Vad är UK GDPR? Förklaring av relationen till GDPR och viktiga punkter att komma ihåg

I samband med Storbritanniens utträde ur EU trädde UK GDPR (brittiska allmänna dataskyddsförordningen) i kraft den 1 januari 2021.

GDPR är en EU-förordning som reglerar behandlingen och överföringen av personuppgifter, och japanska företag som erbjuder tjänster till kunder inom EU måste följa GDPR. UK GDPR är den brittiska versionen av denna förordning.

I den här artikeln förklarar vi relationen mellan GDPR och EU:s GDPR samt ger en detaljerad genomgång av EU:s GDPR. Lär dig de viktiga punkterna att ha koll på och de lagar som bör åtgärdas när du expanderar din verksamhet i Europa, inklusive Storbritannien.

UK GDPR som infördes till följd av Storbritanniens EU-utträde

Storbritannien lämnade EU (Europeiska unionen) den 31 januari 2020, och i samband med detta infördes UK GDPR baserat på EU:s GDPR.

Efter att ha blivit ett “tredjeland” enligt EU:s GDPR, måste brittiska företag som tillhandahåller tjänster till EU-konsumenter följa både den brittiska och EU:s GDPR.

Relaterad artikel: Vad är GDPR? En jämförelse med personuppgiftslagen och viktiga punkter för japanska företag att vara medvetna om[ja]

Relaterad artikel: Hur man skapar en GDPR-kompatibel integritetspolicy[ja]

Vad är UK GDPR?

UK GDPR (General Data Protection Regulation i Storbritannien) är en uppsättning regler som fastställer krav för behandling av personuppgifter och för överföring av dessa uppgifter utanför Storbritannien, samt normer och skyldigheter som de som behandlar eller överför uppgifterna måste följa.

Data Protection Act 2018, som antogs 2018, uppdaterade och ersatte den tidigare dataskyddslagen från 1998 i Storbritannien. Med hänsyn till Storbritanniens utträde ur EU, reviderades lagen genom EU Withdrawal Act 2018 och trädde i kraft som UK GDPR den 1 januari 2021.

UK GDPR tillämpas på behandling av personuppgifter som utförs inom ramen för verksamheten av en datakontrollant eller databehandlare baserad i Storbritannien. Dessutom gäller UK GDPR även för behandling av personuppgifter av datakontrollanter och databehandlare som inte har någon etablering i Storbritannien, under vissa förutsättningar.

Viktiga punkter att ha koll på gällande UK GDPR

I det här kapitlet kommer vi att förklara de två viktiga punkterna som man bör ha koll på gällande UK GDPR.

• Överföring av personuppgifter
• Utnämning av ombud och representant

Överföring av personuppgifter

När det gäller överföring av data mellan Japan och Storbritannien fortsätter Japan att tillämpa den utnämning som baseras på artikel 24 i den japanska lagen om skydd av personuppgifter (denna artikel var före ändringarna genom lagen om etablering av en digitalt samhälle, artikel 50, som trädde i kraft den 1 april i Reiwa 4 (2022), och är nu artikel 28) även efter Storbritanniens utträde ur EU.

Överföringen av personuppgifter mellan Storbritannien och EU kan fortsätta smidigt även under övergångsperioden som tidigare.

Därför är en smidig överföring av personuppgifter mellan Japan och Storbritannien säkerställd även efter Storbritanniens utträde ur EU.

Utnämning av ombud och representant

Brittiska företag som inte har filialer eller kontor inom EU måste utse en EU-representant och uppdatera dataskyddsmeddelanden vid behov.

Ombudet kommer att fungera som representant i de fall där företaget har filialer eller kontor.

Enligt brittisk lagstiftning krävs det även att EU-företag som innehar personuppgifter måste ha en representant i Storbritannien.

Därför måste företag baserade inom EU granska och separera sina register för att avgöra om den hanterade informationen faller under UK GDPR:s regelverk.

