RODO jest już tuż, tuż. 25 maja osławione Rozporządzenie o Ochronie Danych Osobowych wejdzie w życie, a wraz z nim zmienić ma się wszystko. Ale czy aby trochę nie przesadzamy? Chyba tak, bo niektórzy stwarzają wrażenie, jakby nagle przetwarzanie danych osobowych miało się stać nielegalne. Absurdy RODO to raczej objaw niewiedzy.
RODO, wszędzie RODO. Tylko przez ostatnie dwa dni na jedną ze skrzynek pocztowych napisały do mnie w tej sprawie: Empik, Virtualo, Deutsche Bank, Publio, iSpot, Ceneo i jeszcze parę innych sklepów i usługodawców internetowych. Każda strona internetowa zarzuca mnie komunikatami informującymi o tym, jak bardzo troszczą się o moje, Marka Krześnickiego, dane osobowe – i pozwalają szybko kliknąć duży przycisk „zgadzam się”. Maile można pominąć, akceptacja nowych polityk prywatności (których i tak nie czytamy) zajmuje tyle, co mgnienie oka. Ale czasami RODO (a może raczej: „RODO” w cudzysłowie, bo niewiele to ma wspólnego z prawem) atakuje ze zdwojoną siłą. Jak Thanos w Avengers: Wojna bez granic. Na przykład wtedy, gdy chcesz zamówić taksówkę (taki Uber na telefon):
https://twitter.com/bellarosapl/status/999234690669260800
Absurdy RODO? To nie prawo jest złe, to niewiedza
Zacznijmy od podstaw: po 25 maja przetwarzanie danych osobowych (takich jak np. nazwisko klienta) wciąż będzie możliwe. Trudno zresztą, aby było inaczej – wymiana informacji (a nimi są dane osobowe) to podstawa życia społecznego. Główną ideą stojącą za RODO jest natomiast to, aby nasze dane były zbierane i wykorzystywane za naszą zgodą i w sposób celowy. Czy – jak we wzmiankowanym tweecie – podanie swojego nazwiska w celu identyfikacji przez taksówkarza wydaje się takie zasady naruszać? Wydaje się, że nie.
Co więcej, do danych osobowych należy też zaliczyć numer telefonu, który zarejestruje operator infolinii (choćby po to, aby w razie czego móc zadzwonić, z troską w głosie oczywiście, do spóźnialskiego klienta). To jasno wynika z definicji danych osobowych znajdującej się w RODO:
informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane te muszą być między innymi:
- przetwarzane zgodnie z prawem,
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Czy to brzmi strasznie? No nie – po prostu wymusza to ma podmiotach gromadzących i przetwarzających dane podjęcie określonych czynności gwarantujących, że nasze dane znajdują się w dobrych rękach. To wszystko. Końca świata w związku z RODO nie będzie.