Dana 8. ožujka 2023. Odjel za znanost, informaciju i tehnologiju Ujedinjenog Kraljevstva (DSIT) objavio je Nacrt zakona o zaštiti podataka i digitalnih informacija (br. 2) (DPDI 2) kojim se ažuriraju vladine reforme okvira zaštite podataka Ujedinjenog Kraljevstva. Prethodni prijedlog zakona o zaštiti podataka i digitalnih informacija je povučen.
Kao i njegov prethodnik, DPDI prijedlog zakona (br. 2) namijenjen je ažuriranju i pojednostavljenju okvira zaštite podataka u Ujedinjenom Kraljevstvu s namjerom smanjenja tereta i povezanih troškova za organizacije uz zadržavanje visokog standarda zaštite podataka.
Utvrđene su mjere za smanjenje administrativnih troškova i troškova usklađivanja za poslovanje. Cilj reforme je učiniti zakonodavstvo o zaštiti podataka jednostavnijim za razumijevanje i provedbu u poduzećima. Vlada izvješćuje da će britanske tvrtke predloženim reformama uštedjeti 4,7 milijardi funti.
DPDI 2:
Zadržava promjenu definicije osobnih podataka uvedenu u izvornom nacrtu koja je precizirala da će se smatrati da se informacije odnose samo na pojedinca koji se može identificirati (i) ako je pojedinca moguće identificirati od strane voditelja obrade ili izvršitelja obrade razumnim sredstvima u vrijeme obrade; ili (ii) kada voditelj obrade ili izvršitelj obrade zna ili bi razumno trebao znati da će druga osoba dobiti ili je vjerojatno da će dobiti podatke kao rezultat obrade i može ili će vjerojatno moći identificirati tu osobu razumnim sredstvima u vrijeme obrade.
Proširuje okolnosti u kojima se obrada u istraživačke svrhe može poduzeti, pružajući širi mehanizam pristanka i izuzeće od zahtjeva poštene obrade. Komercijalne aktivnosti mogu potpasti pod znanstvenoistraživačku definiciju.
Omogućuje daljnje specifične aktivnosti ili interese koji se mogu smatrati legitimnim interesom voditelja obrade podataka. Uz one navedene u izvornom nacrtu, prijedlog zakona uključuje izravni marketing, prijenos osobnih podataka unutar grupe za interne administrativne svrhe i osiguravanje sigurnosti mrežnih i informacijskih sustava. Ovi primjeri su istaknuti kao neiscrpni i naznačeno je da mogu postojati i druge legitimne aktivnosti, pod uvjetom da se provede procjena legitimnih interesa.
Daljnje izmjene i dopune prijedloga su u vezi s evidencijama o aktivnostima obrade. Predlaže se da evidencija bude potrebna samo ako je vjerojatno da će obrada dovesti do visokog rizika za prava i slobode pojedinaca.
Zadržava izmjene mogućnosti voditelja obrade da odbije ispuniti zahtjeve ispitanika (ili naplati naknadu za obradu takvih zahtjeva) u okolnostima u kojima je to "uznemirujuće ili pretjerano", zamjenjujući postojeći prag "očigledno neutemeljenih" ili "pretjeranih" zahtjeva. Zahtjevi se mogu smatrati "uznemirujućim ili pretjeranim" ako im je namjera uzrokovati zlouporabu postupka ili ako su upućeni u lošoj namjeri.
Zadržava reformu postojećeg procesa procjene "adekvatnosti" i mijenja ga u "test zaštite podataka" koji se usredotočuje na donošenje odluka i ishode temeljene na riziku. Test će biti zadovoljen ako standard zaštite podataka "nije materijalno niži" od onog predviđenog zakonom Ujedinjenog Kraljevstva.
Zadržava prijedloge zamjene ureda „Povjerenika za informiranje” novim tijelom „Povjerenstvom za informiranje”. Povjerenstvo će se sastojati od članova koje je imenovao državni tajnik ili bilo kojih takvih članova koje su imenovali oni koji su već u Povjerenstvu. Također zadržava nove mjere za jačanje uloge Povjerenika za informiranje, uključujući novi glavni cilj i dužnosti. Povjerenik će biti dužan objaviti strateški dokument usmjeren prema budućnosti za obavljanje svojih funkcija i uzeti u obzir izjavu o strateškim prioritetima koju je objavio državni tajnik.
Postojeći SCC ostat će na snazi. DPDI 2 pojašnjava da će postojeće mjere zaštite za međunarodne prijenose osobnih podataka i dalje biti zakonite nakon što novi zakon stupi na snagu.
Tvrtke koje su već usklađene s GDPR-om Ujedinjenog Kraljevstva neće morati napraviti nikakve promjene kao rezultat ovog zakona. Umjesto toga, DPDI 2 donosi određena pojašnjenja i posebna izdvajanja te pokušava riješiti neke od problema koji se mogu pojaviti, na temelju petogodišnjeg iskustva s GDPR-om u praksi.
Što se tiče vremenskih okvira, sada se čini vjerojatnim da će reforma postojećeg okvira zaštite podataka stupiti na snagu tijekom ove godine. U praktičnom smislu, to znači da organizacije koje posluju u Ujedinjenom Kraljevstvu ili ciljaju na tržište Ujedinjenog Kraljevstva imaju nekoliko mjeseci da razmotre svoju strategiju usklađenosti.
