ニュース
注意事項: この記事は、英語から自動翻訳されています。原文については、英語の記事をご覧ください。一部の自動翻訳が不自然な場合がありますが、予めご理解いただけますようお願い申し上げます。
illustration of the European and British flag In the context of Brexit.

ブレグジットと英国プライバシー代表

Andreas

Andreas Maetzler

1.貿易・協力協定

英国のEU離脱後、離脱協定は英国とEUの将来の関係を交渉するための移行期間を定めた。移行期間が終了する2020年12月31日の直前に、両当事者は貿易協力協定(Trade and Cooperation Agreement、以下「TCA」)に合意した。しかし、ハードブレグジットの最大の懸念事項であるEUから英国へのデータ流出には幸いにも対処している(詳細は下記5.EU-英国間のデータ移転を参照)。それ以外には、データ保護に関する主要な規定はなく、特に移行期間終了後のEUまたは英国の代表者の選任の必要性については変更がない。したがって、EUおよび/または英国に事業体、支店、またはその他の施設を持たない企業で、商品やサービスを提供したり、データ対象者を監視したりする場合は、その市場で代表者を任命する必要があります。

参考文献:ICO FAQ

2.2021年1月1日以降の状況

2021年1月1日までは、GDPR第27条に基づく代理人の選任義務は、GDPRの対象国以外の国に拠点を置く企業にのみ適用されました。GDPRは、EU域外(英国を含む)に拠点を置く企業にのみ影響する。そのため、EU域内や英国を拠点とする企業にとって、この義務はそれほど目立つものではありませんでした。英国のEU離脱に伴い、この「隠れた」代理人選任義務は、英国を拠点とする事業者だけでなく、EU域内を拠点とする事業者にとっても、正確には非常に重要な意味を持つようになる可能性があります。

移行期間の終了に伴い、「英国GDPR」がデータ保護法2018の改正版とともに英国で施行された。EUのGDPRと同様に、英国の新しいデータ保護の枠組みは、英国外に拠点を置きながら英国市場に参入する企業に対し、英国内に代表者を置くことを義務付けている。つまり、部外者から見ると、企業に代理人の選任を義務付ける可能性のある法的規定が2つ存在することになる。一方はEU域外を拠点とする企業に適用されるEU GDPR、もう一方は英国域外を拠点とする企業に適用される英国GDPRである。したがって、ICOは、EUおよび/または英国における代理人の選任義務の可能性について、かなり早い段階ですでに企業に通知している。

参考文献:英国GDPRの改正データ保護法2018データ保護終了規則ICO: GDPRはまだ適用されますかICO FAQs

3.代理人

illustration.

英国以外の企業は英国代理人を任命する必要がありますか?

英国政府は、2021年1月1日以降、EU域内であれ第三国であれ、英国外に所在する企業は、第27条UK-GDPRに従って英国代理人を任命する必要があると発表した。27 UK-GDPRに従って英国代理人を任命する必要があります:

  • 英国内の個人に商品またはサービスを提供する場合。
  • 当社は、英国代理人向けにSaaSソリューションを適応し、英国オフィスからリーガルテックサービスを提供することができます。

リソース:英国GDPRの改正ICO:EU代理人の要件、ICOのFAQ

英国企業はEU駐在員を任命する必要がありますか?

一般的に、EU域内に拠点を持たない企業は、GDPR第27条に定める代理人を任命する必要があります。27 GDPRの代表者が必要なのは、以下の場合です:

  • EEA域内の個人に商品またはサービスを提供する場合。
  • 移行期間終了後、英国は加盟国ではなくなるため、英国にある施設はEUの施設としてカウントされなくなります。EUの観点からは、英国は第三国とみなされます。したがって、この一般規則により、上記の基準を満たす英国企業は、EU駐在員を任命することが義務付けられています。当事務所では、すべてのEU加盟国において代理人を選任するためのSaaSソリューションを提供しています。

リソース: ICO: EU代理人の要件ICO FAQs

4.データの流れ

EUから英国へのデータの流れ

TCAは、「ブリッジング期間」と呼ばれる最長6ヶ月間、EU(およびEEA)から英国への自由なデータフローを認めている。この期間が過ぎれば、欧州委員会が妥当性決定の採択を決定することが期待される。それまでに欧州委員会の決定がなされない場合、ブリッジング期間は関係なく終了し、英国はEUからの個人データの合法的な処理を保証する代替メカニズムを提供しなければならなくなる。 2020年12月28日の声明で、ICOは、個人データを英国に移転するEUまたはEEAの組織と連携する英国企業は、2021年4月末までにEU-英国のデータフローに代替移転メカニズムを導入するよう勧告している。英国政府もまた、賢明な予防措置として、英国企業に代替移転メカニズムを導入するよう助言している。最も関連性が高いのは、標準契約条項(SCC)であろう。ICOはSCCを構築するためのガイダンスと対話型ツールを提供している。 欧州委員会が6ヶ月の期間終了までに妥当性決定を採択しなければ、英国はEU GDPRの移転制限に従わなければならなくなる。一般的に、適切性決定、適切なセーフガード、例外のいずれかが適用されれば、データ移転は可能である。妥当性決定がない場合、EEAの送信者は適切な保護措置を講じれば、英国に移転することができる。妥当性決定も適切な保護措置もない場合でも、EU GDPRの例外のいずれかが適用されれば、EEAの送信者は英国にデータを移転することができる。しかし、ICOは、EDPBガイダンスによると、これらの例外は制限的に解釈されなければならず、主に臨時的に発生し、反復性のない移転に関連するものであることを英国企業に通知している。

資料:EU委員会による英国の妥当性承認に関する発表に対するICOの声明EU委員会Brexit移行期間終了後の中小企業および組織のデータ保護

英国からEUへのデータフロー

英国政府は、英国からEU/EEA、ジブラルタル、その他EUが適切とみなす国へのデータフローについては、現在のところ変更はないとしている。したがって、英国からEUへの転送は許可されているが、英国企業はそれらの転送をカバーするために文書やプライバシー通知を更新する必要がある。政府は、この件に関しては今後も検討すると述べている。

リソース:Gov.uk:「ビジネスやその他の組織における個人データの使用”

5.レガシーデータ

離脱協定第71条(1)には、「レガシーデータ」に関する規定がある。離脱協定第71条1項には、欧州委員会により適切性決定が採択されなかった場合の「レガシーデータ」に関する規定が含まれている。レガシーデータとは、移行期間終了前に取得された英国外の個人のデータです:

  • 移行期間終了前に取得され、EU GDPRに基づいて処理されたもの。
  • レガシーデータは引き続きEU GDPR(「凍結GDPR」とも呼ばれる)の対象となる。そのためICOは、移行期間終了前に収集されたデータを特定するよう企業に推奨している。英国のデータ保護法は現在、凍結されたGDPRと整合しているため、実際には、企業は離脱協定に準拠するために変更を加える必要はないかもしれない。しかし、英国政府は、レガシーデータを特定し追跡するために、個人データを棚卸しするよう企業に強調している。 欧州委員会により妥当性決定が下された場合、これらの規定は適用されなくなる。 リソース:Gov.uk Guidance: EU委員会ビジネスまたはその他の組織における個人データの使用 ICO:国際データ移転