1998年數據保護法令

Data Protection Act 1998
Data Protection Act 1998
國會法令
大不列顛及北愛爾蘭聯合王國
	An Act to make new provision for the regulation of the processing of information relating to individuals, including the obtaining, holding, use or disclosure of such information.
地域範圍	大不列顛及北愛爾蘭聯合王國
御准日期	1998年7月16日
施行日期	2000年3月
廢除
	Data Protection Act 1984
1998年數據保護法令的當今生效版本（包括所有修訂）（官方文本由英國成文法資料庫（英语：Legislation.gov.uk）提供）
	狀態：已施行

《1998年数据保护法案》（Data Protection Act 1998，簡稱DPA）是英国一项议会法案。该法案规定了如何处理可識別身份的在世人士的个人信息，是数据保护管制的主要法规。虽然该法案本身并没有提到隐私，它的颁布使英国关于个人信息的处理以及此类信息自由流通的相关规定符合1995年欧盟数据保护指令中对个人的保护所作出的相关指示。在執行上，这项法案讓个人有途徑控制与自己有关的信息。該法案的大部分并不是针对家居用途，例如保存一份个人的地址簿。根据规定，任何人要将个人信息用于其他目的时，都有义务遵循这一法案，但有一些例外。该法规定了八个数据保护原则，适用于各种情况，以确保信息的依法处理。

历史

1998年法案取代、巩固了先前如《1984年数据保护法》和《1987年查阅个人档案法》等相关法案。与此同时，它旨在贯彻欧洲数据保护指令。在一些方面中，特别是电子通信和销售，它已因法律原因被后来的立法细化。2003年隐私和电子通信（EC指令）规例改变了適用於大多数电子营销的同意要求，必需要“主動同意”，比如在选择框選擇「同意」。對於向现有客户和查询者推銷“类似产品和服务”，豁免仍然保留，在提供「選擇不參加」選項的基礎上可以繼續進行。

澤西的数据保护法是仿照英国的法律。

个人资料

该法的“个人资料”的定义涵盖可用于识别个別在世人士的任何数据。該法不規管匿名或代表整體的数据，只要匿名化或整體化的數據不能逆向得出個人數據就可以。个人可以通过各种手段，包括他们的姓名、地址、电话号码或电子邮件地址来标识。该法只适用于被持有，或拟保留在计算机（“按照为此目的而作出的指示自动操作的设备”）或“相关檔案系統”內的数据。

在某些情况下，即使是纸本地址簿也可以归类为“相关檔案系统”，舉例，用于支持商业活动的日记，如销售人员的日记。

《2000年信息自由法》以公共机构和当局為對象修改法律，而「杜兰特案」則成為改變對本法的詮釋的一個判例。

《数据保护法》为那些被存儲數據的個人创建了权利，而存储、处理或传输这些数据的人則需要負上責任。有個人資料被處理的人拥有下列权利：

檢視被某组织保存的關於自己的数据。只要付出一個象徵性的費用，就可以提出檢視數據的请求。截至2014年1月，信用调查机构對該等請求的最高收費是2英鎊，關於健康和教育的請求是50鎊，而其它則是每人10鎊。
请求更正不正确的信息。如果公司忽略该请求，法院可以命令数据更正或銷毀，并且在一些情况下可以頒令提供补偿。
要求数据不以任何可能会潜在地导致损害或引起苦恼的方式使用。
要求其数据不用于直接营销。

数据保护原则（附表1）

个人资料应被公平、合法地处理，特别是，不得在除下面以外的情况下处理：
1. 至少满足一条附表2中的条款，并且
2. 若涉及敏感的个人信息，则还需要满足附表3中的至少一条条款。
个人数据仅能因一个或多个明确规定且合法的目的而获得，并且不得以任何与该目的相悖（incompatible）的方式额外处理。
就处理該等資料的目的而言，个人资料应充分、與目的相关以及不應超出該等目的所需。
个人数据应当准确，并在必要时保持更新。
为任何目的或用途而处理的个人数据，保存期限不得超过为該等目的而需要保存的期限。
关于个人权利，例如个人资料将遵遁数据主体（人）的权利处理。
应采取适当的技术和组织措施保護个人数据，防止未經授权或非法的处理个人数据，及防止意外丢失、破坏或损坏个人数据。
个人资料不得转移到欧洲经济区以外的国家或地区，除非该国家或地区在有关个人数据处理方面确保了数据主体的權利和自由受到适当水平的保障。

