Już 25 maja 2018 r. na terenie Unii Europejskiej wejdzie w życie RODO (GDPR), czyli rozporządzenie dotyczące ochrony danych osobowych. Nowe zasady gromadzenia i przetwarzania danych dotyczyć będą każdego podmiotu działającego na terenie UE.
Według definicji przyjętej w RODO danymi osobowymi są wszelkie informacje pozwalające na zidentyfikowanie konkretnej osoby fizycznej, takie jak np. imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy. Podmioty przetwarzające dane będą zobowiązane do przestrzegania określonych w RODO zasad, takich jak zasada zgodności z prawem, rzetelności i przejrzystości, zasada ograniczenia celu, czy zasada minimalizacji danych. Na czym dokładnie polegają te zasady?
Do ogólnych zasad przetwarzania danych zgodnie z RODO należą:
- zasada zgodności z prawem, rzetelności i przejrzystości,
- zasada ograniczonego celu,
- zasada minimalizacji danych,
- zasada prawidłowości,
- zasada ograniczenia przechowywania,
- zasada integralności i poufności,
- zasada rozliczalności.
Dzisiaj przyjrzymy się bliżej pierwszym trzem z nich.
- Zasada zgodności z prawem rzetelności i przejrzystości
Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne.
Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach.
Zgodnie z RODO, dla wszystkich osób, których dane są przetwarzane powinno być jasne i przejrzyste, że takie informacje są zbierane, przetwarzane czy w jakikolwiek sposób wykorzystywane przez dany podmiot.
Istotna jest tu realizacja obowiązków informacyjnych, czyli przekazanie danej osobie komunikatu o przetwarzaniu jej danych za pomocą zrozumiałego i prostego języka. Szczególną uwagę należy tu poświęcić sytuacji, w której przetwarzanie są dane dziecka – w takiej sytuacji komunikaty powinny być formułowane w taki sposób, by dziecko mogło je bez trudu zrozumieć.
- Zasada ograniczenia celu
Zgodnie z przepisami RODO dane osobowe mogą być zbierane jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami.
Pozyskiwanie i przetwarzanie danych musi być powiązane z wcześniej określonym celem. Każdy nowy cel przetwarzania danych wymaga określenia odpowiedniej podstawy tego przetwarzania, np. pozyskania nowej zgody. Jeżeli zatem klient zgodził się na wykorzystanie jego adresu e-mail w celu wysyłania mu comiesięcznego newslettera, nie oznacza to, iż firma może wykorzystać ten adres żeby wysłać mu innego rodzaju informację – np. zaproszenie na wydarzenie, które organizuje.
Wyjątkiem jest przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, które jest w RODO traktowane jako zgodne z prawem oraz pierwotnymi celami.
- Zasada adekwatności/minimalizacji danych
Zgodnie z nią dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne dla celów, w których są przetwarzane.
RODO wymaga precyzyjnego przypisania przetwarzanych danych do konkretnych celów, w których to przetwarzanie się odbywa. Nie można np. gromadzić danych “na zapas”, z myślą o ich ewentualnym późniejszym wykorzystaniu.
Jeżeli celem gromadzenia danych jest np. dostarczenie danej osobie zamówionego produktu, to do adekwatnych danych należeć będą dane adresowe klienta. Nieuzasadnione byłoby natomiast pozyskanie np. jego numeru PESEL.
Co istotne, pozyskanie zgody danej osoby na przetwarzanie jej danych nie zwalnia podmiotu przetwarzającego z obowiązku zachowania zasady adekwatności. Oznacza to, że dane osobowe i tak muszą być zgodne z założonym wcześniej celem przetwarzania.
Powyższe trzy zasady sprowadzają się głównie do konieczności ograniczenia gromadzonych danych, ścisłego powiązania zbieranych informacji z celami w jakimi są one zbierane, oraz minimalizacji ich ilości. Należy więc zbierać tylko takie dane, które są niezbędne do realizacji założonego celu.
Istotne jest także pamiętanie o informowaniu każdej osoby, której dane są zbierane. Komunikacja taka powinna być zawsze dostosowana do odbiorcy, tak aby była dla niego czytelna i zrozumiała.
Odpowiedz