UK GDPR là gì? Giải thích mối quan hệ với GDPR và các điểm cần nắm bắt

Theo sự rời bỏ Liên minh Châu Âu (EU) của Vương quốc Anh, UK GDPR (Quy định Bảo vệ Dữ liệu Chung của Anh) đã được thi hành từ ngày 1 tháng 1 năm 2021.

GDPR là quy tắc của EU đối với việc xử lý và chuyển giao dữ liệu cá nhân, và các doanh nghiệp Nhật Bản phát triển dịch vụ hướng đến khách hàng trong khu vực EU cần phải tuân thủ GDPR. UK GDPR chính là phiên bản của GDPR tại Vương quốc Anh.

Bài viết này sẽ giải thích chi tiết về mối quan hệ giữa GDPR và EU GDPR, cũng như thông tin chi tiết về EU GDPR. Hãy nắm vững những điểm quan trọng cần lưu ý và các biện pháp pháp lý cần chuẩn bị khi bạn mở rộng kinh doanh tại châu Âu, bao gồm cả Vương quốc Anh.

UK GDPR được thi hành theo sự rời bỏ EU của Anh

Anh đã rời khỏi Liên minh Châu Âu (EU) vào ngày 31 tháng 1 năm 2020, và theo đó, UK GDPR dựa trên GDPR của EU đã được thi hành.

Dưới sự điều chỉnh của GDPR của EU, Anh trở thành “quốc gia thứ ba” và các doanh nghiệp Anh cung cấp dịch vụ cho người tiêu dùng EU cần tuân thủ cả GDPR của Anh và EU.

Bài viết liên quan: GDPR là gì? So sánh với luật bảo vệ thông tin cá nhân và điểm mà doanh nghiệp Nhật Bản cần lưu ý[ja]

Bài viết liên quan: Giải thích các điểm cần lưu ý khi tạo Chính sách Bảo mật tuân thủ GDPR[ja]

UK GDPR là gì?

UK GDPR (Quy định Bảo vệ Dữ liệu Chung của Anh) là một quy tắc quy định các yêu cầu cần thiết để xử lý dữ liệu cá nhân và chuyển dữ liệu ra ngoài nước Anh, đồng thời đặt ra các chuẩn mực và nghĩa vụ mà các bên thực hiện xử lý hoặc chuyển dữ liệu cần tuân theo.

Luật Bảo vệ Dữ liệu 2 (Data Protection Act 2018) được ban hành vào năm 2018, cập nhật và thiết lập khuôn khổ của Luật Bảo vệ Dữ liệu được ban hành năm 1998 tại Anh. Sau đó, xét đến tình hình Anh rời khỏi EU, quy định này đã được sửa đổi thành UK GDPR theo Luật Rời khỏi EU năm 2018 và có hiệu lực từ ngày 1 tháng 1 năm 2021.

UK GDPR được áp dụng cho việc “xử lý dữ liệu cá nhân” diễn ra trong quá trình hoạt động của các quản lý viên và người xử lý dữ liệu tại Anh. Ngoài ra, UK GDPR cũng được áp dụng trong một số trường hợp đối với việc xử lý dữ liệu cá nhân bởi các quản lý viên và người xử lý không có cơ sở tại Anh.

Những Điểm Cần Lưu Ý trong UK GDPR

Trong chương này, chúng tôi sẽ giải thích về hai điểm quan trọng sau đây cần nắm vững trong UK GDPR.

• Chuyển giao dữ liệu cá nhân
• Bổ nhiệm đại lý/đại diện

Chuyển giao dữ liệu cá nhân

Đối với việc chuyển giao dữ liệu giữa Nhật Bản và Anh, phía Nhật Bản tiếp tục áp dụng quy định đã chỉ định dựa trên Điều 24 của Luật Bảo vệ Thông Tin Cá Nhân (trước khi sửa đổi bởi Điều 50 của Luật Hình thành Xã hội Số, có hiệu lực từ ngày 1 tháng 4 năm 2022 (Reiwa 4)) đối với Anh sau khi rời EU.

Ngoài ra, việc chuyển giao dữ liệu cá nhân giữa Anh và EU trong thời gian chuyển tiếp vẫn có thể diễn ra một cách trôi chảy như trước đây.

Do đó, ngay cả sau khi Anh rời EU, việc chuyển giao dữ liệu cá nhân giữa Nhật Bản và Anh vẫn được đảm bảo một cách trôi chảy.

Bổ nhiệm đại lý/đại diện

Các công ty Anh, nếu không có chi nhánh hoặc văn phòng tại EU, cần bổ nhiệm một đại lý EU và cập nhật thông báo bảo vệ dữ liệu một cách thích hợp.

Đại lý sẽ hoạt động như một đại diện thông qua các chi nhánh hoặc văn phòng của họ.

Hơn nữa, theo luật pháp Anh, các công ty EU sở hữu dữ liệu cá nhân cũng được yêu cầu phải có đại diện tại Anh.

Do đó, các công ty có cơ sở tại EU cần phải xem xét lại và phân loại hồ sơ để xác định liệu thông tin được xử lý có thuộc phạm vi điều chỉnh của UK GDPR hay không.

