现在给我们打电话 

0344 967 0793

媒体上有很多猜测,如果没有达成脱欧协议,进出口商将面临的困难。英国和欧盟其他成员国之间的个人数据流得到的报道少得多。

电子邮件和附件的备份所产生的影响远没有M27上的货车停车场那么大,但是合法传输数据的问题是必须解决的问题。从英国传输数据似乎相对简单,但是从EEA到英国的传输会很复杂。

希望英国退欧将对英国的数据保护法律产生重大变化的任何人,至少从中期来看,都可能会感到失望。 《 2018年欧盟(撤回)法案》将在英国离开欧盟之日将《通用数据保护条例》放到英国法规中。 GDPR仍将适用于英国境内的所有数据处理以及英国国内法规。

目前,数据可以合法地转移到欧洲经济区内的任何其他国家:当前欧盟成员国,挪威,列支敦士登和冰岛。任何其他国家都被视为“第三国”,只有在以下情况下,才可以将数据传输到该国:

  • 欧盟委员会已做出充分的决定:实际上,如果EC批准了该国的数据保护制度。
  • 双方采用了一系列由“领导机构”批准的具有约束力的公司规则。最高权限取决于公司中最能满足数据保护合规性要求的部分的情况。批准具有约束力的公司规则可能是一个漫长的过程,实际上,只有定期需要共享数据的大型跨国公司才有可能考虑具有约束力的公司规则。
  • 双方使用委员会在其文档中发布的标准合同条款来提供数据保护保障。
  • GDPR第49条规定的例外或减损之一适用。

从英国转账

英国版本的GDPR允许从英国向欧洲经济区成员国的转移,这是英国退欧后世界中最直接的问题。此外,英国政府已表示将承认欧共体针对其他国家的适当声明。 事前 到退出日期。似乎在适当的时候,如果英国选择承认其他国家为“适当”,“适当”国家的名单可能会有所不同。有充分声明的地方,贸易交易可能会更容易。

使用标准合同条款可能仍然是授权将数据传输到认为不足的国家的最佳方法。英国政府将认可欧盟委员会批准的标准合同条款。

英国将认可授权的具有约束力的公司规则 之前 即使牵头当局在欧盟国家内也能脱欧。但是,目前尚不清楚委员会是否会认可英国ICO授权的具有约束力的公司规则。

从欧洲经济区转移到英国

英国脱欧后,英国将成为第三国。尽管其数据保护机制基于GDPR,但它不会自动由适当性决定覆盖。委员会将不得不考虑是否做出适当的决定,据估计至少需要18个月的时间。

同时,从EEA中的数据控制者到英国的数据控制者的传输将必须由GDPR中规定的一种保障措施授权。实际上,这可能意味着标准合同条款的广泛使用。企业应开始研究任何需要与EEA中的对等方交换数据的合同或安排,并审查文档以准备通过加入标准合同条款对其进行修订。

当然仍然可以使用其中一种减损。减损相当有限,必须加以限制性解释。显然,它们只能用于偶发和有限的传输。这些减损可以概括为:

  • 在被警告没有适当的决定或适当的保障措施而转移到某个国家的危险之后,数据主体的明确同意。
  • 为了与数据主体签订合同或根据数据主体的要求采取预合同步骤,转移是必需的。
  • 出于公共利益的重要原因,转让是必要的。
  • 与合法索偿有关的转让是必要的
  • 为了无法同意的数据主体的切身利益,必须进行传输。
  • 转让来自公共登记册。

如果没有一项减损规定,则还有一个例外,即数据控制器方面有令人信服的合法利益。数据控制者必须对风险进行评估,并且必须将转移报告给ICO:简而言之,很明显,这确实是一种特殊情况。

平行世界/噩梦?

好像数据保护制度没有足够的复杂性一样,英国退欧也带来了双重管辖权的可能性。 GDPR第3条第(2)款规定,GDPR适用于欧盟以外的控制人对欧盟境内数据主体的个人数据的处理,例如在英国。如果一家英国公司处理有关欧盟数据主体的数据,则必须遵守英国和欧盟法律。

两种政权随着时间的流逝会有多远还有待观察。同时,出于GDPR的目的,ICO将不再是监管机构,尽管它将仍然是英国数据控制者的监管机构。在欧盟范围内的多个司法管辖区开展业务的组织以前能够在一个司法管辖区中选择监管机构。看来,英国退欧后,在英国和欧盟开展业务的组织将必须在ICO及其在另一个欧盟管辖区的同行进行注册。

GDPR第27条规定,欧盟以外的数据控制者必须处理与向欧盟数据主体销售商品或服务有关的个人数据,必须指定销售商品或服务的成员国之一的代表。英国脱欧后,向欧盟出售产品的英国企业必须遵守这一要求。英国政府打算照搬第27条,并类似地要求欧盟企业任命英国代表。

英国政府显然正在寻求ICO与欧盟数据保护机构之间的紧密合作,但是由于没有任何法律文书,很难看到ICO及其欧盟同行的执法权将如何进行协调。

最后–本文写于2月3日rd 九月。在开始编写和完成之间,政府失去了多数。到出版时,它可能已经完全过时了!