Niedawno rząd Zjednoczonego Królestwa przedstawił projekt nowej ustawy o ochronie danych osobowych. Rząd brytyjski, po tym jak UK opuściło Unię Europejską, podejmuje działania mające na celu uchylenie lub zmianę dużej części wciąż obowiązujących przepisów unijnych i zwiększenie ich przejrzystości oraz przyjazności biznesowi. Data Protection and Digital Information (No. 2) Bill to ustawa zmieniająca część przepisów obowiązującej Data Protection Act z 2018 r.
Cele ustawy
Ustawa została przedstawiona po raz pierwszy zeszłego lata jako sposób na obniżenie kosztów ponoszonych przez brytyjskie firmy poprzez zmniejszenie obciążeń związanych z przestrzeganiem przepisów. Następnie została zmodyfikowana po konsultacjach z przedsiębiorstwami i zainteresowanymi organizacjami zajmującymi się ochroną danych. Rząd brytyjski oszacował, że reforma może pomóc zaoszczędzić firmom ponad 4 miliardy funtów (4,73 miliarda dolarów) w ciągu 10 lat.
Zgoda na przetwarzanie danych do celów naukowych
Przepisy ustawy dotyczą kwestii badań naukowych i uzyskiwania zgody na przetwarzanie danych osobowych w tych celach. Nowa ustawa wprowadza definicje badań naukowych: są to „wszelkie badania, które można rozsądnie określić jako naukowe, niezależnie od tego, czy są finansowane ze środków publicznych, czy prywatnych i czy są prowadzone jako działalność komercyjna lub niekomercyjna”. Przepisy wskazują sytuacje, gdy zgoda na przetwarzanie danych osobowych w celach naukowych, jest tożsama z udzieleniem zgody wedle RODO. Widać, więc że podejmowana jest inicjatywa w celu ułatwienia w korzystaniu z danych osobowych przy badaniach naukowych.
Uzasadniony interes
Kolejną nowością, którą wprowadza ustawa, jest możliwość zastosowania prawnie uzasadnionego interesu jako podstawy przetwarzania danych, bez konieczności przeprowadzania testu równowagi. Może się to odbyć w przypadku, gdy dany uzasadniony interes jest powszechnie „uznany”. Te „uznane” uzasadnione interesy obejmują cele przetwarzania, takie jak bezpieczeństwo narodowe, bezpieczeństwo publiczne, obronność, sytuacje kryzysowe, zapobieganie przestępczości, ochrona i zaangażowanie demokratyczne. Ponadto wprowadzono listę przykładowych sytuacji, gdzie można posłużyć uzasadnionym interesem jako podstawą przetwarzania (tu trzeba jednak przeprowadzić test równowagi). Te sytuacje to: marketing bezpośredni, przekazywanie danych wewnątrz grupy kapitałowej dla celów administracyjnych, bezpieczeństwo sieci i systemów informatycznych.
Rejestr przetwarzania
Kolejnym „poluźnieniem” przepisów jest zmiana, zgodnie z którą administrator i podmiot przetwarzający będą zwolnieni z obowiązku prowadzenia rejestrów przetwarzania, jeśli nie są to operacje przetwarzania, które biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania, mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ma to odzwierciedlać rzeczywistość, gdzie organizacje skupiają się na ochronie danych osobowych w procesach przetwarzania o wysokim ryzyku.
Marketing bezpośredni
Nowe przepisy obejmują również zagadnienie marketingu bezpośredniego. Wprowadzone zostało rozwiązanie, gdzie marketing bezpośredni dotyczący wspierania charytatywnego, politycznego lub innego niekomercyjnego celu, jest możliwy w sytuacji, w której odbiorca wyraził zainteresowanie tym celem oraz miał możliwość skorzystania z prostej opcji odmowy i nie zrobił tego. Ponadto dostawcy sieci lub usług łączności elektronicznej będą obowiązani do zgłaszania do ICO (brytyjski organ nadzoru) wszelkich przypadków, w których podejrzewają naruszenie przepisów o marketingu bezpośrednim. ICO opublikuje wytyczne, na jakich podstawach będzie stwierdzane to podejrzenie.
Pliki cookies
W odniesieniu do plików cookies zaproponowano, aby zgoda na nie była wymagana w przypadku, gdy są umieszczone:
- w celu gromadzenia informacji statystycznych w celu wprowadzania usprawnień;
- do instalacji niezbędnych aktualizacji zabezpieczeń;
- w celu lokalizowania osoby w sytuacji zagrożenia życia.
Transfery danych
Jeśli chodzi o transfery danych poza UK, przepisy ustawy wprowadzają zmiany co do badania adekwatności zabezpieczeń w kraju trzecim oraz przeprowadzania oceny wpływu transferu danych. Test poziomu ochrony danych będzie polegał na zbadaniu czy konkretne przepisy krajowe zapewniają ochronę, która jest „znacząco niższa” niż standard ochrony danych w UK.
Pobierz bezpłatny poradnik:
„Transfer danych osobowych do państwa trzeciego – to nie takie trudne, ale trzeba mieć się na baczności”
Wystarczy zapisać się do newslettera GDPR.pl
I co dalej?
Proponowane zmiany obniżają standard ochrony danych osobowych, który obowiązywał wcześniej w Wielkiej Brytanii, przy czym trzeba zaznaczyć, że projekt może jeszcze ulec zmianie podczas prac w parlamencie. Czy ustawa odniesie zakładane cele i przyniesie ulgę administratorom i podmiotom przetwarzającym, będzie można ocenić dopiero po paru latach od jej wprowadzenia. Dodatkowo, co jest obecnie podnoszone, organizacje prowadzące działalność jednocześnie w UK i UE, będą musiały pozostać zgodne z obydwoma standardami prawnymi, co może wpłynąć negatywnie na koszty takiej działalności.
Źródła:
https://publications.parliament.uk/pa/bills/cbill/58-03/0265/220265.pdf