Законопроект об использовании и доступе к данным: что это такое и как он влияет на британский бизнес?

23 октября законопроект о данных (использование и доступ) был официально опубликован и прошел первое чтение в Палате лордов Великобритании. По данным правительства, предоставляя более широкий доступ к данным потребителей для улучшения государственных услуг, законопроект подстегнет экономику на 10 миллиардов фунтов стерлингов.

Новое законодательство включает новые правила обмена данными в таких секторах, как здравоохранение, правоохранительные органы и коммунальные службы, что повысит эффективность, в конечном итоге приводя к экономии средств. Например, коммунальные компании теперь должны раскрывать местоположение своей подземной инфраструктуры для национальной карты труб и кабелей, что снизит риск несчастных случаев при рытье.

Кроме того, обмен данными позволит разрабатывать цифровые службы проверки, оцифрованные записи о рождении и смерти и схемы «умных данных», которые позволяют компаниям и потребителям безопасно делиться своей информацией с третьими лицами, например, для персонализированных финансовых консультаций. Исследователи в области онлайн-безопасности и защиты детей также получат более легкий доступ к данным от поставщиков интернет-услуг.

Ожидалось, что этот законопроект будет называться «Законопроект о цифровой информации и интеллектуальных данных», поскольку именно так он был указан в справочных записках к речи короля в июле. Он появился после того, как предыдущая итерация, выдвинутая бывшим консервативным правительством, «Законопроект о защите данных и цифровой информации», была отозвана.

Поскольку законопроект DUA затрагивает не только несколько секторов, британские компании должны знать, нужно ли им вносить какие-либо изменения в процессы, связанные с данными. Действительно, законопроект уполномочивает власти налагать штрафы за несоблюдение.

TechRepublic рассказывает, какие изменения в регулировании были внесены и как ваш бизнес может им соответствовать.

Какие изменения внес законопроект DUA?

Законопроект объемом 262 страницы устанавливает много новых правил, но вот основные из них, которые следует знать.

Доступ к данным клиентов и бизнеса

Законопроект дает государственному секретарю и казначейству полномочия устанавливать правила доступа к данным клиентов и предприятий. Это включает:

Предоставление данных напрямую клиентам или уполномоченным третьим лицам. Обеспечение соблюдения стандартов обработки данных и соответствия через назначенные «органы интерфейса». Наложение финансовых штрафов на организации, которые не соблюдают правила доступа к данным.

Услуги цифровой проверки

Законопроект DUA устанавливает нормативную базу для услуг, проверяющих цифровые личности, в том числе:

Создание структуры доверия для цифровой проверки и кодексов поведения. Регистрация одобренных услуг и выдача «знака доверия» для проверенных поставщиков. Разрешение государственному секретарю устанавливать стандарты для этих услуг для обеспечения точности и конфиденциальности.

Национальный реестр подземных активов

Законопроект создает национальный реестр подземных активов, таких как линии электропередач, водопровода и коммунальных коммуникаций, в Англии, Уэльсе и Северной Ирландии для содействия общественной безопасности и обслуживанию инфраструктуры.

Оцифрованные регистры рождений и смертей

Законопроект обновляет методы ведения и доступа к записям о рождении и смерти, позволяя использовать цифровые форматы вместо бумажных.

Защита данных и конфиденциальность

Были установлены новые правила законной обработки данных, включая особые категории прав субъектов данных и автоматизированное принятие решений, в соответствии с Законом о защите данных 2018 года и GDPR.

Компании должны быть прозрачны в отношении того, когда соответствующие решения принимаются системой или алгоритмом ИИ, и должны предоставлять отдельным лицам возможность запросить человеческий надзор. Субъекты данных, любые, чьи данные хранятся в организации, также имеют право запрашивать доступ, исправления, удаление или ограничения. Организации должны предоставлять механизмы для жалоб на обработку данных.

Электронные коммуникации

Были установлены правила для электронных коммуникаций с целью защиты личной конфиденциальности, включая правила об утечках персональных данных и хранении данных устройств. Он пересматривает существующие Правила конфиденциальности и электронных коммуникаций, например, предписывая определенные периоды, в течение которых организации должны сообщать об утечках персональных данных Комиссару по информации.

Информационная комиссия и координация с другими регулирующими органами

Информационная комиссия теперь контролирует регулирование данных, заменив Информационного комиссара, и координирует работу с другими регулирующими органами, такими как Управление по финансовому поведению для финансового сектора. Это предотвращает любые конфликты или дублирование в регулировании.

Использование данных для государственных услуг и исследований

Законопроект позволяет использовать персональные данные для улучшения предоставления государственных услуг и в исследовательских целях, включая онлайн-безопасность и защиту детей, аналогично Закону ЕС о цифровых услугах. В рамках этого, поставщики интернет-услуг должны хранить информацию в определенных случаях, таких как расследование смертей несовершеннолетних.

СМ.: Google и Meta критикуют правила Великобритании и ЕС в области искусственного интеллекта

Что необходимо сделать предприятиям для соблюдения законопроекта?

Обеспечьте клиентам возможность запрашивать доступ к своим данным, а уполномоченным третьим лицам — доступ к данным после одобрения клиента. Обеспечьте прозрачность данных, касающихся товаров, услуг и цифрового контента, предоставляемых компанией, включая отзывы, цены и условия использования. В зависимости от требований отрасли компаниям может потребоваться присоединиться или создать «органы интерфейса», которые управляют системами доступа к данным и обеспечивают соблюдение стандартов. Для компаний, предоставляющих финансовые услуги, может потребоваться соблюдение правил интерфейса Управления по финансовому поведению. Если компания предоставляет услуги цифровой проверки, она должна придерживаться «структуры доверия» цифровой проверки и кодексов поведения, изложенных в законопроекте. Убедитесь, что обработка данных клиентов и бизнеса, особенно касающихся здоровья, биометрии или финансов, соответствует GDPR и уважает права субъектов данных. При использовании автоматизированного принятия решений, особенно с персональными данными, убедитесь, что процесс соответствует требованиям законодательства, и включите прозрачность и гарантии, позволяющие субъектам данных оспаривать решения. Ведите подробные записи всех методов сбора, обработки и обмена данными и проводите внутренние аудиты для проверки соответствия во избежание нарушений. Обновите политику конфиденциальности, чтобы четко объяснить использование данных, предоставление третьим лицам доступа и права клиентов в соответствии с законопроектом. Подготовьте соглашения об обмене данными для сторонних поставщиков, в которых изложены обязанности и обязательства по соблюдению каждой стороны в соответствии с законопроектом. Создайте структурированные процессы для рассмотрения жалоб, связанных с доступом к данным и их обработкой, которые могут включать привлечение внешних арбитров или юридические апелляции. Некоторые предприятия могут облагаться сбором для финансирования регулирующих органов или интерфейсных служб. Они должны заложить в бюджет и оплатить соответствующие сборы. Если ваш бизнес устанавливает сборы за доступ к данным или услуги, связанные с данными, обеспечьте соблюдение правил установления сборов, изложенных в законопроекте.

Примечание: предприятия сферы финансовых услуг или здравоохранения и социального обеспечения могут иметь дополнительные отраслевые правила и исключения, которым необходимо следовать.

Технологии, которые следует учитывать

Предприятия могут рассмотреть возможность инвестирования в новые технологии, способствующие соблюдению законопроекта DUA, например:

Платформы доступа к данным и управления: они помогают управлять запросами на доступ к данным и отслеживать соответствие требованиям. Например, Informatica. Платформы данных клиентов: они централизуют данные клиентов, способствуя прозрачности. Например, Salesforce Data Cloud. Системы цифровой проверки личности: правительство предоставило список сертифицированных служб. Например, Onfido. Решения по управлению конфиденциальностью данных и согласием: эти инструменты управляют согласием клиентов и обеспечивают соответствующую обработку данных. Например, OneTrust. Решения по защите данных и шифрованию: они защищают данные для обеспечения соответствия требованиям безопасности. Например, Microsoft Purview Information Protection. Инструменты автоматизации запросов на доступ субъектов данных: они помогают управлять запросами на персональные данные. Например, OneTrust. Системы мониторинга соответствия требованиям данных: такие инструменты непрерывно оценивают, соблюдает ли организация нормативные требования. Например, SAP Master Data Governance. Инструменты управления разрешением жалоб: они делают то, что обещают! Например, Zendesk.

Что дальше?

Законопроект DUA опубликован, но должен пройти еще несколько стадий до полного принятия. Дата второго чтения в Палате лордов. Следующий шаг пока не объявлен.

Однако законопроект о защите данных и цифровой информации, на котором во многом основывался законопроект DUA, был значительно продвинут до того, как Консервативная партия ушла от власти в июле, что говорит о том, что существенных препятствий возникнуть не должно.