Guide til Storbritanniens lovforslag om databeskyttelse og digital information

Den britiske regering ønsker at reformere databeskyttelseslovgivningen, fjerne administrative byrder og bidrage til at fremme innovation. Udfordringen er at opnå dette uden at forårsage forstyrrelser eller risikere handelsforbindelser. Så hvor langt er Data Protection and Digital Information Bill (DPDI) på vej til at blive lov, og hvilke ændringer vil det medføre for din organisation?

Lovforslag om databeskyttelse og digitale oplysninger

Hvad er det?
Data Protection and Digital Information Bill (DPDI) præsenterer post-Brexit-reformer af Storbritanniens databeskyttelseslove.
Regeringen hævder, at den nye lovgivning vil:

  • Bevar de bedste elementer i EU’s generelle forordning om databeskyttelse (GDPR)
  • Giv større fleksibilitet
  • Reducer omkostningerne med 4,7 milliarder pund over 10 år
  • Fremme af global handel
  • Vær enkel, tydelig og forretningsvenlig
    Udfordringen for lovgivningen er at bidrage til at støtte innovation og mindske den administrative byrde uden at foretage ændringer, der:
  • Indgreb i individuelle datarettigheder
  • Kræve, at virksomheder opretter nye datasystemer
  • Skabe handelshindringer med EU og andre internationale jurisdiktioner

Hvornår blev det indført?
DPDI blev oprindeligt præsenteret for det britiske parlament den 18. juli 2022. En andenbehandling af lovforslaget, der var planlagt til september 2022, blev sat på pause efter Boris Johnsons tilbagetræden som premierminister.
Den 8. marts 2023 fremlagde udenrigsminister Michelle Donelan en revideret version af lovgivningen, kendt som DPDI (nr. 2) lovforslag. Det vil sandsynligvis gå videre til andenbehandling i Underhuset i efteråret 2023.
Hvem påvirker det?
DPDI vil påvirke organisationer af alle størrelser og sektorer, fra den mindste velgørenhed til store virksomheder. Det vil også påvirke internationale organisationer, der handler inden for Det Forenede Kongerige eller forvalter data fra britiske borgere.

De vigtigste højdepunkter i DPDI

DPDI kunne indføre:

  • En ny definition af personoplysninger, der hjælper med at beskrive den grad af anonymitet, der kræves for at sætte en person ud af identifikation med “rimelige midler”
  • En kategori af data om legitim interesse (f.eks. kriminalitet, beskyttelse), der fjerner kravet om at foretage en vurdering af legitime interesser
  • Faktorer, der skal tages i betragtning ved genanvendelse af personoplysninger til et nyt formål, og specifikke situationer, hvor videreanvendelse vil være lovlig
  • Gøre det lettere for organisationer at afvise anmodninger om adgang for registrerede, hvis de er chikanerende eller overdrevne, i betragtning af hele spektret af omstændigheder
  • Afklaring af omstændigheder, hvor kunstig intelligens kan anvendes til automatiseret beslutningstagning uden meningsfuld menneskelig involvering
  • Udskiftning af databeskyttelsesansvarlige (DPO) med Senior Responsible Individuals (SRI), som skal være topledere
  • Konsekvensanalyser vedrørende databehandling erstattet med vurderinger af højrisikobehandling, der skal udføres, hvis databehandlingsaktiviteter identificeres som højrisikoaktiviteter
  • Fjernelse af kravet om at føre fortegnelser over behandlingsaktiviteter, erstattet med forpligtelse til at føre passende optegnelser
  • En ny databeskyttelsestest, der skal gælde for ordninger for mekanismer til overførsel af personoplysninger uden for Det Forenede Kongerige
  • Informationskommissæren vil blive omstruktureret til et informationsudvalg med nye håndhævelsesbeføjelser og et mandat, der omfatter anerkendelse af behovet for at fremme innovation og konkurrence
  • Klageprocedurer, der har til formål at øge antallet af klager, der løses uden inddragelse af informationskommissionen
  • En rystelse af GDPR-overholdelse for at reducere pop op-vinduer, der tillader dem, hvor en person har givet samtykke, eller data bruges til specifikke formål såsom forbedring af webstedet

