Nowe unijne prawo ochrony danych osobowych: Zasady dotyczące przetwarzania danych osobowych

25 maja 2018 r. we wszystkich państwach UE zacznie obowiązywać rozporządzenie ogólne o ochronie danych osobowych (RODO), które będzie wywierało wpływ na przedsiębiorców działających na rynku europejskim. RODO ma zapewnić obywatelom UE wysoki poziom ochrony danych osobowych. Zasady, zgodnie z którymi mają być przetwarzane dane osobowe, zostały określone w art. 5 ust. 1 i 3 RODO. Poniżej zwięźle przedstawiamy te zasady.

Zgodność z prawem, rzetelność oraz transparentność

Przetwarzanie danych osobowych może następować wyłącznie zgodnie z prawem (w oparciu o zgodę lub inną przesłankę przetwarzania danych wynikającą z przepisów). Wymagane jest, aby dane osobowe były przetwarzane rzetelnie oraz w sposób przejrzysty dla osoby, której dane dotyczą. Ponadto, informacje o przetwarzaniu danych osobowych powinny zostać udostępnione osobom, których dane dotyczą, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Ograniczenie celu

Dane osobowe mogą być zbierane jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach, a dalsze przetwarzanie danych w sposób niezgodny z tymi celami jest niedopuszczalne. Celowość przetwarzania wymaga wyważenia interesów oraz stanowi najważniejsze kryterium dopuszczające przetwarzanie danych osobowych. Z tego powodu w każdym przypadku należy wskazać konkretny cel przetwarzania danych osobowych.

Minimalizacja danych

Zbieranie danych i ich przetwarzanie należy ograniczyć wyłącznie do danych, które są faktycznie niezbędne do realizacji określonego celu.

Prawidłowość

Przedsiębiorcy będą zobowiązani do wykazania, że przetwarzane dane są prawidłowe i aktualne. Dane nieaktualne powinny zostać niezwłocznie usunięte lub sprostowane. W związku z tym, przedsiębiorcy są zobowiązani wprowadzić procesy mające na celu stałą aktualizację danych.

Ograniczenie przechowywania

Przechowywanie danych osobowych jest ograniczone do czasu niezbędnego dla realizacji celu przetwarzania. Przede wszystkim należy zachować terminy przechowywania danych przewidziane przepisami prawa. Przedsiębiorcy muszą również zweryfikować, czy niektórych danych nie należy pseudonimizować lub anonimizować. W przypadku pseudonimizacji przetwarzanych danych nie można przyporządkować do konkretnej osoby bez wykorzystania dodatkowych informacji. W takim przypadku należy jednak również podjąć odpowiednie środki techniczne i organizacyjne.

Integralność i poufność

Po rozpoczęciu stosowania RODO należy także wypracować środki w celu zabezpieczenia danych przed nieuprawnionym dostępem, przetwarzaniem danych w nadmiernym zakresie lub przed niezamierzonymi utratą, zniszczeniem lub uszkodzeniem danych. Należyte środki zaradcze należy podjąć na poziomie rozwiązań IT oraz organizacyjnych (przykładowo przez przyjęcie polityki dostępu do danych osobowych, stosowanie szyfrowania). W tym zakresie należy mieć na uwadze przepisy art. 32 RODO (Bezpieczeństwo przetwarzania) oraz art. 35 RODO (Ocena skutków dla ochrony danych). W przypadku naruszenia ochrony danych osobowych i wystąpienia ryzyka polegającego na tym, że takie zdarzenie będzie skutkowało naruszeniem praw lub wolności osób fizycznych, taka sytuacja wymaga zgłoszenia do organu nadzorczego. Ewentualnie, jeśli ryzyko naruszenia praw lub wolności osób fizycznych będzie wysokie, należy zawiadomić także osobę, której dane dotyczą.

Rozliczalność

Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) przedsiębiorcy są zobowiązani prowadzić odpowiednią dokumentację, aby móc wykazać przestrzeganie wyżej opisanych zasad.

Jeśli są Państwo zainteresowani sprawdzeniem, czy zasady przetwarzania danych osobowych są stosowane w Państwa firmie lub ich wdrożeniem zachęcamy do kontaktu ze specjalistami z Kancelarii SDZLEGAL SCHINDHELM: mec. Tomaszem Szarkiem, mec. Aleksandrą Baranowską-Górecką oraz mec. Anną Materlą.