1月1日,新的歐盟-英國貿易與合作協定生效,為兩國之間的貿易繼續進行提供了法律基礎。
作為最後喘息協議的一部分,歐盟為英國提供了一個“過渡期”,允許英國企業在六個月內繼續根據 GDPR 處理歐洲消費者數據。
寬限期結束後,歐盟將需要為英國企業做出充分決定,以繼續以當前方式將消費者數據從歐盟轉移到英國。那麼,這對英國企業意味著什麼呢?
新的貿易協議導致兩個版本的 GDPR 並存。歐盟的 GDPR 保持不變,但英國現在受其自己單獨版本的數據保護製度——GDPR UK 的管轄。
儘管存在這種法律差異,但目前英國企業可以繼續處理歐洲消費者數據,就好像英國仍然是歐盟成員國一樣。然而,一旦六個月的“過渡期”結束,企業可能需要更改其程序,以確保數據符合英國 GDPR 和歐盟 GDPR。
好消息是,如果達成充分性決定,數據傳輸將能夠繼續,而無需實施任何額外的保護措施。對於英國企業來說,這將是最好的結果,因為這將導致最少的摩擦。
能否做出充分性決定既取決於英國政府,也取決於歐盟。不幸的是,英國政府(迄今為止)並未保證其打算繼續採用當前格式的 GDPR UK。這一決定可能會給充分性協議帶來災難。
現階段似乎相當確定的是,即使過渡期結束,從英國到歐盟的數據傳輸也將能夠繼續進行而不發生任何變化。然而,英國政府承認目前正在對此進行審查。
沒有足夠的能力嗎?
如果歐盟決定不做出充分性決定,英國企業將需要實施額外的保障措施,以合法地跨越歐盟-英國邊境傳輸數據。這讓英國企業陷入了困境,因為他們無法確定是否需要做好準備。
因此,德傑律師事務所的法律顧問已經警告依賴從歐盟定期向英國傳輸數據的企業“將謹慎採取後備措施,以防止數據流中斷”。
如果在六個月內未做出充分性決定,企業將需要確定自己是否屬於英國 GDPR、歐盟 GDPR 的範圍,或者可能同時屬於兩者的範圍。就後者而言,在每個制度下,企業最終可能會承擔不同的數據保護義務。
企業可能需要任命一名新的數據保護代表來正式處理歐盟內部的合規問題,並且可能需要更新隱私聲明、內部政策、合同和其他文件以反映每個司法管轄區的義務。
此外,企業可能需要改變他們合法處理數據所依賴的法律依據。他們可能需要實施額外的保障措施,例如標準合同條款、具有約束力的公司規則、批准的行為準則和批准的認證措施,以便允許個人數據從歐盟合法流向英國。
這種情況將為英國組織帶來大量額外的繁文縟節,這就是為什麼英國政府必須盡快促進歐盟委員會做出充分性決定的途徑。
是否有可能做出充分性決定?
人們只能希望能夠在過渡期內做出充分的決定。然而,目前還沒有什麼可以保證的。此外,之前的充分性決策延續了很長一段時間;一個令人擔憂的預兆。例如,歐盟與日本花了 18 個月才達成充分協議。
英國版 GDPR,由2018 年英國數據保護法(DPA)本身可能會對充分性決策造成障礙。英國最初實施的 GDPR(歐盟法律允許所有成員國使用)包含某些減損。
例如,英國的 DPA豁免在為維護國家安全或出於國防目的而需要進行數據處理的情況下,適用 GDPR。
作為歐盟的積極成員,這些法律允許的克減是沒有問題的。然而,英國脫歐後,任何偏離歐盟原始法規的行為都有可能阻礙充分性協議的達成。
此外,歐盟已澄清,如果英國修改貿易協議時實施的任何數據保護法,或在未經歐盟夥伴關係理事會同意的情況下選擇行使 DPA 或 GDPR UK 中包含的某些權力,“過渡期”可能會突然終止。
最終,這一切都歸結為英國政府是否願意繼續實施歐盟關於消費者數據隱私的核心價值觀,以及歐盟委員會是否認為由 DPA 定制的英國版本的 GDPR 目前與 GDPR 歐盟充分一致,允許數據傳輸而無需額外的保障措施。
不幸的是,對於英國企業來說,六個月是一個非常短的時間。而且,如果以歷史為鑑,在過渡期結束時可能還沒有做出充分的決定。