UK-GDPR: nowe brytyjskie prawo po Brexicie

Nowe UK-GDPR i poprawiona ustawa o ochronie danych (Data Protection Act 2018), które weszły w życie 31 stycznia 2020, wpływają na to, jak właściciele stron internetowych muszą uzyskiwać i przechowywać zgody od użytkowników z Wielkiej Brytanii i Unii Europejskiej. 

Wypróbuj nasz darmowy test zgodności, aby sprawdzić, czy użycie plików cookie i śledzenie na Twojej stronie spełniają wymogi RODO.

UK-GDPR is the new domestic data law after Brexit in Great Britain.

Wielka Brytania wychodzi z UE 31 stycznia 2020.

Po opuszczeniu Unii UK nie będzie już dłużej regulowane wewnętrznie poprzez europejskie Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation – GDPR).

Zamiast tego, Brytania uchwala własną wersję prawa, znaną jako UK-GDPR (United Kingdom General Data Protection Regulation).

Wejdzie ono w życie w „Dzień Wyjścia”, 31 stycznia 2020.

W tym wpisie przyjrzymy się “nowemu” brytyjskiemu prawu dotyczącemu danych.

UK-GDPR – przedział czasowy

Niektórzy mogą się zastanawiać: czy teraz są dwa RODO? O co chodzi?

Cóż, Wielka Brytania opuszcza Unię Europejską 31 stycznia 2020 i w tym momencie umowa o wystąpieniu przyjęta w Parlamencie w grudniu 2019 r. wejdzie w życie i potrwa do 31 grudnia 2020 r.

Kiedy zakończy się umowa o wystąpieniu, UK będzie oficjalnie niezależne od UE i unijne RODO, które reguluje przetwarzanie danych osobowych we wszystkich państwach członkowskich od maja 2018 r., przestanie obowiązywać wewnętrznie w Wielkiej Brytanii.

Aby uniknąć sklasyfikowania przez Unię Europejską jako trzeci kraj (czyli np. państwo mające mniej adekwatny poziom ochrony danych, co nie pozwala im korzystać ze swobodnego przepływu danych w UE), powołano nową ustawę UK-GDPR, obowiązującą od Dnia Wyjścia, 31 stycznia 2020.

Nowe UK-GDPR będzie równe europejskiemu GDPR (RODO), które będzie wciąż obowiązywało w UK do 31 grudnia 2020.

Wszystko to oznacza, że owszem, będą dwa RODO obowiązujące jednocześnie w UK w 2020, równolegle z Ustawą o Ochronie Danych 2018 (Data Protection Act 2018), którego poprawiona wersja także wchodzi w życie 31 stycznia 2020. 

Przyjrzyjmy się treści i zakresowi nowego UK-GDPR.

UK-GDPR – treść i zakres

United Kingdom General Data Protection Regulation (UK-GDPR) jest w gruncie rzeczy takim samym prawem jak europejskie RODO (GDPR), tylko lekko zmienione na potrzeby dostosowania go do brytyjskich obszarów prawa.

Było wzorowane bezpośrednio na treści unijnego GDPR i główne zmiany w nim wprowadzone to United Kingdom zamiast Union (Unia) oraz domestic law (prawo krajowe) w miejsce EU law (prawo UE).

The new UK-GDPR looks a lot like the EU GDPR with small changes.
Europejskie prawo danych stanie się krajowym RODO w Wielkiej Brytanii z dniem 31 stycznia 2020 r.

Oznacza to, że podstawowe definicje i terminologia prawna znane z europejskiego RODO, między innymi dane osobowe, prawa osoby, której dotyczą dane, administrator danych osobowych oraz podstawy prawne do przetwarzania danych, takie jak wcześniejsza zgoda można znaleźć także w UK-GDPR.

Choć UK-GDPR rozszerza się na unijne RODO, jednocześnie odbiega od niego w znaczący sposób. Spowoduje to zmiany w brytyjskim prawie dotyczącym ochrony danych w Wielkiej Brytanii.

Te zmiany można znaleźć w rządowym rozporządzeniu w sprawie ochrony danych, prywatności i komunikacji elektronicznej (Data Protection, Privacy and Electronic Communications (EU Exit) Regulation).

Rozporządzenie to zmienia i przekształca europejskie RODO w krajowe UK-GDPR, a także koryguje Ustawę o Ochronie Danych z 2018 r.

Harmonogram Keelinga to nieoficjalny dokument, podkreślający zmiany w ustawach. Jest bardzo pomocny w precyzyjnym ujęciu tego, jak Brytania przekształca europejskie RODO w UK-GDPR – gdzie od niego odbiega, a gdzie pozostaje takie samo.

Harmonogram Keelinga dla stworzenia nowego UK-GDPR

UK-GDPR poszerza i zmienia europejskie RODO

Te obszary zostają rozszerzone przez UK-GDPR:

  • Bezpieczeństwo narodowe
  • Służby wywiadowcze
  • Imigracja

Te pola są z definicji poza zakresem unijnego RODO, ponieważ odnoszą się do ściśle państwowych regulacji. UE nie ma uprawnień do zarządzania kwestiami bezpieczeństwa narodowego w państwach członkowskich.

