جزء من سلسلة Compliance & Regulation
اقرأ الدليل الكاملحماية البيانات في المملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي: اللائحة العامة لحماية البيانات مقابل اللائحة العامة لحماية البيانات في المملكة المتحدة
أدى خروج بريطانيا من الاتحاد الأوروبي إلى تغيير جذري في مشهد حماية البيانات في المملكة المتحدة. اعتبارًا من 1 يناير 2021، غادرت المملكة المتحدة الإطار القانوني للاتحاد الأوروبي وتوقف تطبيق اللائحة العامة لحماية البيانات في الاتحاد الأوروبي بشكل مباشر. احتفظت المملكة المتحدة باللائحة العامة لحماية البيانات للاتحاد الأوروبي في القانون المحلي باسم "اللائحة العامة لحماية البيانات في المملكة المتحدة" (بموجب قانون (الانسحاب) للاتحاد الأوروبي لعام 2018)، والمكمل بقانون حماية البيانات لعام 2018 (DPA 2018). والنتيجة هي إطار يشبه إلى حد كبير اللائحة العامة لحماية البيانات في الاتحاد الأوروبي ولكن مع وجود اختلافات مهمة ــ وعلاقة كفاية هشة بين المملكة المتحدة والاتحاد الأوروبي والتي يتعين على الشركات مراقبتها عن كثب.
يعد فهم الاختلافات الدقيقة بين القانون العام لحماية البيانات في المملكة المتحدة واللائحة العامة لحماية البيانات في الاتحاد الأوروبي، وإدارة الامتثال المزدوج للشركات العاملة في كلا السلطتين القضائيتين، أمرًا ضروريًا للشركات التي تتخذ من المملكة المتحدة مقراً لها والشركات الدولية التي تتعرض للمملكة المتحدة والاتحاد الأوروبي.
الوجبات الرئيسية
- اللائحة العامة لحماية البيانات في المملكة المتحدة مشتقة من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي ولكنها أصبحت الآن قانونًا محليًا منفصلاً - ولم تعد اللائحة العامة لحماية البيانات في الاتحاد الأوروبي تنطبق مباشرة في المملكة المتحدة
- منح الاتحاد الأوروبي قرارات الملاءمة للمملكة المتحدة في يونيو 2021، مما سمح بتدفق بيانات الاتحاد الأوروبي → المملكة المتحدة - لكنها تخضع لشرط الانقضاء والمراجعة الدورية
- تدفقات بيانات المملكة المتحدة → الاتحاد الأوروبي: منحت المملكة المتحدة أيضًا دول الاتحاد الأوروبي كفاية بموجب قانون المملكة المتحدة، مما سمح بتدفقات بيانات الاتحاد الأوروبي → المملكة المتحدة بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة
- الاختلافات الرئيسية: يتضمن القانون العام لحماية البيانات في المملكة المتحدة بنودًا نموذجية مختلفة، وآليات نقل مختلفة، وإشراف ICO (وليس EDPB)، ومواقف متطورة خاصة بالمملكة المتحدة
- قانون حماية البيانات والمعلومات الرقمية (DPDI) لعام 2025 الذي تم إصلاحه في القانون العام لحماية البيانات في المملكة المتحدة - تشمل التغييرات المصالح المشروعة المخففة، والمصالح المشروعة الجديدة المعترف بها، وحفظ السجلات المبسطة
- تصل غرامات العرض الأولي للعملة إلى 17.5 مليون جنيه إسترليني أو 4% من إجمالي المبيعات العالمية - نفس هيكل اللائحة العامة لحماية البيانات في الاتحاد الأوروبي
- يجب على الشركات الخاضعة لكل من اللائحة العامة لحماية البيانات في المملكة المتحدة واللائحة العامة لحماية البيانات في الاتحاد الأوروبي أن تستوفي كلا الإطارين بشكل مستقل
إطار حماية البيانات في المملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي
اللائحة العامة لحماية البيانات في المملكة المتحدة وقانون حماية البيانات لعام 2018
يتكون إطار حماية البيانات في المملكة المتحدة من أداتين أساسيتين:
اللائحة العامة لحماية البيانات في المملكة المتحدة: اللائحة العامة لحماية البيانات في الاتحاد الأوروبي كما تم الاحتفاظ بها في قانون المملكة المتحدة، وتم تعديلها بموجب اتفاقية حماية البيانات لعام 2018 والصكوك القانونية اللاحقة. فهو يحافظ على القواعد القانونية الستة وحقوق أصحاب البيانات وإطار عمل وحدة التحكم/المعالج ومتطلبات حماية حقوق البيانات (DPIA) والتزامات حماية البيانات (DPO) من القانون العام لحماية البيانات في الاتحاد الأوروبي مع بعض التعديلات الخاصة بالمملكة المتحدة.
قانون حماية البيانات لعام 2018: يكمل القانون العام لحماية البيانات في المملكة المتحدة من خلال:
- تنفيذ الاستثناءات الخاصة بالمملكة المتحدة (على سبيل المثال، فيما يتعلق بإنفاذ القانون والأمن القومي والصحافة)
- تحديد صلاحيات ودور ICO
- توفير شروط إضافية لمعالجة فئات خاصة من البيانات
- تحديد متطلبات DPO للسلطات العامة
- إنشاء إطار للجرائم الجنائية وإنفاذها
قانون حماية البيانات والمعلومات الرقمية (DPDI) لعام 2025: إصلاح مهم عدل اللائحة العامة لحماية البيانات في المملكة المتحدة، وقدم أحكامًا أكثر مرونة لمعالجة الأعمال، وأحكام المصالح المشروعة المخففة، و"المصالح المشروعة المعترف بها" (فئة جديدة تتجنب اختبار التوازن)، ومتطلبات قانون حماية البيانات والمعلومات الرقمية المبسطة، وإطار تنظيمي جديد لخدمات الهوية الرقمية.
الاختلافات الرئيسية: القانون العام لحماية البيانات في المملكة المتحدة مقابل القانون العام لحماية البيانات في الاتحاد الأوروبي
| المنطقة | اللائحة العامة لحماية البيانات في الاتحاد الأوروبي | اللائحة العامة لحماية البيانات في المملكة المتحدة (بصيغتها المعدلة بواسطة DPDI) |
|---|---|---|
| هيئة الإشراف | اتفاقيات DPA الوطنية + تنسيق EDPB | ICO (الهيئة الوحيدة في المملكة المتحدة، بدون عضوية EDPB) |
| الحد الإلزامي لـ DPO | السلطات العامة + مراقبة منهجية واسعة النطاق أو فئات خاصة | نفس العتبة ولكن "فرد أو فريق محدد" مقبول |
| المصالح المشروعة | مطلوب اختبار من ثلاثة أجزاء (الغرض، الضرورة، الموازنة) | نفس الشيء، بالإضافة إلى فئة "المصالح المشروعة المعترف بها" الجديدة التي تتجنب اختبار الموازنة الكاملة |
| المصالح المشروعة المعترف بها | لا شيء | فئة جديدة لأغراض تجارية محددة تشمل: التسويق المباشر، التحويلات بين المجموعات، أمن الشبكات، مراقبة الموظفين لحمايتهم |
| متطلبات حماية البيانات الشخصية | المعالجة عالية المخاطر (المادة 35) | تم الإبقاء عليه ولكن DPDI ينشئ مفهوم "تقييم المخاطر العالية" مع إرشادات محدثة |
| حفظ السجلات | جميع المؤسسات التي تضم أكثر من 250 موظفًا أو معالجة عالية المخاطر | المتطلبات المبسطة بموجب DPDI للمؤسسات الصغيرة |
| آلية النقل: الشروط التعاقدية النموذجية | الشروط التعاقدية النموذجية للاتحاد الأوروبي (يونيو 2021، ثلاث وحدات) | اتفاقيات نقل البيانات الدولية (IDTAs) - الشروط التعاقدية النموذجية الخاصة بالمملكة المتحدة |
| آلية التحويل: TIA | مطلوب تقييم تأثير النقل | غير مطلوب بشكل صريح (لكن ICO توصي بتقييم المخاطر) |
| قرارات الكفاية | عملية EDPB/العمولة | تقييم ICO + تعيين وزير الخارجية |
| آلية الشباك الواحد | السلطة الإشرافية الرائدة لعمليات الاتحاد الأوروبي | لا يوجد ما يعادلها — تتمتع ICO بالولاية القضائية على الكيانات المنشأة في المملكة المتحدة |
