Loading…
Если вы когда-либо задавались вопросом, можно ли просто скопировать вашу программу EU GDPR в Великобританию, краткий ответ таков: в основном да, с тремя существенными исключениями. С 1 января 2021 года Великобритания применяет UK GDPR наряду с Законом о защите данных 2018 года, при этом Управление комиссара по информации (ICO) выступает единственным органом. Закон о (использовании и доступе к) данным 2025 года сместил Великобританию еще дальше от рамок ЕС, а решение ЕС об адекватности сохраняет поток данных ЕС↔Великобритания открытым как минимум до 2025 года.
| Параметр | 🇬🇧 UK GDPR | 🇪🇺 EU GDPR |
|---|---|---|
| Правовой инструмент | UK GDPR (сохраненный EU GDPR с изменениями) + Закон о защите данных 2018 года + Закон о (использовании и доступе к) данным 2025 года | Регламент (ЕС) 2016/679 |
| Дата вступления в силу в текущей форме | 1 января 2021 года (после Brexit) | 25 мая 2018 года |
| Регулятор | Управление комиссара по информации (ICO) — единый орган | 27 органов по защите данных государств-членов ЕС + EDPB |
| Максимальный штраф | £17,5 млн или 4% мирового оборота (в зависимости от того, что больше) | 20 млн евро или 4% мирового оборота |
| Штраф нижнего уровня | £8,7 млн или 2% мирового оборота | 10 млн евро или 2% мирового оборота |
| Представитель по Статье 27 | Для контролеров/обработчиков за пределами Великобритании требуется отдельный представитель в Великобритании | Для контролеров/обработчиков за пределами ЕС требуется представитель в ЕС |
| Международная передача — инструменты | UK IDTA, Дополнение Великобритании к EU SCC, BCR, адекватность | EU SCC, BCR, адекватность |
| Адекватность ЕС со стороны Великобритании | Да — ЕС признан адекватным | Адекватность Великобритании со стороны ЕС действительна как минимум до 27 июня 2025 года (с положениями о продлении) |
| Возраст согласия детей | 13 лет (Великобритания) — отличается от значения ЕС по умолчанию в 16 лет | 16 лет (государства-члены могут снизить до 13) |
| Кодекс проектирования с учетом возраста | Да — статутный кодекс ICO (15 стандартов) | Нет прямого эквивалента на уровне ЕС |
| PECR / ePrivacy | PECR — режим ePrivacy Великобритании регулирует файлы cookie, маркетинг, данные трафика | Директива ePrivacy (имплементации государств-членов); Регламент ePrivacy ожидается |
| Реформы DPDI / DUA Act | Закон о (использовании и доступе к) данным 2025 года: целевые реформы — автоматизированное принятие решений, исследования, обработка благотворительными организациями, схемы смарт-данных, цифровая идентификация | Напрямую не применимо; ЕС реализует секторальные акты (AI Act, Data Act, DSA, DMA) |
| Право на переносимость данных | Статья 20 — то же, что в ЕС | Статья 20 |
| Право возражать против автоматизированных решений | Статья 22 — предложенные изменения DPDI так и не были приняты в первоначальной редакции | Статья 22 — строгая |
| Требования к DPO | Статья 37 — без отдельного порога; ответственность высшего руководства в соответствии с DUAA | Статья 37 — обязательно в определенных случаях |
| Ведущий надзорный орган | ICO (единый) | Механизм единого окна EDPB среди 27 надзорных органов |
| Уведомление о нарушениях | 72 часа для ICO (как в ЕС) | 72 часа для ведущего надзорного органа |
| Ответ на запрос субъекта о доступе | 1 месяц + продление на 2 месяца (как в ЕС) | 1 месяц + продление на 2 месяца |
| Данные особой категории (ст. 9) | Приложение 1 к DPA 2018 добавляет условия обработки в сфере занятости, общественного здравоохранения, исследований | Статья 9 + право государства-члена |
| Рамки государственного сектора | DPA 2018 Часть 3 (правоохранительная деятельность) + Часть 4 (разведывательные службы) | Директива о правоохранительной деятельности 2016/680 (отдельно от GDPR) |
Да. После Brexit ЕС и Великобритания являются отдельными юрисдикциями для целей Статьи 27. Контролеру за пределами ЕС/Великобритании, предлагающему услуги людям в обоих регионах, нужны и представитель в ЕС, и представитель в Великобритании — их можно координировать через единого поставщика, но они должны быть юридически отдельными субъектами.
Этот вопрос политически обсуждается с момента появления предложений DPDI. Текущее решение об адекватности (июнь 2021 года) действительно как минимум до 27 июня 2025 года, с положениями о продлении. Комиссия отслеживает реформы Великобритании — серьезное расхождение (масштабные изменения прав субъектов данных, режима передачи в третьи страны) может стать причиной для пересмотра.
Да, в большинстве случаев. Определите контролера для каждого, укажите обоих представителей и сошлитесь на оба органа для подачи жалоб. Различия в возрасте согласия и Кодекс проектирования с учетом возраста могут потребовать специфических для Великобритании разделов для услуг, к которым, вероятно, будут обращаться дети.
Целевые реформы, а не полная переработка — положения об автоматизированном принятии решений смягчены для защищенных случаев, уточнена обработка для исследований, введены схемы смарт-данных и цифровой идентификации. Большая часть повседневного соблюдения требований остается без изменений.
Да — должен быть учрежден в Великобритании. Подходит физическое лицо, проживающее в Великобритании, или британское юридическое лицо. Услуги, ограниченные только почтовым ящиком, были отклонены ICO.
Сопоставьте средства контроля один раз, соответствуйте дважды. RegulatoryBridge предоставляет вам единый конвейер DSAR, единого DPO, единый план реагирования на нарушения — охватывающий обе системы.