脱欧后，英国不再是欧盟成员国，这意味着适用于英国相关处理的数据保护制度与适用于欧盟相关处理的制度不同，但目前仍保持类似。

这一单独制度会产生一定的影响，而且由于英国已成为“第三国”，不再是欧盟成员国，英国的隐私格局也会发生一些进一步的变化。下面，我们详细介绍了我们认为您需要了解的关于英国隐私的10个关键事项。

#1： 英国GDPR是一个独立的并行数据保护制度。

脱欧后，英国保留了欧盟一般数据保护条例，通常称为欧盟GDPR，在英国法律中称为所谓的英国GDPR。

本质上，英国GDPR是欧盟GDPR，适用于反映英国不再是欧盟成员国，欧盟GDPR不再对英国具有直接影响。

然而，由于英国不再是欧盟成员国，英国现在拥有审查和修订英国数据保护制度的独立性。因此，英国GDPR和欧盟GDPR作为平行制度相互并列——各自产生各自的义务，尽管通常非常相似，但需要单独考虑和解决。

#2： 英国GDPR何时适用？

英国GDPR适用于在英国机构活动中由控制器或处理器执行的个人数据处理。它也适用于不在英国的控制器或处理器，其中该处理涉及以下任何一项：

• 向英国个人提供商品或服务。
• 在英国对个人行为进行监控。

#3： 英国和欧盟的充分性决定如何影响数据传输？

根据欧盟GDPR或英国GDPR发布的“充分性决定”意味着可根据该制度向受益于该充分性决定的国家、地区或部门的接收方进行转让。

实际上，这是一种承认，接收方所受的数据保护制度创造了与欧盟或英国存在的数据保护“基本等同”的数据保护水平。

向受益于充分性决策的接收者的转移要比向受益于不充分性决策接收者的转让容易得多，因为不需要使用特定的“转移机制”，如批准格式的标准合同条款（见下文第4–#6条），来验证相关转移。

目前的情况是：

• 根据修订后的《2018年英国数据保护法》，欧洲经济区国家被确认为英国GDPR中的“足够”。
• 2021 6月28日，欧盟委员会就英国发布了一项充分性决定，但该决定有时间限制，有待持续审查，将于2025年6月27日到期。
• 欧盟委员会将寻找与欧盟GDPR有影响的偏离迹象，这可能会破坏其结论，即英国数据保护制度创造了与欧盟现有数据保护“基本等同”的数据保护水平。

#4： 当前英国标准合同条款（SCC）如何适用于数据传输？

正如我们在之前的一篇博客文章中所讨论的那样，欧盟委员会于2021 6月发布了新的SCC，供欧盟GDPR使用，以取代“旧指令”SCC。然而，这些新的欧盟SCC尚未根据英国GDPR批准使用。

就英国GDPR而言：

• 旧指令SCC仍然需要作为英国SCC。
• 然而，它们可以（而且我们认为应该）进行调整，以反映英国的GDPR和英国不是欧盟成员国。

#5： 新的英国SCC即将到来，并提出了英国国际数据传输协议。

2021 8月，英国数据保护监管机构就拟议的英国国际数据传输协议发起了磋商。如果以某种形式获得批准，这将是英国版本的SCCs。

我们对当前提案的理解是：

• 这项新的英国国际数据传输协议将于2022年4月左右生效，并将需要在此后签订的合同中使用。
• 从2024年1月左右开始，旧的英国SCC在任何情况下都不能再使用（即，在新的或旧的合同中）。

#6： 拟议的英国国际数据传输协议与新的欧盟SCC有较大差异。

拟议的英国国际数据传输协议：

• 在结构上与新的欧盟SCC非常不同，混合了强制性和非强制性条款，并与“关联协议”（如商业条款和相关数据处理条款）进行了明确的互操作。
• 涵盖许多不同的转移场景，并且在某些情况下与新的欧盟SCC创建增量（例如，它不预期从处理器向其自己的第三国控制器的转移，这是新欧盟SCC的模块4所涵盖的场景）。

然而，英国数据保护监管机构还发布了新欧盟SCC的“附件”，该附件可用于补充这些欧盟SCC新的或现有的实施，以确保其扩展到涵盖英国GDPR下的相关转移。换言之，您可以只依赖本附件补充的欧盟SCC——您无需为链接传输应用完整的英国国际数据传输协议和新的欧盟SCCs。

#7： 未来与欧盟GDPR的分歧如何？

如上所述，由于英国不再是欧盟成员国，英国有权独立审查和修订英国数据保护制度。

最近的迹象表明，英国希望行使其新发现的独立性，并在某些领域脱离欧盟GDPR。以下是一些关键示例：

• 英国数字、文化、媒体和体育部（DCMS）宣布，它正在与包括美国在内的关键国家调查惊人的独立数据充足性决策。
• DCMS还发布了一份公共咨询，其中确定了潜在改革的关键领域，特别是与以下方面相关的领域：
  • 减少“问责”义务，包括取消指定数据保护官员、保存处理活动记录和进行数据保护影响评估的要求。
  • 改革和放宽cookie同意规则。
  • 引入“白名单”合法利益，无需对其进行合法利益评估。

#8： 未来的分歧是否会影响英国的充分性决策？

一句话：是的。

如上所述，英国的充分性决定正在进行审查，委员会可以得出结论，如果做出这些改变，意味着英国制度不再创造与欧盟存在的数据保护“基本等同”水平。

或者，它可能导致委员会决定需要“重新评估”英国的充足性，从而有效地“暂停”充足性决定。

我们认为，委员会可能最关心的是根据英国GDPR发布的未来潜在充足性决定。如果发布此类决定，将允许将根据欧盟GDPR传输至英国的数据转发至欧盟认为没有适当制度的国家，如美国。

欧盟委员会很可能会得出结论，通过英国向“欧盟GDPR不充分”制度的任何此类转移都将刺破欧盟委员会为根据欧盟GDPR处理的个人数据竭力维护的保护泡沫。

#9： 新的英国和欧盟代表呢？

许多组织将需要考虑他们现在是否有义务根据英国GDPR任命一名英国代表。例如：

• 这将适用于非英国组织（包括欧盟组织），其处理涉及向英国境内的数据主体提供商品或服务或监控其行为。

各组织还需要考虑，它们现在是否有义务根据欧盟GDPR任命一名欧盟代表。例如：

• 这将适用于处理与向欧盟数据主体提供商品或服务或监控其行为相关的英国组织。
• 这也可能与其他非欧盟组织相关，这些组织在脱欧前曾任命一名英国人作为其欧盟代表，现在需要一名欧盟驻欧盟代表。

#10： 数据保护文档中可能需要一些内务管理。

组织可能需要对数据保护相关文档进行几次更新，尤其是在隐私声明、数据处理补遗和类似合同安排以及内部政策和记录中。例如：

可能需要对此类文件进行修改，以说明英国不再是欧盟成员国，欧盟GDPR不再在英国具有直接效力，并已被英国GDPR取代。

本文：https://cioctocdo.com/cooley-privacy-talks-uk-privacy-update