英国成立的独立机构,以维护公众利益为目的的信息权利,促进公共机构的公开和个人的数据隐私。

什么是英国GDPR?

《英国一般数据保护条例》(UK GDPR)是数据保护领域的一部分,其中还包括《2018年数据保护法》(DPA 2018)。英国GDPR规定了机构需要如何处理个人数据的要求。

英国GDPR适用于哪些信息?

英国GDPR适用于“个人数据”,这意味着与可识别人员有关的任何信息,可以通过参考标识符直接或间接地识别。您可以在英国GDPR指南的“键定义”部分中找到更多详细信息。

你能帮我决定在我的隐私通知中包括什么吗?

英国GDPR列出了您应提供的信息以及应当通知个人。

您提供关于个人数据处理的信息必须是:

  • 简洁、透明、易懂、易理解;
  • 以清晰简单的语言编写,特别是如果向孩子致辞;和
  • 免费的。

我们有更多信息英国GDPR指南的通知部门的权利

我们是英国GDPR下的公共权威吗?

数据保护法(通过时)将定义“公共权力”,但如果您是根据“信息自由法”所定义的公共权力或2002年《信息自由(苏格兰)法案》您将成为英国GDPR的公共机构。苏格兰的公立学校本身并不是公共当局,而是在相关地方当局的控制之下;不过,校长应熟悉下列指引。

我需要指定数据保护官(DPO)吗?

在英国GDPR下,你必须如果您指定DPO:

  • 是公共权力机构(除司法能力的法院除外);
  • 执行对个人的大规模系统监测(例如,在线行为跟踪);或者
  • 大规模处理特别类别的资料或与刑事定罪及罪行有关的资料。

任何组织都能够指定DPO。无论英国GDPR是否要求您指定DPO,您必须确保您的组织有足够的员工和技能来履行英国GDPR下的义务。

有一个英国GDPR指南中关于dpo的章节,以及何时需要任命

即使你不需要指定一个DPO,你仍然需要遵守英国GDPR的其他要求。

各组织可以共享DPO吗?

你可以指定一名数据保护官员代表一组公司或一组公共当局,考虑到他们的结构和规模。

英国GDPR对安全有什么规定?

英国GDPR要求以确保其安全性的方式处理个人数据。这包括防止未经授权或非法处理,以及防止意外损失、破坏或损坏。它要求使用适当的技术或组织度量。你可以找到我们向英国GDPR指南的安全部分提供更多指导。

是否有一个工具包可以用来准备英国GDPR?

使用我们的清单来评估您对数据保护法的遵守情况,并找出您需要做些什么,以确保您保留人们的个人数据安全。完成每个自我评估清单后,将创建简短的报告,建议您可以采取的实用行动,并提供与其他指导的链接,您可以阅读,这将有助于您提高数据保护合规性。

我应该使用什么合法的处理基础?

六个加工的合法碱基与旧的处理条件大致相似,尽管存在一些差异。您需要查看现有的处理,确定最合法的合法性,并检查它适用。可以在我们的中找到更多信息英国GDPR指南的合法基础部分

我们如何遵守英国GDPR下的主题访问请求?

中有关于主题访问请求的信息英国GDPR指南中的权利访问部分。

我总是需要同意吗?

简而言之,没有。同意是加工的一种合法基础,但还有五个。同意并不总是最容易或最合适的。

你可以得到更多关于英国GDPR指南中所有合法基础的信息。

你应该选择最能反映你与当事人关系的真实性质和处理目的的合法依据。如果很难达成协议,这通常是因为另一个合法的基础更合适,所以你应该考虑其他选择。

根据英国GDPR确定处理的合法依据是您的责任。

信息专员伊丽莎白·德纳姆在2017年8月16日的博客中解释了更多关于同意的内容

也有清单同意帮助英国GDPR指南。

收集或处理儿童的个人资料时,是否总是需要父母同意?

