Szczególna staranność administratora danych - jak rozumieć tę zasadę

Zgodnie z art. 26 ust. 1 ustawy o ochronie danych osobowych: „Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

1. przetwarzane zgodnie z prawem,
2. zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem art. 26 ust. 2 ustawy o ochronie danych osobowych,
3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania”.

Obowiązek zachowania szczególnej staranności aktualizuje się już od rozpoczęcia przetwarzania danych osobowych. Można nawet twierdzić, że powstaje on w zasadzie, jeszcze zanim administrator danych rozpocznie ich przetwarzanie. Skoro obowiązkiem administratora jest np. zapewnienie właściwej podstawy przetwarzania danych osobowych, to aby zrealizować ten wymóg, konieczne jest odpowiednio wcześniejsze przygotowanie procesu przetwarzania danych osobowych.

W ustawie o ochronie danych osobowych nie odnajdujemy definicji pojęcia „szczególna staranność”. Pojęcie „staranność” pojawia się jednak w innych aktach prawnych. Przykładowo, ustawodawca w Kodeksie cywilnym określa „należytą staranność” jako kryterium oceny zachowania podmiotu, któremu chcemy przypisać odpowiedzialność z tytułu niewykonania lub nienależytego wykonania zobowiązania.

Należyta staranność w przypadku dłużnika powinna zatem uwzględniać charakter prowadzonej przez niego działalności, ale również znajomość obowiązującego prawa oraz następstw z niego wynikających w zakresie prowadzonej przez niego działalności gospodarczej. Można uznać, że pomimo braku definicji termin „staranność” ujęty w tych dwóch aktach prawnych jest poniekąd tożsamy. Administrator danych powinien być w odpowiedni sposób przygotowany do pełnienia swojej funkcji oraz zdawać sobie sprawę z tego, jaka odpowiedzialność na nim spoczywa.

Bez wątpienia głównym obowiązkiem administratora danych wynikającym z zasady „szczególnej staranności” jest dbanie o odpowiedni poziom ochrony interesów osób, których dane dotyczą. Nie chodzi tutaj wyłącznie o dane osób, które aktualnie są przetwarzane, ale również o dane osób, które będą przetwarzane w przyszłości. Katalog czynności, które objęte są wymogiem szczególnej staranności, nie ma charakteru zamkniętego. Warto jednocześnie zaznaczyć, że ustawodawca nie definiuje również pojęcia „interesów osób, których dane dotyczą”. Można założyć, że interesy te mogą dotyczyć m.in.:

• prawa do prywatności,
• możliwości samodzielnego decydowania o kształtowaniu własnego wizerunku wobec innych osób, a także różnych podmiotów.

W ustawie o ochronie danych osobowych odnajdujemy z jednej strony normę nakazu zachowania szczególnej staranności, a z drugiej strony sankcje za jej niedochowanie. Odpowiedzialność administratora danych osobowych została określona w rozdziale 8 ustawy o ochronie danych osobowych. Wynika z tego, że administrator danych powinien ocenić oraz minimalizować ryzyko związane z przetwarzaniem danych osobowych, z zachowaniem wyższego, niż wymagany stopnia staranności.

Rozdział 3 ustawy o ochronie danych osobowych opisuje generalne zasady przetwarzania danych osobowych i do nich właśnie odwołuje się art. 26 tej ustawy. Określa on m.in. zasady przetwarzania danych osobowych, jakimi powinien kierować się administrator danych w celu dochowania szczególnej staranności. Zasady te dotyczą:

1. legalności,
2. celowości,
3. rzetelności,
4. adekwatności,
5. okresu przechowywania danych osobowych,
6. bezpieczeństwa danych osobowych.

Polega ona na dbaniu o to, żeby dane były przetwarzane zgodnie z prawem. Przetwarzanie powinno być zgodne z przepisami uodo oraz z innymi przepisami prawa, np. zawartymi w innych aktach wykonawczych. Zasada ta przede wszystkim zabrania zbierania oraz pozyskiwania danych osobowych w sposób ukryty lub poprzez podsłuch.

Przy okazji zasady legalności warto wspomnieć o art. 23 uodo i dopuszczalności przetwarzania danych osobowych. Jedną z takich przesłanek jest zgoda osoby, której dane dotyczą. Takie oświadczenie woli nie może być domniemane lub dorozumiane z oświadczenia o innej treści. Oświadczenie o wyrażeniu zgody powinno dotyczyć wyłącznie jednego celu przetwarzana danych oraz nie może być wyrażone pod wpływem przymusu. Powinno być przejawem wolnej woli osoby, która je składa. Zgoda powinna określać:

1. cel, w jakim została zebrana,
2. zakres danych i administratora danych osobowych, których dotyczy.

Dobrym przykładem użycia zgody przez administratora jest przetwarzanie danych w celach rekrutacyjnych. W przypadku wyrażenia zgody na takie przetwarzanie danych potencjalny pracownik ma możliwość wzięcia udziału także w innych toczących się u danego pracodawcy procesach rekrutacyjnych. Taką zgodę potencjalny pracownik może w każdej chwili odwołać.

Zasada ta, zwana również zasadą związania z celem, oznacza wymóg zbierania danych osobowych dla oznaczonych, zgodnych z prawem celów i niepoddawania ich dalszemu przetwarzaniu niezgodnemu z tymi celami. Oznacza to, że administrator, przetwarzając dane:

1. nie może pominąć ani zataić tego celu,
2. nie może określać celu przetwarzania danych w sposób ogólnikowy,
3. powinien zakomunikować cel osobie, której dane osobowe dotyczą, przed zebraniem danych osobowych,
4. nie powinien dopuszczać uzależniania zawarcia umowy od wyrażenia zgody na przetwarzanie danych w zupełnie innych celach (np. marketingu produktów i usług podmiotów trzecich).

Zasada ta oznacza, że przetwarzanie danych powinno być dokonywane uczciwie, w dobrej wierze oraz w sposób zgodny z prawem. Zasada ta mówi również o tym, że dane osobowe, które administrator danych będzie przetwarzać, powinny być przede wszystkim prawdziwe.

Kolejną ważną zasadą jest zasada adekwatności. Polega na nakazie zbierania tylko tych informacji, które są niezbędne do wypełnienia celu, w jakim są pozyskiwane. Ocena adekwatności zakresu pozyskanych danych powinna zostać dokonana przez administratora najpóźniej w momencie zebrania danych.

Z zasady tej wynika, że dane przechowujemy jedynie tak długo, jak długo są niezbędne do realizacji celu przetwarzania. Warto zaznaczyć, że bardzo często sam przepis prawa określa długość tego okresu. Jego wyznacznikiem może być także osiągnięcie celu, w jakim dane były przetwarzane.

Administrator poprzez przechowywanie danych przez odpowiedni okres może zabezpieczać się także przed ewentualnymi roszczeniami, które mogą zostać w stosunku do niego skierowane w przyszłości⁷. Na administratorze spoczywa obowiązek bieżącej oceny m.in.:

1. zawartości baz danych pod kątem retencji danych,
2. wzorcowych okresów, w ciągu których dane osobowe mogą być przetwarzane.

Zasada bezpieczeństwa ma zagwarantować osobom, których dane dotyczą, że dostęp do danych mają jedynie osoby oraz podmioty upoważnione do ich przetwarzania. Za jej naruszenie lub stworzenie samej możliwości naruszenia odpowiada każdy, kto uczestniczy w procesie przetwarzania.