Vad lagförslaget om dataskydd och digital information betyder för företag
Innehållsförteckning:
Storbritanniens digitala ekonomi var värd uppskattningsvis 259 miljarder pund 2021, enligt regeringen. Och den utgjorde 85 % av den totala tjänsteexporten. Det är därför företag ivrigt har väntat på en av de viktigaste lagarna i eran efter Brexit: lagförslaget om dataskydd och digital information (DPDI). Lagstiftningen introducerades först sommaren 2022 och pausades kort därefter för samråd med branschexperter och företagsledare. nu utropas som ett sätt för brittiska företag att minska pappersarbetet och minska handelshinder utan att kompromissa med integritet och dataskydd.
Men kan dess bestämmelser faktiskt öka byråkratin för organisationer i en tid när de redan är överbelastade med nya efterlevnadsmandat i USA?
Vad står i lagförslaget?
Det finns mycket att packa upp från vad som i huvudsak är Storbritanniens försök att producera sin egen version av GDPR. Det är en blandning av förtydliganden och avvikelser som försöker göra lagen mer affärsvänlig utan att påverka Storbritanniens tillräcklighetsstatus, vilket skulle äventyra dataflöden till och från EU.
En av rubrikändringarna är att säkerställa att endast organisationer som är engagerade i "högrisk" databehandling, som de som hanterar stora volymer hälsodata, behöver föra register. Detta är utformat för att minska pappersarbetet för ett stort antal företag. De nya reglerna syftar också till att förtydliga när organisationer kan behandla uppgifter utan att samtycke krävs, till exempel när det är värdigt i allmänhetens intresse att dela personuppgifter för att förebygga brott.
Ytterligare förtydliganden har gjorts för att öka förtroendet för AI genom att ange när skyddsåtgärder måste gälla för automatiserat beslutsfattande eller profilering, vilket är avgörande för många affärsmodeller. Och det finns nya regler utformade så att kommersiella organisationer kan dra nytta av samma skydd som akademiker när de bedriver forskning. Det betyder all forskning som "rimligen skulle kunna beskrivas som vetenskaplig". Syftet är återigen att minska byråkratin och juridiska kostnader för forskare och samtidigt driva på mer vetenskaplig forskning inom den privata sektorn.
Andra avsteg från GDPR inkluderar ett nytt ramverk för valfri digital verifiering, ökade böter för störande samtal och sms till upp till 4 % av den globala omsättningen eller 17.5 miljoner pund, och skapandet av en ny lagstadgad styrelse för tillsynsmyndigheten Information Commissioner's Office (ICO) ). Det finns också förslag för att minska antalet popup-fönster för samtycke som internetanvändare ser online, vilket i praktiken innebär att företag kommer att kunna använda spårningstekniker på webbplatser och appar utan föregående medgivande från slutanvändaren för analyser.
Vad regeringen lovar
Inte överraskande skriker regeringen från hustaken om de potentiella fördelarna som dess nya version av GDPR kommer att inleda. Den hävdade att reformerna kommer att "låsa upp" £4.7 miljarder i besparingar för brittiska organisationer under det kommande decenniet utan att hindra internationella dataflöden. Faktum är att regeringen hävdar att förändringarna kommer att öka det globala förtroendet för dess regelverk för att driva på ännu mer internationell handel. Lagstiftningen kommer att hjälpa till att lindra bördan som läggs på små företag, särskilt genom vad regeringen beskriver som en oflexibel, top-down europeisk lag.
Ett annat tema är att öka företagens förtroende – både om när de kan behandla personuppgifter utan samtycke och för att klargöra när skyddsåtgärder måste gälla vid användning av AI-teknik.
Sekreterare för vetenskap, innovation och teknik, Michelle Donelan, var angelägen om att betona att lagförslaget hade "samutformats" med företag från början.
"Vårt system kommer att bli lättare att förstå, lättare att följa och dra nytta av de många möjligheterna i Storbritannien efter Brexit. Våra företag och medborgare behöver inte längre trassla sig runt den barriärbaserade europeiska GDPR, sade hon vid lanseringen.
"Våra nya lagar frigör brittiska företag från onödig byråkrati för att låsa upp nya upptäckter, driva framåt nästa generations teknologi, skapa jobb och stärka vår ekonomi."
