Rozporządzenie ogólne o ochronie danych osobowych wprowadza istotne zasady, które należy przestrzegać przy przetwarzaniu danych.

Część z ich nie jest nowa i nie stanowią odkrycia na miarę Kopernika. Jednak stanowią doprecyzowanie wynikające z praktyki organów ochrony danych osobowych oraz orzecznictwa sądów.

Sprawdź zatem, jakie zasady obowiązują przy przetwarzaniu danych i czy je przestrzegasz.

 

Zasada zgodności z prawem

 

Zasada ta uregulowana została w art. 5 ust. 1 lit. a rozporządzenia, który brzmi następująco.

Dane osobowe muszą być: przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

Rozporządzenie zawiera zamknięty katalog warunków, w jakich przetwarzanie danych może zostać uznane za zgodne z prawem, tj.:

1.Na podstawie zgody osoby, której dane dotyczą.

W takim przypadku konieczne jest zapewnienie, że zgoda taka spełnia wszelkie wymagania nałożone przez rozporządzenie.

2.Gdy jest to konieczne w celu wykonania umowy.

3. Ochrona interesu, który ma istotne znaczenie dla życia osoby fizycznej.

4. Ze względu na interes administratora (np. przetwarzanie danych dla celów marketingu bezpośredniego).

 

Zasada rzetelności i  Zasada przejrzystości

 

Dwie kolejne zasady, tj. rzetelności i przejrzystości  także są uregulowane w art. 5 ust. 1 lit. a rozporządzenia. Nie będę ponownie przytaczać przepisu (zob. powyżej). Chcę natomiast wyjaśnić, co ustawodawca unijny rozumie pod pojęciem  „rzetelnie” „przejrzyście”.

Przejrzystość oznacza, że osoba fizyczna powinna wiedzieć:

  • że jej dane w ogóle są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane
  • w  jakim stopniu te dane osobowe są lub będą przetwarzane
  • informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych powinny być łatwo dostępne i zrozumiałe
  • ponadto winny być sformułowane jasnym i prostym językiem.

W praktyce oznacza to, że jeżeli chcemy przetwarzać dane na stronie, którą prowadzimy (portal, blog, sklep) należy na niej umieścić w sposób wyraźny odpowiedni komunikat, jakie i po co chcemy zbierać dane.

Co to znaczy wyraźny? Nie powinniśmy popadać w paranoję. Jednak, będąc konsumentem, gdy wchodzę na stronę i nie potrafię znaleźć regulaminu, czy polityki prywatności. Kiedy składając zamówienie nie wiem, czy moje dane będą wykorzystywane wyłącznie na potrzeby realizacji zamówienia, czy może jeszcze do wysyłki reklam, to zaczynam mieć wątpliwości.

Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane (motyw 59 preambuły).

Ponadto, zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych (motyw 60 preambuły).

Pamiętaj! Posługuj się jasnym i prostym językiem tak, by nawet dziecko mogło bez problemu zrozumieć.

 

Zasada ograniczenia celu

 

Kolejną zasadę uregulowaną mamy w art. 5 ust. 1 lit. b

Dane osobowe muszą być: (…) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

Wydaje się, że jest to oczywiste, ale na wszelki wypadek wymienię. Zbieranie danych musi mieć:

  • konkretny i wyraźny cel
  • prawnie uzasadniony
  • przetwarzany dalej w sposób zgodny z celem, dla którego został pozyskany

 

Jako przykład może być zbieranie danych subskrybentów. Jest to czytelny i bardzo oczywisty przykład tego, że jeśli zbierasz dane do newslettera, aby rozsyłać maila z informacjami na blogu, to nie możesz tych danych wykorzystywać do zupełnie innego celu, którym nie jest newsletter.

Wyjątek od tej zasady przewiduje motyw 50 preambuły. Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane.

Jeżeli planujesz przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji (motyw 61 preambuły).

