作為英國政府改革資料保護制度提案的一部分,《Data (Use and Access) Act 2025》(下稱「本法」)已於2025年6月19日獲御准通過(Royal Assent)。2026年2月,該改革的重要階段正式實施,即《Data (Use and Access) Act 2025 (Commencement No. 6 and Transitional and Saving Provisions) Regulations 2026 (SI 2026/82)》正式生效。
以下為可能影響您企業的若干主要變更。
資料當事人存取請求(DSARs)
資料控制者往往需要投入大量資源,以確保其處理DSAR的方式符合法規要求。然而,隨著時間推移,DSAR越來越常被用於僱傭爭議中,作為員工蒐集證據支持其主張及/或對僱主造成困擾的工具。因此,DSAR制度中的若干部分已作出調整,以減輕資料控制者的實務負擔。
- 組織僅需進行「合理且相稱」的搜尋,無需進行更全面或窮盡式的搜尋。
- 回覆DSAR的一個月期限,將自組織收到 DSAR 起開始計算;但若組織要求進一步資料以核實資料當事人的身分,則在收到該等資料前,時限將暫停計算。
- 若DSAR屬過度或明顯無根據,資料控制者可就該請求收取費用,而一個月的回覆期限亦將於費用支付後才開始計算。
國際資料傳輸
在評估將個人資料傳輸至英國境外的風險時,現時的標準已改為:接收資料的國家,其資料保護標準是否「不會實質低於」英國GDPR為資料當事人提供的保障標準。過往則要求必須達到完全等同的保護水平。
此項變更可能使更多第三國被認定為符合資料傳輸的「充分性」要求,從而使企業能更容易將個人資料傳輸至全球更多地區。
自動化決策(ADM)
由於自動化決策(ADM)的不當使用可能對資料當事人造成重大損害,因此其在 UK GDPR 下受到嚴格規管。本法所作的修改,可能允許更廣泛地使用 ADM 技術。
- 組織現可在部署 ADM 時依據任何合法處理基礎,提是必須設有強制性保障措施。
- 現時僅在所處理的個人資料全部或部分屬於特殊類別資料(special category data)時,ADM 才會被禁止。特殊類別資料包括:種族來源、性取向、宗教信仰、生物識別資料、健康資料、政治立場及工會會員身分等敏感個人資訊。
- 特殊類別資料僅可於取得明確同意(explicit consent),或在處理屬合約或法律上必要且具有重大公共利益的情況下處理。
這些變更可能使企業更容易將 ADM 用於處理非特殊類別資料。
ICO的執法權力
根據本法,Information Commissioner's Office(ICO)獲授予更廣泛的執法權力,包括:
- 有權要求資料控制者及資料處理者的員工接受訪談,以支援 ICO 的調查;以及
- 根據《Privacy and Electronic Communications (EC Directive) Regulations 2003》(PECR,規管電子行銷通訊)提高罰款上限,授權 ICO 可就違反 PECR 的行為處以最高 £17.5 million 或企業全球營業額 4%(以較高者為準)的罰款。
3CS如何提供協助
我們建議您檢視企業的資料處理文件、治理制度及實務操作,以評估是否需因應上述變更而進行修訂或更新。我們具備協助客戶理解資料私隱義務及確保符合 GDPR 與 UK GDPR 等法規的豐富經驗,因此可協助您完成相關評估。我們亦定期為員工提供培訓及工作坊,並協助進行私隱合規審核,以及起草以下文件: 私隱政策及通知; 資料處理活動紀錄; 海外個人資料傳輸合約; Cookies 政策。
我們亦可就資料外洩事件管理及回應資料當事人存取請求提供法律意見。如需有關資料私隱或上述變更對您企業影響的法律意見或指引,歡迎與我們聯絡。
