Różnice w przepisach w Polsce i Anglii

POLSKA

WIELKA BRYTANIA

Ustawa
(implementująca dyrektywę
95/46/EU)

Ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych

Ustawa z 1998 r. o ochronie danych osobowych  (Data protection act 1998)

Organ ds. ochrony danych osobowych

Generalny Inspektor Ochrony Danych Osobowych (GIODO).

Biuro Komisarza ds. Informacji (ICO)

(niezależna instytucja publiczna, ang. Information Commissioner’s Office)

Stoi na straży prawa do informacji w interesie publicznym.

Dane osobowe

Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Dane dotyczące osoby żyjącej, którą można zidentyfikować na podstawie tych danych lub na podstawie innych informacji, które posiada lub może posiadać administrator danych oraz wszelkie opinie o podmiocie danych lub jakakolwiek informacja o zamiarach jakie wobec podmiotu danych ma administrator danych.

Przetwarzanie danych

Jakiekolwiek operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, przechowywanie, opracowanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Przetwarzanie danych, które odnosi się do otrzymywania, nagrywania lub przetrzymywania informacji lub danych bądź przeprowadzania jakichkolwiek operacji na informacjach lub danych włącznie z organizacją, adaptacją oraz zmianą informacji lub danych; ich odzyskiwaniem, konsultowaniem lub użyciem; udostępnianiem informacji lub danych poprzez transmisję, rozpowszechnianie lub dopasowywanie, łączenie, kasowanie lub niszczenie.

Tryb rejestracji zbiorów danych

Zgłoszenia zbioru danych należy dokonać na formularzu.

Zgłoszenia można dokonać online (platforma e-giodo), wysłać pocztą lub złożyć w biurze GIODO.

Rejestracja nie podlega opłatom.

Zgłoszenia zbioru danych należy dokonać na formularzu online.

Formularz wypełnia się na stronie www.ico.org.uk/for_organisations/data_protection/registration i wysyła na wskazany adres e-maliowy Biura Komisarza ds. Informacji.

Prowadzący daną działalność gospodarczą, jako administrator danych (data controller), musi opłacić roczną opłatę zgłoszeniową do ICO.

Co do zasady opłata wynosi £35.

£500 będą musiały zapłacić podmioty:
- których wartość obrotów przekracza  £25,9mln  i posiada ponad 249 pracowników,
lub
- są organami publicznymi zatrudniającymi ponad 249 pracowników.

Zwolnienie z zgłoszenia zbioru danych osobowych

Obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go Generalnemu Inspektorowi do rejestracji, chyba że zbiór zawiera dane osobowe wrażliwe i nie podlega zwolnieniu z obowiązku rejestracji wskazanego w art. 43 Ustawy o ochronie danych osobowych.

Ponadto, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych w przypadkach wskazanych w art. 43 ustawy o ochronie danych osobowych.
Stanowi on, że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych, które:

• zawierają informacje niejawne,
• zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
• są przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
• są przetwarzane przez Generalnego Inspektora Informacji Finansowej,
• są przetwarzane przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
• dotyczą osób należących do kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej i są przetwarzane na potrzeby tego kościoła lub związku wyznaniowego,
• są przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczą osób u nich zrzeszonych lub uczących się,
• dotyczą osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
• są tworzone na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
• dotyczą osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
• są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
• są powszechnie dostępne,
•  są przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
•  są przetwarzane w zakresie drobnych, bieżących spraw życia codziennego.

Nie istnieje funkcja ABI.

Podmiot  jest zwolniony z obowiązku zgłoszenia (notification), jeśli przetwarza dane osobowe jedynie dla następujących celów:

• zarządzanie kadrami – łącznie z listą płac,
• reklamy, marketingu i public relations na własne potrzeby (w Polsce podlega zgłoszeniu),
• rachunkowości i jej archiwizacji,
• wykorzystywania danych w rejestrach publicznych (typu KRS)
• organizacja nie przetwarza danych w formie elektronicznej (w Polsce taki zbiór podlega zgłoszeniu, jeśli zawiera dane wrażliwe)

Administrator danych osobowych

Administrator danych: organ, jednostka organizacyjna, podmiot, osoba, o których mowa w art. 3 ustawy o ochronie danych osobowych.

Administrator danych: zwany w ustawie „organizacją” (firmą). Administratorem może być również osoba fizyczna – działa wtedy na rzecz organizacji (firmy).

