脱欧后符合GDPR：英国GDPR与欧盟GDPR

GDPR 是欧洲的数据隐私与安全法律。它为收集和使用欧盟公民的个人数据制定了一套规则，适用于欧盟公司和外国公司。

GDPR 涵盖了收集和使用个人数据的关键规则。它要求您的公司在使用从客户那里收集的数据时保持公平和透明。您还应仅为您已通知客户的目的收集和使用数据。

GDPR 指南还适用于存储个人数据，并规定了存储期限以及如何保护数据。数据安全涉及使用技术措施，如加密和双因素认证。还包括组织措施，如员工培训和限制数据访问。

在英国脱欧之前，英国也受 GDPR 约束。然而，脱欧后，英国制定了自己的一套 GDPR 规则。现在通常称为 UK GDPR。

因此，如果您想收集和使用英国公民的数据，了解 UK GDPR 非常重要。让我们介绍它与 EU GDPR 的区别，以及英国数据法律法规的相关内容。

什么是 EU GDPR？

EU GDPR 是一项于2018年在欧盟生效的数据保护法律。该法律旨在赋予个人对其个人数据的控制权。它还要求公司对其如何使用和存储客户数据负责。这也是国际薪酬的重要方面，因此熟悉其法规非常重要。

EU GDPR 有七项关键规则和责任，每个公司都必须遵守。包括：

1. 合法性、公平性与透明性

GDPR 要求：“个人数据必须以合法、公平和透明的方式处理。”您的公司必须有充分的理由使用某人的数据。这可能是得到个人的许可、法律需要或合法利益。

您不能仅仅因为方便而收集数据。GDPR 要求有法律依据，并且必须对客户明确、诚实地说明为何需要这些数据。

2. 目的限制

当您的公司收集个人数据时，必须有具体的目的，并且仅用于该目的。还应告知客户收集其数据的原因，并有文件说明预期用途。定期审查数据处理情况也很重要。如有需要，应及时更新文件和程序。

3. 数据最小化

根据 GDPR，公司只应收集必要的数据。通过收集更少的数据，可以降低数据泄露时出现问题的风险。这意味着不应要求提供不必要的信息，只收集完成特定目的所需的数据。

4. 准确性

您收集的数据必须准确且保持最新。如果有人告诉您其信息已更改，您必须更新。这意味着定期检查和更正数据，以确保其始终正确。

5. 存储限制

不要将个人数据保存得比必要的时间更长。一旦不再需要这些数据用于收集目的，应删除或匿名化。这确保个人信息不会被无限期保存，避免潜在风险。

6. 完整性与机密性（安全性）

您必须保护个人数据，防止其丢失、被盗或被未授权访问。这包括使用强密码、加密数据，以及确保只有特定人员可以查看或使用数据。如发生数据泄露，必须在72小时内报告，以减少损害。

7. 责任制

组织必须对其收集的数据负责，并证明其遵守 GDPR 规则。这意味着制定明确的政策、培训员工，并能展示其数据保护措施。如果存在高风险的数据问题，应进行数据保护影响评估（DPIA），在问题发生前发现并解决潜在风险。

该法律还限制公司用模糊或含糊的语言误导消费者。确保公司通知网站访客其正在收集数据。

在 GDPR 下，客户和用户必须明确同意收集信息。网站必须通过点击按钮或采取其他行动来征得他们的同意。此外，如果个人数据因泄露而受到威胁，网站必须及时通知访客。

最后，法律还要求评估网站的数据安全性，并决定公司是否需要聘请专职的数据保护官（DPO）。在某些情况下，现有员工可以担任此角色。

什么是 UK GDPR？

英国通用数据保护条例（UK GDPR）是英国关于数据保护的法律。它基于 EU GDPR，并与之有许多相似之处。英国脱欧后，UK GDPR 保留了 EU GDPR 的核心价值，确保数据保护标准得以维持。

UK GDPR 适用哪些情况？

UK GDPR 与 EU GDPR 的主要区别之一在于其适用范围。EU GDPR 适用于欧盟内外的所有组织。任何希望收集和处理欧盟公民数据的公司，无论其所在地，都必须遵守 EU GDPR。

而 UK GDPR 的适用范围更为狭窄。它适用于收集英国公民个人数据的任何公司。既包括在英国注册的公司，也包括在英国境外的公司。

同时，从英国和欧盟公民收集数据的企业，必须遵守 EU GDPR 和 UK GDPR。

相关监管机构有哪些？

执行 GDPR 规则的监管机构也不同。

在欧盟，每个成员国必须设立一个或多个监管机构，负责监督和执行 EU GDPR。这些机构称为监管机构（Supervisory Authorities）。

除了每个成员国至少一个监管机构外，欧盟 GDPR 还由欧洲数据保护委员会（EDPB）监管。该委员会确保所有成员国一致执行 GDPR，并解决它们之间可能出现的争议。EDPB 还促进不同监管机构之间的合作。

在英国，负责监管、监督和执行 UK GDPR 的机构是信息专员办公室（ICO）。ICO 的职能类似于监管机构之一。英国的科学、创新与技术部（Department for Science, Innovation, and Technology）支持 ICO 的运作。

UK GDPR 与 EU GDPR 有何不同？

UK GDPR 与 EU GDPR 之间存在几个差异。前两项——适用范围和监管机构——已详细介绍。除此之外，还有一些其他差异，企业在英国和欧盟同时收集客户数据时应考虑。

UK GDPR 适应英国法律框架

由于 EU GDPR 涉及多个国家，其法律中包含对欧盟机构的引用。UK GDPR 将这些内容本地化，指向国内机构。

EU GDPR 关注其管辖范围内的所有国家。UK GDPR 则规定了英国与欧盟机构合作的流程。

大部分数据保护标准在 EU 和 UK GDPR 中是相同的，但 UK GDPR 有一些差异。它对某些公共机构有豁免，还要求任命数据保护官（DPO）。英国在数据泄露通知方面的要求也比欧盟更严格。

个人数据转移

在 EU 内，个人数据转移在 EU GDPR 下更为简单。基本上，EU GDPR 将所有管辖国家视为同一市场。这意味着欧盟内的公司可以将数据转移到其他欧盟国家，但必须遵守一般数据保护原则。

英国脱欧后，英国被视为与 EU 不同的司法管辖区，类似于加拿大或美国。因此，为了确保数据安全，转移数据时需要采取额外措施。例如，向英国转移数据的公司可能需要使用标准数据保护条款或绑定企业规则（BCRs）。

