《数据保护和数字信息(第 2 号)法案》即将定稿。在本周报中,我们将解释该法案的背景和影响。
《数据保护和数字信息法案》的背景是什么?
《个人信息保护和数字信息(第 2 号)法案》于 2023 年 3 月 8 日提交议会。它在很大程度上保留了 2022 年 7 月推出的《数据保护和数字信息法案》的内容,该法案现已被取代。该法案旨在减轻企业的合规负担,创造更大的灵活性,同时保持较高的数据保护标准。
该法案建议修改《英国一般数据保护条例》(UK GDPR)、《数据保护法》(DPA)和《隐私与电子通信条例》(PECR)。下面我们将详细解释其中的一些主要变化。
与 “个人数据 ”有关的改革建议是什么?
目前,根据英国 GDPR,“个人数据 ”包括与已识别或可识别的个人有关的任何信息。本法案旨在重新定义 “个人数据” 的概念,规定在哪些情况下处理的信息构成与 “可识别的在世个人 ”有关的信息。第一种情况是,在处理信息时,控制者或处理者可以用合理的方法识别在世的个人。第二种情况是控制者或处理者知道或理应知道:(a) 另一个人将会或很可能通过处理信息而获得信息;(b) 在处理时,该在世个人将被或很可能被该人以合理的手段识别。
除此之外,该法案旨在明确何时可以直接或间接地识别一个人的身份。
什么是主体访问请求?
主体访问请求 (SAR) 是个人或其代表根据英国 GDPR 第 15 条有权要求的信息(其个人数据)。目前,数据控制者可对依从 SAR 收取费用,或在 SAR “明显没有根据 ”或 “过度 ”的情况下拒绝履行。本法案旨在修订这些标准,以 “无理取闹 ”或 “过度 ”取代这些用语。这项修正案有可能扩大数据控制者拒绝遵守或收取费用的情况。
与自动决策相关的修改建议有哪些?
英国 GDPR 第 22 条限制了组织在何种情况下可以做出对个人具有法律或类似重大影响的完全自动的决定,包括那些基于个人资料描述的决定。该法案建议对第 22 条进行修订,包括将完全基于自动化处理的决定定义为 “不涉及有意义的人工参与” 的决定。该法案进一步阐明,在确定一项决定是否 “有意义的人工参与” 时,必须考虑该决定是在多大程度上通过特征分析作出的。
该法案还规定了在以下情况下,控制者需要实施的某些保障措施:当涉及数据主体的重要决定是(a) 完全或部分基于个人数据;且(b) 完全基于自动化处理。
有关国际数据传输的建议有哪些?
目前,根据英国 GDPR,个人数据可从英国转移到英国充分性法规涵盖的国家、地区或组织的接收方。充分性决定确认特定国家、地区或国际组织拥有充分的数据保护制度。《数据保护和数字信息法案》引入了新的 “数据保护测试 ”来评估充分性。新测试考虑了数据接受国提供的数据保护水平是否 “实质上低于” 英国 GDPR的要求。
3CS 如何提供帮助
我们的公司与商业律师和顾问团队拥有国内和国际专业知识,可提供全方位的公司法与商业法法律服务。如果您在遵守数据保护要求方面需要任何帮助或有任何其他问题,请与您的 3CS 联系人联系。
