Правительство Великобритании внедряет реформу защиты данных

Регистрация компании в Великобритании претерпела определенных изменений после Brexit. Одним из таких изменений стало введение правительством Великобритании законопроекта по защите данных. Ранее GDPR (Общие правила защиты данных) распространялись на фирмы, ведущие деятельность в государствах-членах ЕС, странах Европейской экономической зоны, а также на организации за пределами ЕС, имеющие офисы в странах Евросоюза или собирающие, хранящие и обрабатывающие персональные данные субъектов данных ЕС. После того как Великобритания вышла из ЕС, правительство внедрило национальную стратегию в области защиты данных — Закон о защите данных (DPA) 2018 г., который является реализацией GDPR.

В сентябре прошлого года правительство опубликовало консультацию с просьбой ответить на предлагаемые изменения в действующем режиме защиты данных в Великобритании (UK GDPR), результаты которой были опубликованы в начале этого года. UK GDPR, как и Общие правила защиты данных, предоставляет сотрудникам право на доступ к любым персональным данным, которые хранятся у их работодателя. Это право известно как запрос на доступ субъекта данных (DSAR) и все чаще используется в Великобритании. В этой статье представлены актуальные изменения в требованиях защиты данных в Великобритании.

Реформа защиты данных в UK

17 июня 2022 года британское правительство выпустило долгожданный ответ на консультацию по реформе режима защиты данных в Великобритании. Реформирование режима защиты данных в этой стране было проведено с целью стимулирования национальной экономики. В целом, реформы пересматривают существующий режим соблюдения требований защиты данных в Великобритании, который был основан на законодательстве ЕС. Вместо этого предложения носят постепенный характер и в значительной степени изменяют обязательства, с которыми организации будут сталкиваться в рамках нового режима. Эти реформы в значительной степени ориентированы на бизнес, их общая цель — уменьшить бремя соблюдения требований, с которым сталкиваются предприятия любого размера, и облегчить использование (и повторное использование) данных для исследований.

Предложения по изменению требований, вытекающих из существующего законодательства о защите данных

Новые требования защиты персональных данных в Великобритании можно резюмировать следующим образом:

• Введение нового требования по внедрению «программ управления конфиденциальностью». Такие программы должны быть адаптированы к размеру организаций и рискам, связанным с их обработкой. В рамках «программ управления конфиденциальностью» существующие требования по назначению сотрудника по защите данных (DPO), проведению оценок воздействия на защиту данных (DPIA) и ведению записей об обработке данных (ROPA) заменены более гибкими и адаптированными требованиями, такими как меры по назначению подходящего «старшего лица», ответственного за программу управления конфиденциальностью, внедрение «инструментов оценки рисков» и ведение «кадастров персональных данных». Существующие DPO, DPIA и ROPA могут оставаться в силе и могут продолжать использоваться для демонстрации соответствия.
• Замена обязательного требования консультироваться с Управлением уполномоченного по информации (ICO), когда организация определила деятельность по обработке данных, которая представляет неоспоримо высокие риски, режимом добровольных консультаций.
• Устранение необходимости для веб-сайтов отображать баннеры файлов cookie для резидентов Великобритании, и разрешать размещение файлов cookie и аналогичных технологий на устройстве пользователя без явного согласия для более широкого круга целей. Правительство также заявило о своем намерении перейти к модели отказа от использования файлов cookie, как только министры будут удовлетворены тем, что пользователи имеют доступ к технологиям, которые помогают им эффективно управлять своими предпочтениями в отношении того, как их данные обрабатываются, за некоторыми исключениями.
• Введение квалифицированных исключений из критерия сбалансированности, необходимого при использовании законных интересов в качестве основы для обработки (т.е. при наличии явных общественных интересов для осуществления обработки).
• Изменение порога, позволяющего организациям отказать в ответе на запрос доступа субъекта данных, от «явно необоснованных или чрезмерных» запросов до «досадных или чрезмерных» запросов в соответствии с режимом свободы информации.
• Внедрение реформ для обеспечения того, чтобы экспортеры данных могли действовать «прагматично и пропорционально» при использовании альтернативных механизмов передачи данных (например, стандартных договорных положений).

Новая реформа защиты данных в Великобритании в целом направлена на снижение нагрузки на хранителей данных и, в меньшей степени, на обработчиков данных при соблюдении законодательства UK GDPR. Эти предложения, ориентированные на бизнес, вызвали некие опасения по поводу того, что они могут оказать негативное воздействие на решение Европейской комиссии о свободном потоке персональных данных из ЕС в Великобританию. Однако британское правительство отмечает, что решения ЕС не требуют, чтобы UK имело те же правила, что и законодательство Евросоюза, и утверждает, что предлагаемая реформа законодательства о защите данных Великобритании совместима с такими решениями.