代表的差异

两者的另一个重要差异在于对代表的要求。EU GDPR 要求从第三国收集个人数据的公司必须在收集数据的国家设有代表。

英国也要求设立代表，但不必在英国境内。与 EU GDPR 类似，该代表作为联系点，确保组织与相关监管机构的顺畅合作。但英国不要求本地实体。

在两个 GDPR 下运营的公司，可能需要根据涉及的司法管辖区，设立不同的代表。

OSS 机制

在遵守 EU GDPR 时，企业常担心涉及多个监管机构。然而，EU GDPR 有一项叫做“单一窗口机制”（OSS机制），允许企业简化流程。

OSS机制 让企业只需与一个监管机构打交道。如果情况需要，也可以接受其他监管机构的建议。

UK GDPR 没有类似规定，因其只涉及一个国家。唯一的监管机构是信息专员办公室（ICO），负责所有 UK GDPR 相关决策。

修订与更新

GDPR 的修订和更新流程也不同。EU GDPR 的所有变更都通过欧盟立法程序进行，这是一个涉及集体决策和多个监管机构的过程。

而 UK GDPR 由英国政府负责。英国政府有权对 GDPR 进行修订和更新。虽然英国努力保持与 EU GDPR 类似的高数据安全水平，但也可以独立进行修订。

处罚与罚款

最后的差异在于处罚和罚款。欧盟和英国 GDPR 都可能对违反规则的公司处以固定罚款，或按公司年度收入的百分比罚款，取较高者。

在 EU GDPR 下，违规公司可能被罚款 €10 万或 2%。严重违规者最高可达 €200 万或 4%。

UK GDPR 也对较小和较大违规行为设定了罚款。较小违规行为罚款为 87 万英镑或 2%；较大违规行为可能罚款 1750 万英镑或 4%。

合规考虑与挑战

遵守 EU GDPR 和 UK GDPR 可能具有挑战性，企业应详细了解两者的差异。以下是在遵守这两个国家 GDPR 时可能遇到的挑战：

1. 双重适用性

虽然两者有许多相似之处，但在制定数据安全政策时，必须同时考虑。运营于英国和欧盟的公司应确保其数据保护实践符合两地标准。

2. 数据转移

由于没有关于英国与欧盟之间数据转移的统一协议，应尝试实施合适的数据转移机制。这可能包括制定绑定企业规则或依赖标准合同条款。

3. 不同的要求

两者之间存在显著差异，理解这些差异非常重要。在同时收集英国和欧盟公民数据时，必须兼顾两者的法规，确保合规。

4. 增强责任

遵守 GDPR 的主要原因可能是希望客户和用户信任你。对其他公司而言，是为了避免高额罚款和处罚。如果你重视后者，应考虑并规划在两个 GDPR 下都要承担责任。

为什么遵守 EU 和 UK GDPR 非常重要？

如前所述，如果您收集英国或欧盟居民的数据，遵守 EU 和 UK GDPR 非常关键。

遵守 GDPR 的主要原因之一是可以建立客户信任。它还促进了透明度和良好的沟通。良好的沟通和信任对企业声誉非常有益。

GDPR 还能帮助您优化数据保护和收集流程。它强调只收集必要的数据，有助于指导企业采用最佳的安全和存储实践。这可以避免收集和管理不必要的数据，节省复杂且昂贵的管理成本。

但对企业而言，最大好处可能是保持合规，避免可能的高额罚款和处罚。如果客户对您的数据处理方式不满，可能会采取法律行动。

在英国，不合规的罚款最高可达 1750 万英镑。在欧盟，罚款最高可达 2000 万欧元。

遵守 UK GDPR 和 EU GDPR 的最佳实践

作为同时遵守 UK 和 EU GDPR 的企业，您可以采取一些最佳实践以确保合规。虽然具体措施因业务类型而异，但一般建议包括：

1. 深入理解 UK 和 EU GDPR 之间的差异

2. 确定您的业务是否需要同时遵守两者，或仅遵守其中一者。

3. 实施必要的数据保护措施，并确保符合相关 GDPR 规则和建议。

4. 定期审查和更新您的数据安全政策，密切关注 GDPR 的任何变更。

如果您不确定您的公司适用哪个 GDPR，或业务涉及两个地区，建议聘请专家协助。与相关监管机构咨询，确保您的业务符合 UK GDPR、EU GDPR，或两者兼顾。

常见问答

英国仍然遵循 EU GDPR 吗？

英国遵循 UK GDPR，它与 EU GDPR 有许多相似之处。如果您在英国运营，但收集欧盟客户的数据，仍需遵守 EU GDPR。

英国 GDPR 的 7 项原则是什么？

英国 GDPR 的七项原则包括：合法性、公平性与透明性、目的限制、数据最小化、准确性、存储限制、完整性与机密性，以及责任制。

UK GDPR 只适用于英国公民吗？

是的，UK GDPR 适用于英国公民。每个公司在处理英国居民数据时，都必须遵守 UK GDPR。

什么样的同意被视为符合 UK GDPR？

UK GDPR 对合规同意有明确标准。请求同意的措辞必须清晰明确。必须让用户和网站访客通过点击“同意”按钮或采取其他方式表达同意。严格禁止预先勾选的同意框，还要求网站提供“细粒度”同意选项，以适应不同的处理方式。