Artykuł kierujemy m.in. do osób, które prowadzą lub zamierzają prowadzić własny biznes w Wielkiej Brytanii lub Polsce w związku z czym są lub będą zobowiązane przestrzegać brytyjskiego lub polskiego prawa w zakresie ochrony danych osobowych.
|
POLSKA |
WIELKA BRYTANIA |
Ustawa |
Ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych |
Ustawa z 1998 r. o ochronie danych osobowych (Data protection act 1998) |
Organ ds. ochrony danych osobowych |
Generalny Inspektor Ochrony Danych Osobowych (GIODO). |
Biuro Komisarza ds. Informacji (ICO) Stoi na straży prawa do informacji w interesie publicznym. |
Dane osobowe
|
Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. |
Dane dotyczące osoby żyjącej, którą można zidentyfikować na podstawie tych danych lub na podstawie innych informacji, które posiada lub może posiadać administrator danych oraz wszelkie opinie o podmiocie danych lub jakakolwiek informacja o zamiarach jakie wobec podmiotu danych ma administrator danych. |
Przetwarzanie danych |
Jakiekolwiek operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, przechowywanie, opracowanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. |
Przetwarzanie danych, które odnosi się do otrzymywania, nagrywania lub przetrzymywania informacji lub danych bądź przeprowadzania jakichkolwiek operacji na informacjach lub danych włącznie z organizacją, adaptacją oraz zmianą informacji lub danych; ich odzyskiwaniem, konsultowaniem lub użyciem; udostępnianiem informacji lub danych poprzez transmisję, rozpowszechnianie lub dopasowywanie, łączenie, kasowanie lub niszczenie. |
Tryb rejestracji zbiorów danych |
Zgłoszenia zbioru danych należy dokonać na formularzu. Zgłoszenia można dokonać online (platforma e-giodo), wysłać pocztą lub złożyć w biurze GIODO. Rejestracja nie podlega opłatom. |
Zgłoszenia zbioru danych należy dokonać na formularzu online. Formularz wypełnia się na stronie www.ico.org.uk/for_organisations/data_protection/registration i wysyła na wskazany adres e-maliowy Biura Komisarza ds. Informacji. Prowadzący daną działalność gospodarczą, jako administrator danych (data controller), musi opłacić roczną opłatę zgłoszeniową do ICO. Co do zasady opłata wynosi £35. £500 będą musiały zapłacić podmioty: |
Zwolnienie z zgłoszenia zbioru danych osobowych
|
Obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go Generalnemu Inspektorowi do rejestracji, chyba że zbiór zawiera dane osobowe wrażliwe i nie podlega zwolnieniu z obowiązku rejestracji wskazanego w art. 43 Ustawy o ochronie danych osobowych.
Ponadto, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych w przypadkach wskazanych w art. 43 ustawy o ochronie danych osobowych.
|
Nie istnieje funkcja ABI.
Podmiot jest zwolniony z obowiązku zgłoszenia (notification), jeśli przetwarza dane osobowe jedynie dla następujących celów:
|
Administrator danych osobowych |
Administrator danych: organ, jednostka organizacyjna, podmiot, osoba, o których mowa w art. 3 ustawy o ochronie danych osobowych. |
Administrator danych: zwany w ustawie „organizacją” (firmą). Administratorem może być również osoba fizyczna – działa wtedy na rzecz organizacji (firmy). |
Administrator Bezpieczeństwa informacji |
ABI może być powołany przez administratora danych. ADO jest wtedy, co do zasady, zwolniony z rejestracji zbiorów danych osobowych. |
Ustawa nie przewiduje powołania ABI. |
Przetwarzanie danych osobowych |
|
|
Dane wrażliwe |
Polska ustawa zalicza kod genetyczny i nałogi do katalogu danych wrażliwych o czym milczy ustawa angielska. |
Ustawa angielska wśród danych wrażliwych wymienia informacje o domniemanych przestępstwach oraz o postępowaniach związanych z domniemanymi przestępstwami – ustawa polska nie używa takich określeń. |
Prawo dostępu do danych osobowych |
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą. Polska ustawa nie przewiduje opłaty za wniesienie zapytania. Administrator danych ma 30 dni na udzielenie odpowiedzi. |
Aby uzyskać dostęp do swoich danych osobowych , osoba fizyczna musi wysłać żądanie dostępu do danych w formie pisemnej lub elektronicznej, określane jako „Subject Access Request - SAR”. SAR nie musi nawiązywać do ustawy, ale powinno zawierać wyraźnie informację, że jest to formalne żądanie ze strony danej osoby. Administrator danych, do którego jest kierowane zapytanie może pobrać opłatę do wysokości £10 za dostarczenie żądanych informacji. Administrator danych ma 40 dni na udzielenie odpowiedzi. |
Bezpieczeństwo
|
W celu ochrony danych osobowych administrator danych jest zobowiązany do wdrożenia środków technicznych i organizacyjnych w celu ochrony danych osobowych mających na celu zapewnienie ochrony przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Ponadto administrator danych: - prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki w tym celu zastosowane, Istnieją trzy poziomy środków bezpieczeństwa, w zależności od kategorii danych: Poziom podstawowy stosuje się wówczas, gdy w systemie informatycznym nie są przetwarzane dane osobowe, tj. żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną. Poziom podwyższony stosuje się gdy w systemie informatycznym przetwarzane są tzw. Dane wrażliwe, natomiast żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną. Poziom wysoki stosuje się w sytuacji, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną. |
Administratorzy danych muszą podjąć odpowiednie środki techniczne i organizacyjne przed nieuprawnionym lub bezprawnym przetwarzaniem danych osobowych, a także przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem. Ustawa nie określa jakie środki bezpieczeństwa administrator danych jest zobowiązany wdrożyć.
|
Kary |
Na podmioty, które nie wykonują jego decyzji administracyjnych GIODO nakłada grzywnę w celu przymuszenia. W przypadku osoby fizycznej grzywna może wynieść maksymalnie 10 000 zł. W przypadku osoby prawnej oraz jednostki organizacyjnej, nieposiadającej osobowości prawnej 50 000 zł., jednak |
W przypadkach poważnych naruszeń zasad ochrony danych osobowych ICO może nakładać własne kary aż do wysokości £500.000,. Zanim kara pieniężna zostanie nałożona, zostanie wydane zawiadomienie odnośnie zamiaru ICO. Po jego otrzymaniu administrator danych ma możliwość przedstawienia ICO szczegółowych informacji odnośnie specyfiki okoliczności dotyczących przypuszczalnego naruszenia, jak również finansowego wpływu na prowadzony biznes proponowanej kary. Mimo że drobny biznes nie jest zwolniony ze stosowania ustawy, w przypadku jej naruszenia indywidualna sytuacja finansowa i inne okoliczności są brane pod uwagę przez ICO .
|
Źródła: