Что такое UK GDPR? Объясняем взаимосвязь с GDPR и ключевые моменты, на которые стоит обратить внимание

В связи с выходом Великобритании из ЕС, с 1 января 2021 года (Reiwa 3) вступил в силу UK GDPR (Британский общий регламент по защите данных).

GDPR – это регламент ЕС, который регулирует обработку и передачу личных данных, и японским компаниям, предоставляющим услуги клиентам внутри ЕС, необходимо соответствовать требованиям GDPR. UK GDPR – это британская версия этого регламента.

В данной статье мы подробно рассмотрим отношения между GDPR и EU GDPR, а также детально объясним EU GDPR. Давайте узнаем ключевые моменты и законы, которые необходимо учитывать при развитии бизнеса в Европе, включая Великобританию.

Введение UK GDPR в связи с выходом Великобритании из ЕС

Великобритания покинула Европейский Союз (EU) 31 января 2020 года, и в связи с этим был введен UK GDPR, основанный на GDPR ЕС.

После выхода из ЕС Великобритания стала «третьей страной», и британским компаниям, предоставляющим услуги потребителям ЕС, необходимо соблюдать GDPR как Великобритании, так и ЕС.

Связанные статьи：Что такое GDPR? Сравнение с законом о защите личных данных и ключевые моменты, на которые должны обратить внимание японские компании[ja]

Связанные статьи：Как создать политику конфиденциальности, соответствующую GDPR[ja]

Что такое UK GDPR?

UK GDPR (Общий регламент по защите данных Великобритании) – это нормативный акт, который устанавливает требования к обработке персональных данных и их передаче за пределы Великобритании, а также определяет стандарты и обязанности для лиц, осуществляющих такую обработку или передачу.

Закон о защите данных 2018 года (Data Protection Act 2018) был принят для обновления и уточнения рамок Закона о защите данных 1998 года, который был установлен в Великобритании ранее. В свете процесса выхода Великобритании из ЕС, этот закон был изменен в соответствии с законодательством о выходе из ЕС и вступил в силу 1 января 2021 года в качестве UK GDPR.

UK GDPR применяется к обработке персональных данных, которая проводится в рамках деятельности управляющих и обрабатывающих организаций внутри Великобритании. Кроме того, UK GDPR также может применяться к обработке персональных данных управляющими и обрабатывающими организациями, которые не имеют базы в Великобритании, в определенных случаях.

Ключевые аспекты UK GDPR, которые необходимо учитывать

В этой главе мы рассмотрим два ключевых аспекта UK GDPR, которые необходимо учитывать:

• Передача персональных данных
• Назначение агентов и представителей

Передача персональных данных

В отношении передачи данных между Японией и Великобританией, японская сторона продолжает применять к Великобритании после Brexit те же меры, что и к ЕС, на основе статьи 24 (до изменений, внесенных статьей 50 Закона о формировании цифрового общества, вступившего в силу 1 апреля 2021 года (Рейва 4), которая теперь является статьей 28) Закона о защите персональных данных.

Кроме того, передача персональных данных между Великобританией и ЕС в переходный период продолжает осуществляться без препятствий, как и раньше.

Таким образом, даже после выхода Великобритании из ЕС, передача персональных данных между Японией и Великобританией остается обеспеченной.

Назначение агентов и представителей

Британским компаниям, не имеющим филиалов или офисов в ЕС, необходимо назначить представителя в ЕС и своевременно обновлять уведомления о защите данных.

Агент будет функционировать как представитель в случае наличия филиалов или офисов.

Кроме того, по законодательству Великобритании, компании ЕС, владеющие персональными данными, также должны иметь представителя в Великобритании.

Следовательно, компаниям, базирующимся в ЕС, необходимо пересмотреть и отделить свои записи, чтобы определить, подпадают ли обрабатываемые ими данные под регулирование UK GDPR.

