英国公司GDPR数据保护合规完整指南(2026):UK GDPR、ICO注册与隐私政策要求
数据保护合规是英国公司经营中常被忽视却有重大法律风险的领域。即使是小型公司,只要处理客户或员工的个人数据,就须遵守UK GDPR。
一、UK GDPR vs EU GDPR
| 对比项 | UK GDPR | EU GDPR |
|---|---|---|
| 适用范围 | 英国境内 | 欧盟境内 |
| 生效时间 | 2021年1月1日(脱欧后) | 2018年5月25日 |
| 监管机构 | ICO(英国信息专员办公室) | 各EU成员国DPA |
| 核心原则 | 与EU GDPR基本相同 | — |
| 最高罚款 | £1,750万或全球营业额4% | €2,000万或4% |
| 数据传输 | 向欧盟传输:EU已给予充分性认定(目前有效) | — |
关键点:脱欧后英国有自己的UK GDPR,但与EU GDPR高度一致。若公司同时向英国和欧盟用户提供服务,两套规则均须遵守。
二、UK GDPR六大处理原则
处理个人数据须遵守以下原则:
| 原则 | 含义 |
|---|---|
| 合法性、公平性、透明性 | 须有合法依据处理数据,且须告知数据主体 |
| 目的限制 | 数据只能用于收集时声明的目的 |
| 数据最小化 | 只收集完成目的所必需的最少数据 |
| 准确性 | 保持数据准确和最新 |
| 存储限制 | 不再需要时须删除数据 |
| 完整性与保密性 | 采取适当安全措施保护数据 |
三、何时须向ICO注册?
大多数处理个人数据的公司须向ICO注册并缴纳年费:
| 豁免情形 | 说明 |
|---|---|
| 仅处理自身员工数据用于HR目的 | 可能豁免 |
| 仅处理自身的会计/财务记录 | 可能豁免 |
| 非营利组织(某些情形) | 可能豁免 |
大多数有网站、电子邮件营销或客户数据库的公司须注册。
ICO注册费用(2026年):
| 规模 | 年费 |
|---|---|
| 微小型公司(员工≤10人,营业额≤£632,000) | £40/年 |
| 中型公司(员工≤250人,营业额≤£36M) | £60/年 |
| 大型公司 | £2,900/年 |
注册方式:访问ico.org.uk/registration在线注册,填写公司信息和数据处理描述。
四、隐私政策必须包含的内容
公司网站须发布隐私政策(Privacy Policy),须包含:
- 数据控制者(Data Controller)的名称和联系方式
- 收集哪些类型的个人数据
- 数据处理的法律依据(如同意/合同履行/合法利益)
- 数据用途
- 数据保留期限
- 是否与第三方共享(含服务提供商名称)
- 是否向海外传输数据
- 数据主体的权利(访问权/更正权/删除权/可携权等)
- 投诉途径(ICO联系方式)
五、Cookie合规要求
英国公司网站使用Cookie须遵守PECR(隐私和电子通信条例):
| Cookie类型 | 要求 |
|---|---|
| 严格必要Cookie(登录/购物车) | 无需同意 |
| 分析Cookie(Google Analytics等) | 须获得用户明确同意 |
| 营销/追踪Cookie | 须获得用户明确同意 |
合规做法:
- 使用Cookie同意横幅(Consent Banner)
- 提供明确的接受/拒绝选项(默认拒绝非必要Cookie)
- 记录用户的同意状态
工具推荐:Cookiebot、OneTrust、CookieYes(均有免费版)
六、违规罚款案例参考
| 案例 | 违规行为 | 罚款金额 |
|---|---|---|
| British Airways(2020) | 数据泄露影响50万客户 | £2,000万 |
| Marriott(2020) | 数据泄露3.39亿条记录 | £1,840万 |
| Clearview AI(2022) | 未经许可收集英国人脸数据 | £750万 |
| 小型公司(典型案例) | 发送未经同意的营销邮件 | £数万 |
ukcompany.cn 提供英国公司ICO注册协助和基础数据保护合规建议,全程中文。