Da GDPR trådte i kraft i maj 2018, var Storbritannien stadig medlem af EU. Selvom forhandlingerne om Storbritanniens udtræden af EU (Brexit) havde været i gang siden folkeafstemningen i 2016, var Storbritannien fortsat forpligtet til at overholde GDPR.
Efter overgangsperioden ophørte Det Forenede Kongerige imidlertid med at være EU-medlem den 31. december 2020.
Det har skabt betydelig forvirring om, hvorvidt britiske organisationer stadig skal overholde GDPR. Og også hvad der erstatter GDPR i britisk lovgivning.
For at rydde op i den resterende forvirring forklarer vi, hvordan GDPR nu relaterer til Storbritannien i denne artikel. Vi vil også diskutere den nuværende tilstand af britisk databeskyttelseslovgivning.
Gælder GDPR for Storbritannien?
Fra 1. januar 2021 gælder EU GDPR ikke længere fuldt ud i Storbritannien. Storbritannien er dog – ligesom alle lande uden for EU – stadig bundet af de ekstraterritoriale virkninger af GDPR.
To primære ekstraterritoriale virkninger påvirker organisationer uden for EU:
- Ved salg af varer og tjenesteydelser til EU-borgere. Her er indsamlingen af personoplysninger stadig reguleret og skal være i overensstemmelse med GDPR. Det betyder, at man skal følge de syv kerneprincipper og sikre, at der gives aktivt samtykke.
- Overvågning af brugeraktivitet er også omfattet, f.eks. indsamling af cookies. Her skal alle data, der indsamles for at overvåge en EU-borger, følge GDPR.
Manglende overholdelse af GDPR til punkt og prikke vil resultere i en bøde på 20 millioner euro eller 4 % årlig global omsætning – alt efter hvad der er højest. For britiske organisationer er det mere sandsynligt, at dette vil være strafbart i retten i betragtning af den nylige tætte overholdelse af EU-lovgivningen.
Dette gælder ikke for britiske organisationer, der ikke henvender sig til EU-borgere, f.eks. en lokal restaurant. Det gælder heller ikke for personlig eller familiebaseret kommunikation.
Hvad har erstattet EU’s GDPR?
Som forberedelse til Brexit overførte den britiske regering meget af EU-lovgivningen til britisk lovgivning. Det inkluderer EU GDPR. Tilbage i 2018 vedtog databeskyttelsesloven (DPA) allerede EU’s GDPR-krav i britisk lovgivning. Der blev dog foretaget yderligere ændringer af DPA (2018) med DPPEC (databeskyttelse, privatlivets fred og elektronisk kommunikation (ændringer osv.) (EU-udtræden)) i 2019. Denne lovgivning slog DPA (2018) sammen med EU’s GDPR for at skabe en ny databeskyttelsesordning for Storbritannien.
Dette er kendt som UK GDPR.
Hvad er UK GDPR?
UK GDPR er et separat stykke lovgivning, der adskiller sig fra EU GDPR. Den britiske GDPR deler dog mange af de samme nøgleprincipper, rettigheder og forpligtelser på grund af sin historie. Ligesom EU’s GDPR har UK GDPR to nøgleprincipper:
- Organisationer, der indsamler personoplysninger om britiske statsborgere, skal sikre, at det sker på en begrænset og sikker måde. Dette reducerer masseindsamlingen af data og forhindrer sandsynligheden for databrud.
- Britiske statsborgere har ret til at give samtykke til deres dataindsamling og kan trække deres samtykke tilbage på et senere tidspunkt. De skal informeres ordentligt om, hvordan deres data bruges, før de kan træffe en beslutning.
Den britiske GDPR har også konsekvenser for organisationer uden for Storbritannien. Ligesom EU GDPR udøver UK GDPR en “ekstraterritorial effekt”. Det betyder, at organisationer uden for Storbritannien skal følge UK GDPR under følgende omstændigheder:
– Hvis de markedsfører varer eller tjenesteydelser til borgere i Storbritannien (enten betalt eller gratis).
– Hvis de overvåger britiske borgeres onlineadfærd, når de får adgang til deres websted.
I begge tilfælde er britiske borgeres personoplysninger underlagt streng lovgivning. Virksomheder i både Storbritannien og EU skal således overholde både UK og EU GDPR’er – selvom begge er reguleret separat.
Endnu en gang er der ligesom EU GDPR nogle bemærkelsesværdige undtagelser. UK GDPR regulerer ikke personlig kommunikation eller virksomheder, der ikke henvender sig til britiske borgere. For eksempel en lokal boghandel i Prag, Tjekkiet.
Hvad sker der, hvis du ikke overholder UK GDPR?
Manglende overholdelse af UK GDPR resulterer også i bøder: enten 17,5 millioner pund eller 4 % årlig global omsætning – alt efter hvad der er højest. Det er ikke den fulde liste over mulige håndhævelsesaktiviteter. UK Information Commissioner’s Office (ICO) bevarer også retten til at håndhæve britiske GDPR-overtrædelser på andre måder, herunder:
– Udstedelse af advarsler og irettesættelser
– Indførelse af et midlertidigt eller permanent forbud mod databehandling
– Ordre om berigtigelse, begrænsning eller sletning af data
– Suspension af dataoverførsler til tredjelande
Den britiske GDPR rangerer også lovovertrædelser og udsteder forskellige niveauer af sanktioner. Der er to strafniveauer:
- Lavere niveau. Bøder på op til 8,7 millioner eller 2 % af den årlige globale omsætning. Udstedt for følgende artikelovertrædelser:
en. Artikel 8: Betingelser for børns samtykke
b. Artikel 11: Behandling, der ikke kræver identifikation
c. Artikel 25-39: Databehandleres og dataansvarliges generelle forpligtelser
d. Artikel 42: Certificering
e. Artikel 43: Certificeringsorganer - Højere niveau. Bøder på op til 17,5 millioner pund eller 4 % af den årlige globale omsætning. Problemer for følgende artikelovertrædelser:
en. Artikel 5: Principper for databehandling
b. Artikel 6: Behandlingens lovlighed
c. Artikel 7: Betingelser for samtykke
d. Artikel 9: Behandling af særlige kategorier af oplysninger
e. Artikel 12-22: Registreredes rettigheder
f. Artikel 44-49: Dataoverførsler til tredjelande eller internationale organisationer
Konklusion
For at opsummere: Som forberedelse til Brexit overførte og konsoliderede den britiske regering eksisterende lovgivning til UK GDPR. Denne forordning afspejler EU GDPR på mange måder. Det kræver, at ikke-britiske organisationer følger loven, når de indsamler og bruger data om britiske statsborgere.
Derfor skal virksomhederne sætte sig ind i lovgivningen og dens krav.
Kilder:
https://www.itgovernance.co.uk/dpa-and-gdpr-penalties
https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/the-uk-gdpr/
https://article27representative.eu/brexit/brexit-and-the-gdpr/
https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr
https://www.legislation.gov.uk/uksi/2019/419/introduction/made
https://www.gdpr.associates/gdpr-brexit/