Τι είναι το UK GDPR; Εξηγώντας τη σχέση με το GDPR και τα κρίσιμα σημεία που πρέπει να γνωρίζετε

Συνεπεία της αποχώρησης του Ηνωμένου Βασιλείου από την ΕΕ, το UK GDPR (Βρετανικός Γενικός Κανονισμός για την Προστασία Δεδομένων) τέθηκε σε ισχύ στις 1ης Ιανουαρίου 2021.

Το GDPR είναι ένας κανονισμός της ΕΕ που διέπει την επεξεργασία και τη μεταφορά προσωπικών δεδομένων, και οι Ιαπωνικές εταιρείες που προσφέρουν υπηρεσίες σε πελάτες εντός της ΕΕ πρέπει να συμμορφώνονται με το GDPR. Το UK GDPR είναι η βρετανική έκδοση αυτού του κανονισμού.

Σε αυτό το άρθρο, θα αναλύσουμε λεπτομερώς τη σχέση μεταξύ του GDPR και του Ευρωπαϊκού GDPR, καθώς και το Ευρωπαϊκό GDPR. Θα καλύψουμε τα κρίσιμα σημεία που πρέπει να γνωρίζετε όταν αναπτύσσετε την επιχείρησή σας στην Ευρώπη, συμπεριλαμβανομένου του Ηνωμένου Βασιλείου, και τους νόμους που πρέπει να έχετε υπόψη για την προετοιμασία σας.

Η εφαρμογή του UK GDPR μετά την αποχώρηση της Βρετανίας από την ΕΕ

Η Βρετανία αποχώρησε από την ΕΕ (Ευρωπαϊκή Ένωση) στις 31 Ιανουαρίου 2020 και συνεπεία αυτού, εφαρμόστηκε το UK GDPR βάσει του GDPR της ΕΕ.

Κάτω από το GDPR της ΕΕ, η Βρετανία θεωρείται πλέον «τρίτη χώρα» και οι Βρετανικές εταιρείες που προσφέρουν υπηρεσίες σε καταναλωτές της ΕΕ πρέπει να συμμορφώνονται τόσο με το GDPR της ΕΕ όσο και με το UK GDPR.

Σχετικό άρθρο: Τι είναι το GDPR; Σύγκριση με τον νόμο προστασίας προσωπικών δεδομένων και τα σημεία που πρέπει να λάβουν υπόψη οι Ιαπωνικές εταιρείες

Σχετικό άρθρο: Εξηγήσεις για τη δημιουργία πολιτικής απορρήτου συμβατής με το GDPR[ja]

Τι είναι το UK GDPR

Το UK GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων του Ηνωμένου Βασιλείου) αποτελεί έναν κανονισμό που καθορίζει τις απαιτήσεις για την επεξεργασία προσωπικών δεδομένων και τη μεταφορά τους εκτός Ηνωμένου Βασιλείου, καθώς και τα πρότυπα και τις υποχρεώσεις που πρέπει να τηρούν όσοι διενεργούν τέτοιες επεξεργασίες ή μεταφορές.

Το νόμο περί Προστασίας Δεδομένων του 2018 (Data Protection Act 2018) ανανέωσε και ενημέρωσε το πλαίσιο του νόμου περί Προστασίας Δεδομένων που είχε θεσπιστεί το 1998 στην Αγγλία. Στη συνέχεια, λαμβάνοντας υπόψη την κατάσταση του Brexit, το 2018 ο κανονισμός αναθεωρήθηκε ως UK GDPR με βάση τη νομοθεσία του Brexit και τέθηκε σε ισχύ στις 1 Ιανουαρίου 2021.

Το UK GDPR εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων που διενεργείται στο πλαίσιο των δραστηριοτήτων ενός εγκατεστημένου υπεύθυνου ή επεξεργαστή στο Ηνωμένο Βασίλειο. Επιπλέον, το UK GDPR εφαρμόζεται επίσης σε ορισμένες περιπτώσεις στην επεξεργασία προσωπικών δεδομένων από υπεύθυνους ή επεξεργαστές που δεν διαθέτουν εγκατάσταση στο Ηνωμένο Βασίλειο.

Σημεία προσοχής στον UK GDPR

Σε αυτό το κεφάλαιο, θα αναλύσουμε τα παρακάτω δύο σημαντικά σημεία που πρέπει να γνωρίζετε σχετικά με τον UK GDPR.

• Μεταφορά προσωπικών δεδομένων
• Διορισμός αντιπροσώπου/εκπροσώπου

Μεταφορά προσωπικών δεδομένων

Όσον αφορά τη μεταφορά δεδομένων μεταξύ Ιαπωνίας και Ηνωμένου Βασιλείου, η Ιαπωνία συνεχίζει να εφαρμόζει την ορισμένη στο Άρθρο 24 του Ιαπωνικού Νόμου Προστασίας Προσωπικών Δεδομένων (το οποίο πριν την τροποποίηση από το Άρθρο 50 του Νόμου για την Εδραίωση της Ψηφιακής Κοινωνίας στις 1 Απριλίου 2021 (Reiwa 4 (2022)), ήταν το τρέχον Άρθρο 28) και μετά την αποχώρηση του Ηνωμένου Βασιλείου από την ΕΕ.

