พระราชบัญญัติ DPDI 2025: ความแตกต่าง 14 รายการจาก EU GDPR
พระราชบัญญัติ Data Protection and Digital Information (DPDI) 2025 ของสหราชอาณาจักรทำการแก้ไขที่สำคัญ 14 รายการจาก EU GDPR ซึ่งสร้างความแตกต่างด้านกฎระเบียบครั้งแรกที่มีนัยสำคัญระหว่างกรอบการคุ้มครองข้อมูลของสหภาพยุโรปและสหราชอาณาจักรนับตั้งแต่ Brexit
การตัดสินใจความเพียงพอ EU-UK ที่เดิมมีผลจนถึงมิถุนายน 2025 และขยายเวลาออกไปกำลังอยู่ระหว่างการพิจารณา: ข้อกำหนด DPDI บางอย่างอาจกระตุ้นให้มีการพิจารณาใหม่
ความแตกต่าง 14 รายการ: ประเด็นทางเทคนิคที่สำคัญ
1. ข้อกำหนด DPO ที่ผ่อนคลาย:
- EU GDPR: DPO บังคับสำหรับการประมวลผลข้อมูลส่วนตัวในระดับขนาดใหญ่
- UK GDPR (DPDI 2025): แนวทาง "Senior Responsible Individual" ที่ยืดหยุ่นกว่า
2. การทดสอบผลประโยชน์ที่ชัดเจนกว่า:
- EU GDPR: การทดสอบ "ผลประโยชน์อันชอบธรรม" (LI) มีเอกสารแต่ผลลัพธ์ไม่แน่นอน
- DPDI 2025: ให้รายการตัวอย่างวัตถุประสงค์ LI ที่สันนิษฐานว่าชอบธรรม
3. ข้อกำหนด DPIA ที่ปรับเปลี่ยน:
- DPDI 2025: เปลี่ยนชื่อเป็น "Data Protection and Privacy Impact Assessment (DPPIA)" ด้วยข้อกำหนดที่ปรับเปลี่ยน
4. Cookies และการติดตาม:
- EU GDPR/ePrivacy: "opt-in" โดยค่าเริ่มต้นสำหรับ non-essential cookies
- DPDI 2025: กรอบ "soft opt-in" ที่ผ่อนคลายกว่าสำหรับ analytics
ผลกระทบต่อการถ่ายโอนข้อมูล EU-UK
สถานะปัจจุบัน (มีนาคม 2026):
- การตัดสินใจความเพียงพอยังคงมีผล (ขยายเวลา)
- ข้อมูลสามารถไหลระหว่าง EU และ UK ได้โดยไม่ต้องมีมาตรการเพิ่มเติม
- European Data Protection Board กำลังตรวจสอบ DPDI 2025 เทียบกับเกณฑ์ความเพียงพอ
แนวทางปฏิบัติ (การเตรียมตัวสำหรับความไม่แน่นอน):
- จัดทำเอกสาร Standard Contractual Clauses (SCCs) เป็นทางเลือกสำรอง
- ทำแผนผัง data flows EU-UK ทั้งหมดใน ROPA
- ใช้ binding corporate rules สำหรับกลุ่มบริษัทข้ามชาติ
ข้อมูล UK-Specific PII
สหราชอาณาจักรมีตัวระบุเฉพาะที่ต้องได้รับการตรวจจับและทำให้ไม่ระบุตัวตน:
- NINO (National Insurance Number): XX 99 99 99 X (รูปแบบ)
- NHS Number: 999 999 9999 (10 หลัก, Modulo 11)
- UK Passport: รูปแบบ MRZ ที่แตกต่างจาก EU
- Driving Licence: รูปแบบเฉพาะสหราชอาณาจักร
แหล่งที่มา: