Zasady dotyczące przetwarzania danych osobowych zostały określone w szczególności w art. 5 RODO. Pomocne w zrozumieniu wielu artykułów RODO są motywy – takie wyjaśnienia zamieszczone w Preambule, czyli we wstępnej części Rozporządzenia, mówiące jakie cele przyświecały Parlamentowi Europejskiemu i Radzie UE przy uchwaleniu tego Rozporządzenia, co chciały osiągnąć i jak dane zapisy powinny być interpretowane. O zasadach przetwarzania danych osobowych przeczytacie w motywie 39.

Jakie są więc zasady przetwarzania danych osobowych w RODO?

Są to:

1 ZASADA: zgodność z prawem, rzetelność i przejrzystość, ale nie może być to przejrzystość dla administratora, tylko dla osoby, której dane dotyczą.

To dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu. Wszystkie informacje i komunikaty związane z przetwarzaniem tych danych powinny być łatwo dostępne i zrozumiałe, a ponadto sformułowane jasnym i prostym językiem. Osoby, których dane dotyczą powinny zostać poinformowane m.in. o tym, kto jest administratorem ich danych i w jakich celach dane są przetwarzane.

2 ZASADA: ograniczenie celu – zasadniczo dane osobowe muszą być przetwarzane w jakimś celu. Nie może być tak, że jakiś podmiot zbiera je ot tak sobie, bo może kiedyś mu się przydadzą. Dlatego też dane mogą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być później przetwarzane w sposób niezgodny z tymi celami. Oznacza to, że jeśli odpadnie cel, dla którego zostały zebrane, to odpadnie też możliwość ich przetwarzania. Jedynie dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami.

Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych, a także sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. Konkretne cele przetwarzania powinny być wyraźne, uzasadnione i określone w momencie ich zbierania.

3 ZASADA: minimalizacja danych – dane muszą być adekwatne, stosowne oraz niezbędne do celów, dla których są przetwarzane. Każdorazowo administrator musi się zastanowić jakie dane są mu potrzebne, aby nie przetwarzać danych zbędnych.

Wymaga to m.in. ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

4 ZASADA: prawidłowość – dane muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które nie są prawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Może to dotyczyć zarówno uaktualnienia np. nazwiska czy adresu, jak i usunięcia np. adresu e-mali, gdy jego przetwarzanie stało się zbędne;

5 ZASADA: ograniczenie przechowywania – zasadą jest, że dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, ale przez okres nie dłuższy, niż jest to niezbędne do celów, dla których dane te są przetwarzane. I tu znowu wyjątkiem są cele archiwalne realizowane w interesie publicznym, badania naukowe lub historyczne oraz cele statystyczne, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dotyczą.

Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu.

6 ZASADA: integralność i poufność – należy odpowiednio dobrać sposób przetwarzania danych, aby zapewnić im bezpieczeństwo i poufność, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zasada ta dotyczy zatem odpowiedniej organizacji pracy z danymi osobowymi, zarówno tymi „papierowymi”, jak i elektronicznymi. Istotne jest tu ograniczenie wglądu do danych osobowych osób, które nie muszą go mieć lub ograniczenie zakresu tych danych, ochrona przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz ochrona przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

7 ZASADA: rozliczalność – administrator, który jest odpowiedzialny za przestrzeganie powyższych zasad musi być w stanie „rozliczyć się” z nich, tzn. wykazać ich przestrzeganie.

Podstawa prawna: art. 5 i motyw 39 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Dodaj komentarz