UK GDPR是什么?解释与GDPR的关系和应掌握的要点
随着英国脱离欧盟,UK GDPR(英国通用数据保护条例)已于2021年1月1日(公历)开始实施。
GDPR是一项欧盟规定,用于规范个人数据的处理和转移。面向欧盟内部客户提供服务的日本企业需要遵守GDPR。UK GDPR则是该规定的英国版本。
本文将详细解释GDPR与UK GDPR的关系,以及EU GDPR的具体内容。在向包括英国在内的欧洲地区拓展业务时,我们将介绍您需要掌握的关键点和应采取的法律措施。
随着英国脱欧实施的UK GDPR
英国于2020年1月31日(公历)脱离了欧盟(EU),随之而来的是基于欧盟GDPR的英国版GDPR(UK GDPR)的实施。
在欧盟GDPR的框架下,英国成为了“第三国”,向欧盟消费者提供服务的英国企业需要遵守英国和欧盟双方的GDPR规定。
| GDPR(欧盟通用数据保护条例) | 2018年实施的法律。 向欧盟内的人们提供商品或服务,或监控其行为时,需要采取数据保护措施。 |
| UK GDPR(英国通用数据保护条例) | 随2020年英国脱欧而实施的法律。对于在英国成立的企业组织,或向英国国内用户提供服务的情况,需要采取数据保护措施。 |
相关文章:什么是GDPR?与个人信息保护法的比较以及日本企业应注意的要点[ja]
相关文章:解析制定符合GDPR的隐私政策时应注意的要点[ja]
什么是英国GDPR
英国GDPR(英国一般数据保护条例)是一项规定,旨在明确处理个人数据以及将数据转移到英国境外所需遵循的要求,并规定了进行处理或转移的个体应遵守的规范和义务。
2018年颁布的《2018年数据保护法》(Data Protection Act 2018)更新并取代了英国1998年制定的数据保护法框架。随后,考虑到英国脱欧的情况,根据2018年的脱欧法规,该法律在2021年1月1日被修订为英国GDPR。
英国GDPR适用于在英国境内的管理者或处理者在其业务活动中进行的“个人数据处理”。此外,英国GDPR在某些情况下也适用于在英国境内没有业务基地的管理者或处理者所进行的个人数据处理。
需掌握的英国通用数据保护条例(UK GDPR)要点
本章将解释在英国通用数据保护条例(UK GDPR)中应当注意的以下两个要点。
- 个人数据的转移
- 代理人及代表的任命
个人数据的转移
在日英之间的数据转移方面,日本依据个人信息保护法第24条(该条款在令和4年(2022年)4月1日施行的数字社会形成整备法第50条修正之前的版本,现在为第28条)对欧盟所做的指定,在英国脱欧后也将继续适用于英国。
此外,英国与欧盟之间个人数据的转移,在过渡期间可以像以前一样顺畅进行。
因此,即使在英国脱离欧盟后,日英之间顺畅的个人数据转移仍然得到保障。
代理人及代表的任命
英国企业若在欧盟境内没有分支机构或办事处,必须任命欧盟代理人,并适时更新数据保护通知。
| 代理人 | 对于在欧盟境内没有设立基地的企业,若在欧盟境内处理个人数据,则必须在欧盟境内任命代理人。代理人负责协调企业与欧盟境内当局之间,关于个人数据处理事宜的代表角色。 |
| 代表者 | 对于在欧盟境内设立基地的企业,若在欧盟境内处理个人数据,则必须任命代表者。代表者负责企业在欧盟境内处理个人数据的责任。 |
代理人将作为分支机构或办事处的代表来发挥作用。
另外,根据英国法律,持有个人数据的欧盟企业也被要求在英国设立代表。
因此,设立在欧盟的企业需要审查和区分记录,以判断所处理的信息是否受到UK GDPR规则的约束。
适用于英国GDPR的日本企业
英国GDPR适用的情况主要有以下两种:
- 在英国境内设立基地并开展活动时
- 虽然没有在英国设立基地,但向英国市场展开业务时
在第二种情况下,英国GDPR适用的具体例子包括:
- 日本企业针对包括欧洲在内的全球市场开展电子商务网站时
- 对欧洲市场进行营销活动时
- 日本企业从欧洲市场获得收益时
具体的案例可能包括:
- 日本企业向位于英国的玩家分发游戏应用,并收集玩家的姓名和消费记录时
- 可以进行英镑结算、有英文标识,并提及英国配送的电子商务网站上收集客户的地址、姓名和账户信息时
- 日本企业为向位于英国的个人发送电子邮件杂志而管理姓名和电子邮件地址时
- 日本企业从位于英国的个人处通过应用程序获取位置信息并进行分析时
- 日本企业通过网站获取Cookie信息,分析个人偏好并投放行为定向广告时
- 日本企业通过可穿戴设备(如智能手表)获取并管理位于英国的个人的健康相关信息时
以下是英国GDPR适用范围的流程图。
参考资料:《英国一般数据保护条例(UK GDPR)》实务手册[ja] | 日本贸易振兴机构(JETRO)伦敦办事处海外调查部
违反英国GDPR的三大风险
本章将介绍违反英国GDPR(General Data Protection Regulation)时可能面临的三大风险。
- 面临被ICO(信息专员办公室)处以高额罚款的风险
- 面临数据主体等提起的损害赔偿等法律诉求的风险
- 因个人数据保护措施不足而失去商业信誉的风险
ICO是为了保护信息权而设立的英国独立机构。一旦发现违反了英国GDPR的规定,ICO可能会对相关企业处以罚款。
罚款金额可能非常高昂,例如在2019年,英国航空公司British Airways就被处以了1亿8300万英镑(相当于British Airways全球收入的1.5%)的罚款。
同样,管理着“万豪”和“丽思卡尔顿”等知名酒店品牌的万豪国际集团,也被处以了9900万英镑的罚款。
这些处罚都会被公开,因此不仅仅是高额罚款,还可能导致品牌价值下降。一旦企业品牌声誉受损,恢复起来将非常困难。为了不让品牌力受损,必须充分注意个人数据的处理。
总结:必须密切关注UK GDPR修正动态
UK GDPR(英国通用数据保护条例)是随着英国脱欧而在2021年1月1日(公历)进行修订的较新法律之一。
此外,本文介绍的面向英国国内的UK GDPR和适用于欧盟其他国家的EU GDPR,这两部法律在英国都得到了应用。
目前,英国仍在多方面推进个人信息保护规定的审查。因此,已经进入英国或欧盟市场的日本企业也应密切关注UK GDPR未来修正的动态。
一旦违反UK GDPR,不仅可能面临高额的罚款,还可能导致企业品牌声誉的下降。因此,重审公司的安全体系、规章变更和采取相应措施是至关重要的。
本所提供的对策介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。近年来,全球商务不断扩大,专业的法律审查需求也日益增加。我们事务所提供国际法务解决方案。
Monolith法律事务所的业务领域:国际法务・海外业务[ja]
