ב־19 ביוני 2025 נכנס לתוקף חוק חדש ומשמעותי בבריטניה: Data (Use and Access) Act 2025 (DUAA). מדובר בעדכון מקיף לדיני הגנת המידע במדינה, שמטרתו להקל על חדשנות, להפחית עומס רגולטורי על ארגונים ולבסס מחדש את מעמדה של בריטניה כמדינה בעלת רמת הגנה נאותה להעברת נתונים בינלאומית, גם לאחר יציאתה מהאיחוד האירופי. במקביל, שואף החוק לשמר את אמון הציבור במנגנונים שמטרתם להגן על פרטיותו.
החוק מחדד ומרחיב את האפשרות לקבל החלטות אוטומטיות ללא צורך במעורבות אנושית, כל עוד אין מדובר בנתונים רגישים במיוחד. בכך, הוא מאותת על מעבר לגישה פרגמטית יותר בכל הקשור לשימוש בבינה מלאכותית ובמערכות אוטונומיות בקבלת החלטות. יחד עם זאת, נשמרות הגנות מסוימות על זכויות נושאי המידע, לרבות זכותם להביע התנגדות ולהבין את הבסיס להחלטה שנעשית לגביהם. המיקוד עובר מהשאלה אם האדם היה מעורב בהחלטה, אל השאלה האם ההחלטה הובנה, נבחנו חלופות, ואם בוצעה בה התערבות אנושית מהותית (אולי כהכנה לעידן הבינה המלאכותית).
תחום נוסף שעבר שינוי משמעותי הוא אופן ההתמודדות עם בקשות לעיון במידע. החוק מאפשר לארגונים להשהות את מניין הימים למענה לבקשה עד אשר יובהרו פרטי הפנייה, ומאפשר להחיל סטנדרט של חיפוש "שקול וסביר" בלבד. בכך, הוא נותן מענה לאתגרים תפעוליים שהיו קיימים בעבר, ומקטין את החשש מניצול לרעה של זכות העיון לצרכים שאינם עולים בקנה אחד עם תכלית החוק. החוק בישראל אינו נותן מענה לאתגרים אלו.
גם המענה לתלונות נושאי מידע מוסדר מחדש. החוק מחייב ארגונים לקיים מנגנון פנימי ברור ויעיל לטיפול בפניות, לדווח על קבלתה של תלונה תוך 30 ימים ולהשיב עליה ללא דיחוי בלתי סביר. מטרת הסדר זה היא להקל את העומס על רשות המידע הבריטית (ICO) ולהעביר את האחריות לטיפול ראשוני בתלונות לידי הארגונים עצמם. עם זאת, החובה המשפטית שמוטלת כעת על הגופים המעבדים מידע הופכת למשמעותית יותר ודורשת היערכות מיידית.
במישור ההעברה הבינלאומית של מידע, החוק מבצע התאמה משמעותית לשיטה גמישה יותר. מדינת היעד לא נדרשת עוד להיות "שוות ערך" לרמה האירופית, אלא די בכך שרמת ההגנה הנה "לא נחותה מהותית" מזו הבריטית. בכך נפתחת הדלת להסכמים עם שותפות חדשות להעברת נתונים, מבלי לוותר על סטנדרט בסיסי של הגנה. החקיקה גם מעניקה מעמד משפטי מוגדר למטרות ציבוריות מסוימות, המוכרות כמטרות "לגיטימיות" לצרכי עיבוד מידע – ובכך מייתרת את הצורך במבחני איזון פרטניים לכל שימוש.
לצד ההתפתחויות הללו, יש גם רפורמות שעתידות להשפיע על חיי היומיום של גופים עסקיים וציבוריים. כך, למשל, החקיקה קובעת כי גופים מסוימים, כולל מוסדות צדקה, יוכלו לפנות לנמענים קיימים גם ללא הסכמה מוקדמת מפורשת, כל עוד נשמרת האפשרות להסרה. במקביל, הרגולציה על השימוש ב"קוקיז" עודכנה כך שסוגים מסוימים של עוגיות תפעוליות או סטטיסטיות לא ידרשו קבלת הסכמה, מה שיקל משמעותית על אתרי אינטרנט ושירותים דיגיטליים. גם בהיבט זה החוק הישראלי אינו נותן מענה.
