Zasady przetwarzania danych osobowych na gruncie RODO

Obowiązująca wciąż ustawa o ochronie danych osobowych nie przewidywała wprost zasad ochrony danych osobowych. Zasady te były wyinterpretowywane z jej poszczególnych postanowień. Ustawodawca unijny postanowił jednak podnieść rangę tych zasad, jak również dodać kilka nowych, wysławiając je wprost w art. 5 rodo. Wszelkie procesy przetwarzania danych osobowych muszą być zgodne z wszystkimi zasadami przetwarzania łącznie – naruszenie choćby jednej z nich powoduje, że przetwarzanie danych osobowych będzie niezgodne z prawem.

 

ZGODNOŚĆ Z PRAWEM, RZETELNOŚĆ I PRZEJRZYSTOŚĆ

Przetwarzanie danych osobowych musi być przede wszystkim zgodnie z prawem. Podkreślić wymaga, że rodo kontynuuje zasadę znaną z dyrektywy oraz ustawy o ochronie danych osobowych, że przetwarzanie danych osobowych jest nielegalne, chyba że zachodzi jedna z przesłanek legalizujących przetwarzanie – jest to albo zgoda osoby, której dane dotyczą, albo inne prawem przewidziane warunki, w zasadzie analogiczne do dotychczasowych przesłanek. Dotychczas w ustawie o ochronie danych osobowych uregulowane były odrębne podstawy dla przetwarzania danych zwykłych (art. 23 u.o.d.o.) oraz tzw. danych sensytywnych, określanych też w literaturze mianem wrażliwych (art. 27 u.o.d.o.). Dane sensytywne rodo określa mianem „danych szczególnej kategorii”. Co niezwykle istotne dla praktyki względem dotychczasowej regulacji – rodo wprost zalicza do danych szczególnej kategorii dane biometryczne, co podnosi ich rangę i prowadzi do odmienności w zakresie zasad ich ochrony.

Zasady rzetelności i przejrzystości przybliżone zostały w motywach rodo. Zasada przejrzystości została w rodo po raz pierwszy wprost wyartykułowana, stanowi więc istotne novum. Zasady rzetelności i przejrzystości są przede wszystkim związane z wypełnianiem obowiązków informacyjnych, w szczególności w zakresie tożsamości administratora danych, faktu przetwarzania danych, zakresu oraz celu ich przetwarzania.

Z zasadą przejrzystości wiążą się podstawowe obowiązki:

  • zapewnienie, aby przetwarzanie było dla osób fizycznych przejrzyste w tym sensie, że mają one mieć wiedzę o tym, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane,
  • zapewnienie, aby wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem – zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących,
  • uświadomienie ryzyk, zasad zabezpieczenia i praw związanych z przetwarzaniem danych osobowych oraz sposobów wykonywania praw przysługujących osobom fizycznym w związku z takim przetwarzaniem,
  • zapewnienie, aby konkretne cele przetwarzania danych osobowych były wyraźne, uzasadnione i określone w momencie ich zbierania.

 

ZASADA OGRANICZENIA CELU PRZETWARZANIA

 Zasada ograniczenia celu przetwarzania w rodo ma charakter zbliżony do zasady wynikającej z ustawy o ochronie danych osobowych. Dotyczy to przede wszystkim związania celem przetwarzania, co powoduje, iż przetwarzanie danych w celu niezgodnym z celem, do którego zostały zebrane, podlega daleko idącym ograniczeniom. Podkreśla się w rodo, że cele przetwarzania danych powinny być konkretne, wyraźne oraz prawnie uzasadnione. Oznacza to, że cel nie może być określony w sposób abstrakcyjny, w oderwaniu od konkretnej sytuacji, enigmatyczny, niejasny, pozostawiający możliwość rozbieżnej interpretacji. Od należytego sformułowania celu przetwarzania będzie zależała zgodność z prawem całego procesu przetwarzania danych osobowych. Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, zgodnie z rodo powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji.

Zasadniczą, niezwykle istotną z punktu widzenia praktyki zmianą w rodo względem ustawy o ochronie danych osobowych jest dopuszczenie przetwarzania danych osobowych w celu innym niż ten, do którego zostały zebrane, o ile ten nowy cel jest zgodny z celem pierwotnym. Oznacza to znaczące zawężenie zasady związania celem i tym samym rozszerzenie dopuszczalności przetwarzania danych. Wynika to z faktu, iż zapewne ustawodawca unijny uznał dotychczasowe związanie ściśle określonym celem pierwotnym za zbyt rygorystyczne. Jednocześnie wskazano, analogicznie do obecnej regulacji, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 rodo za niezgodne z pierwotnymi celami. W stosunku do dotychczasowej regulacji pominięto cele dydaktyczne, a dodano cele archiwalne w interesie publicznym. Ta ostatnia przesłanka będzie niezwykle istotna dla podmiotów publicznych, szczególnie w kontekście zasady ograniczenia czasu przechowywania danych. Po upływie tego okresu podmioty te będą musiały rozważyć, czy dalsze przetwarzanie danych osobowych do celów archiwalnych jest uzasadnione interesem publicznym.

