«Акт о защите данных» 1998 г. оперирует следующими терминами:

1) «персональные данные» – это любые данные, относимые к живому человеку, на основании которых он может быть идентифицирован, или иная информация, которая находится в распоряжении контролера данных или может ему поступить для обработки, а также любое выражение мнения об индивидуальных особенностях лица или его личности;

2) «чувствительные данные»[50], которые являются разновидностью персональных данных и к которым относится информация:

а) о расовом или этническом происхождении субъекта данных;

б) о политических взглядах;

в) о религиозных убеждениях или иных убеждениях аналогичного характера;

г) о том, является ли человек членом профсоюза;

д) о физическом или психическом здоровье человека или о его состоянии;

е) о его сексуальной жизни;

ж) о совершенном или предполагаемом совершении человеком какого-либо преступления;

з) о любых процедурах, связанных с преступлениями, совершенными или совершаемыми, в том числе о решениях по таким разбирательствам или о приговорах любого суда по такому делу.

Очевидно, что вышеуказанные термины схожи с российскими терминами «персональные данные» и «специальные категории персональных данных».

В настоящий момент в Великобритании рассматриваются поправки к дефиниции «персональные данные»: предлагается расширить определение персональных данных – так, чтобы в него попали IP-адреса и cookie. Предлагается следующее определение: «персональные данные – это данные, с помощью которых физическое лицо может быть идентифицировано прямо или косвенно на основании средств, которые могут быть использованы контролером данных… в том числе применительно к идентификационным номерам, данным о местоположении, онлайн-идентификаторам»[51].

Понятие «персональные данные» в Великобритании имеет абстрактный характер, будучи конкретизированным только в части чувствительных (sensitive) данных.

Основным субъектом обеспечения конфиденциальности персональных данных в Великобритании является контролер данных – лицо, которое (самостоятельно или совместно с другими лицами) определяет цели и средства обработки персональных данных. Вместе с тем если контролер данных привлекает для обработки третье лицо – обработчика данных (любое лицо, не являющееся субъектом персональных данных, которое обрабатывает персональные данные от имени контролера данных), то обработчик данных несет такую же ответственность за обеспечение конфиденциальности персональных данных, как и контролер.

Субъект данных имеет право самостоятельно определять, как, кому и на каких условиях предоставлять данные. Соответственно, нормативно установленных обязанностей по обеспечению конфиденциальности персональных данных у субъекта данных нет.

Департамент правительства Великобритании по делам культуры, СМИ и спорта (DCMS) взял на себя ответственность за формирование политики защиты данных Великобритании[52].

В Великобритании установлена серьезная административная и уголовная ответственность за указанные нарушения.

Совершение данных нарушений наказывается в Великобритании штрафом до 500 тысяч фунтов. Также предусматриваются административные санкции за несвоевременное устранение нарушений и повторное нарушение, а при преднамеренном характере нарушений, которые привели к серьезным последствиям, установлена уголовная ответственность в виде лишения свободы. Аналогичный подход применяется и в России