如果您公司的供应商、母公司、子公司或者合作商在英国境内,那么您很可能存在向英国传输个人数据的情况。因此,我们强烈建议您了解英国最终脱离欧盟之后哪些行为是合法的,以确保能够继续合法传输信息和维持商业联系,不违反数据保护法或受到严重惩罚。

英国脱离欧盟之后,向英国传输个人数据的行为将被视为国际数据传输行为,因为英国将变为第三方国家(非欧盟成员,非欧洲经济区成员)。

《欧盟通用数据保护条例》(以下简称GDPR是目前全球隐私保护领域最严格的立法。就这一点而言,向欧洲经济区以外地区传输数据,意味着其安全和保障水平变低。因此,一般规则是,向欧盟以外传输数据行为只有满足以下条件方属合法

  • 接收数据方所在国家取得“充足性决定(Adequacy Decision)”:欧盟委员会分析该国隐私立法,认定能否提供充分保证符合欧盟标准,正如今年1月24日通过的对日本的充足性决定。但是,虽然英国是为保持与GDPR规定一致才修改了其国内法,欧盟数据保护委员会(EDPB,取代前第29条工作组)已经表明,现阶段英国还没有取得充足性决定,事实上,该决定的通过过程可能花费很长时间,而在此期间,无法停止向英国传输数据。
  • 应当采用合适的保障措施:即使数据接收国尚未获得充足性决定,如果能够提供合适的保障措施,仍然可以进行数据传输行为,主要措施包括:
    • 标准条款(Standard clauses:合同条款列明数据接收方必须采取适当措施保障所提供保护等级符合欧盟标准。
    • 有约束力的公司规则(Binding Corporate Rules:更为公众熟知的是其简称BCR,是指由企业集团(a group of enterprises)制定和执行的一系列有法律约束力的规则或者行为规范,为集团内的数据传输安全提供充分保障。
  • 行为规范(Codes of conduct)和认证机制:这些机制是GDPR引入的新功能。行为规范是行业自律规则。与BCR类似,但适用于商业行业协会(a business sector)而非企业集团。此外,GDPR提供了在数据保护领域(例如盖章或者贴标等)创建认证机制的可能性,作为保证符合所适用法律的一种方式。EDPB目前正在制定一系列指令协调这类情况。
  • 至少可适用一种法律减损规定:GDPR也留下了一定回旋余地,该条例规定,即使国际数据传输的接收方被认定为不安全或者未提供合适的数据传输安全保障,如果属于条例明确列出的例外情形,仍然允许进行数据传输。EDPB已经作出过警告,由于这些属于例外情形,必须进行严格解释,且只能例外适用,以确保该例外情形不会变为常规规定。

因此,尽管数据传输取决于欧盟的决定和,以及与英国有业务联系的欧洲其他国家的公司的准备和快速响应,即使在英国脱欧之时尚未达成协议,或者该协议并未包括数据保护条款,也并不意味着从欧盟向外传输个人数据完全被切断

作者:Fernando DíazRuth Benito

访问我们的网站:http://www.elzaburu.es/en