Zasady przetwarzania danych osobowych

Zdjęcie: Pixabay

Rozporządzenie o ochronie danych osobowych będzie stosowane bezpośrednio, a więc przedsiębiorcy przetwarzający dane będą zobowiązani przestrzegać wprost wszystkich zasad dotyczących ochrony prywatności. Przedsiębiorco! Przygotuj się już dziś na ewolucję w ochronie danych osobowych.

Czym jest „przetwarzanie danych osobowych”? Według RODO przetwarzanie oznacza "operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (artykuł 4 pkt 2 RODO)".

Jest to jednak tylko wyliczenie przykładowe - katalog czynności przetwarzania ma charakter otwarty. Wynika on z tego, że nie jest możliwe określenie z góry, jakie czynności mogą wchodzić w zakres przetwarzania. Co istotne - i nieintuicyjne - już samo zbieranie danych osobowych stanowi ich przetwarzanie.

Oto czego musi dopilnować administrator danych:

1. Zasada przejrzystości, rzetelności i legalności (zgodności z prawem)

Przejrzystość.

Zasada przejrzystości wiąże się ściśle z obowiązkami informacyjnymi nałożonymi na administratora. Będzie ona dochowana, gdy zainteresowana osoba zostanie poinformowana o przysługujących jej prawach w sposób zwięzły, przejrzysty, jasnym oraz prostym językiem.

Rzetelność.

Wymóg rzetelności oznacza nakaz przetwarzania danych w zgodzie z zasadami współżycia społecznego (tj. zgodnie z zasadami stanowiącymi fundament porządku prawnego).

Legalność.

Jedną z najbardziej powszechnych przesłanek do przetwarzania danych jest zgoda na to udzielona przez osobę, której dane dotyczą. Oczywiście w myśl tej zasady konieczne jest przestrzeganie wszystkich przepisów dotyczących ochrony danych osobowych przy ich przetwarzaniu (o bezprawności przetwarzania mówimy, gdy administrator przetwarza dane bez upoważniającej go do tego podstawy prawnej).

2. Zasada celowości

Dane osobowe należy przetwarzać zgodnie z konkretnym, wyraźnym i prawnie uzasadnionym celem. Określając cel, należy unikać ogólnikowych opisów celów przetwarzania.

Zasada ta łączy się z obowiązkiem informacyjnym, czyli z koniecznością informowania zainteresowanych przez administratora o celu przetwarzania danych osobowych.

3. Zasada minimalizacji danych

Zgodnie z tą zasadą zakres przetwarzanych danych powinien być adekwatny, stosowny i ograniczony do osiągnięcia założonego celu.

W praktyce chodzi o to, aby pozyskiwać tylko takie dane, które będą konieczne do osiągnięcia zamierzonego celu. Przykładem może być zawarcie umowy sprzedaży zawartej na odległość. Niezbędnymi danymi do realizacji takiej umowy są:

  • imię i nazwisko,
  • adres zamieszkania,
  • niekiedy także numer telefonu.

Wyżej wymienione dane będą w znacznej liczbie przypadków w zupełności wystarczające do realizacji takiej umowy. W omawianej sytuacji zbędne wydaje się wymaganie od potencjalnego klienta np. danych dotyczących wieku, wykształcenia czy też formy spędzania czasu.

4. Zasada prawidłowości

Wiąże się z obowiązkiem zapewnienia prawidłowości danych oraz z obowiązkiem uaktualnienia danych w przypadku stwierdzenia ich nieprawdziwości lub niekompletności, a także z obowiązkiem sprostowania ich na wniosek osoby, której dane dotyczą.

Dane osobowe powinny być kompletne, zgodne z prawdą i odpowiadać aktualnemu stanowi rzeczy.

5. Zasada ograniczenia przechowywania

Zgodnie z tą zasadą dane powinny być przechowywane przez okres nie dłuższy, niż jest to konieczne dla uzyskania celów, dla których były one przetwarzane.

Przykładem może być prowadzenie rachunku bankowego. Po osiągnięciu celu (moment zamknięcia rachunku bankowego) przetwarzanie danych osoby, która posiadała rachunek bankowy, należałoby uznać za nielegalne.

6. Zasada integralności i poufności (bezpieczeństwa danych)

Administrator danych osobowych zobowiązany jest do przetwarzania danych w taki sposób, który zapewnia ich bezpieczeństwo.

Przede wszystkim chodzi tu o ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem. Ochrona danych powinna zostać zapewniona za pomocą odpowiednich środków technicznych lub organizacyjnych.

7. Zasada rozliczalności

Jest to nowa zasada wprowadzona przez RODO. Administrator danych jest odpowiedzialny za przestrzeganie wszystkich ww. zasad, a co bardzo istotne, musi być w stanie wykazać ich przestrzeganie. Zasada ta nakłada na administratora obowiązek utrwalania i przechowywania informacji pozwalających na wykazanie zgodności podjętych przez administratora działań z przepisami prawa.

Przygotuj swoją firmę do RODO