在围绕英国退欧的所有话题以及可能发生的各种情况下,有必要研究对数据传输的潜在影响以及对律师事务所及其IT系统可能意味着什么。 2twenty4 Consulting的Tim Hyman列出了这些选项。

英国数据专员伊丽莎白•德纳姆(Elizabeth Denham)去年12月表示:“政府已经明确表示了允许数据从英国流向欧洲经济区国家的意图。但是,个人信息从EEA转移到英国 被影响。”

只要英国仍留在欧盟内,GDPR和《 2018年英国数据保护法》就规定了我们处理个人数据的方式,尤其是将个人数据转移到非EEA管辖区时必须采取的措施。

受到适当保护和GDPR核心数据保护原则的应用,欧盟国家之间可以有效地自由传输数据。为了合法地处理或共享EEA以外的数据,我们有义务确定目的地是否在欧盟的适当性清单上;如果没有合同规定,则必须使用具有约束力的公司规则(BCR)以保护组织内部转让或标准合同条款(SCC)的转让。如果是其他法律实体。对此有一些减损,但这些减损仅在有限的情况下使用。

数据传输操作模型

有三种主要的操作模型:

1您是仅在英国成立的律师事务所,仅在英国提供服务,不与英国以外的其他客户或组织共享个人数据;

2您是仅在英国成立的律师事务所,为英国和欧盟的客户提供服务;

3您是一家在英国成立的律师事务所,可与您在欧洲的办事处,客户或其他服务提供商共享数据。

模型1 –英国脱欧没有影响

模型2 –您可能会与保证客户数据不会离开欧洲的公司竞争。客户可能会要求您为在欧盟以外地区传输其数据做好准备。

如果以前的安排依赖英国成为欧盟成员国,则这可能会导致对客户合同的重大审查。

模型3 –作为模式2,但欧盟办事处还需要为与英国办事处共享其客户和员工个人数据做好准备。以前依赖英国在欧盟范围内的任何供应商合同都可能需要修改。

那么这对IT系统意味着什么呢?

在“假”情况下,就数据传输而言,英国将成为第三方,有效地将我们置于与印度和中国等国家相同的法律地位。

因此,规划我们打算如何合法化在我们自己的办公室之间以及与客户之间处理和共享客户和员工数据非常重要。

对于英国办事处而言,与欧盟办事处共享英国客户数据几乎不会受到任何影响,但是在另一个方向上的数据共享则需要新的规定和保护。

示例场景

在Lawfirm LLP,文档管理,CRM和PMS系统保存国际客户数据,其中一些客户主要由其德国和法国办事处处理。这些系统托管在伦敦的数据中心,IT,财务和营销团队位于伦敦的办公室。

在这种情况下,法律事务所LLP将有两种选择来确保在“离开”情况下其个人数据处理合法;

1通过在欧洲某个地方设置托管解决方案,防止法国和德国客户和员工数据与伦敦系统共享。

2它创建由所有办事处签署的具有约束力的公司规则或标准合同条款。

有可能使用客户同意作为上述例外,但这仅在有限的情况下使用,并且可能管理起来很复杂。

数据保护代表

另一个考虑因素是是否任命“代表”。 GDPR第27条要求欧盟以外的组织向欧盟内的组织提供商品或服务时,可能需要任命“代表”来管理数据保护,并成为数据主体和数据保护机构的联络点。

结果,ICO也表明,在“离开”的情况下,一家总部位于英国,在EEA中没有任何办事处但向EEA个人提供商品或服务的律师事务所将需要考虑任命欧洲代表。

下一步

1使用数据流图,确定哪些数据关系将受到英国离开欧盟的影响。

2确定是否应更改当前数据位置。

3确定是否应更改当前流程。

4评估具有约束力的公司规则的可行性。

5确定是否需要标准合同条款。

6 Update 隐私Notices so as to comply with the transparency requirements.

7评估对代表的要求。

Tim Hyman被欧洲隐私中心认证为数据保护官&马斯特里赫特大学网络安全。要了解更多信息,包括联系方式,请参阅 //www.2twenty4consulting.com/