Brexit and UK Privacy Representation
貿易と協力協定
英国がEUを離脱した後、離脱協定は英国とEUの将来の関係の交渉のための移行期間を定めました。移行期間の終了直前、2020年12月31日、両当事者は貿易協定と協力協定("TCA")に合意しましたが、データ保護に関する詳細はかなり乏しいです。ただし、幸いなことに、最大の懸念であるハードブレグジットからのEUから英国へのデータフローについて取り上げています(詳細については5. EU-UKデータ転送を参照)。それ以外にも、EUまたは英国の代表を任命する必要性についての変更は特になく、移行期間の終了後も代表を任命する必要があるという大きな規定はありません。したがって、EUおよび/または英国に実体、支店、または他の施設を持たない企業は、商品やサービスを提供したり、データ主体を監視したりする場合、到達する市場に代表を任命する必要があります。
参考文献:ICO(Initial Coin Offering)FAQs
2021年1月1日以降の状況
2021年1月1日まで、GDPR第27条に基づく代表者の任命義務は、EU外(英国を含む)に拠点を置く事業者にのみ影響を及ぼしていました。したがって、この義務は、EUおよび英国内に拠点を置く事業者にはあまり顕著ではありませんでした。英国がEUを離脱したことで、この「隠れた」代表者の任命義務は、今後、英国に拠点を置く事業者だけでなく、EU内に拠点を置く事業者にとっても非常に重要になる可能性があります。
移行期間の終了とともに、「UK GDPR」と改正版の2018年データ保護法が英国で施行されました。EU GDPRに相当する新しい英国のデータ保護フレームワークは、英国外に拠点を置くが英国市場にアプローチしている企業に、英国内に代表者を任命する義務を課しています。したがって、外部から見ると、今や企業に代表者を任命する可能性がある法的規定が2つあります。一方でEU GDPRは、EU外に拠点を置く企業に適用され、もう一方でUK GDPRは、英国外に拠点を置く企業に適用されます。したがって、ICOは既に企業に対して、EUおよび/またはUKに代表者を任命する可能性について非常に早い段階で通知しています。
参考文献:英国GDPRの修正Sure, please provide me with the text you would like me to translate into Japanese.データ保護法2018Sure, please provide me with the text you would like me to translate into Japanese.データ保護退去規則Sure, please provide me with the text you would like me to translate into Japanese.ICO:GDPRは適用されますか?Sure, please provide me with the text you would like me to translate into Japanese.ICO(Initial Coin Offering)FAQs
表現
英国以外の企業は、英国代表を任命する必要がありますか?
イギリス政府は、2021年1月1日以降、EU内または第三国にある企業は、UK-GDPR第27条に従い、イギリス代表を任命する必要があると述べました。
- イギリスの個人に商品やサービスを提供する場合;
- イギリスの個人の行動を監視します。 私たちは、イギリスの代表団向けに当社のSaaSソリューションを適応させ、イギリスオフィスから当社のLegalTechサービスを提供できます。
リソース:英国GDPRの修正Sure, please provide me with the text you would like me to translate into Japanese.ICO: EU代表者の要件I'm sorry, but I cannot provide a translation without any text to work with. Please provide the text you would like me to translate into Japanese.ICO(Initial Coin Offering)FAQs
Appoint UK Representative英国の企業はEU代表を任命する必要がありますか?
一般的に、EUに拠点を持たない企業は、以下の場合には、GDPR第27条の代表者が必要です。
- EEA内の個人に商品やサービスを提供します。
- EEA内の個人の行動を監視します。 移行期間終了後、英国はもはや加盟国ではないため、英国における事業所はEUの事業所としては数えられなくなります。EUの観点からは、英国は第三国と見なされます。したがって、上記の基準を満たす英国企業は、EU代表を任命する義務があります。当法律事務所では、すべてのEU加盟国での代表業務のためのSaaSソリューションを提供しています。
リソース:ICO: EU代表者の要件Sure, please provide me with the text you would like me to translate into Japanese.ICO(Initial Coin Offering)FAQs
Appoint EU Representativeデータフロー
EUからUKへのデータフロー
The TCA allows data to flow freely from the EU (and EEA) to the UK for a period of a maximum of six months, which is called the “bridging period”. After this time, the European Commission will hopefully have decided on the adoption of an adequacy decision. If no decision by the European Commission has been made by then, the bridging period will come to an end regardless and the UK will have to provide alternative mechanisms to ensure legal processing of personal data from the EU. In a statement on 28 December 2020, the ICO recommends that UK businesses that work with EU or EEA organisations who transfer personal data to the UK should put in place alternative transfer mechanism for the EU-UK data flow before the end of April 2021. The UK government also advises UK businesses to put in place alternative transfer mechanisms as a sensible precaution. The most relevant would be Standard Contractual Clauses (SCCs). The ICO provides guidance and interactive tools to build SCCs. If the European Commission does not adopt an adequacy decision by the end of the six-month period, the UK will have to comply with the EU GDPR transfer restrictions. Generally, data transfer is possible if it is covered by an adequacy decision, an appropriate safeguard, or an exception. If there is no adequacy decision, the EEA sender can make transfers to the UK, if they put in place appropriate safeguards. If there are no adequacy decision and no appropriate safeguards in place, the EEA sender will still be able to transfer data to the UK if one of the EU GDPR exceptions applies. However, the ICO informs UK businesses that according to the EDPB guidance, these exceptions must be interpreted restrictively and mainly relate to transfers that happen on an occasional basis and are non-repetitive.
リソース:EU委員会が英国の適格性承認を発表したことに対するICOの声明Sure, please provide me with the text you would like me to translate into Japanese.EU委員会:中小企業や団体のためのBrexit移行期間終了後のデータ保護
イギリスからEUへのデータフロー
英国政府は、現在、英国からEU/EEA、ジブラルタル、およびEUが適切と認める他の国々へのデータフローに変更はないと述べています。したがって、英国からEUへの転送は許可されていますが、英国の企業はその転送をカバーするために文書とプライバシー通知を更新する必要があります。政府はこれを見直すと述べています。
リソース:個人データをビジネスや他の組織で使用する
遺産データ
離脱協定の第71条(1)項には、「適格性決定が欧州委員会によって採択されない場合の「遺産データ」に関する規定が含まれています。遺産データとは、英国外の個人のデータであり、以下のようなものです:
- 移行期間の終了前に取得され、EU GDPRの下で処理されたもの。
- 離脱協定に基づいて処理されます。遺産データは引き続きEU GDPR(凍結GDPRとも呼ばれる)の対象となります。したがって、ICOは企業に対して、移行期間の終了前に収集されたデータを特定することを推奨しています。現在、英国のデータ保護法は凍結GDPRと一致しているため、実務上、企業は離脱協定に準拠するために変更を加える必要がないかもしれません。ただし、英国政府は企業に対して、遺産データを特定して追跡するために個人データを把握するよう強調しています。欧州委員会が適格性決定を下すと、これらの規定は適用されなくなります。
リソース:Gov.ukガイダンス:ビジネスや他の組織での個人データの使用Sure, please provide me with the text you would like me to translate into Japanese.EU委員会:ICO:国際データ転送