijo pravice in svoboščine posameznikov, je treba prijaviti ICO praviloma v 72 urah po seznanitvi.
  • Obveščanje posameznikov: če je tveganje visoko, je potrebno tudi neposredno obvestilo prizadetim posameznikom brez nepotrebnega odlašanja.
  • Vodenje evidence kršitev: dokumentirati vse kršitve, ne glede na obveznost prijave.

Otroci, trženje in piškotki

  • Podatki otrok: pri ponudbi spletnih storitev otrokom je starost za veljavno soglasje običajno 13 let; kadar je potrebno soglasje, je treba preveriti starost in pridobiti soglasje starša ali skrbnika, če otrok ne dosega praga.
  • Neposredno trženje: posameznik ima vedno pravico do ugovora. Pravila za elektronsko trženje in piškotke dopolnjujejo posebni predpisi (PECR); potrebna je jasna privolitev, kadar piškotki niso nujni.

Mednarodni prenosi podatkov

Prenosi osebnih podatkov iz Združenega kraljestva v tretje države so dovoljeni, če je zagotovljena primerna raven varstva (npr. odločba o ustreznosti) ali če se uporabijo ustrezna zaščitna orodja, kot so standardne pogodbene klavzule in International Data Transfer Agreement (IDTA). Status odločb o ustreznosti in pravila se lahko spreminjajo, zato je priporočljivo redno preverjanje smernic ICO.

Posebni deli zakona

  • Pregon in kazenski postopki (Part 3): posebna pravila za policijo in organe pregona.
  • Obveščevalne službe (Part 4): prilagojena pravila za obveščevalne dejavnosti.
  • Izjeme: omejitve nekaterih pravic v posebnih okoliščinah (npr. novinarstvo, akademske raziskave, arhiviranje v javnem interesu), kadar je to potrebno in sorazmerno.

Globe in izvrševanje

Nadzorni organ ICO lahko izreče upravne globe in druge ukrepe (opozorila, odredbe). V najtežjih primerih lahko globe dosežejo do 17,5 milijona GBP ali do 4 % svetovnega letnega prometa podjetja, kar je višje. Za nekatere posebne predpise (npr. PECR) veljajo ločene kazni.

Praktični koraki za organizacije

  • Ustvarite posodobljeno politiko zasebnosti in opozorila ob zbiranju podatkov.
  • Izvedite popis podatkovnih tokov in določite pravne podlage za vsako obdelavo.
  • Vzpostavite postopek za pravice posameznikov (SAR, popravki, izbris, ugovor).
  • Sklenite pogodbe z obdelovalci in ocenite njihove varnostne ukrepe.
  • Pripravite načrt odziva na incidente in redno testirajte ukrepe.
  • Upoštevajte načelo minimizacije in definirajte roke hrambe z možnostjo anonimizacije ali psevdonimizacije.

Kako uveljavljati svoje pravice

  • Obrnite se na upravljavca z jasno zahtevo (npr. dostop, popravek, izbris); priložite informacije, ki pomagajo zanesljivo potrditi identiteto.
  • Če menite, da obdelava ni zakonita ali odgovor ni zadovoljiv, lahko vložite pritožbo pri ICO. Na voljo je tudi sodno varstvo za uveljavljanje pravic in odškodnin.

Upravljavci podatkov in posamezniki, na katere se podatki nanašajo, imajo s tem zakonom jasne pravice in odgovornosti. Za organizacije je bistveno, da delujejo pregledno, odgovorno in varno; za posameznike pa, da poznajo svoje pravice in jih po potrebi uveljavljajo.



Glavne točke Zakona o varstvu podatkov

To je kratek poenostavljen povzetek glavnih načel Zakona o varstvu podatkov v Združenem kraljestvu.

To velja na primer za podatke o zaposlenih, strankah in imetnikih računov;

  • Če podatke o osebah zbirate iz enega razloga, jih ne smete uporabiti iz drugega razloga;
  • Podatkov ljudi ne smete posredovati drugim osebam ali organizacijam, če se s tem ne strinjajo;
  • Ljudje imajo pravico do vpogleda v podatke, ki jih o njih hrani katera koli organizacija;
  • Podatkov ne smete hraniti dlje, kot je potrebno, in jih morate posodabljati;
  • Podatkov ne smete pošiljati v kraje zunaj Evropskega gospodarskega prostora, razen če obstajajo ustrezne ravni zaščite;
  • Organizacije, ki hranijo podatke o ljudeh, se morajo registrirati pri uradu informacijskega pooblaščenca;
  • Če hranite podatke o osebah, morate poskrbeti za njihovo varnost in dobro zaščito;
  • Če ima organizacija napačne podatke o vas, imate pravico zahtevati, da jih spremeni.



Sorodne strani



Vprašanja in odgovori

V: Kaj je zakon o varstvu podatkov iz leta 2018?


O: Zakon o varstvu podatkov iz leta 2018 je zakon, ki ga je britanska vlada sprejela leta 2018 in nadomešča zakon, sprejet leta 1998. Določa pravila za osebe, ki uporabljajo ali hranijo podatke o živih ljudeh, in daje pravice osebam, katerih podatki so bili zbrani.

V: Za katere vrste podatkov velja zakon?


O: Zakon velja za osebne podatke, ki so dejstva, kot so vaš naslov, telefonska številka, e-poštni naslov, zgodovina zaposlitve itd.

V: Katere vrste sistemov shranjevanja zajema zakon?


O: Zakon velja za podatke, ki se hranijo v računalnikih ali katerem koli sistemu shranjevanja, tudi v papirni obliki.

V: Kako se imenujejo osebe, ki uporabljajo podatke?


O: Ljudje, ki uporabljajo podatke, se imenujejo upravljavci podatkov.

V: Kako imenujemo osebe, o katerih so podatki?


O: Ljudje, ki jih podatki zadevajo, se imenujejo posamezniki, na katere se podatki nanašajo.

V: Ali zakon o varstvu podatkov iz leta 2018 daje kakšne pravice tistim, katerih podatki so bili zbrani?


O: Da, zakon o varstvu podatkov iz leta 2018 daje pravice osebam, katerih podatki so bili zbrani.

V: Katere pravice imajo osebe, katerih podatki so bili zbrani v skladu z Zakonom o varstvu podatkov iz leta 2018?


O: Zakon o varstvu podatkov iz leta 2018 daje pravice osebam, katerih podatki so bili zbrani, na primer pravico do dostopa do svojih podatkov, pravico do popravka ali izbrisa svojih podatkov in pravico do ugovora, da se njihovi podatki uporabljajo za določene namene.

AlegsaOnline.com - 2020 / 2025 - License CC3