Відповідність даних у Великобританії вступила на нову фазу 10 липня 2025 року, коли Закон про дані (використання та доступ) 2025 р. Введений розділ 164b, що вимагає контролерів повідомляти Управління комісара (ICO) про обсяги скарг, отримані відповідно до розділу 164A. Згідно з законодавчою рамкою, “Державний секретар може за правилами вимагати від контролера повідомити Уповноваженого про кількість скарг, поданих контролеру відповідно до розділу 164А в періоди, зазначених або описаних у Правилах”.
Поправка є найбільш суттєвим посиленням зобов’язань щодо звітності про захист даних Великобританії після впровадження GDPR Великобританії. Контролери, що працюють у різних секторах, включаючи маркетингові технології, рекламні платформи та електронну комерцію, тепер повинні встановлювати систематичні механізми відстеження скарг, що перевищують протоколи реагування.
ТОВ «Bird & Bird LLP» підготував комплексні графіки кілінгу, документуючи ці зміни. Згідно з аналізом фірми, опублікованим 10 липня 2025 року, “контролери тепер зобов'язані надати показники щодо своїх відповідей на запити на захист даних Великобританії”. Рут Бордман, співавтор практики конфіденційності та захисту даних Bird & Bird, зазначила, що положення можуть встановлювати конкретні періоди звітності та обставини, що викликають вимоги сповіщення.
Підпишіться на інформаційний бюлетень PPC ✉ для подібних історій, як ця. Щодня отримуйте новини у своїй папці “Вхідні”. Без оголошень. 10 доларів на рік.
Підписатися
Резюме
ВООЗ: Великобританія контролери даних у всіх секторах, включаючи маркетингові технологічні платформи, рекламні мережі та операції з електронної комерції, повинні виконувати нові вимоги до звітності про скаргу відповідно до нагляду за інформаційним уповноваженим.
Що: Розділ 164b Закону про дані (використання та доступ) 2025 передбачає контролери повідомляти про ICO про обсяги скарг, отримані відповідно до розділу 164А, встановлення систематичних зобов’язань відстеження та звітування щодо скарг на захист даних, що знаходяться поза існуючими вимогами реагування.
Коли: Законодавство отримало королівську згоду 10 липня 2025 року, а терміни впровадження повинні бути встановлені за допомогою вторинних правил протягом приблизно 18-місячного періоду, що дозволяє проводити розклади, що стосуються сектору.
Де: Вимоги застосовуються по всій Англії, Уельсі, Шотландії та Північній Ірландії для всіх заходів з обробки даних, що підлягають законодавству про захист даних Великобританії, що впливає на як внутрішні, так і міжнародні організації, що обробляють персональні дані Великобританії.
Чому: Рамка спрямована на підвищення правозастосування захисту даних за рахунок систематичного моніторингу моделей скарг та ефективності реагування, забезпечуючи регуляторам комплексних інструментів нагляду, забезпечуючи, щоб люди отримували відповідні засоби захисту від порушень захисту даних.
Підпишіться на інформаційний бюлетень PPC ✉ для подібних історій, як ця. Щодня отримуйте новини у своїй папці “Вхідні”. Без оголошень. 10 доларів на рік.
Підписатися
Вимоги технічного впровадження
Розділ 164b надає Державному державному регуляторному органу для визначення механіки сповіщення. Відповідно до законодавчого тексту, положення можуть включати “положення про питання, перелічену в підрозділі (4), або положення про надання повноважень Уповноваженню для визначення цих питань”. Ці питання охоплюють форму та спосіб сповіщення, параметри часу та методології розрахунку обсягів скарг протягом визначених періодів.
Законодавство встановлює, що контролери потребують звіту лише під час обставин, “визначених у правилах”, що вказує на порогову систему, а не універсальну звітність. Такий підхід відображає схеми виконання виконання, що спостерігаються в європейських юрисдикціях, де органи захисту даних продемонстрували різний рівень діяльності з примусової діяльності.
Рамка обробки скарг
Розділ 164А встановлює основу для системи звітування шляхом кодифікації процедур скарг. Контролери повинні “полегшити подання скарг відповідно до цього розділу, вживаючи таких заходів, як надання форми скарги, яка може бути завершена в електронному вигляді та іншими способами”. Положення вимагає підтвердження протягом 30 днів і зобов'язує контролерів “без надмірної затримки вжити відповідних заходів для відповіді на скаргу та повідомити скаржника про результат скарги”.
Ці вимоги узгоджуються з більш широкими європейськими тенденціями, що підкреслюють прозорість у відповідності захисту даних. Нещодавні дії з примусового виконання підкреслили важливість чіткої комунікації з предметами даних, про що свідчить штраф Spotify у розмірі 5,4 мільйона євро за збої прозорості, підтверджені шведськими судами у червні 2025 року.
Наслідки для виконання
Розділ 149 (5A) позначає невиконання розділів 164A або 164B як підстави для повідомлень про виконання. Згідно з статутною мовою, “П'ятий тип відмови – це те, де контролер не вдався або не вдається, щоб відповідати розділу 164А або з правилами відповідно до розділу 164b”. Ця класифікація розміщує порушення скарги, що займаються розладами, поряд із основними порушеннями захисту даних, такими як порушення принципу GDPR Великобританії та порушення прав даних.
Рамка примусового виконання вказує на намір уряду розглядати прозорість скарг як основне зобов'язання щодо відповідності, а не на адміністративну вимогу. Фахівці з маркетингу, що працюють з програмами програмних рекламних платформ та платформами даних клієнтів, повинні передбачати ICO ретельну перевірку процедур реагування на скарги разом із традиційними оцінками обробки даних.
Вплив на маркетингові операції
Операції з цифрового маркетингу стикаються з особливими проблемами, що впроваджують нові вимоги. Програмні рекламні платформи, що обробляють мільйони запитів на ставки щодня повинні систематично відстежувати та класифікувати скарги на захист даних. Системи управління відносинами з клієнтами потребують оновлень для зйомки метаданих скарг, необхідних для регуляторної звітності.
Час збігається з постійними дебатами щодо механізмів згоди на європейських ринках. Постачальники маркетингових технологій, що розгортають моделі “згоди або оплата”, можуть зазнати збільшення обсягів скарг, оскільки захисники конфіденційності кидають виклик цим практикам через канали захисту даних.
Моделювання атрибуції та технології сегментації аудиторії також повинні підготуватися до посиленого контролю. Останні розробки в обробці даних про навчання ШІ демонструють готовність судів вивчити деталі технічного впровадження при оцінці законних інтересів для обробки даних.
Регуляторні прецеденти
Підхід Великобританії відображає більш широкі європейські моделі правозастосування, що підкреслюють адміністративну відповідність разом із суттєвими вимогами до захисту даних. Німецька влада зіткнулася з юридичними викликами щодо затримок примусового виконання, підкреслюючи важливість систематичних процедур обробки скарг.
Шведська влада продемонструвала фінансові наслідки неадекватної прозорості. Згідно з документацією суду, порушення Spotify, зосереджені на тему “Не в змозі надати чітку та легкодоступну інформацію, необхідну для зареєстрованих користувачів для використання своїх прав відповідно до регламенту”. Розрахунок штрафу розглядав як тяжкість порушення, так і шкалу впливу користувача.
Часова шкала впровадження
Закон про дані (використання та доступ) отримав Королівську згоду, оскільки положення набувають чинності за допомогою поетапної реалізації. У розділі 212 встановлено, що більшість положень “набувають чинності в такий день, як Державний секретар може призначати правила”. Перехідні домовленості відповідно до розділів 213 та Графік 20 забезпечують гнучкість для організацій, що адаптують існуючі системи дотримання.
Контролери повинні передбачити правила, що визначають пороги звітності, методології розрахунку та процедури сповіщення протягом 18 місяців. Державний секретар зберігає повноваження щодо встановлення різних дати впровадження для різних регуляторних аспектів, що потенційно дозволяє розгортати специфічні для сектора.
Міжнародна координація
Влада Великобританії продовжує координації з європейськими колегами, незважаючи на регуляторну дивергенцію після Brexit. Нещодавні вказівки Європейської ради з питань захисту даних щодо відповідності конфіденційності моделі AI свідчать про постійне узгодження на основні принципи конфіденційності навіть у міру того, як конкретні вимоги розвиваються по -різному.
Домовленості про транскордонні передачі даних залишаються критичними для багатонаціональних маркетингових операцій. Контролери, що обробляють персональні дані Великобританії з європейських операцій з економічної області, повинні орієнтуватися як на вимоги звітності про скаргу Великобританії, так і європейські зобов'язання з прозорості згідно зі статтею 15 GDPR.
Дивлячись вперед
Рамки для звітності про скаргу сигналізують про більш широкі наміри Великобританії щодо посилення виконання захисту даних за допомогою систематичного моніторингу, а не реактивного дослідження. Фахівці з маркетингу повинні підготуватися до підвищення регуляторної видимості до моделей скарг та ефективності реагування.
Майбутні норми можуть встановлювати поріг, що стосуються галузей, що відображають обсяги скарг сектору та складність роздільної здатності. Фінансові послуги та телекомунікаційні сектори з усталеними процедурами розгляду скарг можуть зіткнутися з різними вимогами, ніж нові технологічні платформи з обмеженими історичними даними про скаргу.
