En 
Czy dostałeś już list z ICO? Obowiązki Firmy w UK w zakresie Ochrony Danych Osobowych.
Czy dostałeś już list z ICO?
Obowiązki Firmy w UK w zakresie Ochrony Danych Osobowych.
Właściciele firmy w UK zobowiązani są do przestrzegania przepisów prawa w zakresie ochrony danych osobowych, zarówno tych Unijnych jak i Brytyjskich, aby zapewnić przetwarzane danych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
I choć większość z nas orientuje się, że dane osobowe powinny być zachowane w poufności i zabezpieczone przed niepowołanym dostępem osób trzecich, to wiele klientów zwraca się z pytaniem do Kancelarii - czy RODO/GDPR w ogóle mnie dotyczy?
Jeśli i Ty masz wątpliwości, wyjaśniamy:
1.prowadząc firmę w Wielkiej Brytanii - nawet bardzo niewielkich rozmiarów podlegasz z mocy prawa pod przepisy GDPR i The Data Protection Act 2018 i podlegasz krajowej organizacji kontrolującej stosowanie przepisów o ochronie danych osobowych - ICO Information Commissioner's Office.
W praktyce jest bardzo niewiele firm, które nie przetwarzają danych osobowych wykonując swoją działalność.
Nawet jeśli Twój biznes wykonuje usługi wyłącznie na rzecz innych biznesów - to najczęściej posiadasz dane osobowe choćby swoich pracowników lub współpracowników, albo monitoring wizyjny (CCTV).
Europejskie rozporządzenie dotyczące ochrony danych osobowych (GDPR), zostało implememtowane do prawa Wielkiej Brytanii, dlatego obowiązki przedsiębiorców w tym zakresie nie znikną wraz z Brexitem, tak więc - chcesz czy nie - musisz stosować się do przepisów i zaleceń ICO - Information Commissioner's Office tak jak do obowiązków wobec Urzędu Skarbowego (HMRC), Council, DVLA i innych publicznych instytucji w Wielkiej Brytanii.
To, co odróżnia zasady ochrony danych osobowych od innych - nałożonych odgórnie - na przedsiębiorcę - obowiązków wobec Państwa - to przede wszystkim:
1) zasada winności - zakłada się, że Administrator jest winien naruszenia, chyba że udowodni on, że winny nie jest, tj. że zrobił wszystko, co było można, aby jakiegokolwiek błędu uniknąć
2) brak - opracowanych przez ustawodawcę - konkretnych wzorów formularzy - do prawidłowego wypełniania swoich obowiązków.
Co więc zrobić, aby pozostawać w zgodzie z prawem?
Każdy podmiot administrujący danymi osobowymi na terenie UK, podlega obowiązkowej rejestracji w ICO oraz opłacania rocznej licencji (małe podmioty 40 GBP/rok).
Kara za nieprzestrzeganie tego obowiązku zależy od rozmiaru podmiotu, na przykład dla podmiotów małych, których opłata licencyjne wynosi 40 GBP rocznie - to 400 GBP.
Dokładnie prześledź - jakie dane osobowe i w jakim celu są przechowywane w Twojej firmie.
Zadbaj o to, abyś miał każdorazowo - wyraźną i dobrowolną zgodę podmiotu danych - na ich przetwarzanie w określonym celu.
Opracuj Politykę Prywatności, analizę ryzyka, Regulamin dostępu i inne - zależne od specyfiki Twojej działalności - wymagane dokumenty.
Prowadź rejestr czynności przetwarzania.
Jeśli masz pracowników lub współpracowników - koniecznie zapoznaj ich z tymi zasadami - pamiętaj, że za jakiekolwiek - nawet niezawinione błędy i naruszenia - odpowiedzialność ponosisz TY - chyba że będziesz w stanie udowodnić, iż zrobiłeś wszystko, aby prawidłowo przetwarzać dane osobowe (domniemanie winności).
Monitoruj ochronę danych osobowych w swojej firmie, realizuj prawa podmiotów danych osobowych w przepisowym terminie - max 1 miesiąc od wniosku.
Najczęstsze błędy firm w UK
Brak licencji ICO
Unikanie kontaktu z podmiotem danych, nie znajomość zasad
Brak analizy ryzyka
Brak jasnego określenia czasu przetwarzania - częstym jest zapis: przetwarzanie aż do cofnięcia zgody
Brak - zgodnej z zasadami RODO - zgody na przetwarzanie podmiotu danych
Korzystanie z gotowych - opublikowanych na innej stronie internetowej - tekstów polityk prywatności, formularzy zgód, przygotowanych przez informatyków razem z plikami ciasteczek cookies, itp.
Odpowiedzialność firmy w UK
Kary pieniężne
1. w przypadku mniej poważnych naruszeń maksymalna grzywna wynosi 10 milionów euro lub 2% rocznych przychodów firmy, w zależności od tego, która z tych wartości jest większa,
2. w przypadku poważniejszych naruszeń maksymalna grzywna wynosi 20 milionów euro lub 4% rocznych przychodów firmy, w zależności od tego, która z tych wartości jest większa,
Roszczenia odszkodowawcze za szkody poniesione przez osoby fizyczne (do powstania obowiązku odszkodowawczego wystarczy, że podmiot danych był zestresowany w związku naruszeniem jego danych osobowych)
Ponieważ prawo zakłada naszą winę, a jednocześnie przyznaje prawo do odszkodowania każdej osobie, której dane osobowe nie zostały należycie ochronione, na rynku każdego kraju Europejskiego, a szczególnie w Wielkiej Brytanii, jak grzyby po deszczu rośnie liczba Kancelarii Prawnych i Firm Doradczych, które w imieniu każdego, czasami na zasadzie "chybił-trafił" dochodzi odszkodowania w trybie NO WIN - NO FEE.
Jeśli prowadzisz firmę w UK wcześniej czy później dostaniesz list z ICO wzywający do opłaty licencyjnej.
Już dzisiaj zajrzyj na stronę: Ochrona Danych Osobowych w UK gdzie znajdziesz wiele informacji w języku polskim.
Radca Prawny
Agata Mazur
pełniąca funkcję "Reportera Krajowego" z jurysdykcji: Polski i WIelkiej Brytanii w Europejskiej Bazie Danych "GDPRhub"
Agata Mazur
Polski radca prawny oraz krajowy reporter w Europejskiej bazie danych GDPRHub w zakresie jurysdykcji Polskiej i Angielskiej. Moja kancelaria zajmuje się: - świadczeniem usług prawnych w zakresie prawa polskiego dla Polaków w UK - ochroną danych osobowych w dla firm działających w UK, - wsparciem dla Polaków wracających do Polski.
