En 
Realne zagrożenie dla firmy, która nie chroni danych osobowych.
Information Commisioner's Office (ICO) - jednostka rządowa nadzorująca stosowanie tego prawa w UK ma prawo nałożyć na Ciebie karę administracyjną, która może być dla firmy bardzo dotkliwa.
Również jeśli naruszasz prawo UK GDPR jako pracownik - narażasz się na odpowiedzialność zarówno finansową jak i karną.
Jakie obowiązki ma firma w UK?
1) Rejestracja w ICO i opłata "data protection licence" (obecnie 33 rodzaje działalności są objęte obowiązkową rejestracją - pozostałe podmioty mają obowiązki poniżej, ale z rejestracji są zwolnione)
2) Dokumentacja podstawowa - dokumenty i procedury wewnętrzne firmy oraz informacje na stronie internetowej - według ICO nawet małe organizacje mają obowiązek prowadzenia rejestrów kategorii danych i rejestrów przetwarzania - co do czynności wykonywanych regularnie
3) dokumentacja pozostała - zależna od struktury organizacyjnej firmy i jej wielkości
4) postery/znaki informacyjne w siedzibie firmy
5) szkolenie personelu (zalecane z zakresu UK GDPR i Cyber Security)
6) powołanie DPO - Inspektora Danych Osobowych (tylko dla dużych podmiotów lub tych, które przetwarzają dane wrażliwe)
7) wyznaczenie swojego reprezentanta w jednym z Państw Unii Europejskiej (dla tych, którzy swoją ofertę kierują do klientów z Unii Europejskiej)
Jakie realnie ICO i sądy w UK nakładają kary? Nie spodziewaj się wartości przypominających mandat drogowy - zazwyczaj, choć oczywiście wszytko zależy od wielkości naruszenia oraz od tego czy potrafimy udowodnić, że zrobiliśmy wszystko, aby w naszej firmie prawo UK GDPR było przestrzegane) - są to dziesiątki lub setki tysięcy funtów.
Oto dwa przykłady:
11 April 2019
Bounty UK -Stowarzyszenie członkowskie (pregnancy club)
- kara £400,000 - za bezprawne udostępnianie danych osobowych.
14 January 2021
Pracownica branży motoryzacyjnej została oskarżona o przekazanie danych osobowych usługobiorców firmie zajmującej się obsługą roszczeń powypadkowych bez upoważnienia. Sporządziła ona bezprawnie - listy danych o wypadkach drogowych, w tym częściowe nazwiska, numery telefonów komórkowych i numery rejestracyjne, mimo braku pozwolenia od swoich pracodawców.
Następnie - bezprawnie - przekazała uzyskane dane dyrektorowi firmy zajmującej się roszczeniami z wypadków.
Obie te osoby zostały skazane na osiem miesięcy pozbawienia wolności w zawieszeniu na dwa lata jak również otrzymały nakaz wykonania 100 godzin nieodpłatnej pracy i pokrycia kosztów po 1000 funtów.
Dodatkowo sąd postanowił, że pracownica musi zapłacić kwotę 25 000 GBP, a dyrektor firmy zajmującej się odszkodowaniami - kwotę 15 000 GBP.
Jeśli świadczenia nie zostaną wypłacone w ciągu trzech miesięcy, obie osoby zostaną skazane na trzy miesiące pozbawienia wolności.
Więcej na temat wytycznych ICO - możesz przeczytać na naszej stronie:
www.ochronadanychosobowych.co.uk/wytyczne-ico
Radca Prawny Agata Mazur
Agata Mazur
Polski radca prawny oraz krajowy reporter w Europejskiej bazie danych GDPRHub w zakresie jurysdykcji Polskiej i Angielskiej. Moja kancelaria zajmuje się: - świadczeniem usług prawnych w zakresie prawa polskiego dla Polaków w UK - ochroną danych osobowych w dla firm działających w UK, - wsparciem dla Polaków wracających do Polski.
