2020 年圣诞前夜,英国首相鲍里斯·约翰逊为企业送上了他们梦寐以求的圣诞礼物——过渡期结束后无协议脱欧的风险得以终结。贸易与合作协议以及随后的《2020 年欧盟(未来关系)法案》将该协议的条款纳入英国法律,这可能只是欧盟与英国谈判的开始,但在疫情肆虐的经济环境中,这是一个可喜的开始。
2020 年 12 月 31 日晚上 11 点,欧盟《通用数据保护条例》(GDPR)不再适用于英国个人数据(但不适用于英国组织)。然而,欧盟 GDPR 的规定已经转化为英国法律,英国 GDPR 由《2018 年欧盟(退出)法案》确立,该法案纳入了脱欧之日的欧盟法律主体(包括 GDPR),并辅以以下修订:
2018 年《数据保护法》(基林附表[1])[显示受 2019 年《数据保护、隐私和电子通信(修正案等)(脱欧)条例》影响的变化] 和
《通用数据保护条例》(基林附表)[显示受《2019 年数据保护、隐私和电子通信(修正案等)(脱欧)条例》影响的变化]
对数据保护立法感到困惑?欢迎来到脱欧后的英国。
欧盟 GDPR 与英国 GDPR
英国 GDPR 与欧盟 GDPR 不同,尽管本质上是相同的。文本已修改,因此改为“英国”而不是“联盟”,改为“国内法”而不是“欧盟法”。但是,“个人数据”、“数据主体权利”、“控制者”和“处理者”等术语、收集和处理个人数据的“合法条件”和“同意”的必要性仍然存在。
另一个变化是,2020年12月31日晚11点,欧洲数据保护委员会失去了对英国数据保护事务的管辖权。信息专员办公室(ICO)现在是第一和最终的监督机构。
过渡期允许个人数据流动
英国政府于 2020 年 12 月 28 日宣布,“与欧盟达成的条约将允许个人数据从欧盟(和 手机号码数据 欧洲经济区——由欧盟国家以及挪威、冰岛和列支敦士登组成的欧洲经济区)自由流向英国,直至做出充分性决定”。此次延期为四个月,可选择延长至六个月以做出充分性决定。
关于“过渡期”,信息专员伊丽莎白·丹汉姆表示:
“……这意味着从 1 月 1 日起,组织机构可以放心个人数据的自由流动,而不必对其数据保护实践进行任何改变。”
然而,ICO 建议各组织继续准备应急措施和“替代转移机制”,以防无法达成充分性协议,作为一种“合理的预防措施”,并建议这些措施应在 4 月底前到位。
充分性决策
英国 GDPR 自动承认所有欧 推荐的工具和技术 盟国家均充分适用,并宣布所有现有的欧盟充分性决定均符合英国的充分性。
在欧盟内部,如果第三国被认定为“充分”,则意味着欧盟委员会已裁定该第三国具有足够的数据保护水平,并且在从欧盟国家发送个人数据时不需要采取额外的保障措施。
尽管不能保证英国一定能获得充分性,但从“过渡期”来看,英国政府和欧盟之间做出对双方有利的充分性决定的承诺是明确的,并允许在做出充分性决定期间继续传输数据。
如果在过渡期结束时仍未达成充分性协议,则数据传输将需要采取其他保护机制,例如:
标准合同条款 (SCC)
这些条款已获欧盟委员会和 巴西商业名录 英 国信息专员办公室批准,旨在确保在数据从欧盟(或英国)转移到第三国时,对个人数据传输采取足够的保障措施。
具有约束力的公司规则 (BCR)
在欧盟,具有约束力的公司规则由主管监管机构通过所谓的一致性机制与其他监管机构合作批准,以允许跨国公司在其企业集团内部传输个人数据。这些规则具有法律约束力,适用于集团全球的每个成员并由其执行,并且必须赋予数据主体可执行的权利。
如果您的英国公司在欧洲经济区 (EEA) 内交易商品或服务或监控数据主体,但在欧洲经济区 (EEA) 内没有办事处、门店或其他形式的机构,则您需要在处理数据的欧洲经济区 (EEA) 国家之一指定一名代表(以书面形式列出协议条款)。该代表将被授权代表您依法行事,遵守欧盟 GDPR 规定;但这不会影响您的责任和义务。
如果您的英国公司在欧洲经济区设有门店、办事处或其他机构,则您需要在欧盟/欧洲经济区国家的监管机构注册。您仍需要在英国向 ICO 注册才能继续在英国开展处理活动。
如果您在管辖范围之外处理数据,您还需要在欧盟/英国指定一名代表。由于您将面临双重合规要求,一个在英国,一个在欧盟,因此您可能会面临双重违规制裁,一套制裁来自 ICO,另一套制裁来自欧盟监管机构。
概括
英国脱欧对数据保护和隐私的影响仍存在很大不确定性。一旦我们知道英国是否获得充分保护,部分不确定性将得到解决。
与此同时,处理来自欧洲经济区数据主体的个人数据的组织可能需要制定应急计划。其中包括熟悉 SCC 或 BRC 等额外保护措施。此外,处理没有办事处、分支机构或其他机构的欧洲经济区国民个人数据的组织需要了解如何任命代表。
一旦英国/欧盟就充分性协议做出决定,我们将立即向您通报最新情况。