fbTrack
REKLAMA
REKLAMA

Firma

Dane osobowe - nowe zasady przetwarzania

123RF
Wprowadzenie do systemu ochrony danych osobowych jednolitego katalogu zasad jest źródłem nowych obowiązków ciążących na administratorach i innych podmiotach przetwarzających dane.

Unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych wprowadza katalog zasad przetwarzania danych osobowych. Wprawdzie niektóre z nich funkcjonują w obecnym porządku prawnym, niemniej jednak w istotnej części ich źródłem są rekomendacje, stanowiska organów nadzoru, czy dobre praktyki, a nie bezwzględnie obowiązujące przepisy. Taki stan rzeczy nie gwarantuje spójnej i jednolitej ochrony prywatności osób, których dane są przetwarzane. Wskazanie wprost w Rozporządzeniu podstawowych zasad ochrony danych osobowych stanowi podstawę nowych standardów ochrony danych, obrazuje kierunek rozwoju ochrony prywatności oraz tworzy ramy dla pozostałych, szczegółowych przepisów Rozporządzenia. Dodatkowo, wprowadzenie do systemu ochrony danych osobowych jednolitego katalogu zasad jest źródłem nowych obowiązków, ciążących na administratorach i innych podmiotach przetwarzających dane.

A oto najważniejsze zasady przewidziane w Rozporządzeniu:

1. Zasada zgodności z prawem

Rozporządzenie zawiera zamknięty katalog warunków, w jakich przetwarzanie danych może zostać uznane za zgodne z prawem. Oznacza to, że każdy proces przetwarzania danych musi opierać się na co najmniej jednej podstawie prawnej wskazanej w Rozporządzeniu. Po pierwsze, przetwarzanie danych może odbywać się na podstawie zgody osoby, której dane dotyczą. W przypadku powoływania się na uzyskanie zgody na przetwarzanie danych osobowych konieczne jest zapewnienie, że zgoda taka spełnia wszelkie wymagania nałożone Rozporządzeniem. Z uwagi na fakt, że wymagania te uległy znacznym zaostrzeniom, warto ponownie przeanalizować wykorzystywane klauzule oraz proces pozyskiwania zgody, aby zapewnić ich zgodność z nowymi wymogami. Po drugie, przetwarzanie danych może mieć miejsce, gdy jest to konieczne w celu wykonania umowy. Innymi sytuacjami uzasadniającymi legalność przetwarzania danych są: wykonanie obowiązku prawnego ciążącego na administratorze lub zadania realizowanego w interesie publicznym. Oba przypadki powinny wynikać z przepisów jednego z państw członkowskich lub przepisów prawa UE, które z kolei muszą być wystarczająco jasne i precyzyjne. Uzasadnieniem przetwarzania danych może być również ochrona interesu, który ma istotne znaczenie dla życia osoby fizycznej. Ostatnią podstawą prawną przetwarzania danych mogą być uzasadnione interesy administratora, czyli m.in. przetwarzanie danych dla celów marketingu bezpośredniego, zapobiegania oszustwom czy dla wewnętrznych celów administracyjnych.

2. Zasada rzetelności i prawidłowości

Zgodnie z zasadami rzetelności i prawidłowości administrator danych musi zapewnić, aby zgromadzone dane osobowe były poprawne i aktualne, a ich przetwarzanie przebiegało bez zakłóceń. Realizacja obu zasad nakłada na administratora szereg obowiązków polegających m.in. na wdrożeniu środków technicznych i organizacyjnych, umożliwiających korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych. Wspomniane zasady nieodłącznie powiązane są z prawem osoby, której dane są przetwarzane do żądania sprostowania i uzupełnienia danych. Prawidłowość danych osobowych ma szczególne znaczenie w przypadku wykorzystywania mechanizmu profilowania. Ewentualne błędy w danych osobowych mogą stanowić ryzyko dla interesów i praw osoby, której dane dotyczą, a nawet prowadzić do dyskryminacji.