Các doanh nghiệp Nhật Bản áp dụng UK GDPR

Có hai trường hợp mà UK GDPR được áp dụng:

1. Khi doanh nghiệp có cơ sở hoạt động tại Anh Quốc
2. Khi doanh nghiệp không có cơ sở tại Anh Quốc nhưng triển khai kinh doanh hướng đến thị trường Anh Quốc

Trong trường hợp thứ hai, UK GDPR được áp dụng trong các tình huống sau:

• Khi doanh nghiệp Nhật Bản triển khai trang thương mại điện tử (EC) hướng đến thị trường toàn cầu, bao gồm cả châu Âu
• Khi tiến hành chiến dịch marketing hướng đến thị trường châu Âu
• Khi doanh nghiệp Nhật Bản thu lợi nhuận từ thị trường châu Âu

Cụ thể, UK GDPR áp dụng trong các trường hợp sau:

• Khi doanh nghiệp Nhật Bản phân phối ứng dụng game cho người chơi tại Anh Quốc và thu thập thông tin như tên người chơi và lịch sử thanh toán
• Khi trang thương mại điện tử có khả năng thanh toán bằng bảng Anh, hiển thị bằng tiếng Anh và đề cập đến việc vận chuyển hàng hóa đến Anh Quốc, thu thập thông tin khách hàng như địa chỉ, tên và thông tin tài khoản
• Khi doanh nghiệp Nhật Bản quản lý tên và địa chỉ email của cá nhân tại Anh Quốc để gửi bản tin qua email
• Khi doanh nghiệp Nhật Bản thu thập và phân tích thông tin vị trí từ ứng dụng của người dùng tại Anh Quốc
• Khi doanh nghiệp Nhật Bản thu thập thông tin cookie từ trang web để phân tích sở thích cá nhân và phân phối quảng cáo dựa trên hành vi mục tiêu
• Khi doanh nghiệp Nhật Bản thu thập và quản lý thông tin liên quan đến sức khỏe của cá nhân tại Anh Quốc thông qua thiết bị đeo được (như đồng hồ thông minh)

Dưới đây là sơ đồ luồng áp dụng UK GDPR:

Tham khảo: Sổ tay thực hành “Quy định Bảo vệ Dữ liệu Chung của Anh Quốc (UK GDPR)”[ja] | Văn phòng JETRO London, Bộ phận Nghiên cứu Quốc tế

Ba rủi ro khi vi phạm UK GDPR

Trong chương này, chúng tôi sẽ giới thiệu ba rủi ro khi vi phạm UK GDPR.

• Rủi ro bị Cơ quan Ủy ban Thông tin (ICO) áp đặt các hình phạt bao gồm cả khoản tiền phạt lớn
• Rủi ro phải đối mặt với các yêu cầu pháp lý như yêu cầu bồi thường thiệt hại từ phía người chủ thể dữ liệu
• Rủi ro mất uy tín kinh doanh do không đáp ứng đủ các yêu cầu về bảo vệ dữ liệu cá nhân

ICO (Information Commissioner’s Office) là một cơ quan độc lập của Anh, được thành lập để bảo vệ quyền thông tin. Nếu vi phạm các quy định của UK GDPR được phát hiện, có thể sẽ phải đối mặt với việc bị ICO áp đặt tiền phạt.

Mức phạt có thể rất cao, vào năm 2019, hãng hàng không British Airways của Anh đã bị phạt 183 triệu bảng Anh (tương đương 1.5% doanh thu toàn cầu hàng năm của British Airways).

Ngoài ra, Marriott International, công ty quản lý các khách sạn nổi tiếng như Marriott và Ritz-Carlton, cũng đã bị phạt 99 triệu bảng Anh.

Do những quyết định này được công bố, không chỉ phải đối mặt với khoản tiền phạt lớn, mà giá trị thương hiệu cũng có thể giảm sút. Việc nâng cao lại giá trị thương hiệu một khi đã suy giảm là vô cùng khó khăn. Vì vậy, để không làm giảm sức mạnh thương hiệu, cần phải hết sức chú ý đến việc xử lý dữ liệu cá nhân.

Tổng kết: Cần chú ý đến xu hướng sửa đổi UK GDPR

UK GDPR (Quy định Bảo vệ Dữ liệu Chung của Anh) là một trong những đạo luật tương đối mới được sửa đổi vào ngày 1 tháng 1 năm 2021 (2021) do Anh rời khỏi Liên minh Châu Âu (EU).

Ngoài ra, tại Anh hiện đang áp dụng hai loại luật liên quan đến bảo vệ dữ liệu cá nhân: UK GDPR dành cho nội địa và EU GDPR áp dụng cho các quốc gia thành viên EU.

Hiện nay, việc rà soát các quy định liên quan đến thông tin cá nhân vẫn đang được tiến hành từ nhiều phía. Do đó, các doanh nghiệp Nhật Bản đã tham gia vào thị trường Anh và các quốc gia EU cần phải theo dõi sát sao các xu hướng sửa đổi UK GDPR trong tương lai.

Vi phạm UK GDPR không chỉ dẫn đến việc bị phạt tiền lớn mà còn có thể làm tổn hại đến thương hiệu doanh nghiệp. Việc xem xét lại hệ thống bảo mật của công ty, cập nhật các quy tắc và chuẩn bị các biện pháp phòng ngừa là hết sức quan trọng.

Giới thiệu các biện pháp của Văn phòng Luật sư Monolith

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong lĩnh vực IT, đặc biệt là Internet và luật pháp. Trong những năm gần đây, kinh doanh toàn cầu ngày càng mở rộng, và nhu cầu kiểm tra pháp lý bởi các chuyên gia ngày càng tăng. Văn phòng chúng tôi cung cấp các giải pháp liên quan đến pháp luật quốc tế.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp luật quốc tế & Kinh doanh nước ngoài[ja]