Z GIODO trzeba się będzie liczyć

Przeczytaj także: Rodzina 500 plus a dane osobowe

Rozporządzenie wejdzie w życie po 20 dniach od jego publikacji w Dzienniku Urzędowym UE, a zacznie obowiązywać po dwuletnim „okresie przygotowawczym”. W czasie tych dwóch lat państwa członkowskie mają za zadanie dostosować do Rozporządzenia swoje przepisy krajowe. W przypadku Polski ustawodawca będzie musiał znowelizować ponad sto ustaw branżowych. Do zmian będą się musiały dostosować również wszystkie firmy i organizacje.

Warto dodać, iż Rozporządzenie będzie miało zastosowanie również w przypadku podmiotów, które przetwarzają dane poza Unią Europejską, ale swoją siedzibę mają na jej terenie, a także tych, które oferują towary czy usługi osobom fizycznym lub też badają ich zachowania, np. z wykorzystaniem geolokalizacji, na terenie UE, choćby ich siedziba znajdowała się poza wspólnotą.

Nowe uprawnienia GIODO

Unijne rozporządzenie przyznało Generalnemu Inspektorowi Ochrony Danych Osobowych bardzo szerokie uprawnienia, w tym możliwość nakładania wysokich administracyjnych kar pieniężnych. W zależności od rodzaju przewinienia, kary mogą wynosić 10 000 000 euro lub 2% całkowitego światowego obrotu z poprzedniego roku obrotowego, bądź nawet 20 000 000 euro lub 4% całkowitego światowego obrotu z poprzedniego roku obrotowego.

Co więcej, biuro GIODO zostanie zapewne rozbudowane i dofinansowane. Rozporządzenie zobowiązuje bowiem każde państwo członkowskie do zapewnienia właściwych zasobów kadrowych, technicznych i finansowych, niezbędnych do właściwej realizacji swoich uprawnień nadzorczych. Wygląda więc na to, że już niedługo przedsiębiorcy będą się musieli liczyć z GIODO tak samo jak obecnie z Komisją Nadzoru Finansowego czy Urzędem Ochrony Konkurencji i Konsumentów.

Duże zmiany w klauzulach informacyjnych

Organizacje przetwarzające dane osobowe będą musiały dokonać zmian w klauzulach informacyjnych, co spowoduje znaczne rozbudowanie ich treści. Obecnie, w przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator danych ma obowiązek poinformować tę osobę o swojej nazwie danych kontaktowych, celu przetwarzania danych, ich odbiorcach lub kategoriach odbiorców oraz o prawach podmiotu danych (prawo dostępu do danych i ich poprawiania oraz dobrowolność lub obowiązek ich podania). Nowe przepisy obligują administratora danych do podania również:

• danych kontaktowych inspektora ochrony danych (o ile został powołany),
• nazwy i danych przedstawiciela ADO (jeżeli istnieje),
• podstawy prawnej przetwarzania danych,
• uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
• informacji o zamiarze przekazywania danych do państw trzecich,
• okresu przechowywania danych lub, jeśli nie ma takiej możliwości, kryteriów ustalania tego okresu.

Ponadto należy podać również kolejne informacje o prawach podmiotu danych, tj. o.:

• prawie do usunięcia danych,
• prawie do ograniczenia przetwarzania,
• prawie wniesienia sprzeciwu,
• prawie do przenoszenia danych,
• prawie do cofnięcia zgody (gdy podmiot danych udziela zgody na przetwarzanie danych),
• prawie wniesienia skargi do organu nadzorczego.

W przypadku istnienia obowiązku podania danych, należy również wskazać ewentualne konsekwencje ich niepodania oraz informację o zautomatyzowanym podejmowaniu decyzji w tym profilowaniu.