1998년 데이터 보호법

Data Protection Act 1998
1998년 데이터 보호법
의회법
영국의 의회
긴 제목개인과 관련된 정보의 입수, 보유, 사용 또는 공개를 포함하여 개인과 관련된 정보의 처리 규제에 관한 규정을 신설하는 법률.
인용1998년 C. 29
영역 범위영국 북아일랜드 연합왕국
날짜
왕실의 동의1998년 7월 16일
기타입법
리피탈출데이터 보호법 1984
수정자
에 의해 폐지됨데이터 보호법 2018
상태: 해제됨
원래 제정된 법령의 본문

1998년 데이터 보호법(DPA, c. 29)은 컴퓨터나 조직화된 종이 파일 시스템에 저장된 개인 데이터를 보호하기 위해 고안된 영국 의회법이었다. 그것은 데이터의 보호, 처리 및 이동에 관한 1995년 유럽연합(EU) 데이터 보호 지침의 규정을 제정했다.

1998년 DPA 하에서 개인들은 자신에 대한 정보를 통제할 수 있는 법적 권리를 가지고 있었다. 개인 주소록을 보관하는 [1]등 국내용으로는 대부분의 법이 적용되지 않았다. 다른 목적으로 개인정보를 소지하는 자는 법률적으로 이 법을 준수할 의무가 있으며, 일부 면제를 받게 된다. 이 법은 정보가 합법적으로 처리되도록 하기 위해 8가지 데이터 보호 원칙을 정의했다.

2018년 5월 23일 데이터 보호법 2018(DPA 2018)으로 대체되었다. DPA 2018은 2018년 5월 25일 발효된 EU 일반 데이터 보호 규정(GDPR)을 보완한다. GDPR은 개인 데이터의 수집, 저장 및 사용을 훨씬 엄격하게 규제한다.[2]

배경

1998년 법은 1984년의 데이터 보호법과 1987년의 개인 파일에 대한 접근법을 대체하였다. 또한 1998년 법은 1995년 EU 데이터 보호 지침을 구현했다.

개인정보보호전자통신(EC Directive) 규정 2003은 대부분의 전자 마케팅에 대한 동의 요건을 옵트인 박스와 같은 "긍정적 동의"로 변경했다. 기존 고객 및 문의자에 대한 "비슷한 상품 및 서비스" 마케팅에 대해서는 면제가 남아 있으며, 이는 여전히 옵트아웃 기준으로 허용될 수 있다.

저지 데이터 보호법은 영국의 법을 본떠서 만들었다.[3]

내용물

보호범위

DPA 1998의 섹션 1은 "개인 데이터"를 살아있는 개인을 식별하는 데 사용될 수 있는 데이터로 정의했다. 익명화 또는 통합이 역행적으로 이루어지지 않았다면 익명화 또는 통합 데이터는 법의 규제를 덜 받았다. 개인은 이름과 주소, 전화번호 또는 이메일 주소를 포함한 다양한 방법으로 식별될 수 있었다. 이 법은 컴퓨터("그 목적을 위해 주어진 지시에 따라 자동으로 작동하는 장비") 또는 "관련 파일 시스템"[4]에 보관되거나 보관될 데이터에만 적용되었다.

어떤 경우에는, 종이 기록이 상업 활동을 지원하기 위해 사용되는 주소록이나 판매원의 다이어리처럼 관련 파일링 시스템으로 분류될 수 있었다.[5]

정보자유법 2000은 공공단체와 당국에 관한 법률을 개정하였고, 듀란트 사건은 사례법과 판례를 제공함으로써 법률의 해석을 수정하였다.[6]

데이터를 처리한 사람은 다음과 같은 권리가 있다.[7][8]

  • 제7절에 따라, 조직이 보유한 합리적인 수수료에 대한 데이터를 보려면: 신용 참조 기관에 대한 요청의 경우 최대 수수료가 2파운드, 보건 및 교육 요청에 대해서는 50파운드, 기타 개인당 10파운드였다.[9]
  • 제14조에 따라, 잘못된 정보의 수정을 요청한다. 회사가 이를 묵인했다면 법원이 자료의 정정이나 파기 명령을 내릴 수 있었고, 경우에 따라서는 배상금을 지급받을 수도 있었다.[10]
  • 제10절에 의거하여, 잠재적으로 손상이나 고통을 유발할 수 있는 어떤 방법으로도 데이터가 사용되지 않았음을 요구한다.[11]
  • 11절에 따라, 그들의 데이터가 직접 마케팅에 사용되지 않았음을 요구한다.[12]

데이터 보호 원칙

스케줄 1에는 8개의 "데이터 보호 원칙"이 나열되어 있다.

  1. 개인자료는 공정하고 적법하게 처리하여야 하며, 특히 다음 각 호의 경우를 제외하고는 처리하지 아니한다.
    1. 부칙 2의 조건 중 적어도 하나가 충족되며,
    2. 민감한 개인 데이터의 경우, 부칙 3의 조건 중 적어도 하나가 충족된다.
  2. 개인자료는 하나 이상의 특정되고 합법적인 목적으로만 입수되어야 하며, 그 목적 또는 그 목적과 양립할 수 없는 어떤 방법으로도 더 이상 처리되어서는 안 된다.
  3. 개인 데이터는 처리 목적 또는 목적과 관련하여 적절하고 적절하며 과도하지 않아야 한다.
  4. 개인 데이터는 정확해야 하며 필요한 경우 최신 정보를 유지해야 한다.
  5. 어떤 목적이나 목적을 위해 처리된 개인자료는 그 목적이나 목적을 위해 필요한 것보다 오래 보관해서는 안 된다.
  6. 개인의 권리에 관하여([13]예: 개인 데이터는 자료주체(개인)의 권리에 따라 처리한다.
  7. 개인 데이터의 무단 또는 불법적인 처리와 개인 데이터의 우발적 손실 또는 파괴 또는 손상에 대해 적절한 기술적 및 조직적 조치를 취해야 한다.
  8. 개인 데이터는 해당 국가 또는 영토가 개인 데이터 처리와 관련하여 데이터 주체의 권리와 자유에 대한 적절한 보호 수준을 보장하지 않는 한 유럽 경제 지역 외부의 국가 또는 영토로 양도되지 않는다.
제1원칙과 관련된 조건

개인 데이터는 공정하고 합법적으로 처리되어야 한다. 데이터가 '공정한 처리'로 분류되기 위해서는 이 6가지 조건 중 적어도 하나는 해당 데이터에 적용 가능해야 했다(스케줄 2).

  1. 데이터 주체(데이터가 저장되는 자)가 처리에 동의("허가를 받은 자")한 경우
  2. 계약의 이행 또는 개시를 위한 처리가 필요하다.
  3. 법적 의무(계약서에 명시된 사항 이외의 사항)에 따라 처리가 필요하다.
  4. 데이터 주체의 중대한 이익을 보호하기 위해 처리가 필요하다.
  5. 공공기능을 수행하기 위해서는 처리가 필요하다.
  6. "데이터 통제관" 또는 "제3자"의 정당한 이익을 추구하기 위해서는 처리가 필요하다(데이터 주체의 이익을 부당하게 침해할 수 있는 경우는 제외).[14]
동의하다

아래에 언급된 예외를 제외하고, 개인은 자신의 개인정보 수집과 해당 목적에서의 사용에 동의해야 했다. 유럽 데이터 보호 지침에서는 동의서를 "...데이터 주체가 처리 중인 자신과 관련된 개인 데이터에 대한 자신의 동의를 나타내는 그의 희망에 대한 구체적이고 정보에 근거한 표시"로 정의했는데, 이는 개인이 서면 이외의 서명된 동의서를 의미할 수 있음을 의미한다.[citation needed] 그러나 불통이라는 것이 동의로 해석되지 말았어야 했다.

