在这份有关英国的潜在影响的专业论文中’s exit from the EU, 艾伦& Overy 查看数据保护法规并询问‘是否需要更改方法?’

重点问题

随着人们对风险的意识以及处理的个人数据量的不断增加,保护个人隐私变得越来越重要。我们正处于欧盟数据保护立法的重要时期。

每个成员国在本国法律中实施的现行欧盟数据保护指令几乎可以肯定会在2018年被新近达成一致的通用数据保护条例(GDPR)取代,该条例将直接适用。这包括对处理个人数据的人的相当繁重的新义务,并可能因未能正确处理而对其处以巨额罚款。

结果,数据保护迅速涌入董事会,并且公司已经在计划遵守这些要求。

同时,目前正在审查欧盟以外的数据传输机制(基于GDPR下的类似工具包)。最近宣布安全港制度无效,该制度允许某些转移到美国,国家监管机构正在研究其提议的替代品“隐私盾”。他们还重新考虑其他合规性行为是否也遭受与安全港相同的缺陷。

尽管有时会引用数据保护作为“繁文tape节”的例子,但我们认为英国退欧并不会在很大程度上改变英国处理数据的公司所期望的数据保护水平。从政策上讲,英国法律可能会强加GDPR所同意的数据保护水平,至少是为了避免(从长远来看)英国建立了与“隐私保护盾”类似的机制,或者需要英国公司采取其他合规行动,以使数据能够传输给他们。

从实践的角度来看,许多跨国公司也发现更方便地制定在其经营所在国家/地区一致的政策和程序。如果英国采用更宽松的标准,那么这不太可能影响他们在英国的合规性方法。然而,英国脱欧将导致在欧洲开展业务的英国公司不再能够将英国数据保护监管机构(ICO)作为其在欧盟的主要监管机构。

分析

当前职位是什么?

目前,根据《数据保护指令95/46 / EC》,在欧盟级别对个人数据(即与可识别的在世个人有关的数据)的处理进行监管。作为指令,该工具必须在每个欧盟成员国中实施。它是通过1998年《数据保护法》在英国实施的。该指令的缺点(与GDPR相对,该GDPR作为法规可直接适用,而无需本地实施)是,成员国之间不可避免地出现了差异。某些区域。这些差异包括,例如,可能因违反法律而施加的制裁,以及在某些情况下(例如,在进行某些国际转让的情况下)是否必须通知本地数据保护机构。这使得在整个欧盟开展业务的公司很难在所有相关成员国中采用通用的合规框架。

认识到缺乏协调统一,为了增强数据主体的权利,并考虑到过去20年的巨大技术进步和正在处理的大量数据,欧盟现已同意提供新的数据保护欧盟的框架˗GDPR。在2015年12月进行了四年的谈判后,最终达成了共识,我们预计该协议将从2018年中期开始在整个欧盟生效。

尽管GDPR在许多方面与现行法律大致相似,但其中包含一些重大变化。其中包括一系列新的问责义务(包括保留处理记录和进行影响评估以进行更高风险处理的义务),更高的违规罚款(在某些情况下高达全球年度营业额的4%)和新的数据泄露报告义务对于所有公司。一个可喜的变化是整个欧盟范围内的协调统一和“一站式服务”机制。 “一站式服务店”是指一家公司在多个会员国中设有分支机构的情况,将受到一个主要机构的监督。该领导机构将在必要时与其他相关机构合作,以实现更一致的合规方法。

公司已经开始分析和实施新要求。有关GDPR的更多信息,请参见我们的出版物 “欧盟通用数据保护条例最终获得同意”。

根据GDPR和现有指令,将个人数据从欧盟转移到其他国家的机制非常相似。但是,这方面存在新的不确定性。这是在欧盟法院(CJEU)裁定“安全港制度”(允许将数据从欧盟转移到美国参与公司)后作出的决定。

一个关键因素是执法机构访问欧盟传输的个人数据的能力范围,以及大规模,随意访问的可能性,这被认为与欧盟数据保护法不兼容。另一个担忧是美国缺乏针对数据主体的补救措施。同样,也有人批评英国最新提出的一项《调查权力法案》,以允许英国执法和情报机构对通信数据进行某些监视和保留,但该提议没有得到足够的保护。

CJEU的这一决定还导致重新评估了其他常用的将数据从欧盟转移出去的方法。这些措施包括使用示范条款(欧盟委员会批准的标准合同条款)以及对集团内部转让(BCR)使用具有约束力的公司规则。 2016年2月,在政治层面商定了一个新的跨大西洋数据流框架,称为“隐私盾”,以取代安全港。但是,在第29条工作组(由国家数据保护机构,欧洲数据保护主管和欧洲委员会的代表组成)对详细建议进行审核之前,所提议的“隐私保护盾”的有效性仍然不清楚,并且尚无其他遵从方法受到威胁。

英国退欧后我们将留在哪里?

欧盟以外的许多国家都在寻求欧盟为自己的立法建模的方法,因此从某种意义上说,欧盟数据保护法是数据处理法规的基准。例如,阿根廷,墨西哥,瑞士,以色列,南非和新西兰也通过了类似的立法。经验表明,即使某个国家的规定可能比较宽松,跨国公司也不欢迎各成员国之间缺乏统一。到处都有一致的规则并将合规级别设置为最高标准会更容易。因此,无论是否存在英国脱欧,这些公司都有可能继续遵守新的GDPR框架。

为了与欧盟有效地参与有关个人数据的自由内部市场,英国可能会寻求制定一种欧盟认可的解决方案。这可以通过以下方式实现:

  • 成为欧洲经济区的成员;要么
  • 寻求成为一个“适当的管辖权”通过欧盟委员会的决定。

欧盟委员会的充分性决定适用于整个国家(例如,新西兰和以色列)或选定的部门或制度(例如,在加拿大受《 PIPED法案》约束的公司,在美国则受先前的《安全港》约束)。充分的决策可能需要很多年,因此要达到这种状态可能要花费一些时间,具体取决于英国所采用的政治气候和政权。

这些选项中的每一个都将要求英国数据保护法规对从欧盟传输来的个人数据进行充分的保护。 CJEU安全港决定强调,任何发现一个国家适当的发现都要求该国家提供与欧盟内部所保证的保护水平基本相同的保护水平。这就为以后的充分性发现增加了标准。因此,目前尚不清楚英国在改变GDPR方面可以走多远,仍被认为是足够/等效的。例如,英国是否必须实施实质上类似的制裁制度?英国对《调查权力法案》的态度也将对充分性产生影响。一种可能性是英国将保留现有的《数据保护法》,但强加更高的标准以满足欧盟仅对欧盟数据的要求。英国采用这种方法与欧盟交换警察信息。

美国/欧盟委员会关于隐私保护盾的旷日持久的谈判是英国可能寻求与美国建立的那种制度的一个例子。如果英国寻求成为对欧盟转让的“适当管辖权”,那很有可能是继续转移的限制。欧盟将抵制英国成为其控制向非欧盟国家转移个人数据的薄弱环节的任何可能性。

如果没有适当的结构解决方案,公司将不得不寻求欧盟法律规定的其他机制或克减,以便从欧盟转移个人数据,例如示范条款或获得同意。

即使在英国制定了等效的规则,英国退欧的一个关键影响是,在英国处理个人数据的公司将无法从“一站式服务”机制中受益,因此可能面临不同的调查和来自英国ICO的制裁制度,而不是来自其欧盟领先数据保护机构的制裁制度。那些希望将GDPR体制下的主导权力作为ICO的人会感到失望。在英国退欧的情况下,此类公司可能会在采用BCR方面看到更多优势。包含在欧盟数据保护机构批准的BCR中的英国公司(与任何非欧盟管辖区的公司一样)将是从欧盟内部转移集团内部个人数据的适当目的地。

需要解决其他问题,这是本系列其他专家论文所共有的。例如,可能需要建立一种机制来考虑未来的CJEU决定。英国脱欧之后还需要一个过渡时期,特别是考虑到可能就英国是否获得“适当”地位进行旷日持久的谈判,以确保在实施新安排时能够继续提供数据。

这对您意味着什么?

我们将不得不拭目以待,看看英国退欧对数据保护法规的意义。结果很可能意味着至少在短期到中期,对于在英国处理个人数据的公司而言,几乎没有什么改变。无论是通过英国成为欧洲经济区的一部分,还是希望被宣布为欧盟成员国,至少有一种形式的适用于欧盟成员国的等效立法将继续适用,至少适用于往返于欧盟的数据传输。欧盟委员会的“充分管辖权”。

因此,跨多个司法管辖区运营的许多公司会认为,最好的做法是继续为GDPR做准备,以期即使英国确实离开了欧盟,对数据保护制度也施加了与GDPR要求类似的要求可能适用。

尽管我们已尽力在本说明中确定可能的情况,但至少暂时还不清楚该情况。我们将对此进行审查。

本文是专业艾伦系列文章之一&有关英国退欧的过多论文。您可以在以下网址阅读这些论文,网址为www.allenovery.com/brexit