第一条原则的相关条件

个人资料只应公平、合法地处理。为了数据被归类为“公平的处理”，这六个条件中的至少一个必须是适用于该数据（附表2）。

数据主体（其数据被存储的人）已同意（“给予其许可”）該等处理；
处理是執行或开始一个合約所必需；
处理是因應（在合同规定以外）法律上義務所必需；
处理是保护数据主体的切身利益所必需；
处理是进行任何公共职能所必需；
处理是“数据控制”或“第三方”追求合法利益所必需（除非此舉可能无理损害资料当事人的利益）。

同意

除了下面提到的例外下，个体需要同意将他们的个人信息和其在所讨论的目的（多个）使用的集合。在欧洲数据保护指令同意定义为“......正在处理由数据主体表示他同意与他的个人资料他的愿望的任何自由给予具体指示知情”，这意味着个人可能意味着比其他书面形式的协议。然而，非通信不应该被解释为同意。

此外，同意应适当的年龄和情况下的个人和其他情况的能力。例如，如果一个组织“打算继续持有或个人目的的关系后使用个人数据，那么同意应涵盖这一点。” 并且给出同意，即使，它不应该被假定为永远持续下去。虽然在大多数情况下，同意只要需要个人数据要被处理持续，个人可能能够撤回他们的同意，这取决于同意的性质，并且其中所述个人信息被收集和使用的情况。

数据保护法案还规定，敏感的个人数据必须按照严格的一系列条件，特别是任何同意必须是明确的处理。

例外

该法案的结构是这样，个人的所有数据处理由该法所覆盖，而在第四部分提供了大量异常。值得注意的例外是：

第28条 - 国家安全。为维护国家安全的目的，任何的处理是所有的数据保护原则豁免，以及第二部分（如有的访问权限），第三部分（通知），第五部分（实施），和第55条（非法获取个人数据）。
第29条 - 犯罪与税收。为预防或犯罪的检测处理的数据，逮捕或起诉罪犯，或税收评估或征收是从第一保障资料原则的约束。
第36条 - 国内的目的。处理只针对个人的个人，家庭或家庭事务的目的，一个人是从所有的数据保护原则豁免，以及第二部分（如有访问权限）和第三部分（通知）。

罪行

该法详细介绍了一些民事和刑事犯罪为其如果数据控制器未能从数据主体获得适当的同意，数据控制器可能会承担责任。然而，'同意'没有具体的法律规定，因此是一种常见的法律问题。

次节21（1），使得它处理个人信息不属违法登记。
次节21（2）使之成为进攻不遵守通知规定（页面存档备份，存于互联网档案馆）由国务秘书（提议的信息专员根据该法第25条）。
第55条非法使个人数据的获取。本节使它成为人（其他缔约方），如黑客和模仿的罪行，组织外部获取到的个人数据的未授权访问。
第56使它成为刑事犯罪，要求个人作出的关乎一个主题访问请求警告或定罪招聘的目的，继续就业，或服务的提供。本节3月10日2015年生效

复杂性

英国数据保护法是具有复杂性的声誉的大型法案。虽然基本原则荣幸为保护隐私，在解释该行为并不总是简单的。许多企业，组织和个人显得非常不确定该法案的目标，内容和原则。一些隐藏法案后面，拒绝提供连非常基本的，公开资料报价行为为限。该法在其组织中谁可以联系用于营销目的，不仅通过电话和直接邮寄，而且电子，并导致了基于许可营销战略的发展方面开展业务的方式也会影响。