또한, 동의는 개인 및 기타 사건 상황에 적합한 연령과 능력이어야 한다. 만약 조직이 "개인과의 관계가 종료된 후에도 개인 데이터를 계속 보유하거나 사용하려고 한다면, 동의서에 이를 포함시켜야 한다." 동의가 주어졌을 때, 비록 대부분의 경우, 동의는 처리되어야 하는 개인 데이터만큼 지속되었고, 개인들은 동의의 성격과 개인 정보를 수집하고 사용한 상황에 따라 동의를 철회할 수 있었을지도 모른다.[16]

데이터 보호법은 또 민감한 개인정보가 더 엄격한 세트의 조건에 따라 처리되었을 것이며, 특히 어떠한 동의도 명시되어 있었을 것이라고 명시했다.[16]

예외

본 법은 제4부에 많은 예외를 두면서 개인 데이터의 모든 처리가 법으로 보장되도록 구성되었다.[1] 주목할 만한 예외는 다음과 같다.

  • 28절 – 국가 보안 국가 보안을 보호하기 위한 모든 처리는 파트 2(주체 접근권), 파트 3(통지), 파트 5(강제), 섹션 55(개인 데이터의 불법 획득)뿐만 아니라 모든 데이터 보호 원칙에서 면제된다.
  • 제29장 – 범죄 및 세금. 범죄의 예방이나 탐지를 위해 처리된 자료, 범법자의 체포나 기소, 또는 세금에 대한 평가나 징수는 제1차 자료 보호 원칙에서 면제된다.
  • 섹션 36 – 국내 목적. 개인의 개인적, 가족 또는 가정적 사무를 목적으로만 개인이 처리하는 것은 제2부(주체 접근권)와 제3부(통지)뿐만 아니라 모든 데이터 보호 원칙에서 면제된다.

경찰과 법원의 권한

그 법은 다양한 경찰과 법원의 권한을 부여하거나 인정하였다.

  • 제29조 – 범죄를 예방 또는 탐지하고, 범죄자를 체포 또는 기소하며, 세금 및 직무의 평가 및 징수와 법적 기능을 수행하기 위한 개인 데이터를 처리할 때 데이터 주체의 동의가 필요하지 않았다.[17]
  • 제35조 – 법률에 의해 요구되거나 법적 절차와 관련하여 이루어진 공시. 이것은 법원 명령과 다른 법률을 준수하는 것을 포함했고, 법적 절차의 일부였다.[18]

범죄

이 법은 데이터 통제관이 데이터 주체의 적절한 동의를 얻지 못할 경우 데이터 통제관이 책임을 질 수 있는 민형사상의 범죄를 상세하게 규정하였다. 그러나, 동의는 법에 구체적으로 규정되어 있지 않았고 일반적인 법률 문제였다.

  • 21(1)절은 등록 없이 개인정보를 처리하는 것을 위법행위로 규정했다.[19]
  • 제21조 (2)는 국무장관이[19] 만든 통지 규정(법 제25조에 따라 정보위원이 제안함)을 준수하지 않는 것을 위법행위로 규정하였다.[20]
  • 55조는 개인 데이터의 취득을 불법으로 규정하였고, 개인 데이터에 대한 무단 접근의 취득을 조직 외부의 사람(해커 및 가장과 같은 다른 당사자)에 대한 위법행위로 규정하였다.[21]
  • 56조는 개인에게 모집, 계속 고용 또는 서비스 제공을 목적으로 주의 또는 유죄 판결과 관련된 주제 접근 요청을 하도록 요구하는 것은 형사 범죄로 규정했다.[22] 이 구간은 2015년 3월 10일에 시행되었다.[23]

복잡성

영국의 데이터 보호법은 복잡하다는 평판을 가진 큰 법이었다.[24] 프라이버시를 보호하기 위해 기본 원칙이 존중되었지만, 그 행위를 해석하는 것이 항상 간단한 것은 아니었다. 많은 기업, 조직 및 개인은 법의 목적, 내용 및 원칙에 대해 매우 확신하지 못하는 것처럼 보였다. 일부 사람들은 이 법을 제한사항으로 인용하면서 매우 기초적이고 공개적으로 이용할 수 있는 자료조차 제공하지 않았다.[25] 이 법은 또한 전화와 직통 우편뿐만 아니라 전자 우편으로도 마케팅 목적으로 연락을 받았어야 하는 기관의 업무 수행 방식에도 영향을 미쳤다. 이는 허가 기반 마케팅 전략의 개발로 이어졌다.[26]

개인 데이터의 정의

개인 데이터의 정의는 식별할 수 있는 살아있는 개인과 관련된 데이터였습니다.

