W
Wielkiej Brytanii, ICO (odpowiednik Urzędu Ochrony Danych), podjęto interesującą inicjatywę egzekwowania przepisów w zakresie bezpieczeństwa informacji. Wielka Brytania wdraża przepisy (unikalne w Europie), z których wynika obowiązek uiszczenia opłaty rejestracyjnej w Biurze Komisarza ds. Informacji (ICO). Opłatę muszą uiścić wszyscy administratorzy, mający siedzibę w Wielkiej Brytanii, chyba że przysługuje specjalne zwolnienie.
ICO aktywnie egzekwuje uiszczenie opłaty i jesteśmy świadomi licznych przykładów organizacji, które nie są zarejestrowane w rejestrze lub nie dokonały odpowiedniej płatności.
• Między 1 lipca a 30 września 2019 r. ICO nałożyło 240 kar pieniężnych za nieuiszczenie wyżej opisanej opłaty. Kary wynoszą od 400 do 4000 funtów.
• ICO skierowało pismo do organizacji, które nie uiściły opłaty. Zapłać lub potwierdź, że obowiązuje zwolnienie lub wpłać grzywnę w wysokości do 4350 £.
Zdecydowana większość firm będzie zobowiązana do uiszczenia opłaty za ochronę danych, przy czym trzy poziomy opłat (40 £ / 60 £ / 2900 £) zależą od wielkości firmy, biorąc pod uwagę liczbę pracowników / obroty firmy. Narzędzie do samooceny firmy na stronie internetowej ICO pomaga wyjaśnić, którą opłatę należy uiścić, a także możemy znaleźć dalsze wskazówki dotyczące opłaty i sposobu zastosowania wyłączeń.
Uiszczenie opłaty za ochronę danych jest procesem administracyjnym i rygorystycznym ryzykiem odpowiedzialności – jest to łatwy obszar do egzekwowania przez ICO. Nawet bez obecnego działania ICO w zakresie egzekwowania prawa w tym obszarze, nieuiszczenie opłaty jest czymś, co łatwo może wyjść na jaw, gdy administrator musi poradzić sobie z ICO w innych sprawach – na przykład przy zgłaszaniu naruszenia danych osobowych lub zajmowaniu się skargą, w związku z żądaniem osoby, której dane dotyczą. Oczekujemy, że ICO będzie rutynowo sprawdzać swój rejestr i nakładać grzywny w przypadku braku płatności.
Warto zauważyć, że wymóg uiszczenia opłaty za ochronę danych ma również zastosowanie do administratorów, którzy nie mają siedziby w żadnym państwie członkowskim, ale którzy są objęci dodatkowym terytorialnym stosowaniem RODO za pomocą art. 3. Jeżeli Ci administratorzy są ukierunkowani na osoby z Wielkiej Brytanii, oni również powinni rozważyć uiszczenie opłaty.
Chociaż administratorzy, którzy nie mają siedziby w żadnym państwie członkowskim, raczej nie uzyskają bezpośredniego kontaktu z ICO w ramach bieżącej działalności, jeśli uznają, że muszą zgłosić naruszenie danych osobowych lub zostaną zbadani przez ICO np. z powodu skarg osób, brak płatności najprawdopodobniej wyjdzie na jaw i będzie czynnikiem obciążającym we wszelkich szerszych kwestiach dotyczących zgodności. Należy zauważyć, że sytuacja tych kontrolerów jest bardziej złożona, ponieważ muszą oni również wyznaczyć przedstawiciela z siedzibą w UE, w którym powinien działać, jako pierwszy punkt kontaktowy dla dowolnego organu nadzorczego państwa członkowskiego.
Załóż darmowy TRIAL, by poznać praktyczny aspekt zarządzania procesem ochrony danych – Program do RODO Kryptos72, został do tego stworzony. Najnowsza aktualizacja umożliwia również, dodanie informacji o zgłoszeniu administrowania danymi do ICO.