Hvad er UK GDPR? En forklaring på forholdet til GDPR og vigtige punkter at bemærke
I forbindelse med Storbritanniens exit fra EU trådte UK GDPR (den britiske General Data Protection Regulation) i kraft den 1. januar 2021.
GDPR er en EU-forordning, der regulerer behandlingen og overførslen af persondata, og japanske virksomheder, der udbyder tjenester til kunder inden for EU, skal overholde GDPR. UK GDPR er den britiske version af denne forordning.
I denne artikel vil vi uddybe forholdet mellem GDPR og EU’s GDPR samt give en detaljeret forklaring på EU’s GDPR. Vi vil også fremhæve de vigtigste punkter og love, som virksomheder bør være opmærksomme på, når de udvider deres forretninger til Europa, herunder Storbritannien.
UK GDPR indført som følge af Storbritanniens EU-exit
Storbritannien forlod EU (Den Europæiske Union) den 31. januar 2020, og i den forbindelse blev UK GDPR indført baseret på EU’s GDPR.
Efter at være blevet et ‘tredjeland’ under EU’s GDPR, skal britiske virksomheder, der tilbyder tjenester til EU-forbrugere, overholde både den britiske og EU’s GDPR.
| GDPR (EU’s generelle databeskyttelsesforordning) | En lov indført i 2018. Virksomheder, der tilbyder varer eller tjenester til eller overvåger adfærden af personer inden for EU, skal træffe databeskyttelsesforanstaltninger. |
| UK GDPR (Storbritanniens generelle databeskyttelsesregulativ) | En lov indført som følge af Storbritanniens exit fra EU i 2020. Virksomheder og organisationer etableret i Storbritannien eller dem, der tilbyder tjenester til brugere i Storbritannien, skal træffe databeskyttelsesforanstaltninger. |
Relateret artikel: Hvad er GDPR? Sammenligning med personoplysningsloven og vigtige punkter for japanske virksomheder at være opmærksomme på[ja]
Relateret artikel: Vejledning til udarbejdelse af en GDPR-kompatibel privatlivspolitik[ja]
Hvad er UK GDPR?
UK GDPR (Japanese ~General Data Protection Regulation) er en regulering, der fastsætter krav til behandling af persondata og overførsel af disse data uden for Storbritannien, samt definerer de normer og forpligtelser, som de personer, der udfører behandlingen eller overførslen, skal overholde.
Data Protection Act 2018, som blev vedtaget i 2018, opdaterede og erstattede rammerne for Data Protection Act fra 1998 i Storbritannien. I lyset af Storbritanniens udmeldelse af EU blev denne lovgivning revideret til UK GDPR den 1. januar 2021 (Reiwa 3), baseret på reguleringer under Brexit-loven fra 2018.
UK GDPR finder anvendelse på behandling af persondata, der udføres i forbindelse med aktiviteterne hos dataansvarlige eller databehandlere baseret i Storbritannien. Desuden gælder UK GDPR også i visse tilfælde for behandling af persondata udført af dataansvarlige eller databehandlere, der ikke har etableret sig i Storbritannien.
Væsentlige punkter at forstå om UK GDPR
I dette afsnit vil vi forklare de to vigtige punkter, man skal være opmærksom på i forbindelse med UK GDPR:
- Overførsel af persondata
- Udnævnelse af agenter og repræsentanter
Overførsel af persondata
Ved overførsel af data mellem Japan og Storbritannien fortsætter Japan med at anvende den betegnelse, der blev etableret over for EU i henhold til artikel 24 i den japanske lov om beskyttelse af personoplysninger (som før ændringen ved lov om etablering af en digital samfundsstruktur, artikel 50, trådte i kraft den 1. april i Reiwa 4 (2022), og som nu er artikel 28), også efter Brexit.
Desuden er det muligt at overføre persondata mellem Storbritannien og EU på samme smidige måde som før, også i overgangsperioden.
Derfor er overførslen af persondata mellem Japan og Storbritannien sikret også efter Storbritanniens udtræden af EU.
Udnævnelse af agenter og repræsentanter
Britiske virksomheder, der ikke har filialer eller kontorer inden for EU, skal udnævne en EU-agent og sørge for at opdatere deres databeskyttelsesmeddelelser efter behov.
| Agent | Virksomheder uden for EU, der behandler persondata inden for EU, er forpligtet til at udnævne en agent inden for EU. Agenten har til opgave at koordinere med de relevante myndigheder i EU på vegne af virksomheden i forbindelse med behandlingen af persondata. |
| Repræsentant | Repræsentanter skal udnævnes af virksomheder baseret inden for EU, der behandler persondata inden for EU. Repræsentanten bærer ansvaret for virksomhedens behandling af persondata inden for EU. |
Agenten vil fungere som repræsentant i tilfælde af filialer eller kontorer.
Desuden kræver britisk lovgivning, at EU-virksomheder, der holder persondata, også skal have en repræsentant i Storbritannien.
Derfor skal virksomheder baseret i EU gennemgå og adskille deres optegnelser for at afgøre, om de behandlede oplysninger er underlagt UK GDPR-reglerne.
Hvilke japanske virksomheder er underlagt UK GDPR
Der er to tilfælde, hvor UK GDPR finder anvendelse:
- Når virksomheden har etableret en base og opererer inden for Storbritannien
- Når virksomheden ikke har en base i Storbritannien, men udvikler forretning rettet mod Storbritannien
I det andet tilfælde finder UK GDPR anvendelse i følgende situationer:
- Når en japansk virksomhed lancerer en e-handelsplatform rettet mod det globale marked, inklusive Europa
- Når der gennemføres marketingkampagner rettet mod det europæiske marked
- Når en japansk virksomhed genererer indtægter fra det europæiske marked
Specifikt gælder UK GDPR i følgende tilfælde:
- Når en japansk virksomhed distribuerer et spil-app til spillere i Storbritannien og indsamler spillernes navne og betalingshistorik
- Når en e-handelsplatform, der tillader betaling i pund og har engelsk tekst, og som nævner levering til Storbritannien, indsamler kundernes adresser, navne og kontoinformationer
- Når en japansk virksomhed håndterer navne og e-mailadresser for at sende nyhedsbreve til personer i Storbritannien
- Når en japansk virksomhed indsamler og analyserer lokaliseringsdata fra personer i Storbritannien via en app
- Når en japansk virksomhed indsamler cookieoplysninger fra en webside for at analysere personlige præferencer og levere adfærdsmålrettede reklamer
- Når en japansk virksomhed indsamler og håndterer sundhedsrelaterede oplysninger fra personer i Storbritannien via bærbare enheder (såsom smartwatches)
Nedenfor er en flowchart over anvendelsesområdet for UK GDPR.
Reference: “UK General Data Protection Regulation (UK GDPR) Practical Handbook”[ja] | Japan External Trade Organization (JETRO) London Office, Overseas Research Department
Tre risici ved overtrædelse af UK GDPR
I dette afsnit vil vi introducere tre risici forbundet med at overtræde UK GDPR.
- Risikoen for at blive pålagt sanktioner, herunder store bøder, fra ICO
- Risikoen for at modtage juridiske krav om erstatning fra dataemner og andre
- Risikoen for at miste forretningsmæssig troværdighed på grund af utilstrækkelig håndtering af persondata
ICO (Information Commissioner’s Office) er en uafhængig britisk institution etableret for at beskytte informationsrettigheder. Hvis det konstateres, at der er overtrådt reglerne i UK GDPR, kan der pålægges bøder fra ICO.
Bøderne kan være meget høje, og i 2019 blev det britiske flyselskab British Airways pålagt en sanktionsbøde på 183 millioner pund (svarende til 1,5% af British Airways’ globale omsætning for et år).
Ligeledes er Marriott International, som står bag kendte hoteller som Marriott og Ritz-Carlton, blevet pålagt en sanktionsbøde på 99 millioner pund.
Disse sanktioner offentliggøres, så ud over de store bøder kan der også opstå et fald i brandværdi. Det er yderst vanskeligt at forbedre et corporate brand, når det først har lidt skade. For at undgå at nedbringe brandstyrken er det derfor nødvendigt at være meget opmærksom på håndteringen af persondata.
Konklusion: Det er vigtigt at holde øje med ændringerne i UK GDPR
UK GDPR (Japanese ~United Kingdom General Data Protection Regulation) er en af de forholdsvis nye love, der blev revideret den 1. januar 2021 (2021), som følge af Storbritanniens udmeldelse af EU.
Desuden anvendes to forskellige love i Storbritannien: den indenlandske UK GDPR og EU GDPR, som gælder for de øvrige EU-lande.
Der foregår fortsat en omfattende revision af reguleringen omkring persondata. Derfor bør japanske virksomheder, der allerede er aktive i Storbritannien eller EU-landene, være opmærksomme på fremtidige ændringer i UK GDPR.
Overtrædelser af UK GDPR kan medføre høje bøder og ikke kun det, men også skade på virksomhedens brand. Det er derfor afgørende at revidere virksomhedens sikkerhedsforanstaltninger og holde sig ajour med ændringer i reglerne og træffe de nødvendige foranstaltninger.
Vejledning i foranstaltninger fra vores kontor
Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internet og jura. I de senere år er global forretning blevet stadig mere udbredt, og behovet for juridisk kontrol af eksperter er vokset tilsvarende. Vores firma tilbyder løsninger inden for international juridisk service.
Monolith Advokatfirmas ekspertiseområder: International juridisk service og udenlandske forretninger[ja]
Related Articles
Vigtige punkter at være opmærksom på ved åbning af en online butik, en forklaring på den japansk.
General Corporate
Forklaring af 'Quasi-offentlige personer' som ledere, læger, professorer osv. og deres ret til p.
General Corporate
Hvad er et internt kontrolsystem? Forpligtelser under Japansk selskabslov og finansielle instrum.
General Corporate
Udvidelse af anvendelsesområdet for droneflyvning på niveau 4: Forklaring af to systemer for cer.
General Corporate
Hvilke klausuler bør inkluderes i en kontrakt for systemvedligeholdelse? Forklaring af vigtige p.
General Corporate
Hvad er 'Den Japanske Lægemiddellov (tidligere Den Japanske Farmaceutiske Lov)'? Formål, reguler.
General Corporate
