Що таке UK GDPR? Основні аспекти та ключові моменти, які потрібно знати про відносини з GDPR

У зв’язку з виходом Великобританії з ЄС, 1 січня 2021 року (2021年1月1日) набув чинності UK GDPR (Британський Загальний регламент захисту даних).

GDPR – це правила ЄС, які регулюють обробку та передачу особистих даних, і японські компанії, що розгортають свої послуги для клієнтів у ЄС, повинні дотримуватися GDPR. UK GDPR – це британська версія цих правил.

У цій статті ми детально розглянемо відносини між GDPR та GDPR ЄС, а також надамо докладний огляд GDPR ЄС. Дізнайтеся ключові моменти та закони, які необхідно враховувати при розгортанні бізнесу в Європі, включаючи Великобританію.

Впровадження UK GDPR у зв’язку з виходом Великобританії з ЄС

Великобританія залишила Європейський Союз (ЄС) 31 січня 2020 року, і у зв’язку з цим було впроваджено UK GDPR на основі GDPR ЄС.

Після виходу з ЄС, Великобританія стала “третьою країною” в рамках GDPR ЄС, і британські компанії, які надають послуги споживачам ЄС, повинні дотримуватися GDPR як Великобританії, так і ЄС.

Пов’язані статті: Що таке GDPR? Порівняння з законом про захист персональних даних та ключові моменти, на які повинні звернути увагу японські компанії[ja]

Пов’язані статті: Ключові моменти при створенні політики конфіденційності, що відповідає GDPR[ja]

Що таке UK GDPR?

UK GDPR (Загальне регулювання захисту даних Великобританії) – це нормативний акт, який встановлює вимоги до обробки персональних даних та їх передачі за межі Великобританії, а також визначає стандарти та обов’язки, яких повинні дотримуватися особи, що здійснюють таку обробку або передачу.

Закон про захист даних 2018 року (Data Protection Act 2018), прийнятий у Великобританії, оновив і замінив рамки Закону про захист даних 1998 року. У зв’язку з виходом Великобританії з ЄС, цей закон було змінено відповідно до законодавства про вихід з ЄС у 2018 році, і з 1 січня 2021 року він набув чинності як UK GDPR.

UK GDPR застосовується до обробки персональних даних, яка відбувається в рамках діяльності адміністраторів та обробників, розташованих у Великобританії. Крім того, UK GDPR також може застосовуватися до обробки персональних даних адміністраторами та обробниками, які не мають бази в Великобританії, у певних випадках.

Ключові аспекти UK GDPR, на які варто звернути увагу

У цьому розділі ми розглянемо два ключові аспекти UK GDPR, на які варто звернути увагу:

• Передача особистих даних
• Призначення представника або агента

Передача особистих даних

Щодо передачі даних між Японією та Великою Британією, японська сторона продовжує застосовувати до Великої Британії після Brexit ті ж визначення, що і до ЄС, згідно зі статтею 24 (яка до змін, внесених статтею 50 Закону про формування цифрового суспільства від 1 квітня 2021 року (Рейва 4), була статтею 24, а тепер є статтею 28) Закону про захист персональних даних.

Крім того, передача особистих даних між Великою Британією та ЄС може продовжуватися безперебійно навіть під час перехідного періоду.

Таким чином, навіть після виходу Великої Британії з ЄС, передача особистих даних між Японією та Великою Британією залишається безперебійною.

Призначення представника або агента

Британським компаніям, які не мають філій або офісів у ЄС, необхідно призначити представника в ЄС та відповідно оновлювати повідомлення про захист даних.

Агент виконуватиме функції представника у випадку, якщо компанія не має філій чи офісів.

Також, за законодавством Великої Британії, компанії ЄС, які володіють особистими даними, повинні мати представника у Великій Британії.

Отже, компаніям, які базуються в ЄС, необхідно переглянути та відокремити свої записи, щоб визначити, чи підпадають вони під регулювання UK GDPR.

