Zasady przetwarzania danych osobowych pełnią szczególną rolę w kontekście przetwarzania danych osobowych. Zostały one określone w art. 5 Rozporządzenia o ochronie danych osobowych ( RODO). Już samo umieszczenie zasad ogólnych RODO w początkowej części Rozporządzenia wskazuje na ich szczególne znaczenie.
Zasada legalności, rzetelności i przejrzystości
Jako pierwsze i najważniejsze RODO wskazuje legalność rzetelność i przejrzystość.
Dane osobowe muszą być przetwarzane zgodnie z normami ustalonymi w przepisach. Oznacza to nic innego jak wymóg przestrzegania danych zgodnie z prawem. Należy zaznaczyć, że mówi się tu o całym wachlarzu norm prawnych, w tym również o zasadach współżycia społecznego.
W kontekście przetwarzania danych osobowych bardzo istotną zasadą, z której wywodzić można pozostałe, jest rzetelność. Można powiedzieć, że należy ją rozpatrywać jako nakaz uwzględniania przez administratorów interesów i oczekiwań osób, których dane dotyczą. Dane powinny być wykorzystywane uczciwie i rzetelnie.
Z powyższego wywieść można zasadę przejrzystości. Jej podstawą jest to, aby operacje przetwarzania danych osobowych odbywały się w sposób transparentny dla osoby, której dane dotyczą.
Odzwierciedleniem tej zasady jest spełnianie obowiązku informacyjnego. Wskazuje się, że aby informacja była przejrzysta dla osoby, której dane dotyczą, powinna być przekazana w formie zwięzłej, zrozumiałej, łatwo dostępnej oraz jasnym i prostym językiem.
Zasada ograniczenia celu
Artykuł 5 ust. 1 lit. b) RODO opisuje zasadę ograniczenia celu. Mówi ona o tym, że gromadzenie danych może odbywać się jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach. Przetwarzanie nie może nastąpić niezgodnie z celem, dla którego dane zostały zebrane. Nie oznacza to jednak, że nie można przetwarzać danych w innych celach, niż ten, dla którego zostały zebrane. Ważne jest natomiast, aby te inne cele również nie były sprzeczne z przepisami RODO.
Sprawdź jak wdrożyć RODO w twojej organizacji
Zasada minimalizacji danych
Jako kolejna zasada w RODO została wskazana minimalizacja danych – art. 6 ust. 1 lit. c RODO. Zbierane dane powinny być adekwatne i stosowne do celów, dla których są przetwarzane. Powinno się więc wybrać taki zakres danych, aby osiągniecie zamierzonego celu było za ich pomocą możliwe, z zastrzeżeniem jednak, że wykorzystywany zakres danych jest niezbędny do osiągnięcia tego celu.
Przykładowo, sklep internetowy nie powinien wymagać od swoich klientów podania numeru PESEL w przypadku zakładania konta klienta. Nie jest to bowiem niezbędne do dokonania zakupu.
Prawidłowość danych osobowych
Artykuł 5 ust. 1 lit. d) RODO wprowadza nakaz zapewnienia prawidłowości danych osobowych. Administratorzy już podczas gromadzenia danych powinni kontrolować poprawność merytoryczną danych. To na nich spoczywa obowiązek podejmowania wszelkich rozsądnych działań, w celu niezwłocznego usunięcia lub sprostowania danych, przetwarzanych nieprawidłowo w świetle wskazanych wcześniej celów. Administrator powinien podjąć działania korygujące nieprawidłowości, tak, aby przetwarzane dane były prawidłowe. Powinien także w miarę potrzeb i możliwości uaktualniać zbiory danych.
Omawiana zasada związana jest przede wszystkim z możliwością wnioskowania o usunięcie lub sprostowanie poszczególnych kategorii danych, przez podmioty, których dane są przetwarzane. Administrator powinien uwzględnić takie żądania zgodnie z zasadami wynikającymi z art. 15 i 16 RODO.
Zasada ograniczenia przechowywania
Ograniczenie przechowywania skonkretyzowane zostało w art. 5 ust.1 lit. f) Rozporządzenia. Wskazuje on, że dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, dla których dane te są przetwarzane.
Omawiana zasada zabezpiecza podmioty danych przed przetwarzaniem o nich informacji przez czas nieokreślony. Wymusza określenie czasów retencji oraz wskazanie momentu, w którym dane osobowe nie są dłużej niezbędne do osiągnięcia celów przetwarzania. Zdarza się, że wskazówką do określenia czasu przechowywania różnych zbiorów i kategorii danych mogą być przepisy prawa, np. kodeks pracy przy określeniu terminów przechowywania dokumentacji pracowniczej. Zdarzają się jednak sytuacje, gdzie administratorzy sami powinni zweryfikować procesy przetwarzania i określić terminy retencji danych.
Pewnym wyjątkiem od powyższej zasady ograniczenia przechowywania, są cele archiwalne, przechowywanie danych w interesie publicznym, cele badań naukowych lub historycznych lub cele statystyczne, z zastrzeżeniem środków technicznych i organizacyjnych określonych w art. 89 ust. 1 RODO.
Zasada integralności i poufności danych
Administrator powinien zapewnić odpowiednie bezpieczeństwo danych osobowych przez niego przetwarzanych. Zasada integralności i poufności danych (art. 5 ust. 1 lit. e) RODO) wskazuje na obowiązek zapewnienia środków chroniących dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, które mogłoby skutkować utratą zniszczeniem lub uszkodzeniem danych, przez co naruszyć ich integralność i poufność. RODO zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych. Rozporządzenie ( w art. 32) przykładowo wskazuje takie środki jak:
- pseudonimizacje i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Zasada rozliczalności
Zasadę rozliczalności wskazano w art. 5 ust. 2 RODO. Zobowiązuje ona administratora do przyjęcia odpowiedzialności za przestrzeganie zasad ochrony danych osobowych. Jej elementem jest, także możliwość wykazania, że podmiot zobowiązany wykonuje nałożone na niego rozporządzeniem obowiązki. Grupa Robocza Art. 29 wskazuje, że na powyższe składa się obowiązek wdrożenia środków gwarantujących przetwarzanie danych zgodnie z przepisami o ochronie danych, w związku z operacjami ich przetwarzania, a także obowiązek sporządzenia dokumentacji, która wskaże jakie środki podjęto aby zapewnić przestrzeganie przepisów.
Praktycznie rzecz ujmując, konsekwencją powyższej zasady jest to, że w razie sporu z podmiotem danych lub organem nadzorczym, to administrator musi być w stanie wykazać przestrzeganie przepisów w zakresie ochrony danych osobowych, a co za tym idzie, dokumentować wszelkie procesy. W praktyce jako niezbędne minimum wskazuje się politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Wszystko zależy jednak od zakresu i celu przetwarzania.
Podsumowując
Pamiętać należy, że zasady przetwarzania danych osobowych nie mają charakteru absolutnego i podlegają ograniczeniom z art. 23 RODO. Poza tym stanowią jednak podstawowe zasady ochrony danych osobowych, które powinien wdrożyć każdy przedsiębiorca.
Wzmocnienie roli art. 5 RODO w przetwarzaniu danych osobowych na gruncie przepisów rozporządzenia podkreśla możliwość nakładania wysokich kar pieniężnych za ich nieprzestrzeganie.
Przeczytaj również: bezpieczeństwo danych w firmie
