W art. 5 RODO zostały sformułowane zasady dotyczące przetwarzania danych osobowych, kluczowe dla stosowania RODO, na które pewnie nie raz będziemy się powoływać podczas analizy konkretnych przykładów, do których należą:
- zasada legalności, rzetelności oraz przejrzystości przetwarzania,
- zasada celowości,
- zasada adekwatności,
- zasada prawidłowości danych,
- zasada ograniczenia czasowego przechowywania danych,
- zasada integralności i poufności danych.
A co to oznacza w praktyce?
Dane osobowe muszą być przetwarzane zgodnie z obowiązującym prawem w sposób przejrzysty dla osoby, której dotyczą, np. nie mogą być pozyskiwane i przetwarzane bez zgody podmiotu danych wyrażonej swobodnie i w sposób jednoznaczny.
Przykładowo: naruszeniem zasady rzetelności będzie połączenie klauzuli na otrzymywanie newslettera z klauzulą zgody na marketing w ten sposób, że podmiot danych nie będzie miał możliwości odmowy na którąkolwiek z klauzul.
Kolejną kluczową dla stosowania RODO zasadą jest zasada celowości, która zobowiązuje Administratora danych do sprecyzowania celu przetwarzania danych przed rozpoczęciem ich przetwarzania.
Przykładowo: jeżeli Administrator zbiera dane dla celów zatrudnienia, to nie może wykorzystywać otrzymanych danych w celach marketingowych.
W przypadku wykorzystywania danych pozyskanych na potrzeby zatrudnienia do celów marketingowych mamy do czynienia z naruszeniem zasady celowości, , gdyż jest to cel odmienny od celu pierwotnego na jaki podmiot danych wyraził zgodę. Kolejną zasadą jest zasada adekwatności zgodnie z którą zbierane dane, ich ilość i jakość powinna być adekwatna do celu w jakim są zbierane.
Przykładowo: administrator danych prosi o podanie nr PESEL w celach marketingowych, niniejsze dane są nieadekwatne do celu jakim jest cel marketingowy.
Natomiast zgodnie z zasadą prawidłowości danych Administrator zobowiązany jest zapewniać prawidłowość danych i ich aktualność. Administrator powinien podjąć czynności mające na celu usunięcie lub korektę danych na wniosek osoby, której dane dotyczą lub gdy sam stwierdzi na podstawie uzyskanych z wiarygodnych źródeł informacji, że posiadane dane są nieaktualne i wymagają usunięcia lub korekty.
Przykładowo: zmiana adresu, zmiana nazwiska podmiotu danych itp.
Kolejną zasadą przetwarzania danych osobowych jest zasada ograniczenia czasowego, która wymaga od Administratora zakazu przechowywania danych osobowych przez czas dłuższy niż czas niezbędny do celów ich przetwarzania.
Przykładowo: kiedy podmiot danych przekazał fotografowi odpowiednie informacje związane z koniecznością kontaktu w ramach wykonania zdjęć na weselu i sesji w plenerze, to po wykonaniu usługi i rozliczeniu, cel przetwarzania w ten sposób zdobytych danych ustaje – wszelkie dane pary młodej należy niezwłocznie usunąć;
Zatem obowiązkiem Administratora danych będzie okresowe przeglądanie posiadanych danych osobowych i ich usuwanie w przypadku ustania celu ich przetwarzania.
A jakie obowiązki ma Administrator w związku z zasadą integralności i poufności danych? Administrator zobowiązany jest do zapewnienia za pomocą odpowiednich środków technicznych, ochrony danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, utratą lub zniszczeniem. Niestety te „odpowiednie” środki nie zostały zdefiniowane przez ustawodawcę, czyli każdy Administrator danych staje przed niełatwym zadaniem, bowiem musi sam ocenić co w jego przypadku będzie „odpowiednim” środkiem do zapewnienia ochrony danych osobowych. Administrator musi pamiętać, że jego obowiązkiem jest zapewnić ochronę przed nieuprawnionym dostępem do danych osobowych i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu przez osoby trzecie.
Najnowsze komentarze