3. Zasada ograniczenia celu

Zasada ograniczenia celu oznacza, że dane osobowe mogą być zbierane jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego osiągnięcie nie jest możliwe przy użyciu innych sposobów. Cel przetwarzania danych musi być określony w momencie ich pozyskiwania. Jeśli podstawą przetwarzania danych jest zgoda, to odnosi się ona jedynie do konkretnie wskazanego celu przetwarzania. Nowy cel przetwarzania danych wymaga pozyskania nowej zgody. Dodatkowo, to na administratorze danych ciąży obowiązek informowania osób, których dane są przetwarzane o celach przetwarzania.

4. Zasada minimalizacji danych

Na gruncie Rozporządzenia również zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu. Minimalizacja może polegać na wyselekcjonowaniu jedynie tych danych, które są potrzebne do danej działalności oraz na ograniczeniu okresu przechowywania danych. W praktyce realizacja zasady wymaga, aby przed rozpoczęciem procesu pozyskiwania, a następnie przetwarzania danych precyzyjnie określić cele i odpowiadające im ściśle określone rodzaje danych oraz ustalić termin usuwania i okresowego przeglądu danych. Należy podkreślić, że Rozporządzenie nakłada szereg obowiązków na administratorów oraz inne podmioty przetwarzające dane, obwarowanych surowymi karami. Zatem chcąc zapewnić bezpieczeństwo prowadzonej działalności warto ograniczyć zakres pozyskiwanych danych i ich przetwarzanie.

5. Zasady integralności i poufności

Zasady integralności i poufności nakładają na administratora danych obowiązek przetwarzania danych w sposób gwarantujący odpowiedni poziom bezpieczeństwa. Zasada integralności odnosi się do obowiązku zapewnienia, że dane nie zostały zmodyfikowane, usunięte, dodane czy zniszczone w sposób nieautoryzowany. Z kolei zgodnie z zasadą poufności należy zapobiegać sytuacjom, w których dane osobowe są udostępniane lub ujawniane nieautoryzowanym podmiotom, czy procesom. Obie zasady wymagają dokonania analizy ryzyka właściwego dla przetwarzania danych i charakteru danych podlegających ochronie, a następnie dostosowania i wdrożenia odpowiednich środków technicznych zapewniających zachowanie integralności i poufności danych.

6. Zasada przejrzystości

Celem Rozporządzenia jest wzrost świadomości społeczeństwa na temat ryzyk związanych z udostępnianiem i przetwarzaniem danych osobowych. Stąd, zgodnie z zasadą przejrzystości, informacje udzielane przez administratora dotyczące przetwarzania danych powinny być zwięzłe, łatwo dostępne i zrozumiałe, a język, w jakim są sformułowane – jasny i prosty. Zasada ta obejmuje również wymóg, co do zakresu udzielanych informacji. Podczas pozyskiwania danych osobowych administrator ma obowiązek podać informacje identyfikujące administratora, określające cel i okres przetwarzania, dotyczące profilowania, czy przysługujących osobom fizycznym praw.

7. Zasada rozliczalności

Administrator ma nie tylko obowiązek stosować się do wymogów Rozporządzenia, w tym do wyżej wymienionych zasad, m.in. wdrażając odpowiednie środki techniczne czy organizacyjne, ale również powinien być w stanie wykazać, że stosowane przez niego metody są zgodne z rozporządzeniem oraz skuteczne. Zastosowanie się do zasady rozliczalności wymaga wdrożenia odpowiednich procedur i prowadzenia rzetelnej dokumentacji; warto rozważyć więc wprowadzenie odpowiednich regulacji wewnętrznych, nawet jeśli obowiązek ich posiadania nie wynika bezpośrednio z przepisów Rozporządzenia, ale dzięki którym łatwiej będzie wykazać fakt spełniania przewidzianych Rozporządzeniem wymogów. Wspomniana zasada rozliczalności jest też ściśle powiązana z obowiązkiem notyfikowania organu nadzorczego o stwierdzeniu naruszeń danych osobowych.

—Katarzyna Sawicka, associate, Deloitte Legal

—Agata Jankowska-Galińska, managing associate, Deloitte Legal

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA