לקוחות יקרים,

ברצוננו לעדכן אתכם בדבר התפתחות חקיקתית משמעותית בתחום הגנת הפרטיות בבריטניה. לאחרונה נחקק  חוק חדש בבריטניה, ה- Data (Use and Access) Act 2025 (או בשמו המקוצר "DUAA"), שמקל חלק מהדרישות המחמירות של ה GDPR וחקיקות אירופאיות אחרות שנשארו בתוקף בבריטניה גם לאחר הברקזיט, במטרה להכניס בהירות לפעולות עיבוד נפוצות, לעודד חדשנות ושיתוף מידע אחראי בין גופים, ולסייע לגופי אכיפה במשימותיהם.

בין השינויים העיקריים ניתן למצוא:

• הקלות ביכולת של ארגונים לבצע פעולות עיבוד ולקבל החלטות המבוססות על "החלטה אוטומטית" בלבד (Automated decision-making). הקלות אלה יהיו כפופות להטמעת אמצעי הגנה על ידי הארגון, כגון: יידוע נושא המידע אודות ההחלטה המתקבלת; מתן אפשרות השגה וערעור; ומתן אפשרות לנושא המידע לבקש התערבות אנושית בקבלת ההחלטה.
• הקלות בעניין שימוש בטכנולוגיות מסוימות, למשל, קוקיות (Cookies). לפי החוק החדש, במקרים בהם הסיכון הוא נמוך (למשל, כשנעשה שימוש בקוקיות או בטכנולוגיות דומות לאיסוף מידע סטטיסטי על אופן השימוש בשירותים המקוונים של ארגון במטרה לשפר את השירות), ניתן יהיה להשתמש בטכנולוגיות אלו ללא קבלת הסכמה מפורשת מנושא המידע.
• בסיס עיבוד חוקי חדש: אינטרס לגיטימי מוכר. החוק מוסיף לבסיסים החוקיים הקיימים כבר היום בסיס עיבוד שיאפשר שימוש במידע לצרכי למימוש אינטרסים לגיטימיים מוּכָּרִים. הבדל משמעותי בין בסיס עיבוד זה לבסיס העיבוד "אינטרס לגיטימי" מהGDPR הוא פטור מביצוע תסקיר Legitimate Interest Assessment. האינטרסים המוכרים כוללים מענה למקרי חירום, הגנה על אוכלוסיות חלשות, מניעת פשיעה, הגנה על שלמות שירות ומערכות.
• הקלות לעניין שימוש במידע לצרכי מחקר. החוק מבהיר כי שימוש במידע לצרכי "מחקר מדעי" אפשרי גם כשהמחקר הינו בעל אופי מסחרי (למשל, חברת תרופות שמבצעת מחקר על מידע של מטופליה לצרכי פיתוח חיסון). בנוסף, החוק החדש מבהיר כי ככל שארגון מתבסס על "הסכמה" כבסיס חוקי לעיבוד מחקרי, ניתן לקבל הסכמה רחבה מהמטופלים לעיבוד המידע, גם כאשר מדובר במידע רגיש (למשל, הסכמה לעיבוד המידע למחקר עבור מחלות מסוימות, מבלי לקבל הסכמה נפרדת לכל אחת מהן, או לכל מחקר שנעשה בנושא). הקלה נוספת נוגעת לעקרון הגבלת המטרה שמקשה על שימושים משניים במידע. החוק החדש מסיר את הצורך לבחון האם המטרה הנוספת תואמת למטרת האיסוף המקורית, כל עוד השימוש הוא מחקרי וננקטים אמצעי זהירות כמו פסאודונימיזציה ובחינה אתית. הקלה נוספת מתייחסת לעיבודים למטרות סטטיסטיות.
• הקלות בעניין העברות מידע בינלאומיות. כידוע, העברות מידע מבריטניה נכון להיום כפופות להוראות פרק 5 ל-UK GDPR, והן דומות ברובן למנגנון האירופי (למשל, העברה לא מוגבלת למדינה שהוגדרה כבעלת "תאימות"; או העברה על בסיס "Additional safeguards" , למשל, על ידי התחייבויות חוזיות). החוק החדש מקל בהגדרות הנדרשות לבחינת מדינות "תואמות" וברמת ההגנה הנדרשת אצל מקבל המידע בהעברה על בסיס אמצעי הגנה נוספים.
• הגדרות זמני מענה לבקשות עיון של נושאי מידע. החוק החדש מגדיר זמני מענה לבקשות עיון ומספק כלים לארגונים להתמודד עם בקשות אלו (למשל, עצירת ספירת המועדים כאשר נדרש קבלת מידע נוסף מנושא המידע; מידתיות באיתור מידע במסגרת בקשות העיון; וכד').
• דרישות חדשות מארגונים המספקים שירותים אינטרנטיים מסוימים הנגישים לקטינים. ה-UK GDPR קובע כבר היום חובות להטמיע אמצעים להבטיח "עיצוב לפרטיות", תוך שקילת סיכונים לזכויות וחירויות נושאי המידע. עם זאת, הוראות אלו אינם מתייחסות באופן נקודתי לקטינים. החוק החדש מוסיף דרישות ושיקולים חדשים שצריכים להילקח בחשבון בבחינה זו.

חשוב לציין כי ה-ICO, רגולטור הפרטיות הבריטי, נחשב באירופה (ובעולם) לרגולטור מוביל בתחום הגנת הפרטיות, ועמדותיו בנושאים שונים בדיני הגנת פרטיות זוכות לא פעם לקונצנזוס רחב ומציבות לעיתים רבות את הסטנדרטים המאומצים על ידי רגולטורים אחרים באירופה ובעולם. לפיכך, על אף שמדובר בחוק מקומי בריטי, לא מן הנמנע שנראה בעתיד "זליגה" של עמדות מפתח של ה-ICO בפרשנותו את חוק זה למדינות אחרות. אנו ממליצים להמשיך לעקוב בנושא.

אנו עומדים לרשותכם לכל שאלה,

אייל שגיא, אור רוטר הפילוני, שיר שפירא פרס וצוות מחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי, ואין לעשות בו כל שימוש אחר.