Strona główna Aktualności RODO 2018: Dane osobowe oraz ich przetwarzanie (5)

RODO 2018: Dane osobowe oraz ich przetwarzanie (5)

2454
PODZIEL SIĘ
zasady przetwarzania danych osobowych Lexagit.pl porady prawne online

Artykuł omawia zasady przetwarzania danych osobowych zgodnie z obowiązującym od 25 maja 2018 r. Ogólnym Rozporządzeniem o Ochronie Danych Osobowych 2016/679 (RODO).  

Przypomnijmy…

„Przetwarzanie” danych to czynności wykonywane przez administratora „na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany”.

Zaliczamy do nich: „zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie” (art. 4 pkt 2 RODO).

Ustawodawca unijny zezwala na przetwarzanie danych ”zwykłych” (art. 6 ust. 1 RODO)  oraz wyjątkowo danych „szczególnych” (art. 9 ust. 2 RODO).

Pisaliśmy o tym w dwóch poprzednich artykułach:

RODO 2018: Dane osobowe oraz ich przetwarzanie (3)

RODO 2018: Dane osobowe oraz ich przetwarzanie (4)

Ogólne zasady przetwarzania danych osobowych w RODO

W art. 5 ust. 1 i 2 RODO ustawodawca unijny  podaje ogólne zasady przetwarzania danych osobowych.

Zgodnie z jego dyspozycją dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą … („zgodność z prawem, rzetelność i przejrzystość”),
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami(„ograniczenie celu”),
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
  • prawidłowe i w razie potrzeby uaktualniane … („prawidłowość”),
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane … („ograniczenie przechowywania”),
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”),
  • administrator jest odpowiedzialny za przestrzeganie przepisów (…) i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Zasada zgodności z prawem, rzetelności i przejrzystości

Zasada „zgodności z prawem, rzetelności i przejrzystości” oznacza, że osoby, których dane dotyczą powinny być poinformowane w sposób zrozumiały „o tożsamości administratora i celach przetwarzania (…) oraz „praw przysługujących im w związku z takim przetwarzaniem” (motyw 39 RODO).  Takie informacje mogą  zostać podane w Polityce Prywatności. Co istotne, powinny być zwięzłe, łatwo dostępne i zrozumiałe  (…), a gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć” ( motyw 58  RODO).

Zasada ograniczenia celu przetwarzania danych

Zgoda na przetwarzanie danych osobowych dotyczy konkretnie wskazanego przez administratora celu przetwarzania. Z motywu 39 RODO wynika iż „konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania”. Każdy nowy cel przetwarzania wymaga osobnej  zgody. Nie mogą być one w żaden sposób łączone. Potwierdził to Naczelny Sąd Administracyjny w wyroku z dnia 31 stycznia 2012 r.  w sprawie  I OSK 1317/11.: „Umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę”.

Zasada minimalizacji danych

Minimalizacja danych osobowych polega na zebraniu osobowych potrzebnych  do zrealizowania celu w jakim będą przetwarzane. Jeżeli celem  zebrania danych będzie wysyłanie newslettera, wówczas  danymi adekwatnymi będzie  imię i adres poczty elektronicznej jego odbiorcy. W przypadku  realizacji zamówienia złożonego w sklepie internetowym przedsiębiorcy potrzebne będzie imię, nazwisko, nr telefonu i adres dostawy  zakupionego towaru. Administrator danych osobowych nie powinien zbierać żadnych danych potrzebnych mu do celów przyszłych.

Zasada prawidłowości danych

Dane osobowe powinny być aktualizowane. W tym celu zgodnie z motywem 39 RODO „należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe”. Podmiot, który przetwarza dane osobowe, powinien przeprowadzać co pewien czas ich przegląd. Powinien także usuwać ze swojej bazy dane na żądanie osoby, która wcześniej wyraziła zgodę na ich przetwarzanie.

Przykład:

  • Osoba X wypisała się z newslettera.  Jej dane powinny być zostać usunięte przez administratora.

Zasada ograniczenia przechowywania danych

Zasada „ograniczenia przechowania” danych osobowych  oznacza, że  powinny być przechowywane w przez okres nie dłuższy, niż jest to niezbędne do celów, w których są one przetwarzane. W motywie 39 RODO ustawodawca unijny podkreślił: „Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum” .

Przykład;

  • Osoba X oddała telewizor do naprawy w Serwisie RTV  i przekazała tam swoje dane tj. imię, nazwisko i nr telefonu w celu ustalenia terminu odbioru naprawionego sprzętu. Był to cel przetwarzania jej danych osobowych, który po wykonaniu usługi i zapłacie za tę usługę – ustaje. Przedsiębiorca jako „administrator” jej danych osobowych powinien wtedy  niniejsze dane usunąć ze swojej bazy.

Z art. 5 ust. 1 lit.e) RODO dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Okres przechowywania danych osobowych może wynikać także z przepisów prawa. Tak będzie w przypadku okresu przechowywania dokumentacji kadrowo-płacowej.

Zasada integralności i poufności danych

Zasada „integralności danych i poufności danych” osobowych oznacza, że „ powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu” (motyw 39 RODO).

Zasada rozliczalności

Zasada rozliczalności dotyczy przestrzegania przez administratora  zasad przetwarzania  danych osobowych poprzez stosowanie odpowiednich procedur  i posiadanie stosownej dokumentacji z tym związanej.

Podstawa prawna:

– art. 5 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych ) – Dz.Urz. UE L 119, s. 1

Stan prawny na 6 lipca 2018 roku

Wanda Książek – współpracownik Portalu

Zapraszamy do kontaktu z Kancelarią, jeśli artykuł ten Państwa zainteresował lub potrzebują Państwo więcej informacji.