Data Protection and DigitalInformation (No. 2) Bill
8 марта 2023 года недавно созданный Департамент науки, инноваций и технологий (“DSIT”) представил законопроект о защите данных и цифровой информации (№ 2). “Законопроект”, по сути, представляет собой повторное представление предыдущего законопроекта о защите данных и цифровой информации, который был отозван из парламента в тот же день, когда был опубликован новый законопроект. Законопроект, который был одобрен правительством Великобритании как тот, который “сэкономит миллиарды” и “сократит бессмысленную бумажную волокиту”, является последней попыткой Великобритании создать более упорядоченную часть законодательства о защите данных для Великобритании, в то же время “обеспечивая [ing] адекватность данных”. Офис уполномоченного по информации (“ICO”) также приветствовал повторное внесение законопроекта, при этом комиссар заявил, что он “поддержит амбиции [Законопроекта].” Хотя большая часть законопроекта остается такой же, как и в предыдущей версии, мы изложили ключевые положения и заметные поправки ниже.
- Сфера: подпадающая под действие GDPR Великобритании, “персональные данные” i.например, информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, должна быть обработана. Новый законопроект направлен на уточнение сферы применения определения персональных данных, разъясняя, что оно применяется в тех случаях, когда (i) живое лицо идентифицируется контролером или обработчиком “разумными средствами во время обработки”; или (ii) контролер или обработчик “знает или должен знать”, что третья сторона “будет или, вероятно, сможет идентифицировать это лицо в результате обработки его данных”.” Если эта третья сторона вряд ли сможет идентифицировать человека по результатам обработки их данных, информация будет считаться достаточно анонимной и, в свою очередь, выйдет за рамки GDPR Великобритании.
- Законные интересы: Законопроект сохраняет предыдущий список “признанных” законных интересов, для которых не требуется проверка баланса, который включает обработку данных в целях национальной безопасности и предупреждения преступности. Примеры того, в чем может быть законный интерес (но для которого все равно следует провести проверку баланса), были перенесены из описаний в основной текст GDPR i в Великобритании.например, для прямого маркетинга, внутригрупповых переводов и кибербезопасности. Пояснительные примечания подтверждают, что любая законная коммерческая деятельность может представлять законный интерес при условии, что обработка необходима и проводится проверка баланса.
- ROPA: Новый законопроект обещает сократить “ненужную бумажную волокиту” путем дальнейшего сужения требований к ведению записей об обработке (“ROPAs”) до случаев, когда действия по обработке “могут привести к высокому риску для прав и свобод субъектов данных”. С точки зрения подотчетности (в том числе для целей идентификации потоков данных), компании могут захотеть продолжать поддерживать более широкий ROPA. ICO будет обязано опубликовать список примеров такой обработки с высоким риском.
- Международные переводы: Правительство Великобритании во многом стремилось содействовать дальнейшим неограниченным переводам между различными странами, включая США.Помимо других, в Великобритании и Сингапуре. Неудивительно, что в новом законопроекте сохраняется критерий, согласно которому международная передача персональных данных может быть одобрена, если в стране, о которой идет речь, стандарт защиты данных “не существенно ниже”, чем в GDPR Великобритании. Это отходит от концепции “адекватности” в GDPR ЕС и придает вес идее о том, что разные страны могут поддерживать стандарты защиты данных разными, но одинаково эффективными способами.
- Автоматизированное принятие решений: В предыдущей редакции законопроекта решение, основанное исключительно на автоматизированном принятии решений, было определено как решение, не требующее вмешательства человека. В новом законопроекте говорится, что при определении того, нет ли вмешательства человека, компания должна “учитывать, среди прочего, степень, в которой решение принимается с помощью профилирования”.
