GDPR-päivitys: Mitä datan (käyttö- ja saatavuus) laki tarkoittaa vaatimustenmukaisuustiimeille

Yhdistyneen kuningaskunnan GDPR-version päivitys on kauan odotettu. Edellinen konservatiivihallitus ehdotti sitä alun perin ... kautta. Data Protection and Digital Information (DPDI) laki, joka ei mennyt parlamentissa läpi ennen hallinnon vaihtumista. Työväenpuolueen ponnistus, Data (Use and Access) Act (DUA Act), on vihdoin saanut kuninkaallisen hyväksynnän parlamentin ylä- ja alahuoneiden välisen tekoälyä ja tekijänoikeuksia koskevan paljon huomiota saaneen kiistan jälkeen.

Kysymys kuuluu, kuinka suuri helpotus on turvallisuus- ja vaatimustenmukaisuustiimeille sopeutua lain mukanaan tuomaan uuteen tietosuojajärjestelmään?

Miksi me tarvitsemme sitä?

Kuten aiemmissakin pyrkimyksissä parantaa ja mukauttaa Yhdistyneen kuningaskunnan tietosuojasääntelyä, keskitytään poistamaan tarpeetonta byrokratiaa vaarantamatta rajat ylittäviä tiedonvirtoja EU:hun. Jälkimmäisen varmistamiseksi Yhdistynyt kuningaskunta ei voi poiketa liikaa GDPR:stä, tai se voi vaarantaa tietosuojan riittävyysstatuksensa "kolmantena maana".

Koska digitaalitalous tuotti 154 miljardia puntaa bruttoarvonlisäystä vuonna 2023, jotka muodostavat noin 6.5 % kokonaismäärästä, hallitus tietää, että radikaali poikkeama GDPR:stä ei tule kysymykseen. Se olisi myös järjetöntä, kun otetaan huomioon, että sääntelyviranomainen Information Commissioner's Office (ICO) oli keskeinen tekijä alkuperäisessä asetuksessa.

Hallitus väittää, että uusi laki antaa 10 miljardin punnan piristysruiskeen Yhdistyneen kuningaskunnan taloudelle tulevan vuosikymmenen aikana. Se viittaa laajenemiseen  ”älykkäät datajärjestelmät”, kuten avoin pankkitoiminta byrokratian karsiminen palveluntarjoajille julkiset palvelut, ja uusi digitaalisen identiteetin tarjoajien luottamusmerkki auttavana tämän saavuttamisessa.

Mikä on uutta?

Tietosuojan näkökulmasta suurimmat muutokset liittyvät kuitenkin seuraaviin:

Lailliset edut: DUA-laki tuo käyttöön ”tunnustetut oikeutetut edut” uudeksi lailliseksi perusteeksi henkilötietojen käsittelylle. Tämä sallii joidenkin organisaatioiden käsitellä tietoja ilman perinteistä oikeutettujen etujen arviointia. On myös luettelo käsittelytoimista (mukaan lukien suoramarkkinointi), jotka edelleen edellyttävät oikeutettujen etujen arviointia, mikä pitäisi selkeyttää tilannetta organisaatioille.

Automaattinen päätöksenteko (ADM): Laki lieventää automaattisen datanhallinnan rajoituksia tapauksissa, joissa ei ole kyse erityisistä tietoluokista, vaikka suojatoimia on silti sovellettava.

Tieteellinen tutkimus: Laki laajentaa määritelmän koskemaan kaikkea tutkimusta, ”jota voidaan kohtuudella kuvailla tieteelliseksi, riippumatta siitä, rahoitettuko se julkisesti vai yksityisesti ja toteutettuko se kaupallisena vai ei-kaupallisena toimintana”. Se tarkoittaa, että yksityisesti rahoitettu ja kaupallinen tutkimus hyötyy erityisryhmien tietojen käsittelyä koskevista poikkeuksista.

Kansainväliset tiedonsiirrot: Valtiosihteeri voi hyväksyä kolmannet maat ja päättää, ovatko kohdemaan tietosuojastandardit "oleellisesti alhaisemmat" kuin Yhdistyneen kuningaskunnan standardit nykyisten "olennaisesti vastaavien" suojatoimien sijaan.

Erityisluokan tiedot: Valtiosihteerillä on myös uudet valtuudet muuttaa sitä, mitä voidaan luokitella erityistietoluokiksi – mikä vaatii lisäsuojaa.

Rekisteröidyn tiedonsaantipyynnöt (SAR): Laki selventää, että rekisteröidyillä on oikeus saada tietoja vain yrityksen tekemän "kohtuullisen ja oikeasuhtaisen" haun perusteella. Organisaatioilla voi nyt tietyissä olosuhteissa olla jopa kolme kuukautta aikaa vastata SAR-pyyntöihin. Tämän tarkoituksena on vähentää yritysten hallinnollista taakkaa.

Käyttötarkoituksen rajoitus: Laki selventää, mitä "jatkokäsittelyllä" tarkoitetaan.

