2021年6月28日の報告です。欧州委員会は英国に対する十分性認定を決定しました。英国の出入国管理目的で移転された個人データに対しては十分性認定は適用されません。決定は4年間有効で、2025年6月27日に失効します。ただし、英国が現在の保護レベルから逸脱した場合には欧州委員会が介入します。

[yuryowaku]

有料会員になって頂くと、以下のコンテンツをご覧いただけます。

  • 【Background Facts】 ・・・発生した事象の概要
  • 【ビジネスとの関係】・・・本事例に関連してビジネス上留意すべき点
  • 【情報ソース】・・・本情報のソース
[/yuryowaku]

【Background Facts】

  • 欧州委員会が英国に対する十分性認定を採択しました。
    • 十分性認定の草案は2021年2月に出されていました。

【ビジネスとの関係】

  • 越境移転メカニズムについて:
    • 肯定的な決定:
      • GDPR第45条に準拠して、UKはEUから移転された個人データに対して十分な水準の保護を個人データに確保している
        • UK GDPR及びデータ保護法2018はGDPRをベースとしているため
          • 類似の安全保護策を備えている:
            • 処理の適法性及び公平性
            • 特別カテゴリーの個人データの処理
            • 目的の制限
            • 正確性
            • データ最小化
            • 保管の制限
            • データセキュリティ
            • 透明性
          • 類似の個人の権利を備えている
          • 類似の管理者及び処理者への義務を備えている
          • 類似の越境移転についてのルールを備えている
          • 類似の独立した監督システム及び救済手段を備えている
        • 英国は、十分性認定の安定性と耐久性にとって重要な国際条約の締約国であり、今後もその締約国であり続けることを約束している
          • EU人権条約
          • 条約108 (convention 108)
        • 公益目的、特に法執行および国家安全保障の目的での、英国の公的機関によるEU個人の基本的権利への干渉は、
          • 正当な目的を達成するために厳密に必要なものに限定される
            • 権利の制限は、国家安全保障に悪影響を与える真の可能性に基づいていなければならない
            • 管理者は、免除が使用された理由に関する証拠を保持する必要がある
          • 干渉に対して効果的な法的保護がある
  • 除外:
    • 十分性認定は、英国の出入国管理目的で移転された個人データ、または効果的な出入国管理を維持するための免除範囲に含まれる個人データには適用されない
    • イングランドとウェールズの控訴院による2021年5月の判決は、公益の重要な側面として、データ主体の権利が出入国管理の目的で制限される可能性があることを認めたが、2018年データ保護法の移民免除は、現在の形式の英国法と互換性がないとした。
      • 立法措置には、英国GDPRの第23条の保護措置を定めた特定の規定がない。
    • 英国法の範囲内で非互換性が是正されたら、移民免除を再評価すべきである
  • データ・フローの問題:
    • 欧州委員会は、英国の法的枠組みの適用を継続的に監視し、今後の移転の条件を含め、適切なレベルの保護を引き続き確保するものとする
    • 加盟国と欧州委員会は、以下の場合について相互に通知するものとする
      • 英国情報コミッショナーまたはその他の管轄の英国当局が、決定の遵守を保証できない場合
      • 英国の公的機関は、厳密に必要な範囲を超えて個人の権利を妨害する場合
      • 英国の公的機関による干渉に対する効果的な法的保護がない場合
  • レビュー:
    • 決定はこの決定は、2021年6月27日に発効してから4年後に自動的に失効する
      • 英国が引き続き適切なレベルのデータ保護を確保している場合、十分性認定の決定が更新される可能性がある
      • 欧州委員会は英国の法的状況を監視し、英国が現在実施されている保護レベルから逸脱した場合に介入する可能性がある
        • 再移転が実施される条件
        • 個人の権利の行使条件
        • 十分性認定に基づいて移転されたデータへの英国の公的機関によるアクセスが行われる条件
    • 欧州委員会は、十分性認定を停止、撤回、修正する可能性がある
      • 適切なレベルの保護がもはや保証されていないという兆候がある場合
      • 英国政府が協力しないことによって、欧州委員会がが妥当性を判断することを妨げる場合
  • 英国からEUへの移転
    • 英国からEUへのデータ・フローは2021年1月1日から適用される英国法で規制される
      • 英国はEUが十分なレベルの保護を確保していると決定した
      • データはUKからEUに自由に流すことができる

【情報ソースのタイトルと文書】

EU Commission – Implementing Decision of 28.6.2021 Pursuant to the GDPR on the Adequate Protection of Personal Data by the UK

https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_en.pdf