前回は、Brexit後のイギリスにおけるGDPR対応の三つのシナリオをご紹介しましたが、今回は特にシナリオ1の「合意なきEU離脱 (no-deal Brexit)で完全離脱」が起きた場合に関する詳細について考えてみます。

イギリスがEUを離脱する来年3月29日の直後は、イギリスの「2018年データ保護法」（Data Protection Act 2018 ）とEU離脱法（EU Withdrawal Act）がGDPRの条項を補完しますので、急激な変化はありません。

しかし、EU域内で設立された法人がイギリスに個人情報を送信するのには注意が必要です。

GDPRでは、法的な合意なしに、企業がEU域外に個人情報を送信することは許可されていません。一方、EU域内での個人情報の送受信は自由です。

EUは、法人がEU域外に個人データを送信するには、送信される国においてGDPRと同等の個人情報保護施策を実施していることを承認要件としており、これを「妥当性決定」（adequacy decision）と呼びます。

現時点でEUは、イギリスの個人情報施策はGDPRと同等である、とは述べてはいますが、離脱後にそれがGDPRと同等であり自動的に「妥当性決定」が適用されるとは述べていません。

イギリス政府はEUと交渉中ですが、どの様なタイムフレームで決定が公式に発表されるかは不明です。

EUがイギリスが妥当性にかける国であると判断した場合、イギリスとEUは個人情報送信に関して追加の交渉が必要になり、それがどの程度の時間がかかり、どの様な内容になるのかは不明です。この決定はEUが一方的に行う可能性もありますので、先行き不透明です。

仮にそうなった場合、EUの法人からイギリスに個人データを送信したい企業は、欧州委員会が承認する「標準契約条項」（standard contractual clauses）において、個人情報保護や送信を規定する必要があります。これは別名「the model clauses」と呼ばれています。

すでにEUにおける法人とイギリスの法人の間で「標準契約条項」が存在する場合は、その内容を事前に精査しておく必要があります。

さらに注意が必要なのは、シンガポール等EUとイギリス以外の第三国との間での個人情報の送受信です。GDPR後は多くの国がEUと標準に沿ってデータ管理を行っています。こらの第三国が、非EU加盟国であるイギリスとデータを送受信する場合、イギリスの「妥当性決定」が前提条件になる可能性もありますので注意が必要です。