Kan räkningen öka byråkratin?
Det finns dock farhågor om att lagstiftningen, långt ifrån att ta bort byråkratin, faktiskt skulle kunna öka den för vissa organisationer. Antonis Patrikios, en partner och global medordförande för datasekretess och cybersäkerhetspraxis på Dentons, förklarar att organisationer som inte vill ändra sitt befintliga GDPR-efterlevnadsramverk inte behöver göra det med den nya lagstiftningen.
"Propositionen förutser att organisationer kan fortsätta att följa EU:s GDPR om de vill, och detta kommer att anses uppfylla kraven i den nya brittiska dataskyddslagen. Så organisationer som inte vill påverkas av förändringarna som införs genom lagförslaget kommer inte behöva göra det”, säger han till ISMS.online.
Men även om det skulle minska den potentiella efterlevnadsbördan, särskilt för dem med europeisk verksamhet, skulle det innebära att dessa organisationer inte kan dra nytta av de mycket omtalade fördelarna med den nya lagstiftningen. De som vill måste effektivt upprätthålla två separata regelverk, ett för sin EU-verksamhet (GDPR) och ett för Storbritannien (DPDI).
Patrikios erkänner lika mycket.
"Av de organisationer som kommer att vilja utnyttja de strömlinjeformade (och sannolikt lättare att följa) reviderade brittiska lagkrav, kommer de som behandlar både brittiska personuppgifter och EU-personuppgifter att behöva tänka lite mer för att överväga omfattningen vilka de vill förlita sig på den reviderade brittiska lagen och hur de i praktiken kommer att hantera samspelet mellan att tillämpa en standard (dvs. EU GDPR) för sina EU-data och en annan standard (dvs. den reviderade brittiska dataskyddslagen) för sina brittiska data, " han säger.
Det finns också ett frågetecken om huruvida att göra efterlevnad enklare ens i organisationers bästa, särskilt om det får oavsiktliga konsekvenser. Avskaffandet av behovet för de flesta lågriskdatabehandlare att föra register är ett sådant fall, enligt Edward Machin, en senior jurist inom Ropes & Grays praxis för data, integritet och cybersäkerhet.
"Även om ingen kommer att klaga på en minskning av pappersarbetet, innebär det att ta bort kravet för de flesta företag att upprätthålla personliga datainventeringar att de kan kämpa för att förstå hur och var de håller data, vilket inte är till någons fördel", hävdar han.
Hur företag kan hantera den extra arbetsbelastningen
Varje ökning av efterlevnadsarbetet för brittiska organisationer kommer vid en hektisk tid. I år förväntas sju delstater, inklusive Colorado, Connecticut, Utah och Virginia, börja tillämpa nya GDPR-inspirerade stadgar. Den extra arbetsbelastningen hotar att överväldiga översvämmade efterlevnadsteam.
"Förutom den brittiska reformen av dataskyddslagstiftningen och processerna för reform av den amerikanska statens integritetslagstiftning, finns det nya integritetslagar och/eller utvecklande vägledning och praxis på viktiga marknader som Kina, Indien och Kanada. Vi bör inte heller glömma sviten av cybersäkerhet (t.ex. NIS 2 och DORA) eller tekniska lagar (som AI Act och DSA) som tar sig igenom EU:s lagstiftningsprocess”, förklarar Patrikios.
"Organisationer bör överväga vilka av dessa nya lagar som gäller för dem och sedan överväga vad den troliga effekten kommer att bli och hur man förbereder sig för det. När du gör det är det viktigt att prata med externa specialistrådgivare eftersom det finns nya bestämmelser, av vilka några inte har prejudikat, så de kan vara svåra att tillämpa i praktiken. Om mer än en ny lag gäller, kanske det inte är enkelt att effektivisera efterlevnadsarbetet, och att få styr på vad andra på marknaden gör kan vara till stor hjälp i praktiken.”
Det är här pålitliga partners som ISMS.online kan hjälpa till genom att tillhandahålla en centraliserad portal där kunderna kan hantera alla sina efterlevnadsinsatser på ett ställe. Ännu bättre, där vissa uppgifter och specifikationer ser likadana ut över olika regelverk, kan ISMS.online säkerställa att team inte slösar tid på att duplicera sina ansträngningar.
