GDPR-oppdatering: Hva dataloven (bruk og tilgang) betyr for samsvarsteam

Av Phil Muncaster • 3 juli 2025

En oppdatering av Storbritannias versjon av GDPR er på høy tid. Den forrige konservative regjeringen foreslo den opprinnelig via Lovforslaget om databeskyttelse og digital informasjon (DPDI)., som ikke klarte å komme gjennom Parlamentet før et administrasjonsskifte. Arbeiderpartiets initiativ, Data (Use and Access) Act (DUA Act), har endelig fått kongelig sanksjon etter en høyprofilert krangel mellom over- og underkammer om AI og opphavsrett.

Spørsmålet er hvor stort et løft det vil være for sikkerhets- og samsvarsteam å tilpasse seg det nye databeskyttelsesregimet som loven innfører?

Hvorfor trenger vi det?

Som i tidligere forsøk på å forbedre og tilpasse Storbritannias regulatoriske regime for databeskyttelse, er fokuset på å fjerne unødvendig byråkrati uten å sette grenseoverskridende datastrømmer til EU i fare. For å sikre sistnevnte kan ikke Storbritannia avvike for langt fra GDPR, ellers kan de risikere sin tilstrekkelighetsstatus som et «tredjeland».

Gitt at den digitale økonomien bidro med 154 milliarder pund i bruttoverdiøkning (GVA) i 2023, som utgjør omtrent 6.5 % av totalen, vet myndighetene at et radikalt avvik fra GDPR er uaktuelt. Det ville også være perverst, gitt at regulatoren Information Commissioner's Office (ICO) var en sentral bidragsyter til den opprinnelige reguleringen.

Regjeringen hevder at den nye loven vil gi et løft på 10 milliarder pund til den britiske økonomien i løpet av det kommende tiåret. Den peker på en utvidelse av «smarte data»-ordninger som åpen bankvirksomhet, kutt i byråkratiet for leverandører av offentlige tjenester, Og en ny tillitsmerke for leverandører av digital identitet som å bidra til å oppnå dette.

Hva er nytt?

Fra et databeskyttelsesperspektiv er de største endringene imidlertid knyttet til:

Legitime interesser: DUA-loven introduserer «anerkjente legitime interesser» som et nytt, lovlig grunnlag for behandling av personopplysninger. Dette gjør at noen organisasjoner kan behandle data uten å måtte gjennomføre en tradisjonell vurdering av legitime interesser (LIA). Det finnes også en liste over behandlingsaktiviteter (inkludert direkte markedsføring) som fortsatt krever LIA-er, noe som bør gi mer klarhet for organisasjoner.

Automatisert beslutningstaking (ADM): Loven myker opp restriksjonene for ADM i tilfeller der det ikke er snakk om spesielle kategoridata, selv om det fortsatt må iverksettes sikkerhetstiltak.

Vitenskapelig forskning: Loven utvider definisjonen til all forskning som «med rimelighet kan beskrives som vitenskapelig, enten den er offentlig eller privat finansiert og enten den utføres som en kommersiell eller ikke-kommersiell aktivitet». Det betyr at privatfinansiert og kommersiell forskning vil dra nytte av unntak for behandling av data i spesielle kategorier.

Internasjonale dataoverføringer: Statssekretæren vil kunne godkjenne tredjeland og avgjøre om et destinasjonslands databeskyttelsesstandarder ikke er «vesentlig lavere» enn de i Storbritannia, i stedet for de eksisterende «i hovedsak tilsvarende» beskyttelsene.

Spesiell kategoridata: Statssekretæren vil også ha nye fullmakter til å endre hva som kan klassifiseres som data av spesiell kategori – noe som krever ekstra beskyttelse.

Forespørsler om innsyn fra registrerte (SAR-er): Loven klargjør at registrerte kun har rett til informasjon fra et «rimelig og forholdsmessig» søk utført av virksomheten. Organisasjoner kan nå ha opptil tre måneder under visse omstendigheter til å svare på SAR-er. Dette er utformet for å redusere den administrative byrden for bedrifter.

Formålsbegrensning: Loven klargjør hva som utgjør «videre behandling».

Barnas data: Loven introduserer et nytt konsept om «saker knyttet til høyere beskyttelse av barn», som ICO må vurdere når de regulerer selskapers ansvar.

Forskrift om personvern og elektronisk kommunikasjon (PECR): Nye regler for informasjonskapsler er utformet for å gjøre overholdelse av regler mindre byrdefullt for bedrifter. Det finnes unntak fra kravet om å innhente samtykke for visse ikke-essensielle informasjonskapsler (f.eks. innsamling av statistiske data for å forbedre utseendet eller ytelsen til et nettsted, tilpasning av et nettsted til en brukers preferanser eller forbedringer av tjenester eller et nettsted). Det finnes også en lang liste over formål for bruk av informasjonskapsler som anses som strengt nødvendige (f.eks. sikkerhet og svindeldeteksjon), der det ikke kreves noen form for avmelding.

ICOer: ICO vil bli erstattet av informasjonskommisjonen, og kommisjonæren med en leder og utøvende/ikke-utøvende medlemmer. Det er også nye regler for klageprosedyrer.

Advokat Edward Machin fra Ropes & Gray innen data, personvern og cybersikkerhet hevder at noen av tiltakene bør bidra til å lette byråkratiet for mange organisasjoner.

«Selv om det er kontroversielt, vil myknelsen av kravene rundt automatisert beslutningstaking som involverer ikke-sensitive personopplysninger bidra til å lette samsvarsbyrden for organisasjoner som foretar denne typen behandling – spesielt i forbindelse med utvikling og bruk av kunstig intelligens», forteller han til ISMS.online.

«Og å avklare begrepet «videre behandling» generelt, og utvide definisjonen av «vitenskapelig forskning» spesifikt, vil – om ikke redusere byråkratiet som sådan – tillate organisasjoner å behandle personopplysninger i et bredere spekter av scenarier enn det som er tilfelle i dag.»

Start med informasjonskapsler

Avgjørende er det at juridiske eksperter ikke tror at lovgivningen vil påvirke Storbritannias tilstrekkelighetsstatus og dermed dataflyten med EU.

«Selv om de er omfattende, går ikke endringene som foreslås i [loven] så langt at de endrer de underliggende prinsippene i GDPR som det eksisterende regimet er basert på», sier Sarah Pearce, partner hos Hunton Andrews Kurth. «Derfor bør ikke den nye lovgivningen påvirke Storbritannias tilstrekkelighetsvedtak når det gjennomgås av Europakommisjonen ved utgangen av dette året.»

Så, hva bør compliance-ansvarlige se på først? Ropes & Gray's Machin anbefaler å se på praksis for informasjonskapsler og elektronisk markedsføring.

«Selv om loven utvider typen informasjonskapsler og formål som anses som «strengt nødvendige», øker den også de maksimale bøtene i henhold til PECR for å samsvare med den britiske GDPR – dvs. det høyeste beløpet av 17.5 millioner pund eller 4 % av den årlige globale omsetningen», forklarer han.

«Alle organisasjoner må operasjonalisere den nye prosessen for klager fra enkeltpersoner, som først må rettes til behandlingsansvarlig før de sendes til ICO. Dette vil kreve oppdateringer av personvernerklæringer og interne prosesser for å sikre at slike klager håndteres på riktig måte.»

En mer omfattende kartleggingsprosess vil også være nødvendig for å forstå hvordan lovens bestemmelser vil påvirke nåværende prosesser, legger Machin til.

«I mange tilfeller vil ikke dette føre til vesentlige endringer i eksisterende britiske GDPR-samsvarsprogrammer», konkluderer han.

«Når det er sagt, vil ordningene for datadeling og digital verifisering som loven gir utenriksministeren myndighet til å innføre, innebære en rekke nye og forbedrede juridiske og tekniske krav, og organisasjoner som ønsker – eller er pålagt – å delta i disse ordningene, bør følge nøye med på utviklingen på dette området.»

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 5 mars 2026

Britiske finansforetak svikter fortsatt med det grunnleggende, advarer Boe.

Britiske finansselskaper svikter fortsatt i det grunnleggende, advarer BoE

Storbritannias finanssektor presterer langt over gjennomsnittet. London er en god nummer to etter New York som verdens fremste finansknutepunkt, og ...

Phil Muncaster

Cyber sikkerhet 17 februar 2026

Hva LastPass-bruddet forteller oss om samsvar i 2026

GDPR var alltid ment å være vag. Ved å ikke liste opp forskrivende tekniske kontroller – slik for eksempel PCI DSS gjør – gjør forskriften en bedre...

Phil Muncaster

Cyber sikkerhet 12 februar 2026

Er regjeringens cyberhandlingsplan egnet for formålet?

Det skjer ikke ofte at myndighetene innrømmer at de tok feil. Likevel, i begynnelsen av året, ble vi møtt med en sjelden mea culpa: en erkjennelse av at en tidligere...

Phil Muncaster