Великобритания на пороге значительных изменений в области защиты данных с принятием Закона о данных (DUA Bill). Этот законопроект, который завершил свое прохождение через парламент 11 июня 2025 года, ожидает королевского одобрения. Основная цель DUA Bill — обновить существующую систему защиты данных, чтобы поддержать инновации в таких областях, как искусственный интеллект и научные исследования, при этом сохраняя соответствие основным принципам Общего регламента по защите данных (GDPR).
Законопроект охватывает широкий спектр тем, включая инициативы по обмену данными и цифровые идентификационные услуги, но избегает более спорных предложений, которые были в предыдущем законопроекте о защите данных и цифровой информации. Рассмотрим ключевые изменения, которые могут повлиять на компании, работающие с личными данными в Великобритании.
Первое важное изменение касается автоматизированного принятия решений (ADM). Ранее GDPR запрещал принимать решения, основанные исключительно на автоматизированной обработке, если это могло повлечь за собой юридические последствия для человека. DUA Bill снимает это ограничение при соблюдении определенных условий и наличия необходимых мер защиты. Это открывает новые возможности для использования автоматизации в бизнесе, при этом права граждан на пересмотр решений и получение информации о них остаются защищенными.
Второе изменение касается научных исследований. Законопроект уточняет определение научного исследования, включая коммерческие и частные проекты, и вводит более гибкие правила для дальнейшей обработки данных в научных целях. Это особенно важно для компаний, занимающихся долгосрочными исследованиями или обучением моделей ИИ.
Также DUA Bill вводит новый список "признанных законных интересов", которые не требуют проведения теста на балансировку. Однако этот список в основном касается вопросов, не относящихся к коммерческим интересам, таких как безопасность государства или предотвращение преступлений.
Кроме того, штрафы за нарушения правил прямого маркетинга и использования электронных коммуникаций теперь будут соответствовать штрафам по GDPR, что значительно увеличивает риски для компаний, нарушающих эти правила.
Для бизнеса это означает необходимость пересмотра стратегий обработки данных и обновления внутренних политик в соответствии с новыми требованиями. Ожидается, что закон вступит в силу в конце июня 2025 года, и компании получат время для адаптации к изменениям.