 

Zasada minimalizacji danych

Kolejna zasada mówi o przetwarzaniu danych w sposób

  • adekwatny i stosowny
  • ograniczony do celów, dla których są one przetwarzane

 

Dotyczy to także ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

 Pamiętaj! Administrator danych powinien ustalić termin usuwania danych oraz okresowego ich przeglądu.

Minimalizacji danych poświęciłam odrębnym wpis, z którym możesz zapoznać się pod linkiem: Minimalizacja danych, czyli jakie dane mamy prawo żądać od klienta

 

Zasada prawidłowości

 

O zasadzie prawidłowości mówimy wówczas, gdy dane osobowe są  prawidłowe i w razie potrzeby uaktualniane (art. 5 ust. 1 lit. d)

Zadaniem administratora danych jest podjęcie wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

Co oznacza „rozsądne działania”? Należy tutaj odwołać się do rozsądku i rzeczywistej sytuacji danego administratora. Każdy musi rozpatrzeć przez pryzmat swojej sytuacji, wielkości firmy, ilości przetwarzanych danych, osób upoważnionych do przetwarzania danych itp.

Zasada ta sprowadza się do tego, aby stworzyć odpowiednie rozwiązania techniczne (zabezpieczenia, checkboxy, potwierdzenia prawdziwości podanych danych) jak i organizacyjne (procedury kto i co jaki czas sprawdza dane) umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych.

Pamiętaj! Musisz ustalić, co jaki okres będziesz weryfikował przetwarzane dane.

 

Zasada ograniczenia przechowywania

 

Zgodnie z tą zasadą, uregulowaną w art. 5 ust. 1 lit. e rozporządzenia, dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do realizacji celów, w których dane te są przetwarzane.

Zatem mowa tutaj o:

  • formie przechowywania danych
  • okresie niezbędnym do realizacji celów

 

Dlatego obowiązkiem administratora danych jet analiza, jaką formę przechowywania danych przyjmie oraz jaki okres przetwarzania danych. Na pewno w przypadku sprzedaży online należy uwzględnić okres możliwego odstąpienia od umowy czy złożenia reklamacji.

Natomiast, dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów:

  • archiwalnych w interesie publicznym
  • badań naukowych
  • historycznych
  • statystycznych na mocy art. 89 ust. 1

Z takim zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.

 

Zasada integralności i poufność

 

W świetle art. 5 ust. 1 lit. f  dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Dla realizacji tej zasady administrator danych powinien wdrożyć odpowiednie środki organizacyjne i techniczne po przeprowadzonej analizie ryzyka.

Zatem w pierwszej kolejności powinien dokonać analizy:

  • stanu wiedzy technicznej
  • kosztów wdrażania i sytuacji finansowej z tym związanej
  • zakresu, charakteru i celu przetwarzania
  • ryzyka naruszenia praw osób fizycznych (np. jaka możliwość jest włamania się do serwera, jego bazy danych, kradzieży laptopa z biura i innych)

 

Pamięta! Administratora danych powinien dokonać analizy ryzyka, a następnie dostosować i wdrożyć środki adekwatne do stopnia ryzyka.

 

Zasada rozliczalności

 

Administrator jest odpowiedzialny za przestrzeganie ochrony danych, ale i wykazanie (udowodnienie) ich przestrzegania. Zatem nie można pozostawać na stwierdzeniu: Tak, przestrzegam. Administrator udowodnić, że deklaracja słowna ma konkretne przełożenie w prowadzonych procedurach w firmie, sposobie wykonywania czynności.

Z zasadą rozliczalności wiąże się także uprawnienie administratora, który od maja 2018r.będzie miał swobodę w wyborze środków organizacyjnych i technicznych, które wykorzysta do zabezpieczenia przetwarzanych przez siebie danych.

 

Na koniec jeszcze ZADANIE DLA CIEBIE.

Przejrzyj zbiory danych przez pryzmat:

  • ilości
  • zakresu znajdujących się w nich danych
  • czasu ich przechowania
  • lokalizacji w których dane się znajdują.

Powodzenia!

 

Jeśli spodobał ci się artykuł, koniecznie podziel się nim ze znajomymi: