Ce este UK GDPR? Explicarea relației cu GDPR și a punctelor cheie de reținut

Odată cu ieșirea Marii Britanii din UE, la 1 ianuarie 2021 (Reiwa 3) a intrat în vigoare UK GDPR (Regulamentul General pentru Protecția Datelor din Marea Britanie).

GDPR este un set de reguli al UE pentru procesarea și transferul datelor personale, iar companiile japoneze care oferă servicii către clienți din UE trebuie să se conformeze GDPR. UK GDPR este versiunea britanică a acestui regulament.

În acest articol, vom explica în detaliu relația dintre GDPR și GDPR-ul UE, precum și aspecte importante despre GDPR-ul UE. Vom discuta punctele esențiale și legile la care trebuie să fiți atenți când vă extindeți afacerile în Europa, inclusiv Marea Britanie.

Implementarea UK GDPR ca urmare a retragerii Marii Britanii din UE

Marea Britanie s-a retras din Uniunea Europeană (UE) la 31 ianuarie 2020, iar în consecință a fost implementat UK GDPR, bazat pe GDPR-ul UE.

Sub reglementările GDPR ale UE, Marea Britanie este considerată o “țară terță”, iar companiile britanice care oferă servicii consumatorilor din UE trebuie să respecte atât GDPR-ul britanic, cât și pe cel al UE.

Articol relevant: Ce este GDPR? Comparație cu legea protecției datelor personale și punctele de care trebuie să fie conștiente companiile japoneze[ja]

Articol relevant: Explicarea punctelor cheie în crearea unei politici de confidențialitate conforme cu GDPR[ja]

Ce este UK GDPR?

UK GDPR (Regulamentul General pentru Protecția Datelor din Marea Britanie) este un set de reguli care stabilește cerințele pentru procesarea datelor personale și transferul acestora în afara Regatului Unit, precum și normele și obligațiile pe care trebuie să le respecte cei care efectuează această procesare sau transfer.

Legea pentru Protecția Datelor din 2018 (Data Protection Act 2018) a fost adoptată pentru a actualiza și a înlocui cadrul Legii pentru Protecția Datelor din 1998, care fusese stabilită în Marea Britanie. În urma Brexitului, aceasta a fost amendată prin reglementările bazate pe Legea pentru Retragerea din UE din 2018 și a devenit cunoscută sub numele de UK GDPR începând cu 1 ianuarie 2021.

UK GDPR se aplică procesării datelor personale care are loc în cadrul activităților unui responsabil sau al unui procesator de date cu sediul în Marea Britanie. De asemenea, UK GDPR se aplică și în anumite cazuri procesării datelor personale efectuate de responsabili sau procesatori de date care nu au sediul în Marea Britanie.

Aspecte esențiale de reținut despre UK GDPR

În acest capitol, vom discuta despre următoarele două puncte esențiale legate de UK GDPR.

• Transferul datelor personale
• Numirea unui agent sau reprezentant

Transferul datelor personale

În ceea ce privește transferul de date între Japonia și Regatul Unit, partea japoneză continuă să aplice Regatului Unit desemnarea bazată pe articolul 24 al Legii Japoneze pentru Protecția Datelor Personale (articolul 24 al Legii Japoneze pentru Protecția Datelor Personale, care a fost amendat înainte de modificările aduse de Legea pentru Formarea Societății Digitale, articolul 50, în vigoare din 1 aprilie 2022 (Reiwa 4)), chiar și după Brexit.

De asemenea, transferul de date personale între Regatul Unit și UE poate continua să se desfășoare fără probleme și în perioada de tranziție.

Prin urmare, chiar și după ieșirea Regatului Unit din UE, transferul de date personale între Japonia și Regatul Unit este asigurat să continue fără probleme.

Numirea unui agent sau reprezentant

Companiile din Regatul Unit care nu au sucursale sau birouri în UE trebuie să numească un agent UE și să actualizeze notificările de protecție a datelor după cum este necesar.

Agentul va funcționa ca un reprezentant în cazul în care există sucursale sau birouri.

În plus, legislația din Regatul Unit cere ca companiile UE care dețin date personale să aibă un reprezentant în Regatul Unit.

Prin urmare, companiile cu sedii în UE trebuie să revizuiască și să separe înregistrările pentru a determina dacă informațiile pe care le gestionează sunt supuse regulamentelor UK GDPR.

Companii japoneze la care se aplică UK GDPR

Cazurile în care se aplică UK GDPR sunt următoarele două:

1. Când o companie își desfășoară activitatea având o bază în interiorul Regatului Unit
2. Când o companie nu are o bază în Regatul Unit, dar desfășoară activități de afaceri orientate către Regatul Unit

În al doilea caz, UK GDPR se aplică în situații precum:

• Când un operator economic din Japonia lansează un site de comerț electronic (EC) pentru piața globală, inclusiv Europa
• Când se desfășoară campanii de marketing pentru piața europeană
• Când un operator economic din Japonia generează venituri din piața europeană

Concret, se aplică în cazuri precum:

• Când un operator economic din Japonia distribuie o aplicație de jocuri jucătorilor aflați în Regatul Unit și colectează numele și istoricul de plăți al acestora
• Când un site de comerț electronic care permite plăți în lire sterline, are descrieri în limba engleză și menționează livrarea în Regatul Unit colectează adresele, numele și informațiile bancare ale clienților
• Când un operator economic din Japonia gestionează numele și adresele de e-mail pentru a distribui buletine informative prin e-mail persoanelor aflate în Regatul Unit
• Când un operator economic din Japonia obține și analizează informații despre locație prin intermediul unei aplicații de la persoane aflate în Regatul Unit
• Când un operator economic din Japonia colectează informații despre cookie-uri de pe un site web pentru a analiza preferințele personale și a distribui publicitate bazată pe comportament
• Când un operator economic din Japonia obține și gestionează informații legate de sănătatea persoanelor aflate în Regatul Unit prin intermediul dispozitivelor purtabile (cum ar fi ceasurile inteligente)

Mai jos este un fluxogram al domeniului de aplicare al UK GDPR:

Referință: Manualul practic „Regulamentul general privind protecția datelor din Regatul Unit (UK GDPR)”[ja] | Organizația Japoneză pentru Promovarea Comerțului Exterior (JETRO), Biroul din Londra, Departamentul de Cercetare Externă

Trei riscuri în cazul încălcării UK GDPR

În acest capitol, vom prezenta trei riscuri asociate cu încălcarea UK GDPR (Regulamentul General pentru Protecția Datelor din Marea Britanie).

• Riscul de a fi sancționat cu amenzi substanțiale de către ICO
• Riscul de a face față cererilor legale de despăgubire din partea subiecților datelor și a altor părți
• Riscul de a pierde încrederea în afaceri din cauza unei protecții insuficiente a datelor personale

ICO (Office of the Information Commissioner) este o agenție independentă din Marea Britanie, înființată pentru a proteja drepturile legate de informații. În cazul unei încălcări a regulilor UK GDPR, există posibilitatea de a fi sancționat cu amenzi de către ICO.

Amenzile pot fi foarte mari; de exemplu, în anul 2019, compania aeriană britanică British Airways a fost sancționată cu o amendă de 183 milioane de lire sterline (1,5% din veniturile globale anuale ale British Airways).

De asemenea, Marriott International, care deține hoteluri renumite precum Marriott și Ritz-Carlton, a fost sancționată cu o amendă de 99 de milioane de lire sterline.

Deoarece aceste sancțiuni sunt publicate, nu numai că există riscul de a plăti amenzi mari, dar și de a suferi o scădere a valorii brandului. Odată ce reputația unui brand corporativ scade, este foarte dificil să o îmbunătățești. Pentru a evita diminuarea forței brandului, este esențial să acordăm o atenție deosebită gestionării datelor personale.

Concluzie: Este esențial să monitorizăm tendințele de modificare a UK GDPR

UK GDPR (Regulamentul General pentru Protecția Datelor din Marea Britanie) este una dintre legile relativ noi, modificată la 1 ianuarie 2021 (Reiwa 3), ca urmare a Brexit-ului.

De asemenea, în Marea Britanie sunt aplicabile două seturi de reglementări: UK GDPR, destinat internului țării, și EU GDPR, care se aplică în statele membre ale Uniunii Europene.

În prezent, se continuă revizuirea complexă a reglementărilor privind protecția datelor personale. Prin urmare, companiile japoneze care au intrat deja pe piața britanică sau în statele membre ale UE ar trebui să acorde o atenție deosebită tendințelor de modificare a UK GDPR în viitor.

Nerespectarea UK GDPR poate duce nu doar la impunerea unor amenzi substanțiale, dar și la deteriorarea imaginii corporative. Este crucial să revizuim sistemele de securitate ale companiei, să ne actualizăm regulamentele și să implementăm măsuri adecvate.

Ghidul măsurilor implementate de firma noastră

Cabinetul de Avocatură Monolith este o firmă de avocatură cu experiență bogată în IT, în special în domeniul internetului și al legii. În ultimii ani, afacerile globale s-au extins tot mai mult, iar necesitatea verificărilor legale efectuate de experți este în continuă creștere. Firma noastră oferă soluții pentru problemele legate de dreptul internațional.

Domeniile de practică ale Cabinetului de Avocatură Monolith: Drept internațional și afaceri externe[ja]