英国監督機関が「合意なしBrexit」の際のデータ保護につき再度注意


英国監督機関が「合意なしBrexit」の際のデータ保護につき再度注意

2019年1月15日に、イギリス議会がEU離脱案を否決したのを受け、イギリスのデータ保護当局であるICO(Information Commissioner’s Office)は、Twitterなどを通じて、合意なしBrexitになった際にデータ保護に関する注意を再三喚起している。注意点は、ICOの”Data protection and Brexit” という特設ページにまとめられている。全体の概要は昨年末に、エリザベス・デナムICO委員長名で執筆されたBlogページに解説されているが、以下のようなものである。

1.前置き
EU離脱がどのようなものになろうとも、イギリス政府はGDPRが離脱時点で英国法に吸収されることを明らかにしているので、組織が従うべき法律に実質的な変更はない。しかし、イギリスとEEA間での個人データ移転を行う組織には影響がある。
個人データはイギリスとEUの組織間で、特段の対策なしに自由に流通できてきたが、それはGDPRという共通の規則があったからである。ところが、イギリスが「合意なしBrexit」を行った際には、この双方向の自由流通は成立しない。この場合、イギリス政府はイギリスからEEAへの個人データ移転を許容する意図を明確にしているが、EEAからイギリスへの個人データ移転は影響を受ける。

2.ガイダンス
組織の理解を深めるために、ガイダンスを発行している。特に、EUを離脱に際して取るべき6段階を次のように示して、組織の業務を照らし合わせてチェックをすることを勧めている。関連資料やFAQも挙げられている。

  • 遵守し続けるためには
    ♦ イギリスへの移転
    ♦ イギリスからの移転
    ♦ 欧州での業務
    ♦ 必要な文書
    ♦ 組織内での周知

3.標準契約条項(SCC)
多くの組織では、組織内、あるいは、EUの組織との間で、標準契約条項(SCC)を結ぶことが可能な解決策となるであろう。ここでは、これを作成する支援策が示されている。

4.十分性決定に基づくデータ移転
政府は、イギリスの十分性決定を受ける意図を明らかにしている。しかし、イギリスのEU離脱までには、十分性決定は存在しない。

5.次の段階
このガイダンスは組織が個人データの流通を確保するのを支援するものである。さらに、我々は、イギリスにて承認済の拘束的企業準則(BCR)をデータ移転の根拠としている少数の組織への情報を提供する予定である。また、今後ともデータ保護規則の変更や影響・対策について支援していく。

エリザベス・デナム氏の解説ブログ
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/12/data-protection-and-brexit-ico-advice-for-organisations/?utm_source=twitter&utm_medium=iconews&utm_term=3b96d5d8-729d-4332-b4dc-45c33bd8e968&utm_content=blog&utm_campaign=InCaseNoDeal
Data protection and Brexit
https://ico.org.uk/for-organisations/data-protection-and-brexit/

関連記事