Akty prawne o fundamentalnym znaczeniu dla danej dziedziny prawa (dla ochrony danych osobowych takim aktem jest rozporządzenie UE o ochronie danych osobowych – RODO) zawierają zazwyczaj zasady, zgodnie z którymi akty te mają być stosowane. Brzmienie zasad odzwierciedla intencje prawodawcy, determinuje kształt przepisów szczegółowych, a także pomaga w wydawaniu rozstrzygnięć. Podobne podstawy (fundamenty) powinien mieć system ochrony danych osobowych wdrożony w Twoim przedsiębiorstwie – siłą rzeczy będą one związane z zasadami RODO, lecz będą mieć bardziej techniczny i praktyczny charakter.

Zasady przetwarzania danych osobowych

Zasady przetwarzania danych osobowych, których musisz przestrzegać jako administrator, unijny prawodawca umieścił w art. 5. Są to:

  • zasada zgodności z prawem, rzetelności i przejrzystości;
  • zasada ograniczenia celu;
  • zasada minimalizacji danych;
  • zasada prawidłowości;
  • zasada czasowości;
  • zasada integralności i poufności;
  • zasada rozliczalności.

Zasada zgodności z prawem, rzetelności i przejrzystości, mimo iż zawarta w jednej jednostce redakcyjnej, stawia przetwarzaniu danych osobowych wymogi trojakiego rodzaju. Są one wprawdzie ze sobą powiązane, ale dla nakreślenia ich pełnego obrazu, konieczna jest osobna charakterystyka.

Przetwarzanie będzie zgodne z prawem, jeżeli będzie odbywało się w oparciu o wyraźną podstawę podstawę prawną (np. zgodę, konieczność wykonania umowy). Oznacza to, że nie tylko nie wolno Ci przetwarzać danych osobowych bez takiej podstawy, ale też “rozciągać” czy stosować na zasadzie podobieństwa (analogii) istniejących podstaw względem sytuacji niejednoznacznych. Musisz zatem zadbać, by w każdym przypadku podstawa przetwarzania została określona jednoznacznie, w sposób niebudzący wątpliwości.

Wymóg rzetelności jest nieco trudniejszy do określenia, lecz przyjmuje się, że oznacza obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Działanie rzetelne to działanie nie tylko zgodne z prawem, ale też spełniające kryteria prawidłowego działania przyjęte w społeczeństwie (np. nierzetelnie postępuje listonosz, który doręczając list polecony, od razu wrzuca do skrzynki awizo bez sprawdzania, czy adresat jest w domu). Można wyprowadzić z tego następującą wskazówkę – przetwarzaj dane osobowe tak, jak chciałbyś by były przetwarzane Twoje własne.

Przejrzystość przetwarzania posiada dwa aspekty:

  • formalny, polegający na wykonaniu obowiązku informacyjnego w wymaganym czasie (przed pobraniem danych osobowych) i formie. Jego zakres określa art. 13 RODO.
  • materialny, polegający na wykonaniu obowiązku informacyjnego w taki sposób, aby osoby, których dane przetwarzasz, rzeczywiście rozumiały istotne elementy i konsekwencje tych działań. Stosowne komunikaty formułuj zatem prostym językiem, biorąc pod uwagę specyfikę odbiorców (dzieci, osoby dorosłe, konsumentów, przedsiębiorców itp.), a także unikaj w miarę możliwości pojęć stricte prawniczych i technicznych.

Zasada ograniczenia celu oznacza, że dane osobowe możesz przetwarzać wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach, z czego wynika zakaz przetwarzania ich dalej w sposób niezgodny z tymi celami. Cel przetwarzania musisz wskazać najpóźniej w momencie ich pobierania, ponadto wskazanie to musi być maksymalnie precyzyjne, by wykluczona była jego “elastyczna” interpretacja

Zasada minimalizacji danychsprowadza się się do obowiązku przetwarzania jedynie takich danych, które są niezbędne dla realizacji celów przetwarzania. Nie wolno Ci zatem pobierać i dalej przetwarzać danych zbędnych, a także mogących przydać się dopiero w przyszłości.

Zasada prawidłowości stawia wymóg zgodności przetwarzanych danych ze stanem rzeczywistym i ich aktualizowania w razie potrzeby. Powinieneś zatem podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

Zasada czasowości, oznacza, że możesz przechowywać dane osobowe w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Po tym okresie, dane mogą być wprawdzie przechowywane nadal, ale wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (musisz wtedy wdrożyć środki techniczne i organizacyjne mające na celu ochronę praw i wolności osób, których dane dotyczą).