 Administrator Bezpieczeństwa informacji

ABI może być powołany przez administratora danych. ADO jest wtedy, co do zasady, zwolniony z rejestracji zbiorów danych osobowych.

Ustawa nie przewiduje powołania ABI.

Przetwarzanie danych osobowych
dopuszczalność:
(różnice)

• Przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

• Przetwarzanie danych osobowych jest konieczne do ochrony życiowych interesów osoby fizycznej (individual’s „vital interests”). Warunek ten ma zastosowanie jedynie w przypadkach dotyczących „życia i śmierci” jednostki, na przykład, ujawnienie historii choroby danej osoby szpitalowi, który ratuje ją po poważnym wypadku drogowym.
• Przetwarzanie danych osobowych jest zgodne z legalnymi interesami prawnymi administratora danych („legitimate interests”).

Dane wrażliwe

Polska ustawa zalicza kod genetyczny i nałogi do katalogu danych wrażliwych o czym milczy ustawa angielska.

Ustawa angielska wśród danych wrażliwych wymienia informacje o domniemanych przestępstwach oraz o postępowaniach związanych z domniemanymi przestępstwami – ustawa polska nie używa takich określeń. 

Prawo dostępu do danych osobowych

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą. Polska ustawa nie przewiduje opłaty za wniesienie zapytania.

Administrator danych ma 30 dni na udzielenie odpowiedzi.

Aby uzyskać dostęp do swoich danych osobowych , osoba fizyczna musi wysłać żądanie dostępu do danych w formie pisemnej lub elektronicznej, określane jako „Subject Access Request - SAR”. SAR nie musi nawiązywać do ustawy, ale powinno zawierać wyraźnie informację, że jest to formalne żądanie ze strony danej osoby.

Administrator danych, do którego jest kierowane zapytanie może pobrać opłatę do wysokości £10 za dostarczenie żądanych informacji. Administrator danych ma 40 dni na udzielenie odpowiedzi.

Bezpieczeństwo

W celu ochrony danych osobowych administrator danych jest zobowiązany do wdrożenia środków technicznych i organizacyjnych w celu ochrony danych osobowych mających na celu  zapewnienie ochrony przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
W szczególności ADO powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Ponadto administrator danych:

- prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki w tym celu zastosowane,
- zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
- prowadzi ewidencję osób upoważnionych do ich przetwarzania ,
- może wyznaczyć administratora bezpieczeństwa informacji, który nadzoruje przestrzeganie przepisów bezpieczeństwa.

Istnieją trzy poziomy środków bezpieczeństwa, w zależności od kategorii danych:
- podstawowy,
- średni,
- wysoki.

Poziom podstawowy stosuje się wówczas, gdy w systemie informatycznym nie są przetwarzane dane osobowe, tj. żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną.

Poziom podwyższony stosuje się gdy w systemie informatycznym przetwarzane są tzw. Dane wrażliwe, natomiast żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną.

Poziom wysoki stosuje się w sytuacji, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną.

Administratorzy danych muszą podjąć odpowiednie środki techniczne i organizacyjne przed nieuprawnionym lub bezprawnym przetwarzaniem danych osobowych, a także przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem.

Ustawa nie określa jakie środki bezpieczeństwa administrator danych jest zobowiązany wdrożyć. 

Kary

Na podmioty, które nie wykonują jego decyzji administracyjnych GIODO nakłada grzywnę w celu przymuszenia.

W przypadku osoby fizycznej grzywna może wynieść maksymalnie 10 000 zł. W przypadku osoby prawnej oraz jednostki organizacyjnej, nieposiadającej osobowości prawnej 50 000 zł., jednak
w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może  przekraczać: 50 000 zł w odniesieniu do osób fizycznych oraz 200 000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.

W przypadkach poważnych naruszeń zasad ochrony danych osobowych ICO może nakładać własne kary aż do wysokości £500.000,. Zanim kara pieniężna zostanie nałożona, zostanie wydane zawiadomienie odnośnie zamiaru ICO. Po jego otrzymaniu administrator danych ma  możliwość przedstawienia  ICO szczegółowych informacji odnośnie specyfiki okoliczności dotyczących przypuszczalnego naruszenia, jak również finansowego wpływu na prowadzony biznes proponowanej kary. Mimo że drobny biznes nie jest zwolniony ze stosowania ustawy, w przypadku jej naruszenia indywidualna sytuacja finansowa i inne okoliczności są brane pod uwagę przez  ICO .