GDPR-opdatering: Wat die Wet op Data (Gebruik en Toegang) vir Nakomingspanne beteken

'n Opdatering van die VK se weergawe van die GDPR is lankal agterstallig. Die vorige Konserwatiewe regering het dit oorspronklik voorgestel via die Wetsontwerp op Databeskerming en Digitale Inligting (DPDI)., wat nie deur die Parlement kon gaan voor 'n verandering in administrasie nie. Arbeid se poging, die Data (Gebruik en Toegang) Wet (DUA Wet), het uiteindelik Koninklike Goedkeuring ontvang na 'n hoëprofiel-geskil tussen die boonste en onderste kamers oor KI en kopiereg.

Die vraag is, hoe groot 'n hupstoot sal dit wees vir sekuriteits- en voldoeningspanne om aan te pas by die nuwe databeskermingsregime wat die wet inlui?

Waarom het ons dit nodig?

Soos met vorige pogings om die VK se regulatoriese stelsel vir databeskerming te verbeter en aan te pas, is die fokus op die verwydering van onnodige burokrasie sonder om grensoverschrijdende datavloei na die EU in gevaar te stel. Om laasgenoemde te verseker, kan die VK nie te ver van die AVG afwyk nie, anders kan dit sy toereikendheidstatus as 'n "derde land" in gevaar stel.

Aangesien die digitale ekonomie £154 miljard in bruto toegevoegde waarde (BTW) bygedra het in 2023, wat ongeveer 6.5% van die totaal uitmaak, weet die regering dat 'n radikale afwyking van die GDPR buite die kwessie is. Dit sou ook pervers wees, aangesien die reguleerder, die Inligtingskommissaris se Kantoor (ICO), 'n sleutelbydraer tot die oorspronklike regulasie was.

Die regering beweer dat die nuwe wet 'n hupstoot van £10 miljard aan die Britse ekonomie oor die volgende dekade sal bied. Dit dui op 'n uitbreiding van  "slim data"-skemas soos oop bankdienste, die vermindering van burokrasie vir verskaffers van openbare dienste, En 'n nuwe vertrouensmerk vir digitale identiteitsverskaffers as hulp om dit te bereik.

Wat's nuut?

Vanuit 'n databeskermingsperspektief hou die grootste veranderinge egter verband met:

Wettige belange: Die DUA-wet stel "erkende wettige belange" bekend as 'n nuwe, wettige basis vir die verwerking van persoonlike data. Dit laat sommige organisasies toe om data te verwerk sonder om 'n tradisionele wettige belange-assessering (LIA) uit te voer. Daar is ook 'n lys van verwerkingsaktiwiteite (insluitend direkte bemarking) wat steeds LIA's vereis, wat meer duidelikheid vir organisasies behoort te bied.

Geoutomatiseerde besluitneming (ADM): Die wet verslap beperkings op ADM in gevalle waar spesiale kategorie data nie betrokke is nie, hoewel voorsorgmaatreëls steeds toegepas moet word.

Wetenskaplike navorsing: Die wet verbreed die definisie na enige navorsing wat "redelikerwys as wetenskaplik beskryf word, hetsy publiek of privaat befonds en hetsy uitgevoer as 'n kommersiële of nie-kommersiële aktiwiteit". Dit beteken dat privaat befondsde en kommersiële navorsing sal voordeel trek uit vrystellings vir die verwerking van spesiale kategorie data.

Internasionale data-oordragte: Die minister van buitelandse sake sal derde lande kan goedkeur en besluit of 'n bestemmingsland se databeskermingsstandaarde "nie wesenlik laer" is as dié in die Verenigde Koninkryk, eerder as die bestaande "wesenlik ekwivalente" beskermings.

Spesiale kategorie data: Die minister van buitelandse sake sal ook nuwe magte hê om te verander wat as spesiale kategorie data geklassifiseer kan word – wat ekstra beskerming vereis.

Versoeke vir toegang tot data-onderwerpe (SAR'e): Die wet verduidelik dat datasubjekte slegs geregtig is op inligting uit 'n "redelike en proporsionele" soektog deur die besigheid. Organisasies kan nou tot drie maande in sekere omstandighede hê om op SAR'e te reageer. Dit is ontwerp om die administratiewe las op firmas te verminder.

Doelbeperking: Die wet verduidelik wat "verdere verwerking" uitmaak.

