Den brittiska regeringens planer på att reformera dataskyddslagarna har kritiserats av aktivister och advokater för att ge för mycket makt till ministrar över integritet och datadelning, samt minska digitala rättigheter och skydd.
Lagförslaget om dataskydd och digital information, som presenterades för parlamentet den 18 juli 2022, ger mer detaljer om reformer av Storbritanniens dataskyddslandskap efter Brexit.
Medan regeringen hävdar att reformerna kommer att skydda medborgarna bättre samtidigt som företagen lättar på bördor, är advokater och civilsamhällesgrupper oroliga för att förändringarna kan leda till en lägre standard för dataskydd och undergräva digitala rättigheter som ingår i Storbritanniens allmänna dataskyddsförordning (GDPR) och Data Protection Act 2018.
Tidigare känd som Data Reform Bill, den uppdaterade lagförslaget beskrevs av Matt Warman, minister för media, data och digital infrastruktur, som en “möjlighet att ta vara på fördelarna med Brexit och omvandla Storbritanniens oberoende datalagar”.
Warman sa att bördorna av Storbritanniens nuvarande dataskyddskrav har hållit företag tillbaka från att inse fördelarna med ökad användning av personuppgifter, och tillade: “Genom att fokusera på resultat, inte kryssa i rutan, kommer vi att avlasta företag från föreskrivande krav och ge dem möjlighet att skydda personuppgifter på det mest proportionerliga och lämpliga sättet. Våra förändringar kan skapa cirka 1 miljard pund i företagsbesparingar under 10 år.
“Propositionen kommer att upprätthålla och skala Storbritanniens strategi för att stödja internationella dataflöden genom att dra nytta av dess oberoende status för att skapa partnerskap med några av världens snabbast växande ekonomier. Reformer kommer att säkerställa att mekanismerna för att överföra personuppgifter internationellt är säkra och flexibla för att hjälpa brittiska företag att växa.”
Införandet av den 192 sidor långa lagförslaget kommer en månad efter att regeringen publicerade sitt officiella svar på ett samråd om datareformpropositionen i juni 2022, där den lovade att gå vidare med ett antal ändringar av Storbritanniens dataskydd efter Brexit ramverk.
Föreslagna förändringar inkluderade att ta bort organisationers krav på att utse dataskyddsombud, att upphöra med behovet av obligatoriska dataskyddskonsekvensbedömningar (DPIA), att införa en “avgiftsordning” för begäranden om tillgång till subjekt (SAR) och att ta bort kravet på att granska data adekvata beslut vart fjärde år. Alla dessa ingår nu i den uppdaterade propositionen i någon form.
“Vi har nu bekräftelse på hur Storbritanniens dataramverk efter GDPR är tänkt att se ut”, säger Edward Machin, en senior jurist inom Ropes & Grays praxis för data, integritet och cybersäkerhet. “Nips and tucks snarare än en fullständig ansiktslyftning, även om många av de små förändringarna kan ha betydande effekter i praktiken och sannolikt inte kommer att gå obemärkt förbi när lagförslaget rör sig genom parlamentet.
“GDPR är inte perfekt och det skulle vara dumt av Storbritannien att inte dra lärdom av de lärdomarna i sitt eget tillvägagångssätt, men det går på en lina mellan förbättringar av det nuvarande ramverket och prestationsförändringar för att slita upp byråkratin i Bryssel. Mina första intryck av lagförslaget är att regeringen har hittat balansen till förmån för näringslivet och förbisett vissa frågor inom det civila samhället, så jag skulle tro att minskade rättigheter och skyddsåtgärder för individer kommer att vara områden som är inriktade på revidering innan lagförslaget färdigställs. ”
Det finns också farhågor om att den färdriktning som Storbritannien tar kan leda till att den förlorar sin datatillräcklighetsstatus med Europeiska unionen (EU), vilket tillåter ett fortsatt fritt flöde av data mellan brittiska företag och de i blocket.
EU-kommissionen beviljade Storbritannien datatillräcklighet i juni 2021, men varnade för att detta fortfarande kan återkallas om Storbritanniens nya dataskyddsregler avviker avsevärt från EU:s.
Ledamöterna har också tidigare hävdat att brittiska lagar som tillåter statliga myndigheter att komma åt och behålla bulkdata om individer som inte är misstänkta är oförenlig med GDPR, och att datadelning mellan den brittiska signalunderrättelsemyndigheten GCHQ och US National Security Agency “inte skulle skydda EU-medborgare eller invånare”.
Men Warman sa: “EU kräver inte att länder har samma regler för att ge tillräcklighet, så det är vår övertygelse att dessa reformer är förenliga med att upprätthålla ett fritt flöde av personuppgifter från Europeiska ekonomiska samarbetsområdet.”
Ytterligare ändringar
Medan samrådssvaret från juni 2022 förhandsgranskade många av de avsedda ändringarna av brittisk dataskyddslagstiftning, går det uppdaterade lagförslaget in mer i detalj och gör ett antal ytterligare ändringar som inte tidigare tillkännagavs.
Ett av de viktigaste tilläggen till lagförslaget är till exempel att det skulle göra all databehandling laglig om den bedrivs för ett “erkänt legitimt intresse”, som anges i bilaga 1 till lagförslaget. Som det ser ut inkluderar de legitima intressen som utgör en laglig grund för databehandling: nationell säkerhet, allmän säkerhet och försvar; nödsituationer och brottslighet; skydda utsatta individer; och demokratiskt engagemang.
Lagförslaget skulle dock också ge statssekreteraren omfattande befogenheter att utöka eller minska listan över legitima intressen som organisationer kan använda som grund för databehandling, samt att ändra nästan alla aspekter av lagstiftningen genom ytterligare förordningar, och därigenom kringgå parlamentariska debatt om framtida förändringar.
Mariano delli Santi, juridisk och policyansvarig vid Open Rights Group (ORG), sa: “Propositionen kommer att ta bort balanseringstestet för dataanvändning baserat på [a list of] legitima intressen. Det vill säga ett intresse kommer att anses berättigat även om det är skadligt. Regeringen kommer att ha befogenhet att ändra denna lista så snart vi tittar åt andra hållet.”
Han tillade: “Detta översätts som: regeringen vill ha makten att etablera godtyckliga lagliga grunder för dataanvändning som saknar definition, förutsebarhet och skydd mot missbruk. Riksdagen kommer att uppmanas att gummistämpla vad regeringen föreslår.”
Utöver nya befogenheter för utrikesministern innehåller lagförslaget också bestämmelser för att urvattna artikel 22 GDPR-restriktioner som skyddar människor från enbart automatiserat beslutsfattande.
Regeringen bekräftade i sitt remissvar att man inte kommer att driva ett förslag om att helt ta bort artikel 22, men sa att man överväger hur man ska ändra artikeln för att tydliggöra hur den tillämpas i praktiken. “Reformer kommer att betrakta artikel 22 som en rättighet till specifika skyddsåtgärder, snarare än som ett allmänt förbud mot enbart automatiserat beslutsfattande,” sade den. “Reformer kommer att möjliggöra implementeringen av AI-drivet automatiserat beslutsfattande, vilket ger utrymme för innovation med lämpliga skyddsåtgärder på plats.”
Som svar på lagförslagets inledning twittrade Michael Veale, docent i digitala rättigheter och reglering vid UCL: “Artikel 22, kring automatiserat beslutsfattande, är borta, ersatt av tre artiklar som i själva verket säger att normala betydande, automatiserade beslut är aldrig förbjudet men få några redan befintliga skyddsåtgärder; beslut baserade på etnicitet, sexualitet etc kräver en laglig grund.”
Återigen kommer statssekreteraren att ha befogenheter att ändra artikel 22 ytterligare, inklusive genom att lägga till eller ändra skyddskraven.
Det finns också ett antal viktiga ändringar av brottsbekämpande specifika dataskyddskrav, som för första gången någonsin fastställdes i del tre av Data Protection Act 2018.
Dessa inkluderar: polis och straffrättsliga organisationer som inte längre behöver logga en motivering för varför de har kommit åt specifika dataregister; inte längre skyldig att informera människor om att de har blivit föremål för automatiserat beslutsfattande, vilket regeringen har motiverat med att det “kan riskera att föregripa en aktiv utredning genom att tipsa en individ”; och att förlänga den tid under vilken brottsbekämpande organ måste svara på begäranden om tillgång till information med hela två månader.
