Zasady RODO — jak ma wyglądać prawidłowe przetwarzanie danych?
Rozporządzenie o ochronie danych osobowych wprowadziło szereg zasad, którym podlega przetwarzanie danych. Zasady te obejmują każdego administratora danych, tj. każdą organizację, która przetwarza dane osobowe. Co więcej, zasady nie tylko mają być stosowane, ale administratorzy muszą być w stanie wykazać, że zapewnili wszelkie działania, aby zagwarantować jak najpełniejszą realizację tych zasad podczas przetwarzania danych. Zasady zostały wdrożone przede wszystkim w celu ochrony praw osób.
Wyróżniamy siedem głównych zasad przetwarzania danych osobowych, które muszą być w pełni realizowane przez każdego administratora danych. Ogólnymi zasadami przetwarzania danych są:
- Zasada zgodności z prawem
- Zasada celowości
- Zasada minimalizacji danych
- Zasada prawidłowości
- Zasada ograniczenia czasowego
- Zasada bezpieczeństwa (zasada integralności i poufności danych)
- Zasada rozliczalności
Zasady przetwarzania danych osobowych zostały ujęte w art. 5 RODO.
ZASADY, które wskazuje RODO
1. ZASADA ZGODNOŚCI Z PRAWEM (art. 5 ust 1 lit a RODO)
Mówiąc o zasadzie zgodności z prawem, musimy pamiętać, iż w istocie są to trzy zasady skompensowane w jednej (zasada legalności, rzetelności oraz przejrzystości). Zasada ta została opisana w art. 5 ust 1 lit. a RODO.
Zasada legalności
Wprowadza obowiązek, z którego wynika, że dane osobowe muszą być przetwarzane zgodnie z prawem (w szczególności zgodnie z RODO oraz krajowymi przepisami).
Oznacza to, że dane osobowe mogą być przetwarzane wyłącznie w sytuacji, w której podmiot przetwarzający posiada określoną podstawę prawną do ich przetwarzania.
Innymi słowy, nie wolno przetwarzać danych osobowych bez podstawy prawnej i niezgodnie z prawem; a przed przystąpieniem do przetwarzania każdej kategorii danych osobowych należy wskazać podstawę prawną do ich przetwarzania w sposób przejrzysty dla osoby, której dane dotyczą (transparentność) z dbałością o prawidłowość danych (prawidłowość) oraz zapewniając odpowiednie bezpieczeństwo przetwarzanych danych osobowych (bezpieczeństwo).
Podstawy przetwarzania danych osobowych wskazane są w art. 6 RODO.
Zasada rzetelności
Odwołuje się do wykorzystywania danych osobowych uczciwie i rzetelnie. Oznacza to, że przetwarzane dane powinny być przetwarzane zgodnie z tym, do czego zobowiązał się podmiot przetwarzający dane.
Zasada poprawności (rzetelności) mówi też o tym, że dane osobowe muszą być poprawne i systematycznie aktualizowane. Należy podjąć wszelkie rozsądne działania prowadzące do tego, że dane, które są niepoprawne w świetle celów ich przetwarzania, powinny być niezwłocznie usunięte lub sprostowane.
Stosowanie zasady w praktyce: Jeżeli organizacja pozyskała adresy mailowe i numery telefonów w celu prowadzenia rekrutacji, to nie może prowadzić działań marketingowych w oparciu o te dane czy też na przykład przesyłać newsletter.
Zasada przejrzystości
Zasada przejrzystości wymaga, że przetwarzanie danych osobowych musi być czytelne i zrozumiałe dla osoby, której dane są przetwarzane. Oznacza to, że każdy, kogo dane osobowe ulegają przetwarzaniu, ma możliwość żądania wskazania celu i podstawy prawnej przetwarzania jego danych.
Stosowanie zasady w praktyce: Każdy klient sklepu internetowego ma prawo wystąpić do administratora danych o wskazanie tożsamości administratora, na jakiej podstawie i w jakim celu przetwarza on jego dane osobowe.
Zrozumiałość przetwarzania danych osobowych dotyczy sposobu komunikacji pomiędzy administratorem a podmiotem, którego dane osobowe są przetwarzane. Przyjmuje się, że komunikacja ta powinna być prowadzona za pośrednictwem jasnego i czytelnego języka, czyli w sposób zrozumiały dla osoby, której dane są przetwarzane. Dostarczenie informacji mających zapewnić rzetelność przetwarzanych danych osobowych jest kluczowe.
