Wdrożenie RODO — Inspektor Ochrony Danych wyjaśnia;
Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), wszystkie podmioty i organizacje, bez względu na ich formę prawną, muszą przestrzegać zasad ochrony danych. Obejmuje to:
- Administratorów danych – jest to podmiot lub organizacja, która decyduje o celach i środkach przetwarzania danych osobowych. Przykładami administratorów danych są firmy, instytucje publiczne, organizacje non-profit, stowarzyszenia, spółdzielnie mieszkaniowe itp.
- Przetwarzających dane – są to podmioty lub organizacje, które w imieniu administratora danych przetwarzają dane osobowe. Przykładami przetwarzających danych są firmy outsourcingowe, dostawcy usług IT itp.
- Inspektorów ochrony danych (DPO) – są to specjaliści odpowiedzialni za monitorowanie przestrzegania przepisów RODO przez administratorów danych i przetwarzających danych.
Odpowiedzialność prawna każdego podmiotu lub organizacji w procesie przetwarzania danych zależy od wielu zasad i czynników w odniesieniu do danych osobowych. Administrator danych jest odpowiedzialny za zapewnienie, że przetwarzanie danych osobowych jest zgodne z przepisami RODO, podczas gdy przetwarzający dane wykonuje przetwarzanie na jego polecenie. Inspektor ochrony danych jest odpowiedzialny za monitorowanie przestrzegania przepisów i doradzanie administratorom danych i przetwarzającym dane w zakresie ich obowiązków wynikających z RODO.
Zasady ochrony danych zgodnie z RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, znane jako RODO, zawiera następujące zasady dotyczące ochrony danych osobowych:
Zasada przejrzystości wymaga od administratorów danych, aby przedstawili jasne i zrozumiałe informacje o tym, jak przetwarzają dane osobowe.
Zasada ograniczenia celu wymaga od administratorów danych, aby przetwarzali dane osobowe wyłącznie w określonych, wcześniej zdefiniowanych i uzasadnionych celach.
Zasada minimalizacji danych wymaga od administratorów danych, aby przetwarzali tylko te dane osobowe, które są niezbędne do osiągnięcia określonego celu.
Zasada prawdziwości wymaga od administratorów danych, aby zapewnili, że dane osobowe są aktualne i prawdziwe.
Zasada ograniczenia czasu przechowywania wymaga od administratorów danych, aby przechowywali dane osobowe tylko przez określony, uzasadniony okres czasu.
Zasada bezpieczeństwa wymaga od administratorów danych i przetwarzających dane, aby zastosowali odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia danych osobowych przed nieuprawnionym dostępem, zniszczeniem, zmianą, ujawnieniem lub innymi nielegalnymi działaniami.
Zasada integralności i poufności wymaga od administratorów danych i przetwarzających dane, aby zapewnili integralność i poufność danych osobowych.
Zasada odpowiedzialności wymaga od administratorów danych i przetwarzających dane, aby byli odpowiedzialni za stosowanie się do przepisów RODO i za ewentualne szkody wynikające z niezgodnego z prawem przetwarzania danych osobowych.
Zasada ograniczania przetwarzania wymaga od administratorów danych, aby udostępniali dane osobowe tylko wtedy, gdy istnieje uzasadnione prawne uzasadnienie lub wyraźna zgoda osoby, której dane dotyczą.
Zasada przenoszenia danych do państwa trzeciego lub organizacji międzynarodowej wymaga od administratorów danych, aby zapewnili odpowiednie zabezpieczenia danych osobowych przed ich przeniesieniem do państwa trzeciego lub organizacji międzynarodowej.
Zasada informowania o naruszeniu bezpieczeństwa danych osobowych wymaga od administratorów danych, aby niezwłocznie powiadomili organ nadzorczy i osoby, których dane dotyczą, w przypadku wystąpienia naruszenia bezpieczeństwa danych osobowych.
Zasada prawa do dostępu, poprawiania, usuwania i ograniczania przetwarzania danych wymaga od administratorów danych, aby umożliwili osobom, których dane dotyczą, dostęp do swoich danych, a także prawo do ich poprawiania, usuwania i ograniczania przetwarzania.
Zasada prawa do sprzeciwu wymaga od administratorów danych, aby umożliwili osobom, których dane dotyczą, prawo do wyrażenia sprzeciwu wobec przetwarzania ich danych.
Zasada prawa do przenoszenia danychwy maga od administratorów danych, aby umożliwili osobom, których dane dotyczą, prawo do przeniesienia ich danych do innego administratora danych.
Zasada prawa do wniesienia skargi do organu nadzorczego wymaga od administratorów danych, aby umożliwili osobom, których dane dotyczą, prawo do wniesienia skargi do organu nadzorczego, gdy uważają, że ich dane są przetwarzane niezgodnie z przepisami RODO.
Artykuł 5 Zasady dotyczące przetwarzania danych osobowych
- Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Pamiętaj: 2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Wnioski — pamiętaj, aby wdrażać zasady RODO
Przepisy RODO są bardzo szczegółowe i zawierają wiele różnych zasad dotyczących ochrony danych osobowych. Mogą one ulec zmianie i rozszerzeniu w miarę potrzeb i zmian w branży, więc ważne jest, aby stale śledzić i stosować się do aktualnych przepisów. Oprócz powyższych zasad istnieją także inne zasady i wytyczne dotyczące konkretnych sytuacji i branż, takie jak zasady dotyczące przetwarzania danych w branży medycznej czy finansowej.
Zasady ochrony danych dotyczą więc administratora danych (w tym jego pracowników i osoby na umowach B2B) zdefiniowane w RODO jako osoba fizyczna lub prawna, organ rządowy, agencja lub inny organ, który określa cele i środki przetwarzania danych osobowych. Ograniczanie celów jest drugą zasadą w art. 5 RODO, który obejmuje zasady przetwarzania danych osobowych, jeśli stosuje się podejście sześciu zasad. Zgodne z prawem przetwarzanie danych musi być zgodne ze wszystkimi zasadami ochrony danych implikowanymi przez ogólne przepisy o ochronie danych. Uczciwość jest nadal częścią tego wymogu, który stanowi, że dane osobowe muszą być przetwarzane w sposób zgodny z prawem, uczciwy i przejrzysty, zgodnie z art. 5 RODO. Zasady ochrony danych powinny być przestrzegane przez podmioty przetwarzające.
Zasada ta wymaga, aby dane osobowe były przetwarzane w sposób zgodny z prawem, rzetelny i przejrzysty w odniesieniu do osoby, której dane dotyczą. Jest to zestaw trzech różnych słów, z których każde ma określone znaczenie. Przejrzystość dotyczy m.in. przekazywania osobom, których dane dotyczą, informacji o tożsamości administratorów i celu przetwarzania, a także dodatkowych informacji, które pozwolą im upewnić się, że proces ten jest rzetelny i przejrzysty w stosunku do osoby, której dane dotyczą, oraz ich prawa do otrzymania potwierdzenia i informacji o dotyczących ich danych osobowych, które są przetwarzane.Ta zasada jest pierwszą i najważniejszą, ponieważ wymaga, aby dane osobowe były przetwarzane zgodnie z prawem, w sposób rozsądny i sprawiedliwy oraz przy zapewnieniu przejrzystości. Zgodnie z tą zasadą musisz zbierać dane zgodnie z prawem, przetwarzać dane tylko tak, jak obiecałeś osobom, których one dotyczą, i z góry informować o zbieraniu danych.
Ograniczenia celu — musisz przetwarzać dane tylko dla uzasadnionego celu, który jest jasno określony dla osoby, której dane dotyczą w momencie zbierania danych. Minimalizacja danych — należy zbierać i przetwarzać tylko tyle danych, ile jest absolutnie niezbędne do osiągnięcia określonych celów. Ograniczenia w przechowywaniu danych — dane umożliwiające identyfikację osoby można przechowywać tylko przez czas niezbędny do realizacji określonych celów.
Wymaga to m.in. zapewnienia, że czas, przez który przechowujesz dane umożliwiające identyfikację osoby, jest ograniczony do ściśle określonego okresu (patrz również zasady dotyczące limitu przechowywania poniżej). Zasada minimalizacji danych oznacza, że administrator danych musi ograniczyć zbieranie danych osobowych do tych, które są bezpośrednio istotne i potrzebne do osiągnięcia określonego celu. Zasada minimalizacji danych wyrażona jest w art. 5 ust. 1 lit. c GDPR oraz art. 4 ust. 1 lit. c rozporządzenia (UE) 2018/1725, który stanowi, że dane osobowe powinny być odpowiednie, właściwe i ograniczone do tych, które są niezbędne do celów, w których są przetwarzane.
Niezależnie od tego, czy Państwa firma jest administratorem danych, czy też podmiotem przetwarzającym dane, przestrzeganie tych zasad jest ustawowym obowiązkiem, który gwarantuje zgodne z prawem przetwarzanie danych osobowych. GDPR podkreśla tę zasadę jako centralny punkt, podczas gdy DPD dotyka jej jako zamierzonego rozważenia przez podmioty przetwarzające dane w celu przejrzystego przetwarzania danych.
Cytowane źródła