| موافقة ملفات تعريف الارتباط | توجيه الخصوصية الإلكترونية (منفصل عن اللائحة العامة لحماية البيانات) | PECR 2003 (منفصل عن القانون العام لحماية البيانات في المملكة المتحدة)؛ الإصلاح في ظل DPDI |
حالة الملاءمة في المملكة المتحدة والاتحاد الأوروبي → عمليات نقل البيانات في المملكة المتحدة
قرارات الاتحاد الأوروبي بشأن الملاءمة للمملكة المتحدة (يونيو 2021)
منحت المفوضية الأوروبية المملكة المتحدة قرارين بشأن الملاءمة في 28 يونيو 2021:
- قرار الملاءمة بموجب القانون العام لحماية البيانات للاتحاد الأوروبي: يسمح بالتدفق الحر للبيانات الشخصية من الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية إلى المملكة المتحدة دون الحاجة إلى آليات نقل إضافية
- قرار الملاءمة بموجب توجيهات إنفاذ القانون: يسمح بمشاركة بيانات جهات إنفاذ القانون
شرط الانقضاء: تحتوي قرارات الاتحاد الأوروبي بشأن كفاية المملكة المتحدة على شرط انقضاء مدته أربع سنوات - تنتهي صلاحيته في 27 يونيو 2025، ما لم يتم تجديده. أجرت المفوضية الأوروبية مراجعة وأوضحت نيتها التجديد، لكن عملية التجديد وأي شروط مرفقة تخضع للتطورات السياسية والقانونية.
المخاطر التي يتعرض لها الاتحاد الأوروبي ← علاقة الملاءمة في المملكة المتحدة:
- قد يؤدي اختلاف قانون حماية البيانات في المملكة المتحدة عن اللائحة العامة لحماية البيانات (من خلال قانون DPDI والإصلاح المستقبلي) إلى مراجعة اللجنة
- كانت تشريعات المراقبة الخاصة بحكومة المملكة المتحدة وممارسات جمع البيانات الجماعية من المجالات الخاضعة لتدقيق الاتحاد الأوروبي
- أي قرارات محكمة في المملكة المتحدة أو تغييرات تشريعية تقلل بشكل كبير من معايير حماية البيانات يمكن أن تدفع اللجنة إلى تعليق الكفاية
الآثار العملية: يجب على الشركات التي تعتمد على كفاية المملكة المتحدة لتدفقات البيانات في الاتحاد الأوروبي → المملكة المتحدة أن يكون لديها خطة طوارئ (IDTAs في المملكة المتحدة أو BCRs) في حالة سحب الكفاية أو تعليقها، حتى لو بدا التجديد محتملاً.
المملكة المتحدة → تدفقات بيانات الاتحاد الأوروبي
بموجب أحكام النقل الدولي الخاصة باللائحة العامة لحماية البيانات في المملكة المتحدة، منح وزير خارجية المملكة المتحدة لوائح ملائمة لدول الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية - مما يعني أن البيانات الشخصية يمكن أن تتدفق من المملكة المتحدة إلى دول الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية دون آليات نقل إضافية.
اتفاقيات نقل البيانات الدولية (IDTAs)
بالنسبة للتحويلات من المملكة المتحدة إلى البلدان التي ليس لديها قرارات كفاية في المملكة المتحدة، يتطلب القانون العام لحماية البيانات في المملكة المتحدة ضمانات مناسبة. نشر ICO اتفاقية نقل البيانات الدولية (IDTA) وملحق IDTA إلى الشروط التعاقدية الخاصة بالاتحاد الأوروبي في مارس 2022، لتحل محل البنود النموذجية القديمة لعمليات النقل في المملكة المتحدة.
ميزات IDTA الرئيسية:
- الشروط التعاقدية القياسية الخاصة بالمملكة المتحدة والتي تغطي جميع سيناريوهات وحدات SCC الأربعة في الاتحاد الأوروبي (C2C، وC2P، وP2P، وP2C) في وثيقة واحدة
- إطار "تقييم المخاطر" (بدلاً من TIA الإلزامي الذي تفرضه المحكمة الدستورية العليا في الاتحاد الأوروبي)
- التعاريف الخاصة بالمملكة المتحدة ومراجع السلطة الإشرافية
- الشروط الإلزامية التي لا يجوز تعديلها؛ البنود الاختيارية المتاحة
ملحق IDTA إلى الشروط التعاقدية النموذجية للاتحاد الأوروبي: يسمح للشركات باستخدام الشروط التعاقدية النموذجية للاتحاد الأوروبي كأساس لعمليات النقل في المملكة المتحدة عن طريق إضافة ملحق يكيفها لأغراض المملكة المتحدة. هذا هو النهج المفضل للعديد من الشركات متعددة الجنسيات التي نفذت بالفعل الشروط التعاقدية النموذجية للاتحاد الأوروبي وترغب في تغطية التحويلات في المملكة المتحدة دون وثائق منفصلة.
الانتقال من العقود التعاقدية النموذجية للاتحاد الأوروبي: قام ICO بتمديد الموعد النهائي لتحديث عقود العقود التعاقدية النموذجية القديمة في الاتحاد الأوروبي إلى IDTAs في المملكة المتحدة - الشركات التي أبرمت عقود SCC في الاتحاد الأوروبي قبل 21 سبتمبر 2022 كان لديها حتى 21 مارس 2024 لاستبدالها بـ IDTAs في المملكة المتحدة (تم تمديدها بموجب توجيهات ICO).
اختيار آلية النقل المناسبة:
| السيناريو | آلية التحويل في المملكة المتحدة |
|---|---|
| المملكة المتحدة → الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية | لوائح الملاءمة - لا حاجة إلى آلية إضافية |
| المملكة المتحدة → الولايات المتحدة | ملحق UK IDTA أو IDTA إلى الشروط التعاقدية النموذجية للاتحاد الأوروبي (اتفاقية الوصول إلى البيانات بين الولايات المتحدة والمملكة المتحدة لإنفاذ القانون) |
| المملكة المتحدة→بلدان مناسبة أخرى | لا توجد آلية إضافية مطلوبة |
| المملكة المتحدة→بلدان غير كافية | UK IDTA أو ملحق IDTA |
| إنتراجروب | UK IDTA، ملحق IDTA، أو BCRs |
صلاحيات ونهج تنفيذ ICO
** مكتب مفوض المعلومات (ICO) ** هو السلطة الإشرافية المستقلة لحماية البيانات في المملكة المتحدة. بعد خروج بريطانيا من الاتحاد الأوروبي، لم يعد الطرح الأولي للعملة (ICO) جزءًا من EDPB ويعمل بشكل مستقل في جميع النواحي.
صلاحيات تنفيذ العرض الأولي للعملة (ICO):
- إصدار إشعارات المعلومات التي تتطلب من المنظمات تقديم المعلومات
- إصدار إشعارات التقييم (عمليات التدقيق)
- إصدار إشعارات التنفيذ (التي تتطلب إجراءات الامتثال)
- إصدار إشعارات العقوبات:
- المستوى الأدنى: ما يصل إلى 8.7 مليون جنيه إسترليني أو 2% من إجمالي المبيعات السنوية العالمية (أيهما أعلى) - للانتهاكات الأقل خطورة
- الطبقة العليا: ما يصل إلى 17.5 مليون جنيه إسترليني أو 4% من إجمالي المبيعات السنوية العالمية (أيهما أعلى) - بالنسبة للانتهاكات الأكثر خطورة
- الملاحقة الجنائية لجرائم البيانات المتعمدة (بموجب قانون حماية البيانات 2018، الجزء 3 والجرائم)
نهج إنفاذ ICO: اتبعت ICO تاريخيًا نهجًا متناسبًا قائمًا على المخاطر - التعامل مع المنظمات من خلال التوبيخ والتوجيه غير الرسمي قبل التصعيد إلى الغرامات. ومع ذلك، أصدر ICO غرامات كبيرة: 20 مليون جنيه إسترليني على الخطوط الجوية البريطانية (تم تخفيضها لاحقًا إلى 20 مليون جنيه إسترليني عند الاستئناف)، و18.4 مليون جنيه إسترليني على شركة ماريوت الدولية، وغرامات متعددة مكونة من سبعة أرقام للسلطات العامة.
قانون ما بعد DPDI: قام قانون DPDI لعام 2025 بتعديل إطار عمل ICO، حيث قدم "هدفًا رئيسيًا" لتعزيز الاقتصاد الرقمي المزدهر إلى جانب حماية البيانات، وإنشاء مدونة ممارسات قانونية للذكاء الاصطناعي المسؤول. يشير هذا إلى نهج تنظيمي أكثر تأييدًا للابتكار إلى حد ما مقارنة بما قبل DPDI.
الامتثال المزدوج: القانون العام لحماية البيانات في المملكة المتحدة واللائحة العامة لحماية البيانات في الاتحاد الأوروبي
بالنسبة للشركات الخاضعة لكل من اللائحة العامة لحماية البيانات في المملكة المتحدة واللائحة العامة لحماية البيانات في الاتحاد الأوروبي - وهو الوضع الأكثر شيوعًا للشركات التي تتخذ من المملكة المتحدة مقراً لها ولها عمليات في الاتحاد الأوروبي - تتطلب إدارة الامتثال المزدوج تصميمًا دقيقًا للبرنامج.
هيكلة الامتثال المزدوج:
-
كيانات قانونية منفصلة: إذا كانت عملياتك في المملكة المتحدة والاتحاد الأوروبي كيانات قانونية منفصلة، فلكل منها سلطة إشرافية خاصة به (ICO للمملكة المتحدة، DPA الوطنية ذات الصلة للاتحاد الأوروبي) ويجب الحفاظ على برامج امتثال منفصلة
-
قاعدة السياسات المشتركة: يتقاسم القانون العام لحماية البيانات في المملكة المتحدة واللائحة العامة لحماية البيانات في الاتحاد الأوروبي ما يقرب من 95% من متطلباتهما الأساسية. يمكن إنشاء برنامج خصوصية شامل واحد يغطي جميع متطلبات كليهما، مع وضع طبقات خاصة بالمملكة المتحدة والاتحاد الأوروبي في الأعلى
-
آليات التحويل: تستخدم التحويلات من المملكة المتحدة → الاتحاد الأوروبي لوائح الملاءمة في المملكة المتحدة (لا توجد حاجة إلى آلية حاليًا). تستخدم التحويلات من الاتحاد الأوروبي → المملكة المتحدة قرار كفاية الاتحاد الأوروبي للمملكة المتحدة (لا توجد آلية مطلوبة حاليًا). تحتاج التحويلات الداخلية بين المملكة المتحدة والدول الأخرى إلى IDTAs في المملكة المتحدة. تحتاج التحويلات الداخلية بين الاتحاد الأوروبي والدول الأخرى إلى الشروط التعاقدية النموذجية للاتحاد الأوروبي
-
السلطة الإشرافية الرئيسية: بموجب القانون العام لحماية البيانات (GDPR) للاتحاد الأوروبي، يمكن لعمليات الاتحاد الأوروبي تعيين سلطة إشرافية رئيسية لمعالجة قضايا الاتحاد الأوروبي عبر الحدود من خلال آلية الشباك الواحد. لا ينطبق هذا في المملكة المتحدة - تشرف ICO على جميع الكيانات المنشأة في المملكة المتحدة
-
إشعارات الخصوصية: احتفظ بإشعارات خصوصية منفصلة أو ميز بوضوح بين القواعد القانونية في المملكة المتحدة والاتحاد الأوروبي ومعلومات الاتصال (DPO، ممثل المملكة المتحدة، ممثل الاتحاد الأوروبي)، ومراجع السلطة الإشرافية
-
تعيين DPO: إذا كان ذلك مطلوبًا بموجب كلا الإطارين، يمكن أن يخدم DPO واحد كلا السلطتين القضائيتين. يجب أن تشير تفاصيل الاتصال بمسؤول حماية البيانات الواردة في إشعارات الخصوصية في المملكة المتحدة إلى التزامات المملكة المتحدة؛ يجب أن تشير إشعارات الاتحاد الأوروبي إلى التزامات الاتحاد الأوروبي
اعتبارات حماية البيانات الخاصة بالمملكة المتحدة
PECR (لوائح الخصوصية والاتصالات الإلكترونية لعام 2003)
يحكم UK PECR ملفات تعريف الارتباط والتسويق الإلكتروني وبيانات المرور/الموقع. إنه منفصل عن القانون العام لحماية البيانات في المملكة المتحدة ولم يتم تحديثه بموجب قانون DPDI، على الرغم من أن الإصلاح مستمر. متطلبات PECR الرئيسية:
- موافقة ملفات تعريف الارتباط: موافقة مستنيرة بشكل واضح مطلوبة لملفات تعريف الارتباط غير الضرورية
- التسويق عبر البريد الإلكتروني/الرسائل النصية القصيرة: موافقة الاشتراك مطلوبة للأفراد؛ يتوفر خيار إلغاء الاشتراك (الاشتراك البسيط) في حالة وجود علاقة حالية مع العملاء ونفس المنتجات/المشابهة
- الاتصال البارد: محظور على الأرقام الموجودة على خدمة الهاتف المفضلة (TPS)؛ يمكن للشركات التسجيل في نظام TPS للشركات
البيانات البيومترية (فئة خاصة بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة)
تعد البيانات البيومترية التي تتم معالجتها لتحديد هوية الأفراد بشكل فريد فئة خاصة بموجب القانون العام لحماية البيانات في المملكة المتحدة. يوفر جدول DPA 2018 1 شروطًا محددة لمعالجة الفئات الخاصة، بما في ذلك الموافقة الصريحة وشروط قانون العمل.
ممثل المملكة المتحدة لوحدات التحكم المنشأة من خارج المملكة المتحدة
بموجب المادة 27 من اللائحة العامة لحماية البيانات في المملكة المتحدة، يجب على المتحكمين والمعالجين غير المؤسسين في المملكة المتحدة ولكن الخاضعين للائحة العامة لحماية البيانات في المملكة المتحدة (لأنهم يقدمون سلعًا/خدمات لأفراد في المملكة المتحدة أو يراقبون سلوك الأفراد في المملكة المتحدة) تعيين ممثل للمملكة المتحدة. هذا دور مستقل من DPO ويمكن أن يكون شخصًا طبيعيًا أو كيانًا قانونيًا.
قائمة التحقق من الامتثال لحماية البيانات في المملكة المتحدة
- تحديد ما إذا كان القانون العام لحماية البيانات في المملكة المتحدة، أو القانون العام لحماية البيانات في الاتحاد الأوروبي، أو كليهما ينطبق على مؤسستك
- يتم تعيين ممثل للمملكة المتحدة إذا كانت المؤسسة خارج المملكة المتحدة وتخضع للقانون العام لحماية البيانات في المملكة المتحدة
- تم تحديث إشعار الخصوصية للإشارة إلى القانون العام لحماية البيانات (GDPR) وطرح العملة الأولي (ICO) والحقوق الخاصة بالمملكة المتحدة
- تم تطبيق ملحق IDTA أو IDTA لعمليات النقل من المملكة المتحدة إلى البلدان غير الملائمة
- مراجعة آلية النقل في الاتحاد الأوروبي → المملكة المتحدة (تعتمد حاليًا على مدى ملاءمة الاتحاد الأوروبي للمملكة المتحدة - مراقبة التغييرات)
- يتم تعيين مسؤول حماية البيانات (DPO) عند الاقتضاء بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة؛ تم نشر معلومات الاتصال
- الاحتفاظ بسجل أنشطة المعالجة (المادة 30 من اللائحة العامة لحماية البيانات في المملكة المتحدة)
- عمليات تقييم الضرر التي تم إجراؤها لأنشطة المعالجة عالية المخاطر
- يتم توثيق تقييمات المصالح المشروعة حيث تكون المصالح المشروعة هي الأساس القانوني
- مراجعة امتثال PECR: الموافقة على ملفات تعريف الارتباط، وآليات الاشتراك في التسويق الإلكتروني
- تم الانتهاء من تدريب الموظفين على التزامات القانون العام لحماية البيانات في المملكة المتحدة
- إجراء الإخطار بالانتهاك: إخطار ICO خلال 72 ساعة، وإخطار فردي بالانتهاكات عالية المخاطر
- تم تنفيذ إجراءات حقوق أصحاب البيانات (الجدول الزمني للقانون العام لحماية البيانات في المملكة المتحدة: شهر واحد)
- تمت مراجعة عقود SCC القديمة في الاتحاد الأوروبي وتحديثها إلى IDTAs في المملكة المتحدة عند الاقتضاء
الأسئلة المتداولة
هل لا يزال القانون العام لحماية البيانات للاتحاد الأوروبي قابلاً للتطبيق في المملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي؟
لا، توقف تطبيق اللائحة العامة لحماية البيانات في الاتحاد الأوروبي مباشرة في المملكة المتحدة في 1 يناير 2021. ومع ذلك، احتفظت المملكة المتحدة باللائحة العامة لحماية البيانات في الاتحاد الأوروبي كقانون محلي في شكل "اللائحة العامة لحماية البيانات في المملكة المتحدة"، والتي تشبه إلى حد كبير ولكنها الآن قانون منفصل للمملكة المتحدة. إذا كنت تقوم بمعالجة البيانات الشخصية لأفراد من الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو كان لديك مؤسسة مقرها الاتحاد الأوروبي، فسيستمر تطبيق القانون العام لحماية البيانات في الاتحاد الأوروبي على تلك الجوانب من عملك بغض النظر عن خروج بريطانيا من الاتحاد الأوروبي.
هل أحتاج إلى منظمات حماية بيانات منفصلة لعمليات المملكة المتحدة والاتحاد الأوروبي؟
يمكن لمسؤول حماية البيانات (DPO) واحد أن يخدم التزامات كل من المملكة المتحدة والاتحاد الأوروبي، بشرط أن يكون لديه معرفة كافية بكلا الإطارين وأن يكون في متناول أصحاب البيانات والسلطات الإشرافية في كلا السلطتين القضائيتين. يجب نشر تفاصيل الاتصال الخاصة بـ DPO في إشعارات الخصوصية لكلا السلطتين القضائيتين، ويجب أن يكون DPO على دراية بتوجيهات ICO الخاصة بالمملكة المتحدة إلى جانب إرشادات EDPB لالتزامات الاتحاد الأوروبي.
ماذا يحدث إذا سحب الاتحاد الأوروبي كفاية المملكة المتحدة؟
سوف تتطلب تدفقات بيانات الاتحاد الأوروبي → المملكة المتحدة آلية نقل بديلة - عادةً ما تكون الشروط التعاقدية النموذجية للاتحاد الأوروبي. ستحتاج الشركات إلى التوقيع على البنود التعاقدية القياسية للاتحاد الأوروبي لعمليات النقل من الاتحاد الأوروبي إلى المملكة المتحدة وإجراء تقييمات تأثير النقل. سيكون هذا مهمًا من الناحية التشغيلية ولكن يمكن التحكم فيه بالنسبة للشركات التي خططت لحالات الطوارئ. سيكون التعطيل العملي أكبر بالنسبة للشركات التي تعتمد على تدفقات البيانات غير الرسمية (بيانات الموظفين، والبنية التحتية السحابية المشتركة بين كيانات الاتحاد الأوروبي والمملكة المتحدة) دون وثائق نقل رسمية.
ما هي "المصالح المشروعة المعترف بها" بموجب قانون DPDI؟
قدم قانون DPDI لعام 2025 "المصالح المشروعة المعترف بها" - وهي فئة جديدة من أغراض المعالجة التي لا تتطلب اختبار موازنة المصالح المشروعة الكامل المكون من ثلاثة أجزاء بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة. تشمل المصالح المشروعة المعترف بها ما يلي: التسويق المباشر من قبل المنظمة التي جمعت البيانات؛ عمليات النقل داخل المجموعة للأغراض الإدارية؛ أغراض أمن الشبكات والمعلومات؛ مراقبة الموظفين وإدارتهم للسلامة / الامتثال القانوني. يمكن للشركات الاعتماد عليها دون توثيق اختبار موازنة رسمي، مما يبسط الامتثال لحالات الاستخدام المحددة هذه.
كيف تنطبق حماية البيانات في المملكة المتحدة على مواطني المملكة المتحدة الذين يعيشون في الخارج؟
يحمي القانون العام لحماية البيانات في المملكة المتحدة الأفراد في المملكة المتحدة - ولا يرتبط بجنسية المملكة المتحدة أو جنسيتها. يتمتع مواطن الاتحاد الأوروبي الذي يعيش في المملكة المتحدة بالحماية بموجب القانون العام لحماية البيانات في المملكة المتحدة. يتمتع مواطن المملكة المتحدة الذي يعيش في فرنسا بالحماية بموجب القانون العام لحماية البيانات (GDPR) للاتحاد الأوروبي المطبق في فرنسا. القوانين إقليمية في تطبيقها الأساسي، وليست قائمة على المواطنة. لا تخضع بيانات مواطني المملكة المتحدة بطبيعتها للقانون العام لحماية البيانات في المملكة المتحدة عندما يكونون موجودين خارج المملكة المتحدة ما لم تكن وحدة التحكم/المعالج مؤسسة في المملكة المتحدة أو تستهدف أفرادًا في المملكة المتحدة.
هل تخضع ملفات تعريف الارتباط في المملكة المتحدة للقانون العام لحماية البيانات (GDPR) أو PECR في المملكة المتحدة؟
تخضع ملفات تعريف الارتباط في المقام الأول للوائح الخصوصية والاتصالات الإلكترونية لعام 2003 (PECR) في المملكة المتحدة، وليس بشكل مباشر من خلال اللائحة العامة لحماية البيانات في المملكة المتحدة. يتطلب PECR معلومات واضحة حول ملفات تعريف الارتباط والموافقة على ملفات تعريف الارتباط غير الضرورية. تنطبق اللائحة العامة لحماية البيانات في المملكة المتحدة على البيانات الشخصية التي يتم جمعها من خلال ملفات تعريف الارتباط (حيث تقوم ملفات تعريف الارتباط بمعالجة البيانات الشخصية). يجب استيفاء كلا الإطارين في وقت واحد — ويتحكم PECR في وضع ملفات تعريف الارتباط؛ يحكم القانون العام لحماية البيانات (GDPR) في المملكة المتحدة المعالجة اللاحقة للبيانات الشخصية التي تم جمعها.
الخطوات التالية
يعد مشهد حماية البيانات في المملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي أكثر تعقيدًا مما توقعته العديد من الشركات - خاصة بالنسبة لتلك التي تعمل عبر الولايات القضائية للمملكة المتحدة والاتحاد الأوروبي في وقت واحد. تتطلب مواكبة توجيهات ICO وإصلاحات قانون DPDI وعلاقة الملاءمة مع الاتحاد الأوروبي اهتمامًا مستمرًا.
تساعد ECOSIRE الشركات على تصميم وصيانة برامج الامتثال المزدوجة في المملكة المتحدة والاتحاد الأوروبي، وتنفيذ آليات نقل البيانات الدولية المناسبة، وبناء الخصوصية حسب التصميم في منصاتها التكنولوجية.
معرفة المزيد: خدمات ECOSIRE
إخلاء المسؤولية: هذا الدليل لأغراض إعلامية فقط ولا يشكل مشورة قانونية. يتطور قانون حماية البيانات في المملكة المتحدة من خلال التشريعات وتوجيهات ICO. استشر مستشارًا قانونيًا مؤهلاً في المملكة المتحدة للحصول على مشورة خاصة بمؤسستك.
بقلم
ECOSIRE Research and Development Team
بناء منتجات رقمية بمستوى المؤسسات في ECOSIRE. مشاركة رؤى حول تكاملات Odoo وأتمتة التجارة الإلكترونية وحلول الأعمال المدعومة بالذكاء الاصطناعي.
مقالات ذات صلة
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
المزيد من Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.