הצעת החוק החדשה לשימוש וגישה לנתונים (DUAA) של בריטניה קיבלה אישור מלכותי ב-19 ביוני 2025, ומסמנת רענון לחקיקה של המדינה בנושא הגנת נתונים וכלכלה דיגיטלית. החוק, שנועד לקדם חדשנות, להגביר את האמון במערכות מבוססות נתונים ולפשט את הציות, מציג רפורמות נרחבות הן במגזר הציבורי והן במגזר הפרטי.
עבור עסקים, השינויים עשויים להקל על עומסים אדמיניסטרטיביים מסוימים בתחומים כמו בקשות גישה לנושאים (DSARs) ועוגיות, תוך העלאת הרף בתחומים אחרים, כולל שקיפות, הסכמה לשיווק ואכיפה. בלוג זה מסביר מה משתנה ומציע צעדים מעשיים שיעזרו לארגונים להיערך.
היכן יושבת DUAA: היא מתקן, לא מחליף
החוק אינו מחליף את ה-GDPR בבריטניה או את חוק הגנת המידע משנת 2018; במקום זאת, הוא מתקן ומשלים את שניהם. הוא גם מעדכן סעיפים מרכזיים בתקנות הפרטיות והתקשורת האלקטרונית (PECR), במיוחד בנוגע להסכמה לעוגיות ולשיווק אלקטרוני.
יחד, רפורמות אלו נועדו ליצור משטר נתונים "ידידותי יותר לעסקים ומוכן לחדשנות" תוך שמירה על עקרונות הליבה של הגנת מידע עבור יחידים. אך יחסי הגומלין בין מסגרות אלו מחייבים ארגונים לנווט בנוף החדש בזהירות.
שינויים מרכזיים שעסקים צריכים לדעת
אינטרסים לגיטימיים מוכרים
החוק מציג מושג חדש: "אינטרסים לגיטימיים מוכרים". אלו הן מטרות ספציפיות שלשמן ארגונים יכולים לעבד נתונים אישיים מבלי להזדקק לערוך הערכת אינטרס לגיטימי מלאה (LIA). דוגמאות לכך כוללות מניעת פשיעה, שמירה על הביטחון הלאומי, שמירה על בטיחות הציבור, תגובה למקרי חירום, הגנה על אנשים פגיעים וגילוי מידע לאדם המבצע משימה לטובת הציבור.
בנפרד מכך, החוק מציג גם דוגמאות לאינטרסים לגיטימיים רגילים שעדיין ידרשו את מבחן שלושת השלבים הסטנדרטי: מטרה, נחיצות ומבחן איזון עם נימוק מוקלט, הכולל פעילויות כגון שיווק ישיר, ניהול תוך קבוצתי ואבטחת רשת או מידע.
השורה התחתונה כאן היא שבעוד שזה מפחית את הניירת עבור סוגים מסוימים של שימוש בנתונים, זה לא מסיר את הדרישה לכבד את זכויותיהם של נושאי הנתונים. עדיין חיוני להבטיח שהעיבוד הוא הכרחי ומידתי.
העברות נתונים בינלאומיות
הסף להעברות נתונים בינלאומיות הורד. במקום לדרוש הגנה "שווה ערך במהותה" לתקנת ה-GDPR של בריטניה, ארגונים חייבים כעת להבטיח שההגנה "לא נמוכה באופן מהותי".
זה מציע לעסקים גמישות רבה יותר בזרימת נתונים גלובלית, במיוחד כאשר הם עובדים עם שותפים במדינות שאינן מכוסות על ידי תקנות ההתאמה של בריטניה. עם זאת, זה גם מטיל אחריות רבה יותר על יצואן הנתונים להעריך את ההגנות.
על יצואנים לאמץ גישה סבירה ומידתית, תוך התחשבות באופי הנתונים, ביעד ובסיכונים הנלווים. אם החוקים המקומיים אינם עומדים בדרישות, תצטרכו ליישם אמצעי הגנה נוספים, כגון הצפנה, בקרות גישה ותנאי חוזה חזקים, כדי להבטיח שהנתונים יישארו מוגנים בסטנדרט שעדיין מקובל על פי חוקי בריטניה.
כמו כן, ראוי לציין כי האיחוד האירופי האריך זמנית את סטטוס ההתאמה של בריטניה עד 27 בדצמבר 2025, מה שיאפשר לנתונים להמשיך לזרום מהאיחוד האירופי לבריטניה בזמן שהנציבות האירופית משלימה את סקירתה. עסקים המקבלים נתוני האיחוד האירופי צריכים לעקוב אחר ההתפתחויות ולשקול חלופות חוזיות כדי למנוע שיבושים.
