蒂姆·贝尔(Tim Bell)的客户中有20%是英国企业家,但他还没有正式将其算作客户。他说:“我们有一个'不退欧,不收费'的合同。”
如果英国脱欧过渡期(似乎有可能)在2021年1月1日结束,那么那些潜在客户将开始使用贝尔公司的服务;相反,如果由于某种偶然的缘故,过渡期延至元旦之后,它们将一直待到英国完全退出欧盟轨道为止。就贝尔而言,英国退欧将对企业有利。
贝尔是DataRep的创始人兼董事总经理,DataRep是一家位于都柏林的公司,提供数据表示服务,这种服务是英国公司不必忙于自己的一项服务,如果选民们不决定在2016年成员资格全民公决中离开欧盟。 DataRep于2017年推出,在欧盟和欧洲经济区(EU)的所有29个国家/地区都有分支机构,它是处理欧盟公民个人数据但自己在欧盟没有办事处的公司的替身。贝尔的公司处理数据主题请求,与欧洲数据保护机构保持联系,并代客户处理其他文书事务。 GDPR第27条要求任命数据代表,这是欧盟于2018年5月开始执行的数据保护法规,引发了整个欧洲的合规恐慌。
GDPR的焦虑现在几乎已经从英国公众的记忆中消失了,但是该法规的后果并没有:一旦英国认真离开欧盟,它将被视为非欧盟国家,第27条将开始适用于所有英国人符合标准的公司。他们是谁?不是那些可能已经在欧盟某个地方设有办事处的企业巨头,也不是家庭式面包店,而是迎合欧盟客户的众多中型互联网公司。贝尔列举了软件即服务的初创企业,电子商务企业和进行临床试验的组织,这是DataRep的典型客户。
随着对第27条的认识不断提高,他希望其他许多人也能效仿。与英国客户互动的欧洲企业也是如此:脱欧后,他们将不得不在英国开设办事处,或雇用当地的数据代表;一些在欧盟和英国开展业务的非洲,美国或亚洲公司最终将拥有两个数据代表的总和。
对于许多英国企业主而言,最大的问题是他们是否根本需要数据代表。 “从1月1日起,如果您是一家向欧盟公民提供商品和服务的公司,或者您的网站上有Cookie监视欧盟人民进行针对性的广告,则您需要在欧盟设有代表,” Mishcon de Reya律师事务所的高级数据保护专家Jon Baines。 “现在有豁免。第27条的措辞说,这不适用于偶发,规模不大且不太可能导致风险的加工。但没人知道“偶然”是什么意思。”
决定是否雇用当地代表可能是一场赌博。价格相对较低:DataRep等公司每年收取的费用从150欧元(130英镑)到最高5,000欧元至6,000欧元(4,500-5,400英镑)不等,具体取决于公司处理的个人数据量,以及相关风险等级。另一方面,奇怪的是,尚不清楚对违反第二十七条的公司的惩罚是什么。
“这不是一个很大的执法领域,”贝恩斯说。 “一个问题是,如果您不指定代表,您是否会发生任何事情。严格来说,这违反了GDPR,但是如果您没有代表,我不确定会带来什么结果。我不确定执行什么。”
先例很少。关于一家在没有任命当地代表的情况下处理大量欧盟个人数据的公司的最引人注目的案件是荷兰数据保护局于2014年对信息服务WhatsApp做出的决定,每天对该公司的违规行为处以10.000欧元的罚款。但是该决定是在GDPR之前作出的,针对的是一家美国科技公司。很难说英国一家中等规模的企业是否应该为类似的退缩做好准备。高中律师事务所技术团队联席主管乔纳森·库利(Jonathan Kewley)说:“中小型企业不太可能收到与第27条义务有关的营业额的4%罚款。”凯利认为,第27条应该更多地看作是额外业务成本不断增加的一个实例,英国脱欧连同Covid-19大流行将使英国公司陷入困境。
再举一个例子,看看数据是否足够。无论英国和欧盟是否在12月底前达成贸易协议,目前尚不清楚是否允许个人数据以与英国加入欧盟相同的方式从欧盟流向英国。这个问题取决于欧盟是否决定认为英国的数据保护标准足够好–考虑到欧洲对英国的大规模监视做法以及与美国及其他国家的情报共享协议的担忧,该决定可能会否定。五眼联盟。在授予数据充分性之前,在金融,云计算,电子商务等行业中,严重依赖于从欧盟发送和接收欧盟个人数据的英国公司将不得不诉诸于称为标准合同条款的替代安排。额外官僚层的价格加上潜在的违规成本估计为16亿英镑。
英国初创企业协会Coadec的执行董事多米尼克·哈拉斯(Dominic Hallas)表示,即将到来的第27条难题概括了1月1日等待多家英国公司的复杂情况。"这表明了充足性的真正重要性-这都是因为很多初创企业哈拉斯说:“这仅仅是因为没有适当的标准合同条款,而且还因为在此类问题上的额外管理负担。” “问题在于,普通的初创企业仍然根本不了解这些东西。
像不充分一样,第27条可能成为烦恼,潜伏成本以及(可能)小事的新颖来源。 “如果欧盟主管当局选择这样做,则有可能由欧盟当局将这种任命代表的义务武器化;而且在英国也是如此。” Kewley说。 “我们越来越看到,数据可能在英国和欧盟之间的更广泛贸易战中发挥作用。”他说,罚款可能只是可能的问题之一:尚未任命数据代表的英国公司可能会受到警告,谴责和其他不遵守规定的警告;当局可能会反复跟进,直到问题没有解决。
而更广泛的英国退欧进程的命运可能决定英国公司从欧盟数据保护当局那里得到多少不必要的关注。 “如果英国没有收到足够的决定,并决定走例外主义的道路,那可能就是一个闪点。专注于第27条义务表明了数据隐私领域的广泛趋势,” Kewley说。
在英国退欧之后繁琐的繁文mess节中,DataRep等公司以及自GDPR和英国退欧升至人们熟悉的地位以来一直蓬勃发展的公司可能是唯一会受益的公司。好吧,有点:从理论上讲,如果受到GDPR制裁的公司未能支付罚款,则可能会要求数据代表为客户支付费用。 Baines说:“在不遵守规定的情况下,指定代表应接受执法程序的约束。” “这就是为什么我不想说‘是的我是代表’的原因。然后发现[data]控制者对欧盟公民承担巨大的风险。数据。"
💡2020年惨淡,但是这32位创新者正在为我们所有人打造更美好的未来 Magic对于Magic Leap来说,这是一个艰难的时期。 现在,该公司正在尝试重塑自己,并增强现实 🔊收听每个星期五播报的科学,技术和文化周《有线》播客 2021年《有线世界》是有关将影响来年的思想,趋势,技术,人员和公司的必不可少的简报。 立即购买