Loading…
如果您曾经想知道能否将您的欧盟GDPR计划直接复制粘贴到英国,简短的回答是:基本可以,但有三项实质性例外。自2021年1月1日起,英国实行UK GDPR,并配合2018年《数据保护法》,由信息专员办公室(ICO)作为唯一主管机关。2025年《数据(使用与访问)法》使英国进一步偏离欧盟框架——而欧盟的充分性决定使欧盟↔英国数据流动至少在2025年之前保持开放。
| 维度 | 🇬🇧 UK GDPR | 🇪🇺 EU GDPR |
|---|---|---|
| 法律文书 | UK GDPR(经修订保留的EU GDPR)+ 2018年《数据保护法》+ 2025年《数据(使用与访问)法》 | 条例(欧盟)2016/679 |
| 现行形式的生效日期 | 2021年1月1日(脱欧后) | 2018年5月25日 |
| 监管机构 | 信息专员办公室(ICO)——单一主管机关 | 27个欧盟成员国数据保护机构 + EDPB |
| 最高罚款 | £1750万或全球营业额的4%(以较高者为准) | 2000万欧元或全球营业额的4% |
| 较低级别罚款 | £870万或全球营业额的2% | 1000万欧元或全球营业额的2% |
| 第27条代表 | 非英国控制者/处理者需要单独的英国代表 | 非欧盟控制者/处理者需要欧盟代表 |
| 国际传输——工具 | UK IDTA、欧盟SCC的英国附录、BCR、充分性认定 | 欧盟SCC、BCR、充分性认定 |
| 英国对欧盟的充分性认定 | 是的——欧盟被视为充分 | 欧盟对英国的充分性认定至少在2025年6月27日前有效(含延期条款) |
| 儿童同意年龄 | 13岁(英国)——不同于欧盟默认的16岁 | 16岁(成员国可降至13岁) |
| 适龄设计准则 | 是的——ICO的法定准则(15项标准) | 在欧盟层面无直接对应 |
| PECR / ePrivacy | PECR——英国的ePrivacy制度管辖cookie、营销、流量数据 | ePrivacy指令(各成员国实施);ePrivacy条例尚待通过 |
| DPDI / DUA Act改革 | 2025年《数据(使用与访问)法》:有针对性的改革——自动化决策、研究、慈善处理、智能数据方案、数字身份 | 不直接适用;欧盟推行行业性立法(AI Act、Data Act、DSA、DMA) |
| 数据可携权 | 第20条——与欧盟相同 | 第20条 |
| 反对自动化决策的权利 | 第22条——DPDI提议的修改从未按最初草案颁布 | 第22条——严格 |
| DPO要求 | 第37条——无单独门槛;根据DUAA由高级管理层负责 | 第37条——在特定情形下强制要求 |
| 主导监管机构 | ICO(单一) | EDPB跨27个监管机构的一站式机制 |
| 违规通知 | 72小时内通知ICO(与欧盟相同) | 72小时内通知主导监管机构 |
| 数据主体访问请求响应 | 1个月 + 2个月延期(与欧盟相同) | 1个月 + 2个月延期 |
| 特殊类别数据(第9条) | 2018年《数据保护法》附表1增加了在就业、公共卫生、研究领域的处理条件 | 第9条 + 成员国法律 |
| 公共部门框架 | 2018年《数据保护法》第3部分(执法)+ 第4部分(情报机构) | 2016/680号执法指令(独立于GDPR) |
是的。自脱欧以来,就第27条而言欧盟和英国是各自独立的司法管辖区。向两个地区的人员提供服务的非欧盟/非英国控制者既需要欧盟代表,也需要英国代表——它们可以通过单一供应商进行协调,但必须是法律上独立的实体。
自DPDI提案以来,这一问题在政治上一直有所讨论。当前的充分性决定(2021年6月)至少在2025年6月27日前有效,含延期条款。欧盟委员会持续监测英国的改革——重大分歧(数据主体权利、第三国传输制度的大规模变更)可能触发审查。
在大多数情况下可以。需分别确定各自的控制者,列明两位代表,并就投诉事项引用两个主管机关。同意年龄的差异以及适龄设计准则,可能要求针对可能被儿童访问的服务设置英国专属章节。
是有针对性的改革,而非全面重写——针对设有保障措施的情形放宽了自动化决策条款,澄清了研究处理,引入了智能数据和数字身份方案。大多数日常合规事项保持不变。
是的——必须在英国设立。居住在英国的自然人或英国法人实体均符合资格。仅提供信箱服务的方式已被ICO驳回。
控制措施映射一次,合规两次。RegulatoryBridge为您提供单一的DSAR流程、单一的DPO、单一的泄露应急手册——同时涵盖两种框架。