Przejrzystość przetwarzania w RODO została szczegółowo omówiona przez Grupę Roboczą artykułu 29 ds. Ochrony Danych, która wydała Wytyczne dotyczące przejrzystości na mocy rozporządzenia 2016/679, zapewniające praktyczne wskazówki oraz pomoc w interpretacji nowego obowiązku zapewnienia przejrzystości przetwarzania danych osobowych na mocy ogólnego rozporządzenia o ochronie danych osobowych.
Wymogi w zakresie przejrzystości zawarte w RODO mają zastosowanie niezależnie od podstawy prawnej przetwarzania i przez cały cykl przetwarzania. Wynika to wyraźnie z artykułu 12, który stanowi, że przejrzystość ma zastosowanie na następujących etapach cyklu przetwarzania danych:
- przed lub na początku cyklu przetwarzania danych, tj. gdy dane osobowe są zbierane czy to od osób, których dane dotyczą, czy też pozyskiwane w inny sposób;
- przez cały okres przetwarzania, tj. podczas komunikowania się z osobami, których dane dotyczą, na temat ich praw; oraz
- w określonych momentach, gdy przetwarzanie trwa, na przykład, gdy występują naruszenia danych lub w przypadku istotnych zmian w przetwarzaniu.
Stosowanie zasady w praktyce: Klauzule informacyjne oraz treści zgód powinny być sformułowane w taki sposób, aby każdy mógł się z nimi wystarczająco zapoznać, powinny być napisane tak jasnym i prostym językiem jak to możliwe, unikając złożonych zdań i struktur językowych. Informacje powinny być konkretne i ostateczne; nie powinny być sformułowane w sposób abstrakcyjny lub ambiwalentny ani nie powinny pozostawiać miejsca na różne interpretacje. Oznacza to, że nie powinny być one zawiłe, skomplikowane oraz charakteryzujące się wyłącznie językiem prawniczym. W szczególności cele i podstawa prawna przetwarzania danych osobowych powinny być jasne. Powinien zrozumieć je typowy odbiorca, do którego te klauzule są kierowane.
Podsumowując, aby organizacja realizowała w pełni zasadę zgodności z prawem, musi ustalić, czy przy przetwarzaniu danych osobowych występują 3 przesłanki:
- dane osobowe są przetwarzane zgodnie z prawem;
- dane osobowe muszą być przetwarzane rzetelnie i uczciwie;
- osobom, których dane dotyczą, są znane sposoby wykonywania praw przysługujących im w związku z przetwarzaniem;
- przetwarzanie danych osobowych jest czytelne i zrozumiałe dla osób, których dane podlegają przetwarzaniu.
2. ZASADA CELOWOŚCI (art. 5 ust 1 lit b RODO)
Zgodnie z zasadą celowości (ograniczenia celu przetwarzania) dane osobowe mogą być przetwarzane wyłącznie w konkretnym, jasno sprecyzowanym i uzasadnionym prawnie celu oraz przez czas niezbędny do jego realizacji, a osoba, której dane dotyczą, musi być o tym poinformowana.
Dane osobowe muszą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Oznacza to, że administrator musi precyzyjnie wskazywać cele, w jakich przetwarza dane osobowe.
W związku z powyższym nie może on pominąć żadnego celu, do którego chciałby wykorzystać dane.
Zasada ta jest ściśle powiązana z obowiązkiem informacyjnym ciążącym na administratorze. Wynika to z faktu, że administrator musi każdorazowo poinformować osobę o prawnie uzasadnionych celach, dla których przetwarza jej dane.
Administratorzy danych powinni dokładnie rozważyć okoliczności i kontekst każdej sytuacji, w której wymagana jest aktualizacja informacji w zakresie przejrzystości. Należy również rozważyć potencjalny wpływ zmian na osobę, której dane dotyczą, oraz sposób, w jaki zostanie przekazana informacja o tych zmianach. Administratorzy powinni być w stanie wykazać, na ile czas między powiadomieniem o zmianach a wprowadzeniem zmiany jest zgodny z zasadą rzetelności wobec osoby, której dane dotyczą.
Stosowanie zasady w praktyce: Hotel wykorzystuje dane przekazane przy dokonaniu rezerwacji noclegu do wysyłania newslettera.
WAŻNE
Należy za każdym razem precyzyjnie wskazywać cel przetwarzania danych osobowych.
3. ZASADA MINIMALIZACJI DANYCH (art. 5 ust 1 lit c RODO)
Zasada adekwatności (minimalizacji) mówi o tym, że można gromadzić tylko te dane, które są niezbędne do realizacji celu; tj. nie można zbierać danych nadmiarowo.
Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których dane są przetwarzane. Administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Każdy rodzaj zbieranych danych administrator powinien uzasadnić potrzebą (celem) ich zbierania.
Stosowanie zasady w praktyce: Organizacja zbiera dane osobowe od subskrybentów w celu przesyłania newslettera. W takiej sytuacji może ona wystąpić o takie dane jak: adres mailowy i ewentualnie imię i nazwisko. Prośba o podanie numeru PESEL, numeru telefonu czy adresu zamieszkania naruszałoby zasadę minimalizacji danych.
4. ZASADA PRAWIDŁOWOŚCI (art. 5 ust 1 lit d RODO)
Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów i ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Zasada prawidłowości danych wprowadza obowiązek monitorowania, czy przetwarzane dane osobowe są aktualne. Oznacza to, że administrator powinien co jakiś czas sprawdzać, czy dane, które posiada w swoich bazach, są aktualne i czy nie wygasł czas na jaki zostały one udostępnione. W razie wykrycia nieprawidłowości powinien on je uaktualnić, poprawić lub usunąć.
Przykład: Organizacja, która wysyła newslettery lub kontaktuje się za pośrednictwem maili z klientami, co jakiś czas powinna sprawdzać, czy przesyłane treści dochodzą do adresatów.
Zasada powyższa nakłada na organizację obowiązek, aby cały czas badała, czy przetwarzane przez nią dane osobowe są zgodne z prawdą oraz aktualne, w razie gdyby nie były, musi powziąć odpowiednie środki, aby ten stan przywrócić.
5. ZASADA OGRANICZENIA CZASOWEGO (art. 5 ust 1 lit e RODO)
Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane.
Z zasady tej wynika obowiązek administratora do klarownego określenia czasu, przez który będzie przetwarzał dane osobowe. Usunięcie danych osobowych powinno być realizowane niezwłocznie po ustaniu celu przetwarzania. Ma to zapobiec przechowywaniu danych osobowych po ustaniu ich celu przetwarzania.
WAŻNE
Zasada ta nakłada na organizację jeden z ważniejszych obowiązków informacyjnych względem osoby, której dane będą przetwarzane. Musi ona wskazać przez jaki okres te dane będą przetwarzane.
Przyjmuje się również, że dalsze przetwarzanie danych osobowych w celach:
- celów archiwalnych w interesie publicznym,
- prowadzenia badań naukowych lub historycznych
- prowadzenia statystki
nie jest uznawane za niezgodne z pierwotnymi celami!
Żeby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne administrator musi ustalić okres retencji danych.
Sprawdź artykuł LexDigital: Dane osobowe wrażliwe, a dane osobowe zwykłe
Zasady przetwarzania danych osobowych, zawarte w RODO, są stworzone by zapobiec niezgodnemu z prawem wykorzystaniu danych osobowych w formie umożliwiającej identyfikację osoby której dane dotyczą. Dlatego, w celu ochrony praw osób, jeśli przetwarzamy dane osobowe do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych, te dane osobowe muszą zostać zanonimizowane. Możemy zrobić to na mocy art. 89 ust 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne. wymagane na mocy niniejszego rozporządzenia.
6. ZASADA BEZPIECZEŃSTWA (art. 5 ust 1 lit f RODO)
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo przetwarzanych danych osobowych, w tym m.in. ochronę przed nieuprawnionym korzystaniem, niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
RODO wymaga od podmiotów, aby zagwarantowały odpowiedni poziom bezpieczeństwa poprzez zapewnienie poufności i integralności wszelkich danych osobowych. Spełnienie tego wymogu jest możliwe dzięki wdrożeniu odpowiednich środków technicznych i organizacyjnych.
Poufność polega na tym, że do informacji nie ma dostępu osoba nieupoważniona. Chodzi więc o to, żeby osoby nieuprawnione nie miały dostępu do informacji a w szczególności, aby dane osobowe nie wyciekły na zewnątrz oraz żeby osoba nieuprawniona nie dostała się do danych w miejscu ich przechowywania.
Przykłady incydentów w zakresie poufności danych:
- Kradzież lub zgubienie telefonu komórkowego na którym zapisane były numerów telefonów i adresy mailowe klientów/kontrahentów firmy.
- Kradzież lub zgubienie dysku zewnętrznego z dokumentami oraz bazami danych kontaktowych firmy.
WAŻNE
Zabezpieczenie poufności będzie zapewnione przez szereg działań mających na celu zmniejszenie ryzyka naruszenia praw i wolności osób. Za najbardziej skuteczne rozwiązania dla organizacji można przyjąć m.in.: wdrożenie polityki ochrony danych osobowych oraz innych dokumentów/procedur regulujących zasady bezpieczeństwa danych osobowych, prowadzenie rejestru czynności przetwarzania, przeprowadzenie analizy ryzyka dla czynności przetwarzania zidentyfikowanych w spółce, zaznajamianie osób upoważnionych z przepisami wewnętrznymi i zewnętrznymi w zakresie ochrony danych osobowych – każda osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do zapoznania się na bieżąco z przepisami w zakresie ochrony danych osobowych obowiązującymi u administratora, ustalenie retencji danych oraz ich bezpieczne usuwanie poprzez niszczenie dokumentów w postaci papierowej lub w postaci elektronicznej.
Integralność oznacza, że informacja nie zostanie zmieniona w sposób nieupoważniony czy też zniszczona.
Przykład incydentu w zakresie integralności danych: Nieuprawniony pracownik organizacji uzyska przez przypadek dostęp do baz danych kontaktowych i skopiuje na prywatne zasoby numery telefonów i adresy mailowe jej klientów.
Co to jest anonimizacja i pseudonimizacja? Dowiedz się więcej
WAŻNE
Zabezpieczenie integralności będzie zapewnione poprzez szereg dzialań; m.in.:
- stosowanie polityki czystego biurka (po skończonej pracy na biurku pracownika nie mogą znajdować się żadne dokumenty lub ogólnodostępne nośniki informatyczne zawierające dane osobowe; wszystkie takie dokumenty i/lub nośniki powinny być zamknięte na klucz w szafach/kontenerach),
- wprowadzenie polityki haseł (stosowanie odpowiednio złożonych haseł),
- zamykanie na klucz pomieszczeń z dokumentami,
- wdrożenie polityki ochrony danych.
Są to przykładowe środki organizacyjne umożliwiające korygowanie nieprawidłowych zdarzeń z zakresu ochrony danych osobowych.
7. ZASADA ROZLICZALNOŚCI (art. 5 ust RODO)
Administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie to wykazać.
Konsekwencją przyjęcia tej zasady jest przeniesienie na administratora ciężaru udowodnienia, że zapewnił odpowiedni poziom ochrony danych osobowych w danej organizacji, zgodny z przepisami RODO i ustawą krajową. Oznacza to, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się z zgodzie z przepisami prawa. Co więcej, musi mieć on możliwość wykazania tego.
Podsumowując: Każda organizacja będzie indywidualnie rozliczana ze środków bezpieczeństwa, jakie wprowadziła. Rozporządzenie o ochronie danych osobowych nie narzuca sposobu zabezpieczenia procesu przetwarzania danych osobowych, a w razie jego naruszenia, to ona będzie musiała wykazać, że dopełniła wszelkich starań, aby do niego nie doszło. W związku z tym zaleca się, aby każda organizacja co najmniej:
- ustanowiła politykę ochrony danych osobowych,
- ustanowiła instrukcję zarządzania systemem informatycznym
- przeprowadziła ocenę skutków dla ochrony danych.
Należy mieć jednak na uwadze, że każdy z administratorów danych powinien obowiązkowo:
- Prowadzić i aktualizować rejestr czynności przetwarzania danych;
- Prowadzić i aktualizować rejestr podmiotów przetwarzających;
- Na bieżąco analizować ryzyka naruszenia danych osobowych;
- Upoważnić pracowników lub osoby współpracujące do przetwarzania danych.
Przykład spełnienia wymagań zasady: Działania każdej osoby upoważnionej do przetwarzania danych, wykonywanych na danych, w szczególności w systemach informatycznych, muszą być zawsze przypisane w sposób jednoznaczny do tej osoby, co oznacza, że dany login do systemu IT może być przypisany tylko jednej osobie.
Podsumowanie
Administrator lub podmiot przetwarzający dane, czyli każda organizacja powinna przestrzegać zasad przetwarzania danych osobowych, które są określane przez przepisy rozporządzenia o ochronie danych. Nie należy traktować zasad przetwarzania danych określonych w art. 5 wybiórczo, lecz stosować się do nich wszystkich.
W przypadku pełnienia roli administratora równie ważnym co przestrzeganie zasad jest wykazanie stosowania środków, które te zasady prawidłowo realizują. Nie jest to z pewnością łatwe zadanie.
Zasady dotyczące przetwarzania danych osobowych mogą być skomplikowane do zrozumienia. Dlatego należy pamiętać o tym, że w sytuacji konkretnego stanu faktycznego najlepszym rozwiązaniem będzie zwrócenie się do specjalisty o dokonanie analizy prawnej. Może ona w danym przypadku pomóc w lepszym funkcjonowaniu firmy. Decydując się na ten ruch, nie narazimy się jednocześnie na nieumyślne naruszenie przepisów RODO.
Sprawdź także:
Co to jest anonimizacja i pseudonimizacja?
Aktualna klauzula RODO do CV 2024. Jak poprawnie sformułować zgodę?