与个人数据处理相关的通用数据保护条例 (GDPR)(现更名为欧盟 GDPR)的规定已与英国版 GDPR(2018 年数据保护法)合并成为英国 GDPR。英国是世界上联系最紧密的国家之一,英国脱欧后维护英国和欧盟之间的数据流仍然是一个明确的优先事项。 2021 年 6 月 28 日,欧盟委员会通过了英国的“充分性”决定,这意味着影响英国脱欧前金融科技的大多数数据保护规则将保持不变。但是,这需要不断审查,并且无论如何,每四年更新一次。如果英国政府决定更改英国版 GDPR 的规定以支持英国的国家数据战略,这可能会危及充分性决定的持续有效性。1
如果在四年期结束时,欧盟决定不更新充分性决定,英国将成为欧盟数据流方面的第三国,公司将不得不实施更繁琐的合规机制来管理它们,例如具有约束力的公司规则、欧盟标准合同条款 (SCC) 或其他经批准的协议。最近的 Schrems II 决定也将适用于从欧盟到英国的转移,反之亦然。该决定要求组织评估这些 SCC 是否提供与英国数据保护制度下的“基本等效”的保护,并在必要时采取额外措施。1
2022 年 2 月,英国信息专员办公室向议会提交了一项新的国际数据传输协议 (IDTA) 以及欧洲 SCC 的补充协议,以支持实体将英国以外的数据传输到不受充分性决定约束的国家/地区并根据 Schrems II 的决定。该应用程序必须用于传输受欧盟 GDPR 和英国 GDPR 约束的个人数据,而 IDTA 仅适用于受英国 GDPR 约束的传输。除非议会提出反对意见,否则 IDTA 和附录将于 2022 年 3 月 21 日生效,预计专员办公室将发布其使用指南。 IDTA 和附录的生效将大大简化受欧盟 GDPR 和英国 GDPR 约束的跨国金融科技公司的数据交换。与知识产权一样,金融服务技术也在测试现有的数据保护法律框架,尽管 GDPR 相对较新。1
信息专员 2022 年的技术优先事项包括与政府合作改革英国的 GDPR,这与处理大量个人和假名数据的金融服务部门的技术有很大关系。1
除 GDPR 外,PSD II 还包括一些关于个人数据处理的具体规则。例如,PSD II 规定了“明确同意”,提出了这样的问题,即这是否限制了 GDPR 中规定的各种其他处理理由的使用。欧洲数据保护委员会已澄清事实并非如此。 PSD II 中提到的“明确同意”是合同同意,是合同性质的附加要求。支付服务总是在支付服务用户和支付服务之间的合同基础上提供。仍需具备根据 GDPR 进行数据处理的必要依据;例如,为履行数据主体为一方的合同所必需的处理。1
为企业、税法、加密货币立法、投资活动提供全面的法律服务
英国国际律师事务所
我们为金融科技公司的创建、构建和发展提供法律和组织服务