Data (Use and Access) Act 2025 – prawdziwa rewolucja w ochronie danych w Wielkiej Brytanii

W czerwcu 2025 r. po latach debat i kilkukrotnego wracania projektu do parlamentu uchwalono i podpisano ustawę Data (Use and Access) Act 2025 (DUAA). To jedna z największych reform w obszarze ochrony danych od czasu Brexitu.

Nowa ustawa nie zastępuje UK GDPR, ale radykalnie zmienia sposób, w jaki brytyjskie firmy muszą podchodzić do danych osobowych, komunikacji elektronicznej i marketingu.

Co najważniejsze – DUAA jeszcze bardziej odróżnia brytyjskie przepisy od polskiego i unijnego RODO. To oznacza, że przedsiębiorcy działający równolegle w Polsce i w UK muszą teraz prowadzić dwie osobne strategie zgodności. Dokumentacja przygotowana pod RODO nie wystarczy na rynku brytyjskim.

Nowe podstawy prawne – Recognised Legitimate Interests

Jedną z największych zmian jest wprowadzenie katalogu tzw. Recognised Legitimate Interests.

  • Dotychczas każdorazowe oparcie się na „uzasadnionym interesie” wymagało przeprowadzenia balancing test – czyli wyważenia interesu administratora i praw osoby, której dane dotyczą.

  • Teraz w niektórych sytuacjach ten test nie jest wymagany. Ustawa sama uznaje, że określone przetwarzania są dopuszczalne.

Przykład:
Jeżeli firma musi przetwarzać dane w celu zapobiegania nadużyciom lub zapewnienia bezpieczeństwa systemów IT, to może to robić bez dodatkowej analizy.

To ogromne uproszczenie, ale uwaga – prawo sprzeciwu klienta pozostaje. Oznacza to, że jeśli osoba zażąda zaprzestania przetwarzania, firma musi to uszanować.

 

Automatyczne decyzje i sztuczna inteligencja

DUAA doprecyzowuje zasady profilowania i automatycznego podejmowania decyzji – szczególnie w kontekście rozwoju AI.

  • Firmy mogą szerzej korzystać z algorytmów i scoringów, np. przy ocenie zdolności kredytowej czy profilowaniu klientów pod kątem oferty.

  • Warunek: użytkownik ma prawo do odwołania się i żądania, aby decyzję ostatecznie podjął człowiek.

  • Dodatkowo pojawiły się surowsze zasady dla dzieci i osób wrażliwych – np. systemy scoringowe nie mogą prowadzić do ich dyskryminacji.

Przykład:
Jeśli sklep internetowy wykorzystuje AI do dynamicznego ustalania cen, klient musi mieć możliwość zakwestionowania decyzji, jeśli czuje się traktowany niesprawiedliwie.

Obowiązek opłacania ICO fee dotyczy prawie wszystkich.

Żądania dostępu do danych – rozsądny zakres

Dotąd każde żądanie klienta (DSAR) wymagało przeszukania wszystkich systemów i wszystkich danych – nawet jeśli klient oczekiwał szczegółów tylko z jednego obszaru.

DUAA wprowadza pojęcie rozsądnego i proporcjonalnego zakresu.

  • Firma nie musi tracić tygodni na wyszukiwanie każdej pojedynczej notatki, jeśli jest to nieproporcjonalne.

  • Może też „zatrzymać licznik” i poprosić klienta o doprecyzowanie wniosku.

Przykład:
Klient prosi o kopię wszystkich swoich danych, ale nie podaje żadnych szczegółów. Firma może poprosić go o zawężenie wniosku – np. czy chodzi o faktury, korespondencję e-mail, czy dane marketingowe.

Cookies i komunikacja elektroniczna (PECR)

Radzenie sobie ze złożonością międzynarodowego przesyłania danych na mocy RODO i UK GDPR wymaga proaktywnego i kompleksowego podejścia. Wdrażając odpowiednie zabezpieczenia, przeprowadzając dokładne oceny i wspierając kulturę ochrony danych i przejrzystości, organizacje mogą zapewnić bezpieczny i zgodny z przepisami przepływ danych osobowych przez granice, przy jednoczesnym poszanowaniu podstawowych praw osób fizycznych do prywatności.