Консультации по GDPR в Великобритании: предложения по продвижению исследований/инноваций

Несколько предложений также предназначены для стимулирования исследований и инноваций:

• Уточнение того, что представляет собой обработка данных в исследовательских целях.
• Введение более широкого понятия согласия как правовой основы для научных исследований.
• Введение квалифицированного освобождения от требования информировать/повторно связываться с субъектами данных в соответствии со ст. 13(3) UK GDPR при повторном использовании персональных данных в исследовательских целях.
• Разъяснение того, как данные могут быть повторно использованы (например, обстоятельства, которые представляют собой дальнейшую обработку, и применимая правовая основа для такой обработки).
• Уточнение того, что стандарт, необходимый для того, чтобы данные считались анонимными, должен соответствовать обстоятельствам на момент обработки.
• Преобразование ограничений на автоматизированное принятие решений в право на гарантии, а не в общий запрет.

Поскольку анонимные данные не считаются персональными данными и, следовательно, не подпадают под действие UK GDPR, предложение квалифицировать стандарт анонимных данных может потенциально открыть значительный объем данных, доступных организациям для использования в аналитике, исследованиях и других операциях по обработке. Тем не менее организации должны убедиться, что у них есть соответствующие правовые основания для анонимизации персональных данных, поскольку акт анонимизации — это деятельность по обработке, подпадающая под действие новых требований режима защиты данных в Великобритании.

Что касается искусственного интеллекта (ИИ), правительство также заявило, что оно дополнительно введет новое исключение, позволяющее обрабатывать конфиденциальные персональные данные с целью мониторинга в системах ИИ. Правительство также подтвердило свое намерение опубликовать технический документ по управлению ИИ в соответствии со своей национальной стратегией в отношении данных и, в соответствии со своей предыдущей позицией, заявило о намерении не издавать отдельные законы для ИИ.

Предложения по реформированию ICO

Британское правительство намерено реформировать ICO, орган, которому поручено контролировать режим защиты данных в Великобритании. Его предложения включают:

1. Переориентацию нормативных требований на наиболее серьезные угрозы, а не на большое количество жалоб низкого уровня.
2. Реформирование системы рассмотрения жалоб — субъекты данных должны попытаться решить свою жалобу непосредственно с соответствующим хранителем данных, прежде чем подавать жалобу в ICO, и ICO может по своему усмотрению не расследовать определенные типы жалоб (включая жалобы, в которых субъект данных не пытался решить вопрос с соответствующей организацией).
3. Расширение правоприменительных полномочий ICO в отношении технических отчетов и принуждения свидетелей к участию в опросах.
4. Увеличение максимального штрафа в случае проверки соблюдения правил GDPR Великобритании (согласно DPA, 2018 г.), который может достигать 4% от их годового мирового дохода или 20 млн евро, в зависимости от того, что больше.
5. Внесение поправок в установленный законом срок для ICO для наложения штрафа после уведомления о намерениях: в определенных обстоятельствах ICO больше не требуется налагать штраф в течение 6 месяцев с момента выпуска уведомления о намерениях.
6. Введение требования к ICO по установлению ожидаемых сроков и этапов расследования соответствующему хранителю данных в начале расследования.

Определенные предложения, такие как предложения по реформированию системы рассмотрения жалоб и установлению сроков расследования, будут приветствоваться организациями, поскольку они открывают возможности для внутреннего исправления жалоб и уменьшения неопределенности в случае расследования.

Заключение

Эти предложения еще не переведены в нормативный документ. Правительство также заявило, что несоблюдение новых правил обработки персональных данных в Великобритании может привести к серьезным последствиям для учреждений, в частности, по обязательствам AML. К слову, многие предприятия, исходя из передовой практики, уже внедрили новые требования. Это означает, что для организаций, работающих в основном в Великобритании, общее влияние предложений (в их нынешнем виде), будет минимальным. Аналогичным образом, если организации, работающие на международном уровне в Великобритании и Европе, продолжат сравнивать соответствие с требованиями GDPR к конфиденциальности и защите данных в ЕС, общее влияние предложений также должно быть ограничено.

Но поскольку эти предложения также могут вызвать обратную связь, особенно со стороны европейских властей, которые еще не заявили, согласны ли они с позицией Великобритании в отношении соблюдения, нельзя исключать возможность дополнительных изменений. Мы внимательно следим за обновлениями в этом пространстве и по запросу готовы проконсультировать по регулированию британских компаний согласно GDPR.