1 січня 2021 року, після закінчення перехідного періоду Brexit, до законів Великобританії про захист даних було внесено зміни. Пішли в минуле Загальні правила захисту даних ЄС і з’явилася британська версія GDPR.

Було внесено зміни і до Закону про захист даних 2018 року. Але здебільшого вони мали технічний характер. Права та обов’язки в основному залишилися колишніми. До цього моменту.

Уряд Великобританії нещодавно дав кілька переконливих натяків на те, що в країні можуть відбутися суттєві зміни. У коментарі для Monetary Occasions державний секретар з цифрових технологій, культури, ЗМІ та спорту Олівер Дауден виступив за новий підхід до захисту даних у Великій Британії. Він хоче, щоб захист даних був більше зосереджений на позитивних перевагах використання даних, а не розглядав їх виключно як ризики та шкоду. А в промові, опублікованій Sky Information, цитується Дауден, який сказав, що Великобританія повинна мати «більш орієнтований на зростання, більш орієнтований на державну політику підхід» до захисту даних.

Що це означає на практиці? Не зовсім зрозуміло, як виглядатиме підхід, орієнтований на зростання, хоча тон коментарів Даудена безперечно припускає, що уряд прагне знизити деякі з найбільш обтяжливих вимог, які закон про захист даних накладає на бізнес. Це може означати скорочення або навіть повне скасування деяких зобов’язань щодо підзвітності, таких як вимоги щодо призначення працівників захисту даних, ведення докладних записів про обробку даних та проведення оцінок впливу на захист даних. Хоча немає сумнівів, що це може бути коштовним для деяких підприємств, інші підприємства вже звільнені від цих вимог. Інші потенційні зміни можуть включати розширення обставин, за яких можуть використовуватися персональні дані, звуження деяких індивідуальних прав та розширення винятків із правил, щоб забезпечити більш новаторське використання даних.

Тут є здібності. Наші закони про захист даних далекі від досконалості, і багато чого можна було б покращити. Зобов’язання надто складні та важкі для тлумачення, мова носить технічний характер, а закони розуміються дуже багатьма неправильно. Недаремно Уповноваженому за інформацією потрібно було опублікувати серію блогів про «міфи GDPR», намагаючись боротися з фальшивими новинами про захист даних, які продовжують процвітати через це нерозуміння.

Одним із варіантів може бути повна відмова малих та середніх підприємств від дотримання певних зобов’язань щодо захисту даних. Хоча на перший погляд це може здатися привабливим, дозволяючи новим компаніям, що зростають, впроваджувати інновації, в довгостроковій перспективі, можливо, буде більш витратно (не кажучи вже про набагато більш ризикований) прив’язувати відповідність вимогам захисту даних до зрілого бізнесу, а не вбудовувати його з самого початку. .

Тому уряду потрібно буде діяти дуже обережно при внесенні будь-яких змін. Хоч би які поправки були запропоновані, вони не повинні ставити під загрозу намір Європейської комісії надати Великобританії рішення про «адекватність», яке необхідне для продовження вільного обміну даними між ЄС та Великобританією, що має вирішальне значення для багатьох підприємств у Великобританії. . З цієї причини малоймовірно, що уряд радикально змінить права окремих осіб, такі як право на отримання інформації про те, як обробляються їхні дані, та право доступу, або режим правозастосування, яким нині керує Комісар з інформації. Будь-яке серйозне послаблення правил експорту даних може підірвати перспективи прийняття рішення про адекватність.

Ще один потенційний ризик внесення оптових змін полягає в тому, що британські компанії, які працюють у Європейському союзі або продають клієнтам у Європі, як і раніше, повинні дотримуватись GDPR ЄС. В даний час британське законодавство дуже тісно пов’язане з GDPR ЄС, тому ця вимога дотримання двох різних правових режимів насправді є відносно простою. Однак, якщо уряд Великобританії вирішить внести суттєві зміни, великій кількості підприємств потрібно буде адаптувати свою діяльність, щоб відповідати законам ЄС та Великобританії про захист даних (що потенційно сильно відрізняються). Швидше за все, це збільшить, а не зменшить тягар дотримання вимог.

У грудневій колонці я зробив кілька прогнозів про те, що 2021 рік може принести світові захисту даних. У світлі цих подій здається, що я мав рацію, згадавши про можливість змін у законах Великобританії про захист даних, хоча, можливо, я був неправий, кажучи «не чекайте значних змін». Підприємства з цікавістю чекатимуть на детальні пропозиції уряду.


Джон Белчер

Джон Белчер – фахівець із захисту даних та управління інформацією в Excello Regulation.