Войти
| Закон о защите данных, 2012 г. | |
|---|---|
 | |
| Парламент Ганы | |
Длинное название
| |
| Цитата | Закон 843 |
| Территория | Республика Гана |
| Принят | Парламентом Ганы |
| Согласно | 10 мая 2012 г. |
| Подписано | Президентом Республики Гана |
| Действует | 16 октября 2012 г. |
| Под управлением | Комиссии по защите данных |
| Ключевые слова | |
| Статус: Действующее законодательство | |
Закон о защите данных 2012 года (Закон) - это закон, принятый Парламентом Республики Гана. для защиты конфиденциальности и личных данных физических лиц. Он регулирует процесс получения, хранения, использования или раскрытия личной информации контролерами данных и обработчиками данных, требуя соблюдения определенных принципов защиты данных. Несоблюдение положений Закона может повлечь либо гражданскую ответственность, либо уголовные санкции, либо и то, и другое, в зависимости от характера нарушения. Закон также учреждает Комиссию по защите данных, которая уполномочена обеспечивать соблюдение ее положений, а также вести Реестр защиты данных.
Закон был впервые внесен в Парламент Ганы в 2010 году, но впоследствии был отозван тогдашним министром связи Харуной Иддрису для доработки. Парламент принял законопроект в 2012 году, который затем получил одобрение президента 10 мая 2012 года. Уведомление о Законе было опубликовано 18 мая 2012 года, и в соответствии со статьей 99 Закон вступил в силу 16 мая 2012 года. Октябрь 2012 г.
Закон состоит из 99 разделов, сгруппированных под различными заголовками, а именно:
| Заголовок | Разделы |
|---|---|
| Защита данных Комиссия | 1-10 |
| Администрация | 11-13 |
| Финансы комиссии | 14-16 |
| Применение принципов защиты данных | 17-34 |
| Права субъектов данных и других лиц | 35-36 |
| Обработка специальных персональных данных | 37-45 |
| Реестр защиты данных | 46-59 |
| Исключения | 60-74 |
| Правоприменение | 75-81 |
| Записи, полученные на основании права доступа субъекта данных | 82-83 |
| Информация, предоставленная Комиссии | 84-85 |
| Прочие и общие положения | 86-99 |
Ключевые термины в Закон определяется ред. в разделе толкования, раздел 96. Если контекст не требует иного, в разделе 96 представлены следующие определения известных терминов:
«» означает лицо, которое самостоятельно, совместно с другими лицами или совместно с другими лиц или в качестве установленной законом обязанности определяет цели и способ обработки или обработки персональных данных
«обработчик данных» в отношении персональных данных означает любое лицо, кроме сотрудника контроллера данных кто обрабатывает данные от имени контроллера данных
«субъект данных» означает физическое лицо, которое является субъектом личных данных
«иностранный субъект данных» означает информацию о субъекте данных, регулируемую законодательством иностранная юрисдикция, отправленные в Гану из иностранной юрисдикции полностью для обработки
«личные данные» означают данные о физическом лице, которое может быть идентифицировано, (а) по данным или (б) по данным или другой информации в владение или вероятное вступление во владение n контроллера данных
«обработка» означает операцию, действие или набор операций с помощью автоматических или иных средств, которые касаются данных или личных данных, а также (а) сбор, организация, адаптация или изменение информации или данные, (b) поиск, консультация или использование информации или данных, (c) раскрытие информации или данных путем передачи, распространения или других доступных средств, или (d) согласование, комбинирование, блокирование, стирание или уничтожение информации или данные
«получатель» означает лицо, которому раскрываются данные, включая сотрудника или агента контроллера данных или обработчика данных, которому данные раскрываются в ходе обработки данных для контроллера данных, но не включает лицо, которому раскрывается информация по конкретному запросу в соответствии с законом
«особые цели» означают одно или несколько из следующего: (a) цель журналистики, (b) если цель - публично интерес, (c) художественные цели и (d) литературные цели
Закон применяется, если
Данные, которые исходят из внешних источников и просто передаются транзитом через Гану, не защищены законом (Раздел 45 (4)). Закон применяется к правительству Ганы, и для этой цели каждое государственное ведомство рассматривается как контролер данных. (Раздел 91)
Закон предусматривает 8 принципов, которые обработчики данных должны учитывать при обработке данных, чтобы защитить частную жизнь людей. Эти принципы аналогичны Руководству ОЭСР и Директиве о защите данных Европейского Союза.
