<b>Закон о данных 2025 года: почему британским издателям пора пересмотреть подход к защите информации</b> С февраля 2026 года вступили в силу ключевые положения Закона о данных (использование и доступ) 2025 года (Data (Use and Access) Act 2025). Однако для медиаиндустрии наступает критический момент: уже с 19 июня 2026 года вступают в силу обязательные требования к порядку рассмотрения жалоб. Это означает, что издатели больше не могут ограничиваться формальными политиками конфиденциальности — теперь они несут прямую ответственность за то, как персональные данные собираются, используются и хранятся на практике. Многие британские издатели ошибочно полагают, что они защищены, если получили юридическую консультацию и разместили соответствующие уведомления на сайте. Но новый закон обнажает серьезный разрыв между теорией и реальностью. С 19 июня компании обязаны внедрить формальный процесс обработки жалоб: каждое обращение должно быть зарегистрировано, а попытка его разрешения предпринята в течение 30 дней. Регуляторные риски стали как никогда высоки. Управление комиссара по информации (ICO) получило расширенные полномочия: теперь ведомство может принудительно вызывать свидетелей на допросы и требовать технические отчеты о количестве утечек или жалоб. Максимальный размер штрафа составляет 17,5 млн фунтов стерлингов или 4% от глобального оборота компании. Проблема большинства издателей заключается не в намеренном злоупотреблении данными, а в хаотичном развитии систем: подписки, рекламные инструменты, аналитика и персонализация создают «лоскутное одеяло» из данных. Часто информация, собранная для одной цели (например, для участия в конкурсе), без должных правовых оснований используется для маркетинга, что нарушает принцип ограничения целей обработки. Аналогичные риски сохраняются в сфере рекламных технологий (ad tech), где передача данных через RTB-аукционы остается под пристальным вниманием регуляторов. Тем не менее, закон дает и новые возможности. Издатели получили больше гибкости в повторном использовании данных, если это соответствует «разумным ожиданиям» пользователей. Это открывает перспективы для развития аудитории и внедрения ИИ в системы рекомендаций. Однако важно помнить: принцип «защиты данных по проектированию» (data protection by design) остается обязательным. Решения должны приниматься на этапе разработки систем, а не исправляться постфактум. Маркетинговая деятельность по-прежнему остается уязвимой из-за правил PECR, касающихся использования файлов cookie. Учитывая, что ответственность за соблюдение этих норм теперь лежит на уровне директоров, издателям необходимо выбрать одну из трех стратегий: продолжать полагаться на внутренние команды (рискуя непоследовательностью), создать полноценный отдел защиты данных (как это сделала Reach plc) или привлечь внешних экспертов. Последний вариант становится все более популярным, так как позволяет получить доступ к актуальной экспертизе без затрат на содержание штата. Закон 2025 года сделал невозможным скрывать небрежное отношение к данным. Если ваши внутренние процессы не задокументированы и не проверены, вы находитесь в зоне риска, который ICO больше не будет игнорировать. *Энди Честерман, управляющий директор Privacy Helper*