Wat is de UK GDPR? Een uitleg over de relatie met de GDPR en de belangrijkste punten om in de gaten te houden

Als gevolg van de Brexit is op 1 januari 2021 (2021年1月1日) de UK GDPR (Japanese ~英国一般データ保護規制) in werking getreden.

De GDPR is een regelgeving van de EU die de verwerking en overdracht van persoonsgegevens reguleert, en Japanse bedrijven die diensten aanbieden aan klanten binnen de EU moeten voldoen aan de GDPR. De UK GDPR is de Britse versie van deze regelgeving.

In dit artikel gaan we dieper in op de relatie tussen de GDPR en de EU GDPR, en geven we een gedetailleerde uitleg over de EU GDPR. We zullen de belangrijkste punten bespreken die u moet weten wanneer u uw bedrijf uitbreidt naar Europa, inclusief het Verenigd Koninkrijk, en de wetgeving waarop u zich moet voorbereiden.

De invoering van de UK GDPR na de Brexit van het Verenigd Koninkrijk

Het Verenigd Koninkrijk heeft zich op 31 januari 2020 (Reiwa 2) teruggetrokken uit de EU (Europese Unie), en als gevolg daarvan is de UK GDPR, gebaseerd op de EU GDPR, ingevoerd.

Als ‘derde land’ onder de EU GDPR, moeten Britse bedrijven die diensten aan EU-consumenten leveren, zowel de Britse als de EU GDPR naleven.

Gerelateerd artikel: Wat is GDPR? Vergelijking met de Japanse wet op de bescherming van persoonsgegevens en punten waar Japanse bedrijven zich bewust van moeten zijn[ja]

Gerelateerd artikel: Uitleg over de belangrijkste punten bij het opstellen van een GDPR-conforme privacyverklaring[ja]

Wat is de UK GDPR?

De UK GDPR (General Data Protection Regulation van het Verenigd Koninkrijk) is een regelgeving die de vereisten voor de verwerking van persoonsgegevens en de overdracht ervan naar buiten het Verenigd Koninkrijk vaststelt, en de normen en verplichtingen bepaalt waaraan de verwerkers of overdragers zich moeten houden.

De Data Protection Act 2018, die in 2018 werd ingevoerd, heeft het kader van de Data Protection Act uit 1998 geactualiseerd en vastgesteld in het Verenigd Koninkrijk. In het licht van de Brexit-situatie is deze wet vervolgens aangepast op basis van de EU Withdrawal Act van 2018, en op 1 januari 2021 (2021) werd het de UK GDPR.

De UK GDPR is van toepassing op de ‘verwerking van persoonsgegevens’ die plaatsvindt in het kader van de activiteiten van beheerders of verwerkers gevestigd in het Verenigd Koninkrijk. Bovendien is de UK GDPR in bepaalde gevallen ook van toepassing op de verwerking van persoonsgegevens door beheerders of verwerkers die geen vestiging hebben in het Verenigd Koninkrijk.

Belangrijke punten om te onthouden over de UK GDPR

In dit hoofdstuk bespreken we de volgende twee belangrijke punten met betrekking tot de UK GDPR.

• Overdracht van persoonsgegevens
• Aanstelling van een vertegenwoordiger of agent

Overdracht van persoonsgegevens

Bij de overdracht van gegevens tussen Japan en het Verenigd Koninkrijk blijft Japan de aanwijzingen volgens Artikel 24 van de Japanse Wet Bescherming Persoonsgegevens (dit artikel was voor de wijziging door Artikel 50 van de Wet op de Vorming van een Digitale Maatschappij, die in werking trad op 1 april van het jaar Reiwa 4 (2022), en is nu Artikel 28) ook na de Brexit toepassen op het Verenigd Koninkrijk.

Daarnaast is tijdens de overgangsperiode de overdracht van persoonsgegevens tussen het Verenigd Koninkrijk en de EU net zo soepel mogelijk als voorheen.

Dus ook na de Brexit blijft de soepele overdracht van persoonsgegevens tussen Japan en het Verenigd Koninkrijk gewaarborgd.

Aanstelling van een vertegenwoordiger of agent

Britse bedrijven die geen filialen of kantoren binnen de EU hebben, moeten een EU-agent aanstellen en hun gegevensbeschermingsmeldingen regelmatig bijwerken.

De agent zal functioneren als een vertegenwoordiger in de vorm van een filiaal of kantoor.

Daarnaast vereist de Britse wetgeving dat EU-bedrijven die persoonsgegevens bezitten een vertegenwoordiger in het Verenigd Koninkrijk aanstellen.

Daarom moeten bedrijven die gevestigd zijn in de EU, die omgaan met informatie die onder de UK GDPR-regels valt, hun administratie herzien en scheiden om te bepalen of deze van toepassing is.

Welke Japanse bedrijven vallen onder de UK GDPR?

