Zgodność z prawem, rzetelność i przejrzystość
Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zgodność z prawem oznacza, że przetwarzanie danych osobowych przez administratora musi mieć podstawę prawną w RODO, być zgodne z wymogami RODO oraz nie może wiązać się z przetwarzaniem lub wykorzystywaniem danych osobowych w sposób niezgodny z prawem.
Rzetelność jest również stosunkowo szeroką zasadą, która wymaga, aby każde przetwarzanie danych osobowych było uczciwe wobec osoby, której dane osobowe dotyczą, i aby nie było nadmiernie szkodliwe, nieoczekiwane, wprowadzające w błąd lub zwodnicze.
Przejrzystość jest szczególnie ważną zasadą ochrony danych w RODO, z którą powiązane są różne prawa i obowiązki, mające na celu zapewnienie, że przetwarzanie danych osobowych jest jasne i przejrzyste dla osób fizycznych. Administratorzy muszą przekazywać osobom fizycznym informacje dotyczące przetwarzania ich danych osobowych w formie, która jest zwięzła, łatwo dostępna, zrozumiała oraz sformułowana jasnym i prostym językiem. Należy to zrobić przed zebraniem danych osobowych, a następnie za każdym razem, gdy wprowadzane są zmiany w operacji przetwarzania.
Szczegółowe zasady dotyczące obowiązków w zakresie przejrzystości opisano w art. 12 , 13 i 14 RODO, w tym szczegóły dotyczące konkretnych rodzajów informacji, które muszą być przekazywane osobom, których dane dotyczą, oraz sposobu, w jaki muszą być one przekazywane. Aby zachować przejrzystość, administratorzy muszą upewnić się, że środki przekazywania informacji są najbardziej odpowiednie dla ich platformy i grupy docelowej.
Ograniczenie celu
Dane osobowe muszą być gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach, które są ustalane w momencie gromadzenia danych osobowych i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami. Administratorzy danych mogą jednak podejmować dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, ponieważ nie są one uważane za niezgodne z pierwotnymi celami, o ile istnieją wystarczające zabezpieczenia.
Dalsze przetwarzanie jest właściwe tylko wtedy, gdy nowy cel przetwarzania nie jest niezgodny z pierwotnym celem.
To, czy dalsze przetwarzanie może być zgodne z pierwotnym celem, będzie zależeć od powiązania z pierwotnym celem, kontekstu, w którym dane osobowe zostały zebrane, charakteru danych osobowych, możliwych konsekwencji zamierzonego dalszego przetwarzania dla osób fizycznych oraz istnienia odpowiednich zabezpieczeń.
Celem tej zasady jest to, aby administratorzy danych od samego początku jasno i otwarcie informowali o proponowanym przetwarzaniu danych osobowych oraz zapewnili, że cele są zgodne z rozsądnymi oczekiwaniami osób fizycznych. Staranne rozważenie i ścisłe przestrzeganie tej zasady pomaga również administratorom danych w przestrzeganiu zasad minimalizacji danych i rozliczalności.
Minimalizacja danych
Zasada ta wymaga, aby administratorzy gromadzili i przetwarzali wyłącznie dane osobowe, które są adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Zasadniczo oznacza to, że administratorzy danych powinni gromadzić minimalną ilość danych, których potrzebują do zamierzonej operacji przetwarzania; nigdy nie powinni gromadzić niepotrzebnych danych osobowych. Zasada ta uzupełnia w szczególności zasadę ograniczenia celu, ale także wspiera zgodność z szeregiem zasad ochrony danych.
Wdrożenie minimalizacji danych wspiera ochronę danych w fazie projektowania i domyślną ochronę danych, ogranicza ilość danych osobowych, które mogą zostać utracone lub skradzione w przypadku naruszenia danych osobowych, pomagając w zapewnieniu integralności i poufności danych osobowych, a także ułatwia organizacjom zapewnienie, że przechowywane przez nie dane osobowe są prawidłowe i aktualne, wspierając zgodność z zasadami prawidłowości.
RODO nie określa, jaka ilość danych osobowych jest „odpowiednia, istotna i ograniczona”. Administratorzy będą musieli to ocenić w zależności od okoliczności planowanych operacji przetwarzania. Administratorzy powinni również dokonywać okresowego przeglądu liczby i charakteru danych osobowych, które przetwarzają, zapewniając, że pozostają one adekwatne, stosowne i niezbędne, w tym poprzez usuwanie danych, które nie spełniają już tych kryteriów.
Prawidłowość
Zasada ta wymaga od administratorów zapewnienia, że dane osobowe są prawidłowe i w razie potrzeby uaktualniane. Administratorzy powinni podjąć wszelkie uzasadnione kroki w celu zapewnienia, że dane osobowe, które są nieprawidłowe, zostaną niezwłocznie usunięte lub poprawione, mając na uwadze cele, dla których są przetwarzane.
Jest to prosty wymóg, zgodnie z którym wszystkie dane osobowe gromadzone, przechowywane lub w inny sposób przetwarzane przez administratora muszą być prawidłowe i aktualne.
Należy podjąć wszelkie uzasadnione działania w celu niezwłocznego skorygowania wszelkich nieścisłości, w tym rozważyć, czy konieczne jest okresowe aktualizowanie wszelkich danych osobowych przechowywanych przez administratora. W związku z tym administratorzy, którzy gromadzą dane osobowe, powinni mieć jasne procedury poprawiania lub usuwania wszelkich nieprawidłowych danych osobowych w ramach działań związanych z zarządzaniem danymi.
