UK GDPR คืออะไร? ความสัมพันธ์กับ GDPR และประเด็นสําคัญที่ควรจับตามอง

ตามที่สหราชอาณาจักรได้แยกตัวออกจากสหภาพยุโรป (EU) นั้น กฎหมาย UK GDPR (กฎหมายคุ้มครองข้อมูลทั่วไปของอังกฤษ) ได้เริ่มบังคับใช้ตั้งแต่วันที่ 1 มกราคม 2021 (2021年1月1日) ครับ/ค่ะ

GDPR คือ กฎหมายของ EU ที่กำหนดเกี่ยวกับการประมวลผลและการโอนย้ายข้อมูลส่วนบุคคล ซึ่งบริษัทญี่ปุ่นที่ขยายบริการไปยังลูกค้าใน EU จำเป็นต้องปฏิบัติตาม GDPR นี้ครับ/ค่ะ UK GDPR คือ รุ่นของ GDPR ที่ใช้ในสหราชอาณาจักรครับ/ค่ะ

ในบทความนี้ เราจะอธิบายเกี่ยวกับความสัมพันธ์ระหว่าง GDPR กับ GDPR ของ EU และข้อมูลเกี่ยวกับ GDPR ของ EU อย่างละเอียดครับ/ค่ะ มาทำความเข้าใจเกี่ยวกับประเด็นสำคัญและกฎหมายที่ควรเตรียมการเมื่อต้องการขยายธุรกิจไปยังยุโรป รวมถึงสหราชอาณาจักรครับ/ค่ะ

การบังคับใช้ UK GDPR ตามการแยกตัวของสหราชอาณาจักรจากสหภาพยุโรป (EU)

สหราชอาณาจักรได้แยกตัวออกจากสหภาพยุโรป (EU) เมื่อวันที่ 31 มกราคม 2020 และตามมาด้วยการบังคับใช้ UK GDPR ซึ่งเป็นกฎหมายที่อ้างอิงจาก GDPR ของสหภาพยุโรป

ภายใต้ GDPR ของสหภาพยุโรป สหราชอาณาจักรจะถูกมองว่าเป็น “ประเทศที่สาม” และบริษัทของสหราชอาณาจักรที่ให้บริการแก่ผู้บริโภคในสหภาพยุโรปจะต้องปฏิบัติตาม GDPR ทั้งของสหราชอาณาจักรและสหภาพยุโรป

บทความที่เกี่ยวข้อง：GDPR คืออะไร? การเปรียบเทียบกับกฎหมายการปกป้องข้อมูลส่วนบุคคลและจุดที่บริษัทญี่ปุ่นควรใส่ใจ[ja]

บทความที่เกี่ยวข้อง：การอธิบายจุดสำคัญในการสร้างนโยบายความเป็นส่วนตัวที่สอดคล้องกับ GDPR[ja]

UK GDPR คืออะไร

UK GDPR (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร) คือ กฎหมายที่กำหนดข้อกำหนดสำหรับการประมวลผลและการโอนย้ายข้อมูลส่วนบุคคลไปยังต่างประเทศ พร้อมทั้งกำหนดมาตรฐานและหน้าที่ที่ผู้ประมวลผลหรือผู้โอนย้ายข้อมูลต้องปฏิบัติตาม

กฎหมายคุ้มครองข้อมูลปี 2018 (Data Protection Act 2018) ถูกสร้างขึ้นเพื่อปรับปรุงและกำหนดกรอบกฎหมายคุ้มครองข้อมูลที่สหราชอาณาจักรได้กำหนดไว้ตั้งแต่ปี 1998 ต่อมา ด้วยการพิจารณาสถานการณ์การออกจากสหภาพยุโรปของสหราชอาณาจักร กฎหมายดังกล่าวได้รับการแก้ไขเป็น UK GDPR ตามกฎหมายการออกจากสหภาพยุโรปในปี 2018 และมีผลบังคับใช้ตั้งแต่วันที่ 1 มกราคม 2021

UK GDPR นั้นใช้กับการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการภายในสหราชอาณาจักรโดยผู้ควบคุมหรือผู้ประมวลผลที่มีฐานการดำเนินงานในประเทศ นอกจากนี้ UK GDPR ยังใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมหรือผู้ประมวลผลที่ไม่มีฐานการดำเนินงานในสหราชอาณาจักรในบางกรณีด้วย

ประเด็นสำคัญที่ควรทราบเกี่ยวกับ UK GDPR

ในบทนี้ เราจะอธิบายถึง 2 ประเด็นสำคัญที่ควรจับตามองเกี่ยวกับ UK GDPR ดังต่อไปนี้

• การโอนย้ายข้อมูลส่วนบุคคล
• การแต่งตั้งตัวแทนหรือผู้แทน

การโอนย้ายข้อมูลส่วนบุคคล

เกี่ยวกับการโอนย้ายข้อมูลระหว่างญี่ปุ่นและอังกฤษ ฝ่ายญี่ปุ่นได้ตัดสินใจที่จะยังคงใช้มาตรการที่กำหนดไว้ในมาตรา 24 ของ Japanese Personal Information Protection Act (ซึ่งก่อนการแก้ไขโดยมาตรา 50 ของ Japanese Act on the Arrangement of Related Acts to Promote the Formation of a Digital Society ในวันที่ 1 เมษายน พ.ศ. 2565 (2022)) ต่อไปหลังจากที่อังกฤษออกจากสหภาพยุโรป

