欧州委員会は19日、EUを完全離脱した英国の個人データ保護について、EUと同等の水準が確保されていると判断し、EU一般データ保護規則(GDPR)に基づく「十分性認定」の手続きを開始したと発表した。EU加盟国のデータ保護当局の代表で構成する欧州データ保護会議(EDPB)の意見聴取と加盟国の承認を経て、欧州委が最終決定する。英国は既に自国からEUへの自由なデータ移転を認めており、英国に対する十分性認定が採択されれば引き続き相互に円滑なデータ移転が可能となる。
GDPRはEUにノルウェーなどを加えた欧州経済地域(EEA)の域外に個人データを持ち出すことを原則禁止しており、EUを離脱した英国にEU市民の個人データを持ち出すには十分性認定を受ける必要がある。現在はEU・英間の通商協力協定により、暫定措置として6月末まで英国へのデータ移転が認められているが、この間に十分性認定が受けられない場合、企業活動などに支障をきたすと懸念されていた。
欧州委は過去数カ月にわたり、個人データの取り扱いに関する英国の法律と実務を慎重に評価してきた。その結果、英国のデータ保護水準は、GDPRおよび警察や司法当局による個人データの取り扱いに関するルールを定めた法執行指令(LED)によって保証された保護水準と「同等」と判断し、個人データの移転先として認定する方針を固めた。十分性認定の有効期限は4年間。欧州委は個人データの保護水準を再評価し、認定更新の可否を判断する。
欧州委のヨウロバー副委員長(価値・透明性担当)は声明で「自由で安全な個人データの流通はEUと英国双方の企業や市民にとって極めて重要だ。英国はEUを離脱したが、欧州のプライバシー保護の枠組みにとどまった」とコメントした。