LexDigital

Zasady przetwarzania danych osobowych na gruncie RODO

Wraz z wprowadzeniem ogólnego rozporządzenia o ochronie danych osobowych (RODO) w 2018 roku, zmieniło się podejście do zagadnienia przetwarzania danych. Wzmocnienie pozycji osób, których dane dotyczą, jest wyraźnie widoczne w wielu przepisach RODO. RODO wprowadziło nie tylko zasady mówiące o regulacji samego procesu, lecz także te, które dotyczą np. jakości, aktualności, prawidłowości przetwarzanych danych osobowych.

Zasady przetwarzania danych osobowych na gruncie RODO

Jakie są konkretne zasady, do których musi stosować się administrator danych osobowych? Jakie kary finansowe mogą zostać nałożone w związku z niestosowaniem się do reguł? Jak bardzo ważną rolę odgrywają poniższe zasady? O tym przeczytasz w poniższym artykule.

Co to jest przetwarzanie danych?

Według definicji zawartej w art. 4 pkt 2 RODO przetwarzaniem danych możemy nazwać operację lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany.

Więcej o tym procesie możecie przeczytać na naszej stronie.

Jakie działania są wykonywane na danych?

data, personal data, przetwarzanie danych osobowych

Akcji podejmowanych w związku z przetwarzaniem danych osobowych jest wiele. 

W RODO możemy znaleźć następujące przykłady:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie,
- niszczenie.

W art. 4 RODO znajdują się także definicje określające dwa szczególne rodzaje przetwarzania danych. Mowa o profilowaniu oraz pseudonimizacji.

Profilowanie

Zgodnie z art. 4 pkt 4 rozporządzenia, profilowanie oznacza "dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się".

Zautomatyzowane przetwarzanie danych niesie za sobą jednak pewne ryzyko. Możliwe jest:

  • nieprawidłowe ocenienie danej osoby, a nawet dyskryminacja;
  • naruszenie prywatności osoby, której dane dotyczą. W szczególności, jeżeli osoba, której dane są profilowane, nie jest świadoma tego procederu;
  • podważenia wiarygodności, co wynika z braku wiedzy o profilowaniu.

Profilowanie nie jest jednak żadną nowością, ponieważ od lat jest wykorzystywane w różnych sytuacjach, takich jak: tworzenie przez policję profilu przestępcy, uzupełnianie braków w ankietach, ocenianie ryzyka współpracy klienta z bankiem.

Pseudonimizacja

Zgodnie z art. 4 pkt 5 RODO, pseudonimizacja oznacza przetworzenie danych w taki sposób, że przypisanie ich do konkretnej osoby fizycznej staje się niemożliwe bez wykorzystania dodatkowych wiadomości. Informacje umożliwiające identyfikację osoby powinny być przechowywane w osobnym miejscu oraz należy objąć je odpowiednimi środkami technicznymi i organizacyjnymi. Przykładem pseudonimizacji jest zamiana imienia i nazwiska na ciąg cyfr, które są możliwe do rozszyfrowania tylko dzięki kluczowi. Należy pamiętać o tym, że nawet taki proceder nie jest w pełni bezpieczną metodą ochrony danych.

data, personal data, przetwarzanie danych osobowych

Znaczenie, jakie mają zasady przetwarzania danych osobowych

Samo umieszczenie przepisów mówiących o zasadach przetwarzania danych ma duże znaczenie, jeżeli chodzi o ich rangę. Zasady przetwarzania danych osobowych znajdują się w początkowej części rozporządzenia o ochronie danych osobowych RODO, bo już w artykule 5, który stanowi część drugiego rozdziału. W pierwszym rozdziale RODO umieszczone zostały przepisy ogólne. Warto wspomnieć o tym, że po art. 5 następują kolejne fragmenty rozporządzenia, które zawierają bardzo ważną, fundamentalną wiedzę. W art. 6 mowa jest o przesłankach legalności przetwarzania danych, a w art. 7 i 8 o warunkach wyrażania zgody.

Ten zabieg może wydawać się nieistotny, jednak podkreśla on rangę tego, jak bardzo zasady przetwarzania danych osobowych są istotne na tle całego rozporządzenia.

Sprawdź nasz artykuł: Dane osobowe wrażliwe, a dane osobowe zwykłe

Kary finansowe

Kolejnym aspektem, który przemawia za szczególną ważnością tego artykułu, jest fakt, że nieprzestrzeganie jego przepisów może skutkować nałożeniem administracyjnych kar pieniężnych.

