Дані спеціальних категорій та політика щодо даних про кримінальні правопорушення

Вступ

У рамках статутних та корпоративних функцій Ради округу Норфолк ми обробляємо дані спеціальної категорії та дані про кримінальні правопорушення відповідно до вимог статей 9 і 10 Загального регламенту про захист даних (GDPR) і додатка 1 Закону про захист даних 2018 року (DPA 2018).

Дані спеціальної категорії визначені у статті 9 GDPR як персональні дані, які розкривають:

  • расове або етнічне походження;
  • політичні думки;
  • релігійні чи філософські переконання;
  • членство в профспілці;
  • генетичні дані;
  • біометричні дані з метою однозначної ідентифікації фізичної особи;
  • дані про здоров'я;
  • дані про сексуальне життя або сексуальну орієнтацію фізичної особи.

Стаття 10 GDPR охоплює обробку, пов’язану з кримінальними вироками та правопорушеннями або заходи безпеки, пов’язаними з ними. Крім того, розділ 11(2) DPA 2018 спеціально підтверджує, що це включає персональні дані, що стосуються імовірного вчинення правопорушень або розгляду злочину, вчиненого або ймовірного вчинення, включаючи вирок. Це спільно називають «даними про кримінальні правопорушення».

Додаток 1 DPA 2018 містить умови для обробки даних про спеціальні категорії та кримінальні правопорушення, і деякі з цих умов вимагають від нас наявності відповідного політичного документа (APD), у якому викладаються та пояснюються наші процедури для забезпечення дотримання принципів, що стосуються обробки персональних даних відповідно до статті 5 GDPR та політики щодо збереження та стирання таких персональних даних.                

У цьому документі не розглядається наша обробка даних спеціальної категорії та кримінальних правопорушень для цілей правоохоронних органів. Обробка в правоохоронних цілях здійснюється нами як компетентний орган і підпадає під частину 3 DPA 2018 і є предметом окремого документа. 

Умови обробки даних особливої категорії та кримінальних правопорушень

Ми обробляємо спеціальні категорії персональних даних відповідно до наступних статей GDPR:

  • Стаття 9(2)(b) – випадки, коли обробка необхідна для цілей виконання або здійснення зобов’язань чи прав, які покладаються або надаються законом Раді округу Норфолк або суб’єкту даних у зв’язку з працевлаштуванням, соціальним забезпеченням чи соціальним захистом.
  • Стаття 9(2)(g) – причини суттєвого суспільного інтересу.
    Рада округу Норфолк відповідає за освіту, шосе, транспортне планування, пасажирський транспорт, соціальне обслуговування (діти та дорослі), бібліотеки, утилізацію відходів та стратегічне планування. Наша обробка персональних даних у цьому контексті здійснюється для цілей суттєвого суспільного інтересу та необхідна для виконання нашої ролі.
  • Стаття 9(2)(i) – з міркувань суспільних інтересів у сфері громадського здоров'я, таких як захист від серйозних транскордонних загроз здоров'ю або забезпечення високих стандартів якості та безпеки медичної допомоги та лікарських засобів або медичних виробів.
  • Стаття 9(2)(j) – для цілей архівування в суспільних інтересах.
    Відповідна мета, на яку ми покладаємося, – додаток 1, частина 1, параграф 4 – архівування.
  • Стаття 9(2)(f) – для встановлення, здійснення або захисту правових позовів.
  • Стаття 9(2)(a) – чітка згода. У випадках, коли ми шукаємо згоди, ми переконуємося, що згода є однозначною та для однієї чи кількох визначених цілей, надається шляхом стверджувальної дії та записується як умова обробки.
  • Стаття 9(2)(c) – у випадках, коли обробка необхідна для захисту життєво важливих інтересів суб’єкта даних або іншої фізичної особи.

Ми також обробляємо дані про кримінальні правопорушення відповідно до статті 10 GDPR.

Процедури забезпечення дотримання принципів статті 5 GDPR

Стаття 5 GDPR встановлює принципи захисту даних. Це наші процедури для забезпечення їх дотримання.

Перший принцип

Персональні дані повинні оброблятися законно, справедливо та прозоро по відношенню до суб’єкта даних.

Рада округу буде:

  • гарантувати, що персональні дані обробляються лише за наявності законної підстави та якщо їх обробка є законною;
  • лише обробляти справедливо персональні дані та гарантувати, що суб’єкти даних не будуть введені в оману щодо цілей будь-якої обробки;
  • забезпечувати отримання суб’єктами даних повної інформації про конфіденційність, щоб будь-яка обробка персональних даних була прозорою.

Другий принцип

Персональні дані збираються для певних, явних і законних цілей і не обробляються в подальшому способом, несумісним з цими цілями.

Рада округу буде:

  • збирати персональні дані лише для певних, явних і законних цілей, і ми повідомимо суб’єктів даних, які ці цілі є в повідомленні про конфіденційність;
  • не використовувати персональні дані для цілей, несумісних з цілями, для яких вони були зібрані. Якщо ми використовуємо персональні дані для нових сумісних цілей, ми спочатку повідомимо суб’єкта даних.

Третій принцип

Персональні дані повинні бути достатніми, відповідними та обмеженими тим, що необхідно для цілей, для яких вони обробляються.

Рада округу буде збирати лише мінімальні персональні дані, які нам потрібні для мети, для якої вони збираються. Ми гарантуємо, що дані, які ми збираємо, є достатніми та актуальними.

