UK GDPR – mis see on? Selgitame GDPR-i suhet ja punkte, mida tuleks meeles pidada

Seoses Ühendkuningriigi lahkumisega Euroopa Liidust jõustus 2021. aasta 1. jaanuaril UK GDPR (Ühendkuningriigi üldine andmekaitsemäärus).

GDPR on EL-i määrus, mis reguleerib isikuandmete töötlemist ja ülekandmist, ning Jaapani ettevõtted, kes pakuvad teenuseid EL-i klientidele, peavad GDPR-i nõuetega vastavuses olema. UK GDPR on selle EL-i GDPR-i Ühendkuningriigi versioon.

Käesolevas artiklis selgitame lähemalt GDPR-i ja EL-i GDPR-i vahelist suhet ning anname üksikasjalikku teavet EL-i GDPR-i kohta. Tutvuge oluliste punktidega ja olge teadlikud seadustest, mida tuleks arvesse võtta, kui plaanite laieneda Ühendkuningriiki või muudesse Euroopa riikidesse.

UK GDPR, mis kehtestati seoses Ühendkuningriigi lahkumisega EL-ist

Ühendkuningriik lahkus Euroopa Liidust (EL) 2020. aasta 31. jaanuaril ja sellega seoses võeti kasutusele UK GDPR, mis põhineb EL-i GDPR-il.

EL-i GDPR-i alusel muutus Ühendkuningriik “kolmandaks riigiks” ja Ühendkuningriigi ettevõtted, mis pakuvad teenuseid EL-i tarbijatele, peavad järgima nii Ühendkuningriigi kui ka EL-i GDPR-i nõudeid.

Seotud artikkel: Mis on GDPR? Isikuandmete kaitse seaduse võrdlus ja punktid, mida Jaapani ettevõtted peaksid teadma[ja]

Seotud artikkel: Kuidas koostada GDPR-ile vastavat privaatsuspoliitikat[ja]

Mis on UK GDPR?

UK GDPR (Japanese ~United Kingdom General Data Protection Regulation) on reeglistik, mis sätestab nõuded isikuandmete töötlemiseks ja nende ülekandmiseks väljapoole Ühendkuningriiki ning määratleb normid ja kohustused, mida isikuandmete töötlemise või ülekandmisega tegelevad isikud peavad järgima.

2018. aastal vastu võetud andmekaitse seadus 2 (Japanese ~Data Protection Act 2018) uuendas ja sätestas Ühendkuningriigi 1998. aastal vastu võetud andmekaitse seaduse raamistiku. Arvestades Ühendkuningriigi lahkumist Euroopa Liidust, muudeti seda seadust 2018. aasta ELi lahkumisseaduse alusel ning 2021. aasta 1. jaanuaril (Reiwa 3) jõustus see UK GDPR-i nime all.

UK GDPR kohaldub isikuandmete töötlemisele, mis toimub Ühendkuningriigi territooriumil asuvate vastutavate töötlejate või töötlejate tegevuse käigus. Lisaks rakendub UK GDPR teatud juhtudel ka isikuandmete töötlemisele, mida viivad läbi vastutavad töötlejad või töötlejad, kellel puudub Ühendkuningriigis tegevuskoht.

UK GDPR-i olulised punktid

Käesolevas peatükis käsitleme kahte järgmist UK GDPR-i olulist punkti:

• Isikuandmete ülekanne
• Volitatud esindaja määramine

Isikuandmete ülekanne

Andmeülekannete osas Jaapani ja Ühendkuningriigi vahel jätkab Jaapan Ühendkuningriigi suhtes isikuandmete kaitse seaduse (Japanese Personal Information Protection Act) artikli 24 alusel tehtud määramist, mis oli enne muudatust, mis jõustus Reiwa 4. aastal (2022) 1. aprillil digitaalse ühiskonna arendamise seaduse (Japanese Act on the Development of a Digital Society) artikli 50 kohaselt, praegu on see artikkel 28.

Lisaks on Ühendkuningriigi ja Euroopa Liidu vaheliste isikuandmete ülekannete osas üleminekuperioodil võimalik jätkata andmete sujuvat ülekannet nagu varem.

Seega on isikuandmete sujuv ülekanne Jaapani ja Ühendkuningriigi vahel tagatud ka pärast Ühendkuningriigi lahkumist EL-ist.

Volitatud esindaja määramine

Ühendkuningriigi ettevõtted, kellel ei ole EL-i territooriumil filiaale ega kontoreid, peavad määrama EL-i volitatud esindaja ja vajadusel uuendama andmekaitseteateid.

Volitatud esindaja funktsioneerib filiaali või kontori esindajana.

Lisaks nõuab Ühendkuningriigi seadusandlus, et EL-is isikuandmeid omavad ettevõtted määraksid Ühendkuningriigis esindaja.

Seetõttu peavad EL-i territooriumil asuvad ettevõtted läbi viima oma dokumentatsiooni ülevaatuse ja eraldamise, et määrata, kas käideldav teave kuulub UK GDPR-i regulatsioonide alla.

Millised Jaapani ettevõtted peavad järgima UK GDPR-i?