בקשות גישה לנתונים של נושא (DSAR)
החקיקה החדשה מציגה סטנדרט ידידותי יותר לעסקים עבור דיווחי DSAR, המחייב חיפושים להיות "סבירים ומידתיים". זהו שינוי מבורך עבור ארגונים שבעבר התמודדו עם בקשות גוזלות זמן או מוגזמות. זה מאפשר לעסקים למקד מאמצים במענה משמעותי, במקום לרדוף אחרי כל מקור נתונים אפשרי.
כמו כן, הוכנסה הוראה חדשה של עצירת זמן. אם עליכם להבהיר את הבקשה, לאמת את זהות המבקש, או לבקש תשלום (במקרים של בקשות חסרות בסיס או מוגזמות בבירור), ניתן להשהות את מועד התגובה של חודש עד לקבלת המידע הדרוש, מה שיספק מעט מרווח נשימה לניהול יעיל של בקשות מורכבות או מעורפלות.
עם זאת, החובות המרכזיות נותרו בעינן. עסקים עדיין חייבים להגיב ללא עיכוב בלתי סביר ולספק מידע ברור ונגיש לנושאי הנתונים, ועיכובים בלתי מוצדקים עדיין יכבאו איתם סיכוני תאימות.
קובצי Cookie ושיווק (PECR)
סוגים מסוימים של קובצי Cookie, כגון אלו המשמשים לשיפור שירות או מדידת קהל, עשויים שלא לדרוש עוד הסכמה, בתנאי שהם מוסברים בבירור וניתנים למשתמשים מידע ושליטה מתאימים.
במקביל, האכיפה סביב שיווק אלקטרוני מתהדקת. קנסות על הפרות של תקנות PECR הותאמו לתקנת ה-GDPR בבריטניה, עם עונשים של עד 17.5 מיליון ליש"ט או 4% מהמחזור העולמי. עובדה זו מדגישה את הצורך של עסקים לבחון מחדש את נוהלי ההסכמה שלהם, לעדכן באנרים של קובצי Cookie והודעות פרטיות, ולהבטיח תיעוד פנימי חזק לפעילויות שיווק.
קבלת החלטות אוטומטית ובינה מלאכותית
החוק מציג גמישות רבה יותר עבור ארגונים המשתמשים בבינה מלאכותית ובקבלת החלטות אוטומטית (ADM), ומחליף את סעיף 22 של ה-GDPR של בריטניה במערכת חדשה של הוראות: סעיפים 22A עד 22D. שינויים אלה מאפשרים יישום רחב יותר של ADM, במיוחד במקרים בהם להחלטות שהתקבלו אין השפעות משפטיות משמעותיות או השפעות מהותיות דומות על אנשים פרטיים.
עם זאת, ניהול נתונים מקטגוריות מיוחדות (ADM) אשר יוצר השפעות משמעותיות, במיוחד כאשר הוא כולל נתונים מקטגוריות מיוחדות, נותר תחת פיקוח הדוק. במקרים אלה, ארגונים עדיין חייבים להבטיח פיקוח אנושי משמעותי, שקיפות ברורה ואמצעי הגנה מתאימים. ניהול נתונים מקטגוריות מיוחדות המבוסס על נתונים מקטגוריות מיוחדות ידרוש בדרך כלל הסכמה מפורשת או לעמוד בתנאים ספציפיים שנקבעו בחקיקה.
נתונים חכמים ומזהים דיגיטליים
החוק סולל את הדרך ל"תוכניות נתונים חכמות" ספציפיות למגזר, המאפשרות לצרכנים ולעסקים קטנים לשתף את הנתונים שלהם בצורה מאובטחת וניידת. הוא גם קובע מסגרת אמון סטטוטורית של שירותי אימות דיגיטליים (DVS) לתמיכה בשימוש בזהויות דיגיטליות מאומתות ברחבי הכלכלה.
הוראות אלו מאפשרות באופן כללי בשלב זה, כאשר פרטים נוספים יינתנו באמצעות חקיקה משנית.
רפורמה ברגולטור
ה-ICO תהפוך לוועדת המידע, עם סמכויות חקירה ואכיפה מורחבות. אלה כוללות עדויות משכנעות, חובת ביקורות טכניות והטלת עונשים גבוהים יותר על אי ציות.
חלק מסמכויות חדשות אלו נכנסו לתוקף חודשיים לאחר אישור מלכותי, בעוד שאחרות יוטמעו בהדרגה לאורך זמן באמצעות חקיקה משנית. ארגונים צריכים לצפות לסביבה רגולטורית אסרטיבית יותר ולהיערך בהתאם, תוך הבטחת כי הממשל, התיעוד והתהליכים הפנימיים מוכנים לביקורת.
