This is an HTML version of an attachment to the Freedom of Information request 'GDPR compliance'.

Home Office  
2 Marsham Street, London,  SW1P 4DF 
Dr Emma L Briant 
FOI: 62619 
22 February 2020 
Dear Requester, 
Thank you for your e-mail of 13 February 2020, in which you request information about RICU 
and GDPR compliance.  
You specifically ask: 
The Research, Information and Communications Unit (RICU) works with a number of 
private companies who contracted to undertake work that might involve personal data 
such as a) social scientific analysis and b) research on audiences, as well as c) comms, 
messaging and media production. Could I please ask: 
1.  How many contractors currently contracted in each of these activities supporting 
RICU's work handle personal data, and of these how many are currently registered 
with the Information Commissioners Office? 
2.  Were all contractors handling personal data for RICU between 25 May 2018 and 
today registered with the ICO? If not, how many were not and could I see a list of 
those companies and what they worked on. 
The Research, Information and Communications Unit (RICU) works with a number of 
private companies who contracted to undertake work that might involve personal data 
such as social scientific analysis and research on audiences, as well as comms, 
messaging and media production. Could I please see: 
3.  What procedures are in place, if any, to ensure all contractors are registered with 
the Information Commissioners' Office and compliant with data privacy law 
specifically GDPR - in particular I would like to see any relevant documents, 
statements and guidelines or specific text provided to companies seeking to 
contract with RICU in each of the above categories where they might handle 
personal data. 
4.  Are such contractors required to declare to the Home Office that they are registered 
with the ICO and is this being checked? If so, how, at what point is this checked, by 
whom and what language is used, what processes are followed? 
Your request has been handled as a request for information under the Freedom of 
Information Act 2000.  

In relation to part 1, your question seeks information on contractors which we have 
understood to be companies not individuals. It is a requirement of contractors handling 
personal data to meet GDPR requirements including registration with ICO.  Seven of our 
contractors handle personal data and all are registered with ICO. 
Part 2 of your question has fallen under section 12 of the Freedom of Information Act 2000 
(FOIA). Under section 12 of the Act, the Home Office is not obliged to comply with an 
information request where to do so would exceed the cost limit.  We have estimated that 
the cost of meeting your request would exceed the cost limit of £600 specified in the 
Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 
2004.  We are therefore unable to comply with it. The £600 limit is based on work being 
carried out at a rate of £25 per hour, which equates to 24 hours of work per request. The 
cost of locating, retrieving and extracting information can be included in the costs for these 
purposes.  The costs do not include considering whether any information is exempt from 
disclosure, overheads such as heating or lighting, or items such as photocopying or 
postage. If you refine your request, so that it is more likely to fall under the cost limit, we 
will consider it again. If a revised request were to fall outside the cost limit, some 
information may be able to be provided, but it is deemed likely that other exemptions in the 
Act might apply. Please note that if you simply break your request down into a series of 
similar smaller requests, we might still decline to answer it if the total cost exceeds £600. 
Regarding part 3 of your request, where appropriate, all contractors are legally required to 
comply with GDPR and data protection legislation. Below are some examples of recent 
clauses used to ensure suppliers are compliant with data protection legislation. However, 
all available documents would only be available at disproportionate costs.   
i.  “The Contractor shall (and shall ensure that all of the Staff) comply with any 
applicable registration requirements and notification requirements under the DPA 
and duly observe all obligations under the DPA which arise in connection with the 
Contract. The Contractor shall perform its obligations under this Contract in such a 
way as does not cause the Authority to breach any of the Authority's obligations 
under the DPA.” 
ii.  “The Supplier shall comply at all times with the Data Protection Legislation and shall 
not perform its obligations under this Agreement and/or any Call-off Contract in such 
a way as to cause the Authority to breach any of its applicable obligations under the 
Data Protection Legislation.” 
iii.  “The Parties agree to take account of any guidance issued by the Information 
Commissioner’s Office. The Authority may on not less than 30 Working Days’ notice 
to the Supplier amend this Contract to ensure that it complies with any guidance 
issued by the Information Commissioner’s Office.” 
iv.  “The Supplier must appoint a Data Protection Officer responsible for observing its 
obligations in this Schedule and give the Buyer their contact details. 
In response to part 4, we can inform you that where appropriate, all contractors are legally 
required to comply with GDPR and data protection legislation. 
If you are dissatisfied with this response you may request an independent internal review of 
our  handling  of  your  request  by  submitting  a  complaint  within  two  months  to, quoting reference FOI: 62619If you ask for an internal 
review, it would be helpful if you could say why you are dissatisfied with the response.  
As part of any internal review the Department's handling of your information request will be 
reassessed by staff who were not involved in providing you with this response. If you remain 
Page 2 of 3 

dissatisfied after this internal review, you would have a right of complaint to the Information 
Commissioner as established by section 50 of the Freedom of Information Act.  
Yours sincerely 
Freedom of Information 
Home Office 
Page 3 of 3