UK GDPR: Bedrijven in het Verenigd Koninkrijk moeten nu voldoen aan twee sets wetgeving

De Algemene Verordening Gegevensbescherming (GDPR) van de EU, die in 2018 in werking is getreden, vereist dat organisaties gegevensbeschermingsmaatregelen treffen wanneer zij goederen en diensten aanbieden of het gedrag van personen binnen de EU monitoren.

De GDPR-regelgeving van het VK staat nu echter los van de GDPR-regelgeving van de EU, als gevolg van het handelsakkoord dat op 1 januari in werking is getreden, wat betekent dat er nu twee wetgevingen inzake gegevensbescherming zijn in plaats van slechts één; UK GDPR voor personen in het VK en EU GDPR voor personen in de EU. Bedrijven die beide soorten gegevens bewaren, zullen zich nu aan elk van de twee afzonderlijke wetgevingen moeten houden.

Het Verenigd Koninkrijk wordt nu officieel beschouwd als een ‘derde land’ onder de EU GDPR, wat betekent dat Britse bedrijven die EU-consumenten bedienen zowel de Britse als de EU GDPR-maatregelen zullen moeten naleven.

Michael Begley, managing director van venuedirectory.com, die de bijgewerkte wetgeving heeft gevolgd, zei dat veel mensen in de evenementenbranche niet op de hoogte waren van de veranderingen. “Ik heb regelmatig contact met locaties, bureaus en planners in het hele Verenigd Koninkrijk en velen zijn zich momenteel niet bewust van de impact van Brexit op de UK GDPR en EU GDPR, en de actie die ze nu moeten ondernemen om ervoor te zorgen dat hun bedrijf legaal blijft opereren,” zei hij.

“Er zijn enkele eenvoudige en onmiddellijke stappen die organisaties moeten nemen om de regelgeving inzake gegevensbescherming aan te pakken en ervoor te zorgen dat evenementen kunnen doorgaan zodra de wereld weer opengaat. Om onze sector te ondersteunen op de weg naar beter zakendoen, heb ik samen met gegevensbeschermingsexpert Arvi Virdee van Smartec een reeks korte en gerichte webinars gelanceerd om hen door deze uitdaging te loodsen.”

Er zijn twee acties die organisaties die bijeenkomsten en evenementen organiseren nu moeten ondernemen, merkte Begley op. “Ten eerste moeten Britse bedrijven die gegevens voor de EU bewaren, nu hun bestaande datasets herzien en bijwerken. Dit om te bepalen welk deel EU-gegevens zijn (en dus onder de EU GDPR-regelgeving vallen); welk deel Britse gegevens zijn (onder de UK GDPR-regelgeving vallen) en welke gegevens buiten deze beide categorieën vallen, bijvoorbeeld datasets voor degenen die in Amerika of Azië gevestigd zijn.

“Ten tweede moeten bedrijven in het VK een vertegenwoordiger binnen de EU aanwijzen om eventuele vragen te behandelen. Dit kunnen vragen zijn over een inbreuk in verband met gegevens of een verzoek om toegang van een betrokkene. Deze vertegenwoordiger moet in een van de 27 EU-landen wonen en dus ter plaatse zijn om verzoeken van personen, bedrijven of autoriteiten te behandelen.”

Bedrijven uit het VK hoeven alleen een EU-vertegenwoordiger aan te wijzen als ze nog geen bijkantoor of kantoor in de EU hebben. Hebben zij dat wel, dan fungeert dit filiaal of kantoor als vertegenwoordiger, hoewel de privacyverklaringen in die zin moeten worden aangepast.

De Britse wetgeving vereist nu ook dat EU-bedrijven die in het VK gegevens bewaren, een vertegenwoordiger in het VK hebben, en in de EU gevestigde bedrijven moeten hun gegevensverzamelingen herzien en scheiden om te bepalen welke gegevens nu onder de Britse GDPR-regelgeving vallen.

Begley voegde hieraan toe: “Eventprofessionals moeten nu actie ondernemen, gebruikmakend van de huidige tijd waarin vergaderingen en evenementen op een laag pitje staan, om ervoor te zorgen dat ze volledig voorbereid zijn en de juiste elementen in huis hebben om weer zaken te doen.