- DPO и DPRS: Новый законопроект устраняет требование к организациям назначать сотрудника по защите данных (“DPO”), хотя в ограниченных обстоятельствах, например, когда компания занимается обработкой данных с высоким риском, должно быть назначено “старшее ответственное лицо”, которое будет отвечать за риски защиты данных в организациях или делегировать эту задачу соответствующим специалистам. Важно отметить, что статья 27 GDPR Великобритании, в которой говорится, что контроллеры или обработчики, подпадающие под действие GDPR Великобритании, но не базирующиеся в Великобритании, должны назначить представителя по защите данных (“DPR”), подлежит полному удалению. Это потенциально может быть полезно для некоторых международных организаций, которым приходится назначать как DPR ЕС, так и дополнительный DPR Великобритании.
- Научные исследования: Концепция “целей научных исследований” была пересмотрена в соответствии с новым законопроектом, чтобы включить любую “обработку в целях любого исследования, которое можно обоснованно охарактеризовать как научное, финансируемое государством или частным образом и осуществляемое в качестве коммерческой или некоммерческой деятельности”, т. е.e., чтобы прямо включить в сферу коммерческой деятельности. Новый законопроект также приводит его положения в соответствие с существующими рекомендациями ICO о том, что общественное здравоохранение является “научным исследованием” только в том случае, если оно отвечает “общественным интересам”. Спонсоры научных исследований не будут обязаны предоставлять уведомление субъектам данных (например, участникам клинических испытаний), когда персональные данные были собраны непосредственно от субъекта данных, и предоставление такого уведомления было бы “невозможно или потребовало бы несоразмерных усилий”.
- Права субъекта данных: Согласно предыдущей редакции законопроекта, новый законопроект сохраняет новый порог для отклонения запросов субъекта данных, когда запрос является “досадным или чрезмерным“, и устранит ”явно необоснованный или чрезмерный” порог, который в настоящее время существует в соответствии с GDPR ЕС. Новый порог потенциально расширяет обстоятельства, при которых запрос может быть отклонен, поскольку правительство надеется, что запросы, которые на самом деле не направлены на обеспечение прав на неприкосновенность частной жизни, теперь могут быть отклонены как “досадные”.” Однако неясно, будет ли ICO интерпретировать новый тест таким более широким образом, и снизится ли в результате количество запросов.
- Cookies: В новом законопроекте содержится список действий, которые он считает малорисковыми и для которых согласие не требуется. Такие действия включают в себя сбор информации с помощью файлов cookie для улучшения обслуживания или отражения пользовательских предпочтений. Законопроект также направлен на приведение в соответствие штрафов за неудобные звонки и текстовые сообщения в соответствии с Правилами конфиденциальности и электронных коммуникаций (“PECR”) с теми, которые предусмотрены в GDPR Великобритании, т. е. более 4% от глобального оборота компании или 17,5 млн. фунтов стерлингов.
- Управление ICO: Ни одно из предложенных изменений в структуре управления ICO не изменилось в соответствии с этой версией законопроекта, при этом положения по-прежнему предполагают, что ICO переходит от руководства одним уполномоченным по информации к созданию совета под председательством главного исполнительного директора. Однако неясно, были ли учтены предыдущие опасения ICO относительно независимости и беспристрастности такого совета.
Что дальше?
Новый законопроект находится на ранних стадиях законодательного процесса и только прошел первое чтение в парламенте. Хотя еще не объявлено, ожидается, что второе чтение в Палате общин начнется в ближайшие несколько месяцев. Тем временем предприятиям следует попытаться понять, будут ли какие-либо из новых изменений применяться к ним и сможет ли это каким-либо существенным образом упростить обработку их данных. Предприятиям также необходимо будет следить за правилами, которые будут вытекать из законопроекта, поскольку они, скорее всего, послужат практическим руководством. Предприятиям, которые уже соблюдают GDPR ЕС, следует утешаться тем, что соблюдения действующего режима защиты данных в Великобритании, скорее всего, будет достаточно для соблюдения нового законопроекта. Несмотря на изменения в законодательстве, новые предложения не кажутся более обременительными, чем GDPR.