Co zmieniło się 19 czerwca
Ustawa Data (Use and Access) Act 2025 uzyskała sankcję królewską 19 czerwca 2025 r. i jest włączana etapami. Rozporządzenie wykonawcze SI 2026 nr 82 wyznacza dwie daty, które liczą się dla operatorów: 5 lutego 2026 r. dla zasadniczej części zmian w ochronie danych i 19 czerwca 2026 r. dla reżimu skargowego z sekcji 103 i załącznika 10.
Od tej drugiej daty każda organizacja podlegająca UK GDPR musi prowadzić formalną procedurę skarg dotyczących ochrony danych. Nowa sekcja 164A Data Protection Act 2018 wymaga dostępnych dróg składania skarg, w tym formularza elektronicznego obok kanałów takich jak email i poczta, potwierdzenia wpływu w ciągu 30 dni oraz merytorycznego wyniku przekazanego językiem zrozumiałym dla skarżącego, wraz ze wskazaniem prawa eskalacji do brytyjskiego organu ICO.
Nie ma ustawowego terminu na sam wynik, ale projekt wytycznych ICO zaleca rozstrzyganie w trzy miesiące, chyba że zachodzą wyjątkowe okoliczności, i oczekuje procesu na widoku: łatwego do znalezienia, podlinkowanego z polityki prywatności i strony. Faza lutowa przyniosła też uznane prawnie uzasadnione interesy jako podstawę prawną, mechanizm zatrzymania zegara przy wnioskach o dostęp i łagodniejsze reguły dla niektórych niskiego ryzyka cookies.
Cicha część: kary za marketing urosły 35-krotnie
Zmiana, którą zauważyło najmniej właścicieli firm, przyszła wcześniej. Od 5 lutego 2026 r. uprawnienia ICO do nakładania kar pod PECR, czyli regułami elektronicznego marketingu bezpośredniego i cookies, skoczyły z pułapu 500.000 funtów na poziom UK GDPR: do 17,5 miliona funtów lub 4 procent globalnego rocznego obrotu, zależnie od tego, co wyższe.
Przez lata egzekwowanie PECR było ograniczoną uciążliwością: kampania mailowa z chwiejnymi zgodami była najwyżej sześciocyfrowym problemem. Ta asymetria zniknęła. Lista marketingowa z niechlujnymi zgodami gra teraz w tej samej klasie kar co wyciek danych, a nowy kanał skargowy daje każdemu poirytowanemu odbiorcy formalną drogę, która źle obsłużona kończy się pod drzwiami regulatora.
Co powinny teraz zrobić firmy wystawione na rynek brytyjski
Zakres jest szerszy, niż wielu zakłada. UK GDPR stosuje się nie tylko do firm z siedzibą w Wielkiej Brytanii, ale i do tych z zewnątrz, które oferują towary lub usługi osobom tam mieszkającym. Polski producent eksportujący do Londynu, sklep internetowy z brytyjskimi klientami, SaaS z użytkownikami w Manchesterze: obowiązek skargowy sięga ich wszystkich.
Budowa nie jest ciężka i właśnie dlatego jej brak źle wygląda. Opublikuj drogę skargową, w tym formularz elektroniczny. Wepnij ją w procesy, które już prowadzisz dla wniosków RODO, z jednym właścicielem, jednym rejestrem i szablonowymi potwierdzeniami bijącymi 30-dniowy zegar z zapasem. Śledź wyniki względem trzymiesięcznego oczekiwania i zapisuj uzasadnienie każdego zamknięcia.
Potem traktuj rejestr jako to, czym jest: dowód. Każda skarga, znacznik czasu i odpowiedź to zapis, którego ICO może zażądać, a wzorzec ignorowanych skarg to najłatwiejsza sprawa egzekucyjna, jaką regulator kiedykolwiek zbuduje. Ten sam rejestr, czytany co kwartał, jest też darmowym audytem tego, gdzie Twoje przetwarzanie danych naprawdę drażni klientów. Niewiele obowiązków zgodności daje taki zwrot.
Czytaj dalej: Pierwszy wniosek o dane może być nadużyciem · Nielegalne dane wciąż wygrywają w sądzie



