Wat die wetsontwerp op databeskerming en digitale inligting vir besigheid beteken
INHOUDSOPGAWE:
Die VK se digitale ekonomie was volgens die regering 'n geraamde £259 miljard werd in 2021. En dit het 85% van die totale diensuitvoer uitgemaak. Dit is hoekom ondernemings gretig gewag het op een van die belangrikste stukke wetgewing in die post-Brexit-era: Die Wetsontwerp op Databeskerming en Digitale Inligting (DPDI). Die wetgewing is eers in die somer van 2022 bekendgestel en kort daarna onderbreek vir konsultasie met kundiges in die bedryf en sakeleiers. word nou aangewys as 'n manier vir Britse firmas om papierwerk te sny en handelsversperrings te verminder sonder om privaatheid en databeskerming in te boet.
Maar kan die bepalings daarvan werklik rompslomp vir organisasies verhoog in 'n tyd wanneer hulle reeds oorlaai is met nuwe nakomingsmandate in die VSA?
Wat is in die wetsontwerp?
Daar is baie om uit te pak uit wat in wese die Verenigde Koninkryk se poging is om sy eie weergawe van die GDPR te vervaardig. Dit is 'n mengsel van verduidelikings en uitsny wat probeer om die wet meer besigheidsvriendelik te maak sonder om die VK se toereikendheidstatus te beïnvloed, wat datavloei na en van die EU in gevaar sou stel.
Een van die hoofveranderings is om te verseker dat slegs organisasies wat betrokke is by "hoërisiko" dataverwerking, soos dié wat groot volumes gesondheidsdata hanteer, rekords moet hou. Dit is ontwerp om papierwerk vir 'n groot aantal besighede te sny. Die nuwe reëls is ook bedoel om te verduidelik wanneer organisasies data kan verwerk sonder dat toestemming nodig is, soos wanneer dit in die openbare belang geag word om persoonlike data te deel om misdaad te voorkom.
Verdere verduidelikings is gemaak om vertroue in KI te verhoog deur aan te dui wanneer voorsorgmaatreëls moet geld vir outomatiese besluitneming of profilering, wat van kritieke belang is vir baie sakemodelle. En daar is nuwe reëls wat ontwerp is sodat kommersiële organisasies voordeel kan trek uit dieselfde beskerming as akademici wanneer hulle navorsing doen. Dit beteken enige navorsing wat “redelikerwys as wetenskaplik beskryf kan word”. Die doel is weer om rompslomp en regskoste vir navorsers te verminder terwyl meer wetenskaplike navorsing in die private sektor aangedryf word.
Ander afwykings van die GDPR sluit in 'n nuwe raamwerk vir opsionele digitale verifikasie, verhoogde boetes vir oorlas-oproepe en sms-boodskappe tot tot 4% van wêreldwye omset of £17.5m, en die skepping van 'n nuwe statutêre raad vir reguleerder, die Inligtingskommissaris se kantoor (ICO) ). Daar is ook voorstelle om die aantal toestemming-opspringers wat internetgebruikers aanlyn sien te verminder, wat effektief beteken dat firmas opsporingstegnologieë op webwerwe en toepassings sal kan gebruik sonder vooraf toestemming van die eindgebruiker vir ontleding.
Wat die regering belowe
Dit is nie verbasend dat die regering van die dakke af skree oor die potensiële voordele wat sy nuwe weergawe van die GDPR sal inlui nie. Hy het beweer dat die hervormings £4.7 miljard se besparings vir Britse organisasies oor die komende dekade sal "ontsluit" sonder om internasionale datavloei te belemmer. Trouens, die regering beweer dat die veranderinge wêreldwye vertroue in sy regulatoriese regime sal versterk om selfs meer internasionale handel aan te dryf. Die wetgewing sal help om die las wat op klein ondernemings geplaas word, te verlig, veral deur wat die regering beskryf as 'n onbuigsame, top-down Europese wet.
Nog 'n tema is die verhoging van sakevertroue - beide oor wanneer hulle persoonlike data sonder toestemming kan verwerk en om te verduidelik wanneer voorsorgmaatreëls moet geld wanneer KI-tegnologie gebruik word.
Sekretaris van Wetenskap, Innovasie en Tegnologie, Michelle Donelan, was gretig om te beklemtoon dat die wetsontwerp van die begin af saam met besighede "saam ontwerp" is.
“Ons stelsel sal makliker wees om te verstaan, makliker om te voldoen aan, en voordeel trek uit die vele geleenthede van post-Brexit Brittanje. Ons besighede en burgers hoef nie meer hulself te verstrengel om die versperringsgebaseerde Europese GDPR nie,” het sy tydens die bekendstelling daarvan gesê.
“Ons nuwe wette bevry Britse ondernemings van onnodige rompslomp om nuwe ontdekkings te ontsluit, nuwe generasie tegnologieë aan te dryf, werk te skep en ons ekonomie ’n hupstoot te gee.”
