מה המשמעות של הצעת החוק להגנה על נתונים ומידע דיגיטלי עבור עסקים

הכלכלה הדיגיטלית של בריטניה הייתה שווה 259 מיליארד ליש"ט בשנת 2021, על פי הממשלה. והוא היווה 85% מסך יצוא השירותים. זו הסיבה שעסקים חיכו בכיליון עיניים לאחת מפיסות החקיקה המשמעותיות ביותר בעידן שלאחר הברקזיט: הצעת החוק להגנה על נתונים ומידע דיגיטלי (DPDI). החקיקה הוצגה לראשונה בקיץ 2022 ולאחר מכן הושהתה זמן קצר לאחר מכן להתייעצות עם מומחים בתעשייה ומנהיגים עסקיים. עכשיו מכוונים כדרך לחברות בבריטניה לקצץ בניירת ולהפחית את חסמי הסחר מבלי לפגוע בפרטיות ובהגנה על נתונים.

אבל האם ההוראות שלה באמת יכולות להגביר את הבירוקרטיה לארגונים בזמן שהם כבר עמוסים במנדטים חדשים לציות בארה"ב?

מה כתוב בהצעת החוק?

יש הרבה מה לפרוק ממה שהוא בעצם הניסיון של בריטניה לייצר גרסה משלה ל-GDPR. זהו שילוב של הבהרות וסריקות המנסות להפוך את החוק לידידותי יותר לעסקים מבלי להשפיע על מעמד ההלימה של בריטניה, מה שיסכן את זרימת הנתונים אל האיחוד האירופי וממנו.

אחד השינויים בכותרת היא להבטיח שרק ארגונים העוסקים בעיבוד נתונים "בסיכון גבוה", כמו אלה המטפלים בכמויות גדולות של נתוני בריאות, צריכים לנהל רישומים. זה נועד לחתוך ניירת עבור מספר רב של עסקים. הכללים החדשים נועדו גם להבהיר מתי ארגונים יכולים לעבד נתונים ללא צורך בהסכמה, כגון כאשר יש כבוד לאינטרס הציבורי לשתף נתונים אישיים כדי למנוע פשיעה.

הבהרות נוספות בוצעו כדי להגביר את האמון בבינה מלאכותית על ידי ציון מתי יש לחול אמצעי הגנה על קבלת החלטות או פרופיל אוטומטי, שהם קריטיים למודלים עסקיים רבים. ויש כללים חדשים שנועדו כך שארגונים מסחריים יוכלו ליהנות מאותן הגנות כמו אקדמאים בעת ביצוע מחקר. זה אומר כל מחקר שניתן "באופן סביר לתאר כמדעי". המטרה שוב היא לצמצם את העלויות הבירוקרטיות והמשפטיות לחוקרים תוך כדי קידום מחקר מדעי נוסף במגזר הפרטי.

חריגות אחרות מה-GDPR כוללות מסגרת חדשה לאימות דיגיטלי אופציונלי, קנסות מוגדלים על שיחות מטרד והודעות טקסט עד ל-4% מהמחזור העולמי או 17.5 מיליון ליש"ט, ויצירת מועצת סטטוטורית חדשה לרגולטור משרד נציב המידע (ICO) ). יש גם הצעות לצמצם את מספר חלונות ההסכמה שמשתמשי אינטרנט רואים באינטרנט, מה שאומר למעשה שחברות יוכלו להשתמש בטכנולוגיות מעקב באתרים ובאפליקציות ללא הסכמה מראש של משתמש הקצה לניתוח.

מה הממשלה מבטיחה

באופן לא מפתיע הממשלה צועקת מהגגות על היתרונות הפוטנציאליים שהגרסה החדשה שלה ל-GDPR תביא. היא טענה שהרפורמות "יפתחו" חיסכון של 4.7 מיליארד ליש"ט לארגונים בבריטניה במהלך העשור הקרוב מבלי להפריע לזרימת מידע בינלאומית. למעשה, הממשלה טוענת שהשינויים ישפרו את האמון העולמי במשטר הרגולטורי שלה כדי להניע עוד יותר סחר בינלאומי. החקיקה תסייע להקל על העומס המוטל על עסקים קטנים, במיוחד על ידי מה שהממשלה מתארת ​​כחוק אירופאי לא גמיש מלמעלה למטה.

נושא נוסף הוא הגברת הביטחון העסקי - הן לגבי מתי הם יכולים לעבד נתונים אישיים ללא הסכמה והן בהבהרת מתי יש לחול אמצעי הגנה בעת שימוש בטכנולוגיות AI.

מזכירת המדע, החדשנות והטכנולוגיה, מישל דונלן, הייתה להוטה להדגיש כי הצעת החוק "תוכננה בשיתוף" עם עסקים מההתחלה.

"המערכת שלנו תהיה קלה יותר להבנה, קלה יותר לעמוד בה ולנצל את ההזדמנויות הרבות של בריטניה לאחר הברקזיט. העסקים והאזרחים שלנו כבר לא יצטרכו להסתבך סביב ה-GDPR האירופאי מבוסס המחסומים", אמרה עם השקתו.

"החוקים החדשים שלנו משחררים את העסקים הבריטיים מבירוקרטיה מיותרת כדי לפתוח תגליות חדשות, להניע קדימה טכנולוגיות של הדור הבא, ליצור מקומות עבודה ולהגביר את הכלכלה שלנו".

