先日のデータ保護に関する最新情報でお伝えいたしました通り[こちらをご覧ください]、英国はEUを離脱し、移行期間が終了しました。英国とEUは将来の関係について合意に達し、協定の一部としてEUから英国への データ移転について、歓迎すべき確実性が(少なくとも今のところは)あります。
現在の状況は以下の通りです。
- EEA(EU、アイスランド、リヒテンシュタイン、ノルウェー)から英国へのデータ移転
EUと英国は、EEAから英国へのデータ移転を最長6か月間、一時的に認めることに合意しました。これには、 英国に関する妥当性決定を下す時間の確保が意図されています。妥当性決定とは、欧州委員会が、第三国が 適切なレベルのデータ保護を提供していると判断したことを意味するものです。妥当性決定の効果は、代替的な移転の仕組みを必要とせずにデータを移転できるというものです。この暫定期間中、データをEEAから英国へ自由に移転し続けることができます。
しかし、英国のデータ保護規制機関である英国個人情報保護監督機関(ICO)は、現在の状況が変更された場合 でも、EEAの企業から引き続きデータを受け取ることができるよう、予防措置として、英国の企業が代替的な 移転の仕組みを導入することを推奨しています。
多くの企業にとって最も簡単な方法は、標準契約条項(SCCs)を用いることです。
- 英国からEEAへのデータ移転
更なる通知があるまで、英国はEEAに自由にデータ移転できることを確認しており、現時点では英国からEEA へのデータ移転について追加の移転の仕組みを導入する必要はありません。これは、(予想される影響を考えるとあり得なそうですが)英国が協定を終わらせる決定をしない限り、英国からEEAに自由にデータが移転され 続けることを意味します。
- その他の対策
EU離脱後のデータ保護関連については、ある程度の確信が得られたので、(もし未だであれば)他に講じるべき対策があるかを検討するよい機会です。最終的には、貴社の事業やデータの取り扱い方法によって、講じる べき対策は異なります。多くの対応が必要な企業があれば、わずかな変更を加えれば足りる企業もあるでしょう。関連する実務的な対策としては、次のようなものがあります。
- 英国またはEUにおける代表者の任命
- 新たな主監督機関に対応する必要があるかの検討
- どのデータがどの制度(EUまたは英国のGDPR)に該当するかの評価
- プライバシーノーティスやポリシーなど、外部および内部のデータ保護文書の見直しと改訂
- 英国個人情報保護監督機関(ICO)の推奨に従い、代替的な移転の仕組みを導入するべきかの検討
- データ処理の見直しと更新
3CSではデータ保護について、どのような対策を講じる必要があるかを特定するために、企業向けのチェックリストを作成しました。チェックリスト、あるいはEU離脱が貴社にどのような影響を与えるかについてアドバイスをご希望の場合には、3CSのコーポレート・商法チームにお問い合わせください。