 Zasada integralności i poufności nakłada obowiązek przetwarzania danych osobowych za pomocą takich środków technicznych i organizacyjnych, które zapewnią im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Wykluczona musi być też możliwość udostępnienia danych podmiotom nieuprawnionym.

Zasada rozliczalności wywodzi się z anglo-amerykańskiej tradycji prawnej. Oznacza ona z jednej strony wdrożenie środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych osobowych, z drugiej zaś odpowiedniego udokumentowania tych czynności w celu wskazania osobom, których dane dotyczą, oraz organom nadzorczym, jakie dokładnie środki podjęto. Musisz zatem nie tylko zapewnić przestrzeganie przepisów, ale też gromadzić tego dowody.

Fundamenty ochrony danych osobowych 

Tak jak RODO ma swoje zasady, tak Twój wewnętrzny system ochronydanych powinienmieć swoje fundamenty. Dzięki nim nie będzie on zlepkiem niezwiązanych ze sobą wskazówek, lecz zwartym organizmem, funkcjonującym wedle ustalonych schematów. Wśród nich powinno znaleźć się:

  • podejście oparte na ryzyku;
  • poszanowanie praw osób fizycznych;
  • legalność;
  • bezpieczeństwo;
  • rozliczalność.

Podejście oparte naryzyku, oznacza konieczność zidentyfikowania ryzyka towarzyszącego przetwarzaniu danych osobowych oraz możliwych skutków naruszeń dla praw i wolności osób fizycznych. W dynamicznie zmieniającej się rzeczywistości powinieneś na bieżąco analizować pojawiające się zagrożenia, a nawet w miarę możliwości przewidywać powstanie nowych. Tylko takie podejście uchroni Cię przed zaskoczeniem oraz pozwoli odpowiednio przygotować środki ochronne.

Poszanowanie praw osób fizycznych powinno być wpisane nie tylko w wewnętrzne regulacje, a także faktyczne postępowanie Twoje i osób działających w Twoim imieniu. Stosowane przez Ciebie procedury nie mogą uniemożliwiać lub utrudniać realizacji praw dotyczących danych osobowych (np. “prawa do bycia zapomnianym”), np. poprzez długą lub nadmiernie drobiazgową weryfikację zgłoszonych żądań.

Legalność oznacza, że wszystkie operacje związane z danymi osobowymi muszą być przeprowadzane przy zachowaniu pełnej zgodności z obowiązującym prawem (niedopuszczalne jest zatem “naginanie” prawa, czy działanie na jego granicy). Musisz wystrzegać się wszelkich działań, które sprawiają choćby pozór bezprawności

Bezpieczeństwo to podstawa każdego systemu ochrony danych osobowych. Budując go, powinieneś wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Pomocne w tym obszarzesą normy ISO, a także wskazania Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Rozliczalność jako fundament jest tożsama z rozliczalnością jako zasadą. W praktyce głównym jej przejawem będzie dokumentowanie czynności podejmowanych w celu wykonania obowiązków wynikających z przepisów z zakresu ochrony danych osobowych.

Podsumowanie

 Tak jak człowiek bez zasad szybko schodzi na złą drogę, a budynek pozbawiony fundamentów się wali, tak system ochrony danych osobowych stworzony bez tych elementów może okazać się pełen sprzecznych rozwiązań i zawieść w najmniej odpowiednim momencie. Oparcie go na tych podstawach zagwarantuje jego spójność oraz trwałość, co w szybko zmieniającej się rzeczywistości ma niebagatelne znaczenie (nieważne, z pomocą jakich technologii przetwarzasz dane – ważne, byś robił to bezpiecznie, legalnie itd.). W przypadku niepewności szczególnie ważne jest posiadanie sprawdzonego punktu odniesienia – jeżeli przyjmie on postać dobrze sformułowanych zasad i fundamentów, nie będziesz miał wątpliwości, jak należy w danej sytuacji postąpić.

ps. dzisiejszy artykuł powstał z pomocą zespołu naszej kancelarii :)

Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem prawnikiem w kancelarii Snażyk Korol Mordaka sp.k. Pomagam przedsiębiorcom i freelancerom z branży kreatywnej, a w szczególności mody i newtech. Z powodzeniem prowadzę dla nich blogi oraz liczne poboczne projekty (...) Możesz do mnie pisać na a.szczudlo@skmlegal.pl.

More Posts - Website - Twitter - Facebook - LinkedIn - YouTube - Instagram

Pin It on Pinterest