The Ochrona danych i informacja cyfrowa (DPDI) Ustawa jest pierwszym ważnym aktem prawnym dotyczącym ochrony danych od czasu, gdy Wielka Brytania opuściła Unię Europejską (UE) cztery lata temu. Zamiast całkowicie zastąpić istniejące przepisy, ustawa DPDI zmienia istniejący w Wielkiej Brytanii system ochrony danych.
Przez wiele lat system ochrony danych w Wielkiej Brytanii był dostosowany do systemu ochrony danych w Unii Europejskiej. W roku 2016 Ogólne rozporządzenie o ochronie danych (RODO), co stanowiło poważną zmianę w polityce ochrony danych Unii Europejskiej, która nie była aktualizowana od prawie dwóch dekad. RODO zostało wprowadzone do prawa brytyjskiego jako szereg polityk ochrony danych, w szczególności ustawy o ochronie danych z 2018 r. RODO stało się de facto standardem ochrony danych na całym świecie.
Opuszczenie UE oznaczało, że Wielka Brytania nie była już częścią unijnego systemu ochrony danych. Ponieważ jednak brytyjskie przepisy dotyczące ochrony danych są zgodne z przepisami UE, Wielka Brytania mogła łatwo uzyskać umowę w sprawie wystarczalności danych, która jest niezbędna, aby organizacje z siedzibą w UE mogły swobodnie udostępniać dane podmiotom spoza UE.
Minęły dwa lata od pierwszego skierowania projektu ustawy DPDI do parlamentu w 2022 r. i obecnie znajduje się on na etapie komisji w Izbie Lordów.
Wszelkie zmiany w brytyjskiej polityce ochrony danych zostaną zbadane przez Komisję Europejską w celu potwierdzenia, czy umowa o wystarczalności danych pozostaje ważna. UE już to zrobiła kwestionowany Wielkiej Brytanii w związku z inwazyjnym charakterem Ustawa o uprawnieniach dochodzeniowych z 2016 r.
Ustawa DPDI wprowadza ramy regulacyjne dotyczące identyfikacji online, zwane usługami weryfikacji cyfrowej, ale bez żadnych wymogów prawnych dotyczących egzekwowania identyfikatorów internetowych. Chociaż podstawowe zasady ochrony danych Wielkiej Brytanii pozostają w przybliżeniu zgodne z politykami UE, DPDI rozluźnia niektóre elementy regulacyjne. Ma to jednak zastosowanie tylko do organizacji, które nie działają na terenie UE.
„Jeśli masz firmę, która prowadzi również działalność w UE, masz obecnie dwa systemy, które są takie same, ale zaczynają się od siebie różnić w niektórych obszarach” – mówi Daniel Tozer, partner specjalizujący się w prawo dotyczące technologii i danych Prawo Keystone’a.
Jedną z proponowanych zmian jest usunięcie wymogu przeprowadzania ocen skutków dla ochrony danych. Zamiast tego od organizacji będzie się oczekiwać przeprowadzenia ocen pod kątem przetwarzania obarczonego wysokim ryzykiem.
„Nadal konieczne będzie przeprowadzanie ocen, gdy przetwarzanie danych wiąże się z wysokim ryzykiem, ale będzie większa elastyczność co do sposobu ich przeprowadzania. Nie będziesz musiał przestrzegać określonych szablonów ani wymagań” – mówi Anthony Lee, partner specjalizujący się w technologiach informatycznych w firmie Gunnercooke. „Wiele firm uzna to za dobrą rzecz, ponieważ zmniejszy obciążenie związane z przestrzeganiem przepisów”.
Jedną z głównych zmian jest to, że ustawa DPDI eliminuje potrzebę powołania inspektora ochrony danych (DPO). Zamiast tego obowiązki DPO można przypisać odpowiedzialnej osobie wyższego szczebla, takiej jak dyrektor ds. informacji (CIO) lub dyrektor ds. marketingu (CMO).
Możliwość usunięcia DPO ma zarówno pozytywne, jak i negatywne skutki. Obecnie IOD jest niezależną osobą w zespole wykonawczym odpowiedzialną za zapewnienie przestrzegania odpowiednich polityk ochrony danych. Jednak w większości przypadków organy ochrony danych będą chciały porozmawiać z osobami odpowiedzialnymi za przetwarzanie danych, takimi jak wspomniany dyrektor ds. informatyki, więc łączenie ról ma sens.
„Założeniem osoby odpowiedzialnej wyższego szczebla jest to, że powinna to być osoba podejmująca decyzje, na przykład dotyczące sposobu korzystania z listy marketingowej lub jakich zbiorów danych używać do celów analitycznych” – mówi Tozer. „Są to ludzie, którzy mówią tak lub nie w tych sprawach, więc można zrozumieć, dlaczego z tej pozycji są osobą, z którą ICO chce rozmawiać”.
Istnieje jednak również argument, że łączenie ról DPO z rolami CIO lub CMO może prowadzić do konfliktu interesów. Nawet w przypadku delegowania obowiązków osoby odpowiedzialnej wyższego szczebla istniałby konflikt pomiędzy chęcią maksymalizacji użyteczności danych a zapewnieniem pełnego przestrzegania polityk ochrony danych.
DPDI rozluźniło niektóre zasady ochrony danych dotyczące automatycznego przetwarzania danych bez zgody osoby, której dane dotyczą, pod warunkiem, że nie ma to znaczącego wpływu na samą osobę, której dane dotyczą.
Ustawa DPDI zastąpiłaby również Biuro Komisarza ds. Informacji (ICO) z Komisją Informacyjną. Choć organ publiczny utraciłby część swojej niezależności i neutralności w związku z wyznaczaniem głównego komisarza przez sekretarza stanu, miałby jednocześnie zwiększone uprawnienia i mógłby nakładać większe kary za naruszenia ochrony danych i nieprzestrzeganie przepisów o ochronie danych.
