什麼是英國《日本通用數據保護規則》(UK GDPR)?解析其與《日本通用數據保護規則》(GDPR)的關聯性及需注意的要點
隨著英國脫離歐盟,UK GDPR(英國一般資料保護規範)已於2021年1月1日開始實施。
GDPR是一項歐盟規則,用於規範個人資料的處理與轉移,針對在歐盟境內提供服務給客戶的日本企業而言,遵守GDPR是必要的。UK GDPR則是該規則的英國版本。
本文將詳細解說GDPR與歐盟GDPR的關係,以及歐盟GDPR的具體內容。在涉足包括英國在內的歐洲市場時,本所將介紹您應該掌握的要點以及應該預先了解的法律。
隨著英國脫歐而實施的英國GDPR
英國於2020年1月31日脫離歐盟(EU),隨之而來的是基於歐盟GDPR的英國GDPR的實施。
在歐盟GDPR的規範下,英國成為了「第三國」,提供服務給歐盟消費者的英國企業需要遵守英國和歐盟雙方的GDPR規定。
GDPR(歐盟一般資料保護規則) | 於2018年實施的法律。 向歐盟境內的人們提供商品或服務,或進行行為監控時,必須採取資料保護措施。 |
UK GDPR(英國一般資料保護規定) | 隨著2020年英國脫歐而實施的法律。對於在英國成立的企業・組織,或向英國國內用戶提供服務時,必須採取資料保護措施。 |
相關文章:GDPR是什麼?與個人資訊保護法的比較以及日本企業應注意的要點[ja]
何謂英國GDPR
英國GDPR(英國一般資料保護規範)是一套規定個人資料處理以及跨越英國國界轉移的要求,同時也設定了從事這些處理或轉移活動的個體必須遵守的規範與義務。
2018年制定的資料保護法2(Data Protection Act 2018)更新並取代了英國1998年制定的資料保護法框架。考量到英國脫歐的情況,根據2018年的脫歐法規定,該法案於2021年1月1日被修訂為英國GDPR。
英國GDPR適用於在英國境內的管理者或處理者進行的「個人資料處理」活動。此外,英國GDPR在某些情況下,也適用於在英國境內沒有據點的管理者或處理者所進行的個人資料處理。
需掌握的英國GDPR要點
本章將解說在英國GDPR中需特別注意的以下兩個要點。
- 個人資料的轉移
- 代理人・代表的任命
個人資料的轉移
在日英之間的資料轉移方面,日本根據個人資訊保護法第24條(該條款於令和4年(2022年)4月1日實施的數位社會形成整備法第50條修正前的版本,現行為第28條)的規定,決定在英國脫歐後繼續對英國進行相同的指定。
此外,英國與歐盟之間的個人資料轉移,在過渡期間內仍可如同以往般順暢進行。
因此,即便在英國脫歐後,日英之間的個人資料轉移仍得以保障順暢進行。
代理人・代表的任命
英國企業若在歐盟境內沒有設立分支機構或辦事處,則必須任命歐盟代理人,並適時更新資料保護通知。
代理人 | 對於在歐盟境內沒有設立據點的企業,若在歐盟境內處理個人資料,則有義務選任歐盟境內的代理人。代理人負責協調企業與歐盟境內當局之間,有關個人資料處理事宜的代表角色。 |
代表 | 對於在歐盟境內設有據點的企業,若在歐盟境內處理個人資料,則有義務選任歐盟境內的代表。代表負責承擔企業在歐盟境內處理個人資料的責任。 |
代理人將作為分支機構或辦事處的代表來執行職能。
同時,根據英國法律,擁有個人資料的歐盟企業也被要求在英國設置代表。
因此,設立於歐盟的企業需要審查並分離記錄,以判斷所處理的資訊是否適用於英國GDPR規範。
適用於日本企業的英國GDPR
英國GDPR適用於以下兩種情況的日本企業:
- 在英國境內設立基地並進行業務活動時
- 雖然在英國沒有基地,但向英國展開業務時
在第二種情況下,英國GDPR適用於以下情形:
- 日本企業針對包括歐洲在內的全球市場開展電子商務網站時
- 對歐洲市場進行市場營銷活動時
- 日本企業從歐洲市場獲得收益時
具體來說,適用的情況包括:
- 日本企業向位於英國的玩家提供遊戲應用,並收集玩家的姓名和消費記錄時
- 能夠進行英鎊結算、有英文標示且提及英國配送的電子商務網站收集顧客的地址、姓名和賬戶信息時
- 日本企業為向位於英國的個人發送電子郵件雜誌,管理其姓名和電子郵件地址時
- 日本企業從位於英國的個人處獲取應用程序的位置信息並進行分析時
- 日本企業從網站上獲取Cookie信息,分析個人喜好並進行行為定向廣告投放時
- 日本企業通過可穿戴設備(如智能手錶)獲取並管理位於英國的個人健康相關信息時
以下是英國GDPR適用範圍流程圖。
參考資料:「英國一般數據保護規範(UK GDPR)」實務手冊[ja]|日本貿易振興機構(JETRO)倫敦辦事處海外調查部
違反英國GDPR的三大風險
本章將介紹違反英國GDPR(General Data Protection Regulation)時可能面臨的三大風險。
- 面臨英國資訊專員辦公室(ICO)處以高額罰款等處罰的風險
- 可能遭受資料主體等提出損害賠償等法律訴求的風險
- 因個人資料保護措施不足而失去商業信譽的風險
英國資訊專員辦公室(ICO)是一個獨立機構,成立目的是為了保護資訊權利。一旦發現違反英國GDPR的行為,ICO有可能會處以罰款。
這些罰款金額可能非常龐大,例如在2019年,英國航空公司British Airways就被處以1億8300萬英鎊(相當於British Airways全球年收入的1.5%)的罰款。
同樣地,經營著「萬豪」和「麗思卡爾頓」等知名酒店品牌的萬豪國際集團,也被處以9900萬英鎊的罰款。
由於這些處分會被公開,因此不僅面臨高額罰款,企業的品牌價值也可能因此受損。一旦品牌形象受損,要恢復原有的地位將非常困難。為了維護品牌力,必須充分注意個人資料的處理。
總結:須密切關注英國GDPR的修訂動態
英國GDPR(英國一般資料保護規範)是隨著英國脫歐而在2021年1月1日(公曆2021年)修訂的較新法律之一。
此外,本文介紹的針對英國國內的英國GDPR,以及適用於歐盟各國的EU-GDPR,這兩項法律在英國都已實施。
目前,關於個人資訊保護的規範仍在多方面進行審查與修訂。因此,對於已經進入英國或歐盟市場的日本企業來說,未來英國GDPR修訂的趨勢是必須密切關注的。
一旦違反英國GDPR,不僅可能面臨高額的罰款,還可能導致企業品牌聲譽的損失。因此,審視自家的安全體系、更新規則以及採取相應措施是至關重要的。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的法律事務所。近年來,全球商業活動的擴張日益加速,專業的法律審查需求也隨之增加。本所事務所提供國際法務相關的解決方案。
Monolith法律事務所的業務範圍:國際法務與海外業務[ja]