UK GDPR-i kohaldatakse kahe järgmise olukorra puhul:

1. Kui ettevõte on loonud Ühendkuningriigis asukoha ja tegutseb seal
2. Kui ettevõttel ei ole Ühendkuningriigis asukohta, kuid ta arendab äritegevust Ühendkuningriigi suunal

Teisel juhul kohaldatakse UK GDPR-i järgmistes olukordades:

• Kui Jaapani ettevõte arendab e-kaubanduse saiti Euroopa, sealhulgas globaalsele turule
• Kui turunduskampaaniaid viiakse läbi Euroopa turul
• Kui Jaapani ettevõte teenib tulu Euroopa turult

Konkreetselt hõlmavad need olukorrad järgmist:

• Kui Jaapani ettevõte levitab mänguäppe Ühendkuningriigi mängijatele ja kogub nende nimede ning maksete ajalugu
• Kui e-kaubanduse sait võimaldab makseid naelsterlingites, on ingliskeelne ja viitab Ühendkuningriigi suunalisele saatmisele ning kogub klientide aadresse, nimesid ja kontoinfot
• Kui Jaapani ettevõte haldab Ühendkuningriigis asuvate isikute nimesid ja e-posti aadresse, et saata neile uudiskirju
• Kui Jaapani ettevõte kogub ja analüüsib rakenduse kaudu Ühendkuningriigis asuvate isikute asukohaandmeid
• Kui Jaapani ettevõte kogub veebisaidilt küpsiseinfot, et analüüsida isikute eelistusi ja edastada neile käitumispõhist sihtreklaami
• Kui Jaapani ettevõte kogub ja haldab Ühendkuningriigis asuvate isikute tervisealast infot läbi kantavate seadmete (näiteks nutikellade)

Allpool on UK GDPR-i kohaldamisala vooskeem.

Viide: “Ühendkuningriigi üldine andmekaitsemäärus (UK GDPR)” praktiline käsiraamat[ja] | Jaapani Väliskaubanduse Organisatsioon (JETRO) Londoni büroo välisuuringute osakond

UK GDPR-i rikkumisega kaasnevad kolm riski

Käesolevas peatükis tutvustame kolme riski, mis kaasnevad UK GDPR-i rikkumisega.

• ICO poolt määratavate suurte trahvide ja muude sanktsioonide risk
• Andmesubjektide või teiste isikute poolt esitatavate kahjunõuete ja muude õiguslike nõuete risk
• Isikuandmete kaitse puudulikuks pidamisest tulenev äris maine kaotamise risk

ICO (Information Commissioner’s Office) on sõltumatu asutus, mis on loodud Ühendkuningriigis infoõiguste kaitsmiseks. Kui tuvastatakse UK GDPR-i reeglite rikkumine, võib ICO määrata trahve.

Trahvid võivad olla väga suured. Näiteks 2019. aastal määrati Briti lennufirmale British Airways 183 miljoni naela suurune trahv (mis moodustas 1,5% British Airways’i aastasest globaalsest tulust).

Samuti on tuntud hotellikette nagu Marriott ja Ritz-Carlton opereerivale Marriott Internationalile määratud 99 miljoni naela suurune trahv.

Kuna sellised otsused avalikustatakse, ei kaasne suurte trahvidega mitte ainult finantsiline koormus, vaid võib tekkida ka brändi väärtuse langus. Kord langenud ettevõtte mainet on väga raske taastada. Seetõttu on isikuandmete käitlemisel äärmiselt oluline olla ettevaatlik, et mitte kahjustada brändi tugevust.

Kokkuvõte: UK GDPR-i muudatuste suundumuste jälgimine on hädavajalik

UK GDPR (Ühendkuningriigi üldine andmekaitsemäärus) on üks suhteliselt uutest seadustest, mis muudeti Ühendkuningriigi Euroopa Liidust lahkumise tõttu 2021. aasta 1. jaanuaril (2021).

Lisaks on Ühendkuningriigis kohaldatavad kaks andmekaitse seadust: kohalikele ettevõtetele suunatud UK GDPR ja Euroopa Liidu liikmesriikides kohaldatav EU GDPR.

Praegu toimub jätkuvalt mitmekülgne isikuandmete kaitse reguleerimise ülevaatamine. Seetõttu peaksid ka Ühendkuningriigi ja Euroopa Liidu riikides juba tegutsevad Jaapani ettevõtted UK GDPR-i tulevaste muudatuste suundumusi hoolikalt jälgima.

UK GDPR-i rikkumine võib kaasa tuua mitte ainult suured trahvid, vaid võib samuti kahjustada ettevõtte mainet. Seepärast on oluline oma turvameetmete üle vaatamine, reeglite muutmine ja asjakohaste meetmete rakendamine.

Meie büroo poolt pakutavad meetmed

Monolith õigusbüroo on IT, eriti interneti ja õiguse valdkonnas rikkaliku kogemusega õigusbüroo. Viimastel aastatel on globaalne äritegevus üha laienenud ja professionaalse õigusliku kontrolli vajadus on suurenenud. Meie büroo pakub rahvusvahelise õigusteenuse lahendusi.

Monolith õigusbüroo tegevusvaldkonnad: Rahvusvaheline õigusteenus ja välisäri[ja]