《數據(使用和存取)法案》已發布,並於 2024 年 10 月 23 日在上議院進行一讀。鑑於國王演講中有關資料保護改革的細節,我們預計工黨的改革將相當有限,資料保護改革:我們再次出發 並且會放棄許多先前的保守黨改革提案。然而,宣布的改革比預期更進一步,並保留了許多先前提出的改革。
我們對新法案有何期待?
就我們的目的而言,忽略與公共利益使用數據相關的變化(其中大部分以公共部門為重點),該法案中私營部門組織需要注意的一些關鍵方面是:
- 資訊專員辦公室改革,該辦公室將成為一個獨立的法人團體,稱為資訊委員會,並設有執行長。
- 該法案規定了一系列條件,新的處理目的將自動被視為與收集資料的原始目的「相容」。
- 透過限制英國 GDPR 第 22 條的範圍,允許在更廣泛的情況下使用自動化決策(資料主體有權不受僅基於自動化處理(包括分析)的決策的約束,該決策會產生法律效力)與他或她有關或類似地顯著影響他或她)到使用特殊類別數據做出的自動決策。
- 新要求控制者建立一個流程,讓資料主體在向 ICO 投訴之前直接向他們投訴。管制員必須在規定的時間內回應直接投訴。
- 對個人資料國際傳輸採取更「基於風險」的方法,既可供政府在決定第三國是否合適時採用,也可供各組織在向某組織進行國際傳輸之前進行傳輸風險評估時採用。第三國。
- 與 SAR 相關的變更將 ICO 指南與澄清請求「停止計時」和搜尋僅需要在法定基礎上「合理且相稱」相關。
PECR(《隱私和電子通訊條例》,其中包括與直接行銷、cookie 和其他追蹤技術相關的條款)也有一些具體變化:
- 將罰款提高至英國 GDPR 水準(目前最高罰款為 50 萬英鎊)。
- 未經使用者同意,允許使用第一方 cookie(和類似技術)進行網站分析。
- 取消公共電子通訊服務提供者在 24(而不是 72)小時內通知個人資料外洩的要求。
一項以前未曾見過的有趣改革是,國務卿有權更改被歸類為特殊類別資料的資料類型(儘管現有類型無法更改),這意味著這些類型的個人資料將受到額外的資料保護義務的約束。
最後,提出了「公認的合法利益」的新 工程師資料庫 概念,這意味著某些活動默認被視為合法,因此無需進行LIA(合法利益評估)。雖然這聽起來對私部門組織有幫助,但這些預設合法利益(包括緊急情況、犯罪和保護弱勢個人)不涵蓋商業利益,更有可能被公共部門組織利用。
不包括什麼?
先前的改革提案中有一些內容尚未重新提出,包括:
- 提議取消對英國代表的要求。
- “個人資料”定義的變更。
- 資料保護官的角色將繼續存在,因此不會設立新的高階負責人角色。
- 不會出現「無理取鬧」(取代「明顯毫無根據」)資料主體存取請求的新概念,儘管這在實踐中會產生多大的差異值得懷疑。
- 沒有與 ROPA(處理活動記錄)相關的變更。
- DPIA(資料保護影響評估)的時間 15 個電子郵件行銷的最佳利基 無需更改,那些對資料主體有高風險(無法減輕)的風險仍必須提交給 ICO 進行事先諮詢。
這次真的要改革了嗎?
看起來很有可能,是的,而且新法案的進展應該相對較快,因為在上一個法案的旗幟下已經做了很多工作。
對歐盟充足性的影響如何?
這很難衡量,因為它部分是政治性的,但每當在 印尼數據 改革的背景下提出這個問題時,我們確信都會與歐盟就英國的充分性進行公開對話,因此預計不會出現任何問題(祈禱! )。
您的組織還需要做些什麼嗎?
目前值得關注的是改革討論,以便您準備好在需要時採取行動。也就是說,如果您的組織遵守現行法律,那麼不太可能只需要進行微小的更改。如果您的組織也受歐盟 GDPR 的約束,您可能想要限制變更以避免雙重合規制度。然而,隨著可能的罰款大幅增加,現在值得審查您組織的 PECR 合規性。
內部法律顧問需要注意的最後一點是,沒有任何內容表明需要預測您正在起草的任何資料處理條款/協議的變化,並且沒有任何內容會直接影響任何國際傳輸機制。