GDPR-opdatering: Hvad dataloven (brug og adgang) betyder for compliance-teams
Indholdsfortegnelse:
En opdatering af den britiske version af GDPR er længe ventet. Den tidligere konservative regering foreslog det oprindeligt via Lovforslaget om databeskyttelse og digital information (DPDI)., som ikke nåede igennem Parlamentet før en ændring i administrationen. Labours initiativ, Data (Use and Access) Act (DUA Act), har endelig fået kongelig stadfæstelse efter et højprofileret skænderi mellem over- og underkamre om kunstig intelligens og ophavsret.
Spørgsmålet er, hvor stort et løft det vil være for sikkerheds- og compliance-teams at tilpasse sig den nye databeskyttelsesordning, som loven indfører?
Hvorfor har vi brug for det?
Som i tidligere forsøg på at forbedre og tilpasse Storbritanniens regulering af databeskyttelse er fokus på at fjerne unødvendigt bureaukrati uden at bringe grænseoverskridende datastrømme til EU i fare. For at sikre sidstnævnte må Storbritannien ikke afvige for meget fra GDPR, da det ellers risikerer sin tilstrækkelighedsstatus som et "tredjeland".
I betragtning af at den digitale økonomi bidrog med 154 mia. pund i bruttoværditilvækst (BVT) i 2023, der tegner sig for omkring 6.5 % af det samlede antal, ved regeringen, at en radikal afvigelse fra GDPR er udelukket. Det ville også være perverst, da tilsynsmyndigheden Information Commissioner's Office (ICO) var en central bidragyder til den oprindelige regulering.
Regeringen hævder, at den nye lov vil give den britiske økonomi et boost på 10 milliarder pund i løbet af det kommende årti. Den peger på en udvidelse af "Smart data"-ordninger som åben bankvirksomhed, reduktion af bureaukrati for udbydere af offentlige tjenester, Og en ny tillidsmærke for udbydere af digitale identiteter som medvirkende til at opnå dette.
Hvad er nyt?
Fra et databeskyttelsesperspektiv vedrører de største ændringer dog:
Legitime interesser: DUA-loven introducerer "anerkendte legitime interesser" som et nyt, lovligt grundlag for behandling af personoplysninger. Dette giver nogle organisationer mulighed for at behandle data uden at skulle foretage en traditionel vurdering af legitime interesser (LIA). Der er også en liste over behandlingsaktiviteter (herunder direkte markedsføring), der stadig kræver LIA'er, hvilket burde give organisationer mere klarhed.
Automatiseret beslutningstagning (ADM): Loven lempes på restriktionerne for ADM i tilfælde, hvor der ikke er tale om særlige kategoridata, selvom der stadig skal anvendes sikkerhedsforanstaltninger.
Videnskabelig undersøgelse: Loven udvider definitionen til enhver form for forskning, der "med rimelighed kan beskrives som videnskabelig, uanset om den er offentligt eller privat finansieret, og uanset om den udføres som en kommerciel eller ikke-kommerciel aktivitet". Det betyder, at privat finansieret og kommerciel forskning vil drage fordel af undtagelser for behandling af data i en særlig kategori.
Internationale dataoverførsler: Statssekretæren vil kunne godkende tredjelande og afgøre, om et destinationslands databeskyttelsesstandarder "ikke er væsentligt lavere" end dem i Storbritannien, snarere end de eksisterende "i det væsentlige tilsvarende" beskyttelser.
Data fra særlige kategorier: Statssekretæren vil også have nye beføjelser til at ændre, hvad der kan klassificeres som data i en særlig kategori – hvilket kræver ekstra beskyttelse.
Anmodninger om indsigt fra registrerede (SAR'er): Loven præciserer, at registrerede kun har ret til oplysninger fra en "rimelig og forholdsmæssig" søgning foretaget af virksomheden. Organisationer kan nu under visse omstændigheder have op til tre måneder til at svare på SAR'er. Dette har til formål at reducere den administrative byrde for virksomheder.