Kinders se data: Die wet stel 'n nuwe konsep van "kinderbeskermingsaangeleenthede" bekend, wat die ICO moet evalueer wanneer maatskappye se verantwoordelikhede gereguleer word.

Privaatheids- en Elektroniese Kommunikasieregulasies (PECR): Nuwe reëls oor koekies is ontwerp om voldoening minder lastig vir besighede te maak. Daar is vrystellings van die vereiste om toestemming te vra vir sekere nie-noodsaaklike koekies (bv. die insameling van statistiese data om die voorkoms of werkverrigting van 'n webwerf te verbeter, 'n webwerf aan te pas by 'n gebruiker se voorkeure, of verbeterings aan dienste of 'n webwerf aan te bring). Daar is ook 'n lang lys van doeleindes vir die gebruik van koekies wat as streng noodsaaklik beskou word (bv. sekuriteit en bedrogopsporing), waar geen keuse om uit te teken vereis word nie.

ICO's: Die ICO sal vervang word deur die Inligtingskommissie, en die kommissaris met 'n voorsitter en uitvoerende/nie-uitvoerende lede. Daar is ook nuwe reëls oor klagteprosedures.

Edward Machin, raadgewer vir data, privaatheid en kuberveiligheid by Ropes & Gray, voer aan dat sommige van die maatreëls behoort te help om burokrasie vir baie organisasies te verlig.

“Alhoewel dit kontroversieel is, sal die verslapping van vereistes rondom outomatiese besluitneming wat nie-sensitiewe persoonlike data behels, ietwat bydra tot die verligting van die voldoeningslas vir organisasies wat hierdie tipe verwerking onderneem – veral in die konteks van KI-ontwikkeling en -gebruik,” sê hy vir ISMS.online.

“En die verduideliking van die konsep van 'verdere verwerking' in die algemeen, en die verbreding van die definisie van 'wetenskaplike navorsing' spesifiek, sal – indien nie burokrasie as sodanig verminder nie – organisasies toelaat om persoonlike data in 'n wyer reeks scenario's te verwerk as wat tans die geval is.”

Begin met koekies

Van kritieke belang is dat regskenners nie glo dat wetgewing die VK se toereikendheidstatus en dus datavloei met die EU sal beïnvloed nie.

“Alhoewel dit omvangryk is, gaan die veranderinge wat deur die [Wet] voorgestel word nie so ver as om die onderliggende beginsels van die GDPR waarop die bestaande regime gebaseer is, te verander nie,” sê Sarah Pearce, vennoot van Hunton Andrews Kurth. “As sodanig behoort die nuwe wetgewing nie die VK se toereikendheidsbesluit te beïnvloed wanneer dit aan die einde van hierdie jaar deur die Europese Kommissie hersien word nie.”

So, waarna moet voldoeningsbeamptes eerste kyk? Ropes & Gray's Machin beveel aan dat koekie- en elektroniese bemarkingspraktyke ondersoek word.

“Alhoewel die wet die tipe koekies en doeleindes wat as “streng noodsaaklik” beskou word, uitbrei, verhoog dit ook die maksimum boetes kragtens PECR om in lyn te kom met die Britse AVG – d.w.s., die grootste van £17.5 miljoen of 4% van die jaarlikse wêreldwye omset,” verduidelik hy.

“Alle organisasies sal die nuwe proses vir klagtes deur individue moet operasioneel stel, wat eers aan die beheerder gerig moet word voordat dit aan die ICO voorgelê word. Dit sal opdaterings aan privaatheidskennisgewings en interne prosesse vereis om te verseker dat sulke klagtes gepas hanteer word.”

'n Meer omvattende karteringsproses sal ook nodig wees om te verstaan ​​hoe die wet se bepalings huidige prosesse sal beïnvloed, voeg Machin by.

“In baie gevalle sal dit nie lei tot beduidende veranderinge aan bestaande Britse GDPR-nakomingsprogramme nie,” sluit hy af.

“Dit gesê, die datadeling- en digitale verifikasieskemas wat die wet die minister van buitelandse sake magtig om in te stel, sal 'n reeks nuwe en verbeterde wetlike en tegniese vereistes behels, en organisasies wat aan hierdie skemas wil deelneem – of verplig word – moet ontwikkelings op hierdie gebied noukeurig monitor.”