מה מונח על כף המאזניים עבור עסקים
בעוד שחלק מהרפורמות מפשטות את הציות, למשל, על ידי הפחתת נטל DSAR או הבהרת השימוש באינטרס לגיטימי, אחרות מביאות פיקוח רגולטורי מוגבר ועונשים כבדים יותר. תמונה מעורבת זו פירושה שעסקים לא צריכים להתייחס לחוק כהקלה בכללים. במקום זאת, זוהי הזדמנות למודרניזציה של ניהול נתונים, להפחית סיכונים ולבנות אמון עם לקוחות, שותפים ורגולטורים.
לוח זמנים ופריסה הדרגתית
החוק נכנס לתוקף ביוני 2025, אך לא כל ההוראות נכנסו לתוקף באופן מיידי. הממשלה אישרה תחילת תוקף מדורג, כאשר השינויים ייכנסו לתוקף במשך שלבים של כ-2, 6 ו-12 חודשים. תקנות התחילה מס' 1 נכנסו לתוקף ב-20 באוגוסט 2025, ומכסות הוראות טכניות ורגולטוריות ספציפיות.
רוב העדכונים המשמעותיים לחלק 5 של החוק, כולל שינויים ב-GDPR של בריטניה, חוק הגנת המידע 2018 ו-PECR, צפויים להיכנס לתוקף בסביבות ששת החודשים האחרונים. עדכונים נוספים יבואו בהמשך באמצעות חקיקה משנית והנחיות רגולטוריות.
על ארגונים להישאר ערניים לתקנות תחילת הקריירה החדשות, לנטר את התקשורת של ICO ולתכנן את פעילות הציות שלהם בהתאם למועדים הקרובים.
תוכנית הפעולה שלך בת 8 הנקודות
בדקו את הבסיסים המשפטיים שלכם
- מפו היכן חלים האינטרסים הלגיטימיים המוכרים החדשים ועדכנו את הודעות הפרטיות ואת הסכמי התקשרות (RoPA) שלכם כך שישקפו את המציאות.
הערכת מחדש של זרימות הנתונים הגלובליות שלך
- סקור את מנגנוני ההעברה מול הסף החדש "לא נמוך באופן מהותי". תעד את הערכות סיכוני ההעברה שלך ושמור גיבוי מוכן לנתוני האיחוד האירופי.
פישוט הטיפול ב-DSAR
- להכשיר את הצוות ליישם את מבחן ה"סביר והמידתי", ולשלב את תהליך עצירת השעון החדש לבדיקות זהות או הבהרות.
סדר בעוגיות ובשיווק
- רענן באנרים של קובצי Cookie עבור פטורים בסיכון נמוך, בקר מחדש בתהליכי הסכמה ושימו לב שקנסות PECR תואמים כעת לרמות ה-GDPR בבריטניה. ארגוני צדקה: בדקו אם האפשרות הרפואית להצטרף לתוכנית רכה עובדת כעת עבורכם.
ביקורת על השימוש שלך ב-ADM ובבינה מלאכותית
- זהה אילו מערכות נחשבות כקבלת החלטות אוטומטית משמעותית. יישם פיקוח אנושי משמעותי, קבל הסכמה מפורשת במידת הצורך, וקבע אמצעי הגנה מתועדים.
התכוננו לנתונים חכמים
- בדקו כיצד תוכניות ספציפיות למגזר (כמו בנקאות פתוחה) עשויות להתבטא בתעשייה שלכם, והאם שירותי אימות דיגיטליים יכולים להפוך לחלק מתהליכי הקליטה או הלקוחות שלכם.
לחזק את הממשל עכשיו
- עם קבלת סמכויות לנציבות המידע החדשה לחייב ראיונות, ביקורות וקנסות ברמת GDPR עבור PECR, זה הזמן להחמיר את המדיניות, הראיות וההכשרה.
המשך לעקוב
- שימו לב לתקנות התחלת התוקף ולהנחיות של ICO כאשר פריסות מדורג יגיעו לחודשיים, ששת החודשים והשנים עשר הקרובים. תנו עדיפות לשינויים שנכנסים לתוקף תחילה.
שורה תחתונה
חוק השימוש והגישה לנתונים משנת 2025 הוא נקודת מפנה בניהול הנתונים בבריטניה. הוא מאזן בין פישוט לאחריותיות, ומציע לעסקים בעלי חשיבה קדימה את ההזדמנות לאמץ חדשנות מבלי לפגוע באמון. הכנה מוקדמת לא רק תפחית סיכונים אלא גם תעזור לכם לנצל את ההזדמנויות ששימוש חכם וברור יותר בנתונים יכול להביא.