W miarę ewolucji globalnego krajobrazu danych organizacje muszą zachować czujność i zdolność dostosowywania się, stale dokonując ponownej oceny swoich praktyk i zabezpieczeń w zakresie przesyłania danych, aby dostosować je do najnowszych zmian regulacyjnych i najlepszych praktyk branżowych.

Newslettery i soft opt-in

Wielu przedsiębiorców pyta, kiedy zgoda jest potrzebna, a kiedy nie.

  • Zimny kontakt – osoba, która nigdy nic od nas nie kupiła, zawsze wymaga zgody (opt-in).

  • Istniejący klient – jeśli ktoś już korzystał z usług, można mu wysyłać oferty podobnych usług bez zgody, pod warunkiem że w każdej wiadomości jest opcja „unsubscribe”.

  • DUAA rozszerza ten mechanizm także na NGO i charities – mogą kontaktować swoich darczyńców w trybie soft opt-in.

Przykład:
Sklep wysyła ofertę rabatową do osób, które wcześniej kupiły buty. To dozwolone. Ale nie może wysłać tej samej oferty do osób, które znalazł w publicznej bazie adresów e-mail.

 

Data protection licence (ICO fee)

To zmiana, która dotknie praktycznie każdą firmę działającą online.

  • Obowiązek opłacania ICO fee dotyczy prawie wszystkich.

  • Zwolnienia są dziś minimalne – praktycznie tylko dla firm, które nie prowadzą żadnego kontaktu z klientem online.

  • Roczna opłata to £52 lub £78 dla SME.

  • Brak rejestracji = kara do £4 350.

Przykład:
Jeśli firma ma stronę z formularzem kontaktowym albo wysyła newsletter – musi płacić ICO fee. Nie wystarczy powiedzieć: „to tylko mała działalność”.

Procedura skargowa – nowe obowiązki

Wcześniej klienci mogli zgłaszać skargi bezpośrednio do ICO.

DUAA nakłada nowy obowiązek: każda firma musi mieć wewnętrzną procedurę obsługi skarg.

  • Dedykowany adres e-mail do skarg.

  • Rejestr zgłoszeń wewnątrz firmy.

  • Polityka rozpatrywania skarg i termin odpowiedzi – 30 dni.

Przykład:
Jeżeli klient uzna, że jego dane zostały wykorzystane niewłaściwie, najpierw musi zgłosić to firmie. Dopiero gdy firma nie odpowie w terminie, sprawa trafia do ICO.

Transfery międzynarodowe

Nowa zasada brzmi: dane można przekazywać, jeśli ochrona w kraju docelowym nie jest istotnie niższa niż w UK.

  • To większa elastyczność niż dotąd, kiedy ochrona musiała być „równoważna”.

  • Nadal jednak potrzebne są odpowiednie klauzule i umowy.

Przykład:
Firma IT może łatwiej korzystać z dostawców usług w Indiach czy Afryce, o ile wykaże, że poziom ochrony nie jest znacznie gorszy.

Badania naukowe i purpose limitation

DUAA ułatwia badania naukowe i innowacje.

  • Można uzyskać ogólną zgodę na wykorzystanie danych w ramach jednej dziedziny.

  • Nie trzeba wskazywać każdego projektu osobno.

  • Jednocześnie zasada ograniczenia celu została doprecyzowana – ponowne wykorzystanie danych zależy od branży.

Przykład:
Uczelnia medyczna może poprosić pacjenta o zgodę na wykorzystanie jego danych w „badaniach medycznych”, bez konieczności wymieniania każdego projektu klinicznego.

Kary i zgłaszanie naruszeń

  • ICO zyskało szersze uprawnienia i może nakładać wyższe kary finansowe.

  • Naruszenia danych trzeba zgłaszać w ciągu 72 godzin.

  • Praktyka pokazuje, że ICO będzie teraz bardziej rygorystyczne w egzekwowaniu terminów.

Przykład:
Jeśli w firmie wycieknie lista mailingowa, trzeba zgłosić to do ICO w ciągu 3 dni – nawet jeśli nie ma pewności, czy dane zostały użyte.

Harmonogram wejścia w życie

  • Czerwiec 2025 – podpisanie ustawy.

  • Sierpień 2025 – nowe zasady cookies, soft opt-in, ICO fee, procedura skargowa.

  • I kwartał 2026 – zmiany w DSAR i transferach danych.

  • Połowa 2026 – pełne wdrożenie DUAA.

