To jakiekolwiek informacje, na podstawie których możemy zidentyfikować osobę fizyczną, np : Imię i Nazwisko, Pesel, Nin, adres zamieszkania, dane zdrowotne, wizerunek, adres internetowy IP itp.

Tzw dane wrażliwe, to dane osobowe ujawniające:

– pochodzenie rasowe lub etniczne,
– poglądy polityczne, przekonania religijne lub światopoglądowe,

– przynależność do związków zawodowych,

– dane genetyczne i dane biometryczne,

– dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.

Przetwarzanie danych wrażliwych jest dozwolone tylko w szczególnych przypadkach i pociąga za sobą bardziej restrykcyjne obowiązki.

Do zasad RODO nie muszą stosować się  jedynie Ci, którzy przetwarzają dane osobowe na użytek: osobisty lub domowy.

The Information Commissioner’s Office (ICO) – instytucja nadzorująca poprawność stosowania prawa ochrony danych osobowych w UK – odpowiednik polskiego Urzędu Ochrony Danych Osobowych (UODO).

Instytucja ta została powołana ustawą The Data Protection Act 2018 (weszła w życie 25 maja 2018 r.).

Ten akt prawny również zaktualizował i zastąpił poprzednią brytyjską ustawę o ochronie danych z 1998 r.

Kara za nieprzestrzeganie tego obowiązku zależy od rozmiaru podmiotu, na przykład dla podmiotów małych, których opłata licencyjna wynosi 40 GBP rocznie – to 400 GBP.

Po 31 grudnia 2020 podmioty prawne w UK, przetwarzające dane osobowe osób z obszaru EU, obowiązuje art. 27 RODO, przewidujący dla organizacji nie-unijnych :

– obowiązek posiadania swojego EU- Reprezentanta na terenie jednego – wybranego kraju UE do celów ochrony danych osobowych osób z EU (może to być oddział firmy, osoba fizyczna lub osoba prawna),

– lub jeżeli podmiot NON-EU przetwarza dane osobowe osób z terenu Unii Europejskiej sporadycznie – możliwość wyłączenia się od tego obowiązku, jeśli jest w stanie wykazać się dokumentem to potwierdzającym (np. nasz Raport Poaudytowy).

Zwierciadlane odbicie – dla podmiotów nie będących podmiotami UK – wprowadzono także w Anglii. Podmioty z Unii Europejskiej jak i spoza jej obszaru, potrzebują wyznaczyć swojego UK- Reprezentanta do kontaktów z ICO i podmiotami danych osobowych na terenie Wielkiej Brytanii, lub posiadać dokument, na podstawie którego podmiot spoza UK jest z tego obowiązku zwolniony (np. nasz Raport Poaudytowy).

• Brak licencji ICO
• Brak – zgodnej z zasadami RODO – zgody na przetwarzanie podmiotu danych lub oznaczenia ustawowej podstawy prawnej
• Polityka Prywatności niejasna – na przykład w języku angielskim dla polskich klientów
• Brak jasnego określenia czasu przetwarzania – częstym jest zapis: przetwarzanie, aż do cofnięcia zgody
• Brak analizy ryzyka – przy przetwarzaniu danych wrażliwych
• Brak aktualizacji zgód osób małoletnich, po osiągnięciu 13 roku życia
• Unikanie kontaktu z podmiotem danych
• Dokumenty z danymi osobowymi przechowywane bez nadzoru

Ustalając wysokość grzywny, ICO weźmie pod uwagę szereg czynników, w tym: charakter, wagę i czas trwania naruszenia;
liczbę poszkodowanych i zakres poniesionych przez nich szkód; czy naruszenie było celowe czy wynikające z zaniedbania; czy podjęto odpowiednie działania w celu złagodzenia szkód.

Największe nałożone w Wielkiej Brytanii kary, to:
British Airways – £20 milionów; Marriott Hotels – £18.4 milionów; Clearview AI – £7.5 milionów;
Ticketmaster – £1.25 miliona; We Buy Any Car – £200,000.

Każda firma może również być pozwana o odszkodowanie w związku z naruszeniem czyichś danych osobowych.

Co ciekawe do powstania obowiązku odszkodowawczego wystarczy, że osoba fizyczna była zestresowana w związku z naruszeniem jej danych osobowych.