Ochrona danych osobowych, RODO, GDPR

Analizy

RODO: Zmiany w zasadach przetwarzania danych osobowych

Przegląd najważniejszych zmian dla przedsiębiorców i podmiotów przetwarzających dane

Newsletter: RODO 1/ 2017 | luty 2017 r.

Unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadza katalog zasad przetwarzania danych osobowych. Wskazanie wprost w Rozporządzeniu podstawowych zasad ochrony danych osobowych stanowi podstawę nowych standardów ochrony danych, obrazuje kierunek rozwoju ochrony prywatności oraz tworzy ramy dla pozostałych, szczegółowych przepisów Rozporządzenia. Dodatkowo, wprowadzenie do systemu ochrony danych osobowych jednolitego katalogu zasad jest źródłem nowych obowiązków, ciążących na administratorach i innych podmiotach przetwarzających dane. Przedstawiamy poniżej najważniejsze zasady przewidziane w Rozporządzeniu RODO.

1. Zasada zgodności z prawem w RODO

Rozporządzenie (RODO) zawiera zamknięty katalog warunków, w jakich przetwarzanie danych może zostać uznane za zgodne z prawem. Oznacza to, że każdy proces przetwarzania danych musi opierać się na co najmniej jednej podstawie prawnej wskazanej w Rozporządzeniu. Po pierwsze, przetwarzanie danych może odbywać się na podstawie zgody osoby, której dane dotyczą. W przypadku powoływania się na uzyskanie zgody na przetwarzanie danych osobowych konieczne jest zapewnienie, że zgoda taka spełnia wszelkie wymagania nałożone Rozporządzeniem. Z uwagi na fakt, że wymagania te uległy znacznym zaostrzeniom, warto ponownie przeanalizować wykorzystywane klauzule oraz proces pozyskiwania zgody, aby zapewnić ich zgodność z nowymi wymogami. Po drugie, przetwarzanie danych może mieć miejsce, gdy jest to konieczne w celu wykonania umowy. Innymi sytuacjami uzasadniającymi legalność przetwarzania danych są: wykonanie obowiązku prawnego ciążącego na administratorze lub zadania realizowanego w interesie publicznym. Oba przypadki powinny wynikać z przepisów jednego z państw członkowskich lub przepisów prawa UE, które z kolei muszą być wystarczająco jasne i precyzyjne. Uzasadnieniem przetwarzania danych może być również ochrona interesu, który ma istotne znaczenie dla życia osoby fizycznej. Ostatnią podstawą prawną przetwarzania danych mogą być uzasadnione interesy administratora, czyli m.in. przetwarzanie danych dla celów marketingu bezpośredniego, zapobiegania oszustwom czy dla wewnętrznych celów administracyjnych.

Newsletter RODO

Subskrybuj na e-mail powiadomienia o nowych wydaniach newslettera RODO.

Zarejestruj się

2. Zasada rzetelności i prawidłowości a RODO

Zgodnie z zasadami rzetelności i prawidłowości administrator danych musi zapewnić, aby zgromadzone dane osobowe były poprawne i aktualne, a ich przetwarzanie przebiegało bez zakłóceń. Realizacja obu zasad nakłada na administratora szereg obowiązków polegających m.in. na wdrożeniu środków technicznych i organizacyjnych, umożliwiających korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych. Wspomniane zasady nieodłącznie powiązane są z prawem osoby, której dane są przetwarzane do żądania sprostowania i uzupełnienia danych. Prawidłowość danych osobowych ma szczególne znaczenie w przypadku wykorzystywania mechanizmu profilowania. Ewentualne błędy w danych osobowych mogą stanowić ryzyko dla interesów i praw osoby, której dane dotyczą, a nawet prowadzić do dyskryminacji.

