Hvad der ændrede sig den 19. juni
Data (Use and Access) Act 2025 fik kongelig stadfæstelse den 19. juni 2025 og tændes i faser. Ikrafttrædelsesbekendtgørelsen, SI 2026 nr. 82, sætter to datoer, der betyder noget for virksomheder: den 5. februar 2026 for hovedparten af databeskyttelsesændringerne og den 19. juni 2026 for klageordningen efter sektion 103 og bilag 10.
Siden den anden dato skal enhver organisation under UK GDPR drive en formel procedure for databeskyttelsesklager. Den nye sektion 164A i Data Protection Act 2018 kræver tilgængelige klageveje, herunder en elektronisk formular ved siden af kanaler som e-mail og post, en kvittering inden 30 dage og et materielt udfald formidlet i et sprog, klageren forstår, samt en henvisning til retten til at gå videre til den britiske tilsynsmyndighed ICO.
Der er ingen lovfrist for selve udfaldet, men ICO's udkast til vejledning anbefaler afgørelse inden tre måneder, medmindre der foreligger særlige omstændigheder, og forventer en synlig proces: nem at finde, linket fra privatlivspolitik og website. Februar-fasen bragte også anerkendte legitime interesser som retsgrundlag, en stop-uret-mekanisme ved indsigtsanmodninger og lempeligere regler for visse cookies med lav risiko.
Den stille del: marketingbøder voksede 35 gange
Den ændring, færrest ejerledere bemærkede, kom tidligere. Siden 5. februar 2026 sprang ICO's bødebeføjelser under PECR, reglerne for elektronisk direkte markedsføring og cookies, fra et loft på 500.000 pund til UK GDPR-niveau: op til 17,5 millioner pund eller 4 procent af den globale årsomsætning, alt efter hvad der er højest.
I årevis var PECR-håndhævelse en afgrænset gene: en mailkampagne med tvivlsomt samtykke var i værste fald et sekscifret problem. Den asymmetri er væk. En marketingliste med sjuskede samtykker spiller nu i samme bødeklasse som et databrud, og den nye klagekanal giver enhver irriteret modtager en formel vej, der ved dårlig behandling ender ved myndighedens dør.
Hvad UK-eksponerede virksomheder bør gøre nu
Rækkevidden er bredere, end mange antager. UK GDPR gælder ikke kun virksomheder etableret i Storbritannien, men også virksomheder udenfor, der tilbyder varer eller tjenester til personer der. Den danske webshop, der sender til London, maskinbyggeren med britiske kunder, SaaS-udbyderen med brugere i Manchester: klagepligten når dem alle.
Opbygningen er ikke tung, og netop derfor ser det skidt ud ikke at have den. Offentliggør en klagevej, inklusive en elektronisk formular. Kobl den på de processer, du allerede kører for GDPR-anmodninger, med en ansvarlig, en log og standardkvitteringer, der slår 30-dages-uret med margin. Følg udfald op mod tre-måneders-forventningen, og notér begrundelsen for hver lukning.
Behandl derefter loggen som det, den er: bevis. Hver klage, hvert tidsstempel og hvert svar er en post, ICO kan kræve udleveret, og et mønster af ignorerede klager er den nemmeste håndhævelsessag, en myndighed nogensinde bygger. Den samme log, læst kvartalsvis, er samtidig en gratis revision af, hvor din datahåndtering faktisk irriterer kunderne. Få compliance-pligter giver den slags afkast.
Læs videre: En første indsigtsanmodning kan være misbrug · Ulovligt data kan stadig vinde i retten



