Zgłoszenie do Biura Komisarza ds. Informacji dotyczące danych osobowych.

Ø      Ustawa „The Data Protection Act 1998” wymaga od podmiotów gospodarczych przekazania zgłoszenia (notification) do The ICO odnośnie sposobu, w jaki one przetwarzają dane osobowe w celu załączenia ich do rejestru publicznego, o ile nie są one zwolnione. Zgłoszenie procesu przetwarzania danych osobowych pozwoli zainteresowanym osobom dowiedzieć się, jakie dane osobowe organizacja przetwarza i w jakim celu. Wymagać to będzie dostarczenia pewnych podstawowych informacji odnośnie twojej działalności gospodarczej oraz sposobu przetwarzania danych osobowych.

Ø      Zwolnienie z obowiązku zgłoszenia.

     Podstawowa działalność gospodarcza jest zwolniona z obowiązku zgłoszenia (notification), jeśli przetwarza dane osobowe jedynie dla następujących celów:

Ø      zarządzanie kadrami – łącznie z listą płac,

Ø      reklamy, marketingu i public relation na własne potrzeby,

Ø      rachunkowości i jej archiwizacji.

Ø      Jeśli jesteś administratorem danych (data controller) - administratorem danych osobowych jest ta organizacja, która jest odpowiedzialna za kontrolę i przechowanie danych osobowych - powinieneś zawsze sprawdzić w The ICO, czy jesteś zwolniony z obowiązku zgłoszenia (notification). The ICO opracowało serie pytań pomocnych przy podjęciu decyzji o dokonaniu zgłoszenia. Nawet, jeśli jesteś zwolniony z obowiązku zgłoszenia (notification), musisz nadal stosować inne postanowienia ustawy „The Data Protection Act 1998”, włącznie z ośmioma zasadami dotyczącymi ochrony danych osobowych.

Ø      Procedura zgłoszenia i opłaty z nią związane.

     Możesz rozpocząć procedurę zgłoszenia (notification) wypełniając formularz na stronie www.ico.org.uk/for_organisations/data_protection/registration i wysyłając go na wskazany adres e-maliowy Biura Komisarza ds. Informacji. Jeżeli twoja działalność gospodarcza nie jest zwolniona, jako administrator danych (data controller) musisz opłacić roczną opłatę zgłoszeniową do The ICO.

     Niedopełnienie obowiązku zgłoszenia do The ICO, kiedy jest to wymagane od Ciebie jako administratora danych jest przestępstwem kryminalnym. Okres zgłoszenia jest jednoroczny. Zmiany pozycji zgłoszenia muszą być dokonane w ciągu 28 dni. Dokonanie zmian jest wolne od opłat. Niedopełnienie obowiązku zmian w twoim zgłoszeniu jest również przestępstwem kryminalnym. The ICO jest jedynym państwowym organem administrującym publicznym rejestrem administratorów danych osobowych oraz jedynym państwowym organem posiadającym uprawnienia egzekucyjne w tych sprawach.

     Więcej informacji na temat ochrony danych osobowych uzyskasz na stronach The ICO www.ico.org.uk/for_organisations/data_protection

Ochrona danych osobowych dotyczących ewidencji pracowniczej i procesu rekrutacji.

     Ustawę „ The Data Protection Act 1998” stosuje się do ochrony danych osobowych w twojej firmie w odniesieniu do wszystkich osób, a nie tylko klientów, czy posiadaczy kont. Powinieneś o tym pamiętać, kiedy rekrutujesz nowych pracowników i archiwizujesz ich dane osobowe. Osoby te mogą żądać odszkodowania, jeśli doznają one szkody wskutek naruszenia przez twoją firmę zasad dotyczących ochrony ich danych osobowych, dlatego w twoim interesie jest upewnić się, że dane ewidencyjne są dobrze zarządzane i odpowiedzialnie wykorzystywane.

Ø      Zasadnicze okoliczności dotyczące ewidencji pracowniczej.

     Powinieneś jako pracodawca upewnić się, że zarządzasz całością danych pracowniczych tak odpowiednio, jak to tylko możliwe zgodnie z ustawą „ The Data Protection Act”. W szczególności powinieneś:

Ø      archiwizować dane bezpiecznie poprzez zamknięcie ewidencji papierowej w szafach na dokumenty oraz używać haseł zabezpieczających skomputeryzowaną ewidencje,

Ø      upewnić się, że tylko właściwi i upoważnieni pracownicy mają dostęp do akt pracowniczych,

Ø      archiwizować dane wrażliwe oddzielnie, na przykład nie udostępniać kierownikom dostępu do akt pracowniczych dotyczących stanu zdrowia wówczas, kiedy proste dokumenty dotyczące absencji są wystarczające,

Ø      nie trzymać danych, które są nieistotne, nadmierne lub nieaktualne,

Ø      okresowo sprawdzać pracowników i aktualizować informacje w ich aktach,

Ø      nie udzielać referencji dotyczących pracownika lub byłego pracownika bez uprzedniego sprawdzenia, że zgadza się on na udzielenie takiej referencji,

Ø      upewnić się, że akta zostały zniszczone bezpiecznie, na przykład poprzez pocięcie ich na niszczarce, poza tym nie przetrzymywać danych dłużej niż wymaga tego cel, w jakim je pozyskałeś lub prawny wymóg ich archiwizacji.

Ø      Zapewnienie pracownikom dostępu do ewidencji.

     Pracownicy mają prawo poprosić Cię o kopie informacji, które przechowujesz, a które ich dotyczą. Obejmuje to informacje dotyczące skarg i kwestii dyscyplinarnych oraz informacje, które otrzymujesz jako pracodawca poprzez monitoring. Aczkolwiek możesz odmówić ujawnienia informacji, kiedy podanie ich pracownikowi utrudniłoby wykrycie przestępstwa. Możesz również być zmuszony odmówić ujawnienia informacji, jeśli ona dotyczy osoby trzeciej na przykład, jeśli pracownik został oskarżony o nękanie, możesz być zmuszony do ochrony tożsamości osoby, która wniosła oskarżenie.

     Pracownik może sprzeciwić się przechowywaniu lub wykorzystywaniu informacji dotyczących jego osoby, jeśli stwarza to dla niego niebezpieczeństwo lub powoduje szkodę. Jeśli pracownik sprzeciwi się, powinieneś usunąć takie informacje lub powstrzymać się od ich użycia w sposób, którego dotyczy skarga chyba, że masz istotny powód do tego, aby odmówić.

Biuro Komisarza ds. Informacji - The Information Commissioner's Office.

     Biuro Komisarza ds. Informacji w skrócie zwane The ICO jest niezależną instytucją publiczną założoną, żeby stać na straży prawa do informacji w interesie publicznym, działając na rzecz jawności instytucji i danych osobowych obywateli. Jednym z obowiązków The ICO jest egzekwowanie ustawy „The Data Protection Act 1998”. The ICO  działa na rzecz dobrych praktyk poprzez:

Ø      publikowanie porad prawnych, celem ułatwienia dostosowania się do wymogów ustawy,

Ø      prowadzenie pomocy telefonicznej,

Ø      zachęcanie do rozwoju praktyki kodowania danych osobowych,

Ø      podejmowanie środków przymusu, kiedy to konieczne,

Ø      zwracania się do wpływowych krajowych i międzynarodowych organizacji zajmujących się ochroną danych osobowych i dostępem do nich,

Ø      utrzymania rejestru organizacji i podmiotów gospodarczych, które przetwarzają dane osobowe,

Ø      The ICO zajmuje się również skargami od indywidualnych osób dotyczącymi używania ich danych osobowych. Jeśli The ICO otrzyma ważną skargę dotyczącą twojej firmy, skontaktuje się z Tobą zwykle w tej sprawie. Może ono zalecić Ci podjęcie pewnych działań, żeby upewnić się, że użycie przez Ciebie danych osobowych w przyszłości, będzie zgodne z ustawą.

Ø     Czyny zabronione pod groźbą kary i środki przymusu.

