Unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych wprowadza katalog zasad przetwarzania danych osobowych. Wprawdzie niektóre z nich funkcjonują w obecnym porządku prawnym, niemniej jednak w istotnej części ich źródłem są rekomendacje, stanowiska organów nadzoru, czy dobre praktyki, a nie bezwzględnie obowiązujące przepisy. Taki stan rzeczy nie gwarantuje spójnej i jednolitej ochrony prywatności osób, których dane są przetwarzane. Wskazanie wprost w Rozporządzeniu podstawowych zasad ochrony danych osobowych stanowi podstawę nowych standardów ochrony danych, obrazuje kierunek rozwoju ochrony prywatności oraz tworzy ramy dla pozostałych, szczegółowych przepisów Rozporządzenia. Dodatkowo, wprowadzenie do systemu ochrony danych osobowych jednolitego katalogu zasad jest źródłem nowych obowiązków, ciążących na administratorach i innych podmiotach przetwarzających dane.
A oto najważniejsze zasady przewidziane w Rozporządzeniu:
1. Zasada zgodności z prawem
Rozporządzenie zawiera zamknięty katalog warunków, w jakich przetwarzanie danych może zostać uznane za zgodne z prawem. Oznacza to, że każdy proces przetwarzania danych musi opierać się na co najmniej jednej podstawie prawnej wskazanej w Rozporządzeniu. Po pierwsze, przetwarzanie danych może odbywać się na podstawie zgody osoby, której dane dotyczą. W przypadku powoływania się na uzyskanie zgody na przetwarzanie danych osobowych konieczne jest zapewnienie, że zgoda taka spełnia wszelkie wymagania nałożone Rozporządzeniem. Z uwagi na fakt, że wymagania te uległy znacznym zaostrzeniom, warto ponownie przeanalizować wykorzystywane klauzule oraz proces pozyskiwania zgody, aby zapewnić ich zgodność z nowymi wymogami. Po drugie, przetwarzanie danych może mieć miejsce, gdy jest to konieczne w celu wykonania umowy. Innymi sytuacjami uzasadniającymi legalność przetwarzania danych są: wykonanie obowiązku prawnego ciążącego na administratorze lub zadania realizowanego w interesie publicznym. Oba przypadki powinny wynikać z przepisów jednego z państw członkowskich lub przepisów prawa UE, które z kolei muszą być wystarczająco jasne i precyzyjne. Uzasadnieniem przetwarzania danych może być również ochrona interesu, który ma istotne znaczenie dla życia osoby fizycznej. Ostatnią podstawą prawną przetwarzania danych mogą być uzasadnione interesy administratora, czyli m.in. przetwarzanie danych dla celów marketingu bezpośredniego, zapobiegania oszustwom czy dla wewnętrznych celów administracyjnych.
2. Zasada rzetelności i prawidłowości
Zgodnie z zasadami rzetelności i prawidłowości administrator danych musi zapewnić, aby zgromadzone dane osobowe były poprawne i aktualne, a ich przetwarzanie przebiegało bez zakłóceń. Realizacja obu zasad nakłada na administratora szereg obowiązków polegających m.in. na wdrożeniu środków technicznych i organizacyjnych, umożliwiających korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych. Wspomniane zasady nieodłącznie powiązane są z prawem osoby, której dane są przetwarzane do żądania sprostowania i uzupełnienia danych. Prawidłowość danych osobowych ma szczególne znaczenie w przypadku wykorzystywania mechanizmu profilowania. Ewentualne błędy w danych osobowych mogą stanowić ryzyko dla interesów i praw osoby, której dane dotyczą, a nawet prowadzić do dyskryminacji.
3. Zasada ograniczenia celu
Zasada ograniczenia celu oznacza, że dane osobowe mogą być zbierane jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego osiągnięcie nie jest możliwe przy użyciu innych sposobów. Cel przetwarzania danych musi być określony w momencie ich pozyskiwania. Jeśli podstawą przetwarzania danych jest zgoda, to odnosi się ona jedynie do konkretnie wskazanego celu przetwarzania. Nowy cel przetwarzania danych wymaga pozyskania nowej zgody. Dodatkowo, to na administratorze danych ciąży obowiązek informowania osób, których dane są przetwarzane o celach przetwarzania.