Dự luật Bảo vệ Dữ liệu và Thông tin Kỹ thuật số (DPDI) là đạo luật bảo vệ dữ liệu quan trọng đầu tiên kể từ khi Vương quốc Anh rời Liên minh Châu Âu (EU) bốn năm trước. Thay vì thay thế hoàn toàn luật pháp hiện hành, dự luật DPDI sửa đổi chế độ bảo vệ dữ liệu hiện có của Vương quốc Anh.
Trong nhiều năm, chế độ bảo vệ dữ liệu của Vương quốc Anh được liên kết với chế độ của Liên minh Châu Âu. Năm 2016, Quy định chung về bảo vệ dữ liệu (GDPR) được công bố, đây là một thay đổi lớn trong chính sách bảo vệ dữ liệu của Liên minh châu Âu, vốn đã không được cập nhật trong gần hai thập kỷ. GDPR được ban hành thành luật của Vương quốc Anh như một loạt các chính sách bảo vệ dữ liệu, đáng chú ý nhất là Đạo luật bảo vệ dữ liệu năm 2018. GDPR đã trở thành tiêu chuẩn thực tế để bảo vệ dữ liệu trên toàn thế giới.
Rời khỏi EU có nghĩa là Vương quốc Anh không còn nằm trong chế độ bảo vệ dữ liệu của EU. Tuy nhiên, do luật bảo vệ dữ liệu của Vương quốc Anh phù hợp với luật của EU, nên Vương quốc Anh có thể dễ dàng đạt được thỏa thuận về mức độ đầy đủ dữ liệu, điều này rất cần thiết để các tổ chức có trụ sở tại EU có thể tự do chia sẻ dữ liệu với những tổ chức bên ngoài EU.
Đã hai năm kể từ khi dự luật DPDI lần đầu tiên được đưa ra trước Quốc hội vào năm 2022 và hiện nó đang ở giai đoạn ủy ban tại Hạ viện.
Mọi thay đổi đối với chính sách bảo vệ dữ liệu của Vương quốc Anh sẽ được Ủy ban Châu Âu xem xét kỹ lưỡng để xác nhận xem thỏa thuận về mức độ đầy đủ dữ liệu có còn hiệu lực hay không. EU đã đặt câu hỏi với Vương quốc Anh về tính chất xâm phạm của Đạo luật Quyền hạn Điều tra năm 2016.
Dự luật DPDI đưa ra khung quy định về nhận dạng trực tuyến, được gọi là dịch vụ xác minh kỹ thuật số, nhưng không có bất kỳ yêu cầu pháp lý nào đối với việc thực thi ID trực tuyến. Mặc dù các chính sách bảo vệ dữ liệu cốt lõi của Vương quốc Anh vẫn gần giống với các chính sách của EU, nhưng DPDI đã nới lỏng một số yếu tố quy định. Tuy nhiên, điều này chỉ áp dụng cho những tổ chức không hoạt động trong EU.
Daniel Tozer, một đối tác chuyên về luật công nghệ và dữ liệu cho Luật Keystone.
Một trong những thay đổi được đề xuất là loại bỏ yêu cầu đánh giá tác động bảo vệ dữ liệu. Thay vào đó, các tổ chức sẽ phải thực hiện đánh giá để xử lý rủi ro cao.
“Bạn vẫn sẽ cần phải thực hiện các đánh giá trong đó việc xử lý dữ liệu có rủi ro cao nhưng sẽ linh hoạt hơn về cách thực hiện chúng. Bạn sẽ không cần phải tuân theo các mẫu hoặc yêu cầu cụ thể,” Anthony Lee, đối tác chuyên về công nghệ thông tin của Gunnercoke cho biết. “Nhiều doanh nghiệp sẽ coi đó là một điều tốt vì nó sẽ giảm bớt gánh nặng tuân thủ.”
Một trong những thay đổi cốt lõi là dự luật DPDI loại bỏ nhu cầu về nhân viên bảo vệ dữ liệu (DPO). Thay vào đó, nhiệm vụ của DPO có thể được giao cho một cá nhân chịu trách nhiệm cấp cao, chẳng hạn như giám đốc thông tin (CIO) hoặc giám đốc tiếp thị (CMO).
Khả năng loại bỏ DPO có cả tác động tích cực và tiêu cực. Hiện tại, DPO là một nhân vật độc lập trong nhóm điều hành, chịu trách nhiệm đảm bảo tuân thủ các chính sách bảo vệ dữ liệu phù hợp. Tuy nhiên, trong hầu hết các trường hợp, cơ quan bảo vệ dữ liệu sẽ muốn nói chuyện với những người chịu trách nhiệm xử lý dữ liệu, chẳng hạn như giám đốc thông tin nói trên, vì vậy việc kết hợp các vai trò sẽ có ý nghĩa.
Tozer cho biết: “Tozer cho biết: “Mục đích chung của cá nhân chịu trách nhiệm cấp cao là người đó phải là người đưa ra quyết định, chẳng hạn như về cách sử dụng danh sách tiếp thị hoặc bộ dữ liệu nào sẽ sử dụng để phân tích”. “Đây là những người nói có hoặc không với những điều đó, vì vậy bạn có thể hiểu tại sao, từ vị trí đó, họ là người mà ICO muốn có thể nói chuyện.”
Tuy nhiên, cũng có lập luận cho rằng việc kết hợp vai trò của DPO với CIO hoặc CMO có thể dẫn đến xung đột lợi ích. Ngay cả khi nhiệm vụ của cá nhân chịu trách nhiệm cấp cao được giao, sẽ có xung đột giữa việc muốn tối đa hóa khả năng sử dụng dữ liệu và đảm bảo tuân thủ đầy đủ các chính sách bảo vệ dữ liệu.
DPDI đã nới lỏng một số chính sách bảo vệ dữ liệu liên quan đến việc xử lý dữ liệu tự động mà không có sự đồng ý của chủ thể dữ liệu, miễn là điều đó không có tác động đáng kể đến bản thân chủ thể đó.
Dự luật DPDI cũng sẽ thay thế Văn phòng Ủy viên Thông tin (ICO) bằng Ủy ban Thông tin. Mặc dù cơ quan công quyền sẽ mất đi một số tính độc lập và trung lập do ủy viên trưởng được Bộ trưởng Ngoại giao bổ nhiệm, nhưng cơ quan này cũng sẽ có quyền hạn tăng lên và có thể đưa ra mức phạt cao hơn đối với các hành vi vi phạm dữ liệu và không tuân thủ các quy định bảo vệ dữ liệu.
Trong dự thảo hiện tại của dự luật DPDI, phần lớn từ ngữ liên quan đến những thay đổi không rõ ràng như lẽ ra phải có. Việc sử dụng thuật ngữ chủ quan để lại một số sự mơ hồ trong một số lĩnh vực xung quanh những gì được phép và không được phép liên quan đến việc xử lý dữ liệu ở Vương quốc Anh.
“Chúng ta có thể mong đợi các trường hợp thử nghiệm sẽ nhanh chóng xuất hiện tại các tòa án ở Vương quốc Anh. Tozer cho biết ICO có thể sẽ đặc biệt quan tâm đến việc ra quyết định tự động, bởi vì nhiều doanh nghiệp sử dụng một số hình thức ra quyết định tự động trong hoạt động của họ.
Dự luật DPDI có đáp ứng các tiêu chuẩn của EU không?
Những thay đổi mà dự luật DPDI sẽ mang lại cho chế độ bảo vệ dữ liệu của Vương quốc Anh sẽ chỉ ảnh hưởng đến những tổ chức hoạt động trong nước. Nếu một tổ chức đang hoạt động ở một quốc gia Châu Âu, họ vẫn phải tuân thủ GDPR. Vì nhiều tổ chức có trụ sở tại Vương quốc Anh hoạt động ở các nước châu Âu nên luật này sẽ có tác động không đáng kể đến hoạt động kinh doanh.
Lee cho biết: “Nếu một doanh nghiệp hoạt động ở Vương quốc Anh và Châu Âu, có lẽ sẽ hợp lý hơn nếu tiếp tục tuân thủ GDPR trên diện rộng thay vì có một bộ quy trình cho Vương quốc Anh và một bộ quy trình khác cho Châu Âu”.
