GDPR-uppdatering: Vad datalagen (användning och åtkomst) innebär för compliance-team

En uppdatering av Storbritanniens version av GDPR är länge efterlängtad. Den tidigare konservativa regeringen föreslog den ursprungligen via Lagförslaget om dataskydd och digital information (DPDI)., som inte lyckades gå igenom parlamentet innan ett regeringsskifte. Labours initiativ, Data (Use and Access) Act (DUA Act), har äntligen fått kungligt godkännande efter en uppmärksammad debatt mellan över- och underkammare om AI och upphovsrätt.

Frågan är, hur stort ett lyft det kommer att bli för säkerhets- och efterlevnadsteam att anpassa sig till den nya dataskyddsordning som lagen inför?

Varför behöver vi det?

I likhet med tidigare försök att förbättra och anpassa Storbritanniens regelverk för dataskydd ligger fokus på att undanröja onödig byråkrati utan att äventyra gränsöverskridande dataflöden till EU. För att säkerställa det senare får Storbritannien inte avvika för mycket från GDPR, annars riskerar landet att förlora sin adekvata status som ett "tredjeland".

Med tanke på att den digitala ekonomin bidrog med 154 miljarder pund i bruttoförädlingsvärde (GVA) i 2023, som står för cirka 6.5 ​​% av det totala antalet, vet regeringen att ett radikalt avvikande från GDPR är uteslutet. Det skulle också vara perverst, med tanke på att tillsynsmyndigheten Information Commissioner's Office (ICO) var en viktig bidragsgivare till den ursprungliga förordningen.

Regeringen hävdar att den nya lagen kommer att ge den brittiska ekonomin en skjuts på 10 miljarder pund under det kommande decenniet. Den pekar på en expansion av  "smarta data"-system som öppen bankverksamhet, minska byråkratin för leverantörer av offentliga tjänster, och en ny förtroendemärke för leverantörer av digital identitet som hjälp till att uppnå detta.

Vad är nytt?

Ur ett dataskyddsperspektiv är de största förändringarna dock relaterade till:

Berättigade intressen: DUA-lagen introducerar ”erkända legitima intressen” som en ny, laglig grund för behandling av personuppgifter. Detta gör det möjligt för vissa organisationer att behandla data utan att behöva genomföra en traditionell intressebedömning. Det finns också en lista över behandlingsaktiviteter (inklusive direktmarknadsföring) som fortfarande kräver intressebedömningar, vilket bör ge organisationer mer tydlighet.

Automatiserat beslutsfattande (ADM): Lagen lättar på restriktionerna för ADM i fall där det inte rör sig om särskilda kategoriuppgifter, även om skyddsåtgärder fortfarande behöver tillämpas.

Vetenskaplig forskning: Lagen utvidgar definitionen till all forskning som "rimligen kan beskrivas som vetenskaplig, oavsett om den är offentligt eller privat finansierad och oavsett om den utförs som en kommersiell eller icke-kommersiell verksamhet". Det innebär att privatfinansierad och kommersiell forskning kommer att gynnas av undantag för behandling av data av särskilda kategorier.

Internationella dataöverföringar: Statssekreteraren kommer att kunna godkänna tredjeländer och avgöra om ett destinationslands dataskyddsstandarder är "inte väsentligt lägre" än de i Storbritannien snarare än de befintliga "i huvudsak likvärdiga" skydden.

Data från specialkategorin: Statssekreteraren kommer också att ha nya befogenheter att ändra vad som kan klassificeras som uppgifter av särskild kategori – vilket kräver extra skydd.

Begäran om åtkomst till data från registrerade (SAR): Lagen förtydligar att registrerade endast har rätt till information från en "rimlig och proportionell" sökning utförd av företaget. Organisationer kan nu ha upp till tre månader under vissa omständigheter på sig att svara på SAR. Detta är utformat för att minska den administrativa bördan för företag.

