Co w Prawie Piszczy | Zasady przetwarzania danych osobowych w praktyce
7245
post-template-default,single,single-post,postid-7245,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Zasady przetwarzania danych osobowych w praktyce

W jednym z pierwszych przepisów RODO zdefiniowane zostały zasady dotyczące przetwarzania danych osobowych. Już samo ich usytuowanie w tym miejscu (w artykule 5, zaraz po przepisach ogólnych) nadaje im rangę pewnego wyznacznika czy „motywu przewodniego”, któremu podporządkowane są dalsze, bardziej konkretne przepisy. Nie będzie przesadą stwierdzenie, że bez przyswojenia i wprowadzenia w życie tych zasad nie jest możliwe działanie zgodnie z RODO. To właśnie ich przestrzeganie świadczy (w uproszczeniu) o zgodności działań z rozporządzeniem. Dalsze przepisy stanowią raczej narzędzia służące pełnej realizacji zasad.

Przyjrzyjmy się więc poszczególnym zasadom i ich zastosowaniu w praktyce:

1. Zgodność z prawem, rzetelność i przejrzystość

Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

Zgodność z prawem oznacza przede wszystkim przetwarzanie danych tylko wtedy, gdy przepisy RODO lub krajowe dają ku temu podstawę. Taką podstawą może być np. zgoda danej osoby czy przetwarzanie danych w celu wykonania umowy.

Rzetelność i przejrzystość wymaga przede wszystkim spełniania szczegółowo opisanych w RODO obowiązków informacyjnych, ale ogólnie oznacza też uczciwe traktowanie osoby, której dane przetwarzamy.

Podawanie wszelkich informacji w sposób łatwo dostępny, przystępny i zrozumiały ma wpłynąć na transparentność przetwarzania danych. Preferowany jest więc język potoczny, a nie cytowanie wprost niezrozumiałych dla laika przepisów. Nawet bardzo szczegółowa informacja, napisana zgodnie z przepisami, ale w sposób niezrozumiały dla odbiorcy, może nie spełnić wymogów RODO. Podobnie należy kwalifikować ukrywanie informacji o administratorze danych w trudno dostępnych zakładkach na stronie internetowej czy ich wpisanie bardzo małym druczkiem na odwrocie formularza zgody.

2. Ograniczenie celu

Administrator może zbierać dane osobowe tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie może ich przetwarzać dalej w sposób niezgodny z tymi celami.

Zasada ta oznacza, że planowany przez osobę zbierającą dane osobowe cel przetwarzania musi być znany i wyraźnie zakomunikowany już na etapie ich przekazywania. Dana osoba musi więc mieć zawsze pełną świadomość, po co przekazuje dane i jak będą one wykorzystane.

Przykładowymi celami przetwarzania są proces rekrutacji, przechowywanie CV w celu przyszłych rekrutacji, obsługa konta na stronie internetowej, wysyłka mailingu, marketing własnych produktów, marketing produktów podmiotu trzeciego, realizacja umowy sprzedaży itd.  W przypadku gdy dane osobowe będą przetwarzane w kilku celach, każdy z nich musi być jednoznacznie wskazany.

3. Minimalizacja danych

Administrator może przetwarzać tylko te dane osobowe, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Zasada ta wymaga od administratora każdorazowo zadania sobie pytania, jakie dane naprawdę są mu potrzebne do celu, dla którego je zbiera. Przykładowo: w celu zawarcia umowy sprzedaży przez Internet, z odbiorem osobistym, nie jest wymagane podanie przez kupującego jego adresu, skoro sprzedawca nie nadaje przesyłki; w celu zapisu do newslettera przeważnie wystarczy jedynie adres e-mail, a pobierane często dane takie jak płeć czy data urodzenia najczęściej są zbędne (chyba, że komunikacja marketingowa jest profilowana z uwzględnieniem tych danych); przy zakupie karnetu na siłownię nie jest uzasadnione pytanie klienta o jego numer telefonu czy PESEL.

Nie jest też uprawnione zbieranie danych „na zapas”, z założeniem, że może kiedyś się przydadzą. Administrator jest uprawniony do dysponowania tylko tymi danymi, które są mu potrzebne w znanym danej osobie celu przetwarzania.

Co istotne, dotyczy to nie tylko etapu zbierania danych: jeżeli w trakcie ich przetwarzania, część danych stanie się zbędna, należy zaprzestać ich przetwarzania.

4. Prawidłowość

Administrator jest zobowiązany przetwarzać dane, które są prawidłowe, a także uaktualniać je w razie potrzeby. W praktyce oznacza to m.in., że sposób przetwarzania danych przez administratora powinien umożliwiać mu edycję danych, np. w sytuacji, gdy otrzyma od osoby, której dane dotyczą informacje o błędzie w danych (np. literówka w nazwisku) czy o ich zmianie (np. zmiana adresu danej osoby).

5. Ograniczenie przechowywania

Dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której one dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Zasada ta oznacza więc zakaz przetwarzania danych po zakończeniu czynności i celów, dla których je przetwarzamy (ewentualnie w pewnych przypadkach możliwe przechowywanie danych w celu dochodzenia lub obrony przed roszczeniami). Na przykładzie: jeżeli kurier posiada adres klienta, powinien go usunąć po dostarczeniu przesyłki; jeżeli przedsiębiorca posiada bazę danych osób, którym wysyła newsletter, powinien je usunąć z momentem zaprzestania wysyłki newslettera np. w wyniku cofnięcia zgody przez danego użytkownika.

Przedsiębiorcy powinni więc wdrożyć środki umożliwiające kontrolę zakresu przetwarzanych danych lub prowadzić okresowe przeglądy.

6. Integralność i poufność

Dane osobowe należy przetwarzać w sposób zapewniający ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Zasada ta zawiera w sobie kilka obowiązków, które wymagają wprowadzenia szeregu środków zabezpieczających, zarówno informatycznych (np. zabezpieczenie systemu przed wyciekiem danych czy możliwością dostępu do nich prze osoby nieuprawnione), fizycznych (przechowywanie dokumentów zawierających dane osobowe w zamykanych szafach, ograniczony dostęp do serwerowni), jak i organizacyjnych (np. polityka czystego biurka, kontrola obiegu dokumentów w przedsiębiorstwie).

Co istotne, samo RODO nie precyzuje jakie to mają być środki, rolą administratora jest takie ich dobranie, aby przetwarzane dane były bezpieczne. Wykorzystywane środki będą więc z założenia różnić się nie tylko pomiędzy przedsiębiorcami, ale też np. pomiędzy działami firmy.

7. Rozliczalność

Zasada rozliczalności oznacza, że administrator:

1) jest odpowiedzialny za przestrzeganie wszystkich opisanych powyżej zasad (tj. jest zobowiązany do ich właściwego wdrożenia i stosowania, a w razie naruszeń w tym zakresie ponosi za nie odpowiedzialność),

2) musi być w stanie wykazać, że ich przestrzega, zwłaszcza przed organem nadzorczym.

Zasada ta stanowi więc tak naprawdę klamrę dla wszystkich pozostałych zasad, wskazując podmiot odpowiedzialny za ich wprowadzenie w życie oraz wskazującą, że samo przetwarzanie zgodnie z RODO nie wystarczy – administrator musi umieć wykazać, że każda z zasad jest przez niego stosowana przy wszystkich czynnościach przetwarzania.

Rozliczeniu mogą służyć stosowane rozwiązania informatyczne, np. pozwalające zarejestrować uzyskane zgody na przetwarzanie i wygenerować informację o zakresie i celu przetwarzania danych. Ważne są też środki organizacyjne opisane np. w posiadanej przez administratora wewnętrznej dokumentacji, takie jak sposób fizycznego zabezpieczenia danych czy wewnętrzna procedura udzielania do nich dostępu.

Analizując zasady RODO możemy mieć wrażenie, że nie wprowadzają one niczego nowego. Faktycznie, zdecydowana większość z nich obowiązywała w takim samym lub chociaż zbliżonym kształcie także pod rządami aktualnej ustawy o ochronie danych osobowych. Potwierdza to tezę, że dla tych przedsiębiorców, którzy przetwarzali dane osobowe zgodnie z ustawą, RODO nie powinno stanowić aż tak dużego zaskoczenia.

Autor: admin

Zaproponuj znajomym
Brak komentarzy.

skomentuj