 

ZASADA MINIMALIZACJI DANYCH

 Zasada minimalizacji danych stanowi kluczową zasadę przetwarzania danych na gruncie rodo. W myśl rodo dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Oznacza to, iż każdy podmiot przetwarzający dane musi rozważyć, czy dane, które przetwarza, jak również ich rodzaj, są adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wynika to z zasad privacy by design, gdzie administrator musi uwzględnić zasadę minimalizacji danych już na etapie projektowania przyszłych operacji przetwarzania oraz zasady privacy by default, która oznacza, że zachowanie prywatności osoby fizycznej w najwyższym możliwym z punktu widzenia danego celu stopniu ma charakter domyślny – stanowi zasadę, a nie wyjątek, co oznacza, że wątpliwości co do dopuszczalności przetwarzania danych powinno się interpretować na korzyść większej prywatności osoby fizycznej. Jeśli przetwarzanie określonych danych może być zastąpione w rozsądny sposób przez przetwarzanie innego rodzaju danych, to znaczy, że nie wolno tych danych przetwarzać. Będzie to dotyczyło w szczególności przetwarzania danych szczególnej kategorii, jak np. danych biometrycznych w celu identyfikacji osób, kiedy ten sam skutek można osiągnąć przykładowo poprzez weryfikację dowodu osobistego. Administrator nie powinien zbierać danych zbędnych z punktu widzenia celu przetwarzania, ani na zapas, gdyby miały się przydać w przyszłości.

 

ZASADA PRAWIDŁOWOŚCI DANYCH

Obowiązkiem administratora jest, aby przetwarzane dane były prawidłowe i w miarę potrzeby uaktualniane. Obowiązek ten oznacza, że administrator musi zgodnie z rodo podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. W tym celu powinny być przeprowadzane okresowe przeglądy celem usunięcia lub sprostowania danych.

 

ZASADA OGRANICZENIA PRZECHOWYWANIA DANYCH

Z zasadą minimalizacji danych oraz prawidłowości danych w sposób ścisły związana jest zasada ograniczenia przechowywania danych. Zgodnie z rodo, dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą (a więc nie zanonimizowanej), przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, co oznacza, że okres przechowywania danych powinien być ograniczony do ścisłego minimum. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy rodo w celu ochrony praw i wolności osób, których dane dotyczą.  Będzie to oznaczać, iż co do zasady w przypadku większości danych administratorzy będą musieli w myśl rodo ustalać termin usuwania danych, bądź przeprowadzać okresowe przeglądy celem usuwania danych, które już nie powinny być przetwarzane. Jest to niezwykle istotny obowiązek, bowiem przekroczenie dopuszczalnego czasu przetwarzania danych oznacza, że przetwarzanie danych od tego momentu jest niezgodne z prawem. Podniesienie tego obowiązku do rangi zasady w rodo ma na celu wyeliminowanie praktyk zalegania danych u administratorów i ich wieczystego przetwarzania, co prowadzi do sytuacji, w której raz zebrane dane nigdy nie przestają być przetwarzane, pomimo ich zbędności. Przedmiotowy obowiązek niewątpliwie będzie egzekwowany w toku kontroli Prezesa Urzędu Ochrony Danych Osobowych.

 

ZASADA INTEGRALNOŚCI I POUFNOŚCI

Dane osobowe na gruncie rodo powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych Jakkolwiek zasada integralności i poufności nie ma swojego odpowiednika ma gruncie dotychczasowej regulacji, to wynika ona z art. 36 ustawy o ochronie danych osobowych. W myśl tego przepisu, administrator danych zobowiązanych jest do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych. Ogólne wytyczne w tym zakresie zawiera rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Na podstawie rodo brak będzie określenia tego typu wytycznych w wiążących aktach prawnych, bowiem kładziony jest większy nacisk na samodzielność administratorów w tym zakresie. To oni będą sami musieli ocenić, jakie zabezpieczenia są konieczne i adekwatne do poziomu zagrożeń. Związane jest to także z faktem, iż w szczególności w rzeczywistości cyfrowej sytuacja w zakresie poziomu ochrony danych ulega dynamicznym zmianom. Przerzucenie oceny co do odpowiedniego poziomu ochrony na administratorów powoduje, że rodo w tym zakresie nie będzie musiało być nieustannie zmieniane celem nadążenia za zachodzącymi przemianami. Stanowi to ułatwienie dla ustawodawcy unijnego, lecz znaczące utrudnienie dla administratorów. Rozumiejąc ten fakt, ustawodawca unijny przewidział wydawanie przez Prezesa Urzędu Ochrony Danych Osobowych zbiorów dobrych praktyk, które mają być pewnym drogowskazem dla administratorów w zakresie doprecyzowania, czym są „odpowiednie” środki techniczne i organizacyjne.

 

ZASADA ROZLICZALNOŚCI

 Zasada ta również nie miała na gruncie ustawy o ochronie danych osobowych swojego odpowiednika. Zgodnie z tą zasadą, administrator jest odpowiedzialny za przestrzeganie przepisów określających wskazane wyżej zasady przetwarzania danych i musi być w stanie wykazać ich przestrzeganie. Przepis ten stanowi zatem, że na administratorze ciąży obowiązek dokumentacyjny w zakresie procesu przetwarzania danych, pozwalający na ustalenie, czy zasady przetwarzania danych są przestrzegane.

 


CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.