Brexit隐私指南:您(可能)在2021年之前要考虑五件事

随着Brexit过渡期的结束,迅速接近和英国(英国)在离开欧盟(欧盟)后,英国和欧盟尚未达到任何“交易”the transfer of personal data should be dealt with starting January 1, 2021. With the negotiations deep into their final phase, the advice from regulators, including the UK’s Information Commissioner’s Office (ICO), is that organisations should be taking steps to prepare for the UK becoming a third country (for the EU data protection regime) after Brexit.

此更新涵盖五家问题公司应考虑从隐私和数据安全视角准备BREXIT。随着BREXIT后景观变得更加透明,我们将在这五个问题中发表深度潜水,以满足与隐私相关的法律和业务挑战的影响。

1.一般数据保护规则(GDPR)是否仍然适用于英国发布后的Brexit?我还有另一个隐私法吗?

从2020年1月1日起,GDPR将保留在英国国内法。这种“新”法律将被称为“英国GDPR”,并将与2018年英国数据保护法的修订版本一起。

虽然英国GDPR将包含与2021年1月1日的GDPR合适的合法标准和义务,但英国理论上将能够改变英国GDPR等地差别。是否发生或不依赖于与欧盟对齐的愿望。

现在的步骤

您应该始终做您的隐私家务(见下面的问题5),但由于英国GDPR在短期内不太可能从GDPR发散,因此不需要对您的隐私计划的立即和实质性更改。随着英国的任何未来改变,留意英国GDPR的任何改变制造噪音关于其未来欧盟标准的意图偏离。

2.谁是我的主权监督机构?

Brexit后,在英国和EEA中运营的组织将有两种数据保护制度来考虑:欧盟制度(由GDPR管理)和英国政权(由英国GDPR管理)。

从技术上讲,在GDPR下,没有人必须在欧盟识别/任命领先监管机构(LSA)的内容。出于几种原因(例如,报告个人数据泄露),企业需要了解他们认为是他们的LSA。

要关键的事情:

  • 您无法选择您的LSA以防止“论坛购物”。您的LSA的位置反映了组织内的数据处理活动的行政和决策现实。
  • 您的LSA将成为您的“主要机构”的数据保护机构(DPA)。您的主要机构很可能是欧盟中央管理局的地方除非关于个人数据处理的关键决策是在另一个欧盟的建立中进行的。
  • 如果没有这样的建立(例如,这些决定完全在欧盟以外的地方采取),欧盟将没有主要成立GDPR。在这种情况下,您将无法利用一站式商店机制。
  • 仅仅因为您确定特定成员国的数据保护机构可能是您的LSA,这不会绑定任何欧盟数据保护机构。任何欧盟国家数据保护都可以确定它有剩余权利,以强制侵犯该国家的数据受试者的侵权影响(见CNIL v谷歌)。
  • 根据英国GDPR,如果您继续在2021年1月1日起在英国公民的英国或进程数据中处理个人数据,除了欧盟政权外,您还需要注册或留在ICO中。ICO将仍将是关于英国数据保护立法和英国数据主体权利的独立监督机构。

这是什么意思?

制度。如果您落在GDPR的汇款内,您将需要考虑未来哪个欧盟DPA可能是您的LSA。为此,您应该考虑您是否在欧盟中有另一个建立,现在将被视为您的“主要机构”。如果您落在英国GDPR的汇款内,您可能需要在ICO中注册。

3.我需要任命欧盟和/或英国代表吗?

遵守gdpr,你如果您的业务符合以下标准,可能需要在欧盟成员国中指定新的欧盟代表:

  • 您的业​​务是基于的外部英国;
  • 您当前的欧盟代表是基于的里面英国,和;
  • 您在欧盟销售或监控个人。

要遵守英国GDPR,您可能需要任命英国代表(英国的个人,公司或组织,并能够代表您在英国GDPR下的义务),如果您的业务符合以下标准:

  • 您的业​​务是基于的外部英国;
  • 您当前的欧盟代表是基于另一个欧盟成员国的国家
  • 您在英国销售给或监控个人。

如果我在英国或欧盟没有设立怎么办?

您应该考虑在英国GDPR和GDPR下任命代表代表代表代表代表的地方。应仔细记录这些约会,以确保代表的作用以及他们无法在没有指导下行事的程度,严格控制。

4.我是否需要为来自英国/来自英国的国际转移做任何事情?

欧盟和英国交易:如果欧盟和英国之间达成了交易,欧盟可以确定从欧盟到英国或向英国或向英国转账的跨境数据转移,无需进一步授权(通常被称为“充足的决定”)。充分性决定基本上意味着欧盟已确定第三国(即英国)具有足够的数据保护水平。

充足的决定:如果提出了充分性决定,组织可以继续合法地将EEA与EEA的数据转移到英国,而无需额外的法律或合同措施。

欧盟和英国之间没有交易如果有“无交易”或任何交易不包含充分性的决定,这将导致涉及英国和欧盟之间的国际数据转账时额外的复杂性。英国政府已经采取了该立场,即不需要额外的转移机制来允许从英国向EEA后的个人资料转移到Brexit。如果没有交易发生,你需要确定从EEA到英国的数据转移的适当的“转移机制”。在大多数情况下,最简单的转移机制将是标准的合同条款。

现在的步骤:

您应该更新您的数据映射Schrems II决定并且已经开始考虑从EEA到英国的数据传输数据的程度。在需要转移的情况下,组织需要确定他们需要的保障措施,以合法地转移此数据。在没有充分的决定的情况下,BREXIT在没有充分的决定中,需要对英国欧洲欧洲环境署的转移进行相同的分析。

除非存在充分性决定,否则您需要制定计划,以确保EEA和英国之间的个人数据流动(优先考虑关键,敏感或大批量数据转移)可以在2021年1月1日合法地继续。考虑进入标准的合同条款,用于管理集团内部和外部数据从EEA到英国转移。

你完成了“隐私家务”吗?

除了思考上述规定的更实质性问题之外,还有一些普遍的“管家”问题,这将需要关注随着时间的推移,包括:

  • 更新您的隐私声明,以提及英国GDPR和任何指定的英国代表。
    更新您的处理活动记录,以反映用于从EEA到英国转移的转移机制(除非达到充分性决定)。
  • 审查任何相关数据保护影响评估,以反映到向英国转移的适当额外保障措施。
  • 更新集团公司与外部第三方之间合同的数据保护部分。