Loading…
EU GDPRのプログラムを英国にそのままコピー&ペーストできるかと考えたことがあるなら、その答えは「おおむね可能、ただし3つの実質的な例外あり」です。2021年1月1日以降、英国はデータ保護法2018とともにUK GDPRを運用し、情報コミッショナー事務局(ICO)が唯一の当局となっています。データ(利用とアクセス)法2025は英国をEUの枠組みからさらに引き離しましたが、EUの十分性決定により、少なくとも2025年までEU↔英国間のデータフローは維持されています。
| 項目 | 🇬🇧 UK GDPR | 🇪🇺 EU GDPR |
|---|---|---|
| 法令 | UK GDPR(改正された保持EU GDPR)+ データ保護法2018 + データ(利用とアクセス)法2025 | 規則(EU)2016/679 |
| 現行形態での施行日 | 2021年1月1日(ブレグジット後) | 2018年5月25日 |
| 規制当局 | 情報コミッショナー事務局(ICO)— 単一の当局 | EU加盟国27か国のDPA + EDPB |
| 最高制裁金 | 1,750万ポンドまたは全世界売上高の4%(いずれか高い方) | 2,000万ユーロまたは全世界売上高の4% |
| 下位区分の制裁金 | 870万ポンドまたは全世界売上高の2% | 1,000万ユーロまたは全世界売上高の2% |
| Article 27代理人 | 英国外の管理者/処理者には別途UK代理人が必要 | EU外の管理者/処理者にはEU代理人が必要 |
| 国際移転 — 手段 | UK IDTA、EU SCCsへのUK追補、BCRs、十分性 | EU SCCs、BCRs、十分性 |
| 英国によるEUの十分性 | あり — EUは十分と扱われます | EUによる英国の十分性は少なくとも2025年6月27日まで有効(延長条項あり) |
| 子どもの同意可能年齢 | 13歳(英国)— EUの標準16歳とは異なります | 16歳(加盟国は13歳まで引き下げ可) |
| 年齢に適したデザイン規範 | あり — ICOの法定規範(15の基準) | EUレベルでの直接的な相当規定はありません |
| PECR/ePrivacy | PECR — 英国のePrivacy制度がクッキー、マーケティング、トラフィックデータを規律します | ePrivacy指令(加盟国による実施)。ePrivacy規則は審議中 |
| DPDI/DUA法の改革 | データ(利用とアクセス)法2025:的を絞った改革 — 自動化された意思決定、研究、慈善団体の処理、スマートデータ制度、デジタルID | 直接的には適用されません。EUは分野別の法律(AI Act、Data Act、DSA、DMA)を推進しています |
| データポータビリティの権利 | 第20条 — EUと同じ | 第20条 |
| 自動化された意思決定に異議を唱える権利 | 第22条 — DPDIで提案された変更は当初の草案どおりには成立しませんでした | 第22条 — 厳格 |
| DPO要件 | 第37条 — 別途のしきい値はなし。DUAAに基づく上級管理職の責任 | 第37条 — 定められた場合に必須 |
| 主監督機関 | ICO(単一) | 27のSAにまたがるEDPBのワンストップショップ機構 |
| 侵害通知 | ICOへ72時間以内(EUと同じ) | 主監督機関へ72時間以内 |
| データ主体アクセス請求への対応 | 1か月 + 2か月の延長(EUと同じ) | 1か月 + 2か月の延長 |
| 特別な種類のデータ(第9条) | DPA 2018附則1が、雇用、公衆衛生、研究における処理の条件を追加 | 第9条 + 加盟国法 |
| 公共部門の枠組み | DPA 2018第3部(法執行)+ 第4部(情報機関) | 法執行指令2016/680(GDPRとは別個) |
はい。ブレグジット以降、EUと英国はArticle 27の目的において別個の法域です。両地域の人々にサービスを提供するEU外/英国外の管理者は、EU代理人とUK代理人の両方を必要とします。これらは単一のプロバイダーを通じて調整できますが、法的には別個の主体でなければなりません。
DPDIの提案以降、政治的に議論されてきました。現行の十分性決定(2021年6月)は、延長条項とともに少なくとも2025年6月27日まで有効です。欧州委員会は英国の改革を注視しており、大幅な乖離(データ主体の権利や第三国移転制度への大規模な変更)は再検討を引き起こす可能性があります。
はい、ほとんどの場合可能です。それぞれの管理者を特定し、両方の代理人の名称を記載し、苦情について両当局に言及してください。同意可能年齢の違いや年齢に適したデザイン規範により、子どもがアクセスする可能性が高いサービスについては英国固有のセクションが必要となる場合があります。
全面的な書き換えではなく的を絞った改革です。保護措置のある場合について自動化された意思決定の規定が緩和され、研究目的の処理が明確化され、スマートデータおよびデジタルID制度が導入されました。日々のコンプライアンスのほとんどは変わりません。
はい — 英国に設立されている必要があります。英国に居住する自然人または英国の法人が要件を満たします。私書箱のみのサービスはICOによって却下されています。
コントロールを一度マッピングすれば、2つの規制に準拠できます。RegulatoryBridgeは、単一のDSARパイプライン、単一のDPO、単一の侵害対応ランブックを提供し、両方のフレームワークをカバーします。