Enligt de förklarande anteckningarna som publicerats av regeringen vid sidan av lagförslaget skulle det också “införa en befogenhet som gör det möjligt för statssekreteraren att utfärda ett meddelande som utser några angivna behöriga myndigheter att behandla uppgifter tillsammans med underrättelsetjänsterna enligt del 4 av DPA 2018 för nationella säkerhetsändamål.”
ORG har sagt att detta innebär att “massdatadelning kommer att tillåtas med brottsbekämpande myndigheter utan ordentliga kontroller och balanser”, vilket gör Storbritannien till en “digital polisstat”.
Tillsynsförändringar
Anteckningarna tillade att lagförslaget också kommer att “avskaffa biometri- och övervakningskamerakommissionärernas tjänster och övervakningskamerakoden. Information Commissioner’s Office (ICO), som täcker alla organs användning av alla personuppgifter, finns kvar. Lagförslaget skulle överföra dessa granskningsfunktioner till kommissionären för utredningsbefogenheter”.
Medan anteckningarna erkänner att “de nuvarande tillsynsarrangemangen för polisens användning av biometri för att hjälpa till att identifiera och eliminera misstänkta är komplexa och förvirrande för polisen (som kontrollanter) och den bredare allmänheten”, avvisade regeringen nyligen resultaten och rekommendationerna från ett hus av Lords utredning om polisens användning av framväxande teknik – som krävde en översyn av hur polisen använder artificiell intelligens och algoritmisk teknologi – hävdar att det redan finns “ett omfattande nätverk av kontroller och balanser”.
När det gäller ICO, försöker regeringen begränsa sitt oberoende genom att ge sig själv makten att fastställa och sänka kommissionärens lön, vilket tvingar den att överväga regeringens prioriteringar när de utövar sina reglerande funktioner – vilket kommer att anges i en officiell ”prioriteringsförklaring ” – och göra det så att statssekreteraren måste godkänna eventuella lagstadgade uppförandekoder innan de läggs fram i parlamentet.
ICO kommer också att ha nya uppgifter för att främja innovation och konkurrens när de utför sina dataskyddsfunktioner.
ORG sa i ett blogginlägg att ändringarna av ICO och dess funktioner “kommer att kodifiera kumpan till lag”, och tillade: “I en tid då personuppgifter kan utnyttjas för att göra alla slags fel saker, vilket visar dataskydd som en börda är fel, oansvarigt och försumligt.”
Angående ändringarna av ICO tillade Ropes & Gray’s Machin: “Det är en besvikelse att regeringen har hållit fast vid sin uppfattning att parlamentet behöver större inflytande över ICO – särskilt som att urvattna regleringsfriheten samtidigt som den trumpetar ut Storbritanniens eget självständighet som luktar hyckleri. ICO:n är inte en triggerglad eller sömnig regulator, så det är svårt att se logiken i en förändring som riskerar att undergräva dess status på den globala scenen för försumbar inhemsk nytta.”
Lagförslaget kommer också att “inrätta en juridisk person, Informationskommissionen, för att ersätta den tidigare tillsynsmyndigheten, Information Commissioner, som är strukturerad som en bolagssula”.
Anteckningarna tillade: “Typen av tillsynsmyndighetens roll och ansvar förblir i grunden oförändrad. Informationskommissionärens ämbete avskaffas, och bestämmelser görs för överföring av funktioner etc från informationskommissionären till det nya organet och för den nuvarande informationskommissionären att övergå till rollen som ordförande för informationskommissionen.”
Den 14 juli 2022 avslöjade ICO sin treåriga regelplan, som inkluderade förslag för att titta på effekterna av missbrukande marknadsföringssamtal, ompröva användningen av algoritmer i förmånssystemet, överväga effekten av användningen av AI vid rekrytering skulle kunna ha på vissa grupper och fördjupa sitt pågående regelstöd för barns integritet online.
Håll kontakten med oss på sociala medieplattformar för omedelbar uppdatering klicka här för att gå med i vår Twitter och Facebook