Принципы защиты данных перечислены в Разделе 17 следующим образом:
Принцип подотчетности защиты данных обычно рассматривается как фундаментальный принцип соблюдения. Он требует, чтобы контролер данных отвечал за соблюдение мер, обеспечивающих реализацию принципов защиты данных.
Закон требует, чтобы лицо, обрабатывающее персональные данные, обеспечивало обработку данных без нарушения прав на данные. предметом и должны обрабатываться законным и разумным образом (Раздел 18 (1)). Если в обрабатываемых данных участвует иностранный субъект данных, контролер или обработчик данных должен обеспечить обработку персональных данных в соответствии с законами о защите данных в юрисдикции происхождения (раздел 18 (2)).
Обработка данных является законной при наличии условий, оправдывающих обработку.
Закон содержит положение о минимальности, которое требует, чтобы персональные данные могли быть только обрабатывается, если цель, для которой он должен быть обработан, является необходимой, актуальной и не чрезмерной. (Раздел 19)
Перед обработкой персональных данных также требуется предварительное согласие субъекта данных. (Раздел 20) Это требование, однако, имеет исключения. Например, если цель обработки персональных данных необходима для целей договора, стороной которого является субъект данных; разрешено или требуется по закону для защиты законных интересов субъекта данных; необходимо для надлежащего выполнения установленной законом обязанности или необходимо для преследования законных интересов оператора данных или третьей стороны, которой предоставляются данные (раздел 20 (1)). Согласие также требуется для обработки особых персональных данных (Раздел 37 (2) (b)). Субъект данных также возражает против обработки персональных данных (раздел 20 (2)), и обработчик данных должен прекратить обработку данных после такого возражения (раздел 20 (3)).
Что касается хранения записей, Закон запрещает хранение личных данных в течение более длительного периода, чем это необходимо для достижения цели сбора, за исключением случаев, когда сохранение требуется по закону, разумно необходимо для законная цель, связанная с функцией или деятельностью, требуется для договорных целей, или субъект данных дал согласие на сохранение. (Раздел 24 (1)). Однако требование о хранении не применяется к личным данным, которые хранятся в исторических, статистических или исследовательских целях (раздел 24 (2)), за исключением того, что такие записи должны быть надлежащим образом защищены от доступа или использоваться в несанкционированных целях (раздел 24 (3)). Если лицо использует запись личных данных для принятия решения о субъекте данных, данные должны храниться только в течение периода, требуемого законом или кодексом поведения, а если такого закона или кодекса поведения не существует, - в течение периода. что даст субъекту данных возможность запросить доступ к записи. Однако по истечении срока хранения личные данные должны быть удалены или уничтожены таким образом, чтобы предотвратить их восстановление в понятной форме, или запись личных данных должна быть обезличена. (Разделы 24 (4), (5), (6)).
Субъект данных может также потребовать, чтобы запись личных данных об этом субъекте данных, хранящаяся у контроллера данных, была уничтожена или удалена, если у контроллера данных больше нет разрешения на хранение этих данных. (Раздел 33 (1) (b))
Закон требует, чтобы контроллер данных, который собирает персональные данные, делал это для конкретной цели, которая четко определена и законна, и связано с функциями или деятельностью человека. (Раздел 22) Контроллер данных, который собирает данные, также должен предпринять необходимые шаги, чтобы убедиться, что субъект данных осведомлен о цели, для которой собираются данные. (Раздел 23)
Закон требует, чтобы в тех случаях, когда контролер данных хранит персональные данные, собранные в связи с определенной целью, любая дальнейшая обработка этих данных должна быть совместима с цель, для которой изначально были получены персональные данные. (Раздел 25 (1))
Обстоятельства, при которых обработка соответствует требованию совместимости, включают в себя согласие субъектов данных на дальнейшую обработку информации, данные находятся в открытом доступе, дальнейшая обработка необходима для целей борьбы с преступностью, для законодательства, которое касается защиты сбора налоговых поступлений, ведения судебного разбирательства, защиты национальной безопасности, здоровья населения, жизни или здоровья субъекта данных или другого лица. (Раздел 25 (3))
В соответствии с разделом 26 Закона контролер данных, обрабатывающий персональные данные, должен обеспечить полноту, точность, актуальность и не вводить в заблуждение с учетом цели, для которой эти данные собираются или обрабатываются.
