Mikä on UK GDPR? Selitys GDPR:n suhteesta ja huomioon otettavista keskeisistä seikoista
Ison-Britannian EU-eron myötä UK GDPR (United Kingdom General Data Protection Regulation, Britannian yleinen tietosuoja-asetus) astui voimaan 1. tammikuuta 2021.
GDPR on EU:n säännöstö, joka koskee henkilötietojen käsittelyä ja siirtoa, ja EU:n alueella asiakkaita palvelevien japanilaisten yritysten on huomioitava GDPR:n vaatimukset. UK GDPR on tämän GDPR:n brittiläinen versio.
Tässä artikkelissa käsittelemme GDPR:n ja EU:n GDPR:n välistä suhdetta sekä annamme yksityiskohtaista tietoa EU:n GDPR:stä. Kun suunnittelet liiketoiminnan laajentamista Eurooppaan, mukaan lukien Iso-Britannia, on tärkeää ymmärtää keskeiset seikat ja tietää, mitä lakeja on syytä noudattaa.
UK GDPR:n käyttöönotto seurauksena Iso-Britannian EU-erosta
Iso-Britannia erosi EU:sta (Euroopan unionista) 31. tammikuuta 2020 (2020年1月31日), ja sen seurauksena otettiin käyttöön UK GDPR, joka perustuu EU:n GDPR:ään.
Iso-Britannia luokitellaan EU:n GDPR:n alaisuudessa “kolmanneksi maaksi”, ja Iso-Britannian yritysten, jotka tarjoavat palveluita EU:n kuluttajille, on noudatettava sekä Iso-Britannian että EU:n GDPR:n vaatimuksia.
| GDPR (EU:n yleinen tietosuoja-asetus) | Vuonna 2018 käyttöön otettu laki. Kun tarjotaan tavaroita tai palveluita EU:n alueella oleville ihmisille tai heidän toimintaansa valvotaan, on toteutettava tietosuojatoimenpiteitä. |
| UK GDPR (Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus) | EU:sta eroamisen seurauksena vuonna 2020 käyttöön otettu laki. Tietosuojatoimenpiteitä on toteutettava, kun Yhdistyneessä kuningaskunnassa perustetut yritykset tai organisaatiot tarjoavat palveluita maan sisällä oleville käyttäjille. |
Liittyvä artikkeli: Mikä on GDPR? Vertailu henkilötietolain kanssa ja Japanin yritysten huomioitavat seikat[ja]
Liittyvä artikkeli: Ohjeita GDPR-yhteensopivan tietosuojakäytännön laatimiseen[ja]
Mikä on UK GDPR?
UK GDPR (United Kingdom General Data Protection Regulation) on säännöstö, joka määrittelee vaatimukset henkilötietojen käsittelylle ja siirrolle Britannian ulkopuolelle sekä asettaa normit ja velvoitteet niille, jotka suorittavat tällaista käsittelyä tai siirtoa.
Data Protection Act 2018 (Tietosuojalaki 2018), joka säädettiin vuonna 2018, päivitti ja vahvisti Britannian vuonna 1998 säädetyt tietosuojalain puitteet. Ottaen huomioon Britannian EU-eron tilanteen, laki muutettiin UK GDPR:ksi vuoden 2018 EU-eron lakia noudattaen, ja se astui voimaan 1. tammikuuta 2021.
UK GDPR sovelletaan henkilötietojen käsittelyyn, joka tapahtuu Britannian sisällä toimivien rekisterinpitäjien tai käsittelijöiden toimipaikkojen toiminnan yhteydessä. Lisäksi UK GDPR sovelletaan tietyissä tapauksissa myös niihin rekisterinpitäjiin ja käsittelijöihin, joilla ei ole toimipaikkaa Britanniassa, mutta jotka käsittelevät henkilötietoja.
UK GDPR:ssä huomioitavat keskeiset seikat
Tässä luvussa käsittelemme kahta UK GDPR:ssä huomioitavaa keskeistä seikkaa:
- Henkilötietojen siirto
- Asiamiehen tai edustajan nimittäminen
Henkilötietojen siirto
Japanin ja Yhdistyneen kuningaskunnan välisessä tietojen siirrossa Japani jatkaa Yhdistyneelle kuningaskunnalle samaa henkilötietojen suojaa koskevaa määräystä, joka on annettu EU:lle Japanin henkilötietojen suojalain (joka oli ennen Digital Society Formation Act (Reiwa 4 (2022) huhtikuun 1. päivänä voimaan tullutta muutosta artikla 24, nyt artikla 28) artikla 24:n perusteella.
Lisäksi Yhdistyneen kuningaskunnan ja EU:n välillä henkilötietojen siirto on mahdollista sujuvasti siirtymäkauden aikana kuten ennenkin.
Näin ollen henkilötietojen sujuva siirto Japanin ja Yhdistyneen kuningaskunnan välillä on turvattu myös Yhdistyneen kuningaskunnan EU-eron jälkeen.
Asiamiehen tai edustajan nimittäminen
Yhdistyneen kuningaskunnan yritysten, joilla ei ole sivuliikettä tai toimistoa EU:n alueella, on nimettävä EU-asiamies ja päivitettävä tietosuojailmoituksensa tarpeen mukaan.
| Asiamies | Yritysten, joilla ei ole toimipaikkaa EU:n alueella mutta jotka käsittelevät henkilötietoja EU:ssa, on pakollista nimittää asiamies EU:n alueelle. Asiamies toimii yrityksen edustajana ja koordinoi henkilötietojen käsittelyä koskevia asioita EU:n viranomaisten kanssa. |
| Edustaja | Edustajan on pakollista nimittää yrityksille, joilla on toimipaikka EU:n alueella ja jotka käsittelevät henkilötietoja EU:ssa. Edustaja kantaa vastuun yrityksen henkilötietojen käsittelystä EU:n alueella. |
Asiamies toimii sivuliikkeen tai toimiston puolesta edustajana.
Lisäksi Yhdistyneen kuningaskunnan lainsäädännön mukaan EU:ssa henkilötietoja hallussaan pitävien yritysten on asetettava edustaja myös Yhdistyneeseen kuningaskuntaan.
Tämän vuoksi EU:ssa toimivien yritysten on tarkistettava ja eroteltava kirjanpitonsa, jotta voidaan arvioida, kuuluvatko käsiteltävät tiedot UK GDPR:n piiriin.
UK GDPR:n soveltuvuus japanilaisiin yrityksiin
UK GDPR sovelletaan seuraavissa kahdessa tapauksessa:
- Kun yritys toimii ja sillä on toimipaikka Iso-Britanniassa
- Kun yrityksellä ei ole toimipaikkaa Iso-Britanniassa, mutta se harjoittaa liiketoimintaa Iso-Britanniaan suuntautuen
Toisessa tapauksessa UK GDPR sovelletaan esimerkiksi seuraavissa tilanteissa:
- Kun japanilainen yritys laajentaa sähköisen kaupankäynnin sivustoaan globaaleille markkinoille, mukaan lukien Eurooppa
- Kun markkinointikampanjoita suunnataan Euroopan markkinoille
- Kun japanilainen yritys tuottaa tuloja Euroopan markkinoilta
Seuraavat ovat konkreettisia esimerkkejä:
- Kun japanilainen yritys jakaa pelisovelluksia Iso-Britanniassa sijaitseville pelaajille ja kerää heidän nimiään sekä maksuhistoriaansa
- Kun asiakkaan osoite-, nimi- ja pankkitiedot kerätään verkkokaupassa, joka mahdollistaa maksun punnissa, on englanninkielinen ja mainitsee toimitukset Iso-Britanniaan
- Kun japanilainen yritys hallinnoi Iso-Britanniassa sijaitsevien henkilöiden nimiä ja sähköpostiosoitteita lähettääkseen heille uutiskirjeitä
- Kun japanilainen yritys kerää ja analysoi sovelluksen kautta Iso-Britanniassa sijaitsevien henkilöiden sijaintitietoja
- Kun japanilainen yritys kerää verkkosivuston kautta evästetietoja ja analysoi henkilöiden mieltymyksiä toimittaakseen kohdennettua mainontaa
- Kun japanilainen yritys kerää ja hallinnoi Iso-Britanniassa sijaitsevien henkilöiden terveystietoja käyttäen hyväksi kannettavia laitteita (kuten älykelloja)
Alla on UK GDPR:n soveltamisalan virtauskaavio.
