Ocena skutków regulacji musiała przynieść pożądane wyniki gdyż organa administracji UE wprowadzają RODO: europejskie rozporządzenie o ochronie danych osobowych.
Przepisy RODO nakładają na administratorów rozbudowany obowiązek informacyjny. W przepisach tych pozostaje rozróżnienie na dane uzyskane bezpośrednio od osoby, której dane dotyczą, oraz nie bezpośrednio od takiej osoby.
http://branden.biz/index.php/2016/10/22/gdpr-ochrona-danych-albo-wielkie-kary-finansowe-dla-firm/
Administrator danych (podmiot) podlega obowiązkowi, który obejmuje przekazanie osobie której dane są wykorzystywane nastepujących informacji:
- tożsamość administratora i jego dane kontaktowe,
- gdy ma zastosowanie – dane kontaktowe inspektora ochrony danych,
- cele przetwarzania danych
- podstawę prawną przetwarzania danych, a jeśli przetwarzanie odbywa się na podstawie przesłanki prawnie uzasadnionego interesu, to także informację o takim uzasadnionym interesie,
- informacje o odbiorcach danych,
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub o zastosowanych właściwych zabezpieczeniach danych,
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
- informacje o prawie wniesienia skargi do organu nadzorczego
- informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (które wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa) oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Sankcje
Naruszenie zasad informowania o planowanym sposobie przetwarzania danych będzie zagrożone karą finansową do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.
Patrząc z jednej strony na zakres informacji, które należy przekazać osobie fizycznej, a z drugiej strony na obowiązek przekazania tych informacji zwięźle, przejrzyście oraz jasnym, prostym językiem, spełnienie tego obowiązku może się okazać karkołomnym wyzwaniem.
PwC / „Aby język giętki powiedział wszystko, co pomyśli… unijny legislator” / Anna Kobylańska