Japanska företag som omfattas av UK GDPR

Det finns två fall där UK GDPR blir tillämpligt:

1. När man etablerar en verksamhet i Storbritannien
2. När man inte har en bas i Storbritannien men bedriver affärsverksamhet riktad mot Storbritannien

I det andra fallet blir UK GDPR tillämpligt i situationer som:

• När en japansk verksamhet lanserar en e-handelsplattform riktad mot den globala marknaden, inklusive Europa
• När man genomför marknadsföringskampanjer riktade mot den europeiska marknaden
• När en japansk verksamhet genererar intäkter från den europeiska marknaden

Specifika exempel inkluderar:

• När en japansk verksamhet distribuerar ett spelapp till spelare i Storbritannien och samlar in namn och betalningshistorik
• När en e-handelsplats som tillåter betalning i pund, har information på engelska och nämner leverans till Storbritannien, samlar in kundens adress, namn och kontouppgifter
• När en japansk verksamhet hanterar namn och e-postadresser för att skicka nyhetsbrev till individer i Storbritannien
• När en japansk verksamhet samlar in och analyserar platsdata från individer i Storbritannien via en app
• När en japansk verksamhet samlar in cookie-information från sin webbplats för att analysera personliga preferenser och leverera beteendebaserad riktad reklam
• När en japansk verksamhet samlar in och hanterar hälsorelaterad information från individer i Storbritannien genom bärbara enheter (som smartklockor)

Nedan är ett flödesschema över tillämpningsområdet för UK GDPR.

Referens: “Praktisk handbok för UK GDPR”[ja] | Japan External Trade Organization (JETRO) London Office, Overseas Research Department

Tre risker vid brott mot UK GDPR

I det här kapitlet presenterar vi tre risker som är förknippade med att bryta mot UK GDPR.

• Risken att få påföljder inklusive höga böter från ICO
• Risken att bli föremål för rättsliga krav såsom skadeståndsanspråk från dataägare och andra
• Risken att förlora affärsmässigt anseende på grund av otillräckliga åtgärder för skydd av personuppgifter

ICO (Information Commissioner’s Office) är en oberoende brittisk myndighet som inrättats för att skydda informationsrättigheter. Om det upptäcks att man bryter mot reglerna i UK GDPR kan man bli föremål för böter från ICO.

Böterna kan vara mycket höga. År 2019 fick det brittiska flygbolaget British Airways böta 183 miljoner pund (motsvarande 1,5% av British Airways globala årsintäkter) i sanktionsavgifter.

Även Marriott International, som driver välkända hotell som Marriott och Ritz-Carlton, har bötfällts med 99 miljoner pund.

Eftersom dessa åtgärder offentliggörs, innebär det inte bara att man kan få höga böter, utan även att varumärkets värde kan minska. Det är mycket svårt att återhämta ett varumärkes anseende när det väl har skadats. För att undvika att varumärkesstyrkan försämras är det därför nödvändigt att vara mycket noggrann med hanteringen av personuppgifter.

Sammanfattning: Det är viktigt att hålla ett öga på ändringarna i UK GDPR

UK GDPR (Japanese UK General Data Protection Regulation) är en av de relativt nya lagarna som ändrades den 1 januari 2021 (2021) till följd av Storbritanniens utträde ur EU.

Dessutom tillämpas två olika lagar i Storbritannien: den inrikes riktade UK GDPR och EU GDPR, som gäller för EU:s övriga länder.

För närvarande pågår en omfattande översyn av regleringen kring personuppgifter. Därför bör japanska företag som redan har etablerat sig i Storbritannien eller EU-länderna vara uppmärksamma på framtida ändringar i UK GDPR.

Att bryta mot UK GDPR kan leda till höga böter, men också till skada på företagets varumärke. Det är viktigt att se över företagets säkerhetssystem och att hålla sig uppdaterad om regeländringar och vidta nödvändiga åtgärder.

Information om åtgärder från vår byrå

Monolith Advokatbyrå har en omfattande erfarenhet inom IT, och särskilt inom internet och juridik. I takt med att den globala affärsverksamheten expanderar, ökar också behovet av juridisk granskning av specialister. Vår byrå erbjuder lösningar inom internationell juridik.

Monolith Advokatbyrås expertisområden: Internationell juridik och utlandsverksamhet[ja]