Brexit交易授予英国临时数据充足
上个月,英国和欧盟(欧盟)将一个短期协议作为Brexit交易的一部分,以允许持续的自由数据流动,这在贸易中支持超过1000亿英镑。但数据保护专家已经提出了对这些安排的合法性的担忧 - 并且在接下来的情况下被视为发生的事情。
根据欧盟 - 英国贸易合作协议(TCA) - 由谈判者于2020年12月24日达成协议,自2021年1月1日起暂时适用 - 从欧盟到英国的个人数据传递“不得视为转移联合法下的第三国“。
就从欧盟到英国的个人数据转移而言,英国基本上将被视为过硬化的时间,并且受某些条件的影响,好像它仍然是成员国。
这些条件包括英国不行使某些“指定权力”,例如根据欧盟退出条例授予的那些,这些条例允许英国部长通过使用法定仪器来确定或撤销数据充足的决定,这将自动带来结束如果未经欧盟协议使用,则指定期限。
在第一次发表于2020年12月29日第一个发表的lexisnexis的文章,FieldFisher的隐私和信息法集团Elonor Duhs的主任写道,持续的数据流动是“特别是受欢迎的”,特别是在最近的研究中的背景下“表明成本”必须将替代转移机制置于适当的地方,这可能会使英国企业为1.6亿英镑。
她补充说,“该协议创造了一个”桥接机制“,以便在充分性决策中启用数据的自由流动,这决定了欧盟外的一个国家是否提供了足够的数据保护水平,因此可以与它。
她说,如果没有这种充分性,“欧盟企业将出现大量额外的合规负担,这是在许多人都能得到的时机给英国转移到英国的企业”。
据博客邮政报告,杜威库夫于1月2日发布 - 伦敦大都会大学的国际法教授,专门从事人权和数据保护 - 英国基本上在TCA下的临时性质是“合法的小说“,欧洲议会应该删除允许它的物品,即”从根本上破坏“集团的数据保护法。
这是因为,他说,在一般数据保护条例(GDPR)下,个人数据可能只在会员国或成员国之间自由转移到已被认为具有“充足”水平的第三国欧洲委员会(EC)的数据保护。
Korff说,虽然个人数据转移仍然可以到非足够的第三国国家,如标准合同条款(SCCS),但Korff说:“在欧盟数据保护法(或条约)中,没有其他类型的个人数据的跨境转移。”
根据Korff,题为ChinProv.10A的TCA文章,“通过假装(对于指定的期限并受到指定条件的影响,推动一匹马和购物车)对英国的个人数据转移不是”转移到第三个国家“。”
“如果没有对英国数据保护制度的任何实际评估,那么它将在2021年1月1日申请,而不遵循充分性决定的过程,”他补充说。
应该指出的是,2020年7月,欧洲司法法院(CJEU)的地标裁决,袭击美国欧盟隐私盾牌数据分享协议还对使用SCCS作为国际数据转让的基础的合法性令人怀疑。
它发现,虽然他们在法律上有效,但公司仍然有责任确保他们与赠款隐私保护共享数据,相当于欧盟法律中所载的数据。
根据Max Schrems的说法,Noyb.eu的创始人在2013年向Facebook提起了原来的投诉,导致了CJEU的决定(俗称施莱姆斯II),GDPR和该条约之间存在法律冲突。
“我们不确定如何解释,现在是更深入的样子。实际上,这个时期很短暂,任何诉讼都会在任何情况下都需要更长的时间,直到这些规定失效,“他说。
在TCA达成协议后,在2020年12月24日推文,英国数码秘书Oliver Dowden写道:“我们已同意在欧盟/ EEA / EFTA&UK之间继续使用数据流动,而欧盟则完成其批准进程以获得充足的决策。这种安排将是时间限制。从1月1日起,英国将完全自治。“
然而,根据Korff,英国特别待遇的条件完全没有解决其数据保护制度中的“现有缺陷” - 例如GDPR和英国2017年数字经济法的个人数据定义之间的恐惧 - 并忽略了据证明,“根据法律规则”明显未能达到欧盟司法法院在施莱姆斯II和欧洲数据保护委员会“的情况下,”根据法律规则“监督的欧洲基本保障“。