                   

     Jeśli twoja firma przetwarza dane osobowe, musisz być świadom czynów zabronionych pod groźbą kary według ustawy. Główne czyny zabronione pod groźbą kary związane są z:

Ø      zgłoszeniem – kiedy organizacja nie dopełnia obowiązku zgłoszenia lub aktualizacji swojego zgłoszenia, kiedy zachodzi taki obowiązek prawny.

Ø  gromadzeniem lub ujawnianiem danych osobowych bez zgody administratora danych osobowych (data controller).  Administratorem danych osobowych jest ta organizacja, która jest odpowiedzialna za kontrolę i przechowanie danych osobowych.  Przestępstwem popełnionym umyślnie lub na skutek lekkomyślności jest gromadzenie, ujawnianie, sprzedawanie lub oferowanie do sprzedaży danych osobowych bez zgody organizacji przetwarzającej informacje.

Ø       naruszaniem formalnych ogłoszeń wydanych przez The ICO.

     Biuro Komisarza ds. Informacji – (The ICO) jest władne ścigać tych, których podejrzewa, że mogli popełnić wyżej wymienione przestępstwo kryminalne. The ICO może wydawać nakazy obligujące do podjęcia pewnych działań (enforcement notice), jeśli uważa, że organizacja nie stosuje jednej lub więcej zasad dotyczących ochrony danych osobowych. Jest to formalne powiadomienie, żądające od organizacji podjęcia określonych działań, żeby stosowane były przepisy ustawy (The Data Protection Act 1998). Poprzez wydanie powiadomienia informującego (information notice) The ICO jest władne żądać od organizacji dostarczenia pewnych informacji potrzebnych do oceny, czy ustawa The Data Protection Act 1998 została naruszona.

     Możesz być ukarany karą finansową przez sąd, jeśli nie dokonasz zgłoszenia   lub nie zastosujesz się do nakazu obligującego Cię do podjęcia pewnych działań (enforcement notice) lub powiadomienia informującego (enforcement notice). Dodatkowo od 6 kwietnia 2010 The ICO może nakładać własne kary (bez uciekania się do orzeczeń sądu) aż do £500.000, kiedy występują poważne naruszenia zasad ochrony danych osobowych. Zanim kara pieniężna zostanie nałożona, zostanie wydane Ci zawiadomienie odnośnie zamiaru The ICO. Będziesz wówczas miał sposobność do przedstawienia The ICO szczegółowych informacji odnośnie specyfiki okoliczności dotyczących przypuszczalnego naruszenia, jak również finansowego wpływu na twój biznes proponowanej kary. Mimo, że drobny biznes nie jest zwolniony ze stosowania ustawy w przypadku jej naruszenia, twoja sytuacja finansowa i inne okoliczności będą brane pod uwagę przez The ICO .

     Biuro Komisarza ds. Informacji – The ICO  wydało listę pytań, które powinieneś rozważyć, żeby sprawdzić, czy twoja działalność gospodarcza spełnia zasady ochrony danych osobowych.

Warunki odpowiedzi na żądanie dostępu do danych osobowych - „SAR”.

     Masz obowiązek odpowiedzieć na „SAR” nie później niż czterdzieści dni po otrzymaniu go. Czterdziestodniowy okres nie zacznie się dopóty, dopóki nie otrzymasz wszelkich dodatkowych informacji, których potrzebujesz. Nie musisz dostarczać informacji zanim nie otrzymasz opłaty.

     Musisz dostarczyć wymagane informacje w trwałym formacie, takim jak: komputerowy wydruk, pismo lub formularz chyba, że:

Ø      osoba zgodzi się na inną formę,

Ø      nie ma możliwości dostarczenia takiej kopii, egzemplarza,

Ø      wiązałoby się to z „niewspółmiernym wysiłkiem”.

     W takim przypadku, musisz udostępnić informacje w inny sposób. Musisz również upewnić się, że informacje będą zrozumiałe, na przykład jeśli są użyte jakieś kody, które powinieneś wyjaśnić, co one oznaczają.

Ø      Dlaczego musisz stosować się do żądania dostępu do danych osobowych - „SAR” ?

     Możesz zostać ukarany bardzo dużą karą grzywny za łamanie zasad dotyczących ochrony danych osobowych. Stosowanie „SAR” ma również inne biznesowe korzyści, włączając w to:

Ø      oszczędność czasu i pieniędzy poprzez zmniejszenie nieprawidłowej korespondencji, która jest wysyłana wskutek użycia nieaktualnych informacji lub niepoprawnych adresów,

Ø      wzrost zaufania klienta do twoich informacji,

Ø      zmniejszenie ryzyka wniesienia skargi przeciwko twojej firmie,

Ø      ochronę twojej firmy przed roszczeniami odszkodowawczymi.

Prawo dostępu do danych osobowych.

     Ustawa „The Data Protection Act 1998” daje osobom fizycznym prawo dostępu do danych osobowych, które jako pracodawca przetwarzasz, a które ich dotyczą. Osoby fizyczne mają prawo do tego, żeby:

Ø      wiedzieć, czy Ty jako pracodawca lub ktoś inny w twoim imieniu, przetwarzasz dane osobowe ich dotyczące,

Ø      wiedzieć, jakie informacje są przetwarzane, dlaczego one są przetwarzane i kto je może ujawnić,

Ø      otrzymać kopie danych osobowych, które ich dotyczą,

Ø      znać źródła informacji.

     Żeby otrzymać dostęp do danych osobowych przetrzymywanych, a dotyczących danej osoby, osoba fizyczna musi wysłać żądanie dostępu do danych osobowych w formie pisemnej lub elektronicznej, określane jako „Subject Access Request - SAR”. SAR nie musi nawiązywać do ustawy, ale powinno zawierać wyraźnie informację, że jest to formalne żądanie ze strony danej osoby i nie jest to zwykła informacja, czy zapytanie. Możesz pobrać opłatę do wysokości £10 za dostarczenie żądanych informacji. Jeśli nie jesteś pewny tożsamości osoby żądającej informacji, możesz poprosić o dowód. Może to być oficjalny dokument, na przykład rachunek za lokalny podatek, prawo jazdy lub paszport. Możesz żądać dodatkowych informacji, których możesz potrzebować, żeby odpowiedzieć na SAR, na przykład jeśli osoba złożyła żądanie e-mailem, możesz spytać, kiedy e-mail został wysłany lub o nadawcę, czy też o odbiorcę e-maila.

Prawa osoby fizycznej na podstawie ustawy „The Data Protection Act 1998”

     Ustawa „The Data Protection Act 1998” daje osobie fizycznej pewne prawa w związku z użyciem jej danych osobowych. Są to następujące prawa:

Ø      Prawo dostępu do danych osobowych – osoba fizyczna ma prawo do otrzymania danych osobowych, które jej dotyczą, przechowywanych w komputerze lub na papierze.

Ø      Prawo do tego, aby zapobiec wykorzystaniu jej danych osobowych do celów marketingowych – osoba fizyczna ma prawo nie dopuścić do tego, żeby jej dane osobowe były przetwarzane dla potrzeb marketingowych. Osoba fizyczna może w każdym czasie dać Ci pisemne zawiadomienie, żeby zatrzymać użycie jej danych osobowych dla celów marketingowych. Musi wyrazić swoje żądanie na piśmie i musi wystąpić o to w rozsądnym czasie. W większości przypadków powinno to nastąpić w ciągu 28 dni.

Ø      Prawo do skorygowania danych osobowych – jeśli osoba fizyczna uważa, że jest błąd lub przeoczenie w jej danych osobowych, które są przetrzymywane przez instytucję publiczną, wówczas osoba fizyczna może żądać, żeby informacje jej dotyczące zostały poprawione. Powinna zrobić to poprzez wysłanie żądania poprawienia danych osobowych w formie pisemnej lub na formularzu skierowanym do instytucji publicznej przetrzymującej dane informacje. Jeśli instytucja publiczna odrzuci takie żądanie, jednostka może wystąpić do sądu, który wyda nakaz sądowy polecający poprawienie, usunięcie, zablokowanie lub zniszczenie informacji.