Er zijn twee gevallen waarin de UK GDPR van toepassing is op Japanse bedrijven:

1. Wanneer zij een vestiging hebben en actief zijn in het Verenigd Koninkrijk.
2. Wanneer zij geen vestiging in het Verenigd Koninkrijk hebben, maar wel zaken doen gericht op het Verenigd Koninkrijk.

In het tweede geval is de UK GDPR van toepassing in situaties zoals:

• Wanneer een Japanse onderneming een e-commerce website exploiteert gericht op de globale markt, inclusief Europa.
• Wanneer marketingcampagnes gericht zijn op de Europese markt.
• Wanneer een Japanse onderneming inkomsten genereert uit de Europese markt.

Specifieke voorbeelden zijn:

• Wanneer een Japanse onderneming een game-app distribueert naar spelers in het Verenigd Koninkrijk en daarbij namen en betalingsgeschiedenis van spelers verzamelt.
• Wanneer een e-commerce site die betalingen in ponden accepteert, in het Engels is en verwijst naar verzending naar het Verenigd Koninkrijk, klantgegevens zoals adressen, namen en rekeninginformatie verzamelt.
• Wanneer een Japanse onderneming namen en e-mailadressen beheert om nieuwsbrieven te versturen naar personen in het Verenigd Koninkrijk.
• Wanneer een Japanse onderneming locatiegegevens verzamelt en analyseert van personen in het Verenigd Koninkrijk via een app.
• Wanneer een Japanse onderneming cookie-informatie verzamelt via een website om persoonlijke voorkeuren te analyseren en gerichte advertenties te verspreiden.
• Wanneer een Japanse onderneming gezondheidsgerelateerde informatie verzamelt en beheert van personen in het Verenigd Koninkrijk via draagbare apparaten (zoals smartwatches).

Hieronder vindt u de UK GDPR toepassingsgebied flowchart.

Referentie: “UK General Data Protection Regulation (UK GDPR) Practical Handbook”[ja] | Japan External Trade Organization (JETRO) London Office, Overseas Research Department

Drie risico’s bij overtreding van de UK GDPR

In dit hoofdstuk introduceren we drie risico’s die u loopt als u de UK GDPR overtreedt.

• Het risico op zware sancties, inclusief hoge boetes, van de ICO
• Het risico op juridische claims voor schadevergoeding door betrokkenen en anderen
• Het risico op reputatieschade in het bedrijfsleven door onvoldoende bescherming van persoonsgegevens

De ICO (Information Commissioner’s Office) is een onafhankelijke Britse instantie opgericht om informatierechten te beschermen. Als een overtreding van de UK GDPR wordt vastgesteld, kan de ICO boetes opleggen.

De boetes kunnen zeer hoog zijn. In 2019 werd bijvoorbeeld aan de Britse luchtvaartmaatschappij British Airways een boete van 183 miljoen pond opgelegd, wat 1,5% van de wereldwijde jaaromzet van British Airways is.

Ook Marriott International, bekend van beroemde hotels zoals Marriott en Ritz-Carlton, kreeg een boete van 99 miljoen pond opgelegd.

Omdat deze sancties openbaar worden gemaakt, leidt het niet alleen tot hoge boetes, maar kan het ook de merkwaarde verminderen. Het is zeer moeilijk om een eenmaal gedaalde bedrijfsreputatie te herstellen. Om de merkkracht niet te verminderen, is het noodzakelijk om uiterst zorgvuldig om te gaan met de verwerking van persoonsgegevens.

Samenvatting: Aandacht vereist voor de wijzigingstrends van de UK GDPR

De UK GDPR (Japanese: Britse Algemene Verordening Gegevensbescherming) is een van de relatief nieuwe wetten die zijn gewijzigd op 1 januari 2021 (2021年1月1日) als gevolg van het vertrek van het Verenigd Koninkrijk uit de EU.

Daarnaast zijn er in het Verenigd Koninkrijk twee wetten van toepassing: de binnenlandse UK GDPR en de EU GDPR, die van toepassing is in de andere EU-landen.

Er wordt nog steeds vanuit meerdere hoeken gewerkt aan de herziening van de regelgeving met betrekking tot persoonsgegevens. Daarom is het voor Japanse bedrijven die al actief zijn in het Verenigd Koninkrijk of EU-landen van belang om de toekomstige ontwikkelingen van de UK GDPR-wijzigingen nauwlettend in de gaten te houden.

Een overtreding van de UK GDPR kan niet alleen leiden tot hoge boetes, maar ook tot schade aan het bedrijfsmerk. Het is daarom van cruciaal belang om de beveiligingsmaatregelen van uw bedrijf te herzien en voorbereid te zijn op wijzigingen in de regelgeving en om passende maatregelen te treffen.

Maatregelen van ons kantoor

Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in IT, en in het bijzonder op het gebied van internet en recht. In de recente jaren is het globale bedrijfsleven steeds verder uitgebreid, en de noodzaak voor juridische controle door experts neemt toe. Ons kantoor biedt oplossingen op het gebied van internationaal juridische zaken.

Expertisegebieden van Monolith Advocatenkantoor: Internationaal recht en buitenlandse zaken[ja]