Jednakże UK-GDPR określa pewne wyjątki, dzięki którym można ominąć regularną ochronę danych osobowych np. gdy chodzi o bezpieczeństwo narodowe lub w sprawach imigracji. Odnosi się to także to samych wymagań dla gromadzenia i przetwarzania danych osobowych przez służby wywiadowcze.

Kolejną dużą zmianą w UK-GDPR jest to, że Komisarz ds. Informacji, dotychczas wiodący organ ochrony danych w Wielkiej Brytanii stanie się głównym organem nadzoru, regulatorem i organem wykonawczym UK-GDPR.

UK-GDPR will be enforced by the ICO in the UK.
“Komisarz”, jak definiowany jest ICO w nowym UK-GDPR, będzie odpowiedzialny za egzekwowanie przepisów.

Oznacza to, że tam, gdzie wcześniej zgodnie z unijnym RODO Europejska Rada Ochrony Danych byłaby najwyższym organem nadzorczym, ICO przejmuje teraz wszystkie sprawy związane z regulacją i egzekwowaniem UK-GDPR.

Dodatkowo Sekretarz Stanu jest uprawniony do określania lub odwoływania decyzji w sprawie adekwatności w na podstawie UK-GDPR.

W praktyce, Sekretarz może podejmować te decyzje bez konsultacji z ICO.

Z powodu eksterytorialnego zakresu UK-GDPR, każda strona internetowa lub firma na świecie, która zbiera lub przetwarza dane osobowe osób znajdujących się w UK, jest zobowiązana do zgodności z UK-GDPR.

Oznacza to także, że np. unijne firmy oferujące swoje usługi w UK powinny wskazać swojego przedstawiciela, tak jak miało to miejsce w odwrotnym przypadku europejskiego RODO.

Przedstawiciel jest zdefiniowany w UK-GDPR jako “osoba fizyczna lub prawna mająca siedzibę w Zjednoczonym Królestwie, która reprezentuje administratora lub podmiot przetwarzający”.

Ponadto, wchodząc w życie 31 stycznia 2020, UK-GDPR automatycznie uzna wszystkie państwa Unii Europejskiej za adekwatne, podobnie jak wszystkie istniejące decyzje UE w sprawie adekwatności jako odpowiednie również w Wielkiej Brytanii. (np. US Privacy Shield).

Zauważalną różnicą między europejskim RODO i nowym krajowym UK-GDPR jest wiek ważnej zgody, który został obniżony do 13 lat w UK (16 lat w UE).

UK-GDPR i Cookiebot

No dobrze, więc co to wszystko znaczy dla Twojej firmy w UK lub Twojej strony w UE oferującej usługi i zbierającej dane osób w Zjednoczonym Królestwie?

Cóż, oznacza to, że wyjście z Unii Europejskiej nie spowoduje, że zobaczymy zmniejszenie wymagań dotyczących przetwarzania danych osobowych.

W praktyce, światowy standard ustanowiony przez europejskie RODO teraz dosłownie staje się krajowym standardem w Wielkiej Brytanii. Ochrona prywatności i danych osobowych użytkowników końcowych i klientów jest nowym prawem kraju.

Oznacza to, że strona będzie musiała spełniać te same wysokie standardy RODO jak wcześniej, tylko te będą egzekwowane przez ICO w Wielkiej Brytanii i podlegają ich audytom.

Cookiebot oferuje wiodące rozwiązania w kwestii zarządzania zgodami. Zbudowaliśmy naszą oczekującą patentu technologię jeszcze zanim RODO stało się europejskim prawem i na długo przed tym, kiedy w końcu stanie się do Brytyjskim prawem.
Cookiebot skanuje Twoją stronę i znajduje wszystkie pliki cookie i moduły śledzące, blokuje wszystko, dopóki użytkownik końcowy nie udzieli swojej świadomej zgody na to, które z jego danych mogą być gromadzone na Twojej platformie.

Obecnie, Cookiebot zapewnia pełną zgodność z RODO, tak jak zapewni ją z UK-GDPR, kiedy Wielka Brytania ostatecznie opuście Unię 31 grudnia 2020.

Wypróbuj Cookiebot za darmo

Related Posts

Oprogramowanie RODO – prywatność a zmieniający się cyfrowy krajobraz
  • 23 marca 2020
  • Magda

Aktywna zgoda oraz przypadek Planet 49 | TSUE | RODO & ePR
  • 22 stycznia 2020
  • Magda

Kalifornijskie RODO – CCPA
  • 1 stycznia 2020
  • Magda

RODO a pliki cookies | Co muszę wiedzieć? | Czy użycie plików cookies na mojej stronie jest zgodne z RODO?
  • 15 maja 2018
  • Zgodność Z RODO

Manager Tagów Google – jak używać go zgodnie z RODO i dyrektywą e-prywatności
  • 9 maja 2018
  • Zgodność Z RODO

Jak strony śledzą użytkowników? Technologie i metody.
  • 8 maja 2018
  • Zgodność Z RODO

WordPress, cookies, wtyczki i RODO
  • 5 maja 2018
  • Zgodność Z RODO

Co to jest polityka cookies? Jak wygenerować politykę cookies
  • 3 maja 2018
  • Zgodność Z RODO