Kan die rekening die rompslomp verhoog?
Daar is egter kommer dat die wetgewing dit, ver van om rompslomp te verwyder, dit in werklikheid vir sommige organisasies kan verhoog. Antonis Patrikios, ’n vennoot en wêreldwye medevoorsitter van die dataprivaatheid- en kubersekuriteitspraktyk by Dentons, verduidelik dat organisasies wat nie hul bestaande GDPR-nakomingsraamwerk wil verander nie, dit nie met die nuwe wetgewing hoef te doen nie.
“Die wetsontwerp voorsien dat organisasies kan voortgaan om aan die EU GDPR te voldoen as hulle wil, en dit sal beskou word om aan die vereistes van die nuwe Britse databeskermingswet te voldoen. So, organisasies wat nie geraak wil word deur die veranderinge wat deur die wetsontwerp ingestel is nie, sal nie hoef te hê nie,” sê hy aan ISMS.online.
Alhoewel dit die potensiële nakomingslas sal verminder, veral vir diegene met Europese bedrywighede, sou dit beteken dat daardie organisasies nie kan voordeel trek uit die veelbesproke voordele van die nuwe wetgewing nie. Diegene wat wil, moet effektief twee afsonderlike voldoeningsraamwerke handhaaf, een vir hul EU-bedrywighede (GDPR) en een vir die VK (DPDI).
Patrikios erken so baie.
"Van daardie organisasies wat graag gebruik sal maak van die vaartbelynde (en waarskynlik makliker om aan te voldoen) hersiene Britse wetgewingvereistes, sal diegene wat beide Britse persoonlike data en EU persoonlike data verwerk 'n bietjie meer moet dink om die omvang van waarop hulle wil staatmaak op die hersiene Britse wet en hoe hulle in die praktyk die wisselwerking tussen die toepassing van een standaard (dws die EU GDPR) vir hul EU-data en 'n ander standaard (dws die hersiene Britse databeskermingswet) vir hul Britse data sal bestuur, " hy sê.
Daar is ook 'n vraagteken of dit selfs in organisasies se beste belang is om nakoming makliker te maak, veral as dit onbedoelde gevolge het. Die verwydering van die behoefte vir die meeste laerisiko-dataverwerkers om rekords te hou, is een so 'n geval, volgens Edward Machin, 'n senior prokureur in Ropes & Gray se data-, privaatheid- en kubersekuriteitspraktyk.
"Hoewel niemand gaan kla oor 'n vermindering in papierwerk nie, beteken die verwydering van die vereiste vir die meeste besighede om persoonlike data-voorraad te onderhou dat hulle dalk sukkel om te verstaan hoe en waar hulle data hou, wat nie in enigiemand se voordeel is nie," voer hy aan.
Hoe maatskappye die ekstra werklading kan bestuur
Enige toename in nakomingswerk vir Britse organisasies sal op 'n besige tyd kom. Vanjaar word daar verwag dat sewe state, insluitend Colorado, Connecticut, Utah en Virginia, nuwe GDPR-geïnspireerde statute sal begin afdwing. Die ekstra werklading dreig om oorweldigende nakomingspanne te oorweldig.
“Benewens die hervorming van die Britse databeskermingswetgewing en die hervormingsprosesse van die Amerikaanse staat se privaatheidswetgewing, is daar nuwe privaatheidswette en/of ontwikkelende leiding en praktyk in belangrike markte soos China, Indië en Kanada. Ons moet ook nie die reeks kuberveiligheid (bv. NIS 2 en DORA) of tegnologieregulerende wette (soos die KI-wet en DSA) vergeet wat deur die EU-wetgewende proses baan nie,” verduidelik Patrikios.
“Organisasies moet oorweeg watter van hierdie nuwe wette op hulle van toepassing is en dan oorweeg wat die waarskynlike impak gaan wees en hoe om daarvoor gereed te maak. Sodoende is dit noodsaaklik om met eksterne spesialisadviseurs te praat, want daar is nuwe bepalings, waarvan sommige nie 'n presedent het nie, dus kan dit moeilik wees om in die praktyk toe te pas. As meer as een nuwe wet van toepassing is, is dit dalk nie maklik om nakomingspogings te stroomlyn nie, en om 'n rigting te kry oor wat ander in die mark doen, kan in die praktyk baie nuttig wees.
Dit is waar betroubare vennote soos ISMS.online kan help deur 'n gesentraliseerde portaal te verskaf waar kliënte al hul nakomingspogings op een plek kan bestuur. Nog beter, waar sommige take en spesifikasies dieselfde lyk oor verskillende regulatoriese raamwerke, kan ISMS.online verseker dat spanne nie tyd mors om hul pogings te dupliseer nie.
