第一份《数据保护与数字信息法案》,现称为“1号法案”,于2022年7月18日提出,并于2022年9月暂停。2023年3月8日,英国政府提出该法案的新版本,称为“2号法案”,供英国议会审查。
该法案目前将进入报告阶段和三读阶段,但具体日期尚未公布。虽然在这些阶段仍可进行修订,但预计该法案将于 2024 年通过。
英国数据保护和信息法案第二版将涵盖:
在英国开展业务过程中处理个人数据 德国电报数据 的组织,包括但不限于位于英国的组织;
处理英国居民的个人数据以向其提 供服务或监控其行为的外部组织。
这意味着该法案将适用于处理英国居民数据的任何企业,无论其位于何处。
旧法案与新法案的比较
新法规对许多定义进行了修改,大部分修订都澄清了特定术语的含义或为每项规范提供了更多背景信息。
该法案更新了个人数据、目的限制和合法利益的定义。它还对数据传输、处理与科学研究相关的数据或信息专员办公室 (ICO) 和数据保护官 (DPO) 的作用应用了新规则。此外,它还澄清了新法律将适用于哪些组织。
此外新后的法案通过引
入简单、清晰、业务友 营销和分析 好且易于实施的框架,为组织在合规方面提供了更大的灵活性。它比欧盟 GDPR 规则宽松,使组织更容易遵守。
此外,这项改革预计将在未来十年为英国经济带来 47 亿英镑的节约。相比之下,2021 年数据驱动贸易的收益估计为 2590 亿英镑。与此同时,这项法律引起了隐私监督机构的担忧,他们声称该法律优先考虑企业的需求,而不是个人的权利。
下面我们将描述英国法律
不同版本之间最重要的区别,并解释它们对您的业务的影响。
个人资料
个人信息过去被定义为与已识别或可识 活动——都是为了提高我们自己 别个人有关的任何信息。更新版本修订了此定义,以帮助确定信息是否与“可识别”个人有关。
它从两个方面限制了评估。首先,它将识别工作留给了控制者、处理者或任何可能接收信息的第三方。其次,识别工作只能通过“合理手段”进行。
这些规则比 GDPR 限制少得多
尤其是在个人数据的定义方面。这项修正案肯定会受到企业的欢迎,但专注于隐私合规的组织可能不赞成这一变化。
合法权益
“合法依据”是指使处理个人数据 比特币数据库 合法的依据。合法 营销和分析 依据通常用于限制处理个人信息。其中之一就是合法利益。
基于合法利益可处理的数据可能包括:
针对特定个人的广告材料的直接营销传播所必需的处理;
内部管理所必需的处理;
网络和信息系统安全所必需的处理。
专业提示
请记住处理数据需
要进行一些严肃的评估,因此仅依靠合法利益来证明所有直接营销活动的合理性可能会非常危险,甚至是不可能的。
申请合法利益时,您必须进行三部分测试并记录结果。此测试通常称为合法利益评估 (LIA)。
评估包括:
目的测试,在其中您确定您的目的并决定它是否算作合法利益;
必要性测试,其中您考虑处理对于您确定的目的是否确实是必要的;
平衡测试,其中您要考虑个人的利益和基本权利,以及这些是否凌驾于您已确定的合法利益之上。
要决定结果,您需要权衡所有已确定的因素,并决定是否应将自己的利益置于个人风险之上。您应该尽可能客观。您还可以证明可以证明您已确定的任何风险是合理的。
更新后的英国法案将为
特定的重要公共 营销和分析 利益纳入新的“公认的合法利益”法律基础,例如民主参与、国家安全、公共安全和国防、处理公共利益所需的数据、保护弱势群体以及侦查、逮捕或调查犯罪。
随着英国议会通过《数据保护和数字信息法案》,控制者很可能会随着时间的推移增加其他目的。
曲奇饼
在任何情况下,使用Cookie和类似技术均需征得同意,除非绝对必要。常见示例包括以下 Cookie:
用于记住用户想要购买的商品;
遵守英国 GDPR 至关重要;
确保页面内容快速有效地加载;
用于分析目的;
用于在用户返回网站时识别用户。
根据 PECR,除非您满足所谓的“软选择”豁免要求,否则需要征得同意。目前,这仅适用于商业目的或非营利组织。但需要注意的是,慈善机构不能在收集捐款时使用它。
在新法案中,软选择豁免将扩大至非商业组织,涵盖同意:
用于进一步的慈善、政治或其他非商业目的;
在表达兴趣时获取的联系方式;
向收件人提供明确、简单的反对指示。
至于 Cookie,无需获得同意的要求的新豁免列表包括:
安装必要的安全更新;
确保遵循用户偏好;
为统计目的收集有关如何使用网站的信息以进行改进。
这一变化对于许多使用分析性 cookie 的企业来 营销和分析 说至关重要——因为他们要么处理过数据丢失,要么采取基于风险的方法来应对可能采取的执法行动。
目前仍不清楚明确同意要求的众多例外情况将如何实施。