นอกจากนี้ การโอนย้ายข้อมูลส่วนบุคคลระหว่างอังกฤษและสหภาพยุโรปในช่วงเวลาการเปลี่ยนผ่านยังสามารถดำเนินการได้อย่างราบรื่นเช่นเดิม

ดังนั้น แม้หลังจากที่อังกฤษออกจากสหภาพยุโรป การโอนย้ายข้อมูลส่วนบุคคลระหว่างญี่ปุ่นและอังกฤษก็ยังคงราบรื่น

การแต่งตั้งตัวแทนหรือผู้แทน

บริษัทอังกฤษที่ไม่มีสาขาหรือสำนักงานในสหภาพยุโรปจำเป็นต้องแต่งตั้งตัวแทนในสหภาพยุโรปและอัปเดตการแจ้งข้อมูลการปกป้องข้อมูลอย่างเหมาะสม

ตัวแทนจะทำหน้าที่เหมือนกับสาขาหรือสำนักงานที่ทำหน้าที่เป็นผู้แทน

นอกจากนี้ ตามกฎหมายของอังกฤษ บริษัทที่มีข้อมูลส่วนบุคคลในสหภาพยุโรปจะต้องมีผู้แทนในอังกฤษด้วย

ดังนั้น บริษัทที่มีฐานในสหภาพยุโรปจำเป็นต้องทบทวนและแยกข้อมูลเพื่อตัดสินใจว่าข้อมูลที่จัดการนั้นอยู่ภายใต้ข้อกำหนดของ UK GDPR หรือไม่

บริษัทญี่ปุ่นที่ต้องปฏิบัติตาม UK GDPR

มี 2 กรณีที่บริษัทญี่ปุ่นจะต้องปฏิบัติตาม UK GDPR ดังนี้

1. เมื่อมีการจัดตั้งฐานการดำเนินงานในประเทศอังกฤษ
2. แม้ไม่มีฐานการดำเนินงานในอังกฤษ แต่มีการขยายธุรกิจไปยังอังกฤษ

ในกรณีที่สอง จะมีการนำ UK GDPR มาใช้ในสถานการณ์ต่อไปนี้

• เมื่อผู้ประกอบการในประเทศญี่ปุ่นเปิดตัวเว็บไซต์ E-commerce สำหรับตลาดโลก รวมถึงยุโรป
• เมื่อมีการทำแคมเปญการตลาดสำหรับตลาดยุโรป
• เมื่อผู้ประกอบการในประเทศญี่ปุ่นสร้างรายได้จากตลาดยุโรป

ตัวอย่างเฉพาะของกรณีที่ต้องปฏิบัติตาม UK GDPR ได้แก่

• เมื่อผู้ประกอบการในประเทศญี่ปุ่นจัดส่งแอปพลิเคชันเกมไปยังผู้เล่นที่อยู่ในอังกฤษ และเก็บข้อมูลชื่อและประวัติการชำระเงินของผู้เล่น
• เมื่อเว็บไซต์ E-commerce ที่รองรับการชำระเงินด้วยปอนด์ มีการแสดงข้อมูลเป็นภาษาอังกฤษ และกล่าวถึงการจัดส่งสินค้าไปยังอังกฤษ พร้อมทั้งเก็บข้อมูลที่อยู่ ชื่อ และข้อมูลบัญชีของลูกค้า
• เมื่อผู้ประกอบการในประเทศญี่ปุ่นจัดการข้อมูลชื่อและอีเมลของบุคคลที่อยู่ในอังกฤษเพื่อส่งจดหมายข่าว
• เมื่อผู้ประกอบการในประเทศญี่ปุ่นรวบรวมและวิเคราะห์ข้อมูลตำแหน่งที่ตั้งจากแอปพลิเคชันของบุคคลที่อยู่ในอังกฤษ
• เมื่อผู้ประกอบการในประเทศญี่ปุ่นเก็บข้อมูลคุกกี้จากเว็บไซต์เพื่อวิเคราะห์ความชอบของบุคคลและจัดส่งโฆษณาที่เป็นเป้าหมายตามพฤติกรรม
• เมื่อผู้ประกอบการในประเทศญี่ปุ่นรวบรวมและจัดการข้อมูลที่เกี่ยวข้องกับสุขภาพของบุคคลที่อยู่ในอังกฤษผ่านอุปกรณ์สวมใส่ (เช่น สมาร์ทวอทช์)

ด้านล่างนี้คือแผนภูมิการตัดสินใจเกี่ยวกับขอบเขตการใช้ UK GDPR

อ้างอิง：คู่มือการปฏิบัติงาน “UK GDPR” (Japanese UK GDPR)[ja] โดย สำนักงานลอนดอน ฝ่ายวิจัยต่างประเทศ องค์การส่งเสริมการค้าญี่ปุ่น (JETRO)

3 ความเสี่ยงหากละเมิด UK GDPR

ในบทนี้ เราจะแนะนำถึงความเสี่ยง 3 ประการที่อาจเกิดขึ้นหากมีการละเมิด UK GDPR

• ความเสี่ยงที่จะถูก ICO สั่งให้ชำระเงินค่าปรับจำนวนมาก
• ความเสี่ยงที่จะถูกเจ้าของข้อมูลหรือบุคคลอื่นเรียกร้องค่าเสียหายทางกฎหมาย
• ความเสี่ยงที่จะสูญเสียความน่าเชื่อถือในธุรกิจเนื่องจากการจัดการข้อมูลส่วนบุคคลที่ไม่เพียงพอ

ICO (Information Commissioner’s Office) เป็นหน่วยงานอิสระของสหราชอาณาจักรที่ก่อตั้งขึ้นเพื่อปกป้องสิทธิ์ด้านข้อมูล หากพบว่ามีการละเมิดกฎข้อบังคับของ UK GDPR อาจมีการสั่งปรับจาก ICO

ค่าปรับที่กำหนดอาจมีจำนวนสูงมาก ในปี 2019 สายการบิน British Airways ของสหราชอาณาจักรถูกปรับ 183 ล้านปอนด์ (คิดเป็น 1.5% ของรายได้ทั่วโลกของ British Airways ในหนึ่งปี)

นอกจากนี้ บริษัท Marriott International ที่บริหารโรงแรมชื่อดังอย่าง ‘Marriott’ และ ‘Ritz-Carlton’ ก็ถูกปรับ 99 ล้านปอนด์เช่นกัน

เนื่องจากการปรับเหล่านี้จะถูกเปิดเผยต่อสาธารณะ จึงไม่เพียงแต่ต้องเสียค่าปรับจำนวนมากเท่านั้น แต่ยังอาจส่งผลให้มูลค่าแบรนด์ลดลงด้วย การฟื้นฟูแบรนด์ที่เสียหายอาจเป็นเรื่องยากมาก ดังนั้น เพื่อไม่ให้แบรนด์ของคุณถูกทำลาย จำเป็นต้องให้ความสำคัญกับการจัดการข้อมูลส่วนบุคคลอย่างรอบคอบ

สรุป: จำเป็นต้องติดตามแนวโน้มการแก้ไข UK GDPR

UK GDPR (กฎหมายคุ้มครองข้อมูลทั่วไปของอังกฤษ) เป็นหนึ่งในกฎหมายใหม่ที่ได้รับการแก้ไขเมื่อวันที่ 1 มกราคม 2021 (2021) ตามการออกจากสหภาพยุโรป (EU) ของอังกฤษ

นอกจากนี้ ในอังกฤษยังมีการใช้กฎหมายสองฉบับ คือ UK GDPR ที่มีผลในประเทศ และ EU GDPR ที่มีผลในประเทศสมาชิกของสหภาพยุโรป

ปัจจุบัน การทบทวนกฎระเบียบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลยังคงดำเนินอย่างกว้างขวาง ดังนั้น บริษัทญี่ปุ่นที่ได้เข้ามาทำธุรกิจในอังกฤษและประเทศสมาชิกของ EU ควรให้ความสนใจต่อแนวโน้มการแก้ไข UK GDPR ในอนาคต

หากฝ่าฝืน UK GDPR อาจถูกปรับเป็นจำนวนเงินที่สูง และยังอาจส่งผลกระทบต่อชื่อเสียงของแบรนด์องค์กร การทบทวนระบบความปลอดภัยของบริษัท การเปลี่ยนแปลงกฎระเบียบ และการเตรียมมาตรการต่างๆ จึงเป็นสิ่งสำคัญ

แนะนำมาตรการของเรา

ที่สำนักงานกฎหมายมอนอลิธ เราเป็นสำนักงานกฎหมายที่มีประสบการณ์อันเข้มข้นทั้งในด้านไอที โดยเฉพาะอย่างยิ่งกฎหมายอินเทอร์เน็ตและกฎหมายทั่วไป ในปีที่ผ่านมา ธุรกิจระดับโลกได้ขยายตัวอย่างต่อเนื่อง และความจำเป็นในการตรวจสอบทางกฎหมายโดยผู้เชี่ยวชาญก็เพิ่มขึ้นเรื่อยๆ สำนักงานของเราจึงให้บริการโซลูชันทางกฎหมายระหว่างประเทศ

สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายระหว่างประเทศและธุรกิจต่างประเทศ[ja]