Idąc za art. 83 ust. 5 lit. a RODO, najwyższe możliwe sankcje sięgają kwoty nawet 20 000 000 euro. Jeżeli chodzi o przedsiębiorstwa, to kara może wynosić do 4% całkowitego rocznego światowego obrotu zdobytego w poprzednim roku kalendarzowym.

Zasady przetwarzania danych osobowych określone w RODO

RODO, zasady przetwarzania danych osobowych, przetwarzanie danych osobowych

Zasady, według których dane osobowe muszą być przetwarzane, zostały ujęte w art. 5 RODO. Należy pamiętać o tym, że muszą ona być spełnione łącznie. Przetwarzanie danych niezgodne z którąkolwiek poniższą zasadą stanowi naruszenie przepisów RODO.

W rozporządzeniu wyróżniono podział na 7 zasad. Są to:

  1. Zasada legalności,

  2. Zasada celowości,

  3. Zasada minimalizacji danych,

  4. Zasada prawidłowości danych,

  5. Zasada ograniczenia przechowywania danych,

  6. Zasada integralności i poufności,

  7. Zasada rozliczalności.

Zasada legalności (zgodności z prawem), rzetelności i przejrzystości

Art. 5 ust. 1 lit. a RODO mówi o zasadach legalności, rzetelności oraz przejrzystości danych. Według niej dane powinny być przetwarzane zgodnie nie tylko z tym, co jest napisane w RODO, lecz także z innymi przepisami prawnymi odnoszącymi się do przetwarzania danymi.

Zasada legalności musi zostać spełniona. Brak środków finansowych lub trudności techniczne bądź organizacyjne nie stanowią wyjątków od tej reguły. Według sądów administracyjnych powyższe problemy nie stanowią one żadnego usprawiedliwienia dla naruszenia przepisów o ochronie danych osobowych.

legal, illegal, RODO
Zasada rzetelności

Ten fragment rozporządzenia o ochronie danych osobowych mówi o tym, że dane powinny być przetwarzane w dobrej wierze, w sposób uczciwy. Dane powinny być zgodne z prawdą.

Zasada przejrzystości

Wszelkie informacje i komunikaty dotyczące przetwarzanych danych osobowych powinny być sformułowane w sposób łatwy do zrozumienia, czytelny. Z tej zasady wynika także, że osoby, których dane dotyczą, należy powiadomić o:

  • celach przetwarzania danych;
  • tożsamości administratora;
  • innych informacjach, które mają wpływ na przejrzystość przetwarzania.

W związku z tą zasadą, do zadań administratora danych należy poinformowanie pracowników o ryzykach, zasadach i zabezpieczeniach występujących w związku z przetwarzaniem danych. Osoby, których dane dotyczą, muszą poznać także sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.

Zasada celowości (ograniczenia celu przetwarzania)

Według art. 5 ust. 1 lit. b, dane osobowe muszą być zbierane, przetwarzane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach. Dalsze przetwarzanie danych w innych celach jest niezgodne z prawem. Za niezgodne z pierwotnymi celami nie jest jednak uznawane przetwarzanie danych do celów archiwalnych w interesie publicznym do celów badań naukowych lub historycznych, lub do celów statystycznych.

archive, files, data

Zasada minimalizacji danych (adekwatności)

Według art. 5 ust. 1 lit. c RODO, dane, które są wykorzystywane, powinny być przetwarzane wyłącznie do spełnienia niezbędnych, określonych wcześniej celów. Dzięki niej, podmioty nie mogą nadużywać korzystania z Twoich danych. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien wyznaczyć datę ich usunięcia lub skontrolowania. Należy także niezwłocznie podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są błędny.

Przykładowo, witryna internetowa ma pozwolenie na wykorzystanie Twojego imienia, nazwiska oraz adresu e-mail w celu marketingowym. Nie może wykorzystać go w żadnym innym celu. Nie może także wykorzystać innych Twoich danych, takich jak np. dane wrażliwe mówiące o pochodzeniu, narodowości, orientacji seksualnej, czy poglądach. Zasada nie dopuszcza także zbierania danych "na zapas", do osiągnięcia nieokreślonych jeszcze celów.