Επιπλέον, η μεταφορά προσωπικών δεδομένων μεταξύ Ηνωμένου Βασιλείου και ΕΕ μπορεί να συνεχιστεί ομαλά κατά την περίοδο μετάβασης, όπως και πριν.

Έτσι, ακόμη και μετά την αποχώρηση του Ηνωμένου Βασιλείου από την ΕΕ, η ομαλή μεταφορά προσωπικών δεδομένων μεταξύ Ιαπωνίας και Ηνωμένου Βασιλείου παραμένει εξασφαλισμένη.

Διορισμός αντιπροσώπου/εκπροσώπου

Οι Βρετανικές εταιρείες που δεν διαθέτουν καταστήματα ή γραφεία εντός της ΕΕ πρέπει να διορίσουν έναν ΕΕ αντιπρόσωπο και να ενημερώνουν τακτικά τις ειδοποιήσεις προστασίας δεδομένων.

Ο αντιπρόσωπος λειτουργεί ως εκπρόσωπος όταν υπάρχουν καταστήματα ή γραφεία.

Επιπλέον, η Βρετανική νομοθεσία απαιτεί από τις εταιρείες της ΕΕ που διατηρούν προσωπικά δεδομένα να έχουν εκπρόσωπο στο Ηνωμένο Βασίλειο.

Ως εκ τούτου, οι εταιρείες που βρίσκονται στην ΕΕ πρέπει να αναθεωρήσουν και να διαχωρίσουν τα αρχεία τους για να καθορίσουν εάν οι πληροφορίες που χειρίζονται υπόκεινται στους κανονισμούς του UK GDPR.

Ποιες Ιαπωνικές εταιρείες εφαρμόζουν τον UK GDPR

Υπάρχουν δύο περιπτώσεις όπου εφαρμόζεται ο UK GDPR:

1. Όταν μια εταιρεία έχει έδρα και δραστηριοποιείται εντός του Ηνωμένου Βασιλείου
2. Όταν μια εταιρεία δεν έχει έδρα στο Ηνωμένο Βασίλειο αλλά αναπτύσσει δραστηριότητες προς το Ηνωμένο Βασίλειο

Στη δεύτερη περίπτωση, ο UK GDPR εφαρμόζεται σε παραδείγματα όπως:

• Όταν ένας Ιαπωνικός επιχειρηματίας αναπτύσσει ένα ηλεκτρονικό κατάστημα (EC site) για την παγκόσμια αγορά, συμπεριλαμβανομένης της Ευρώπης
• Όταν διεξάγεται μια καμπάνια μάρκετινγκ για την Ευρωπαϊκή αγορά
• Όταν ένας Ιαπωνικός επιχειρηματίας αποκομίζει έσοδα από την Ευρωπαϊκή αγορά

Συγκεκριμένα, ο UK GDPR εφαρμόζεται σε περιπτώσεις όπως:

• Όταν ένας Ιαπωνικός επιχειρηματίας διανέμει παιχνίδια μέσω εφαρμογών σε παίκτες που βρίσκονται στο Ηνωμένο Βασίλειο και συλλέγει πληροφορίες όπως τα ονόματα και τα ιστορικά αγορών τους
• Όταν ένα ηλεκτρονικό κατάστημα προσφέρει πληρωμές σε λίρες, έχει αγγλική έκδοση και αναφέρεται σε αποστολές προς το Ηνωμένο Βασίλειο, συλλέγοντας πληροφορίες όπως διευθύνσεις, ονόματα και τραπεζικά στοιχεία πελατών
• Όταν ένας Ιαπωνικός επιχειρηματίας διαχειρίζεται ονόματα και διευθύνσεις email ατόμων που βρίσκονται στο Ηνωμένο Βασίλειο για την αποστολή ενημερωτικών δελτίων
• Όταν ένας Ιαπωνικός επιχειρηματίας λαμβάνει και αναλύει τοποθεσίες μέσω μιας εφαρμογής από άτομα που βρίσκονται στο Ηνωμένο Βασίλειο
• Όταν ένας Ιαπωνικός επιχειρηματίας συλλέγει πληροφορίες από cookies σε ιστοσελίδες για να αναλύσει τις προτιμήσεις ατόμων και να διανέμει διαφημίσεις βάσει της συμπεριφοράς τους
• Όταν ένας Ιαπωνικός επιχειρηματίας λαμβάνει και διαχειρίζεται πληροφορίες σχετικές με την υγεία ατόμων που βρίσκονται στο Ηνωμένο Βασίλειο μέσω φορετών συσκευών (όπως smartwatches)

Παρακάτω βρίσκεται το διάγραμμα ροής που αφορά το εύρος εφαρμογής του UK GDPR.

Πηγή: Εγχειρίδιο Πρακτικής Εφαρμογής του UK GDPR | Ιαπωνική Οργάνωση Προώθησης Εμπορίου (JETRO) Λονδίνο, Τμήμα Εξωτερικής Έρευνας

Τρία Ρίσκα από Παραβίαση του UK GDPR

Σε αυτό το κεφάλαιο, θα παρουσιάσουμε τρία ρίσκα που προκύπτουν από την παραβίαση του UK GDPR.

• Το ρίσκο να επιβληθούν από το ICO ποινές που περιλαμβάνουν υψηλά πρόστιμα
• Το ρίσκο να δεχθείτε νομικές αξιώσεις για αποζημίωση από τους υποκείμενους δεδομένων και άλλους
• Το ρίσκο να χάσετε την επιχειρηματική σας φήμη λόγω ανεπαρκούς προστασίας προσωπικών δεδομένων

Το ICO (Information Commissioner’s Office) είναι ένας ανεξάρτητος οργανισμός στο Ηνωμένο Βασίλειο που ιδρύθηκε για την προστασία των δικαιωμάτων πληροφοριών. Σε περίπτωση που ανακαλυφθεί παραβίαση των κανόνων του UK GDPR, είναι πιθανό να επιβληθούν πρόστιμα από το ICO.

Τα πρόστιμα μπορεί να είναι πολύ υψηλά, και το 2019, η Βρετανική αεροπορική εταιρεία British Airways υποχρεώθηκε να πληρώσει πρόστιμο 183 εκατομμυρίων λιρών (το 1.5% των παγκόσμιων εσόδων της για ένα έτος).

Επίσης, στην Marriott International, που διαχειρίζεται γνωστά ξενοδοχεία όπως το Marriott και το Ritz-Carlton, επιβλήθηκε πρόστιμο 99 εκατομμυρίων λιρών.

Επειδή αυτές οι κυρώσεις δημοσιεύονται, οι επιχειρήσεις αντιμετωπίζουν όχι μόνο το κόστος των υψηλών προστίμων αλλά και τον κίνδυνο μείωσης της αξίας του επωνύμου τους. Μια φορά που η φήμη μιας εταιρείας υποβαθμιστεί, είναι πολύ δύσκολο να ανακτηθεί. Για να αποφύγετε την υποβάθμιση της επωνυμίας σας, είναι απαραίτητο να δίνετε ιδιαίτερη προσοχή στη διαχείριση των προσωπικών δεδομένων.

Συνοπτικά: Απαιτείται προσοχή στις τάσεις τροποποίησης του UK GDPR

Το UK GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων του Ηνωμένου Βασιλείου) είναι ένας σχετικά νέος νόμος που τροποποιήθηκε στις 1 Ιανουαρίου 2021 (Reiwa 3), μετά την αποχώρηση της Βρετανίας από την ΕΕ.

Επιπλέον, στη Βρετανία εφαρμόζονται δύο νόμοι: το UK GDPR, που αφορά την εσωτερική αγορά της Βρετανίας, και το EU GDPR, που εφαρμόζεται στις χώρες της ΕΕ.

Ακόμη και τώρα, συνεχίζεται η πολυδιάστατη αναθεώρηση των κανονισμών που αφορούν τα προσωπικά δεδομένα. Ως εκ τούτου, οι Ιαπωνικές εταιρείες που έχουν ήδη εισέλθει στις αγορές της Βρετανίας και της ΕΕ θα πρέπει να παρακολουθούν στενά τις μελλοντικές τάσεις τροποποίησης του UK GDPR.

Η παράβαση του UK GDPR μπορεί να οδηγήσει όχι μόνο σε επιβολή υψηλών προστίμων αλλά και στην υποβάθμιση της εταιρικής φήμης. Είναι σημαντικό να αναθεωρήσετε το σύστημα ασφαλείας της εταιρείας σας και να προβείτε σε αλλαγές και μέτρα σχετικά με τους κανονισμούς.

Οδηγίες για τα Μέτρα από το Δικηγορικό μας Γραφείο

Το Δικηγορικό Γραφείο Monolith είναι ένα γραφείο με πλούσια εμπειρία στον τομέα της πληροφορικής, και ειδικότερα στο διαδίκτυο και το δίκαιο. Στον σύγχρονο κόσμο, όπου οι παγκόσμιες επιχειρήσεις αναπτύσσονται με αυξανόμενο ρυθμό, η ανάγκη για ειδικευμένο νομικό έλεγχο από επαγγελματίες γίνεται όλο και πιο επιτακτική. Το γραφείο μας προσφέρει λύσεις σχετικά με διεθνείς νομικές υποθέσεις.

Τομείς εξειδίκευσης του Δικηγορικού Γραφείου Monolith: Διεθνές Δίκαιο & Εξωτερικές Επιχειρήσεις[ja]