Кроме того, существует требование к интернет-провайдерам об уведомлении комиссара по персональным данным без неоправданной задержки, а в некоторых случаях и абонентов о случаях любых инцидентов с их персональными данными. Неуведомление может привести к штрафу в размере 1000 фунтов стерлингов.

В соответствии с законодательством Великобритании данные могут быть обработаны с помощью третьей стороны, если третья сторона предоставит достаточные гарантии относительно технической и организационной безопасности.

Передача данных возможна, если контролер данных принимает разумные меры для обеспечения соблюдения «Акта о защите данных».

Обработка осуществляется на основании письменного договора только по поручению контролера или в рамках выполнения обязательств, эквивалентных тем, которые накладываются на контролера данных в соответствии с «Актом о защите данных».

Законом определены следующие требования об условиях собирания и обработки данных контролером[54]:

а) контролер информации может обрабатывать данные только в рамках заранее полученного согласия субъекта данных или в процессе выполнения договорных обязательств;

б) обработка данных соответствует обязательствам контролера обработки данных;

в) обработка направлена на защиту жизненно важных интересов субъекта данных;

г) обработка требуется в связи с целями «Акта о защите данных».

Данные могут быть собраны и обработаны правительством Великобритании при выполнении следующих условий:

а) обработка требуется для обеспечения безопасности общества, осуществления правосудия; или

б) имеются законные основания для обработки данных;

в) обработка не нарушает права и свободы субъекта данных или другого законного представителя.

Чувствительные персональные данные могут быть собраны и обработаны в случае выполнения следующих условий:

а) получение явного согласия субъекта данных;

б) обработка необходима для целей осуществления или выполнения каких-либо прав или обязательств, предусмотренных или налагаемых законом на контролера данных;

в) обработка необходима для того, чтобы защитить жизненно важные интересы субъекта персональных данных или другого человека;

г) обработка осуществляется любым судебным органом в его законной деятельности;

д) информация была обнародована самим субъектом персональных данных в результате его деятельности;

е) обработка необходима для целей или в связи с осуществлением судопроизводства, с получением юридической консультации либо защитой законных прав субъекта;

ж) обработка необходима для отправления правосудия или для осуществления функций определенных государственных органов, за некоторыми исключениями;

з) обработка необходима для целей предотвращения мошенничества;

и) обработка необходима для медицинских целей и связана с конкретными лицами.

Общее регулирование порядка анализа результатов обработки данных в Великобритании отсутствует. Однако в настоящее время активно обсуждается вопрос о возможности анализа результатов обработки данных, полученных интернет-провайдерами при выполнении их обязательств в рамках Директивы по хранению данных (Data Retention Directive[55]), которая были принята в период после террористических актов в Мадриде в 2004 г. и в Лондоне в 2005 г., в целях согласования усилий ЕС в расследовании и уголовном преследовании самых серьезных преступлений, таких как организованная преступность и терроризм.

Директива по хранению данных требует от операторов сохранять определенные категории данных о трафике и местоположении физических лиц (за исключением содержания этих сообщений) в период от шести месяцев до двух лет и делать их доступными в случае запроса в правоохранительные органы для целей расследования, выявления и преследования серьезных преступлений и терроризма.