Lasten tiedot: Laki tuo mukanaan uuden käsitteen "lasten korkeamman suojelun kysymykset", jota ICO:n on arvioitava säännellessään yritysten vastuita.

Tietosuoja- ja sähköisen viestinnän asetukset (PECR): Uudet evästesäännöt on suunniteltu tekemään vaatimustenmukaisuudesta yrityksille vähemmän raskasta. Tiettyihin ei-välttämättömiin evästeisiin on poikkeuksia suostumuksen pyytämisvaatimuksesta (esim. tilastotietojen kerääminen verkkosivuston ulkoasun tai suorituskyvyn parantamiseksi, verkkosivuston mukauttaminen käyttäjän mieltymysten mukaan tai palveluiden tai verkkosivuston parantaminen). Evästeiden käytölle on myös pitkä luettelo tarkoituksista, joita pidetään ehdottoman välttämättöminä (esim. turvallisuus ja petosten havaitseminen), joissa kieltäytymisvaihtoehtoa ei vaadita.

ICO:t: Tietosuojavaliokunta (ICO) korvataan tiedotuskomissiolla, ja komissaarilla on puheenjohtaja sekä johto- ja ulkopuolisia jäseniä. Myös valitusmenettelyjä koskevat säännöt ovat uudet.

Ropes & Grayn data-, yksityisyys- ja kyberturvallisuusasiantuntija Edward Machin väittää, että jotkin toimenpiteistä auttavat keventämään byrokratiaa monille organisaatioille.

”Vaikka automatisoitua päätöksentekoa koskevien vaatimusten lieventäminen, joka koskee ei-arkaluonteisia henkilötietoja, on kiistanalaista, se helpottaa jonkin verran organisaatioiden vaatimustenmukaisuustaakkaa, jotka suorittavat tällaista käsittelyä – erityisesti tekoälyn kehittämisen ja käytön yhteydessä”, hän kertoo ISMS.online-sivustolle.

”Ja ’jatkokäsittelyn’ käsitteen selkeyttäminen yleisesti ja ’tieteellisen tutkimuksen’ määritelmän laajentaminen erityisesti – ellei byrokratiaa sinänsä vähennetä – antaa organisaatioille mahdollisuuden käsitellä henkilötietoja nykyistä laajemmassa valikoimassa skenaarioita.”

Aloita evästeistä

Ratkaisevasti oikeustieteen asiantuntijat eivät usko lainsäädännön vaikuttavan Yhdistyneen kuningaskunnan tietosuojan riittävyyteen ja siten tiedonkulkuun EU:n kanssa.

”Vaikka [lain] ehdottamat muutokset ovat laajoja, ne eivät mene niin pitkälle, että ne muuttaisivat GDPR:n perusperiaatteita, joihin nykyinen järjestelmä perustuu”, sanoo Sarah Pearce, Hunton Andrews Kurthin osakas. ”Siten uuden lainsäädännön ei pitäisi vaikuttaa Yhdistyneen kuningaskunnan tietosuojan riittävyyspäätökseen, kun Euroopan komissio tarkastelee sitä tämän vuoden lopussa.”

Mitä vaatimustenmukaisuudesta vastaavien tulisi siis tarkastella ensin? Ropes & Grayn Machin-sivusto neuvoo tarkastelemaan eväste- ja sähköisen markkinoinnin käytäntöjä.

”Vaikka laki laajentaa ehdottoman välttämättömiksi katsottavien evästeiden tyyppiä ja käyttötarkoituksia, se myös korottaa PECR:n mukaisia ​​enimmäissakkoja Yhdistyneen kuningaskunnan GDPR:n mukaiseksi – eli 17.5 miljoonaa puntaa tai 4 % vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi”, hän selittää.

”Kaikkien organisaatioiden on otettava käyttöön uusi prosessi yksilöiden valitusten käsittelemiseksi, ja valitukset on ensin osoitettava rekisterinpitäjälle ennen kuin ne voidaan tehdä ICO:lle. Tämä edellyttää tietosuojailmoitusten ja sisäisten prosessien päivittämistä sen varmistamiseksi, että tällaiset valitukset käsitellään asianmukaisesti.”

Machin lisää, että tarvitaan myös kattavampi kartoitusprosessi, jotta ymmärretään, miten lain säännökset vaikuttavat nykyisiin prosesseihin.

”Monissa tapauksissa tämä ei johda merkittäviin muutoksiin olemassa oleviin Yhdistyneen kuningaskunnan GDPR-vaatimustenmukaisuusohjelmiin”, hän päättelee.

”Siitä huolimatta tiedonjako- ja digitaaliset varmennusjärjestelmät, joiden käyttöönottoon laki antaa valtiosihteerille valtuudet, sisältävät useita uusia ja parannettuja oikeudellisia ja teknisiä vaatimuksia, ja organisaatioiden, jotka haluavat – tai joiden on pakko – osallistua näihin järjestelmiin, tulisi seurata tarkasti alan kehitystä.”