Znajomość podstawowych zasad przetwarzania danych osobowych ma kluczowe znacznie w kontekście zapewnienia zgodności operacji przetwarzania danych osobowych z przepisami prawa. Zasady przetwarzania danych osobowych zostały określone w art. 5 RODO i każdy podmiot, który w ramach prowadzonej działalności przetwarza dane osobowe objęte zakresem terytorialnym i materialnym stosowania RODO, powinien je znać i stosować w praktyce.
Jakie są zasady przetwarzania danych osobowych?
Na podstawie art. 5 ust. 1 RODO można wyróżnić 8 podstawowych zasad przetwarzania danych osobowych. Są to:
- Zasada legalności (zgodności z prawem) przetwarzania danych osobowych (art. 6 ust. 1 lit. a RODO);
- Zasada rzetelności przetwarzania danych osobowych (art. 6 ust. 1 lit. a RODO);
- Zasada przejrzystości przetwarzania danych osobowych (art. 6 ust. 1 lit. a RODO);
- Zasada celowości (ograniczenia celu) przetwarzania danych osobowych (art. 6 ust. 1 lit. b RODO);
- Zasada minimalizacji (adekwatności) przetwarzania danych osobowych (art. 6 ust. 1 lit. c RODO);
- Zasada prawidłowości przetwarzania danych osobowych (art. 6 ust. 1 lit. d RODO);
- Zasada czasowości (ograniczenia przechowywania) przetwarzania danych osobowych (art. 6 ust. 1 lit. e RODO);
- Zasada integralności i poufności przetwarzania danych osobowych (art. 6 ust. 1 lit. f RODO).
Warto przy okazji nadmienić, że zasada legalności, rzetelności i przejrzystości czasami wskazywana jest jako jedna (wspólna) zasada przetwarzania, ponieważ wymieniona jest ona w jednym punkcie (art. 5 ust. 1 lit. a RODO). Wydaje się jednak, że bardziej czytelne jest „rozbicie” zasady wskazanej w art. 5 ust. 1 lit. a RODO na trzy odrębne zasady przetwarzania danych osobowych.
Dodatkową (dziewiątą) zasadą przetwarzania danych osobowych jest zasada rozliczalności (art. 5 ust. 2 RODO). Każda ze wskazanych wyżej zasad powinna być uwzględniana w ramach wszystkich wykonywanych operacji przetwarzania danych osobowych.
Obowiązujące zasady przetwarzania danych osobowych
Przestrzeganie zasad przetwarzania danych osobowych wymaga stałego zaangażowania po stronie organizacji oraz adaptacji do zmieniających się warunków technologicznych i prawnych. Zasady przetwarzania danych osobowych powinny być faktycznie przestrzegane w ramach realizowanych operacji przetwarzania, co należy wziąć pod uwagę już na etapie planowania lub aktualizowania procesów przetwarzania danych osobowych. Powinny być one także uwzględnione w ramach obowiązującej w danej organizacji dokumentacji przetwarzania danych osobowych, w tym w obowiązującej Polityce przetwarzania danych osobowych
Czytaj także: Polityka ochrony danych osobowych co powinna zawierać
Zasada legalności
Zasada legalności (zgodności z prawem) przetwarzania danych osobowych oznacza, że przy przetwarzaniu danych osobowych powinny być przestrzegane normy ustanowione w przepisach powszechnie obowiązującego prawa. Nie chodzi przy tym wyłącznie o przepisy dotyczące ochrony danych osobowych (w tym RODO), ale także o innego rodzaju przepisy znajdujące się w innych aktach prawnych, w tym zarówno przepisy prawa materialnego, jak i przepisy proceduralne.
Szczególne znaczenie w kontekście realizacji zasady legalności ma przy tym obowiązek wykazania przez administratora danych odpowiedniej podstawy prawnej przetwarzania danych osobowych wynikającej z art. 6, 9 i 10 RODO. We wskazanych przepisach znajdują się:
- przesłanki (podstawy prawne) określające dopuszczalność przetwarzania danych osobowych „zwykłych” (art. 6 RODO);
- wyjątki, w których wyłączony jest ogólny zakaz przetwarzania danych wrażliwych (art. 9 ust. 2 RODO), oraz
- warunki przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO).
