1月1日,新的欧盟-英国贸易与合作协定生效,为两国之间的贸易继续进行提供了法律基础。
作为最后喘息协议的一部分,欧盟为英国提供了一个“过渡期”,允许英国企业在六个月内继续根据 GDPR 处理欧洲消费者数据。
宽限期结束后,欧盟将需要为英国企业做出充分决定,以继续以当前方式将消费者数据从欧盟转移到英国。那么,这对英国企业意味着什么呢?
新的贸易协议导致两个版本的 GDPR 并存。欧盟的 GDPR 保持不变,但英国现在受其自己单独版本的数据保护制度——GDPR UK 的管辖。
尽管存在这种法律差异,但目前英国企业可以继续处理欧洲消费者数据,就好像英国仍然是欧盟成员国一样。然而,一旦六个月的“过渡期”结束,企业可能需要更改其程序,以确保数据符合英国 GDPR 和欧盟 GDPR。
好消息是,如果达成充分性决定,数据传输将能够继续,而无需实施任何额外的保护措施。对于英国企业来说,这将是最好的结果,因为这将导致最少的摩擦。
能否做出充分性决定既取决于英国政府,也取决于欧盟。不幸的是,英国政府(迄今为止)并未保证其打算继续采用当前格式的 GDPR UK。这一决定可能会给充分性协议带来灾难。
现阶段似乎相当确定的是,即使过渡期结束,从英国到欧盟的数据传输也将能够继续进行而不发生任何变化。然而,英国政府承认目前正在对此进行审查。
没有足够的能力吗?
如果欧盟决定不做出充分性决定,英国企业将需要实施额外的保障措施,以合法地跨越欧盟-英国边境传输数据。这让英国企业陷入了困境,因为他们无法确定是否需要做好准备。
因此,德杰律师事务所的法律顾问已经警告依赖从欧盟定期向英国传输数据的企业“将谨慎采取后备措施,以防止数据流中断”。
如果在六个月内未做出充分性决定,企业将需要确定自己是否属于英国 GDPR、欧盟 GDPR 的范围,或者可能同时属于两者的范围。就后者而言,在每个制度下,企业最终可能会承担不同的数据保护义务。
企业可能需要任命一名新的数据保护代表来正式处理欧盟内部的合规问题,并且可能需要更新隐私声明、内部政策、合同和其他文件以反映每个司法管辖区的义务。
此外,企业可能需要改变他们合法处理数据所依赖的法律依据。他们可能需要实施额外的保障措施,例如标准合同条款、具有约束力的公司规则、批准的行为准则和批准的认证措施,以便允许个人数据从欧盟合法流向英国。
这种情况将为英国组织带来大量额外的繁文缛节,这就是为什么英国政府必须尽快促进欧盟委员会做出充分性决定的途径。
是否有可能做出充分性决定?
人们只能希望能够在过渡期内做出充分的决定。然而,目前还没有什么可以保证的。此外,之前的充分性决策延续了很长一段时间;一个令人担忧的预兆。例如,欧盟与日本花了 18 个月才达成充分协议。
英国版 GDPR,由2018 年英国数据保护法(DPA)本身可能会对充分性决策造成障碍。英国最初实施的 GDPR(欧盟法律允许所有成员国使用)包含某些减损。
例如,英国的 DPA豁免在为维护国家安全或出于国防目的而需要进行数据处理的情况下,适用 GDPR。
作为欧盟的积极成员,这些法律允许的克减是没有问题的。然而,英国脱欧后,任何偏离欧盟原始法规的行为都有可能阻碍充分性协议的达成。
此外,欧盟已澄清,如果英国修改贸易协议时实施的任何数据保护法,或在未经欧盟伙伴关系理事会同意的情况下选择行使 DPA 或 GDPR UK 中包含的某些权力,“过渡期”可能会突然终止。
最终,这一切都归结为英国政府是否愿意继续实施欧盟关于消费者数据隐私的核心价值观,以及欧盟委员会是否认为由 DPA 定制的英国版本的 GDPR 目前与 GDPR 欧盟充分一致,允许数据传输而无需额外的保障措施。
不幸的是,对于英国企业来说,六个月是一个非常短的时间。而且,如果以历史为鉴,在过渡期结束时可能还没有做出充分的决定。