Ø      Prawo do tego, aby zapobiegać automatyzacji decyzji – daje ono osobie fizycznej ograniczone prawo do zapobiegania ważnym decyzjom, które są podejmowane odnośnie jej osoby jedynie w wyniku zautomatyzowanego przetwarzania danych komputerowych. Dotyczy to tych decyzji, które są podejmowane przez komputer bez udziału człowieka w ich podjęciu. Może to dotyczyć, na przykład decyzji dotyczących twojej wydajności w pracy lub twojej wiarygodności kredytowej, czy też decyzji o rekrutacji, podjętej jedynie na podstawie testu psychologicznego.

Upoważnienie do ujawnienia informacji.

     Generalnie nie możesz przekazywać informacji dotyczących danej osoby innemu podmiotowi gospodarczemu lub organizacji chyba, że poprosisz o to daną osobę, a ona da Ci na to swoją zgodę. Aczkolwiek są wyjątki od tego. Jeśli policja poprosi Cię o informacje dotyczące danej osoby, możesz podać te informacje bez poinformowania danej osoby, jeśli robisz to, żeby nie utrudniać śledztwa lub żeby zapobiec popełnieniu przestępstwa. Ujawnienie informacji może być również dokonane, jeśli jest to konieczne w sprawach sądowych lub do otrzymania prawnej porady, na przykład w sprawach toczących się przed trybunałem pracy (employment tribunal).

Bezpieczeństwo danych.

     Twoja działalność gospodarcza musi posiadać odpowiednie środki bezpieczeństwa, żeby chronić dane osobowe przed nielegalnym lub nieupoważnionym wykorzystaniem lub ujawnieniem.

Ø      Wykorzystanie danych osobowych w sposób uczciwy i zgodny z prawem.

     Jednym z kluczowych warunków ustawy „The Data Protection Act 1998” jest warunek dotyczący tego, żeby dane osobowe były wykorzystywane uczciwie i zgodnie z prawem. Powinieneś poinformować osobę, jak będziesz wykorzystywał jej dane osobowe i upewnić się, że wykorzystanie jej danych osobowych nie naruszy jakichkolwiek jej praw. Kiedy otrzymujesz dane osobowe, musisz podać osobie, której te dane dotyczą:

Ø      nazwę swojej firmy lub organizacji,

Ø      jak wykorzystasz jej dane osobowe,

Ø      jakiekolwiek inne informacje, które są potrzebne, żeby użyć jej danych osobowych uczciwie.

     Powinieneś również poinformować daną osobę indywidualnie, że ma prawo dostępu do swoich danych osobowych i że może je poprawiać, jeśli nie są one zgodne ze stanem faktycznym. Powinieneś wyjaśnić wszelkie sposoby, w jakie możesz wykorzystać dane osobowe, których ona może nie spodziewać się, na przykład powinieneś poinformować ją, że możesz podawać jej dane osobowe innym organizacjom lub że mogą one zostać umieszczone w zbiorach „Credit Reference Agency”. Credit Reference Agency archiwizuje i zabezpiecza takie dane jak kredyty,  które wziąłeś, twoją historię kredytową, jakiekolwiek wyroki sądowe przeciwko Tobie. Instytucje finansowe udzielając kredytu, używają tych informacji, pomocnych im przy zmniejszeniu ryzyka kredytowego.

     Jako pracodawca nie powinieneś używać danych osobowych do celów osobistych, które nie były oczekiwane. Oznacza to, że jeśli poinformowałeś osobę, że  wykorzystasz jej dane osobowe bezpośrednio do celów marketingowych w odniesieniu do twoich własnych produktów lub usług, nie będziesz mógł wówczas przekazać jej danych osobowych innym organizacjom.

Zasady ochrony danych.

