作为英国政府改革数据保护制度提案的一部分,2025数据(使用与访问)法案(以下简称“该法案”)已于2025年6月19日正式获得批准。今年2月,则正式进入了本次改革的一个关键阶段,2025年数据(使用与访问)法案(第6号生效令及过渡与保留条款)条例2026(SI 2026/82)也正式开始生效。
以下列出了其中一些可能对贵公司产生影响的重要变化。
数据访问请求(DSAR)
数据控制者通常需要投入大量资源,以确保其在处理DSAR时符合相关法规要求。然而,随着时间推移,DSAR越来越多地被用于劳动纠纷中,员工借此收集证据,以支持自身主张,或为雇主制造麻烦。因此,DSAR的部分规定已作出调整,以减轻数据控制者在实际操作中的负担。
- 公司在回应DSAR时,仅需进行合理且在适当范围内的搜索,无需开展全面且彻底的检索。
- 回应DSAR的一个月期限自公司收到申请之日起开始计算;但如果公司要求申请人提供进一步信息以核实其身份,则在收到相关信息之前,该期限暂停计算。
- 如果DSAR属于过度请求或明显缺乏合理依据,数据控制者可就该申请收取相应费用。在相关费用支付之前,一个月的回应期限不会开始计算。
国际数据传输
如今,在评估跨境传输个人数据的风险时,英国已调整了合规标准,接收方的数据保护水平只需“不实质性低于”英国通用数据保护条例(UK GDPR),而非此前要求的完全等同。
这一变化意味着更多国家有望被认定为具备充分的数据保护能力,从而帮助公司更便捷地在全球范围内传输数据。
自动化决策(ADM)
由于自动化决策一旦被滥用,可能对数据主体造成严重损害,因此UK GDPR对此类技术的使用实施了严格监管。而此次法案的修订,则可能让ADM技术被更广泛地使用:
- 如今,只要落实了强制性的保护措施,组织在部署ADM时即可依赖任何合法的依据。
- 目前,仅在处理全部或部分涉及特殊类别数据时,ADM才会被明令禁止。所谓特殊类别数据,是指敏感个人信息,例如族裔来源、性取向、宗教信仰、生物识别信息、健康数据、政治观点以及工会成员身份等。
- 对于此类特殊类别数据,仅在取得个人明确同意,或处理行为是履行合同、法律所必需且涉及重大公共利益时,才能进行处理。
这些变化意味着,公司在处理非敏感数据时,将能够更灵活地部署ADM技术。
ICO的执法权力
根据该法案,英国信息专员办公室(ICO)将获得更广泛的执法权力,包括:
- 有权要求负责控制及处理数据的员工接受证人访问,并协助ICO开展调查;以及
- 提高2003年隐私与电子通信(欧共体指令)条例(简称“PECR”,主要规范电子营销通信)项下的罚款额度,授权ICO对违反PECR的行为处以最高1,750万英镑、或企业全球营业额4%的罚款(以较高者为准)。
3CS如何提供帮助
我们建议您审查公司的数据处理文件、治理机制及相关措施,以评估是否需要针对上述变化进行修订或更新。我们在协助客户履行数据隐私义务,并确保其符合GDPR和UK GDPR等法律法规方面拥有丰富经验,能够为您完成相关评估提供专业协助。
我们定期为员工提供培训和研讨会,开展隐私合规审计,并负责起草包括隐私政策与声明、处理活动记录、数据出境合同以及 Cookie 政策在内的各类法律文件。此外,我们还就数据泄露管理及数据主体访问请求(DSAR)的应对提供专业的法律建议。
如需获取有关数据隐私的建议、指导,或深入了解这些政策变化对公司的具体影响,请随时与我们联系。
