La loi sur la protection des données, ratifiée par le Parlement du Royaume-Uni en 1998, protège les droits individuels à la vie privée concernant leurs données personnelles. Il permet aux individus de limiter l’utilisation des informations personnelles les concernant, y compris, dans certains cas, le mode de collecte, de stockage, de traitement et de distribution. Conformément à la directive européenne de 1995, la loi sur la protection des données énonce huit principes clés pour le soin et l’utilisation des données personnelles collectées et compilées par les entreprises, les chercheurs et les agences gouvernementales. La loi sur la protection des données oblige tous les contrôleurs de données non seulement à s’inscrire auprès du commissaire à l’information, mais également à respecter les principes de protection des données énoncés dans la loi.
Conformément à la loi sur la protection des données, les contrôleurs de données doivent divulguer au Commissaire à l’information leur utilisation des données personnelles, y compris les types d’informations qu’ils collectent et dans quel but ils collectent ces informations. De plus, les données doivent être collectées et traitées de manière loyale et légale, en veillant à ce que le traitement des dossiers soit conforme à l’objectif déclaré au Commissaire à l’information. La loi Informatique et Libertés exige également que les informations soient autant que possible exactes et à jour. Les entreprises doivent mettre en œuvre des mesures de sécurité appropriées pour empêcher l’utilisation non autorisée ou interdite des données personnelles, ainsi que la perte accidentelle ou l’endommagement des informations.
La loi Informatique et Libertés définit également les droits des personnes concernées par les informations en question. Moyennant un droit d’accès, il a le droit de consulter les données, de demander la rectification d’éventuelles inexactitudes et de contrôler la diffusion de ses informations à des tiers. Il peut également obtenir une description des finalités pour lesquelles un responsable du traitement détient son matériel. Les contrôleurs de données doivent se conformer aux demandes d’accès des sujets dans les 40 jours.
Si un contrôleur de données n’agit pas conformément à la loi sur la protection des données, il existe un certain nombre de sanctions pénales et civiles en vertu des articles 21, 55 et 56. Les exceptions notables à la loi incluent les collectes de données familiales, telles que les carnets d’adresses personnels ou les listes, les efforts de collecte des impôts et les enquêtes criminelles. En outre, les traitements de données effectués à des fins de sécurité nationale sont exonérés.
Pour qu’un responsable du traitement traite de manière loyale des informations compilées conformément à la loi sur la protection des données, il ne doit détenir que les informations qui remplissent l’une des six conditions. Le traitement est acceptable si la personne concernée a donné son consentement. Il est également autorisé lorsqu’un tel traitement remplit une obligation légale, un contrat ou une fonction publique essentielle. Enfin, le traitement des données qui protège ou poursuit les intérêts vitaux ou légitimes du sujet lui-même ou d’un autre tiers est également autorisé.