האם הצעת החוק יכולה להגביר את רמת הבירוקרטיה?

עם זאת, יש חששות כי, רחוק מלהסיר את הטירוף, החקיקה עלולה להגביר אותה עבור ארגונים מסוימים. Antonis Patrikios, שותף ויו"ר משותף עולמי של פרקטיקת פרטיות הנתונים ואבטחת הסייבר בדנטונס, מסביר שארגונים שאינם רוצים לשנות את מסגרת הציות הקיימת ל-GDPR אינם צריכים לעשות זאת עם החקיקה החדשה.

"הצעת החוק צופה שארגונים יוכלו להמשיך לציית ל-GDPR של האיחוד האירופי אם ירצו, וזה ייחשב לעמוד בדרישות חוק הגנת המידע החדש בבריטניה. לכן, ארגונים שלא ירצו להיות מושפעים מהשינויים שהוכנסו בהצעת החוק לא יצטרכו", הוא אומר ל-ISMS.online.

עם זאת, למרות שזה יפחית את נטל הציות הפוטנציאלי, במיוחד עבור אלה עם פעילות אירופית, פירוש הדבר שארגונים אלה אינם יכולים ליהנות מהיתרונות הנחשבים של החקיקה החדשה. מי שרוצה חייב לשמור ביעילות על שתי מסגרות ציות נפרדות, אחת לפעילות האיחוד האירופי (GDPR) ואחת לבריטניה (DPDI).

פטריקיוס מודה בכך.

"מתוך אותם ארגונים שירצו להיעזר בדרישות החוק המתוקנות (וסביר להניח שקל יותר לעמוד בהן) המתוקנות, אלה שמעבדים הן את הנתונים האישיים של בריטניה והן את הנתונים האישיים של האיחוד האירופי יצטרכו לעשות קצת יותר חשיבה כדי לשקול את המידה שהם רוצים להסתמך על החוק המתוקן של בריטניה וכיצד הם ינהלו בפועל את יחסי הגומלין בין החלת תקן אחד (כלומר ה-EU GDPR) עבור הנתונים שלהם באיחוד האירופי ותקן אחר (כלומר חוק הגנת המידע המתוקן בבריטניה) עבור הנתונים שלהם בבריטניה, " הוא אומר.

ישנו גם סימן שאלה אם הקלה על עמידה בדרישות היא אפילו לטובת הארגונים, במיוחד אם יש לכך השלכות לא מכוונות. הסרת הצורך של רוב מעבדי הנתונים בסיכון נמוך לשמור רישומים הוא מקרה אחד כזה, לדברי אדוארד מאשין, עורך דין בכיר בפרקטיקה של נתונים, פרטיות ואבטחת סייבר של Ropes & Grey.

"למרות שאף אחד לא יתלונן על הפחתה בניירת, הסרת הדרישה מרוב העסקים לשמור על מלאי נתונים אישיים פירושה שהם עלולים להתקשה להבין איך והיכן הם מחזיקים נתונים, וזה לא לטובת אף אחד", הוא טוען.

כיצד חברות יכולות לנהל את עומס העבודה הנוסף

כל עלייה בעבודת הציות לארגונים בבריטניה תגיע בזמן עמוס. השנה, צפוי שש מדינות, כולל קולורדו, קונטיקט, יוטה ווירג'יניה, יתחילו לאכוף חוקים חדשים בהשראת ה-GDPR. עומס העבודה הנוסף מאיים להכריע את צוותי הציות המוצפים.

"בנוסף לרפורמה בחוק הגנת המידע בבריטניה ולתהליכי הרפורמה בדיני הפרטיות של מדינת ארה"ב, ישנם חוקי פרטיות חדשים ו/או הנחיות ופרקטיקה מתפתחים בשווקים חשובים כמו סין, הודו וקנדה. אל לנו גם לשכוח את חבילת אבטחת הסייבר (למשל 2 שקלים ו-DORA) או חוקי רגולציה טכנולוגיים (כגון AI Act ו-DSA) שעושים את דרכם בתהליך החקיקה של האיחוד האירופי", מסביר פטריקיוס.

"ארגונים צריכים לשקול איזה מהחוקים החדשים האלה חלים עליהם ואז לשקול מה צפויה להיות ההשפעה ואיך להתכונן לזה. בתוך כך, חיוני לדבר עם יועצים מומחים חיצוניים מכיוון שישנן הוראות חדשות, שלחלקן אין תקדים, כך שייתכן וקשה ליישם אותן בפועל. אם יחול יותר מחוק חדש אחד, ייעול מאמצי הציות עשוי להיות לא פשוט, וקבלת היגוי לגבי מה שאחרים בשוק עושים יכול להיות מאוד מועיל בפועל".

זה המקום שבו שותפים מהימנים כמו ISMS.online יכולים לעזור על ידי מתן פורטל מרכזי שבו לקוחות יכולים לנהל את כל מאמצי הציות שלהם במקום אחד. אפילו יותר טוב, כאשר כמה משימות ומפרטים נראים זהים על פני מסגרות רגולטוריות שונות, ISMS.online יכול להבטיח שצוותים לא יבזבזו זמן בשכפול מאמציהם.