Nowa ustawa Data (Use and Access) Act 2025 wprowadza zmiany w zasadach korzystania z danych osobowych i w prywatności. Poniżej znajdziesz wyjaśnienie najważniejszych punktów.

Najważniejsze zmiany — w pigułce

• Więcej automatycznych decyzji (Automated decision-making, ADM)
  Firmy będą mogły częściej używać systemów automatycznych (np. algorytmów) do podejmowania decyzji, także takich, które wpływają na ludzi. Jednak prawo wymaga dodatkowych zabezpieczeń: informowania osób, umożliwienia zgłoszenia zastrzeżeń i, w wielu sytuacjach, ponownego rozpatrzenia przez człowieka.
• Prostsze reguły przy wnioskach o dostęp do danych (Subject Access Request)
  Ustawa klaruje terminy odpowiedzi na wnioski osób o dostęp do swoich danych osobowych. Wprowadza m.in. element „stop the clock” — organizacja może wstrzymać bieg czasu, jeśli oczekuje od wnioskodawcy dodatkowych informacji. Po ich otrzymaniu czas odpowiedzi znów biegnie.
• Większa ochrona dzieci (Children’s Data Protection)
  Usługi online, które mogą być używane przez dzieci, będą musiały uwzględniać ich bezpieczeństwo już na etapie projektowania.
• Badania naukowe i komercyjne (Scientific Research)
  Ustawa doprecyzowuje, że badania naukowe mogą obejmować także działania komercyjne — ale przy użyciu danych nadal obowiązują jasne zabezpieczenia i zasady.
• Nowa podstawa prawna: uzasadnione interesy (Recognised Legitimate Interests)
  Firmy będą miały dodatkową, jasno opisaną podstawę prawną (tzw. recognised legitimate interests) do przetwarzania danych w określonych celach, np. zapobiegania oszustwom czy reagowania w nagłych sytuacjach — pod warunkiem zachowania proporcji i ochrony prywatności.
• Przekazywanie danych za granicę (International Data Transfers)
  Zasady międzynarodowych transferów danych zostaną uproszczone i bardziej przejrzyste.
• Cookies i podobne technologie
  W wybranych, niskiego ryzyka sytuacjach możliwe będzie użycie technologii przechowywania/dostępu (np. cookies) bez konieczności zbierania wyraźnej zgody użytkownika.
• Rozpatrywanie skarg (Responding to Complaints)
  Organizacje będą musiały mieć prosty, czytelny sposób na przyjmowanie i rozpatrywanie skarg dotyczących użycia danych.
• Zmiany w częściach 3 i 4 ustawy o ochronie danych z 2018 r. (Parts 3 & 4 of DPA 2018)
  ‍Dotyczą one reżimu przetwarzania przez organy ścigania i służby wywiadowcze. Zmiany mają na celu uproszczenie przepisów, umożliwiają bliższą współpracę z agencjami wywiadowczymi i zapewnić spójność z regulacjami dla sektora komercyjnego.

Kogo to dotyczy?

Zmiany mogą mieć znaczenie dla:

• firm świadczących usługi online,
• administratorów danych (np. właścicieli stron i systemów CRM),
• organizatorów badań wykorzystujących dane osobowe,
• podmiotów przetwarzających dane dzieci,
• wszystkich, którzy przekazują dane poza UK.

Jeżeli prowadzisz działalność obejmującą dane osób w UK lub używasz narzędzi do automatycznego podejmowania decyzji — warto się przygotować.

Co warto zrobić teraz?

1. Sprawdź, jakie systemy przetwarzają u Ciebie dane — szczególnie automatyczne decyzje i narzędzia analizujące użytkowników.
2. Zaktualizuj politykę prywatności tak, by jasno informowała o nowych praktykach (np. o automatycznych decyzjach i możliwości odwołania).
3. Przygotuj procedury przyjmowania wniosków o dostęp do danych i sposób obsługi skarg.
4. Przeprowadź ocenę ryzyka dla danych dzieci i usług, które mogą być używane przez nie.
5. Skonsultuj przekazywanie danych międzynarodowo — upewnij się, że masz odpowiednie zabezpieczenia.
6. Zrewiduj użycie cookies i narzędzi śledzących — tam gdzie to możliwe, rozważ uproszczenie zgód zgodnie z nowymi regułami.

Kiedy zmiany wejdą w życie?

Wdrożenie poszczególnych przepisów będzie stopniowe — zmiany będą wchodzić w życie etapami (w ciągu kilku miesięcy od wejścia ustawy). Konkretne daty będą ogłaszane w przepisach wykonawczych.

‍