英国は、ブレグジット移行期間が終了すると欧州連合のデータベースにアクセスできなくなるが、2020年末までにデータの妥当性に関する決定が採択されることを期待している。
昨夜遅くに公表され、今朝全国の印刷所でテスト印刷された離脱協定(PDF)は、ほぼ600ページに及び、すでに保守党議員6人が辞任している。
英国議員、UK.govを非難「EUのデータ適正性準備は簡単だ」
続きを読む
この法案が議会を通過するかどうか、あるいはテリーザ・メイ首相が議会を無事に通過できるかどうかは不透明だ。しかし、この法案は、英国とEUのブレグジット交渉担当者が数ヶ月にわたる交渉の末にどのような合意に至ったかを明らかにしており、関係者なら誰でも精査する必要がある。
英国政府の主な検討事項の一つは、警察活動や国境検査に不可欠なEUのさまざまなデータベース、ネットワーク、システムへのアクセスである。
移行期間中(現在は2020年12月31日までとされているが、当事者が2020年7月までに終了日に合意すれば延長される可能性がある)、英国は乗客名、指紋、逮捕警報などの情報を収集するデータベースにアクセスできる。
その後、離脱協定に明記されていない限り、英国は EU のすべてのデータベースおよびネットワークから切断されることになります。
協定案とともに発表された将来の関係に関する政治宣言(PDF)では、こうしたデータ交換について相互協定を結ぶことへの期待について楽観的に語られている。
しかし、法執行機関と司法機関の協力は「技術的、法的に可能な範囲」でのみ行われることも認めており、具体的な合意がない限り、英国は文書に記載されているデータベースやシステムへのアクセスしか期待できない。
これには、刑事事件における警察と司法の協力の「縮小を促進する」ための「特定のEU通信ネットワーク、情報システム、データベースへの期間限定のアクセス」が含まれる。
これには、移行期間終了後 3 か月間のシェンゲン情報システムと、最大 1 年間の法執行プラットフォームのセキュア情報交換ネットワーク アプリケーション (SIENA) が含まれます。
関係者らはまた、移行期間の終了前に受けた情報要請、監視、問い合わせについては引き続き協力する必要があることにも合意した。
この規則の更なる例外として、調達、付加価値税(VAT)、関税などの規則を遵守することを可能にする様々な制度があり、それぞれに期限が設定されており、期限を過ぎるとアクセスが遮断されます。また、英国はこの特権に対してEUに費用を支払う必要があり、EUはアクセスを容易にするための費用を徴収することが認められています。
2020年までに十分になるか?
データ保護に関して、英国は一貫して、十分性認定を確保したいと述べてきた。これは、欧州委員会が第三国の制度を評価し、自国の基準を満たしていると承認するものである。
離脱協定ではこれが実現することを保証していないが、政治宣言ではEUが移行期間の終了前に協議を開始すると示唆されており、2020年末にデータが急激に減少するリスクは軽減されるだろう。
「欧州委員会は、EUの十分性枠組みに基づき英国の基準の評価を開始し、2020年末までに決定を採択するよう努める」と声明は述べた。「同時期に、英国はEUへの個人データの流れについても同等の円滑化を確保するための措置を講じる」
一方、この合意では、移行期間中にEUのデータ主体について収集された情報の継続的な保護を確実にするための規則が確立されており、これは依然として既存のEU法の下で実行されることになる。
英国がEUを離脱すると、いわゆる個人データの「ストック」はEU法に従って保護されなければなりませんが、重要な制限が1つあります。
これらの条件は、英国外のデータ主体から収集された個人データにのみ適用されます。これは実質的に、EU が非加盟国に内部データ処理に GDPR を適用することを要求できないことを認めていることになりますが、これらの人々に関する情報は将来、それほど厳格ではない保護の対象となる可能性があることを意味します。
英国は十分性認定を得るためにはEUの規則にかなり忠実でなければならないが、十分性認定が下された場合には上記の規定は適用されなくなり、その認定が取り消された場合には再び適用される。
離脱協定におけるもう一つの興味深い点は、EUの一般データ保護規則(GDPR)第7章が適用されないことです。この規則は、欧州データ保護委員会(EBRD)のメンバーシップとガバナンス、共同調査と一貫性メカニズムに関する規則を含む、規制当局間の協力を規定しています。
データ保護に関するツイッターユーザーの一員、シンク・プライバシーの創設者アレクサンダー・ハンフ氏は、英国のデータ保護監視機関が認めた拘束的企業準則(多国籍企業が個人データを欧州経済領域外に移転できるようにするために制定された)にこれがどのような影響を与えるのか疑問を呈した。
第 7 章の免除に関する私の懸念は、ICO が EDPB のメンバーではなく、EU 監督当局の権限も持っていない場合、ICO によって承認された BCR が無効になる可能性が高いことです。これがどのように展開するか見てみましょう...#privacy #gdpr
— アレクサンダー・ハンフ(@alexanderhanff)2018年11月15日
委員会:合意なし?十分な対策を講じていない
今週初め、EUは合意なきEU離脱の場合、「適切性決定の採択は欧州委員会の緊急時対応計画の一部ではない」とも明言した。
EUはブレグジット準備に関する文書(PDF)の中で、「合意なしの離脱となった場合、離脱日以降、英国への個人データの移転は国際移転に関する規則の対象となる」と述べた。
欧州委員会は、このための「幅広いツールボックス」を持っていると述べ、「これには特に、民間部門と公的機関の両方が利用できる、いわゆる『適切な保護措置』(例えば、欧州委員会が承認した標準契約条項、拘束的企業準則、行政上の取り決め)が含まれる」と述べた。
また、データ主体が明示的に同意した場合など、特定の状況では、これらの保護措置なしにデータが EU から第三国に転送されることが認められる例外もあります。
しかし、11KBW弁護士事務所のクリストファー・ナイト氏がブログ投稿で指摘したように、これは英国が合意なしの離脱シナリオを容認しないようにするための措置であるようだ。
「実際に拘束力のある企業規則をまとめたり、(不可解かつ無能にも更新されていない)標準契約条項を自社の処理に適合させようとしたり、例外を無駄に求めたりしなければならなかった人なら、それほど無関心ではないかもしれない」と彼は書いている。
「『ツールボックス』だけに頼ることに対するこうした歓迎されない態度を利用することは、英国を合意なし離脱から遠ざけようとする欧州委員会の狙いの一部であることは間違いない」
しかし、ますます怒りを募らせる議員集団とさまざまな失望を抱く国民に、より広範な合意を売り込もうとする首相にとって、データの妥当性に関する暗黙の脅しは、今日の首相の心配事の中では最小のものとなる可能性が高い。®
