В июне 2025 года в Великобритании вступил в силу новый закон под названием Data Use and Access Act 2025 (DUAA), который существенно обновляет несколько важных аспектов существующего законодательства о защите персональных данных. Эти изменения направлены на создание баланса между защитой прав граждан и активным стимулированием инноваций, а также облегчением регулирования для организаций. Важность поправок нельзя недооценивать: они обещают пересмотреть подход к обработке данных, повысить гибкость в использовании личной информации и в то же время сохранять высокий уровень защиты прав субъектов данных. При этом изменения будут вводиться поэтапно с июня 2025 по июнь 2026 года, что позволит бизнесу адаптироваться без резких потрясений. Одним из ключевых моментов реформы является то, что Data Use and Access Act не заменяет действующий UK GDPR и Закон о защите данных 2018 года, а именно дополняет их.
Также он вносит корректировки в правила, касающиеся электронной коммуникации, что влияет на использование интернет-технологий и cookie-файлов. Одним из важных нововведений связано с расширением возможностей для научных исследований с использованием персональных данных. Закон чётко уточняет, что личные данные можно использовать для коммерческих научных исследований, если получено так называемое «широкое согласие» на исследовательскую область, а не на каждую конкретную цель. При этом организации освобождаются от необходимости отправлять каждому участнику отдельное уведомление, если сделать это технически сложно, при условии, что права граждан остаются защищёнными, а информация об исследовании опубликована на сайте. Это способствует активному развитию инновационных проектов и исследований, особенно в сфере высоких технологий и медицины.
Новые положения также значительно облегчают использование автоматизированных систем принятия решений на основе персональных данных. В частности, расширяется перечень правовых оснований, которые организации могут применять для таких действий, включая возможность опираться на законный интерес. Это означает, что бизнес получает дополнительные возможности для внедрения интеллектуальных алгоритмов и машинного обучения, при условии соблюдения всех необходимых гарантий защиты конфиденциальности. Особое внимание уделено правилам работы с cookie-файлами, что является реакцией на потребности веб-разработчиков и маркетологов. Закон позволяет устанавливать определённые виды файлов cookies без необходимости запрашивать явное согласие пользователей, например, для сбора статистической информации и улучшения функциональности сайтов.
Это упрощает процесс работы с посетителями, делая интернет-среду более комфортной и инновационной, при этом сохраняется контроль над более чувствительной информацией. Важным шагом к упрощению работы для организаций является появление нового классифицированного законного основания — «признанных законных интересов». Если данные используются для конкретных государственных задач, например, обеспечения общественной безопасности, организации больше не обязаны проводить сложный анализ баланса интересов. Это позволяет быстрее и эффективнее реагировать на требования государственных органов и повышает уровень безопасности общества. Еще одно значимое изменение касается передачи данных между организациями, выполняющими государственные функции.
Теперь организации могут передавать информацию, не проверяя самим, имеет ли получатель непосредственную необходимость в этих данных — ответственность за это возлагается на получающую сторону. Таким образом снижается бюрократическая нагрузка и ускоряется обмен информацией в рамках государственных структур. Для благотворительных организаций введена возможность осуществления электронного маркетинга с использованием принципа «мягкого отказа». Это значит, что благотворительные фонды могут направлять электронные письма сторонникам и людям, проявившим интерес к их деятельности, пока те не выразят явное нежелание получать такие сообщения. Такой подход способствует расширению аудитории и привлечению поддержки при сохранении уважения к личным предпочтениям.
В сфере обеспечения прав субъектов данных закон делает более однозначными требования к обработке запросов на доступ к личной информации. Организации обязаны проводить разумные и пропорциональные поиски при обращении с заявками на доступ, что снижает излишнюю нагрузку и помогает ускорить обработку. Это избавляет компании от необходимости выполнять чрезмерно трудоемкие процедуры, сохраняя при этом качество предоставляемой информации. Новый акт называет в числе обязательств для организаций учитывать особые потребности детей при предоставлении онлайн-сервисов. Если платформа рассчитана на аудиторию несовершеннолетних, необходимо принимать во внимание их интересы и защищать их данные соответствующим образом.
Этот тезис напрямую соотносится с ранее принятым Кодексом по дизайну для разных возрастных групп и формирует дополнительные гарантии защиты молодежи в сети. Ещё одним нововведением является требование по улучшению процессов рассмотрения жалоб, связанных с использованием персональных данных. Организации теперь должны обеспечивать удобные способы подачи жалоб, желательно в электронном виде, а также обязаны признавать получение жалоб в течение 30 дней и отвечать на них без неоправданной задержки. Это шаг к повышению прозрачности и повышению уровня доверия пользователей к компаниям. В свою очередь Орган по информационной комиссариату Великобритании (ICO) получил расширенные полномочия и обновлённую структуру, что позволит более эффективно регулировать новые реалии обработки данных.
ICO обещает постепенную публикацию новых руководств и обновлённой методологии, а также разрабатывает специальные кодексы практики для таких направлений, как образовательные технологии и искусственный интеллект. Всё это говорит о стремлении интегрировать защиту данных в самые передовые сферы экономики и общества с учётом интересов всех участников. Для бизнеса эти изменения открывают новые возможности для оптимизации процессов обработки личной информации, снизят административные барьеры и создадут более гибкие условия для использования данных в инновационных целях. При этом соблюдение прав пользователей и защита их личной информации останутся приоритетом, что способствует укреплению доверия клиентов и партнеров. Чтобы подготовиться к предстоящим переменам, организациям рекомендуется ознакомиться с полным перечнем нововведений, оценить влияние каждого изменения на свои процессы, а также обратить внимание на улучшение механизмов обработки жалоб и особое внимание уделить защите данных детей в рамках своих онлайн-сервисов.
