Prowadząc biznes w Anglii, wielu przedsiębiorców wykonuje czynności, podczas których zobowiązani są przestrzegać brytyjskiego prawa o ochronie danych osobowych. Warto je poznać – jest ono nieco inne niż to, które obowiązuje w Polsce. Podstawą prawa o ochronie danych osobowych jest Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. Polska ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz ustawa obowiązująca w Wielkiej Brytanii - Data Protection Act 1998 r. stanowią jej implementację. Jakie są różnice pomiędzy tymi dwiema ustawami?
Organ ds. ochrony danych
W Polsce głównym organem sprawującym władzę nad ochroną danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). W Wielkiej Brytanii jest to natomiast Biuro Komisarza ds. Informacji (ICO), niezależna instytucja publiczna, ang. Information Commissioner’s Office. Różnica w zasadach zaczyna się już przy definicji samych danych osobowych.
W Polsce za dane osobowe uznaje się: Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W Zjednoczonym Królestwie są to: Dane dotyczące osoby żyjącej, którą można zidentyfikować na podstawie tych danych lub na podstawie innych informacji, które posiada lub może posiadać administrator danych oraz wszelkie opinie o podmiocie danych lub jakakolwiek informacja o zamiarach, jakie wobec podmiotu danych ma administrator danych.
Przetwarzanie danych osobowych
Jakie czynności zatem uznaje się za przetwarzanie danych osobowych? W Polsce są to: Jakiekolwiek operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, przechowywanie, opracowanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W Wielkiej Brytanii natomiast jest to: Przetwarzanie danych, które odnosi się do otrzymywania, nagrywania lub przetrzymywania informacji lub danych bądź przeprowadzania jakichkolwiek operacji na informacjach lub danych włącznie z organizacją, adaptacją oraz zmianą informacji lub danych; ich odzyskiwaniem, konsultowaniem lub użyciem; udostępnianiem informacji lub danych poprzez transmisję, rozpowszechnianie lub dopasowywanie, łączenie, kasowanie lub niszczenie.
Jak zarejestrować zbiór danych, którymi dysponujemy?
W Polsce zgłoszenia zbioru danych należy dokonywać poprzez formularz. Można to zrobić online (platforma e-giodo), wysłać pocztą lub złożyć w biurze GIODO. Rejestracja nie podlega opłatom. W Wielkiej Brytanii zgłoszenia zbioru danych należy dokonać przez formularz online na stronie www.ico.org.uk/for_organisations/data_protection/registration i wysłać na wskazany adres e-maliowy Biura Komisarza ds. Informacji. Przedsiębiorca prowadzący działalność gospodarczą, jako administrator danych (data controller), zobowiązany jest do uiszczenia rocznej opłaty - £35. Jednak firmy, których wartość obrotów przekracza - £25,9mln, a w swoich ryzach zatrudniają ponad 249 pracowników, lub - są organami publicznymi zatrudniającymi ponad 249 pracowników, muszą uiścić wyższą opłatę - £500. Istnieją sytuacje, w których nie musimy zgłaszać zbioru danych osobowych. Obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go Generalnemu Inspektorowi do rejestracji, chyba że zbiór zawiera dane osobowe wrażliwe i nie podlega zwolnieniu z obowiązku rejestracji wskazanego w art. 43 Ustawy o ochronie danych osobowych. Ponadto, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych w przypadkach wskazanych w art. 43 ustawy o ochronie danych osobowych. W UK jesteśmy zwolnieni z tego obowiązku, jeśli przetwarzamy dane osobowe jedynie dla następujących celów:
- zarządzanie kadrami – łącznie z listą płac,
- reklamy, marketingu i public relations na własne potrzeby (w Polsce podlega zgłoszeniu),
- rachunkowości i jej archiwizacji,
- wykorzystywania danych w rejestrach publicznych (typu KRS)
- organizacja nie przetwarza danych w formie elektronicznej (w Polsce taki zbiór podlega zgłoszeniu, jeśli zawiera dane wrażliwe)
Więcej informacji na temat ochrony danych osobowych w UK znaleźć można na stronach: https://www.dlapiperdataprotection.com/index.html#handbook/online-privacy-section/c1_PL/c2_GB https://ico.org.uk/ Pamiętajmy, że nie przestrzegając prawa w tym zakresie, możemy narazić się na srogie kary. W Polsce jest to maksymalnie 10 000 zł, w Wielkiej Brytanii aż do £500.000
