Ponadto obowiązek informacyjny wobec klientów zostanie rozszerzony, co w praktyce oznacza konieczność wymiany wszystkich formularzy, zarówno papierowych, jak i elektronicznych. Dotychczas klauzula zawierająca zgodę na przetwarzanie danych zawierała się w kilku zdaniach. Po wejściu w życie nowych przepisów znacznie się rozszerzy.
– W pozostałym zakresie mamy przesłanki zbliżone do obecnie obowiązujących. Przykładowo, gdy zawieramy umowę dotyczącą prowadzenia konta internetowego, umowę o dzieło lub zlecenie, nie musimy wyrażać zgody na przetwarzanie naszych danych osobowych. Przesłanką legalizacyjną, czyli uprawniającą do przetwarzania danych, jest po prostu zawarcie umowy – mówi dr Dominik Lubasz.
Nowością w przepisach jest za to możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Dotyczy to „usług społeczeństwa informacyjnego”. Dopiero uzyskanie zgody na przetwarzanie danych osobowych dziecka w związku z korzystaniem przez nie z usług internetowych i mediów społecznościowych poniżej tej granicy wiekowej będzie wymagało zgody rodzica lub opiekuna prawnego. Natomiast obowiązkiem firmy będzie zweryfikować i upewnić się, że wyrażona zgoda jest wiarygodna.
Dotychczas – w przypadku korzystania z poczty elektronicznej, gier czy portali społecznościowych – w regulaminie zwykle były określone wymogi wiekowe. Jednak dostawcy tych usług w zakresie dotyczącym ochrony danych nie mieli ani możliwości, ani wprost obowiązku weryfikowania wieku użytkownika. Nowe przepisy mają to zmienić.
– Rozporządzenie wyznacza 16 rok życia jako granicę, powyżej której dziecko może podejmować samodzielne decyzje związane z udzieleniem zgody na przetwarzanie jego danych osobowych w związku z usługami internetowymi bezpośrednio mu świadczonymi. Co ciekawe, ustawodawca krajowy będzie mógł obniżyć tę granicę do 13 lat, ale nie wiadomo jeszcze, czy taka decyzja zostanie podjęta – mówi dr Dominik Lubasz.
Naruszenie bezpieczeństwa danych osobowych, zniszczenie, nieuprawnioną modyfikację czy wyciek danych firmy będą zmuszone raportować do GIODO, a także w pewnych przypadkach powiadamiać o tym swoich klientów. Eksperci podkreślają fakt, że nowe unijne prawo „zauważa” również małe i średnie przedsiębiorstwa, różnicując obowiązki na nich nakładane. Dotychczasowa ustawa traktowała je na równi z dużymi koncernami czy spółkami akcyjnymi.
Za nieprzestrzeganie nowych przepisów o ochronie danych osobowych, które wejdą w życie w maju 2018 roku, przedsiębiorstwom grozić będą kary finansowe. O ich wysokości stosownie do naruszonych przepisów będzie decydował organ nadzorujący, czyli GIODO.
– Obecna ustawa o ochronie danych przewiduje sankcje karne za naruszenie przepisów. Rozporządzenie RODO wprowadza natomiast kary finansowe. Są to dość istotne kary, bo w zależności od przepisów naruszonych przez administratora będą sięgać do 20 bądź do 40 mln euro albo w przypadku przedsiębiorców 2–4 proc. rocznego światowego obrotu przedsiębiorstwa. Jeżeli te sankcje będą nieuniknione, to może stanowić impuls do urzeczywistnienia funkcjonowania ochrony danych osobowych w Polsce – mówi radca prawny.