英国数据保护法核心要求
英国数据保护法案2018年版本与英国通用数据保护条例共同构成了英国数据保护的法律框架。2020年英国脱欧过渡期结束后,英国将欧盟GDPR转化为国内法,形成了所谓的英国GDPR,与2018年数据保护法案共同运行。2024年,英国议会通过了数据保护和数字信息法案,对原有框架进行了修订,增强了数据使用的灵活性。
英国数据保护法律体系的核心原则与欧盟GDPR高度相似,但在脱欧后已形成独立发展路径。英国数据保护法律体系的六项数据保护原则分别是:合法、公正和透明原则要求个人数据的处理必须合法、公正且对数据主体透明;目的限制原则要求个人数据仅为明确、具体和合法的目的收集,不得以与原始目的不相符的方式进一步处理;数据最小化原则要求收集的个人数据应当充分且相关,限于处理目的所必需的范围内;准确性原则要求个人数据必须准确,必要时保持更新;存储限制原则要求个人数据以允许识别数据主体的形式保存的时间不得超过处理目的所需要的期限;完整性和保密性原则要求个人数据以适当安全的方式处理,保护其免受未经授权或非法处理以及意外丢失、销毁或损坏。
数据控制者的责任分为内部和外部两个层面。内部层面包括设计与默认的数据保护、数据保护影响评估、数据处理记录维护以及数据保护官等制度。外部层面涉及与数据处理者之间的合同安排、数据跨境传输合规以及向监管机构的报告义务。数据控制者需对数据处理活动全链条负责,不能将责任转嫁给数据处理者。
数据主体权利在英国法律框架下得到充分保障。其中数据主体的知情权涵盖了处理目的、法律基础、数据类别、保留期限以及接收方等信息。访问权允许数据主体获取正在被处理的个人数据副本。更正权允许数据主体要求修正不准确的个人数据。删除权在特定情形下允许数据主体要求删除个人数据。限制处理权允许数据主体在特定条件下要求限制对其数据的处理。数据可携权允许数据主体以结构化、通用和机器可读的格式获取其个人数据并将其传输给其他控制者。反对权允许数据主体反对对其个人数据的处理,包括反对直接营销。
英国信息专员办公室是数据保护的监管机构。ICO拥有广泛的执法权力,包括发布信息通知、评估通知和执行通知,以及处以行政罚款。英国的数据保护罚款上限为1750万英镑或全球年营业额的4%,以较高者为准。ICO还负责推动数据保护优秀实践,发布合规指南,为企业提供工具和资源。
数据处理的法律基础是企业开展数据处理活动的前提。英国法律承认的法律基础包括数据主体的同意、合同履行、法定义务、重大利益保护、公共利益执行以及数据控制者的正当利益。对于公共机构在执行公务时处理个人数据,另有单独的法定基础。对于特殊类别数据的处理,除上述基础外,还需满足额外的条件,例如已获得数据主体的明确同意、或处理涉及就业法和社会保障法领域的法定义务。
数据保护影响评估是高风险数据处理活动的强制要求。当处理活动可能对个人权利和自由带来高风险时,数据控制者必须进行数据保护影响评估。评估需涵盖处理活动的系统描述、处理的必要性分析、对数据主体权利和自由的风险评估以及风险应对措施。在无法缓解高风险的情形下,数据控制者需在处理前咨询ICO。
数据泄露通知是企业的法定责任。数据控制者需在知悉数据泄露后的72小时内通知ICO,除非该泄露不太可能导致数据主体的权利和自由面临风险。通知内容需包括数据泄露的性质、可能后果、已采取或拟采取的应对措施以及数据保护官的联系信息。如果数据泄露可能对数据主体的权利和自由带来高风险,数据控制者还需无不当延迟地通知受影响的数据主体。
数据跨境传输在英国脱欧后面临新的合规环境。英国GDPR禁止向未提供充分保护的第三国传输个人数据,除非存在适当的保障措施或特殊情况。2024年,英国启动了独立于欧盟的充分性认定机制,已对多个国家发布了充分性认定。对于未被充分性认定覆盖的第三国,企业可通过标准数据保护条款、有约束力的公司规则或经批准的认证机制实现合规传输。
AI和数据驱动业务在英国数据保护法律下面临特殊考量。ICO发布了关于AI和数据保护的指南,强调在AI模型中应用数据保护原则。企业使用AI处理个人数据时,需进行数据保护影响评估,确保数据处理具有合法的法律基础,并在AI模型设计阶段嵌入公平性考量。ICO还就自动化决策和画像发布了专门指南,要求企业在涉及重大自动化决策时提供透明度。
北京企密安为企业提供英国数据保护法合规服务。服务包括合规差距分析、数据处理记录编制、数据保护影响评估、跨境传输方案设计以及ICO沟通协助。如需进一步信息,欢迎联系北京企密安:010-63711822,或访问baomiwang.com了解详情。
FAQ
问:英国数据保护法与欧盟GDPR有何主要区别? 答:脱欧后英国形成了独立的数据保护法律体系。英国GDPR与欧盟GDPR在核心原则上高度一致,但在跨境传输机制、监管机构设置和部分执行细节上已出现差异。英国建立了独立的充分性认定机制,不受欧盟认定结果约束。
问:数据泄露后企业有哪些报告义务? 答:数据控制者需在知悉数据泄露后72小时内通知ICO,除非泄露不太可能导致数据主体面临风险。如果泄露可能对数据主体的权利和自由带来高风险,还需无不当延迟地通知受影响的数据主体。
