离英国离开欧盟还有不到一个月的时间(格林威治标准时间晚上11点/2019年3月29日欧洲中部时间下午12点)。还有很多不确定因素,如果是这样的话,英国将退出欧盟(通常被称为“脱欧”)。鉴于这种不确定性,我们概述了将要发生的事情,应该考虑的是,这取决于事态的发展,尤其是考虑到本周英国议会将要进行的重要投票。

如果有交易会怎样?

目前,由于英国是欧盟的一部分,因此实施了通用数据保护条例(“GDPR”),英国和欧盟其他国家之间的个人数据流动不受限制。

如果英国和欧盟能够就如何实施脱欧达成协议(正式称为“联合王国退出欧盟协议”),或“提款协议”),这意味着欧盟和英国将进入过渡期(至2020年12月31日,或者可能晚些时候)在此期间,欧盟和英国将寻求达成一项新的长期贸易协议。

在这一过渡时期,英国必须遵守所有欧盟规则。关于数据保护的考虑,这意味着个人数据可以在这个过渡时期继续自由流动。欧盟将利用这一时间来评估英国的数据保护做法是否实质上等同于欧盟和“努力采用”。确保过渡期后个人数据继续自由流动的充分性决定。

欧盟已承认少数国家提供了“充分的”保护个人的个人数据,这样,个人数据就可以自由地从欧盟转移到这些非欧盟管辖区。名单目前包括以色列,根据美国隐私保护框架进行的转让,瑞士最近的日本。

英国必须像其他任何希望获得“充分性决定”的国家一样接受评估。鉴于英国已经实施了gdpr,因此英国处于领先地位。但充分性评估的结果并不是一个必然的结论。欧盟将关注英国数据隐私保护的所有方面,包括法律规则和公共当局对个人数据的访问。关于后者,例如,欧洲法院一直对英国安全部门获取个人数据的途径表示关注。英国政府试图解决这一问题。

与此同时,英国将把gdpr纳入英国法律,并参考欧盟机构/立法,而不是参考适当的英国机构和合并立法。

如果没有交易怎么办?

在“不交易”中英国退欧,不会有过渡安排。尽管英国仍将把gdpr纳入英国法律,欧盟将把英国视为第三国。因此,企业应考虑以下可能需要采取行动的领域:

隐私文档考虑一下,如果需要更新,与隐私相关的文件和协议,包括对欧盟的引用,英国以及欧洲经济区(“EEA”),参考相关隐私立法和相关术语。欧洲经济区是欧盟成员国加上冰岛,列支敦士登和挪威。

国际转账:考虑并映射英国和欧盟/欧洲经济区之间的任何个人数据流。英国政府已经明确表示,关于从英国向欧盟/欧洲经济区的转移,英国将认为欧盟/欧洲经济区是足够的。英国还将认为其他任何国家的法律已经得到充分的决定,尽管来自被认为足够的国家的出口商需要遵守任何当地法律。

关于从欧盟/欧洲经济区到英国的个人数据传输,欧盟/欧洲经济区将把英国视为第三国。欧盟/欧洲经济区不会认为英国“足够”,因此,这些转让需要在另一个合法的基础上进行,例如具有约束力的公司规则(“BCR”)或标准合同条款。欧盟/欧洲经济区将:及时,评估英国的充分性,尽管没有商定的时间表,但这一过程可能需要几年时间。

因此,在这种情况下,企业需要确保有适当的保障措施(或有可依赖的例外情况)将个人数据从欧盟/欧洲经济区合法转移到英国。

如果该保障措施对公司规则具有约束力,考虑当前领导权限的位置。如果当前领导机构是英国,然后,这就需要转变为一个欧盟领导机构。还需要更新BCR,以确保英国被视为第三国。

英国和欧盟都需要批准未来的BCR。

一站式商店:如果英国以前是领导机构,然后,企业将需要考虑其在欧盟的任何其他业务是否可以成为主导机构。

欧盟代表:如果一家企业位于英国,并且在欧盟没有其他业务,但目标是欧盟的数据主体或监控欧盟数据主体的行为,企业应考虑是否需要任命一名欧盟代表。英国还将复制这一规定,以便如果企业位于英国境外,但针对英国的数据主体或监控英国数据主体的行为,然后应任命一名英国代表。

违规报告:如果英国和欧盟都发生了违约,然后,业务部门需要向ICO和欧盟相关数据保护机构报告违规行为。这可能会导致ICO和欧盟数据保护局/IES处以罚款。

我听说英国脱欧会被推迟甚至停止,那会发生什么?

在写作的时候,目前尚不清楚是否会推迟或停止脱欧,但显而易见的是,除非并直到英国退出欧盟,那么现状将继续下去。虽然英国是欧盟和欧洲经济区的成员国,个人数据可以继续自由流动。

如果您对您的业务接下来需要做什么有任何疑问,然后请联系Kelly McMullon或Proskauer的隐私和网络安全实践小组的另一名成员。