GDPR 和英国退欧——贵公司准备好了吗?
如果英国于 29 年 2019 月 XNUMX 日在没有达成协议的情况下离开欧盟,英国企业将需要确保他们继续遵守数据保护法。 对于在国际上经营或与其他国家的合作伙伴交换个人数据的英国企业,可能需要在英国离开欧盟之前做出改变,以确保将中断风险降至最低。
对于企业来说,审查他们是否会受到影响是很重要的。 对于那些将受到影响的人,建议尽早采取行动,因为更改可能需要一些时间才能实施。
个人数据目前如何跨境移动:
- 个人数据受 GDPR(通用数据保护条例)保护。 这赋予了个人对其数据的权利:知道谁拥有它、更正它、删除它、移动它等。
- GDPR 表示,只有在数据传输的国家/地区存在同等保护措施的情况下,数据才能跨境移动
目前个人数据可以通过以下方式跨境:
- 它留在欧盟的地方(因为所有欧盟国家都必须适用 GDPR)
- 加上欧洲经济区国家:挪威、冰岛、列支敦士登和直布罗陀等其他英国领土
- 欧盟委员会确定有充分保护的国家:安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭和美利坚合众国(限于隐私护盾框架)作为提供足够的保护
- 如果上述都不适用,例如当个人数据发送到印度或澳大利亚时,则只能在存在“标准合同条款”(SCC)或“具有约束力的公司规则”(BCR)的情况下发送数据
- SCC 和 BCR 从本质上将 GDPR 权利扩展到移动到第三国司法管辖区的数据
- 注意:SCC 仅涵盖某些数据传输关系,BCR 仅涵盖单个公司内的数据传输
哪些个人数据跨越国界?
每天都有大量个人数据跨越国界。 在与另一个国家的呼叫中心通话或在线购买商品或服务时,个人数据通常会转移到另一个司法管辖区。
许多服务是国际外包的,可能涉及个人数据处理:
- 客户服务
- 账单和应付账款和应收账款
- 工资发放
许多企业对企业服务在云中运行,这可能是跨国运行的。 例如:
- 谷歌没有英国数据中心,很多英国数据可能保存在都柏林
- Facebook 没有英国数据中心,很多英国数据可能保存在都柏林
- 亚马逊网络服务有一个英国数据中心,但这是相对较新的,大部分将是都柏林、法兰克福和卢森堡
- 微软在全球 100 多个数据中心中拥有英国数据中心
一些行业,就其本质而言,涉及跨境数据。 例如:
- 金融部门——国际支付等
- 生命科学——医学研究的全球性
- 交通 – 乘客数据
企业需要做什么?
他们需要了解他们的数据流。 他们是否影响了跨境个人数据流? 他们是否制定了标准合同条款或具有约束力的公司规则?
政府在 XNUMX 月发布了对企业的建议, 点击 here 有关信息。
ICO(信息专员办公室)提供了很好的信息:
ICO 离开欧盟六个步骤 (https://ico.org.uk/media/2553958/leaving-the-eu-six-steps-to-take.pdf)
用于确定 SCC 是否适合您的 ICO 工具(https://ico.org.uk/for-organisations/data-protection-and-brexit/standard-contractual-clauses-for-transfers-from-the-eea- to-the-uk-interactive-tool/)
有关英国海军迄今为止所有关于欧盟退出谈判的工作的更多信息,以及一系列指导文件,可在 英国海事网站.