Ten tekst jest pierwszym z cyklu poświęconemu RODO i ochronie danych osobowych. Tak naprawdę niżej omówione zasady przetwarzania danych osobowych są drogowskazem, rozgałęźnikiem wokół, których zbudowane jest całe RODO i polityka przetwarzania danych.

Definicja przetwarzania danych osobowych

Dobrym wstępem do omówienia zasad będzie przytoczenie samej definicji przetwarzania danych osobowych zawartej w art. 4 pkt 2 RODO.

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Jak widzisz przetwarzanie danych jest szerokim pojęcie i obejmuje niemal każdą czynność z danymi, między innymi: przechowywanie, utrwalanie, zbieranie, a nawet usuwanie i niszczenie.

Zasady przetwarzania danych osobowych

Jest wiele szczegółowych przepisów, które mówią to co można i nie można robić z danymi osobowymi. Wszystkie w uproszczeniu sprowadzają się do zasad ogólnych przetwarzania danych osobowych , które przedstawione są poniżej.

7 zasad przetwarzania danych osobowych
7 zasad przetwarzania danych osobowych – RODO

1. Zasada rzetelności, zgodności z prawem i przejrzystości

Swoją drogą, dlaczego przy konstruowaniu przepisów nie zastosowali się do własnej zasady przejrzystości? 🙂 Zasada oznacza, że przy przetwarzaniu danych osobowych powinniśmy kierować się tym, że po pierwsze, powinno to być zgodne z prawem, czyli szczegółowymi zasadami przetwarzania danych osobowych i ze wszystkimi poniższymi zasadami. Przetwarzanie danych osobowy zawsze musi być oparte na przepisach prawa. To znaczy, że nie możemy swoich zachowaniem wykraczać ponad możliwości, które dają nam przepisy.

Po drugie powinniśmy robić to w sposób rzetelny. Słownik języka polskiego tak definiuje rzetelność:

1. «wypełniający należycie swe obowiązki»

2. «taki, jaki powinien być, odpowiadający wymaganiom»

3. «zgodny z prawdą, wiarygodny»

Jeżeli chodzi o rzetelne przetwarzanie danych osobowych to, należy to rozumieć jako rzeczywiste stosowanie się do zasad przetwarzania danych osobowych. Potocznie mówiąc: Nie kombinuj! Zasady nie są po to żeby je łamać albo omijać. Przetwarzanie powinno odbywać się zgodnie z przepisami oraz co ważniejsze ich celem, a celem tych przepisów jest ochrona danych osobowych. Jeżeli znasz sposób jak ominąć przepisy RODO to właśnie brak rzetelności jest tą zasadą, której nie ominiesz.

Przejrzystość. Powinieneś działać w sposób zrozumiały dla innych. Twoja dokumentacja powinna zostać napisana w sposób prosty z użyciem łatwego, przyjaznego języka. Powinieneś informować w jak najszerszym zakresie osoby, których dane przetwarzasz. Informuj o tym co robisz z ich danymi, w jakim celu to robisz i co te osoby mają zrobić/jak cię poinformować, żebyś przestał przetwarzać ich dane osobowe.

Zobacz też: Domena internetowa a znak towarowy

2. Zasada ograniczenia celu

Dane powinny być zbierane w wyraźnie i konkretnie określonym celu, a późniejsze przetwarzanie danych nie powinno wykraczać ponad ten cel. Nie można zbierać danych osobowych na zapas. Już od początku budowy swojej bazy np. mailingowej, powinieneś określić cel gromadzenia tych danych. O celu informujesz osoby, których dane dotyczą. To one będą cię rozliczać z tego czy przetwarzasz ich dane zgodnie z tym celem. Oprócz tego, określony cel, będzie wyznacznikiem do podjęcia decyzji – czy powierzyć komuś dane osobowe.

3. Zasada minimalizacji danych

Trzecia zasada przetwarzania danych osobowych stawia wymóg przetwarzania tylko takich danych osobowych, które pozwalają zrealizować cel. To znaczy, że jeżeli prowadzisz sklep papierniczy to najprawdopodobniej nie potrzebujesz gromadzić numeru PESEL swoich klientów. Jeżeli sprzedajesz kursy online to na 99% nie potrzebujesz umieszczać w formularzu wymogu podania adresu domowego. Przecież nic nie wysyłasz klientowi do domu, prawda? Odpowiedz sobie, które gromadzone dane są niezbędne. Jeżeli do któryś danych masz wątpliwości to znaczy, że tych danych nie potrzebujesz.

