Защита персональных данных
Защита служебной тайны
Акт о гражданской службе 1989 г.
Кодекс управления гражданской службой 1995 г.
Практический кодекс доступа к правительственной информации 1994 г.
Закон об ответственности за неуважение к суду 1981 г.
Закон о почте 1969 г. и др.
При вступлении в должность государственные служащие принимают на себя обязательство хранить в тайне конфиденциальную информацию.
Разглашение служебной тайны наказывается тюремным заключением на срок до 3 мес. и денежным штрафом.
Если служащий ведет переговоры с фирмой, добивающейся заключения правительственного контракта или уже имеющей такой контракт, ему запрещается покупать товары или пользоваться услугами этой фирмы на льготных условиях.
Служащим запрещается переходить на работу в частные компании, с которыми, непосредственно ведет дела их бывшее ведомство (в течение 5 лет после оставления службы).
По закону о внутрибиржевых сделках (Insider Dealing Act) предусмотрена ответственность за использование в личных целях сотрудниками биржи служебной информации, недоступной обычному держателю ценных бумаг, влияющей на формирование цен.
По этому закону отвечают и правительственные чиновники, осуществляющие через биржи мероприятия по приватизации государственного имущества, в случае проведения ими лично или через посредников каких-либо сделок с ценными бумагами на это имущество в делах, по которым они располагают служебной информацией.
Защита персональных данных в Великобритании основывается на восьми принципах, реализованных в законе о защите данных 1998 года:
1. Персональные данные должны обрабатываться честно и на законных основаниях. Это положение касается метода получения персональных данных контролером. Оно имеет целью исключить способы и методы, к которым может прибегнуть контролер для получения согласия субъекта на обработку его данных, а также обязывает контролера раскрыть субъекту все особенности предполагаемых процедур до момента начальной обработки.
2. Персональные данные могут быть получены только исходя из определенных, законных целей и не допускаются к обработке, им не соответствующей. Такие цели в случае уведомления контролером Комиссара должны быть отражены в заявленном документе или предоставлены заинтересованному лицу по письменному запросу.
3. Персональные данные должны быть адекватными, относящимися к делу и не избыточными относительно заданных целей.
4. Персональные данные должны быть точными и, при необходимости, обновляться. Этот принцип регулирует точность данных, как со стороны контролера, так и со стороны субъекта. В случае если данные намерено были искажены субъектом, контролер освобождается от ответственности за нарушение.
5. Персональные данные, подвергшиеся обработке, не должны храниться более длительный срок, чем это необходимо для исполнения определенных целей.
6. Обработка персональной информации должна осуществляться с четким соблюдением прав субъекта данных.
7. Контролеру, а также обработчику, необходимо осуществлять соответствующие технические и организационные меры, направленные на предотвращение неавторизованной или незаконной обработки, разрушительных действий или потери данных.
Положения закона относятся также и к ручной обработке данных, в связи с этим меры безопасности должны быть направлены и на сохранность бумажных носителей (дел, структурированных документов) – они должны храниться в специальных помещениях под замком с определенным правом доступа сотрудников. Система безопасности должна пересматриваться через определенные интервалы, чтобы была возможность вносить изменения, вызванные совершенствованием рынка технологий безопасности, ценовыми составляющими и пр.
В случае если контролер прибегает к помощи обработчика, сторонам необходимо выполнить следующие законные требования:
- контролер должен выбрать обработчика, предоставляющего необходимые гарантии требуемого уровня безопасности (технический и организационный аспект);
- контролер должен удостовериться в соответствии заявленного уровня безопасности его воплощению (в случае, когда возможный ущерб может быть значительным, контролер должен обеспечить присутственный контроль);
- обработка должна производиться на основе письменного контракта, предписывающего обработчику выполнять инструкции контролера;
- контракт должен содержать положение о том, что обработчик должен исполнять те же обязанности, которые возложены на контролера в соответствии с рассматриваемым седьмым принципом.
8. Запрещается передача персональных данных на территорию третьих стран, не являющихся членами ЕС и не поддерживающих адекватные меры защиты прав и свобод субъекта данных.
Особое внимание в составе принципов уделяется именно целевому использованию данных. Этот аспект является основанием для построения системы защиты персональной информации. Именно он регулирует дальнейшее использование данных и обязанности контролера. В законодательстве Великобритании именно заявленные цели регулируют трансграничную передачу данных и раскрытие их третьим сторонам.
В соответствии с законом «О данных» 1984 г. субъект данных имеет право получать уведомление о накапливаемых данных и доступ к данным для исправления и удаления, а также право на компенсации в случае повреждения, потери или неавторизованного раскрытия данных.
Заявление на регистрацию и на изменение зарегистрированных данных оформляется следующим образом:
- в заявлении на регистрацию заявитель указывает, в каком качестве он регистрируется – как пользователь данных или как лицо, содержащее компьютерное бюро; по требуемой форме сообщает Регистратору сведения, которые будут внесены в реестр по его заявлению;
- в тех случаях, когда персональные данные будут храниться для двух или более целей, заявитель вправе подать отдельные заявления на регистрацию данных для каждой отдельной цели;
- зарегистрированное лицо вправе, в любой момент, обратиться к Регистратору с заявлением на предмет изменения тех или иных сведений, включенных в запись;
- если изменение состоит в добавлении цели, для которой предназначается хранение персональных данных, лицо в праве подать новое заявление на регистрацию в отношении этой дополнительной цели.
Субъект персональных данных в соответствии с законодательством Великобритании имеет следующие права:
- быть информированным любым пользователем данных о том, что хранящиеся у него данные содержат персональные данные, в отношении которых данное физическое лицо является субъектом данных;
- получить от любого пользователя данных копию информации, содержащейся в каких-либо хранящихся у него персональных данных, при необходимости, информация должна сопровождаться пояснениями.
В соответствии с Актом 1998 года, приведенным в соответствие с Директивой 95/46/EC, основной механизм защиты персональной информации был усовершенствован.
Регистратура была преобразована в Комиссариат по защите данных. Его роль в вопросах защиты данных приобрела более широкое значение, отражая изменения, внесенные в законодательство о защите данных Директивой 95/46/EC.
Процедура регистрации упрощена и заменена на необходимость уведомления Комиссии о предполагаемой обработке, для поддержания там общего регистра совершаемых операций. Определенные действия с персональными данными (ручная обработка) не требуют уведомления, однако оно необходимо, когда дело касается случаев определенной в законодательстве «ценной обработки», т.е. обработки «чувствительной информации» (assessable processing). Выполнять заявленную деятельность разрешается на срок до 1 года.
Еще одной важной функцией Комиссариата является его экспертная деятельность в области защиты и обработки персональных данных.
Перед обработчиком (бывшие компьютерные центры) и контролером поставлена необходимость заключения контракта, устанавливающего их обязательства. Данный договор должен предусматривать технические и организационные меры безопасности.
К правам субъекта добавилась возможность опротестовать потенциально опасную обработку данных, запретить использование данных в целях прямого маркетинга.