《資料保護與數位資訊(第 2 號)法案》即將定稿。 在本週報中,我們將解釋該法案的背景和影響。
《資料保護與數位資訊法案》的背景是什麼?
《個人資訊保護與數位資訊(第 2 號)法案》於 2023 年 3 月 8 日提交議會。 它在很大程度上保留了 2022 年 7 月推出的《資料保護和數位資訊法案》的內容,該法案現已被取代。 該法案旨在減輕企業的合規負擔,創造更大的靈活性,同時保持較高的資料保護標準。
該法案建議修改《英國一般資料保護條例》(UK GDPR)、《資料保護法》(DPA)和《隱私與電子通訊條例》(PECR)。 下面我們將詳細解釋其中的一些主要變化。
與 「個人資料 」有關的改革建議是什麼?
目前,根據英國 GDPR,「個人資料 」包括與已識別或可識別的個人相關的任何資訊。 本法案旨在重新定義 「個人資料」 的概念,規定在哪些情況下處理的資訊構成與 「可識別的在世個人 」有關的資訊。 第一種情況是,在處理資訊時,控制者或處理者可以用合理的方法識別在世的個人。 第二種情況是控制者或處理者知道或理應知道:(a) 另一個人將會或很可能透過處理資訊而獲得資訊;(b) 在處理時,該在世個人將被或很可能被該 人以合理的手段來辨識。
除此之外,該法案旨在明確何時可以直接或間接地識別一個人的身份。
什麼是主體存取請求?
主體存取請求 (SAR) 是個人或其代表根據英國 GDPR 第 15 條有權要求的資訊(其個人資料)。 目前,資料控制者可對依從 SAR 收取費用,或在 SAR 「明顯沒有根據 」或 「過度 」的情況下拒絕履行。 本法案旨在修訂這些標準,以 「無理取鬧 」或 「過度 」取代這些用語。 這項修正案有可能擴大數據控制者拒絕遵守或收取費用的情況。
與自動決策相關的修改建議有哪些?
英國 GDPR 第 22 條限制了組織在何種情況下可以做出對個人具有法律或類似重大影響的完全自動的決定,包括那些基於個人資料描述的決定。 該法案建議對第 22 條進行修訂,包括將完全基於自動化處理的決定定義為 “不涉及有意義的人工參與” 的決定。 該法案進一步闡明,在確定一項決定是否 “有意義的人工參與” 時,必須考慮該決定是在多大程度上通過特徵分析作出的。
該法案還規定了在以下情況下,控制者需要實施的某些保障措施:當涉及資料主體的重要決定是(a) 完全或部分基於個人資料;且(b) 完全基於自動化處理。
有關國際資料傳輸的建議有哪些?
目前,根據英國 GDPR,個人資料可從英國轉移到英國充分性法規涵蓋的國家、地區或組織的接收者。 充分性決定確認特定國家、地區或國際組織擁有充分的資料保護制度。 《資料保護和數位資訊法案》引入了新的 “資料保護測試 ”來評估充分性。 新測試考慮了資料接受國提供的資料保護水準是否 “實質上低於” 英國 GDPR的要求。
3CS 如何提供協助
我們的公司與商業律師和顧問團隊擁有國內和國際專業知識,可提供全方位的公司法與商業法法律服務。 如果您在遵守資料保護要求方面需要任何協助或有任何其他問題,請與您的 3CS 聯絡人聯絡。