Які японські компанії підпадають під дію UK GDPR

UK GDPR застосовується у двох випадках:

1. Коли японська компанія має представництво та веде діяльність у Великобританії
2. Коли у японської компанії немає представництва у Великобританії, але вона розгортає бізнес, спрямований на Великобританію

У другому випадку UK GDPR застосовується, наприклад, коли:

• Японський бізнес запускає електронну комерцію, орієнтовану на глобальний ринок, включаючи Європу
• Проводить маркетингові кампанії, спрямовані на європейський ринок
• Японський бізнес отримує дохід з європейського ринку

Конкретні приклади включають:

• Коли японський бізнес розповсюджує ігрові додатки серед гравців, які знаходяться у Великобританії, та збирає інформацію, таку як імена гравців та історію платежів
• Коли електронний магазин, який дозволяє платежі в фунтах, має англійську версію та згадує про доставку у Великобританію, збирає інформацію про адреси клієнтів, імена та банківські реквізити
• Коли японський бізнес збирає імена та електронні адреси осіб, які знаходяться у Великобританії, для розсилки електронних бюлетенів
• Коли японський бізнес отримує та аналізує геолокаційні дані від осіб, які знаходяться у Великобританії, через додаток
• Коли японський бізнес збирає інформацію про використання кукі на своєму веб-сайті для аналізу переваг користувачів та надсилає рекламу, націлену на конкретні дії
• Коли японський бізнес збирає та управляє інформацією, пов’язаною зі здоров’ям осіб, які знаходяться у Великобританії, через носимі пристрої, такі як смарт-годинники

Нижче наведено діаграму, що показує сферу застосування UK GDPR.

Джерело: Практичний посібник з UK GDPR[ja] | Лондонський офіс Японської організації зі сприяння зовнішній торгівлі (JETRO), Відділ зовнішніх досліджень

Три ризики у разі порушення UK GDPR

У цьому розділі ми розглянемо три ризики, які можуть виникнути у разі порушення UK GDPR.

• Ризик отримати від ICO великі штрафи та інші санкції
• Ризик юридичних вимог про відшкодування збитків від суб’єктів даних та інших осіб
• Ризик втрати ділової репутації через недостатню увагу до захисту персональних даних

ICO (Information Commissioner’s Office) — це незалежний орган Великобританії, створений для захисту прав на інформацію. У разі виявлення порушень правил UK GDPR, ICO може накласти штрафи.

Штрафи можуть бути значними. Наприклад, у 2019 році британській авіакомпанії British Airways було накладено штраф у розмірі 183 мільйони фунтів стерлінгів (1,5% від світового річного доходу British Airways).

Також, міжнародній готельній мережі Marriott International, яка володіє такими відомими готелями як Marriott та Ritz-Carlton, було накладено штраф у розмірі 99 мільйонів фунтів стерлінгів.

Оскільки такі рішення публікуються, компанії ризикують не лише сплатою великих штрафів, але й зниженням брендової вартості. Відновлення корпоративного бренду після падіння може бути дуже складним. Тому необхідно приділяти належну увагу обробці персональних даних, щоб уникнути зниження сили бренду.

Підсумок: Необхідно уважно стежити за змінами в UK GDPR

UK GDPR (Британський Загальний регламент захисту даних) є одним із відносно нових законів, який був змінений 1 січня 2021 року (Reiwa 3) у зв’язку з виходом Великобританії з ЄС.

Крім того, у Великобританії застосовуються два закони: внутрішній UK GDPR та EU GDPR, який застосовується до країн ЄС.

Наразі триває багатогранний перегляд регулювання особистих даних. Тому японським компаніям, які вже ведуть бізнес у Великобританії та країнах ЄС, слід уважно стежити за майбутніми змінами в UK GDPR.

Порушення UK GDPR може призвести не лише до накладення високих штрафів, але й до падіння корпоративного бренду. Тому важливо переглянути власну систему безпеки, зміни в правилах та вжити відповідних заходів.

Інформація про заходи, що їх пропонує наша юридична фірма

Юридична фірма “Моноліт” спеціалізується на IT, зокрема на правових аспектах Інтернету, і має значний досвід у цих сферах. У зв’язку з тим, що глобальний бізнес розширюється з кожним роком, потреба у професійному юридичному аудиті також зростає. Наша фірма пропонує рішення у сфері міжнародного права.

Сфери діяльності юридичної фірми “Моноліт”: Міжнародне право та зарубіжний бізнес[ja]