W obecnym projekcie ustawy DPDI większość sformułowań dotyczących zmian nie jest tak jasna, jak mogłaby być. Użycie subiektywnej terminologii pozostawia pewną niejasność w wielu obszarach co do tego, co byłoby, a co nie byłoby dopuszczalne w odniesieniu do przetwarzania danych w Wielkiej Brytanii.
„Możemy spodziewać się, że sprawy testowe szybko pojawią się w brytyjskich sądach. ICO prawdopodobnie będzie szczególnie zainteresowane zautomatyzowanym podejmowaniem decyzji, ponieważ wiele firm korzysta z jakiejś formy zautomatyzowanego podejmowania decyzji w swoich praktykach” – mówi Tozer.
Czy ustawa DPDI będzie spełniać standardy UE?
Zmiany, które ustawa DPDI wprowadzi do brytyjskiego systemu ochrony danych, będą miały wpływ jedynie na organizacje działające w tym kraju. Jeśli organizacja działa w kraju europejskim, nadal będzie się od niej oczekiwać przestrzegania RODO. Ponieważ wiele organizacji z siedzibą w Wielkiej Brytanii działa w krajach europejskich, ustawodawstwo to będzie miało znikomy wpływ na biznes.
„Jeśli firma prowadzi działalność w Wielkiej Brytanii i Europie, prawdopodobnie rozsądne będzie dalsze ogólne przestrzeganie RODO zamiast stosowania jednego zestawu procedur dla Wielkiej Brytanii i innego dla Europy” – mówi Lee.
Dodatkowe ryzyko polega na tym, że jeśli Komisja Europejska uzna, że brytyjski system ochrony danych został zauważalnie osłabiony przez ustawę DPDI, Wielka Brytania może utracić swoją umowę w sprawie wystarczalności danych. Gdyby tak się stało, każda firma działająca w UE, która musi udostępniać dane firmie w Wielkiej Brytanii, potrzebowałaby umownych umów o udostępnianiu danych.
„Jeśli ustawa w obecnej formie zostanie przyjęta, Wielka Brytania może potencjalnie utracić swój status adekwatności, ponieważ Komisja Europejska uważa, że nowe prawo nie jest zasadniczo równoważne z RODO lub może pojawić się wyzwanie typu Schrems, – mówi Lee.
„Jeśli tak się stanie, przenoszenie danych z takich krajów jak Francja czy Niemcy do Wielkiej Brytanii będzie musiało odbywać się w drodze standardowych klauzul umownych lub innej formy ram adekwatności ze wszystkim, co się z tym wiąże. Budzi to obawy i może się okazać, że firmy w krajach europejskich będą raczej mniej skłonne do zezwalania na przenoszenie swoich danych do Wielkiej Brytanii z obawy, że nie spełnią wymogów”.
Jeżeli Zjednoczone Królestwo rzeczywiście utraci umowę w sprawie adekwatności danych, doprowadziłoby to do wzrostu kosztów dla przedsiębiorstw dostarczających dane i usługi do Wielkiej Brytanii, a nawet mogłoby skutkować odmową prowadzenia działalności na terenie kraju ze względu na oczekiwane od nich zwiększone zobowiązania prawne i umowne.
„ Fundacja Nowej Ekonomii ma szacowany że utrata decyzji stwierdzającej odpowiedni stopień ochrony będzie kosztować od 1 miliarda do 1,6 miliarda funtów samych opłat prawnych” – mówi Mariano delli Santi, specjalista ds. prawnych i politycznych w firmie Grupa Otwartych Praw. „To oznaczałoby, że prawnik dokonałby przeglądu twoich umów i zmienił klauzule”.
Ustawa DPDI przechodzi obecnie przez parlament, ale nie gwarantuje się jej wprowadzenia do prawa brytyjskiego. W ostatnim czasie polityka obecnej administracji skupiła się na czerpaniu korzyści z brexitu – poprzez rozluźnienie wymogów regulacyjnych. Jednak biorąc pod uwagę zbliżającą się przerwę letnią w lipcu i wybory powszechne spodziewane przed końcem roku, nie jest to bynajmniej gwarantowane.
Jeżeli projekt ustawy DPDI nie uzyska zgody królewskiej do czasu wyborów powszechnych, może nie wejść w życie. W brytyjskich sondażach prowadzi obecnie Partia Pracy, a jej polityka różni się od Partii Konserwatywnej. Projekt ustawy DPDI może nie być kontynuowany lub przyjąć inną formę.
Ustawa DPDI oferuje pewne ograniczone korzyści regulacyjne organizacjom, zwłaszcza start-upom oraz małym i średnim przedsiębiorstwom (MŚP), działającym wyłącznie w Wielkiej Brytanii. Jednak każda firma rozszerzająca swoją działalność na UE będzie nadal musiała zaostrzyć swoją politykę ochrony danych, aby spełnić standardy RODO.
„Istnieje realne ryzyko, że projekt ustawy nie trafi do ksiąg statutowych przed najbliższymi wyborami powszechnymi. Jeśli po drugiej stronie wyborów będziemy mieli administrację Partii Pracy, co wydaje się coraz bardziej prawdopodobne, może ona porzucić projekt ustawy” – mówi Lee.
„W tych okolicznościach prawdopodobnie rozsądniejsze będzie dalsze przestrzeganie obecnego systemu, zwłaszcza jeśli Twoja firma ma międzynarodowy charakter, zamiast inwestować czas i zasoby w przygotowanie się do wprowadzenia przepisów, które mogą nigdy nie ujrzeć światła dziennego. dzień.”