英国《GDPR》包含了旨在加强儿童个人数据保护的新条款,特别是针对儿童提供的在线服务的隐私通知和父母同意。

第8条规定了儿童同意的条件,但并不是在所有情况下都需要父母同意。其他合法的基础可能仍然可用。第8条仅适用于以下情况:

  • 将信息社会服务(ISS)直接提供给儿童;和
  • 希望依靠同意作为其处理的基础。

因此,如果ISS实际上是供父母使用的,或者控制器依赖于不同的合法基础,如合法利益,那么第8条将不适用。

我们已包含一个涵盖此主题的部分英国GDPR指南

信息专员伊丽莎白·德纳姆在2017年12月21日的博客中解释了更多关于儿童同意的内容,并就她起草的儿童和英国GDPR指南征求意见。

我如何知道根据DPA进行营销的许可是否足以满足英国GDPR的要求?

我们的同意检查表列出了根据英国GDPR应采取的寻求有效同意的步骤。此检查表还可以帮助您审查现有的同意书,并决定它们是否符合英国GDPR标准,并在必要时寻求新的同意。

您不需要自动“repaper”或刷新所有现有的DPA同意为GDPR准备。但是,详细检查您的流程和记录是否有必要的同意符合英国GDPR标准。

您需要确信您的同意请求已经达到了英国GDPR标准,并妥善记录该同意。您还需要建立符合个人的兼容机制,以便轻松撤回其同意。

如果现有的DPA许可不符合英国GDPR的高标准或文件记录不良,您将需要寻求新的英国GDPR合规同意,为您的处理确定不同的合法基础(并确保继续处理是公平的),或停止处理。

根据隐私法,你也可能需要同意许多营销电话、短信和电子邮件。这些规则目前见于《2003年隐私和电子通信条例》(PECR)。有关PECR的更多信息,请参阅我们的PECR指南

我是否总是需要许可才能进行营销,它是否必须被选择加入,还是可以被选择退出?

不,您不需要同意邮政营销,但您需要同意某些电话和PECR下的文本和电子邮件。看我们PECR指南有关您需要同意电子营销的更多信息。

如果你在PECR下不需要同意,你可以依靠合法的利益来进行营销活动,如果你能表明你如何使用人们的数据是成比例的,对隐私的影响最小,人们不会感到惊讶或可能会反对。

如果您依赖同意,它需要一个积极的选择。不要使用预先打勾的框或任何其他默认同意的方法。看我们同意检查表更多的细节。

数据可移植性是否适用于大学?是否有任何关于如何遵守这一点的技术指导?

数据可移植权仅适用于:

  • 个人已向控权人提供的个人资料;
  • 处理基于个人同意或合同的履行;和
  • 当处理是通过自动化手段进行时。

但不适用于使用其他合法处理基础处理的个人资料。

更详细的细节英国GDPR指南的个人权利部分。

在实际工作中如何举报个人资料泄露?

根据英国《GDPR》,如果个人数据泄露可能会对个人的权利和自由造成风险,则必须报告。在某些情况下,这也意味着管制员也必须通知受影响的人。

有更多的细节英国GDPR指南的数据漏洞部分

隐私影响评估(PIA)流程与数据保护影响评估(DPIA)流程有何不同?

根据1998年的《数据保护法》,私隐影响评估是机构在采用新的或修订的个人资料处理方法时,可使用的一种工具,以取得良好的实践。

根据英国GDPR,在以下情况下必须进行数据保护影响评估:

  • 使用新技术;和
  • 该处理可能导致个人的权利和自由的风险很高。
  • 可能导致高风险的处理包括(但不限于):
  • 系统和广泛的处理活动,包括对个人有法律影响或类似的重大影响的分析和决定。
  • 大规模处理特殊类别的数据或个人数据与犯罪定罪或违法行为的关系。这包括在区域,国家或超级级别处理相当数量的个人数据;这影响了大量的人;并且涉及权利和自由的高风险,例如基于加工活动的敏感性。
  • 对公共区域进行大规模、系统的监控(CCTV)。

有更多的细节英国GDPR指南中的DPIAs。

我的组织是否需要在英国GDPR下注册?

如果您需要根据1998年数据保护法案注册,那么您可能需要根据2018年数据保护(收费和信息)条例注册并支付相关费用。

新规定将于2018年5月25日起实施。这并不意味着每个人都必须重新注册并在那天支付新的费用。根据1998年法案拥有当前注册(或通知)的数据控制器,在该注册过期之前不必重新注册或支付新的费用。

你可以在我们的数据保护费指南


你觉得这个页面有用吗?