Jakie nowe zasady przetwarzania danych osobowych wprowadza RODO

Zasady przetwarzania danych osobowych opisują art. 5 i 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Zasada privacy by design wynika z art. 25 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO). Zgodnie z nim „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.

Zgodnie z tą zasadą administrator powinien już na etapie projektowania systemu ochrony danych osobowych oraz na etapie wykorzystywania go do przetwarzania danych zapewnić, że zostały zastosowane wobec niego odpowiednie środki techniczne i organizacyjne, które zapewnią ochronę danych użytkowników i ich przetwarzanie zgodnie z rozporządzeniem.

Zasada privacy by default (domyślna ochrona danych) przewiduje ochronę danych osobowych jako domyślne ustawienie każdego programu. Każda aplikacja, portal czy usługa powinny mieć automatycznie ustawioną domyślną ochronę prywatności. Każdy administrator powinien zapewnić możliwość zmiany takiego ustawienia na żądanie użytkownika, który chce zrezygnować z ochrony swojej prywatności.

Zgodnie z art. 5 ust. 1 pkt b dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Oznacza to, że dane mogą być przetwarzane przez administratora tylko i wyłącznie w celu, do którego zostały zebrane. Administrator nie ma prawa wykorzystywać danych osobowych (po ich zebraniu) do innych celów.

Realizacja zasad integralności i poufności to wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych. Zgodnie z art. 32 RODO odpowiednie środki organizacyjne i techniczne administrator powinien wdrożyć na podstawie wyników analizy ryzyka. Określając te środki, powinien uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia zagrożeń.

Odniesienie do zasad poufności i integralności w RODO są zapisane w art. 5 ust. 1 lit. f, który stanowi, że dane osobowe muszą być: „(…) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.

Zgodnie z art. 5 RODO sposób przetwarzania danych osobowych powinien być jasny i czytelny dla osoby, której dane dotyczą. Oznacza to, że wszelkie informacje związane z procesem przetwarzania danych osobowych powinny być przekazywane w łatwo dostępnej i zrozumiałej formie oraz sformułowane prostym i zrozumiałym językiem (motyw 39 RODO). Dane powinny być aktualne, a sposób ich zbierania powinien być zgodny z prawem, tzn. oparty na jednej z przesłanek legalizujących przetwarzanie danych.

Zasada ta wymaga, by administrator zbierał i przetwarzał tylko te dane, które są niezbędne do realizacji celu, do którego są zbierane. Przejawem realizacji zasady minimalizacji danych jest wymóg przeprowadzania anonimizacji i pseudoanonimizacji danych przewidziany w RODO. Przestrzeganie tej zasady ma znaczenie nie tylko na etapie zbierania danych osobowych, ale także na etapie ich przetwarzania. Administrator powinien bowiem zadbać, by do danych osobowych byli dopuszczani pracownicy tylko w takim zakresie, w jakim jest to im niezbędne do realizacji celu.

Przepisy RODO wymagają, by dane osobowe były poprawne i w razie potrzeby uaktualniane. W związku z tym rekomenduje się usuwanie lub sprostowanie wszystkich danych, które są nieprawidłowe w stosunku do celu ich przetwarzania. Zgodnie z motywem 39 RODO w celu zapewnienia merytorycznej poprawności danych osobowych „należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe”.

Zgodnie z tą zasadą dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do realizacji celów, w których dane te są przetwarzane.

Zasada rozliczalności oznacza, że administrator powinien przestrzegać wszystkich powyższych zasad przetwarzania danych osobowych i musi wykazać, że ich przestrzega, np. posiadać stosowne procedury, dokumenty potwierdzające zgodność z tą zasadą.

Zasada rozliczalności ma szczególny charakter, ponieważ odnosi się do wszystkich zasad przetwarzania danych osobowych. Administrator na każdym etapie przetwarzania danych osobowych powinien móc wykazać, że przetwarza dane zgodnie z przepisami prawa, a tym samym ze wszystkimi zasadami. Administrator, planując lub realizując czynności dotyczące przetwarzania danych osobowych, powinien uwzględnić ich zgodność z obowiązującymi zasadami.