4. Zasada prawidłowości

Dane osobowe muszą być prawidłowe i uaktualniane. Administrator danych powinien podjąć wszelkie rozsądne działania aby dane osobowe, które nie odpowiadają celowi ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Co to znaczy rozsądne działania? Nie ma na to jednej odpowiedzi. Wszystko zależy od konkretnej sytuacji. Powinieneś zrobić to co się da, aby dane były aktualne i prawidłowe. Ale nikt nie wymaga tego żebyś został akwizytorem i jeździł od drzwi do drzwi twoich klientów i pytał czy dane są prawidłowe i aktualne. Co możesz zrobić? Możesz wysłać maila z zapytaniem, ale przede wszystkim powinieneś zapewnić możliwość sprostowania danych na żądanie osoby, której te dane dotyczą.

5. Zasada ograniczenia przechowywania

Nie można przetwarzać danych w nieskończoność. Pamiętaj o celu, w którym gromadzisz dane. Jeżeli cel przetwarzania danych osobowych już ustał to nie możesz dalej ich przechowywać. Powinieneś określić chociaż w przybliżony sposób czas, jak długo będziesz przetwarzał dane osobowe. Sky is the limit? Na pewno nie w tym przypadku. Nie możesz przetwarzać danych przez niczym nieograniczony czas. Jeżeli realizujesz zamówienie to po jego zrealizowaniu cel przetwarzania danych już nie istnieje. Po realizacji zamówienia powinieneś przestać przetwarzać zbędne dane. Zbędne! Nie wszystkie. Konsument ma swoje prawa np. prawo do 14-dniowego zwrotu przy transakcji na odległość, 2 lata rękojmi. Powinieneś przetwarzać te dane i przez taki czas, który pozwoli ci na weryfikacje tych uprawnień.

6. Zasada integralności i poufności

Szósta zasada przetwarzania danych osobowych, mówi o tym, że powinieneś zapewnić bezpieczeństwo przetwarzanym danym. Tak, tak to jest ta zasada, która mówi o szafkach na kluczyki, zamykanych archiwach, ograniczonym dostępie innych osób do przetwarzanych danych. To Tobie powierzono dane osobowe, więc to na Tobie spoczywa odpowiedzialność za to żebyś tylko ty do nich miał dostęp. Opracuj procedury postępowania w przypadku wycieku danych. Zwróć uwagę, czy dane, które gromadzisz na swojej stronie internetowej są właściwie zabezpieczone. Jeżeli nie wiesz jak to zrobić, zwróć się do specjalisty.

7. Zasada rozliczalności

Ostatnia zasada przetwarzania danych osobowych, najważniejsza. Wszystkie czynności z danymi osobowymi, czyli ich przetwarzanie powinno być w prawidłowy sposób dokumentowane. Musisz mieć politykę bezpieczeństwa, stworzone procedury pracy z danymi, opracowany plan działania w przypadku wycieku danych. Zasada rozliczalności mówi o tym, że na żądanie kontrolującego powinieneś przedstawić twoje procedury przetwarzania danych osobowych. Najprościej to zrobić, po prostu przedstawiając odpowiednią dokumentacje. To na tobie jako administratorze danych spoczywa obowiązek dokumentowania tego, a w razie potrzeby przedstawienia dowodów z wywiązywania się z obowiązków nałożonych przez RODO.

Zasady przetwarzania danych osobowych

Zasady przetwarzania danych osobowych traktuj jako wskazówki, które pomogą zrozumieć ci bardziej szczegółowe przepisy o ochronie danych osobowych. Są świetnym wstępem to odpowiedzenia sobie na pytanie, czy przetwarzasz dane w sposób prawidłowy. Jeżeli coś budzi twoje wątpliwości, możesz śmiało pisać poniżej w sekcji komentarzy.

Artykuł 5 RODO – Zasady przetwarzania danych osobowych.