Hva er UK GDPR? En forklaring på forholdet til GDPR og viktige punkter å merke seg

I forbindelse med Storbritannias uttreden fra EU, ble UK GDPR (British General Data Protection Regulation) iverksatt 1. januar 2021.

GDPR er en EU-forordning for behandling og overføring av personopplysninger, og japanske selskaper som tilbyr tjenester til kunder i EU må overholde GDPR. UK GDPR er den britiske versjonen av denne forordningen.

I denne artikkelen vil vi forklare forholdet mellom GDPR og EU GDPR i detalj, samt gi en grundig forklaring på EU GDPR. Vi vil også peke på viktige aspekter og lover du bør være oppmerksom på når du utvider virksomheten din til Europa, inkludert Storbritannia.

UK GDPR som ble innført som følge av Storbritannias EU-utmelding

Storbritannia forlot EU (Den europeiske union) den 31. januar 2020, og i den forbindelse ble UK GDPR innført basert på EUs GDPR.

Under EUs GDPR blir Storbritannia betraktet som et “tredjeland”, og britiske selskaper som tilbyr tjenester til EU-forbrukere må overholde både britisk og EU GDPR.

Relatert artikkel: Hva er GDPR? Sammenligning med personvernlovgivning og punkter japanske selskaper bør være oppmerksomme på[ja]

Relatert artikkel: Punkter å vurdere når man utarbeider en personvernpolicy som er i samsvar med GDPR[ja]

Hva er UK GDPR?

UK GDPR (General Data Protection Regulation) er en regulering som fastsetter kravene for behandling av personopplysninger og overføring av disse utenfor Storbritannia, samt normer og forpliktelser som de som behandler eller overfører data må overholde.

Data Protection Act 2018, som ble vedtatt i 2018, oppdaterte og erstattet rammeverket fra den tidligere Data Protection Act fra 1998 i Storbritannia. I lys av Storbritannias uttreden fra EU, ble denne loven revidert til UK GDPR med virkning fra 1. januar 2021, basert på reguleringer under Brexit-lovgivningen.

UK GDPR gjelder for behandling av personopplysninger som utføres i forbindelse med aktiviteter ved etablissementer i Storbritannia, både for kontrollører og prosessorer. UK GDPR gjelder også i visse tilfeller for behandling av personopplysninger av kontrollører og prosessorer som ikke har et etablissement i Storbritannia.

Viktige punkter å huske på med UK GDPR

I dette kapittelet vil vi forklare de to følgende viktige punktene som man må huske på med UK GDPR.

• Overføring av personopplysninger
• Utnevnelse av agenter og representanter

Overføring av personopplysninger

Når det gjelder overføring av data mellom Japan og Storbritannia, fortsetter Japan å anvende den samme betegnelsen som ble gitt til EU basert på artikkel 24 i den japanske loven om beskyttelse av personopplysninger (som før endringene innført av loven om etablering av et digitalt samfunn, artikkel 50, som trådte i kraft 1. april i Reiwa 4 (2022)), også etter Storbritannias uttreden fra EU.

I tillegg, for overføring av personopplysninger mellom Storbritannia og EU, vil det fortsatt være mulig å overføre personopplysninger jevnt under overgangsperioden som før.

Derfor er overføringen av personopplysninger mellom Japan og Storbritannia sikret også etter Storbritannias uttreden fra EU.

Utnevnelse av agenter og representanter

Britiske selskaper som ikke har filialer eller kontorer innenfor EU, må utnevne en EU-agent og oppdatere databeskyttelsesmeldingene sine som nødvendig.

Agenten vil fungere som representant i tilfeller hvor det er filialer eller kontorer.

I tillegg krever britisk lov at EU-selskaper som holder personopplysninger må ha en representant i Storbritannia.

Derfor må selskaper basert i EU vurdere om informasjonen de håndterer er underlagt UK GDPR-reglene, og dermed gjennomgå og skille sine registreringer som nødvendig.