Syftebegränsning: Lagen förtydligar vad som utgör ”vidare behandling”.

Barnens uppgifter: Lagen introducerar ett nytt koncept för ”barns högre skyddsfrågor”, vilket ICO måste utvärdera när den reglerar företags ansvar.

Förordningar om integritet och elektronisk kommunikation (PECR): Nya regler för cookies är utformade för att göra efterlevnaden mindre betungande för företag. Det finns undantag från kravet att inhämta samtycke för vissa icke-nödvändiga cookies (t.ex. insamling av statistiska data för att förbättra en webbplats utseende eller prestanda, anpassa en webbplats till en användares preferenser eller göra förbättringar av tjänster eller en webbplats). Det finns också en lång lista med syften för att använda cookies som anses vara absolut nödvändiga (t.ex. säkerhet och bedrägeriupptäckt), där inget val att avanmäla sig krävs.

ICO:er: ICO kommer att ersättas av informationskommissionen, och kommissionären med en ordförande och verkställande/icke-verkställande ledamöter. Det finns också nya regler för klagomålsförfaranden.

Ropes & Grays rådgivare inom data, integritet och cybersäkerhet, Edward Machin, menar att vissa av åtgärderna borde bidra till att minska byråkratin för många organisationer.

”Även om det är kontroversiellt, kommer lättnaden av kraven kring automatiserat beslutsfattande som involverar icke-känsliga personuppgifter att bidra till att minska efterlevnadsbördan för organisationer som utför denna typ av behandling – särskilt i samband med AI-utveckling och användning”, säger han till ISMS.online.

”Och att förtydliga begreppet 'vidare behandling' generellt, och bredda definitionen av 'vetenskaplig forskning' specifikt, kommer – om inte att minska byråkratin i sig – att göra det möjligt för organisationer att behandla personuppgifter i ett större spektrum av scenarier än vad som är fallet för närvarande.”

Börja med kakor

Avgörande är att juridiska experter inte tror att lagstiftningen kommer att påverka Storbritanniens tillräcklighetsstatus och därmed dataflödena med EU.

”Även om de är omfattande går de förändringar som föreslås i [lagen] inte så långt att de ändrar de underliggande principerna i GDPR som den befintliga ordningen bygger på”, säger Sarah Pearce, partner hos Hunton Andrews Kurth. ”Den nya lagstiftningen bör därför inte påverka Storbritanniens beslut om adekvat skydd när det granskas av Europeiska kommissionen i slutet av året.”

Så, vad bör complianceansvariga titta på först? Ropes & Gray's Machin rekommenderar att man tittar på cookie- och elektronisk marknadsföringspraxis.

”Även om lagen utökar de typer av cookies och syften som anses vara ”absolut nödvändiga”, ökar den också de maximala böterna enligt PECR för att anpassa dem till den brittiska GDPR – dvs. det högsta av 17.5 miljoner pund eller 4 % av den årliga globala omsättningen”, förklarar han.

”Alla organisationer kommer att behöva implementera den nya processen för klagomål från individer, vilka först måste riktas till den personuppgiftsansvarige innan de lämnas in till ICO. Detta kommer att kräva uppdateringar av integritetsmeddelanden och interna processer för att säkerställa att sådana klagomål hanteras på rätt sätt.”

En mer omfattande kartläggningsprocess kommer också att vara nödvändig för att förstå hur lagens bestämmelser kommer att påverka nuvarande processer, tillägger Machin.

”I många fall kommer detta inte att resultera i några betydande förändringar av befintliga program för efterlevnad av GDPR i Storbritannien”, avslutar han.

”Med det sagt kommer de system för datadelning och digital verifiering som lagen ger statssekreteraren befogenhet att införa att innebära en rad nya och förbättrade rättsliga och tekniska krav, och organisationer som vill – eller är skyldiga – att delta i dessa system bör noggrant övervaka utvecklingen på detta område.”