GDPR vs. DPDI

DPDI er ikke en engroserstatning for GDPR-databeskyttelseslovgivningen. I stedet ændrer den eksisterende lovgivning (Data Protection Act 2018 og UK GDPR), så der vil være masser af arbejde for advokater, der krydsrefererer forskellige retsakter.
Når lovgivningen er færdig, vil EU anvende en tilstrækkelighedstest for at afgøre, om den nye britiske databeskyttelsesordning sikrer passende databeskyttelse, så datastrømmene kan fortsætte mellem EU og Det Forenede Kongerige.

DPDI: Lovforslag nr. 1 vs lovforslag nr. 2

Hvad er de ændringer, der blev foretaget i DPDI (Nej 1) offentliggjort i juli 2022, og DPDI (nr. 2) i marts 2023?

DPDI (nr. 1)

Forskningsmæssige formål
Præcisering af, hvordan personoplysninger kan anvendes til forskning, statistiske og historiske formål, hjælpe forskere med at anvende personoplysninger til gavn for offentligheden

Legitim interesse
Ændringer i omfanget af legitim interesse (hvor personoplysninger kan bruges af en dataansvarlig eller tredjepart, så længe individuelle rettigheder og friheder ikke krænkes)
Indfører “anerkendte legitime interesser”, som ikke kræver vurdering af legitime interesser

Fortegnelser over behandling
Reducerede forpligtelser og fritagelse for organisationer med færre end 250 ansatte, hvor forarbejdning ikke er højrisiko. Risikoniveau, der skal fastlægges ved at se på arten, omfanget, konteksten og formålet med databehandlingen

Internationale dataoverførsler
Databeskyttelsestest til vurdering af beskyttelse i henhold til reglerne i modtagerlandet ved overførsel af data

Cookies
Brug af cookies tilladt uden indhentelse af samtykke til definerede formål såsom vurdering af, hvordan et websted bruges.

Automatiseret beslutningstagning
Præcisering af, at meningsfuld menneskelig involvering skal bedømmes under hensyntagen til, hvor omfattende profilering anvendes i beslutningsprocessen

DPDI (nr. 2)

Forskningsmæssige formål
Tilføjelse af “videnskabelige forskningsformål”, der omfatter kommerciel og ikke-kommerciel brug, og udvidelse af definitionen af “videnskabelig forskning”

Legitim interesse
Tilføjelse af eksempler på legitime interessedata, såsom direkte markedsføring og IT-sikkerhed

Fortegnelser over behandling
Fjernelse af henvisning til antal medarbejdere, nu krav er at vurdere, om behandling sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihedsrettigheder

Internationale dataoverførsler
Præcisering af, at mekanismer til overførsel af personoplysninger, der er etableret, før loven træder i kraft, vil være gyldige

Cookies
Ingen yderligere ændringer

Automatiseret beslutningstagning
Definition af automatiseret beslutningstagning er, hvor der ikke er nogen meningsfuld menneskelig involvering i en beslutning

Er du klar til DPDI?

Der kommer ændringer i den britiske databeskyttelseslovgivning inden for de næste par år. Dette omfatter reform af regler, der styrer cookies på dit websted. Sørg for, at din cookiepolitik er i overensstemmelse med loven, og få et overblik over din dataindsamling ved at bruge vores cookiescannerværktøj på dit websted.

Hvis du har brug for hjælp til at sikre, at du overholder reglerne og får mest muligt ud af eventuelle nye regler, kan CookieHub hjælpe.

Tilmeld dig i dag for at få en gratis prøveperiode.

Sales & Support