Какие японские компании подпадают под действие UK GDPR

Существует два случая, когда применяется UK GDPR:

1. Когда компания имеет представительство и ведет деятельность в Великобритании
2. Когда у компании нет представительства в Великобритании, но она ведет бизнес, направленный на Великобританию

Во втором случае UK GDPR применяется, например, когда:

• Японские компании запускают электронную коммерцию для глобального рынка, включая Европу
• Проводят маркетинговые кампании, ориентированные на европейский рынок
• Японские компании получают доход от рынка Европы

Конкретные примеры включают:

• Когда японские компании распространяют игровые приложения среди игроков в Великобритании и собирают имена и историю платежей игроков
• Когда на сайте электронной коммерции, который предлагает платежи в фунтах стерлингов, имеется английская версия и упоминается доставка в Великобританию, собираются адреса, имена и банковские данные клиентов
• Когда японские компании управляют именами и адресами электронной почты британских лиц для рассылки электронных бюллетеней
• Когда японские компании получают и анализируют геолокационные данные от лиц, находящихся в Великобритании, через приложение
• Когда японские компании собирают информацию о куки с веб-сайтов для анализа предпочтений пользователей и предоставления рекламы на основе поведенческого таргетинга
• Когда японские компании собирают и управляют информацией о здоровье лиц, находящихся в Великобритании, через носимые устройства (например, смарт-часы)

Ниже представлена диаграмма, показывающая область применения UK GDPR.

Источник: Практическое руководство по UK GDPR[ja] | Отдел зарубежных исследований Лондонского офиса Японской организации по продвижению торговли (JETRO)

Три риска нарушения UK GDPR

В этой главе мы рассмотрим три риска, связанных с нарушением UK GDPR.

• Риск наложения штрафов, включая крупные санкции, со стороны ICO
• Риск юридических исков на возмещение ущерба от субъектов данных и других лиц
• Риск потери деловой репутации из-за недостаточных мер по защите персональных данных

ICO (Information Commissioner’s Office) — это независимое учреждение Великобритании, созданное для защиты информационных прав. В случае обнаружения нарушений правил UK GDPR, ICO может наложить штрафы.

Штрафы могут быть очень высокими. Например, в 2019 году британской авиакомпании British Airways был наложен штраф в размере 183 миллиона фунтов стерлингов (1,5% от годового мирового дохода British Airways).

Также международная гостиничная сеть Marriott International, владеющая такими известными отелями, как «Марриотт» и «Ритц-Карлтон», была оштрафована на 99 миллионов фунтов стерлингов.

Поскольку такие решения публикуются, компании рискуют не только заплатить большие штрафы, но и потерять брендовую ценность. Восстановить утраченный корпоративный бренд очень сложно. Чтобы избежать снижения брендовой силы, необходимо уделять пристальное внимание обработке персональных данных.

Заключение: Необходимо внимательно следить за изменениями в UK GDPR

UK GDPR (Общий регламент по защите данных Великобритании) — это один из относительно новых законов, который был изменен 1 января 2021 года (Reiwa 3) в связи с выходом Великобритании из ЕС.

Кроме того, в Великобритании применяются два закона: UK GDPR, ориентированный на внутренний рынок Великобритании, и EU GDPR, который применяется в странах Европейского Союза.

В настоящее время продолжается многоаспектный пересмотр регулирования персональных данных. Поэтому японским компаниям, уже работающим в Великобритании и странах ЕС, следует внимательно следить за будущими изменениями в UK GDPR.

Нарушение UK GDPR может привести не только к наложению высоких штрафов, но и к ухудшению корпоративного имиджа. Поэтому важно пересмотреть систему безопасности вашей компании, а также обновить правила и принять соответствующие меры.

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает богатым опытом в области IT, особенно в интернете и праве. В последние годы глобальный бизнес продолжает расширяться, и потребность в профессиональной юридической проверке становится всё более актуальной. Наша фирма предоставляет решения в области международного права.

Сферы деятельности юридической фирмы “Монолит”: Международное право и зарубежный бизнес[ja]