25 maja 2018 roku w krajach członkowskich Unii Europejskiej zacznie obowiązywać Ogólne rozporządzenie o ochronie danych (RODO). Będzie ono oznaczać prawdziwą rewolucję w dziedzinie przetwarzania danych osobowych. Jakie są najważniejsze zamiany wprowadzane przez tę regulację?
W rozumieniu RODO, do danych osobowych zaliczać się będą nie tylko numery PESEL czy adresy zamieszkania, lecz wszelkie informacje, które pozwalają na identyfikację osób fizycznych, w tym np. adresy IP czy identyfikatory plików cookie. Przetwarzanie danych osobowych ma być oparte o szereg zasad, do których należą:
- zasada zgodności z prawem, rzetelności i przejrzystości,
- zasada ograniczonego celu,
- zasada minimalizacji danych,
- zasada prawidłowości,
- zasada ograniczenia przechowywania,
- zasada integralności i poufności,
- zasada rozliczalności.
Pierwsze trzy z nich omówiono w poprzednim artykule.
Dziś pora na kolejne cztery.
- Zasada prawidłowości
Zgodnie z RODO, dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Zasada ta oznacza dla firm konieczność wdrożenia takich rozwiązań technicznych i organizacyjnych, które pozwalają na skorygowanie błędnych, nieprawidłowych lub nieaktualnych danych (ocena wiarygodności źródła pozyskanych danych, weryfikacja prawidłowości przetwarzanych danych, usunięcie lub sprostowanie nieprawidłowych danych itp.)
Podmiot przetwarzający dane jest też zobowiązany do ich poprawienia lub usunięcia na żądanie osoby, której te dane dotyczą.
- Zasada ograniczenia przechowywania
Zasada ta mówi, że dane osobowe nie powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres dłuższy, niż jest to konieczne do realizacji celów, w których są one przetwarzane.
Oznacza to, że nie można przechowywać danych dłużej niż jest to niezbędne do realizacji wcześniej określonego celu. Po tym jak cel zostanie wykonany, dane należy niezwłocznie usunąć lub zanonimizować, czyli przekształcić w taki sposób, że niemożliwe będzie ich przyporządkować do konkretnej osoby fizycznej.
Podmiot przetwarzający ma też obowiązek poinformowania osoby, których dane będą przetwarzane, o okresie ich przechowywania.
Okres przechowywania może być określony odgórnie, np. wynikać z ustaw czy przepisów dotyczących kadr. Jeżeli jednak nie jest z góry określony, to powinien wynikać z rzetelnie przeprowadzonej analizy biznesowej.
- Zasada integralności i poufałości
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem
Należy chronić dane przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu, a także przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem.
Przepisy RODO nie precyzują jakie dokładnie środki techniczne i organizacyjne należy zastosować w celu zapewnienia integralności i poufałości danych. Mogą one różnić się w zależności od specyfiki działania danego podmiotu. Powinny być jednak adekwatne do zagrożeń i oparte na przeprowadzonej wcześniej analizie ryzyka.
- Zasada rozliczalności
Administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych określonych w RODO. Musi on być także w stanie wykazać, że są one przestrzegane (to po stronie ADO leży ciężar dowodu).
Zasada rozliczalności wymaga wdrożenia środków technicznych i organizacyjnych, które zapewnią przestrzeganie obowiązków wynikających z RODO i wykazanie, że zastosowanie środki pozwalają na spełnianie tych obowiązków.
Administrator powinien na bieżąco nadzorować czy nie wystąpiły nowe zagrożenia dla bezpieczeństwa danych i czy aktualne zabezpieczenia są w odpowiedni sposób stosowane.
Odpowiedz