Az Egyesült Királyság GDPR-je (UK GDPR) mi is valójában? – A GDPR-rel való kapcsolat és a figyelembe veendő kulcsfontosságú pontok magyarázata

Az Egyesült Királyság EU-ból való kilépésével összhangban 2021. január 1-jén lépett életbe az UK GDPR (brit általános adatvédelmi rendelet).

A GDPR az az EU-szabályozás, amely az egyéni adatok feldolgozását és átadását szabályozza, és az EU területén belüli ügyfeleknek szolgáltatásokat nyújtó japán vállalatoknak meg kell felelniük a GDPR előírásainak. Az UK GDPR a GDPR brit változata.

Ebben a cikkben részletesen ismertetjük a GDPR és az EU GDPR közötti kapcsolatot, valamint az EU GDPR-ról szóló részleteket. Ismerje meg azokat a kulcsfontosságú pontokat és jogi előírásokat, amelyeket figyelembe kell venni, amikor üzleti tevékenységet tervez kiterjeszteni Európába, beleértve az Egyesült Királyságot is.

Az Egyesült Királyság EU-ból való kilépésével bevezetett UK GDPR

Az Egyesült Királyság 2020. január 31-én hagyta el az EU-t (Európai Uniót), és ennek eredményeképpen az EU GDPR-jára alapozva bevezették a UK GDPR-t.

Az Egyesült Királyság az EU GDPR-je alapján “harmadik országnak” számít, és az EU fogyasztóinak szolgáltatást nyújtó brit vállalatoknak mind az Egyesült Királyság, mind az EU GDPR-ját be kell tartaniuk.

Kapcsolódó cikkek: Mi az a GDPR? Az adatvédelmi törvények összehasonlítása és a japán vállalatok számára fontos szempontok[ja]

Kapcsolódó cikkek: A GDPR-nak megfelelő adatvédelmi irányelvek készítésének kulcsfontosságú pontjai[ja]

Mi az UK GDPR?

Az UK GDPR (United Kingdom General Data Protection Regulation – Egyesült Királyság Általános Adatvédelmi Rendelete) olyan szabályozás, amely meghatározza az egyéni adatok feldolgozásának és az Egyesült Királyság területén kívülre történő átadásának követelményeit, valamint előírja azokat a normákat és kötelezettségeket, amelyeket a feldolgozást vagy átadást végző személyeknek be kell tartaniuk.

A 2018-ban elfogadott Adatvédelmi Törvény (Data Protection Act 2018) frissítette és meghatározta az Egyesült Királyságban 1998-ban elfogadott adatvédelmi törvény kereteit. Ezt követően, az Egyesült Királyság EU-ból való kilépésének figyelembevételével, az EU kilépési törvénye alapján hozott szabályozások révén 2021. január 1-jén (2021) módosították UK GDPR-re.

Az UK GDPR alkalmazandó az Egyesült Királyság területén található adatkezelőkre és adatfeldolgozókra, amikor azok az adatkezelési tevékenységeket végzik. Emellett az UK GDPR bizonyos esetekben alkalmazandó az Egyesült Királyság területén nem rendelkező adatkezelőkre és adatfeldolgozókra is, amennyiben ők személyes adatok feldolgozását végzik.

Az Egyesült Királyság GDPR-jének kulcspontjai

Ebben a fejezetben az Egyesült Királyság GDPR-jének a következő két kulcspontját tárgyaljuk.

• Személyes adatok átadása
• Képviselők és megbízottak kijelölése

Személyes adatok átadása

A Japán és az Egyesült Királyság közötti adatátvitel esetében Japán az EU-val szemben alkalmazott személyes adatvédelmi törvény 24. cikkét (a személyes adatvédelmi törvény 24. cikke a digitális társadalom kialakításáról szóló törvény 50. cikke által módosított, Reiwa 4 (2023) április 1-jén hatályba lépett változat előtti szöveg, jelenleg a 28. cikk) az Egyesült Királyság kilépése után is érvényben tartja.

Továbbá, az Egyesült Királyság és az EU közötti személyes adatok átadása az átmeneti időszak alatt is zavartalanul folytatható, mint korábban.

Ezért az Egyesült Királyság EU-ból való kilépése után is biztosított a zavartalan személyes adatok átadása Japán és az Egyesült Királyság között.

Képviselők és megbízottak kijelölése

Az Egyesült Királyságban működő vállalatoknak, amennyiben nem rendelkeznek fiókteleppel vagy irodával az EU területén, EU-s képviselőt kell kijelölniük, és az adatvédelmi tájékoztatót megfelelően frissíteniük kell.

A képviselő azon funkciót látja el, amit egyébként a fióktelep vagy iroda töltene be.

Emellett az Egyesült Királyság jogszabályai szerint az EU-ban személyes adatokat birtokló vállalatoknak Egyesült Királyságban is kell képviselőt kijelölniük.

Ezért az EU területén működő vállalatoknak felül kell vizsgálniuk adataikat annak érdekében, hogy eldönthessék, azok az Egyesült Királyság GDPR szabályozásának hatálya alá esnek-e, és szükség esetén elkülöníteniük kell azokat.