Norske bedrifter som er underlagt UK GDPR

Det er to tilfeller der UK GDPR gjelder for japanske bedrifter:

1. Når de har et etablissement og driver virksomhet i Storbritannia
2. Når de ikke har et etablissement i Storbritannia, men retter sin virksomhet mot Storbritannia

I det andre tilfellet vil UK GDPR gjelde i situasjoner som:

• Når en japansk virksomhet lanserer en e-handelsplattform for det globale markedet, inkludert Europa
• Når det gjennomføres markedsføringskampanjer rettet mot det europeiske markedet
• Når en japansk virksomhet genererer inntekter fra det europeiske markedet

Spesifikke eksempler inkluderer:

• Når en japansk virksomhet distribuerer en spillapp til spillere i Storbritannia og samler inn navn og betalingshistorikk
• Når en e-handelsplattform som tillater betaling i pund, har engelsk tekst og nevner levering til Storbritannia, samler inn kundens adresse, navn og kontoinformasjon
• Når en japansk virksomhet håndterer navn og e-postadresser for å sende nyhetsbrev til personer i Storbritannia
• Når en japansk virksomhet samler inn og analyserer posisjonsdata fra individer i Storbritannia gjennom en app
• Når en japansk virksomhet samler inn informasjon fra cookies på en nettside for å analysere personlige preferanser og levere målrettet reklame
• Når en japansk virksomhet samler og håndterer helseinformasjon fra individer i Storbritannia gjennom bærbare enheter som smartklokker

Nedenfor finner du en flytskjema for anvendelsesområdet til UK GDPR.

Referanse: “UK General Data Protection Regulation (UK GDPR) Handbook” | Japan External Trade Organization (JETRO) London Office, Overseas Research Department

Tre risikoer ved brudd på UK GDPR

I dette kapittelet vil vi introdusere tre risikoer som kan oppstå ved brudd på UK GDPR.

• Risikoen for å bli ilagt strenge sanksjoner, inkludert store bøter, fra ICO
• Risikoen for å motta juridiske krav om erstatning fra databrukere og andre berørte parter
• Risikoen for å miste forretningsmessig omdømme på grunn av utilstrekkelig håndtering av personopplysninger

ICO (Information Commissioner’s Office) er en uavhengig britisk institusjon etablert for å beskytte informasjonsrettigheter. Hvis det oppdages et brudd på UK GDPR-reglene, kan man risikere å få bøter fra ICO.

Bøtene kan være svært høye. I 2019 ble det britiske flyselskapet British Airways ilagt en bot på 183 millioner pund (1,5 % av British Airways’ globale omsetning for et år).

Marriott International, som står bak kjente hoteller som Marriott og Ritz-Carlton, ble også ilagt en bot på 99 millioner pund.

Siden disse sanksjonene blir offentliggjort, risikerer man ikke bare å måtte betale store bøter, men også et fall i merkevareverdien. Det er svært vanskelig å forbedre et bedriftsmerke som en gang har blitt skadet. For å unngå å svekke merkevarens styrke, er det essensielt å være nøye med håndteringen av personopplysninger.

Oppsummering: Det er essensielt å følge med på endringene i UK GDPR

UK GDPR (British General Data Protection Regulation) er en av de relativt nye lovene som ble revidert 1. januar 2021 (Reiwa 3), som følge av Storbritannias uttreden fra EU.

I tillegg er det to lover som gjelder i Storbritannia: den innenlandske UK GDPR og EU GDPR, som gjelder for de andre EU-landene.

For øyeblikket pågår det en kontinuerlig og flerdimensjonal revisjon av personvernreguleringer. Derfor bør japanske selskaper som allerede har forretninger i Storbritannia eller EU-land, holde et våkent øye med fremtidige endringer i UK GDPR.

Å bryte UK GDPR kan føre til ikke bare store bøter, men også skade på bedriftens merkevare. Det er derfor viktig å revurdere selskapets sikkerhetssystemer, endringer i regelverket og å iverksette nødvendige tiltak.

Veiledning om tiltak fra vår advokatfirma

Monolith Advokatfirma har omfattende erfaring innen IT, og spesielt internett og jus. I de senere årene har global business vokst stadig mer, og behovet for juridisk ekspertise og gjennomgang har økt tilsvarende. Vårt firma tilbyr løsninger innen internasjonal juridisk service.

Områder Monolith Advokatfirma håndterer: Internasjonal juridisk service og utenlandske forretninger[ja]