Một rủi ro nữa là nếu chế độ bảo vệ dữ liệu của Vương quốc Anh bị Ủy ban Châu Âu cho là đã bị suy yếu đáng kể do dự luật DPDI, thì Vương quốc Anh có thể mất thỏa thuận về mức độ đầy đủ dữ liệu của mình. Nếu điều này xảy ra thì bất kỳ công ty nào hoạt động trong EU cần chia sẻ dữ liệu với một công ty ở Vương quốc Anh sẽ cần có thỏa thuận chia sẻ dữ liệu theo hợp đồng.
“Nếu dự luật, ở dạng hiện tại, được thông qua, bạn có thể thấy Vương quốc Anh có khả năng mất đi tư cách thỏa đáng vì Ủy ban Châu Âu cho rằng luật mới về cơ bản không tương đương với GDPR hoặc có thể có thách thức kiểu Schrems, ” Lee nói.
“Nếu điều đó xảy ra, thì dữ liệu chuyển từ Pháp hoặc Đức sang Vương quốc Anh sẽ cần phải được thực hiện thông qua các điều khoản hợp đồng tiêu chuẩn hoặc một số hình thức khuôn khổ phù hợp khác với tất cả những gì đòi hỏi. Điều đó sẽ gây lo ngại và bạn có thể thấy rằng các doanh nghiệp ở các nước châu Âu sẽ ít có xu hướng cho phép chuyển dữ liệu của họ sang Vương quốc Anh vì sợ không tuân thủ”.
Nếu Vương quốc Anh mất thỏa thuận về mức độ đầy đủ dữ liệu, điều này sẽ dẫn đến tăng chi phí cho các công ty cung cấp dữ liệu và dịch vụ cho Vương quốc Anh và thậm chí có thể dẫn đến việc họ từ chối hoạt động trong nước do các nghĩa vụ pháp lý và hợp đồng dự kiến đối với họ tăng lên.
Mariano delli Santi, nhân viên pháp lý và chính sách của Open Rights Group, cho biết: “Tổ chức Kinh tế Mới đã ước tính rằng việc mất đi quyết định thỏa đáng sẽ tiêu tốn từ 1 tỷ đến 1,6 tỷ bảng Anh chỉ riêng phí pháp lý”. “Việc này chỉ để luật sư xem xét hợp đồng của bạn và thay đổi các điều khoản.”
Dự luật DPDI hiện đang được Quốc hội thông qua, nhưng việc ban hành nó thành luật của Vương quốc Anh không được đảm bảo. Yêu cầu một số lợi ích từ Brexit – thông qua việc nới lỏng các yêu cầu pháp lý – gần đây là trọng tâm trong các chính sách của chính quyền hiện tại. Tuy nhiên, với kỳ nghỉ hè sắp diễn ra vào tháng 7 và cuộc tổng tuyển cử dự kiến trước cuối năm, điều đó không có gì được đảm bảo.
Nếu dự luật DPDI không được hoàng gia chấp thuận trước thời điểm diễn ra cuộc tổng tuyển cử, nó có thể không có hiệu lực. Đảng Lao động hiện đang dẫn đầu trong các cuộc thăm dò ý kiến ở Vương quốc Anh và do các chính sách của đảng này khác với các chính sách của Đảng Bảo thủ nên dự luật DPDI có thể không được theo đuổi thêm nữa hoặc có thể có hình thức khác.
Dự luật DPDI cung cấp một số lợi ích pháp lý hạn chế cho các tổ chức, đặc biệt là các công ty khởi nghiệp và doanh nghiệp vừa và nhỏ (SME), chỉ hoạt động ở Vương quốc Anh. Tuy nhiên, bất kỳ công ty nào mở rộng sang EU vẫn cần thắt chặt các chính sách bảo vệ dữ liệu của mình để đáp ứng các tiêu chuẩn của GDPR.
“Có nguy cơ thực sự là dự luật sẽ không được đưa vào sổ quy chế trước cuộc tổng tuyển cử tiếp theo. Lee nói: Nếu chúng ta có chính quyền Lao động ở phía bên kia của cuộc bầu cử, điều này ngày càng có khả năng xảy ra, họ có thể sẽ từ bỏ dự luật.
“Trong hoàn cảnh đó, có lẽ việc tiếp tục tuân thủ chế độ hiện tại là hợp lý, đặc biệt nếu doanh nghiệp của bạn mang hương vị quốc tế, thay vì đầu tư thời gian và nguồn lực để chuẩn bị cho một đạo luật có thể không bao giờ được áp dụng. ngày.”