Co je UK GDPR? Vysvětlení vztahu s GDPR a klíčové body, které je třeba znát

V souvislosti s odchodem Velké Británie z EU bylo k 1. lednu 2021 (Reiwa 3) zavedeno UK GDPR (Britské obecné nařízení o ochraně údajů).

GDPR je pravidlo EU pro zpracování a přenos osobních údajů, a japonské společnosti, které poskytují služby zákazníkům v EU, musí být v souladu s GDPR. UK GDPR je britská verze tohoto nařízení.

V tomto článku podrobně vysvětlíme vztah mezi GDPR a EU GDPR a poskytneme podrobné informace o EU GDPR. Seznamte se s klíčovými body a právními předpisy, které byste měli znát při rozšiřování vašeho podnikání do Evropy, včetně Velké Británie.

UK GDPR zavedené v důsledku odchodu Velké Británie z EU

Velká Británie opustila EU (Evropskou unii) 31. ledna 2020 a v souvislosti s tím bylo na základě EU GDPR zavedeno UK GDPR.

Po odchodu z EU se Velká Británie stala “třetí zemí” podle GDPR EU, a britské společnosti poskytující služby spotřebitelům v EU musí dodržovat GDPR jak ve Velké Británii, tak v EU.

Související článek: Co je GDPR? Porovnání s ochranou osobních údajů a body, které by japonské společnosti měly mít na paměti[ja]

Související článek: Vysvětlení klíčových bodů při vytváření GDPR kompatibilních zásad ochrany soukromí[ja]

Co je UK GDPR

UK GDPR (General Data Protection Regulation) je předpis, který stanovuje požadavky na zpracování osobních údajů a jejich přenos mimo Velkou Británii a zároveň definuje normy a povinnosti, které musí osoby provádějící zpracování nebo přenos dodržovat.

Zákon o ochraně údajů z roku 2018 (Data Protection Act 2018), který byl přijat v roce 2018, aktualizoval a nahradil původní rámec zákona o ochraně údajů z roku 1998. Vzhledem k situaci ohledně odchodu Velké Británie z EU byl tento zákon upraven na základě předpisů souvisejících s Brexit zákony a k 1. lednu 2021 (2021) byl přijat jako UK GDPR.

UK GDPR se vztahuje na zpracování osobních údajů, které se provádí v rámci aktivit správců nebo zpracovatelů nacházejících se ve Velké Británii. UK GDPR se také v určitých případech vztahuje na zpracování osobních údajů správci nebo zpracovateli, kteří nemají v Británii žádnou pobočku.

Klíčové body UK GDPR, na které byste měli pamatovat

V této kapitole se zaměříme na následující dva klíčové body UK GDPR, které byste měli znát.

• Přenos osobních údajů
• Jmenování zástupce nebo zplnomocněnce

Přenos osobních údajů

Při přenosu dat mezi Japonskem a Spojeným královstvím pokračuje Japonsko i po Brexitu v uplatňování určení podle článku 24 Japonského zákona o ochraně osobních údajů (článek 24 byl před novelizací zákona o formování digitální společnosti, která vstoupila v platnost 1. dubna 2021 (Reiwa 4), nyní je to článek 28), které bylo původně určeno pro EU.

Kromě toho je možný hladký přenos osobních údajů mezi Spojeným královstvím a EU i během přechodného období, stejně jako tomu bylo dříve.

Takže i po odchodu Spojeného království z EU je zajištěn hladký přenos osobních údajů mezi Japonskem a Spojeným královstvím.

Jmenování zástupce nebo zplnomocněnce

Britské společnosti, které nemají pobočku ani kancelář v EU, musí jmenovat zástupce v EU a pravidelně aktualizovat oznámení o ochraně dat.

Zástupce pak funguje jako zplnomocněnec pro pobočky nebo kanceláře.

Kromě toho britská legislativa vyžaduje, aby společnosti z EU, které drží osobní údaje, měly zástupce i ve Spojeném království.

Proto musí společnosti se sídlem v EU provést revizi a oddělení záznamů, aby určily, zda se na zpracovávané informace vztahují pravidla UK GDPR.