Czytaj także: Wrażliwe dane osobowe w rozumieniu RODO
Zasada rzetelności
Zasada rzetelności przetwarzania danych osobowych zawiera w sobie przede wszystkim obowiązek starannego działania przy przetwarzaniu danych osobowych, w tym sumiennego wypełniania ciążących na administratorze danych obowiązków oraz uczciwości względem podmiotu danych. Z zasady tej wynika także, że administrator danych powinien przetwarzać dane osobowe w sposób etyczny i zgodny z ogólnie przyjętymi standardami, nie działając przy tym w sposób, który może podważać jego rzetelność względem podmiotu danych, w tym np. poprzez wprowadzanie osoby, której dane dotyczą w błąd, oszukiwanie, stosowanie podstępu lub wykorzystywanie trudnej sytuacji takiej osoby (np. niepełnosprawności, nieporadności itp.).
Wymóg rzetelności oznacza też, że administrator danych nie powinien wykorzystywać swojej uprzywilejowanej pozycji względem osoby, której dane dotyczą (np. jako pracodawca takiej osoby). Rzetelność przy przetwarzaniu danych osobowych po stronie administratora danych powinna także uwzględniać interesy i prawa oraz słuszne oczekiwania osoby, której dane dotyczą w związku z przetwarzaniem jej danych osobowych.
Zasada przejrzystości
Zasada przejrzystości przetwarzania danych osobowych przewiduje, że dane osobowe powinny być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą. Rozwinięcie tej zasady przetwarzania danych osobowych znajduje się w art. 12 RODO, który wprowadza obowiązek przejrzystego informowania i stosowania przejrzystej komunikacji w kontaktach z osobą, której dane dotyczą, a także w art. 13-14 RODO (obowiązki informacyjne związane ze zbieraniem danych osobowych) oraz w art. 15 RODO (prawo dostępu do danych osobowych).
Kluczowe znaczenia dla zrozumienia istoty tej zasady ma zwłaszcza treść motywu 39 preambuły RODO, w którym wskazano, że: „Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.
Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania”. Administrator danych powinien zatem uwzględniać zasadę przejrzystości we wszelkich sytuacjach, w których komunikaty dotyczące przetwarzania danych osobowych kierowane są do podmiotów danych, w tym w szczególności w przypadku tworzenia klauzul informacyjnych oraz w ramach udzielania odpowiedzi na żądania związane z realizacją praw osób, których dane dotyczą.
Przetwarzanie danych osobowych w sposób niejawny stanowi tym samym wyjątek od powyższej reguły i może mieć ono miejsce wyłącznie w oparciu o wyraźną podstawę prawną mającą swoje oparcie w prawie UE lub państwa członkowskiego, co w wyjątkowych przypadkach może być dopuszczalne zgodnie z art. 23 RODO.
Zasada celowości
Zgodnie z tą zasadą dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, przy czym dalsze przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami przetwarzania.
Przestrzegając powyższej zasady przetwarzania danych osobowych, należy zwrócić szczególną uwagę na to, aby realizowany cel przetwarzania danych osobowych był konkretny i wyraźny (nie powinien mieć on zatem charakteru abstrakcyjnego). Typowym przykładem naruszenia tej zasady będzie zatem zbieranie danych dla bliżej nieokreślonych, niesprecyzowanych celów (na zapas) z takim założeniem, że mogą się one kiedyś do czegoś przydać. W praktyce często zdarza się, że administrator danych realizuje różne cele przetwarzania danych osobowych.
Zgodnie z zasadą celowości cele te powinny być jednak jasno określone, a przetwarzanie danych osobowych powinno służyć ich realizacji. Ewentualna zmiana celu przetwarzania w świetle zasady celowości przetwarzania danych osobowych będzie zatem dopuszczalna wyłącznie wówczas, gdy nowy cel przetwarzania danych osobowych nie jest niezgodny z celem lub celami dla którego/których dane te zostały zebrane.
Zasada minimalizacji
Zasada minimalizacji (adekwatności) przetwarzania danych osobowych oznacza, że dane te powinny być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do osiągnięcia celów, w których są przetwarzane. W literaturze podnosi się niekiedy, że w obecnym kształcie zasada ta oznacza obowiązek zapewnienia minimalizacji przetwarzania w ścisłym tego słowa znaczeniu, a zatem, że w ogóle nie powinny być przetwarzane te dane osobowe, które nie są ściśle niezbędne do osiągnięcia celu przetwarzania.
Wydaje się jednak, że takie podejście w praktyce jest zbyt restrykcyjne, gdyż może ono prowadzić do sytuacji, w których prowadzenie określonego rodzaju działalności wymagającego przetwarzania danych osobowych byłoby utrudnione w stopniu nieadekwatnym do okoliczności. Teoretycznie wąsko rozumiany wymóg minimalizacji danych oraz zachowanie ich adekwatności są trudne do pogodzenia, niemniej jednak wydaje się, że możliwe jest kompromisowe podejście do realizacji tej zasady przetwarzania danych osobowych.
Kluczowe w takim przypadku jest dokonanie rzetelnej oceny, czy przetwarzanie określonych danych osobowych w konkretnym przypadku jest ściśle powiązane z realizacją określonego celu i obiektywnie pomaga w jego osiągnięciu pod warunkiem, że nie odbywa się to w sposób nieuzasadniony kosztem naruszenia praw lub wolności podmiotu danych. W tym ujęciu niezbędność przetwarzania powinna być oceniana przede wszystkim pod kątem tego, czy administrator danych w konkretnym przypadku ma rzeczywistą i racjonalną potrzebę przetwarzania określonych danych osobowych, która w wystarczającym stopniu uzasadnia ingerencję w prywatność osoby fizycznej i pozostaje przy tym w odpowiedniej proporcji do zamierzonych celów przetwarzania danych osobowych.
W motywie 39 preambuły RODO wskazano zresztą, że „Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami”. W związku z tym odwołanie się racjonalności/rozsądku w kontekście stosowania zasady minimalizacji wydaje się być jak najbardziej na miejscu.
Zasada prawidłowości
Zgodnie z tą zasadą dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane, przy czym należy podjąć wszelkie rozsądne działania, aby dane nieprawidłowe w świetle celów ich przetwarzania zostały niezwłocznie usunięte lub sprostowane.
Realizacja tej zasady przetwarzania danych osobowych ma istotne znaczenie zarówno na etapie zbierania danych osobowych (administrator danych powinien bowiem dołożyć szczególnej staranności, aby dane, które zbiera, były poprawne, a więc przede wszystkim zgodne ze stanem faktycznym), jak również na etapie ich dalszego przetwarzania. Dane osobowe powinny być prawdziwe, kompletne (z uwzględnieniem celu ich przetwarzania), a także aktualne. Wyrazem realizacji tej zasady przetwarzania danych osobowych będzie zatem np. umożliwienie podmiotom danych łatwego dostępu do ich danych osobowych oraz ich aktualizacji w razie wystąpienia takiej potrzeby.
Administrator danych powinien dbać także o to, aby prawidłowość danych była zachowana w przypadku pozyskiwania danych z innego źródła niż osoba, której dane dotyczą, co oznacza m.in., że nie powinien on, co do zasady, pozyskiwać danych osobowych ze źródeł niewiarygodnych lub niewiadomego pochodzenia.
Ściśle związane z tą zasadą jest przysługujące podmiotowi danych prawo do sprostowania danych osobowych (art. 16 RODO)
Zasada czasowości
Zgodnie z tą zasadą dane osobowe nie powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. Dłuższe przechowywanie danych jest dopuszczalne wyłącznie wówczas, gdy jest to niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z tym zastrzeżeniem, że wdrożone zostaną w takim przypadku odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą.
Powyższa zasada oznacza w praktyce, że każdy administrator danych musi dokonywać okresowego przeglądu danych osobowych lub ustalić z góry termin usuwania danych osobowych, co do których ustał cel ich przetwarzania. Realizacja tej zasady przetwarzania danych osobowych niesie ze sobą wiele wyzwań i praktycznych problemów, jednak nie należy jej bagatelizować.
Kluczowe z punktu widzenia poszanowania zasady czasowości (ograniczenia przechowywania) danych osobowych jest opracowanie i przyjęcie w ramach organizacji zasad dotyczących okresowej retencji (usuwania) danych osobowych. W przypadku przetwarzania danych osobowych w systemach informatycznych niezbędne może okazać się odpowiednie automatyczne zaprojektowanie usuwania danych osobowych po ustalonym z góry okresie.
Czytaj także: Retencja Danych Osobowych. Dlaczego należy ją zapewnić?
Zasada integralności i poufności
Zasada integralności i poufności danych jest zasadą, która w najbardziej „naturalny” sposób kojarzy się przeciętnemu odbiorcy z ochroną danych osobowych. Zgodnie z tą zasadą dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Oznacza to, że należy zapewnić zarówno ochronę przed nieuprawnionym dostępem do samych danych osobowych, jak i przed nieuprawnionym dostępem do sprzętu (w tym nośników) służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu. Z zasadą ochrony danych osobowych ściśle związana jest zasada ochrony danych w fazie projektowania (art. 25 ust. 1 RODO), a także wynikający z art. 32 RODO wymóg przeprowadzenia analizy ryzyka w celu doboru odpowiednich do ryzyka naruszenia praw lub wolności osób fizycznych środków technicznych i organizacyjnych, które powinny zapewnić stopień bezpieczeństwa danych odpowiadający temu ryzyku.
Zasada rozliczalności
Zgodnie z art. 5 ust. 2 RODO administrator danych jest odpowiedzialny za przestrzeganie przepisów dotyczących zasad przetwarzania, o których mowa w art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności). Pojęcie rozliczalności pojawiało się na gruncie poprzednio obowiązującego stanu prawnego, co może być powodem pewnego zamieszania.
W nieobowiązującym już obecnie Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych znajdowała się definicja rozliczalności, która była rozumiana jako właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
Na gruncie RODO pojęcie to należy jednak rozumieć inaczej, co może wynikać m.in. z niezbyt fortunnego tłumaczenia angielskiego słowa „accountability”, które w kontekście art. 5 ust. 2 RODO bardziej odnosi się do odpowiedzialności administratora danych. W związku z tym rozliczalność (ang. accountability) w tym przypadku oznacza przede wszystkim to, że:
- administrator ponosi odpowiedzialność za przestrzeganie przepisów RODO oraz
- spoczywa na nim obowiązek wykazania ich przestrzegania.
Ma to istotne znaczenie w szczególności w przypadku sporu z osobą, której dane dotyczą lub w przypadku postępowania przed organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych). Innymi słowy, należy przyjąć, że z zasady rozliczalności wynika, że w każdym przypadku to na administratorze danych ciąży obowiązek wykazania przestrzegania przepisów RODO, w tym przedstawienia stosownych dowodów (np. dokumentacji przetwarzania obejmującej m.in. polityki lub procedury dotyczące przetwarzania danych osobowych).
Podsumowanie — Jakie są podstawowe zasady przetwarzania danych osobowych?
Każda organizacja, która przetwarza dane osobowe, w związku z prowadzoną działalnością powinna znać i stosować podstawowe zasady przetwarzania danych osobowych. Poszanowanie zasad przetwarzania danych osobowych ma kluczowe znaczenie w kontekście zapewniania zgodności z wymogami wynikającymi z RODO, w związku z czym w żadnym razie nie powinno się ich bagatelizować. Zasady te w wielu przypadkach są następnie rozwijane w szczegółowych przepisach RODO.
Trzeba także pamiętać, że naruszenie podstawowych zasad przetwarzania może, zgodnie z art. 83 ust. 5 lit. a RODO stanowić samodzielną podstawę do nałożenia administracyjnej kary pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Jeśli jesteś zainteresowany wsparciem prawnym przy tworzeniu dokumentacji przetwarzania danych osobowych lub masz wątpliwości dotyczące stosowania zasad przetwarzania danych osobowych w praktyce, zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.