自2021年1月1日起,《通用数据保护条例》(GDPR)有两个版本:将继续适用于欧盟内部运营的GDPR和英国GDPR。在英国和欧盟经营的企业必须考虑他们在这两套法规下的义务,并可能需要任命一名欧盟代表。
来自欧盟的数据传输
我们曾希望在过渡期结束时,欧盟委员会会批准英国在数据保护方面“足够”。然而,这并没有发生,英国被重新归类为“第三国”。这对个人数据从欧洲经济区转移到英国有重要影响。只有在某些情况下才允许从欧洲经济区转移到第三国,其中最重要的是:
- 欧盟委员会(European Commission)已发布充足性决定;
- 有适当的保障措施;或
- 有经过批准的行为准则。
英国政府表示,将继续允许从英国向欧洲经济区转移人员。
欧盟-英国贸易与合作协定
《欧盟-英国贸易与合作协定》的影响是,在“特定时期”,即从2021年1月1日起四个月的延长过渡期,从欧盟和欧洲经济区向英国的个人数据传输可以在没有额外保障措施的情况下继续进行。这一期限将自动延长两个月,除非有一方反对,或者欧盟委员会做出适当的决定。如果在指定期限结束前仍未作出适当决定,则必须为从欧盟或欧洲经济区向英国传输数据设置适当的保障措施。
适当的保障措施
欧盟委员会的标准合同条款(scc)是最常见的保障措施,以保护转移到第三国的个人数据,但没有充分的决定。这一机制通常是将个人数据从欧洲经济区转移到英国的最佳选择,直到它收到充足的决定。
总结:GDPR和英国脱欧
英国企业只在英国国内处理数据,不向其他国家或从其他国家转移数据
英国GDPR规定的义务没有变化。业务可以照常进行,但建议更改合同以引用修订后的术语。
向欧盟或任何其他第三国发送数据的英国企业获得了欧盟委员会的充分性决定
由于英国在脱欧后保留了现有的欧盟充分性决定,政府允许向欧洲经济区转移,因为他们遵守了欧盟GDPR,情况与第一点相同。收到充足性决定的12个第三国是:安道尔、阿根廷、加拿大(仅商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本(针对私营部门组织)、泽西岛、新西兰、瑞士和乌拉圭——显然没有美国。
英国企业处理来自欧盟的数据
在指定期限结束后(不早于2021年5月1日),如果欧盟没有达成有利于英国的充分决定,必须采取适当的保障措施。对于大多数公司来说,这将通过使用scc实现。如果您正在处理欧盟数据主题,您可能需要指定一名欧盟代表。
向未经批准的第三国发送数据的英国企业
从英国向欧盟以外的第三国或足够的第三国(如第2点所列)发送数据的企业必须确保安全措施到位。对于大多数公司来说,这将通过scc的使用来实现。
英国企业处理来自第三国的数据
如果第三国同意保持个人数据不受限制的流动(第二点所列的所有第三国(安道尔除外),则没有任何变化。任何其他国家的法律都可以参考。
劳拉·特拉普内尔是巴黎史密斯律师事务所的合伙人和数据保护专家