Четвертий принцип 

Персональні дані повинні бути точними і, за необхідності, оновлюватися.

Рада округу гарантуватиме, що персональні дані є точними та оновлюються, якщо це необхідно. Ми будемо робити це особливо уважно, якщо використання нами персональних даних має значний вплив на окремих осіб.

П'ятий принцип

Персональні дані зберігаються у формі, яка дозволяє ідентифікувати суб’єктів даних, не довше, ніж це необхідно для цілей, для яких обробляються персональні дані.

Рада округу зберігатиме персональні дані лише в ідентифікаційній формі, доки це необхідно для цілей, для яких вони збираються, або якщо ми маємо юридичні зобов’язання це робити. Коли нам більше не потрібні персональні дані, вони будуть видалені або назавжди стануть анонімними. Ми визначаємо термін зберігання цих даних виходячи з наших юридичних зобов’язань і необхідності їх збереження для потреб нашого бізнесу. (див. параграф 4 нижче.) Наш графік утримання регулярно переглядається та оновлюється за потреби. 

Шостий принцип 

Персональні дані обробляються у спосіб, який забезпечує належну безпеку персональних даних, включаючи захист від несанкціонованої або незаконної обробки та від випадкової втрати, знищення чи пошкодження, із застосуванням відповідних технічних або організаційних заходів.

Рада округу забезпечить застосування відповідних організаційних та технічних заходів для захисту персональних даних, наприклад:

  • електронна інформація обробляється в нашій безпечній мережі; інформація на паперовому носії обробляється відповідно до наших процедур безпеки;
  • наші електронні системи та фізичне сховище мають відповідні засоби контролю доступу;
  • системи, які ми використовуємо для обробки персональних даних, дозволяють нам стирати або оновлювати персональні дані в будь-який момент часу, коли це необхідно.

Принцип підзвітності

У GDPR зазначено, що контролер даних повинен нести відповідальність за дотримання цих принципів і мати можливість продемонструвати їх дотримання. Наш старший спеціаліст із інформаційних ризиків та Опікунська рада Caldicott (для персональних даних соціальної допомоги) відповідають за забезпечення відповідності відділу цим принципам.

Ми будемо:

  • забезпечувати ведення записів про всі дії з обробки персональних даних та надання їх Уповноваженій особі з питань інформації на запит;
  • проводити оцінку впливу на захист даних для будь-якої високоризикованої обробки персональних даних та проконсультуватися з Уповноваженою особою з питань інформації, якщо це необхідно;
  • призначити спеціаліста із захисту даних для надання незалежних консультацій та моніторингу обробки персональних даних відділів, а також щоб ця особа мала доступ до звітів відділу вищого рівня управління;
  • мати внутрішні процеси, щоб гарантувати, що персональні дані збираються, використовуються або обробляються лише у спосіб, який відповідає законодавству про захист даних. 

Політики контролера даних щодо збереження та стирання персональних даних

Ми забезпечимо, коли обробляються персональні дані особливої категорії або дані про кримінальні правопорушення, що:

  • існує запис про цю обробку, і в цьому записі, якщо це можливо, будуть викладені передбачені терміни для видалення різних категорій даних;
  • суб’єкти даних отримують повну інформацію про конфіденційність про те, як будуть оброблятися їхні дані, і що це включатиме період, протягом якого персональні дані будуть зберігатися, або, якщо це неможливо, критерії, які використовуються для визначення цього періоду; 
  • якщо ми більше не потребуємо персональних даних спеціальної категорії або кримінальних судимостей з метою, з якою вони були зібрані, ми видалимо їх або зробимо їх назавжди анонімними;
  • ми зберігаємо особисту інформацію стільки, скільки необхідно для досягнення цілей, для яких ми її зібрали, в тому числі для виконання будь-яких юридичних, бухгалтерських або звітних вимог. 

Щоб визначити правильний термін зберігання персональних даних, ми враховуємо такі питання:

  • обсяг, характер та конфіденційність персональних даних; 
  • потенційний ризик заподіяння шкоди від несанкціонованого використання або розкриття персональних даних;
  • цілі, для яких ми обробляємо ваші персональні дані, і чи можемо ми досягти цих цілей іншими засобами; та
  • будь-які юридичні або нормативні вимоги. 

Як тільки особа більше не потребує від нас послуг, ми збережемо та безпечно знищимо її особисту інформацію відповідно до нашого графіка зберігання даних. 

Додаткова інформація

Для отримання додаткової інформації про дотримання Радою округа законів про захист даних, будь ласка, зв’яжіться з нами за адресою: 

  • Надсилання електронних листів команді з дотримання вимог інформації на адресу information.management@norfolk.gov.uk
  • Письмо до команди забезпечення відповідності інформації, Рада округу Норфолк, Каунті Холл, Мартіно Лейн, Норвіч NR1 2DH (County Hall, Martineau Lane, Norwich NR1 2DH) 

Крім того, якщо ви хочете зв’язатися з нашим спеціалістом із захисту даних, ви можете зробити це,

  • надіславши електронний лист DPO на адресу: dpo@norfolk.gov.uk.
  • Лист до DPO, Рада округу Норфолк, Каунті Холл, Мартіно Лейн, Норвіч NR1 2DH (County Hall, Martineau Lane, Norwich NR1 2DH)