Azok a japán vállalatok, amelyekre az Egyesült Királyság GDPR-ja vonatkozik

Az Egyesült Királyság GDPR-jának alkalmazása a következő két esetben merül fel:

1. Amikor a vállalat az Egyesült Királyság területén alapít üzleti bázist és ott tevékenykedik
2. Amikor nincs bázisa az Egyesült Királyságban, de üzleti tevékenységet folytat az Egyesült Királyság felé

A második esetben az Egyesült Királyság GDPR-ja az alábbi helyzetekben alkalmazandó:

• Amikor egy Japán vállalat az Európai Uniót is beleértve globális piacokra szánt e-kereskedelmi oldalt indít
• Amikor marketingkampányt folytat az európai piacon
• Amikor egy Japán vállalat bevételeket realizál az európai piacról

Konkrétan az alábbi esetekben alkalmazandó az Egyesült Királyság GDPR-ja:

• Amikor egy Japán vállalat játékalkalmazást szállít az Egyesült Királyságban található játékosoknak, és gyűjti azok nevét és vásárlási előzményeit
• Amikor egy e-kereskedelmi oldal, amely lehetővé teszi a fontban történő fizetést, angol nyelvű leírással rendelkezik, és említést tesz az Egyesült Királyságba történő szállításról, gyűjti a vásárlók címét, nevét és bankszámla információit
• Amikor egy Japán vállalat neveket és e-mail címeket kezel azért, hogy hírlevelet küldjön az Egyesült Királyságban található személyeknek
• Amikor egy Japán vállalat helymeghatározási adatokat gyűjt és elemz egy alkalmazáson keresztül az Egyesült Királyságban található személyektől
• Amikor egy Japán vállalat weboldalról gyűjtött cookie információkat használ fel egyéni preferenciák elemzésére és célzott hirdetések kiszolgálására
• Amikor egy Japán vállalat egészségügyi információkat gyűjt és kezel az Egyesült Királyságban található személyektől, például okosórákon (mint a smartwatch) keresztül

Alább az Egyesült Királyság GDPR-jának alkalmazási körét bemutató folyamatábra található.

Hivatkozás: 「Az Egyesült Királyság Általános Adatvédelmi Szabályzata (UK GDPR)」 Gyakorlati Kézikönyv[ja] | Japán Külkereskedelmi Szervezet (JETRO) Londoni Iroda Külföldi Kutatási Osztály

A brit GDPR megsértésével járó három kockázat

Ebben a fejezetben bemutatjuk a brit GDPR (UK GDPR) megsértésével járó három kockázatot.

• Az ICO által kiszabott súlyos pénzbírságok és egyéb szankciók kockázata
• Az adattulajdonosok és más érintettek által indított kártérítési és egyéb jogi igények kockázata
• Az üzleti hitelesség elvesztésének kockázata, ha a személyes adatok védelmére vonatkozó intézkedések elégtelennek bizonyulnak

Az ICO (Information Commissioner’s Office) egy független brit intézmény, amely az információs jogok védelmére jött létre. Ha a brit GDPR szabályainak megsértése kerül napvilágra, az ICO pénzbírságot szabhat ki.

A pénzbírságok összege jelentős lehet, például 2019-ben a British Airways brit légitársaságra 183 millió font (a British Airways éves globális bevételeinek 1,5%-a) bírságot róttak ki.

Emellett a Marriott International, amely olyan neves hoteleket üzemeltet, mint a Marriott vagy a Ritz-Carlton, 99 millió fontos bírságot kapott.

Mivel ezek a döntések nyilvánosságra kerülnek, nem csak a magas bírságok jelentenek problémát, hanem a márkaérték csökkenése is előfordulhat. Egyszer csorbult vállalati márka hírnevét helyreállítani rendkívül nehéz. Ezért is fontos, hogy a személyes adatok kezelésére mindig nagy gondot fordítsunk.

Összefoglalás: Fontos figyelemmel kísérni az UK GDPR módosításainak trendjeit

Az UK GDPR (United Kingdom General Data Protection Regulation – Egyesült Királyság Általános Adatvédelmi Szabályzata) az egyik viszonylag új törvény, amely az Egyesült Királyság EU-ból való kilépését követően 2021. január 1-jén (Reiwa 3) került módosításra.

Ezenkívül az Egyesült Királyságban két különböző adatvédelmi törvény van érvényben: a helyi UK GDPR és az EU tagállamaira alkalmazandó EU GDPR.

Jelenleg is folyamatosan zajlanak a személyes adatokkal kapcsolatos szabályozások áttekintése és több szempontú felülvizsgálata. Ezért azoknak a japán vállalatoknak, amelyek már jelen vannak az Egyesült Királyságban vagy az EU tagállamaiban, ajánlott szorosan nyomon követniük az UK GDPR módosításainak jövőbeli trendjeit.

Ha egy vállalat megsérti az UK GDPR előírásait, nemcsak magas pénzbírságok kockázatával néz szembe, hanem a vállalati márka hírnevének csorbulásával is. Ezért létfontosságú, hogy a vállalatok felülvizsgálják biztonsági rendszereiket, tájékozódjanak a szabályozás változásairól és megfelelő intézkedéseket hozzanak.

Intézkedéseink bemutatása az Önök számára

A Monolith Jogügyi Iroda egy olyan jogi szolgáltató, amely gazdag tapasztalattal rendelkezik az IT területén, különösen az internet és a jogi kérdések terén. A globális üzleti tevékenységek az utóbbi években egyre inkább terjednek, és a szakértői jogi ellenőrzés szükségessége egyre növekszik. Irodánk nemzetközi jogi ügyekben nyújt megoldásokat.

A Monolith Jogügyi Iroda szakterületei: Nemzetközi jogi ügyek és külföldi vállalkozások[ja]