Vad som ändrades den 19 juni

Data (Use and Access) Act 2025 fick kungligt godkännande den 19 juni 2025 och slås på i faser. Ikraftträdandeförordningen, SI 2026 nr 82, sätter två datum som spelar roll för företag: den 5 februari 2026 för huvuddelen av dataskyddsändringarna och den 19 juni 2026 för klagomålsordningen enligt sektion 103 och bilaga 10.

Sedan det andra datumet måste varje organisation under UK GDPR driva ett formellt förfarande för dataskyddsklagomål. Den nya sektionen 164A i Data Protection Act 2018 kräver tillgängliga vägar att klaga, däribland ett elektroniskt formulär vid sidan av kanaler som e-post och brev, en bekräftelse inom 30 dagar och ett materiellt utfall förmedlat på ett språk klaganden förstår, med hänvisning till rätten att gå vidare till den brittiska tillsynsmyndigheten ICO.

Det finns ingen lagstadgad frist för själva utfallet, men ICO:s utkast till vägledning rekommenderar avslut inom tre månader om inte exceptionella omständigheter föreligger, och förväntar sig en synlig process: lätt att hitta, länkad från integritetspolicy och webbplats. Februarifasen förde också med sig erkända berättigade intressen som rättslig grund, en stoppa-klockan-mekanism vid registerutdrag och mjukare regler för vissa cookies med låg risk.

Den tysta delen: marknadsföringsböterna växte 35 gånger

Förändringen som färre ägare lade märke till kom tidigare. Sedan den 5 februari 2026 hoppade ICO:s bötesbefogenheter under PECR, reglerna för elektronisk direktmarknadsföring och cookies, från ett tak på 500 000 pund till UK GDPR-nivå: upp till 17,5 miljoner pund eller 4 procent av den globala årsomsättningen, beroende på vilket som är högst.

I åratal var PECR-tillsynen en avgränsad olägenhet: en mejlkampanj med tveksamma samtycken var i värsta fall ett sexsiffrigt problem. Den asymmetrin är borta. En marknadsföringslista med slarviga samtycken spelar nu i samma bötesklass som ett dataintrång, och den nya klagomålskanalen ger varje irriterad mottagare en formell väg som, illa hanterad, slutar vid myndighetens dörr.

Vad UK-exponerade företag bör göra nu

Räckvidden är bredare än många antar. UK GDPR gäller inte bara företag etablerade i Storbritannien utan även företag utanför som erbjuder varor eller tjänster till personer där. Den svenska e-handlaren som skickar till London, verkstadsföretaget med brittiska kunder, SaaS-bolaget med användare i Manchester: klagomålsplikten når dem alla.

Bygget är inte tungt, och just därför ser det illa ut att sakna det. Publicera en klagomålsväg, inklusive ett elektroniskt formulär. Koppla den till processerna ni redan kör för GDPR-förfrågningar, med en ägare, en logg och mallade bekräftelser som slår 30-dagarsklockan med marginal. Följ utfall mot tremånadersförväntan och anteckna skälen för varje avslut.

Behandla sedan loggen som det den är: bevis. Varje klagomål, tidsstämpel och svar är en post ICO kan begära ut, och ett mönster av ignorerade klagomål är det enklaste tillsynsärende en myndighet någonsin bygger. Samma logg, läst kvartalsvis, är dessutom en gratis revision av var er datahantering faktiskt irriterar kunder. Få efterlevnadsplikter ger den sortens avkastning.