 

Jak dostosować firmę do DUAA? – nasza oferta

Dostosowanie zależy od tego, jakie dokumenty firma już posiada.

  • Aktualizacja dokumentacji naszych klientów – £295

  • Audyt i poprawki dokumentacji przygotowanej przez inny podmiot – £495

  • Nowa dokumentacja od podstaw – £890

  • Firmy przetwarzające dane wrażliwe (special category data) –  £2,100 

Przygotuj swoją organizację na nowe przepisy o ochronie danych w Wielkiej Brytanii.

Dla kogo jest ten kurs

📌 Dla Data Protection Officers (DPO)
📌 Dla osób odpowiedzialnych za zgodność w szkołach, charity, parafiach, biurach rachunkowych, firmach usługowych i organizacjach społecznych
📌 Dla dyrektorów, trustee i właścicieli firm, którzy chcą mieć realną kontrolę nad ochroną danych

Uczestnicy nie tylko poznają nowe przepisy, ale też tworzą i aktualizują komplet dokumentacji: polityki, rejestry, procedury skargowe i szablony komunikacji z ICO.

Szczegółowy Harmonogram wejścia w życie DUAA 2025

Etap I – Sierpień 2025 

To pierwsza fala zmian, które dotyczą głównie marketingu elektronicznego i podstaw prawnych przetwarzania:

  • Cookies i komunikacja elektroniczna (PECR): nowe wyjątki dla niektórych rodzajów analityki, rozszerzony soft opt-in (także dla NGO i charity).

  • Recognised Legitimate Interests: katalog przypadków, gdy nie trzeba przeprowadzać testu równowagi (np. zapobieganie nadużyciom, bezpieczeństwo IT, ochrona dzieci).

  • ICO Fee (data protection licence): doprecyzowany obowiązek – praktycznie wszystkie podmioty przetwarzające dane muszą opłacać roczną licencję (£52/£78).

  • Doprecyzowanie zasad dotyczących automatycznego przetwarzania i profilowania – firmy mogą w większym zakresie korzystać z AI, pod warunkiem umożliwienia odwołania się do decyzji człowieka.

Etap II – Marzec 2026 

To najważniejszy etap – wchodzi nowy system odpowiedzialności i procedur:

  • Wewnętrzna procedura skargowa: obowiązek rozpatrywania skarg przez organizację zanim trafią do ICO.

  • Zmiany w DSAR (Data Subject Access Request): możliwość ograniczenia zakresu wniosku do „rozsądnego i proporcjonalnego poziomu”; organizacja może poprosić o doprecyzowanie danych.

  • Transfery międzynarodowe danych: nowa zasada – można przekazywać dane, jeśli ochrona w kraju docelowym nie jest „istotnie niższa” niż w UK (wcześniej musiała być „równoważna”).

  • Rozszerzenie obowiązku raportowania incydentów do ICO w 72 godziny – bez względu na skalę, jeśli istnieje ryzyko naruszenia praw osób.

Etap III – Lato / Jesień 2026 

To etap konsolidacyjny – dotyczy przepisów dotyczących szczegółowych branż i praktyk nadzorczych:

  • Nowe wytyczne ICO: standardy prowadzenia rejestrów, DPIA i raportowania do ICO.

  • Nowe zasady współpracy między ICO a regulatorami branżowymi (Ofsted, Charity Commission, Financial Conduct Authority).

  • Zaktualizowany framework dla badań naukowych i innowacji (research data framework) – uproszczenie zasad dla uniwersytetów, laboratoriów i instytucji zdrowia publicznego.

Etap IV – 2027 

To ostatnia, bardziej techniczna faza, której wdrożenie może potrwać:

  • Ujednolicenie rejestrów i szablonów dokumentacyjnych (standardised ROPA, breach logs, DPIA templates), publikowanych przez ICO.

  • Wdrożenie jednolitego kanału raportowania naruszeń i skarg dla całego sektora publicznego.

  • Digital Compliance Dashboard (planowane narzędzie ICO) – umożliwi zgłaszanie incydentów i prowadzenie rejestrów online.

 

Jeśli jesteś właścicielem firmy w UK, bądź zamierzasz rozpocząć swój biznes na terenie Wielkiej Brytanii pomocne mogą być usługi z innego zakresu, które znajdziesz na naszej stronie:

Polski Prawnik w UK

Agata Mazur

RADCA PRAWNY

Facebook-f Linkedin
Scroll to Top