עדכון לגרסה הבריטית של ה-GDPR היה צריך מזמן. הממשלה השמרנית הקודמת הציעה זאת במקור באמצעות הצעת חוק הגנת נתונים ומידע דיגיטלי (DPDI)., אשר לא הצליח לעבור דרך הפרלמנט לפני שינוי בממשל. חוק (שימוש וגישה לנתונים) (DUA Act) של מפלגת הלייבור קיבל סוף סוף את אישורו המלכותי לאחר ויכוח מתוקשר בין בתי הבתים העליונים והתחתונים בנושא בינה מלאכותית וזכויות יוצרים.
השאלה היא, כמה גדול יהיה הסיוע לצוותי אבטחה ותאימות להסתגל למשטר הגנת המידע החדש שהחוק מכניס?
למה אנחנו צריכים את זה?
בדומה לניסיונות קודמים לשפר ולהתאים את משטר הרגולציה של בריטניה להגנה על מידע, המוקד הוא על הסרת בירוקרטיה מיותרת מבלי לסכן את זרימת הנתונים חוצת הגבולות לאיחוד האירופי. כדי להבטיח את האחרון, בריטניה לא יכולה לסטות יותר מדי מה-GDPR, אחרת היא עלולה לסכן את מעמדה כ"מדינה שלישית".
בהתחשב בכך שהכלכלה הדיגיטלית תרמה 154 מיליארד ליש"ט בערך מוסף גולמי (GVA) ב2023, המהווים כ-6.5% מהסך הכל, הממשלה יודעת שסטייה רדיקלית מה-GDPR אינה באה בחשבון. זה יהיה גם מעוות, בהתחשב בכך שהרגולטור, משרד נציב המידע (ICO), היה תורם מרכזי לתקנה המקורית.
הממשלה טוענת שהחוק החדש יספק דחיפה של 10 מיליארד ליש"ט לכלכלת בריטניה בעשור הקרוב. החוק מצביע על התרחבות של תוכניות "נתונים חכמים" כמו בנקאות פתוחה, קיצוץ הביורוקרטיה עבור ספקי שירותי שירותים ציבוריים, וחדש סימן אמון לספקי זהות דיגיטלית כמסייעים בהשגת מטרה זו.
מה חדש?
עם זאת, מנקודת מבט של הגנת מידע, השינויים הגדולים ביותר קשורים ל:
אינטרסים לגיטימיים: חוק DUA מציג "אינטרסים לגיטימיים מוכרים" כבסיס חוקי חדש לעיבוד נתונים אישיים. זה מאפשר לחלק מהארגונים לעבד נתונים מבלי להזדקק לביצוע הערכת אינטרסים לגיטימית (LIA) מסורתית. ישנה גם רשימה של פעילויות עיבוד (כולל שיווק ישיר) שעדיין דורשות הערכה של אינטרסים לגיטימיים, מה שאמור לספק בהירות רבה יותר לארגונים.
קבלת החלטות אוטומטית (ADM): החוק מקל על ההגבלות על ADM במקרים בהם לא מדובר בנתונים מקטגוריה מיוחדת, אם כי עדיין יש להחיל אמצעי הגנה.
מחקר מדעי: החוק מרחיב את ההגדרה לכל מחקר "המתואר באופן סביר כמדעי, בין אם במימון ציבורי או פרטי, ובין אם מבוצע כפעילות מסחרית או לא מסחרית". משמעות הדבר היא שמחקר במימון פרטי ומסחרי ייהנה מפטורים לעיבוד נתונים מקטגוריה מיוחדת.
העברות נתונים בינלאומיות: מזכיר המדינה יוכל לאשר מדינות שלישיות, ולהחליט האם תקני הגנת המידע של מדינת יעד "אינם נמוכים באופן מהותי" מאלה של בריטניה, במקום ההגנות הקיימות "השוות ערך במהותן".
נתוני קטגוריה מיוחדת: למזכיר המדינה יהיו גם סמכויות חדשות לשנות מה ניתן לסווג כנתונים בקטגוריה מיוחדת – דבר הדורש הגנה נוספת.
בקשות גישה לנתונים (SARs): החוק מבהיר כי נושאי מידע זכאים למידע רק מחיפוש "סביר ומידתי" שבוצע על ידי העסק. כעת, בנסיבות מסוימות, לארגונים ניתנת עד שלושה חודשים להגיב לבקשות SAR. הדבר נועד להפחית את הנטל המנהלי על חברות.
הגבלת מטרה: החוק מבהיר מה מהווה "עיבוד נוסף".
נתוני ילדים: החוק מציג מושג חדש של "ענייני הגנה עליונה על ילדים", אותו על ה-ICO להעריך בעת ויסות אחריותן של חברות.
תקנות הפרטיות והתקשורת האלקטרונית (PECR): כללים חדשים בנוגע לעוגיות נועדו להקל על עסקים את העמידה בדרישות. ישנם פטורים מהדרישה לבקש הסכמה לעוגיות מסוימות שאינן חיוניות (למשל, איסוף נתונים סטטיסטיים לשיפור המראה או הביצועים של אתר אינטרנט, התאמת אתר אינטרנט להעדפות המשתמש, או ביצוע שיפורים בשירותים או באתר אינטרנט). ישנה גם רשימה ארוכה של מטרות לשימוש בעוגיות הנחשבות הכרחיות לחלוטין (למשל, אבטחה וגילוי הונאות), בהן לא נדרשת אפשרות ביטול הסכמה.
ICOs: ה-ICO יוחלף על ידי ועדת המידע, והנציב ימונה יו"ר וחברים בכירים/לא בכירים. כמו כן, ישנם כללים חדשים בנוגע להליכי תלונות.
יועץ המידע, הפרטיות והסייבר של Ropes & Gray, אדוארד מאצ'ין, טוען כי חלק מהצעדים אמורים לסייע בהקלת הבירוקרטיה עבור ארגונים רבים.
"למרות שנויה במחלוקת, הקלת הדרישות סביב קבלת החלטות אוטומטית הכוללת נתונים אישיים שאינם רגישים תתרום במידה מסוימת להקל על נטל הציות עבור ארגונים המבצעים עיבוד מסוג זה - במיוחד בהקשר של פיתוח ושימוש בבינה מלאכותית", הוא אומר ל-ISMS.online.
"והבהרת המושג 'עיבוד נוסף' באופן כללי, והרחבת ההגדרה של 'מחקר מדעי' באופן ספציפי, יאפשרו - אם לא יצמצמו את הבירוקרטיה כשלעצמה - לארגונים לעבד נתונים אישיים במגוון רחב יותר של תרחישים מאשר כיום."
התחל עם עוגיות
חשוב לציין, מומחים משפטיים אינם מאמינים כי חקיקה תשפיע על מעמד הלימות של בריטניה, ולכן על זרימת הנתונים עם האיחוד האירופי.
"למרות שהם נרחבים, השינויים המוצעים על ידי [החוק] אינם הולכים רחוק עד כדי שינוי עקרונות היסוד של ה-GDPR שעליהם מבוסס המשטר הקיים", אומרת שרה פירס, שותפה בהאנטון אנדרוז קורת'. "ככזו, החקיקה החדשה לא אמורה להשפיע על החלטת ההתאמה של בריטניה כאשר היא תיבחן על ידי הנציבות האירופית בסוף השנה הנוכחית."
אז, מה צריכים קציני ציות לבחון קודם? חברת Ropes & Gray's Machin ממליצה לבחון את נוהלי העוגיות והשיווק האלקטרוני.
"למרות שהחוק מרחיב את סוגי העוגיות והמטרות הנחשבות "הכרחיות לחלוטין", הוא גם מגדיל את הקנסות המקסימליים במסגרת PECR כדי להתאים אותם ל-GDPR בבריטניה - כלומר, הגבוה מבין 17.5 מיליון ליש"ט או 4% מהמחזור השנתי העולמי", הוא מסביר.
"כל הארגונים יצטרכו להפעיל את התהליך החדש לתלונות של אנשים פרטיים, אשר יש להפנות תחילה לבקר לפני הגשתן ל-ICO. הדבר ידרוש עדכונים בהודעות הפרטיות ובתהליכים הפנימיים כדי להבטיח שתלונות כאלה יטופלו כראוי."
מאצ'ין מוסיף כי יהיה צורך בתהליך מיפוי מקיף יותר כדי להבין כיצד הוראות החוק ישפיעו על התהליכים הנוכחיים.
"במקרים רבים זה לא יביא לשינויים משמעותיים בתוכניות הקיימות של תאימות ה-GDPR בבריטניה", הוא מסכם.
"עם זאת, תוכניות שיתוף הנתונים והאימות הדיגיטלי שהחוק מסמיך את מזכיר המדינה להציג יכללו מגוון דרישות משפטיות וטכניות חדשות ומשופרות, וארגונים שרוצים - או נדרשים - להשתתף בתוכניות אלו צריכים לעקוב מקרוב אחר ההתפתחויות בתחום זה."