Zasada prawidłowości danych

Zgodnie z art. 5 ust. 1 lit. d RODO, dane osobowe powinny zawierać prawdziwe informacje. W przypadku np. zmiany nazwiska, czy adresu zamieszkania przez pracownika konieczne jest uaktualnienie tej informacji. Należy również podjąć wszelkie rozsądne działania, aby wszystkie nieprawidłowe w świetle prawa dane zostały niezwłocznie usunięte lub poprawione.

Zasada ograniczenia przechowywania danych

Art. 5 ust. 1 lit. e RODO mówi o tym, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, jednak nie dłużej niż stanowią o tym cele przetwarzania danych.

Istnieje jednak kilka wyjątków, w których dane mogą być przechowywane dłużej: do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych. Odbywa się to na mocy art. 89 ust. 1 RODO, który zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych. Wymagania te stosowane są na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.

Więcej o celach przetwarzania danych można przeczytać na naszej stronie.

ID, data, personal data

Zasada integralności i poufności (bezpieczeństwa danych)

Według art. 5 ust. 1 lit. f, dane osobowe muszą być przetwarzane w sposób, który nie naraża na niebezpieczeństwo ich oraz osób, do których te dane należą. Za pomocą odpowiednich środków technicznych lub organizacyjnych, administrator zapewnia ochronę przed przypadkową utratą, zniszczeniem lub uszkodzeniem powierzonych danych. Bardzo ważne jest zatem zwiększenie świadomości pracowników w tym zakresie. Należy poinformować ich, że powinni zachować szczególną ostrożność np. przy prowadzeniu służbowych rozmów poza biurem.

Zasada rozliczalności

Dzięki zasadzie znajdującej się w art. 5 ust. 2 RODO, na administratorze spoczywa odpowiedzialność przestrzegania wyżej wymienionych zasad przetwarzania danych osobowych. Musi on być w stanie także udowodnić respektowanie tych zasad. Jest to przydatne podczas potencjalnej kontroli. Jednak należy pamiętać, że ta zasada nie jest jednorazowa. Wdrażane środki powinny być w miarę potrzeby uaktualniane i weryfikowane.

"Administrator będzie więc musiał wykazać, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne".

RODO a UODO

Zanim wprowadzono RODO, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO).

RODO dodało wiele nowych aktualizacji, jeżeli chodzi o obowiązujące przepisy prawne z zakresu ochrony danych osobowych.

Nie stało się tak jednak w przypadku zapisów dotyczących zasad przetwarzania danych osobowych. W RODO znajdują się odpowiedniki przepisów, które umieszczone były już w Ustawie o ochronie danych osobowych. Najważniejszą zmiana, która się pojawiła, jest zwiększenie rangi zasad przetwarzania danych osobowych. Podniesienie ważności tych przepisów nastąpiło niewątpliwie po wprowadzeniu kar, sankcji za nieprzestrzeganie zasad ochrony danych.

GDPR, data protection, regulation

Podsumowanie

Administrator lub podmiot przetwarzający dane, czyli każdy przedsiębiorca powinien przestrzegać zasad przetwarzania danych osobowych, które są określane przez przepisy RODO. Jest to bowiem fundamentalna wiedza, jeżeli chodzi o praktyczne zarządzanie danymi osób fizycznych. Zgodnie z rozporządzeniem, definicja przetwarzania danych jest bardzo szeroka i niejednorodna. Jednocześnie wyznacza konkretne sytuacje, w których dane są wykorzystywane, zatem praktycznie każda możliwa operacja, na nich dokonywana jest ujęta w rozporządzeniu.

Nie należy traktować zasad przetwarzania danych określonych w art. 5 wybiórczo, lecz stosować się do nich wszystkich.

W przypadku pełnienia roli administratora równie ważnym co przestrzeganie zasad, jest wykazanie stosowania środków, które te zasady prawidłowo realizują. Nie jest to z pewnością łatwe zadanie.

Zasady przetwarzania danych osobowych mogą być skomplikowane do zrozumienia. Dlatego należy pamiętać o tym, że w sytuacji konkretnego stanu faktycznego najlepszym rozwiązaniem będzie zwrócenie się do specjalisty o dokonanie analizy prawnej. Może ona w danym przypadku pomóc w lepszym funkcjonowaniu firmy. Decydując się na ten ruch, nie narazimy się jednocześnie na nieumyślne naruszenie przepisów RODO.

Ustawa o ochronie danych osobowych z 29.08.1997 ze zmianami

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk