Zasady przetwarzania danych osobowych

Zgodnie z tą zasadą dane osobowe mogą być przetwarzane tylko wtedy, gdy istnieje do tego odpowiednia podstawa prawna. Zostały one wskazane dokładniej w art. 6 RODO. Jest to np. zgoda, wykonanie umowy, obowiązek prawny. Uwaga! Nie jest to jednak wystarczające, aby już mówić o zgodności z RODO. Przetwarzanie danych musi być też rzetelne i przejrzyste, czyli powinno odbywać się w sposób zrozumiały dla osoby, której te dane dotyczą.

Przykład 1: Jeśli tworzysz kampanię mailingową do klientów, nie wystarczy, że uzyskasz od nich zgodę. Musisz dodatkowo wyjaśnić w prosty sposób, jakie dane zbierasz, po co to robisz i jak długo będziesz je przechowywać. Tego typu informacje, zgodnie z art. 13 RODO, powinny znaleźć się w klauzuli informacyjnej.

Nie zbieraj więcej danych, niż potrzebujesz w rzeczywistości. Dane muszą być adekwatne, stosowne i ograniczone do niezbędnego minimum.

Zasada ta powiązana jest z art. 25 RODO, czyli tzw. „privacy by design”. Już na etapie projektowania systemów zbierania danych musisz przewidzieć, jakie dane są naprawdę potrzebne i w ten sposób ograniczyć nadmiarowość.

Dokładniej mówiąc, jeśli możesz zrealizować dany proces bez sięgania po konkretne informacje, to nie masz prawa ich zbierać.

Zasada minimalizacji rozpoczyna się nie wtedy, gdy klient wysyła formularz, a swój początek ma już na etapie projektowania procesu, aplikacji czy samego formularza informacyjnego. „Privacy by design” oznacza, że tworząc nowy formularz lub panel rejestracyjny musisz wziąć pod uwagę to, czy naprawdę dana informacja jest Ci niezbędna. Jeśli w systemie ERP możesz dodać niestandardowe pola, zastanów się, czy muszą być one wypełniane przez pracowników. A przygotowując bazę marketingową, określ dokładny zakres danych, które zostaną wykorzystane, i nie wchodź poza niego.

Przykład 3: Prowadzisz sklep internetowy. Do realizacji zamówienia potrzebujesz imienia, nazwiska, adresu i danych kontaktowych. Czy numer PESEL, data urodzenia lub wykształcenie są Ci potrzebne? Na pewno nie. Pobieranie takich danych jest naruszeniem zasady minimalizacji. Również pytanie o płeć, jeśli nie ma ku temu uzasadnienia, może być uznane za nadmiarowe.

Naruszenie zasady minimalizacji może prowadzić do nałożenia kary administracyjnej.

Uwaga! Jeśli chcesz zebrać inne dane, bo np. mogą przydać się w przyszłości, możesz podzielić formularz na dwie części: obowiązkową i opcjonalną. Pamiętaj, aby opatrzyć je odpowiednią informacją. Np. przy dacie urodzenia dodaj zachętę do otrzymania rabatu urodzinowego.

Danych nie można przechowywać dłużej niż jest to potrzebne. Czas przechowywania musi być powiązany z celem przetwarzania.

Przykład 5: Prowadzisz rekrutację. Dane kandydatów, którzy nie zostali zatrudnieni w Twojej firmie, muszą być usunięte niezwłocznie po zakończeniu naboru. Wyjątkiem jest sytuacja, gdy kandydat wyrazi zgodę na udział w przyszłych procesach.

Tutaj ponownie wraca kwestia obowiązków z art. 13 i 14 RODO. Musisz jasno wskazać okres przechowywania lub kryteria ustalenia tego czasu.

Jest to tzw. „meta-zasada”. Administrator musi być w stanie wykazać, że przestrzega wszystkich powyższych zasad. Chodzi tu nie tylko o samą deklaracje, ale realne procedury, dokumentację, szkolenia i audyty.

Zasada ta ma swoje rozwinięcie w art. 24 RODO, który mówi wprost: to administrator odpowiada za zgodność i musi mieć na to dowody.

Przykład 7: Jeśli nie możesz pokazać, że Twoi pracownicy przeszli szkolenie z zakresu ochrony danych lub nie masz polityki retencji, nie wykażesz rozliczalności.

Ocena skutków dla ochrony danych (DPIA) – art. 35 RODO

Mimo, że nie jest to wymieniona zasada bezpośrednio w art. 5, art. 35 RODO to istotny przepis służący wdrożeniu zasad: zwłaszcza legalności, minimalizacji, bezpieczeństwa i rozliczalności.

Wymaga on, aby przed rozpoczęciem nowego rodzaju przetwarzania – szczególnie gdy wiąże się ono z wysokim ryzykiem – administrator przeprowadził ocenę skutków dla ochrony danych. Jest to praktyczne narzędzie, które pokazuje, jak zasady z art. 5 RODO są respektowane – lub nie.

Dlaczego warto znać również inne przepisy?

Zasady przetwarzania danych z art. 5 RODO tworzą fundament, ale pozostają ogólne. Dopiero inne artykuły, czyli np. art. 6, 12–14, 24, 25, 30, 32 czy 35, pozwalają je realnie wdrożyć.

Odpowiadają na pytania:

1. Na jakiej podstawie przetwarzać dane? → art. 6 RODO.

2. Jak informować osoby, których dane dotyczą? → art. 12-14 RODO.

3. Jak zapewnić zgodność i dokumentację? → art. 24 i 30 RODO.

4. Jak zabezpieczyć dane technicznie? → art. 32 RODO.

5. Jak postępować przy wysokim ryzyku? → art. 35 RODO.

Bez tych przepisów art. 5 byłby tylko deklaracją. Z nimi staje się nie ogólną informacją, a konkretną instrukcją działania.

Jakie kary grożą za nieprzestrzeganie zasad wynikających z RODO?

Nieprzestrzeganie przepisów wynikających z RODO (nie tylko w kontekście ogółów opisanych w art. 5) grozi nałożeniem kar administracyjnych.

Jak wskazuje art. 83 ust. 5 lit. a RODO najwyższe możliwe sankcje mogą wynieść 20 000 000 euro. Firmy mogą ponieść karę do 4% całkowitego rocznego światowego obrotu z poprzedniego roku kalendarzowego.