Принцип открытости гарантирует, что люди знают о режиме защиты данных и могут участвовать в обеспечении соблюдения своих прав.
Раздел 27 (1) делает его обязательным для Контроллер данных, который намеревается обрабатывать персональные данные для регистрации в Комиссии по защите данных. Контроллер данных, который намеревается собирать данные, должен также убедиться, что субъект данных осведомлен о характере собираемых данных, лицах, ответственных за сбор, о цели сбора, а также о том, является ли предоставление данных обязательным или дискреционным., среди прочего. (Раздел 27 (2))
Если данные собираются от третьей стороны, Закон требует, чтобы субъект данных был проинформирован до сбора данных или как можно скорее после этого. (Раздел 27 (3))
Закон предусматривает обстоятельства, при которых требование об уведомлении освобождается, и они включают случаи, когда необходимо избежать компрометации правоохранительных органов, защитить национальную безопасность или когда это связано с подготовкой или ведение судопроизводства. Раздел 27 (4))
Кроме того, хотя это не обязательно, контроллер данных может назначить инспектора по защите данных, который будет отвечать за контроль за соблюдением Закона (Раздел 58 (1), (2)) Надзорный орган по защите данных может быть сотрудником (Раздел 58 (1)) и должен соответствовать квалификационным критериям, установленным Комиссией по защите данных. (Раздел 58 (7))
Согласно Закону, контролер данных обязан предотвращать потерю, повреждение или несанкционированное уничтожение личных данных, а также как незаконный доступ или несанкционированная обработка персональных данных. Поэтому контролер данных должен использовать соответствующие, разумные, технические и организационные средства для принятия необходимых мер для обеспечения безопасности личных данных, находящихся в его распоряжении или под контролем. (Раздел 28 (1))
Контроллер данных также должен принимать разумные меры для выявления и предупреждения любых разумно предсказуемых рисков, а также обеспечивать эффективное выполнение и постоянное обновление любых установленных мер безопасности. (Раздел 28 (2))
Контроллер данных также должен соблюдать как общепринятые, так и отраслевые передовые методы защиты данных (Раздел 28 (3)), а также обеспечивать соблюдение обработчиками данных мер безопасности. (Раздел 30) Если обработчик данных не проживает в Гане, контролер данных должен гарантировать, что обработчик данных соблюдает соответствующие законы своей страны. (Раздел 30 (4))
Закон также требует, чтобы контроллер данных как можно скорее уведомлял Комиссию по защите данных и субъект данных о любых нарушениях безопасности в своей системе и принимал меры для обеспечения что целостность системы восстановлена. (Раздел 31))
Субъект данных может, при условии подтверждения личности субъекта данных, запросить у контроллера данных подтвердить, что Контроллер данных хранит личные данные этого субъекта данных, описывает характер хранимых личных данных и личность любой третьей стороны, которая имеет или ранее имела доступ к этим данным (Раздел 32 (1)). Однако запрос должен быть сделан разумным образом, в разумные сроки, после уплаты всех установленных сборов и в форме, которая в целом понятна (Раздел 32 (2)).
Субъект данных также может запросить у контроллера данных исправить или удалить личные данные о субъекте данных, которые хранятся у контроллера данных и которые являются неточными, нерелевантными, чрезмерными, устаревшими, неполными или вводящими в заблуждение ( Раздел 33 (1)). После получения запроса контролер данных должен либо выполнить запрос, либо предоставить субъекту данных достоверные доказательства в поддержку данных. (Раздел 33 (2)).