  • 해당 데이터로부터, 또는
  • 데이터 및 데이터 컨트롤러의 소유 또는 소유에 포함될 가능성이 있는 기타 정보.

민감한 개인 자료는 피험자의 인종, 민족, 정치, 종교, 노동조합 지위, 건강, 성 이력 또는 전과와 관련이 있다.[27]

제목 액세스 요청

정보위원실 웹사이트는 접속 신청과 관련해 "조직이 개인정보를 이용 또는 보관하고 있는지 알 권리가 있다"고 명시했다.[28] 이것을 접근권이라고 한다. 일반적으로 '주체 액세스 요청'이라고 알려진 데이터의 복사본을 요청하여 이 권한을 행사한다.'"

GDPR(General Data Protection Regulation)이 2018년 5월 25일에 시행되기 전에 조직은 대부분의 요청에 대해 최대 10파운드의 SAR 응답에 대해 특정 수수료를 부과할 수 있었다. GDPR에 이어: "개인 데이터의 사본은 무료로 제공되어야 한다. 조직은 추가 사본을 청구할 수 있다. 그것은 그 요청이 '엄청나게 근거가 없거나 과도하다'고 생각할 경우에만 수수료를 부과할 수 있다. 만약 그렇다면, 그것은 요청과 관련된 행정 비용에 대해 합리적인 수수료를 요구할 수 있다."[28]

정보위원

주요 기사: 정보청

법의 준수는 독립된 기관인 정보청장실에 의해 규제되고 시행되었으며, 정보청장은 법률과 관련된 지침을 유지했다.[29][30]

EU 제29조 워킹파티

정보위원실은 2017년 1월 EU의 제29조 실무당이 제안한 데이터보호법 개정안과 법률 해석 연장안인 일반 데이터보호규정 가이드(안내서)에 대한 국민 의견을 초청했다.[31]

참고 항목

  • 데이터 보호법, 2012년 (가나)
  • 컴퓨터 오용법 1990
  • 데이터 개인 정보 보호
  • 데이터 보호 지침(EU)
  • 정보자유법 2000
  • 가스킨 대 영국 사건
  • 영국 정부 데이터 손실 목록
  • 개인정보보호 및 전자통신(EC Directive) 규정 2003
  • 일반 데이터 보호 규정 – 2016년 EU의 데이터 보호 규정
  • 스미스 대 로이즈 TSB 뱅크 plc
  • 듀란트 v 금융 서비스 기관 [2003] EWCA Civ 1746
  • "Data Protection Bill [HL] 2017-19". Bill No. HL 104 of 2018. ("데이터 보호 법안은 2018년 5월 9일 수요일 보고서 스테이지에서 검토되었으며 수정안을 읽고 통과시켰다.")

