Od 25 maja w Unii Europejskiej obowiązuje Rozporządzenie o Ochronie Danych Osobowych (RODO), którego celem jest ujednolicenie przepisów na terenie wspólnoty.
Przepisy RODO obejmują swoim zasięgiem wszystkie firmy i instytucje zbierające oraz przetwarzające dane osobowe. Rozporządzenie nakłada na te organizacje nowe obowiązki, a osobom, których dane są przetwarzane, daje nowe prawa.
RODO wprowadza m.in. prawo do bycia zapomnianym, zasadę minimalizacji danych, czy nowe regulacje w zakresie pozyskiwania zgód marketingowych.
Do zasad wprowadzany przez nową regulację należą
- Zasada zgodności z prawem rzetelności i przejrzystości
Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne.
Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach.
Zgodnie z RODO, dla wszystkich osób, których dane są przetwarzane powinno być jasne i przejrzyste, że takie informacje są zbierane, przetwarzane czy w jakikolwiek sposób wykorzystywane przez dany podmiot.
Istotna jest tu realizacja obowiązków informacyjnych, czyli przekazanie danej osobie komunikatu o przetwarzaniu jej danych za pomocą zrozumiałego i prostego języka. Szczególną uwagę należy tu poświęcić sytuacji, w której przetwarzanie są dane dziecka – w takiej sytuacji komunikaty powinny być formułowane w taki sposób, by dziecko mogło je bez trudu zrozumieć.
- Zasada ograniczenia celu
Zgodnie z przepisami RODO dane osobowe mogą być zbierane jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami.
Pozyskiwanie i przetwarzanie danych musi być powiązane z wcześniej określonym celem. Każdy nowy cel przetwarzania danych wymaga określenia odpowiedniej podstawy tego przetwarzania, np. pozyskania nowej zgody. Jeżeli zatem klient zgodził się na wykorzystanie jego adresu e-mail w celu wysyłania mu comiesięcznego newslettera, nie oznacza to, iż firma może wykorzystać ten adres żeby wysłać mu innego rodzaju informację – np. zaproszenie na wydarzenie, które organizuje.
Wyjątkiem jest przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, które jest w RODO traktowane jako zgodne z prawem oraz pierwotnymi celami.
- Zasada adekwatności/minimalizacji danych
Zgodnie z nią dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne dla celów, w których są przetwarzane.
RODO wymaga precyzyjnego przypisania przetwarzanych danych do konkretnych celów, w których to przetwarzanie się odbywa. Nie można np. gromadzić danych “na zapas”, z myślą o ich ewentualnym późniejszym wykorzystaniu.
Jeżeli celem gromadzenia danych jest np. dostarczenie danej osobie zamówionego produktu, to do adekwatnych danych należeć będą dane adresowe klienta. Nieuzasadnione byłoby natomiast pozyskanie np. jego numeru PESEL.
Co istotne, pozyskanie zgody danej osoby na przetwarzanie jej danych nie zwalnia podmiotu przetwarzającego z obowiązku zachowania zasady adekwatności. Oznacza to, że dane osobowe i tak muszą być zgodne z założonym wcześniej celem przetwarzania.
- Zasada prawidłowości
Zgodnie z RODO, dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Zasada ta oznacza dla firm konieczność wdrożenia takich rozwiązań technicznych i organizacyjnych, które pozwalają na skorygowanie błędnych, nieprawidłowych lub nieaktualnych danych (ocena wiarygodności źródła pozyskanych danych, weryfikacja prawidłowości przetwarzanych danych, usunięcie lub sprostowanie nieprawidłowych danych itp.)
Podmiot przetwarzający dane jest też zobowiązany do ich poprawienia lub usunięcia na żądanie osoby, której te dane dotyczą.
- Zasada ograniczenia przechowywania
Zasada ta mówi, że dane osobowe nie powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres dłuższy, niż jest to konieczne do realizacji celów, w których są one przetwarzane.
Oznacza to, że nie można przechowywać danych dłużej niż jest to niezbędne do realizacji wcześniej określonego celu. Po tym jak cel zostanie wykonany, dane należy niezwłocznie usunąć lub zanonimizować, czyli przekształcić w taki sposób, że niemożliwe będzie ich przyporządkować do konkretnej osoby fizycznej.
Podmiot przetwarzający ma też obowiązek poinformowania osoby, których dane będą przetwarzane, o okresie ich przechowywania.
Okres przechowywania może być określony odgórnie, np. wynikać z ustaw czy przepisów dotyczących kadr. Jeżeli jednak nie jest z góry określony, to powinien wynikać z rzetelnie przeprowadzonej analizy biznesowej.
- Zasada integralności i poufałości
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem
Należy chronić dane przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu, a także przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem.
Przepisy RODO nie precyzują jakie dokładnie środki techniczne i organizacyjne należy zastosować w celu zapewnienia integralności i poufałości danych. Mogą one różnić się w zależności od specyfiki działania danego podmiotu. Powinny być jednak adekwatne do zagrożeń i oparte na przeprowadzonej wcześniej analizie ryzyka.
- Zasada rozliczalności
Administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych określonych w RODO. Musi on być także w stanie wykazać, że są one przestrzegane (to po stronie ADO leży ciężar dowodu).
Zasada rozliczalności wymaga wdrożenia środków technicznych i organizacyjnych, które zapewnią przestrzeganie obowiązków wynikających z RODO i wykazanie, że zastosowanie środki pozwalają na spełnianie tych obowiązków.
Administrator powinien na bieżąco nadzorować czy nie wystąpiły nowe zagrożenia dla bezpieczeństwa danych i czy aktualne zabezpieczenia są w odpowiedni sposób stosowane.
Odpowiedz