Co do zasady, uzasadnione działania, jakie administratorzy danych są zobowiązani podjąć w celu zapewnienia prawidłowości danych osobowych, będą zależeć od okoliczności, a w szczególności od charakteru danych osobowych i przetwarzania. Administratorzy danych muszą również pamiętać o swoich obowiązkach związanych z prawem osób, których dane dotyczą, do sprostowania – poprawienia nieprawidłowych danych osobowych lub ich uzupełnienia, jeśli są niekompletne.
Ograniczenie przechowywania
Administratorzy muszą przechowywać dane osobowe w formie umożliwiającej identyfikację osób fizycznych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane osobowe są przetwarzane. Dane osobowe mogą być przechowywane przez dłuższy okres, o ile będą przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z RODO oraz o ile istnieją odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osoby fizycznej.
Administratorzy powinni zatem zasadniczo usuwać dane osobowe, gdy tylko przestaną one być niezbędne do celów, dla których zostały pierwotnie zgromadzone. W tym celu RODO zaleca ustanowienie przez administratora terminów usuwania lub okresowego przeglądu. Zgodnie z zasadą przejrzystości, administratorzy powinni również zapewnić, że osoby fizyczne są świadome okresów przechowywania lub kryteriów stosowanych do ich obliczania. Administratorzy przechowujący dane osobowe w formie tradycyjnej, nawet jeśli wersje cyfrowe lub kopie tych dokumentów zostały usunięte, muszą nadal mieć uzasadnienie dla przechowywania tych danych osobowych offline i odpowiadać na wnioski osób, których dane dotyczą.
W zależności od okoliczności, administratorzy mogą również zanonimizować dane, jeżeli identyfikacja lub możliwość identyfikacji osoby fizycznej nie jest już konieczna. Dane są faktycznie anonimowe, a zatem nie są już „danymi osobowymi" tylko wtedy, gdy nie ma już możliwości identyfikacji osoby fizycznej; jeśli jednak można przypisać dane do osoby fizycznej za pomocą dodatkowych informacji, są one jedynie „spseudonimizowane”, a zatem nadal są uważane za dane osobowe. Jeśli proces zastosowany w celu rzekomego zanonimizowania danych osobowych nie jest trwały i można go odwrócić, wówczas dane nie zostały zanonimizowane.
Integralność i poufność
RODO.
Wsparcie się przydaje
Aby osiągnąć ten cel, administratorzy muszą stosować odpowiednie środki techniczne lub organizacyjne.
Innymi słowy, administratorzy danych muszą zapewnić, że ich środki bezpieczeństwa odpowiednio chronią przed przypadkowym lub celowym uszkodzeniem, utratą lub rozpowszechnieniem przetwarzanych przez nich danych osobowych. Te środki bezpieczeństwa powinny obejmować nie tylko cyberbezpieczeństwo, ale także fizyczne i organizacyjne środki bezpieczeństwa . Organizacje muszą również rutynowo sprawdzać, czy ich środki bezpieczeństwa są aktualne i skuteczne.
RODO nie określa środków bezpieczeństwa, które organizacje powinny wdrożyć, ponieważ najlepsze praktyki technologiczne i organizacyjne podlegają stałej ewolucji. Administratorzy danych powinni rozważyć szereg opcji w celu określenia najbardziej odpowiednich środków w danych okolicznościach, ponieważ nie ma jednego uniwersalnego podejścia do bezpieczeństwa danych. Dokonując oceny odpowiednich środków, należy uwzględnić między innymi: zasadę minimalizacji danych; zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych; przejrzystość co do funkcji i przetwarzania danych osobowych, umożliwiającą osobie fizycznej monitorowanie przetwarzania danych; pseudonimizację i/lub szyfrowanie danych osobowych.
Rozliczalność
Zasada rozliczalności jest nową zasadą prawa ochrony danych, która w szczególności stanowi, że administratorzy danych są odpowiedzialni za przestrzeganie innych zasad ochrony danych i muszą być w stanie wykazać ich przestrzeganie. Oznacza to, że administratorzy danych muszą zapewnić zgodność z zasadami, ale także posiadać odpowiednie procesy i rejestry w celu wykazania zgodności.
Zgodność z innymi zasadami ochrony danych sama w sobie pomoże w rozliczalności, na przykład poprzez przyjęcie podejścia do ochrony danych w fazie projektowania i domyślnej ochrony danych, wdrożenie odpowiednich środków technicznych i organizacyjnych, posiadanie zwięzłych i dostępnych informacji dotyczących przejrzystości oraz jasnych polityk zatrzymywania danych. Inne środki mające na celu wykazanie zgodności z zasadami ochrony danych obejmują przyjęcie wewnętrznych polityk, przestrzeganie kodeksów postępowania lub systemów certyfikacji, rejestrowanie i – w razie potrzeby – zgłaszanie naruszeń danych osobowych oraz wdrażanie odpowiednich polityk prywatności i powiadomień.
Wyznaczenie inspektora ochrony danych (IOD) tam, gdzie jest to wymagane, i zapewnienie, że jest on odpowiednio zaangażowany we wszystkie kwestie związane z ochroną danych, prowadzenie rejestrów czynności przetwarzania, sporządzanie jasnych umów z podmiotami przetwarzającymi działającymi w imieniu administratora oraz przeprowadzanie ocen skutków dla ochrony danych (DPIA), w stosownych przypadkach, to tylko niektóre z narzędzi, które mogą pomóc administratorom w przestrzeganiu zasady rozliczalności. Obowiązki wynikające z zasady rozliczalności są ciągłe i ewoluują, a administratorzy powinni swoje środki rozliczalności poddawać stałemu przeglądowi i je aktualizować.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
W jakich sytuacjach administratorzy danych mogą podejmować dalsze przetwarzanie danych osobowych?