W maju 2018 roku wejdzie w życie Rozporządzenie o Ochronie Danych Osobowych, w skrócie RODO, które zostało przyjęte już blisko dwa lata temu. Przepisy dotyczą każdego podmiotu funkcjonującego na terenie Unii Europejskiej, który przetwarza dane w sposób zautomatyzowany. Rozporządzenie unijne ma zastąpić dotychczasową, polską ustawę o ochronie danych osobowych. Co to właściwie oznacza w praktyce i z jakimi konsekwencjami się wiąże?

Dane osobowe – nowa definicja

Nowe rozporządzenie zmienia nieco definicję danych osobowych, gdyż poszerza ją również o numery ID, informacje dotyczące lokalizacji, statusu majątkowego i społecznego, a także wskaźniki odnoszące się do zdrowia fizycznego i psychicznego. Co więcej za dane osobowe będą uznawane nawet dane genetyczne oraz biometryczne, które mogłyby zidentyfikować wybraną osobę. Rozporządzenie wejdzie w życie w dniu 25 maja 2018 roku, a wtedy jego stosowanie stanie się obligatoryjne. Może to doprowadzić do pewnego rodzaju rewolucji w tej dziedzinie. Właściciele danych zyskają nowe uprawnienia, administratorzy będą zaś zmuszeni do realizowania kolejnych obowiązków. Oznacza to więc, że zaistnieje konieczność wprowadzenia licznych modyfikacji na wielu poziomach, w tym m.in. administracyjnym i technicznym. 

Nadchodzące zmiany

Niemal nieustannie można usłyszeć o nielegalnym wycieku danych osobowych. Tego rodzaju informacje są na rynku niezwykle pożądane, dlatego niektóre osoby lub firmy starają się je pozyskać w sposób niezgodny z prawem. Najbardziej popularny był dotychczas handel listami mailingowymi. Niestety, przestępcy sięgają współcześnie również po takie dane jak chociażby miejsce zamieszkania, a nawet numer PESEL. Wprowadzenie RODO ma ukrócić tego typu procedery, gdyż będzie nakładać bardzo wysokie kary finansowe na podmioty nie stosujące się do nowych przepisów. Powinny one spełniać szereg wymogów. Po pierwsze dane muszą być przetwarzane zgodnie z prawem. Wiąże się to z kontrolą każdego procesu uwzględniającego dane osobowe.

Ustalona musi zostać ponadto podstawa ich przetwarzania, co wiąże się z przygotowaniem klauzuli informacyjnej dla wszystkich osób, których dane będą pozyskiwane. To jednak nie wszystko. Najważniejsza zmiana dotyczy celu, w jakim mają zostać pozyskane dane osobowe. Powinien być on prawnie uzasadniony. Dane nieaktualne bądź nieprawidłowe należy natychmiastowo usuwać. Ten zapis może być problematyczny dla podmiotów, które gromadzą dane osobowe od wielu lat i dotąd ich nie weryfikowały. Aktualizacja takiej bazy z pewnością zabierze mnóstwo czasu, niemniej jest obowiązkowa.

RODO wiąże się także z ustaleniem maksymalnego czasu, w którym dane osobowe będą przechowywane. Baza ma umożliwiać osiągnięcie założonego wcześniej celu, a gdy zostanie on zrealizowany – powinna zostać usunięta. Na podmiotach przetwarzających dane spoczywa zatem duża odpowiedzialność, ponieważ będą zobligowane do ich weryfikacji. Muszą także sprawdzić, czy dane są wykorzystywane do określonych ustalonych wcześniej celów.

Konsekwencje prawne za niedostosowanie się do RODO

Każdy podmiot, który posiada i zarządza bazą danych osobowych, musi ocenić ryzyko niepożądanego ujawnienia danych osobowych jeszcze przed podjęciem jakichkolwiek działań. Zmiany dotyczą również formalnej zgody, jaką musi udzielić osoba, której dane zostaną przetworzone. Z początku wszystkie te zmiany mogą okazać się nieco problematyczne, zwłaszcza z uwagi na nakład pracy i czasu poświęconego na weryfikację bazy danych, czy też jej bieżącej aktualizacji. Niedostosowanie się do wprowadzanego niebawem rozporządzenia będzie się jednak wiązać z prawnymi konsekwencjami w postaci wysokich kar finansowych.

Zapewnienie odpowiedniego poziomu ochrony danych jest priorytetem i tak też powinno być traktowane. Dzięki temu możliwe jest skuteczne zwalczanie cyberprzestępczości. Wydaje się zatem, że wprowadzone zmiany będą wiązać się z pozytywnym skutkiem dla każdego. Należy przy tym pamiętać, że do daty wejścia w życie tego rozporządzenia pozostały zaledwie 2 miesiące.