iStock_91726351_600px全世界都知道,英国以微弱多数投票通过离开欧盟(“Brexit”). But the 英国脱欧 process will take time, and the implications for businesses will also unfold over time. In this blog post, we take a look 在 the potential privacy and data security implications of 英国脱欧.

短期内没有变化

暂时,英国仍是欧盟成员国;和数据保护指令(“Directive”) and e-Privacy 指示 as currently implemented in 英国 law continue to apply. The 指示 will be replaced by the EU General Data Protection Regulation (GDPR) in 2018年五月, and in the coming period the e-Privacy 指示 will be updated to reflect the changes that the GDPR will bring. Given the time that will elapse before 英国脱欧 actually occurs, it may well be the case that the GDPR will come into force before the 英国 formally exits the EU.

由于GDPR具有欧盟法规的形式,它将直接适用于所有欧盟成员国,并且英国无需采取任何措施即可在英国的国家法律中予以实施。此外,很可能情况是英国必须在英国退欧之前将修订后的《电子隐私指令》实施到英国法律中。在英国正式退出欧盟之前,英国与欧盟其他国家之间的数据传输可能会继续发生,因为欧盟数据传输规则不适用于欧盟内部的个人数据传输。

Changes After 英国脱欧

当英国离开欧盟时,情况将会改变。从那时起,GDPR将不再在英国适用。但是,实施欧盟指令(包括电子隐私指令)的国家法律将一直有效,直到对其进行修订或废止。因此,英国将成为“third country” under the data transfer rules in the GDPR . In this case, personal data can 上 ly be exported by a business established in the EU to a 第三国, such as the 英国 , if there is an “足够的保护水平”对于此类数据,除非满足某些条件。

英国可以通过三种选择获得所需的“adequacy status,”第三种是最有可能的:

成为EEA会员:英国(如挪威,列支敦士登和冰岛)可以通过签署EEA协议而成为欧洲经济区的成员。根据《公约》第7条 欧洲经济区协议,英国仍然需要接受与包括GDPR在内的四个自由有关的欧盟相关法律的直接约束。鉴于英国需要同意接受欧盟许多不受欢迎的规则的约束这一事实,英国政府不太可能采用挪威,列支敦士登和冰岛采用的形式。英国脱欧的支持者,包括人民的自由流动。

瑞士解决方案:瑞士不是欧盟或EEA的一部分(尽管它与欧盟有双边协议,允许进入单一市场)。尽管不受其约束,但瑞士已将指令充分实施到其国内立法中,并在此基础上获得了“adequacy finding” from the European Commission. Switzerland has already indicated its wish to update Swiss legislation to reflect the application of the GDPR and retain its 充足状态. Also, although Switzerland is not subject to the jurisdiction of the European Court of Justice (ECJ), the ECJ’s case law has had a significant influence 上 Swiss legislation.

例如,欧洲法院驳回了委员会的《欧盟-美国安全港决定》后,瑞士人还宣布,瑞士-美国安全港没有为从瑞士向美国出口数据提供足够的法律依据。就EEA而言,瑞士模式将要求英国采用目前的GDPR以及任何其他有关数据保护的欧盟立法,而无权参与欧盟规则制定。英国政府不太可能以瑞士采用的形式推行该方案,因为这将使英国同意接受欧盟许多规则的约束,这些规则在英国退欧支持者中不受欢迎,包括人民的自由流动。

Full 足够的发现:根据此选择,他将执行自己的数据保护法,然后要求委员会发布其法律制度为“adequate”根据欧盟数据保护法设定的标准进行评估。乍一看,这似乎是首选方案,因为它使英国能够放宽某些规则以促进贸易(正如在GDPR谈判中所主张的那样)。但是,如果英国希望迅速做出充分的决定,继续在退出时继续促进英国与欧盟之间的数据传输,那么它可能必须执行与GDPR接近的规定。任何其他方法都可以使英国重新获得快速的充分决策。

欧盟很可能会反对任何宽松的规则,这些规则将使英国相对于欧盟成员国具有优势,或者促进某种形式的论坛购物。因此,不足为奇的是,英国信息专员办公室(ICO)已发布声明,称英国数据保护标准必须等同于GDPR。我们注意到,英国一直是数据保护的长期倡导者(例如,该法律在通过该指令之前已有10多年的历史了),并且公众对隐私保护法的意识也很高。英国进一步批准了第108号公约(该公约设定了数据保护的核心原则)以及《欧洲人权公约》(“ ECHR”,第8条规定了隐私权),并且英国必须遵守欧洲人权法院的权限。 ICO是全球隐私执法网络(GPEN)的成员,该网络旨在加强全球隐私权机构之间跨界执法方面的跨界信息共享和合作。这一切似乎都指向充分性的方向。

但是,我们强调指出,欧洲法院最近的Schrems判决可能对英国也有影响。在Schrems判决中,欧洲法院驳回了委员会批准“安全港框架”的决定,该框架旨在促进向遵守该框架的美国公司的数据传输,因为欧洲公民的隐私并未得到充分的保护(总之),因为美国情报部门的权力超出了严格必要的范围,与保护国家安全相称,个人没有足够的司法救济手段来保护自己的隐私。情报部门拥有过于广泛的监视权的担忧也可能适用于英国情报部门。由英国调查新闻局和一些民权组织提起的三起欧洲人权法院悬而未决的案件可能更加清晰,这些案件声称英国情报部门的通用监视权违反了《欧盟情报》第8条。 《欧洲人权公约》。

结论

在短期内,直到英国不再成为欧盟成员国之前,一切都不会改变,数据传输可能会像现在这样继续进行。

Whichever of the three options the 英国 ultimately follows to obtain 充足状态, the end result will be 英国 data protection legislation that is very much aligned with the upcoming GDPR and other EU privacy rules.

业务的下一步

•虽然预计委员会将最终确认“adequacy status”对于英国脱欧后英国制定的任何数据保护法律,可能在退出的确切时间可能尚未完成。这种情况将要求企业为从欧盟内部到英国的传输制定替代的数据传输安排,例如订立标准合同条款(SCC)。控制器和处理器也可以“提出适当的保障措施”通过采用具有约束力的公司规则进行集团内部转移(“BCRs”). In any case, in the aftermath of the Schrems judgement, we see a trend of companies moving to implement BCR in order to be less dependent 上 the adequacy decisions of the Commission and the negotiations of the EU and US in respect of the terms of the new 隐私 Shield.

•考虑到在业务流程中实施GDPR要求所需的时间,英国的企业应继续其GDPR准备计划。如上所述,英国最终将极有可能实施的规则与GDPR非常相似。还要注意,GDPR可能会继续适用于向其他欧盟国家的公民提供商品或服务的英国公司的数据处理活动,或以其他方式监视其行为。这同样适用于在其他欧盟国家设有办事处并运行中央数据处理系统的英国公司。

•ICO充当主要数据保护机构(“DPA”) in approving BCR in many instances. After the exit, the ICO will no longer be authorized to act as lead DPA. Companies with BCR where the ICO is lead DPA will therefore have to approach another EU DPA to act as their lead DPA. Businesses applying for BCR and having to select a lead DPA and co-leads should consider taking this into account.

 

* * * *

For more insights regarding the potential legal implications of the recent 英国脱欧 vote, please see our MoFo 英国脱欧 Briefings 莫里森页面& Foerster website.