3. RODO: Zasada ograniczenia celu

Zasada ograniczenia celu oznacza, że dane osobowe mogą być zbierane jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego osiągnięcie nie jest możliwe przy użyciu innych sposobów. Cel przetwarzania danych musi być określony w momencie ich pozyskiwania. Jeśli podstawą przetwarzania danych jest zgoda, to odnosi się ona jedynie do konkretnie wskazanego celu przetwarzania. Nowy cel przetwarzania danych wymaga pozyskania nowej zgody. Dodatkowo, to na administratorze danych ciąży obowiązek informowania osób, których dane są przetwarzane o celach przetwarzania.

4. Zasada minimalizacji danych w RODO

Na gruncie Rozporządzenia (RODO) również zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu. Minimalizacja może polegać na wyselekcjonowaniu jedynie tych danych, które są potrzebne do danej działalności oraz na ograniczeniu okresu przechowywania danych. W praktyce realizacja zasady wymaga, aby przed rozpoczęciem procesu pozyskiwania, a następnie przetwarzania danych precyzyjnie określić cele i odpowiadające im ściśle określone rodzaje danych oraz ustalić termin usuwania i okresowego przeglądu danych. Należy podkreślić, że Rozporządzenie nakłada szereg obowiązków na administratorów oraz inne podmioty przetwarzające dane, obwarowanych surowymi karami. Zatem chcąc zapewnić bezpieczeństwo prowadzonej działalności warto ograniczyć zakres pozyskiwanych danych i ich przetwarzanie.

5. RODO: Zasady integralności i poufności

Zasady integralności i poufności nakładają na administratora danych obowiązek przetwarzania danych w sposób gwarantujący odpowiedni poziom bezpieczeństwa. Zasada integralności odnosi się do obowiązku zapewnienia, że dane nie zostały zmodyfikowane, usunięte, dodane czy zniszczone w sposób nieautoryzowany. Z kolei zgodnie z zasadą poufności należy zapobiegać sytuacjom, w których dane osobowe są udostępniane lub ujawniane nieautoryzowanym podmiotom, czy procesom. Obie zasady wymagają dokonania analizy ryzyka właściwego dla przetwarzania danych i charakteru danych podlegających ochronie, a następnie dostosowania i wdrożenia odpowiednich środków technicznych zapewniających zachowanie integralności i poufności danych.

6. Zasada przejrzystości w RODO

Celem Rozporządzenia RODO jest wzrost świadomości społeczeństwa na temat ryzyk związanych z udostępnianiem i przetwarzaniem danych osobowych. Stąd, zgodnie z zasadą przejrzystości, informacje udzielane przez administratora dotyczące przetwarzania danych powinny być zwięzłe, łatwo dostępne i zrozumiałe, a język, w jakim są sformułowane – jasny i prosty. Zasada ta obejmuje również wymóg, co do zakresu udzielanych informacji. Podczas pozyskiwania danych osobowych administrator ma obowiązek podać informacje identyfikujące administratora, określające cel i okres przetwarzania, dotyczące profilowania, czy przysługujących osobom fizycznym praw.

7. Zasada rozliczalności w RODO

Administrator ma nie tylko obowiązek stosować się do wymogów Rozporządzenia, w tym do wyżej wymienionych zasad, m.in. wdrażając odpowiednie środki techniczne czy organizacyjne, ale również powinien być w stanie wykazać, że stosowane przez niego metody są zgodne z rozporządzeniem oraz skuteczne. Zastosowanie się do zasady rozliczalności wymaga wdrożenia odpowiednich procedur i prowadzenia rzetelnej dokumentacji; warto rozważyć więc wprowadzenie odpowiednich regulacji wewnętrznych, nawet jeśli obowiązek ich posiadania nie wynika bezpośrednio z przepisów Rozporządzenia, ale dzięki którym łatwiej będzie wykazać fakt spełniania przewidzianych Rozporządzeniem wymogów. Wspomniana zasada rozliczalności jest też ściśle powiązana z obowiązkiem notyfikowania organu nadzorczego o stwierdzeniu naruszeń danych osobowych.

 

Artykuł ukazał się w Dzienniku Gazecie Prawnej w ramach cyklu: Europejska Reforma Ochrony Danych osobowych (RODO) - Jak się do niej przygotować?

Czy ta strona była pomocna?