אחת המגמות המרכזיות שמקודמות בחוק החדש היא יצירת מסגרת משפטית ברורה לפלטפורמות חדשניות, דוגמת שירותי Smart Data ומנגנוני זיהוי דיגיטלי מאובטח, בדגש על הארנק הדיגיטלי הממשלתי. ההכרה המפורשת בתשתיות אלה מאפשרת להן להתפתח בצורה מוסדרת וחוקית, ומעניקה למפתחים ולמשתמשים ביטחון משפטי ורגולטורי.
גם רשות המידע עצמה צפויה לעבור שינוי מבני בעקבות החקיקה. ה־ICO יהפוך ל־Information Commission, גוף בעל סמכויות מורחבות שיתמקד לא רק באכיפה, אלא גם בקידום חדשנות, תמיכה בעסקים קטנים וחיזוק האמון הציבורי בשימוש במידע.
ה־DUAA ממשיך להתבסס על עקרונות ה־UK GDPR, אך מרחיב את גבולותיהם ומאפשר גמישות גבוהה יותר לארגונים. לעומת ה־GDPR האירופי, הדגש בחוק הבריטי עובר מהקפדה פורמלית על דרישות פרטניות – כמו דרישת הסכמה בכל מקרה או אכיפה נוקשה של מבחני איזון – אל מדיניות שמאזנת בין ניהול סיכונים מבוסס הקשר לבין קידום חדשנות דיגיטלית. לכן, בעוד שה־GDPR מבקש להבטיח אחידות קפדנית ברמת ההגנה, הגישה הבריטית מבקשת לאפשר התאמה למציאות טכנולוגית משתנה ולהקל על הפעולה של שחקנים עסקיים, מבלי לוותר על מנגנוני פיקוח והגנה.
עבור חברות ישראליות הפועלות בשני הצדדים – בין אם מדובר בגופים עם פעילות עסקית ממשית באנגליה, ובין אם מדובר בהעברת מידע לאנגליה או בעיבוד מידע של אזרחים בריטיים בישראל – מדובר בשינוי משמעותי המחייב תשומת לב. תחום התיירות, הפינטק והאיקומרס, כמו גם חברות ביטוח, גופי בריאות, וסטארט־אפים שפועלים מול שוק בריטי, צריכים לוודא כי הם מבינים את הכללים החדשים, מתאימים את נהלי ההסכמה, השיווק, והתגובה לתלונות, ומשקפים זאת במדיניות הפרטיות שלהם. במקביל, חברות ישראליות שמבקשות להעביר מידע לבריטניה ולמדינות אחרות באירופה צפויות ליהנות מוודאות רגולטורית טובה יותר, שכן בריטניה ממשיכה להיחשב יעד בעל הגנה מספקת – לפחות כל עוד יישמרו העקרונות המרכזיים המשותפים עם הדין האירופי.
לסיכום, חוק ה־DUAA משנה את האיזון שבין זכויות הפרט לבין חופש הפעולה של ארגונים בשימוש במידע. מדובר בהצבת מודל חדש של רגולציית פרטיות, אשר עשוי לשמש גם כמודל השראה מחוץ לגבולות בריטניה. ייתכן והחידוש האנגלי לחוק מהווה גישה נוחה יותר לארגונים ומאפשר יותר חדשנות טכנולוגית בהשוואה לחוק באירופה. עורכי דין בתחומי פרטיות, טכנולוגיה, בריאות, שיווק ופינטק יצטרכו להיערך לעידן חדש של כללים, חובות והזדמנויות, ולהתאים את הייעוץ המשפטי למציאות רגולטורית דינמית ומורכבת יותר.