Jaké japonské firmy podléhají UK GDPR

UK GDPR se vztahuje na japonské firmy v následujících dvou případech:

1. Když firma působí s pobočkou na území Velké Británie
2. Když firma nemá pobočku ve Velké Británii, ale rozvíjí své podnikání směrem k Velké Británii

Ve druhém případě se UK GDPR vztahuje například v následujících situacích:

• Když japonský podnikatel provozuje e-commerce stránky zaměřené na globální trh včetně Evropy
• Když provádí marketingové kampaně zaměřené na evropský trh
• Když japonský podnikatel generuje příjmy z evropského trhu

Specificky se UK GDPR vztahuje na případy jako jsou:

• Když japonský podnikatel distribuuje herní aplikace hráčům ve Velké Británii a shromažďuje jejich jména a historii nákupů ve hře
• Když e-commerce stránky umožňují platby v librách, jsou v anglickém jazyce a zmiňují dodání do Velké Británie, a shromažďují informace o adrese, jménu a bankovních účtech zákazníků
• Když japonský podnikatel spravuje jména a e-mailové adresy osob ve Velké Británii pro distribuci e-mailových newsletterů
• Když japonský podnikatel získává a analyzuje polohová data od osob ve Velké Británii prostřednictvím aplikace
• Když japonský podnikatel získává informace o cookies z webových stránek a analyzuje preference jednotlivců pro cílení behaviorální reklamy
• Když japonský podnikatel získává a spravuje zdravotní informace osob ve Velké Británii prostřednictvím nositelných zařízení (například smartwatch)

Níže je uveden diagram rozsahu působnosti UK GDPR.

Reference: Praktická příručka k UK GDPR[ja] | Japonská organizace pro podporu zahraničního obchodu (JETRO) Londýnská kancelář, Oddělení zahraničního výzkumu

Tři rizika porušení UK GDPR

V této kapitole představíme tři rizika spojená s porušením UK GDPR.

• Riziko sankcí včetně vysokých pokut od ICO
• Riziko právních nároků na odškodnění od subjektů dat a dalších
• Riziko ztráty obchodní důvěryhodnosti kvůli nedostatečné ochraně osobních údajů

ICO (Information Commissioner’s Office) je nezávislá britská instituce založená za účelem ochrany informačních práv. V případě zjištění porušení pravidel UK GDPR může ICO uložit pokuty.

Pokuty mohou být vysoké, v roce 2019 byla britské letecké společnosti British Airways uložena pokuta ve výši 183 milionů liber (což představuje 1,5 % ročních celosvětových příjmů British Airways).

Podobně byla společnosti Marriott International, která provozuje známé hotely jako Marriott nebo Ritz-Carlton, uložena pokuta ve výši 99 milionů liber.

Tyto sankce jsou veřejně oznámeny, takže kromě vysokých pokut může dojít i k poklesu hodnoty značky. Jednou pokleslou hodnotu korporátní značky je velmi obtížné zvýšit. Aby se předešlo snížení síly značky, je nutné věnovat zvýšenou pozornost zacházení s osobními údaji.

Shrnutí: Je nutné pozorně sledovat změny v UK GDPR

UK GDPR (Britské obecné nařízení o ochraně osobních údajů) je jedním z relativně nových zákonů, který byl revidován v důsledku odchodu Velké Británie z EU dne 1. ledna 2021 (Reiwa 3).

Kromě toho, v Británii jsou aplikovány dvě právní úpravy: UK GDPR, které je určeno pro vnitrostátní použití, a EU GDPR, které se vztahuje na ostatní země EU.

V současné době probíhá komplexní revize regulací týkajících se osobních údajů. Japonské společnosti, které již podnikají ve Velké Británii nebo v zemích EU, by proto měly pečlivě sledovat budoucí vývoj změn v UK GDPR.

Porušení UK GDPR může vést nejen k vysokým sankčním poplatkům, ale také k poškození korporátního brandu. Je důležité přezkoumat bezpečnostní systémy vaší společnosti a připravit se na změny a opatření v souladu s novými pravidly.

Představení opatření naší kanceláře

Právní kancelář Monolith má bohaté zkušenosti v oblasti IT, zejména internetu a práva. V posledních letech se globální podnikání neustále rozšiřuje a potřeba právní kontroly odborníky stále roste. Naše kancelář poskytuje řešení v oblasti mezinárodního práva.

Oblasti působnosti právní kanceláře Monolith: Mezinárodní právní služby a zahraniční podnikání[ja]