     Ustawa „The Data Protection Act 1998” reguluje wykorzystanie danych osobowych z uwzględnieniem ośmiu zasad ochrony danych osobowych. Zasady te wymagają, żeby dane osobowe były:

Ø       przetwarzane uczciwie i zgodnie z prawem,

Ø      przetwarzane dla ograniczonych, limitowanych celów,

Ø      wystarczające, użyteczne i nie nadmierne,

Ø      dokładne i aktualne,

Ø      archiwizowane nie dłużej niż to konieczne,

Ø      przetwarzane zgodnie z dobrami osobistymi danej osoby,

Ø      bezpieczne,

Ø      nie przekazywane do innych krajów bez odpowiedniej ochrony.

     Definicja przetwarzania jest szeroka i praktycznie pokrywa się z jakimkolwiek działaniem wykonanym na komputerze. Obejmuje ona otrzymywanie, ewidencjonowanie, przechowywanie, przetwarzanie i analizowanie danych osobowych. Jeśli przetwarzasz dane osobowe chronione przez ustawę, Ty jako pracodawca i twoi pracownicy musicie stosować się do zasad ochrony danych osobowych. Stosowanie się do zasad jest w znacznym stopniu kwestią zdrowego rozsądku. Jeśli potrzebujesz porady odnośnie tego, co jest wymagane, możesz skontaktować się z  Biurem Komisarza ds. Informacji ( The Information Commissioner’s Office –  The ICO ).

Wrażliwe dane osobowe.

     Ustawa klasyfikuje pewne dane osobowe jako „wrażliwe” i wprowadza surowe zasady odnośnie ochrony tego rodzaju danych osobowych. Są to informacje dotyczące:

Ø      rasowego lub etnicznego pochodzenia,

Ø      poglądów politycznych,

Ø      przekonań religijnych,

Ø      członkostwa w związkach zawodowych,

Ø      fizycznego lub psychicznego stanu zdrowia,

Ø      życia płciowego,

Ø      popełnionych przestępstw lub domniemanych przestępstw,

Ø      postępowań związanych z tymi przestępstwami lub domniemanymi przestępstwami.

Ustawa - The Data Protection Act 1998 - ochrona danych osobowych.

     Ustawa „The Data Protection Act 1998” – (The DPA) – jest podstawowym aktem prawnym regulującym ochronę danych osobowych w Wielkiej Brytanii. Jako pracodawca zobowiązany będziesz kierować się pewnymi zasadami, jeśli twój biznes archiwizuje i przetwarza dane osobowe twoich klientów lub pracowników. Są to dane odnoszące się do warunków bytowych, tożsamości, identyfikacji danej osoby i obejmują takie informacje jak między innymi: jej imię i nazwisko, adres, szczegółowe dane bankowe oraz opinie dotyczące danej osoby.

          Dane osobowe mogą być wykorzystywane/przetwarzane przez organizację tylko wówczas, kiedy spełniony jest jeden z sześciu warunków określonych w ustawie:

Ø      osoba fizyczna, której dane osobowe są przetwarzane wyraziła zgodę na ich przetwarzanie.

Ø     przetwarzanie danych osobowych jest konieczne ze względu na umowę, którą osoba fizyczna zawarła lub z tego powodu, że osoba fizyczna poprosiła o coś, czego wykonania wymaga zawarta z nią umowa.

Ø      przetwarzanie danych osobowych jest konieczne z powodu przepisów, które mają zastosowanie do Ciebie ( poza obowiązkami wynikających z umowy ).

Ø      przetwarzanie danych osobowych jest konieczne do ochrony życiowych interesów osoby fizycznej (individual’s „vital interests”). Warunek ten ma zastosowanie jedynie w przypadkach dotyczących „życia i śmierci” jednostki, w takich sytuacja, jak na przykład ujawnienie historia choroby danej osoby szpitalowi, który ratuje kogoś po poważnym wypadku drogowym.

Ø      przetwarzanie danych osobowych jest konieczne wymiarowi sprawiedliwości lub do wykonywania kompetencji ustawowych oraz innych publicznych funkcji.

Ø     przetwarzanie danych osobowych jest zgodne z legalnymi interesami prawnymi („legitimate interests”).

     W większości przypadków nie powinno być to zbyt trudne, żeby spełnić jeden z tych warunków, które dotyczą posiadania indywidualnej zgody lub posiadania interesu prawnego w wykorzystaniu danych osobowych.