“英国将不得不选择:它要么符合欧洲最低标准,它要么符合欧洲最低标准... [所以它]然后可以享受与欧盟的免费数据交换,否则它将不得不面对并接受没有的负面后果为欧盟“敦威大学杜威库夫”欧盟大学保证的个人数据提供“基本上等同的”保护因此,虽然存在强烈的假设,即在FinProvov.10A和Dowden的案文中将获得充分性,Korff认为“除非”上述问题,否则“英国不能也不应授予积极的充足决定其他人被处理。
“未来几个月,但可能需要更长时间,TCA完全有效地绕过了GDPR过程,其中将英国放置在比其他国家所考虑的其他国家更好的职位,从而使英国的监视活动 - 不同于那些他说,包括美国的其他第三个国家,包括方便地忘记了。“
“英国将不得不选择:它要么符合欧洲最低标准,它要么符合欧洲最低标准... [所以它]然后可以享受与欧盟的免费数据交换,否则它将不得不面对并接受没有的负面后果他补充说,向欧盟保证的个人数据提供“基本上等同的”保护,“他补充道。
然而,Duhs表示,没有建议,英国可能会打算降低其数据保护标准,指出TCA的声明,即英国和欧盟肯定致力于确保高水平的个人数据保护“和a意愿“共同努力促进高国际标准”。
她补充说,作为一个离开的成员国,建议英国不充分将为数据充足的条款“不可能高”。
“在赋予欧盟在赋予新的充足性决定(例如,在韩国或通过隐私盾牌的任何替代方面的美国公司或在韩国或认证的美国公司提供的困难中,可能会造成大量困难。她说,它还可以证明继续存在现有的充分决策障碍。
“在Schrems II案件之后,在没有充足的决定的情况下将数据转移到第三国的负担增加。例如,转让影响评估要求公司在授予充足的决定时使用与欧洲委员会的相同标准进行转让的国家的“迷你充足率评估”。
“这些是复杂的考虑因素,特别困难,中小企业[中小企业]遵守。英国的充分性意味着这项工作不必完成。“
虽然TCA文章仅适用于“指定时期”,但在欧盟授予充足率的日期或1月1日之后的四到六个月(以六个月)结束,而Korff则表示可能是“由欧盟延伸英国意志“,基本上踢了道路上的问题。
这是因为TCA中的其他规定建立了伙伴关系委员会,该伙伴会由欧盟和英国的联合椅组成,并根据TCA的“通过相互同意”来提出决定。
TCA补充说,各一方“可以决定在各自的官方期刊或在线上颁布伙伴关系委员会的决定和建议”。
“换句话说,贸易与合作协议中的任何事情,包括申请FinProvov.10a的”指定期间“,可以通过各方之间的协议修订......以及任何此类决定可能会根据秘密信息进行任何此类决定(如果欧盟或英国的要求) - 并且甚至可以保持未发布,“Korff说。
“当然,伙伴关系委员会决策的过程远远缩短了在GDPR下通过了采用充足的决定的过程。艾普布不必向任何此类拟议决定发出意见,也不需要咨询英国和欧洲议会。“
根据欧盟的目前立法框架,采用充足的决定要求从多个机构输入。
这包括EC的初步提案,然后由EDPB审查,并由成员国代表委员会投票,然后再回到EC进行最终批准。
在任何时候,欧洲议会或欧洲理事会都可以要求EC维持,修改或撤回足够的决定,如果他们决定超过EC的实施权力。
Korff补充说,虽然任何决定延长这一时期的决定将被保密,因为“这种决定需要公开为公司和公共当局依赖它”,但有一个更强大的机会“英国将向欧盟提出“机密”信息,以说服后者延长该期间,例如在不这样做的基础上危害英国和欧盟国家安全“。
然而,DUHS认为,这仍然是前进的程序,写作伙伴关系委员会“能够向贸易和合作协议所涵盖的地区或任何补充协议的地区转移个人数据的缔约方提出建议”而且规定“潜在允许在造成中断之前处理困难”。
她补充说,虽然这也有可能导致CJEU对充足性和合作委员会的方法之间的紧张关系,但它确实减轻了失去充足率的风险。“这可以协助在CJEU使CJEU无效的情况下提供政治解决方案英国充足的决定,“她说。