最近のGDPRアップデートに加え[こちらおよびこちらをご覧ください]、本ニュースレターでは、EU離脱後の英国企業に適用されるEU GDPRに関するよくある質問を取り上げます。
英国企業にはどのようなデータ保護法が適用されますか?
英国のEU離脱に伴い、英国企業は、2018年データ保護法と共に、EU法保持版のEU GDPR ((EU) 2016/679)(「UK GDPR」)の対象となります。UK GDPRはEU GDPRと非常に類似した方法で機能しており、企業は、EU GDPRと同様にUK GDPRに準拠していることを引き続き確認する必要があります。
EU GDPRが英国企業に適用されるのはいつですか?
EU GDPRは引き続き域外適用となります。これは、EU域内に事業所を持たない一部の英国企業にもEU GDPR が適用されることを意味します。EU GDPRの対象となるのは、以下の企業です。
1. EU域内に拠点がある、または
2. EUのデータ対象者に商品やサービスを提供したり、行動を監視したりする
商品やサービスの提供に関しては、EU域内の個人に提供する意図がある場合に適用されます。意図があるかをどうかを判断するには、多くの要素を考慮に入れる必要があります。こうした要素の例としては、 商品がEUへの配送目的で提供されているか、EUの言語や通貨が言及されているかなどが挙げられます。 また、テータ処理者は、データ管理者の行動がEU GDPRの範囲内(すなわち、データ管理者がEU GDPRの 対象となる場合)であるかを考慮する必要があるかもしれません。
これにより、一部の英国企業はEU GDPRとUK GDPRの両方の対象となります。EU GDPRの対象となる英国 企業にとっては、すべてのデータがEU GDPRの対象となるわけではなく、異なるデータが異なる制度の対象となることを意味します。
両方の制度が適用されるかどうかを知ることが重要なのはなぜですか?
EU GDPRの対象となる企業は、そのデータに関してEU GDPRを継続的に遵守しなければなりません。特にEU域内に拠点を持たない企業は、EUの代表者を任命する必要があります。
次の対策
貴社が、UK GDPRに加えてEU GDPRの対象となるか不明の場合には、貴社が所有するデータをマッピング して、どのデータがEU GDPRに該当するかを特定することから始めることをお勧めします。UK GDPRとEU GDPRは同様に機能しますが、両制度の対象となる企業は追加的な考慮事項がありますので、GDPR コンプライアンスの全般的な見直しや監査の実施が望ましいでしょう。
どの制度が適用されるか確認するためのサポートをご希望の場合、 またはデータ保護に関する一般的なご質問については、3CSのコーポレート・商法チームにご連絡ください。