UK GDPR vs EU GDPR: Развод по-европейски или как Brexit поделил правила игры
Содержание
Какая основная разница между UK GDPR и EU GDPR?
Основное различие между UK GDPR и EU GDPR в том, что UK GDPR — это британская версия GDPR, адаптированная после Brexit, с собственным регулятором ICO и отдельными правилами для международных передач данных. EU GDPR остаётся законом ЕС, применяемым к 27 странам союза. Оба закона почти идентичны по тексту, но различаются в юрисдикции и механизмах обеспечения.
Добро пожаловать в клуб разведённых: UK GDPR и EU GDPR
Представьте, что вы с соседом по квартире решили разъехаться. Вы делили кухню, ванную и правила пользования холодильником. После разъезда каждый устанавливает свои порядки: вы запрещаете есть йогурт после полуночи, а сосед — хранить носки в микроволновке. Примерно то же произошло с GDPR после Brexit. EU GDPR остался в Евросоюзе, а UK GDPR — его британский клон, который пошёл своим путём.
Что такое UK GDPR и EU GDPR?
UK GDPR — это британский закон о защите данных, вступивший в силу 1 января 2021 года. Он практически идентичен EU GDPR, но с поправками, учитывающими британскую юрисдикцию. EU GDPR — это регламент Европейского союза, действующий с 25 мая 2018 года. Оба закона защищают персональные данные граждан, но теперь у них разные «домашние адреса».
Ключевые различия между UK GDPR и EU GDPR
1. Регуляторы: ICO vs. EDPB
В Великобритании главный надзиратель — ICO (Information Commissioner's Office). Он британский, независимый и может налагать штрафы до 17,5 млн фунтов или 4% от мирового оборота. В ЕС — Европейский совет по защите данных (EDPB) и национальные органы, такие как CNIL во Франции или Garante в Италии. ICO больше не участвует в заседаниях EDPB — он теперь «одинокий волк».
2. Международные передачи данных
Это самое больное место. После Brexit Великобритания стала «третьей страной» для ЕС. Чтобы данные текли свободно, Еврокомиссия приняла два решения об адекватности для Великобритании (временное — до 2025 года). Если решение не продлят, британским компаниям придётся использовать стандартные договорные оговорки (SCC) или другие механизмы для передачи данных в ЕС. Аналогично, UK GDPR требует собственных механизмов для передачи данных из Великобритании в страны, не признанные адекватными.
3. Представительство в ЕС/Великобритании
Если вы обрабатываете данные граждан ЕС, но находитесь за пределами союза, EU GDPR требует назначить представителя в ЕС. UK GDPR требует представителя в Великобритании, если вы обрабатываете данные британцев. Теперь компаниям за пределами обеих юрисдикций, возможно, придётся иметь двух представителей — одного в ЕС, другого в Великобритании. Двойная работа, двойные расходы.
4. Возраст согласия для детей
EU GDPR устанавливает возраст цифрового согласия в 16 лет (страны могут снизить до 13). UK GDPR — 13 лет. Если ваш сервис ориентирован на детей, проверьте, где живёт ваш пользователь.
Практические последствия для бизнеса
Если ваш бизнес работает и в Великобритании, и в ЕС, вам нужно соблюдать оба закона. Это как иметь две налоговые декларации — скучно, но необходимо. Рекомендую:
- Провести аудит данных: какие данные откуда поступают.
- Обновить политику конфиденциальности, указав, какой закон применяется.
- Назначить представителей в обеих юрисдикциях, если требуется.
- Следить за решениями об адекватности — они могут измениться.
ICO vs. Европейские регуляторы: кто строже?
ICO известен более мягким подходом. Например, ICO оштрафовал British Airways на 20 млн фунтов (снижено с 183 млн из-за COVID), а европейские регуляторы часто выписывают многомиллионные штрафы (Amazon — 746 млн евро). Но не обольщайтесь: ICO тоже может укусить. Просто его укус меньше похож на укус акулы, а скорее на укус мопса.
Будущее: развод или воссоединение?
Великобритания рассматривает возможность реформировать UK GDPR, чтобы сделать его более «гибким» для бизнеса. ЕС, наоборот, ужесточает правила (например, AI Act). Возможно, через несколько лет различия станут значительными. Пока же они как близнецы, которые носят разную одежду.
Для получения дополнительной информации посетите официальный сайт ICO или EDPB.
⚡ UK GDPR vs EU GDPR: Сравнительная таблица
| Критерий | UK GDPR | EU GDPR |
|---|---|---|
| Юрисдикция | Великобритания | 27 стран ЕС + ЕЭЗ |
| Регулятор | ICO | EDPB + национальные органы |
| Максимальный штраф | 17,5 млн £ или 4% оборота | 20 млн € или 4% оборота |
| Возраст согласия детей | 13 лет | 16 лет (может быть снижен до 13) |
| Международные передачи | Собственные механизмы (SCC, решения об адекватности) | Стандартные SCC, решения об адекватности |
| Представитель за пределами юрисдикции | Требуется, если обрабатываете данные британцев | Требуется, если обрабатываете данные резидентов ЕС |
| Статус решения об адекватности | Временное до 2025 г. | Постоянное для признанных стран |
Редакционный комитет NakedPact
Статья подготовлена редакцией NakedPact. Наша миссия — анализировать, упрощать и выявлять несправедливые условия и скрытые риски в повседневных договорах для защиты граждан и потребителей.
Источники и правовые ссылки
Вы владелец веб-сайта?
Хотите сообщить пользователям о прозрачности обработки данных? Динамически используйте наш значок и продемонстрируйте соответствие вашей платформы требованиям.
Рекомендуемое чтение
🛡️ Защитите свои права одним кликом
Не рискуйте подписывать кабальные условия. Установите бесплатное расширение NakedPact для Chrome или Firefox и мгновенно анализируйте любой контракт в сети.
Не доверяйте, проверяйте.
Теперь, когда вы знаете о рисках, не подписывайте вслепую. Загрузите контракт в NakedPact, и ИИ найдет скрытые условия. Это 100% бесплатно.
Проанализировать контракт сейчас