7 zasad przetwarzania danych według RODO

Przedsiębiorcy mają coraz mniej czasu, aby przygotować się do RODO i wdrożyć nowe przepisy nakładające na nich szereg wymogów. Unijne rozporządzenie wprowadza wiele zasad przetwarzania danych osobowych, które stanowią fundament RODO, a także są otoczką dla pozostałych przepisów. Reguły te staną się wytycznymi nowych obowiązków dla administratorów oraz innych podmiotów przetwarzających dane osobowe. Co warto wiedzieć o RODO? Poniżej  7 zasad przetwarzania danych według RODO: 1. Zasada zgodności z prawem, przejrzystości i rzetelności.  art. 5 ust. 1 lit. a Dane osobowe muszą być: - przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); Prawidłowa realizacja obowiązków informacyjnych jest warunkiem niezbędnym dla osiągnięcia zgodności z zasadą rzetelności i przejrzystości. 2. Zasada ograniczenia celu przetwarzania. art. 5 ust. 1 lit. b Dane osobowe muszą być: - zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”); Zgodnie z zapisami RODO dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych jest traktowane jako zgodne z prawem oraz pierwotnymi celami. 3. Zasada minimalizacji danych. art. 5 ust. 1 lit. c Dane osobowe muszą być: (…) - adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); Zgodnie z zasadą minimalizacji danych, zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych. Innymi słowy, każdy podmiot przetwarzający dane musi dokonać selekcji danych i wybrać tylko taką ich ilość oraz rodzaj, jakie są dla niego niezbędne. 4. Zasada prawidłowości danych. art. 5 ust. 1 lit. d Dane osobowe muszą być: (…) - prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);Przestrzeganie zasady prawidłowości danych sprowadza się do tego, aby stworzone zostały odpowiednie rozwiązania techniczne oraz organizacyjne umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych. 5. Zasada ograniczenia przechowywania danych. art. 5 ust. 1 lit. e Dane osobowe muszą być: - przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”); Głównym celem zasady ograniczenia przechowania danych jest ograniczenie do minimum czasu przechowania danych osobowych. Osiągniecie tego będzie możliwe poprzez wdrożenie odpowiednich procedur wyznaczających terminy przechowania danych (okresy retencji) lub procedur określających terminy okresowych przeglądów danych. 6. Zasada integralności i poufności. art. 5 ust. 1 lit. f Dane osobowe muszą być: - przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Realizacja zasady integralności i poufności danych będzie więc polegała na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. „Odpowiednie środki” będą zawsze pojęciem niedookreślonym. Najprawdopodobniej zostaną w pewnym zakresie doprecyzowane w drodze dobrych praktyk, które ma wydać regulator – Prezes Urzędu Ochrony Danych Osobowych (nazwa organu wg projektu nowej UODO) 7. Zasada rozliczalności. art. 5 ust. 2 Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Administrator będzie więc musiał wykazać, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.  

Aneta Sieradzka, Ph.D, MBA

Partner Zarządzający Sieradzka&Partners, ekspert RODO w ApexNet

Zapraszamy na szkolenia pani Anety Sieradzkiej, więcej informacji znajduje się TUTAJ.

RODO przeds