Viite: 「Japanilainen UK:n yleisen tietosuoja-asetuksen (UK GDPR) käsikirja」[ja]|Japanin ulkomaankaupan edistämislaitos (JETRO) Lontoon toimiston ulkomaantutkimusosasto
Kolme riskiä, jos rikot UK GDPR:ää
Tässä luvussa esittelemme kolme riskiä, jotka liittyvät UK GDPR:n rikkomiseen.
- ICO:n määräämät suuret sakot ja muut seuraamukset
- Oikeudelliset vaatimukset, kuten vahingonkorvausvaatimukset, jotka tulevat tietosubjekteilta ja muilta
- Riski menettää liiketoiminnan luottamus, jos henkilötietojen suojelussa ei ole riittävästi huolehdittu
ICO (Information Commissioner’s Office) on itsenäinen brittiläinen viranomainen, joka on perustettu suojelemaan informaation oikeuksia. Jos UK GDPR:n rikkomus havaitaan, ICO voi määrätä sakkoja.
Sakot voivat olla suuria. Esimerkiksi vuonna 2019 brittiläiselle lentoyhtiölle British Airwaysille määrättiin 183 miljoonan punnan sakko, mikä vastasi 1,5 % yhtiön globaalista vuositulosta.
Myös tunnettuja hotelleja, kuten Marriott ja Ritz-Carlton, hallinnoiva Marriott International on saanut 99 miljoonan punnan sakot.
Koska nämä toimenpiteet julkaistaan, suuret sakot eivät ole ainoa huoli, vaan myös brändiarvon mahdollinen lasku on otettava huomioon. Kerran heikentynyt yritysbrändi on erittäin vaikea palauttaa entiselleen. Henkilötietojen käsittelyssä on siis oltava erityisen varovainen, jotta brändin arvoa ei vaaranneta.
Yhteenveto: UK GDPR:n muutosten seuraaminen on tärkeää
UK GDPR (Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus) on yksi suhteellisen uusista laeista, joka muutettiin Yhdistyneen kuningaskunnan EU-eron myötä 1. tammikuuta 2021.
Lisäksi Yhdistyneessä kuningaskunnassa sovelletaan kahta lakia: tässä artikkelissa esiteltyä UK GDPR:ää, joka on suunnattu Yhdistyneen kuningaskunnan sisämarkkinoille, ja EU:n jäsenvaltioissa sovellettavaa EU-GDPR:ää.
Henkilötietojen suojaa koskevien säännösten tarkistaminen on edelleen käynnissä monelta kantilta. Siksi myös niiden japanilaisten yritysten, jotka ovat jo tulleet Yhdistyneen kuningaskunnan tai EU:n markkinoille, tulisi pitää silmällä tulevia UK GDPR:n muutoksia.
UK GDPR:n rikkomisesta voi seurata paitsi suuria sakkoja, myös yrityksen maineen menetys. On tärkeää tarkistaa oman yrityksen turvallisuusjärjestelmät ja valmistautua sääntöjen muutoksiin ja niiden vaatimiin toimenpiteisiin.
Toimenpiteemme esittely
Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten palveluiden, rikkaan kokemuksen omaava lakitoimisto. Viime vuosina globaali liiketoiminta on laajentunut entisestään, ja asiantuntijoiden suorittaman oikeudellisen tarkastuksen tarve on kasvanut merkittävästi. Tarjoamme ratkaisuja kansainvälisiin oikeudellisiin asioihin.
Monolith Lakitoimiston palvelualueet: Kansainväliset oikeudelliset palvelut ja ulkomaantoiminta[ja]
Related Articles
Mistä varoa sijoitustiedon lähettämisessä? Selitämme rahoitusvälineiden kaupankäynnin lain (Japa.
General Corporate
Dronejen tason 4 lennon hyödyntämisen laajentaminen: Koneen sertifioinnin ja taitotodistuksen ka.
General Corporate
Selitämme yksityiskohtaisesti, miksi 'kompu gacha' on laitonta ja sen suhde Japanin 'palkintojen.
General Corporate
Kuinka tekijänoikeudet suojataan ulkomailla? Kansainväliset kaksi sopimusta selitettynä
General Corporate
Mitkä ovat yrityksen perustamisen vaiheet Singaporessa? Selitämme myös edut ja kustannukset
General Corporate