참조

  1. ^ a b 1998년데이터 보호법」, 제4부(해제), 2007년 8월 24일 웨이백머신보관36절, 공공 부문 정보국, Office of Public Sector Information, 2007년 9월 6일에 액세스
  2. ^ Ford, Michael (March 1999). "Recent legislation. The Data Protection Act 1998". Industrial Law Journal. 28: 57–60. doi:10.1093/ilj/28.1.57.
  3. ^ 저지: 저지 및 기타 연안 관할 구역의 데이터 보호 2012년 10월 27일 웨이백 머신(Wayback Machine)에 보관웬디 벤자민(mondaq.com, Wendy Benjamin)의 2008년 7월 23일 기고
  4. ^ "Data Protection Act 1998, Basic interpretative provisions". Office of Public Sector Information. Archived from the original on 1 March 2014. Retrieved 14 March 2014.
  5. ^ "Determining what information is 'data' for the purposes of the DPA" (PDF). Information Commissioner's Office. 16 March 2012. Archived (PDF) from the original on 22 July 2016. Retrieved 2 March 2018.
  6. ^ "What is personal data? Information Commissioner updates guidance". Pinsent Masons. 30 August 2007. Archived from the original on 20 October 2011. Retrieved 20 August 2012. In the case involving Michael Durant he sought information held on him by the Financial Services Authority. The Court of Appeal ruled that just because a document contained his name it was not necessarily defined as personal data. This changed the perception of how wide a definition of personal data could be.
  7. ^ ICO, 당신의 권리[permanent dead link] 2007년 9월 6일에 접속했다.
  8. ^ ICO, ICO, "2016년 11월 18일 웨이백머신보관개인의 권리"(원칙6)는 2016년 12월 7일에 접속했다.
  9. ^ "FAQs". Information Commissioner's Office. Retrieved 19 January 2014.[영구적 데드링크]
  10. ^ "Claiming compensation". Information Commissioner's Office. Archived from the original on 21 June 2017. Retrieved 24 November 2017.
  11. ^ 1998년 데이터 보호법, Part II(데이터 제목 등의 권리), 섹션 10 2011년 9월 5일 웨이백 머신에 보관, 2007년 9월 6일에 액세스
  12. ^ 1998년데이터 보호법」, 제2부(데이터 주체 등의 권리), 제11부 2011년 9월 4일 웨이백 머신에 보관, 2007년 9월 6일에 액세스
  13. ^ 개인(원칙 6), ICO.org.uk은 2011년 4월 14일에 접속했다.
  14. ^ OPSI.gov.uk 1998년 Wayback Machine 데이터 보호법 부칙 2에 2009년 4월 16일 보관
  15. ^ Sarah, Featherstone (28 May 2021). "How to Comply with GDPR".{{cite web}}: CS1 maint : url-status (링크)
  16. ^ a b "Conditions for Processing – Guide to Data Protection – ICO". Information Commissioner's Office. Archived from the original on 6 January 2015. Retrieved 8 February 2013.
  17. ^ 1998년 데이터 보호법 제4부(예외 - 범죄 및 과세), 2017년 6월 1일 웨이백 머신보관섹션 29
  18. ^ 1998년 데이터 보호법, 제4부(면제 - 법률에 의해 요구되거나 법적 절차 등과 관련하여 이루어진 공개), 제35절 2017년 5월 23일 웨이백 기계에 보관됨
  19. ^ a b 1998년 데이터 보호법, Part III(데이터 제어기별 알림), 2009년 12월 7일 웨이백 머신에 보관섹션 21
  20. ^ 1998년 데이터 보호법, Part III(데이터 제어기별 알림), 2013년 2월 4일 웨이백 머신보관섹션 25
  21. ^ 1998년데이터 보호법」, 제6부(기타일반), 2007년 8월 24일 웨이백머신보관55절 2007년 9월 14일에 액세스
  22. ^ 1998년데이터 보호법」, 제6부(기타일반), 2007년 8월 24일 웨이백머신보관56부, 공공 부문 정보 사무소, 2007년 9월 14일에 액세스
  23. ^ "Forced data subject access requests are now a criminal offence". Lewis Silkin. Archived from the original on 19 March 2015. Retrieved 10 March 2015.
  24. ^ 베인브리지, D: "컴퓨터법 입문 – 제5판" 430페이지. Pearson Education Limited, 2005년
  25. ^ 데이터 보호의 신화와 현실[permanent dead link], 정보 위원회 사무소 2008년 8월 30일에 액세스
  26. ^ Iversen, Amy; Liddell, Kathleen; Fear, Nicola; Hotopf, Matthew; Wessely, Simon (19 January 2006). "Consent, confidentiality, and the Data Protection Act". BMJ. 332 (7534): 165–169. doi:10.1136/bmj.332.7534.165. ISSN 0959-8138. PMC 1336771. PMID 16424496.
  27. ^ "Data Protection Act 1998". UK Statute Law Database. Archived from the original on 20 August 2012. Retrieved 20 August 2012.
  28. ^ a b "Your right of access". Information Commissioner's Office. Archived from the original on 26 May 2018. Retrieved 25 May 2018.
  29. ^ "The Guide to Data Protection". Information Commissioner's Office. Retrieved 6 January 2015.
  30. ^ 지침 정보 관리자 사무실데이터 보호법, 다양한 지침[permanent dead link] 페이지, 2007년 10월 20일에 액세스
  31. ^ "Guide to the General Data Protection Regulation (GDPR)". ico.org.uk. 22 December 2017. Archived from the original on 7 January 2018. Retrieved 6 January 2018.

외부 링크

영국 입법