Formålsbegrænsning: Loven præciserer, hvad der udgør "viderebehandling".
Børns data: Loven introducerer et nyt koncept for "børns højere beskyttelsesspørgsmål", som ICO skal evaluere, når den regulerer virksomheders ansvar.
Regler for privatliv og elektronisk kommunikation (PECR): Nye regler for cookies har til formål at gøre overholdelsen mindre byrdefuld for virksomheder. Der er undtagelser fra kravet om at indhente samtykke til visse ikke-essentielle cookies (f.eks. indsamling af statistiske data for at forbedre et websteds udseende eller ydeevne, tilpasning af et websted til en brugers præferencer eller forbedringer af tjenester eller et websted). Der er også en lang liste over formål med brugen af cookies, der anses for strengt nødvendige (f.eks. sikkerhed og svindeldetektering), hvor der ikke kræves et fravalg.
ICO'er: ICO vil blive erstattet af Informationskommissionen, og kommissæren med en formand og medlemmer med ledende/ikke-ledende medlemmer. Der er også nye regler for klageprocedurer.
Ropes & Grays rådgiver for data, privatliv og cybersikkerhed, Edward Machin, argumenterer for, at nogle af foranstaltningerne burde bidrage til at lette bureaukratiet for mange organisationer.
"Selvom det er kontroversielt, vil lempelsen af kravene omkring automatiseret beslutningstagning, der involverer ikke-følsomme personoplysninger, i et vist omfang lette compliance-byrden for organisationer, der foretager denne type behandling – især i forbindelse med udvikling og brug af AI," fortæller han ISMS.online.
"Og en generelt præcisering af begrebet 'viderebehandling' og en specifik udvidelse af definitionen af 'videnskabelig forskning' vil – om ikke mindske bureaukratiet som sådan – give organisationer mulighed for at behandle personoplysninger i en bredere vifte af scenarier, end det er tilfældet i øjeblikket."
Afgørende er det, at juridiske eksperter ikke mener, at lovgivningen vil påvirke Storbritanniens tilstrækkelighedsstatus og dermed datastrømmene med EU.
"Selvom de foreslåede ændringer i [loven] er omfattende, går de ikke så langt som til at ændre de underliggende principper i GDPR, som den eksisterende ordning er baseret på," siger Sarah Pearce, partner hos Hunton Andrews Kurth. "Den nye lovgivning bør derfor ikke påvirke Storbritanniens tilstrækkelighedsbeslutning, når den gennemgås af Europa-Kommissionen ved udgangen af dette år."
Så hvad bør compliance-ansvarlige se på først? Ropes & Gray's Machin anbefaler at se på cookie- og elektronisk markedsføringspraksis.
"Selvom loven udvider typen af cookies og formål, der anses for at være "strengt nødvendige", øger den også de maksimale bøder i henhold til PECR for at tilpasse dem til den britiske GDPR – dvs. det højeste beløb af 17.5 millioner pund eller 4 % af den årlige globale omsætning," forklarer han.
"Alle organisationer skal operationalisere den nye proces for klager fra enkeltpersoner, som først skal rettes til den dataansvarlige, før de indgives til ICO. Dette vil kræve opdateringer af privatlivsmeddelelser og interne processer for at sikre, at sådanne klager håndteres korrekt."
En mere omfattende kortlægningsproces vil også være nødvendig for at forstå, hvordan lovens bestemmelser vil påvirke de nuværende processer, tilføjer Machin.
"I mange tilfælde vil dette ikke resultere i væsentlige ændringer i eksisterende britiske GDPR-complianceprogrammer," konkluderer han.
"Når det er sagt, vil de datadelings- og digitale verifikationsordninger, som loven giver udenrigsministeren beføjelse til at indføre, involvere en række nye og forbedrede juridiske og tekniske krav, og organisationer, der ønsker – eller er forpligtet til – at deltage i disse ordninger, bør nøje overvåge udviklingen på dette område."
