英国的独立机构设立了公共利益的持久信息权利,通过公共机构和个人的数据隐私促进开放性。

2019年10月,我们就在政治活动中使用个人数据的行为框架守则草案展开了咨询,这些回应被用于帮助我们制定该指南的最终版本,即在政治活动中使用个人数据。我们已发布收到的答复摘要

乍看上去

  • 能够与选民沟通和参与其中,包括使用数字服务,是民主生活的重要组成部分。同样重要的是要保持选民在使用他们的数据和选举的公正性方面的信任和信心。
  • 该指南强调了在政治竞选期间按照数据保护法处理个人数据的重要性。
  • 本指南提供了清晰和实用的建议,以帮助那些在政治活动中处理个人数据的人遵守英国一般数据保护条例(UK GDPR)、2018年数据保护法(DPA)和2003年隐私和电子通信条例(PECR)。它没有提出任何新的义务或责任。

更详细

介绍

在任何民主社会中,政党和竞选人员能够与选民有效沟通至关重要。但它对选举和民主的诚信同样至关重要,即所有参与政治竞选处理的组织,并以符合数据保护法的方式处理个人数据。

随着新的数字技术和通信工具迅速发展,近年来政治活动变得越来越复杂。竞选人员现在使用最新的技术和商业营销技术来试图了解他们的潜在选民并传达他们的政治信息。

这些技术的经常隐形性质可以影响人们对如何使用他们的个人数据的信任和信心。然而,意外,这造成了破坏民主进程的风险。如果他们确定他们的决定并没有受到不公平地影响,人们只能让真正的知情选择。

政党和竞选人员使用的消息传递和技术可能会随着时间而变化和变化。但是,无论方法或未来的技术发展如何,他们都需要在数据保护和直接营销法方面致力于相同的规则。

这一指导的目的是什么?

本指引提供清晰和实用的建议,以帮助那些在政治活动中处理个人资料的人遵守英国一般数据保护条例(英国GDPR),数据保护法2018年(DPA)和隐私和电子通信(欧盟指令)条例(PECR)。

此指导不会为上述活动人员介绍任何新的义务或责任现有的数据保护和电子营销法

这个指南是给谁的?

本指南针对的是控制器(参见部分管理员职位了解更多信息)处理个人数据以获得政治竞选目的。

通过政治竞选目的,我们的意思是:

“支持或反对,政党,公民投票活动或候选人代表选举的活动,或召回请愿书的成功或失败。”

这包括但不限于注册的政党,候选人,公民投票活动,非党派运动员和召回请愿行为者的处理。(具体地,如所定义的2000年政党和公民投票法案第23,88,105部分。此外1983年人民法案的代表S118A和其他等同的选举立法,以及召回议员法案2015,附表3,第5部分)。

如果您处理政治活动的个人数据,此指南适用于您的政治竞选目的,无论您在选举法下的身份。

它不打算报道内部政党或竞选团体的竞选活动,如领导层的选举。它也不打算包括与全民投票运动或选举无关的更一般的竞选活动。然而,指南中涉及的一些要点可能对这些目的有用。

如果您在英国有分支机构、办公室或其他“机构”,并且在该机构活动的背景下处理个人数据,无论您是否在英国,该规定适用于您。

即使您在英国没有建立,您也可能适用于您,并且您在英国外面。如果您为英国用户提供服务,或者如果您的建立在海外,则英国GDPR和DPA仍然适用于英国的服务,或监控英国用户的行为。

本指南适用于加工在英国选举和委员会或潜在选举和公民投资中的政治活动。但是,如果您正在加工在非英国选举和公民投票中,并且您在英国,那么英国GDPR和DPA仍然适用,您可能会发现此指导有用。

此指导何时适用?

这一指导不限于任何“监管期”。您可以在特定活动之后,期间,之间的政治竞选目的收集,处理和处理个人数据。只要您正在处理用于政治竞选目的的个人数据,此指南适用。

如果我们不遵循这个指导,会发生什么?

虽然本指引是根据专员的一般权力发出,但除此之外并无任何特别的法律地位。然而,如果您是为政治活动目的处理个人数据,而没有采取合理步骤遵循本指导,您可能会发现难以证明您的处理是公平的,并符合英国GDPR和PECR。如果您在处理个人数据时违反了英国GDPR或PECR,我们可以对您采取行动。

我们可以使用的工具包括评估通知,警告,谴责,执法通知和罚金通知(行政罚款)。由于严重违反数据保护原则,我们有权发行高达1700万英镑或4%的全球营业额的罚款,以较高者为准。

在使用这些权力时,专员将遵循ICO监管行动政策。我们的方法是鼓励一致性。当我们发现问题时,我们会采取公平、适当和及时的监管行动,以确保个人的信息权利得到适当保护。我们会考虑有关机构的规模和资源。

如果您有一个良好的文档和合理的案例来支持您所采取的方法,那么我们更有可能允许控制器有时间使他们的活动符合规定。

我们应该如何使用这一指导?

本指南假设您熟悉英国GDPR、DPA和PECR中的关键术语和概念。如果您需要关于数据保护的介绍-或更多关于关键概念的上下文和指导-您应该参考我们单独的数据保护指南《私隐及电子通讯规例》指南。

为免生疑问,本指南中对英国GDPR的引用也可适用于2020年12月31日的欧盟GDPR,即“冻结GDPR”。2020年12月31日之前收集的与海外个人有关的个人数据,在技术上属于“冻结GDPR”的范围,而不是英国GDPR。然而,在实践中,这对本指南的应用方式几乎没有实质性的区别。有关“冻结GDPR”申请的更多信息,请参阅我们的指南过渡期结束后的数据保护

该指南侧重于在政治竞选中使用个人数据的具体遵从性和良好实践要点。它被分为几个部分,松散地按照政治竞选的生命周期设计。

它并非旨在作为遵守的详尽指南。它只涵盖了政治竞选目的的处理;它不会涵盖您更广泛的义务,例如加工就业数据或进行更广泛的行政任务。同样,它不会详细说明您的政治活动的所有数据保护义务。例如,它不会涵盖准确性,安全性,违约报告或访问权。这种义务同等重要,因为这些指导中解释的那么重要。但是,无论您是否正在处理政治活动的目的或任何其他目的,他们都会普遍相同,所以我们没有包括它们。

你需要确保你意识到你所有的义务,你应该阅读本指南和我们的其他指南。

如果您处理政治活动的个人数据,此指南适用于您的政治竞选目的,无论您在选举法下的身份。

进一步阅读

有关数据保护法律的介绍和关键概念的指导,请参阅我们的数据保护指南

有关电子营销法的介绍,请看看我们的隐私和电子通信法规指南