В соответствии с разделом 96 «особые личные данные» означают личные данные, состоящие из информации, относящейся к (а) расе, цвету кожи, этническому или племенному происхождению субъекта данных ; (б) политическое мнение субъекта данных; (c) религиозные убеждения или другие убеждения аналогичного характера субъекта данных; (d) физическое, медицинское, психическое или психическое состояние или ДНК субъекта данных; (e) сексуальная ориентация субъекта данных; (f) совершение или предполагаемое совершение правонарушения лицом; или (g) судебное разбирательство по делу о правонарушении, совершенном или предположительно совершенное физическим лицом, решение о таком разбирательстве или приговор любого суда в ходе разбирательства;
Закон запрещает обработку данных, которые относятся к детям, находящимся под родительским контролем, или к религиозным или философским убеждениям, этническому происхождению, расе, членству в профсоюзах, политическим взглядам, здоровью, сексуальной жизни или преступному поведению индивидуальный раздел 37 (1).
Однако специальные персональные данные могут обрабатываться, если это необходимо или если субъект данных дал согласие на обработку (раздел 37 (2)). Обработка персональных данных необходима, если она необходима для реализации права или выполнения обязательства, возложенного на работодателя или наложенного законом (Раздел 37 (3)). Специальные персональные данные, относящиеся к субъектам данных, также могут обрабатываться, если это необходимо для защиты жизненно важных интересов субъекта данных, когда субъект данных не может дать согласие, или когда нельзя разумно ожидать, что контроллер данных получит согласие, или согласие субъекта данных было необоснованно отказано. (Раздел 37 (4))
Предполагается, что обработка особых персональных данных необходима, если она требуется для целей судебного разбирательства, юридических консультаций и в медицинских целях, если она выполняется медицинским работником и субъектом соблюдению конфиденциальности между пациентом и медицинским работником. (Раздел 37 (6))
Запрет на обработку специальных персональных данных, относящихся к религиозным или философским убеждениям, не применяется, если обработка осуществляется религиозной организацией, членом которой является субъект данных, или учреждение, основанное на религиозных или философских принципах в отношении лиц, связанных с этим учреждением, и необходимо для достижения целей учреждения (Раздел 38 (1)).
В соответствии с Законом субъект данных имеет право на исправление своих личных данных (раздел 33), доступ к своим личным данным (раздел 35); для предотвращения обработки персональных данных, которая причиняет или может причинить ему неоправданный ущерб или страдания (раздел 39); для предотвращения обработки персональных данных в целях прямого маркетинга (раздел 40); потребовать от контролера данных не принимать решения, которое могло бы существенно повлиять на него, исключительно на обработку автоматическими средствами (раздел 41); освободить ручные данные (раздел 42), чтобы получить компенсацию за несоблюдение контролером данных положений Закона после доказательства ущерба (раздел 43); и исправлять неточные данные (раздел 44)
Закон учреждает Комиссию по защите данных с двумя основными целями:
Функции DPC заключаются в следующем:
(раздел 3)
DPC управляется 11 членами Правление назначается президентом Ганы, и Закон предусматривает определенное институциональное представительство. (Раздел 4) Члены Совета директоров могут занимать свои должности не более трех лет и не могут быть назначены более чем на два срока. (Раздел 5 (1)) Надбавки для членов Совета утверждаются министром, отвечающим за коммуникации, после консультации с министром, ответственным за финансы. (Раздел 9) Правление было официально приведено к присяге 1 ноября 2012 г., в настоящее время его возглавляет Проф. Судья Самуэль Кофи Датэ-Бах, судья Верховного суда Ганы в отставке. DPC был официально запущен 18 ноября 2014 года.
Закон также уполномочивает президента назначить исполнительного директора (раздел 11), который будет отвечать за повседневное управление DPC, а также выполнение решений Правления. (Раздел 12). Г-жа Teki Akuetteh Falconer является нынешним исполнительным директором.
