如果您的公司在英国有供应商、母公司、子公司、合作伙伴或合作者,他们很可能会将个人数据传输到该国家/地区。 在这种情况下就非常方便了 知道可以做什么,如果 Brexit, 能够继续传递该信息并从这些关系中受益 在不违反规定的情况下 数据保护,否则您将因此受到严厉处罚。
而且,一旦与英国分离完成,向该国家/地区传输个人数据将被视为 国际数据传输 (TID),成为欧盟和欧洲经济区的第三个国家。
通用数据保护条例 (GDPR) 这是全球最严格的隐私法规。 因此,如果数据发送到欧洲经济区 (EEA) 以外的国家,安全和保障水平就会降低。 因此,一般规则是 除非符合规定,否则不允许这些数据流 以下任何假设:
- 数据目的地国家有充分性决定:欧盟委员会在研究了该国的隐私法规后,认为其有足够的保障,可以与欧洲水平保持一致,最近24月29日日本的情况也是如此。 然而,尽管英国已将其国家立法调整为欧洲数据保护条例(GDPR),但欧洲数据保护委员会或 EDPB(前第 XNUMX 条工作组)已指出,截至今日,它并没有做出这样一个充分性的决定,而事实是,其处理可能需要宝贵的时间,在此期间流向英国的数据不能瘫痪。
- 已采取充分的保障措施:即使目的地国家没有做出充分性决定,如果有任何支持的保证,也可以启用数据传输,其中最重要的是:
- 标准条款:合同条款要求数据接收者采取措施和保证,提供与欧洲保护水平相当的措施和保证。
- 具有约束力的公司规则s:更广为人知的是其英文缩写 BCR(具有约束力的公司规则),由一组公司设计和实施的一套具有法律约束力的政治规则或行为准则组成,目的是提供充分的保证,以便数据传输 内 团体是安全的。 它是商业团体的专有机制,必须提交给相关监管机构进行审查,并在适当情况下接受。
- 行为准则和认证机制: 这些机制是 GDPR 引入的新颖机制。 该行为准则由部门自律标准组成,其方法与 BCR 类似,但适用于商业部门而不是行业团体。 另一方面,GDPR 建立了创建有关数据保护(例如印章或品牌)的认证机制的可能性,以证明遵守适用的法规。 EDPB 目前正在制定一系列指南来协调这些条件。
- 任何评估的例外情况均适用:GDPR 留下了一些余地,规定即使 TID 被定向到不被认为安全的目的地,通信也没有得到足够的保障,如果可以被某些例外情况覆盖,则可以进行通信。它考虑的情况。 CEPD 已经警告说,由于这些是例外情况,因此必须严格解释它们,并且只能偶尔使用它们,而不是作为一般规则。
这样,即使英国在最终脱欧前未能达成协议,或者该协议不包含有关数据保护的条款, 不一定会导致欧盟个人数据流的隔离,尽管其流动性将取决于欧盟做出的决定,以及与英国有关系的欧洲其他地区公司的预期或快速反应。
2020 年 XNUMX 月更新:
31年2020月XNUMX日,“欧洲联盟与欧洲原子能共同体一方与大不列颠及北爱尔兰联合王国一方的贸易和合作协定“。
该协议本质上是详尽的,除许多其他方面外,还涉及欧盟和英国之间数据流的监管。 因此,本协议的 FINPROV.10ª 条规定,自协议签订之日起四个月(加上两次延期)后,从欧盟到英国的个人数据传输不会被视为国际数据传输。
协议双方预计,在此截止日期之前,将采取所有必要的行动,以便英国做出涵盖从欧盟流向其的国际个人数据的充分性决定。
访问我们的网页: http://www.elzaburu.com/