Согласно закону, источники средств DPC включают деньги, утвержденные парламентом, пожертвования и гранты, деньги, которые поступают DPC при выполнении его функций и любые деньги, которые утверждает министр финансов. (Раздел 14)
ЦОД также наделен полномочиями направлять уведомления о принудительном исполнении для контроллеров данных, требуя от них воздерживаться от нарушения принципов защиты данных. (Раздел 75) Уведомление о принудительном исполнении может быть отменено или изменено DPC по собственной инициативе или по заявлению получателя уведомления. (Раздел 76)
Закон предусматривает создание Регистра защиты данных, который должен вести ЦОД и в котором контроллеры данных должны в обязательном порядке регистрироваться. (Раздел 46) Заявления на регистрацию в качестве контроллера данных должны быть поданы в письменной форме, и Закон предусматривает определенные сведения, такие как название компании и адрес заявителя, описание персональных данных, которые должны быть собраны, и описание цели для обработка персональных данных. (Раздел 47 (1)) Умышленное предоставление ложной информации является правонарушением, наказуемым штрафом или тюремным заключением. (Раздел 47 (2)) Кроме того, отдельная запись в регистре должна быть сделана для каждой отдельной цели, для которой контролер данных желает обрабатывать данные. (Раздел 47 (3))
DPC имеет право отказать в удовлетворении заявки, если сведения, предоставленные для включения в запись в реестр, недостаточны, контроллер данных не смог предоставить соответствующие гарантии защиты конфиденциальности субъекта данных, и, по мнению DPC, заявитель не заслуживает предоставления регистрации. (Раздел 47 (1)) При отклонении заявки на регистрацию DPC должен проинформировать заявителя о причинах отказа, и в таком случае заявитель может обратиться в Высокий суд для судебного пересмотра решения. (Раздел 47 (2))
Регистрация в качестве контроллера данных подлежит продлению каждые два года (раздел 50). DPC также имеет право отменить регистрацию по уважительной причине. (Раздел 52) Обработка личных данных без регистрации является правонарушением. (Раздел 56)
Закон также предусматривает доступ общественности к реестру при уплате установленной пошлины. (Раздел 54)
Закон предусматривает несколько исключений для различных целей, а именно: Обработка личных данных освобождена от положений Закона, когда это касается национальной безопасности (раздел 60) и в отношении преступлений и налогообложения (статья 61); раскрытие личных данных, касающихся здравоохранения, образования и социальной работы; (раздел 61); запрещено, если это не требуется по закону.
Положения Закона также не применимы для защиты представителей общественности от определенных положений об убытках или злоупотреблениях (статья 63)
Обработка персональных данных запрещена, за исключением случаев, когда обработка предпринята для литературных или художественных материалов, и контролер данных обоснованно полагает, что публикация будет в интересах общества и что соблюдение этого положения несовместимо с особыми целями. (Раздел 64)
Положения о неразглашении не применяются, если раскрытие информации требуется по закону или по решению суда. (Раздел 66) Закон не применяется, если данные обрабатываются только в целях управления внутренними делами человека. (Раздел 67)
Принципы защиты данных не применяются к личным данным, если они состоят из ссылок, предоставленных конфиденциально, в целях образования, назначения в офис или предоставления услуг субъектом данных. (Раздел 68)
Положения Закона о предметной информации не применяются к персональным данным, если они могут нанести ущерб боевой эффективности Вооруженных сил (Раздел 69); где он обрабатывается для оценки пригодности лица для назначения на должность судьи или для присуждения национальной награды (раздел 70), или если он состоит из информации в отношении требования о профессиональной привилегии или конфиденциальности. (Раздел 74)
На личные данные не распространяется действие положений Закона, когда они относятся к оценкам экзаменов, обрабатываемым контролером данных, и связаны с результатами отдельного лица (Раздел 72) или состоят из информации, записанной кандидат для академических целей (раздел 73)
Закон запрещает приобретение личных данных, осознанное или неосторожное раскрытие личных данных, и нарушение этого положения является преступление. (Раздел 88)
Закон также квалифицирует продажу, предложение о продаже и рекламу продажи личных данных как нарушение. (Раздел 89)
Министр, ответственный за коммуникацию, может по согласованию с DPC издать правила для эффективного применения Закона.
