Categories Banki danych, Bazy danych, Komputery i InternetPosted on

Jakie zasady przetwarzania danych osobowych wprowadza RODO?

praca przy laptopie

W jaki sposób przetwarzać dane osobowe, aby realizować założenia RODO? Jak postępować, by nie łamać nakładanych przez nie obowiązków?

Czym jest rozporządzenie o ochronie danych?

RODO to przyjęte w 2016 roku, a obowiązujące od 25 maja 2018, rozporządzenie dotyczące przetwarzania danych osobowych. Wprowadza ono przepisy regulujące, w jaki sposób administrator powinien się z takimi danymi obchodzić – owe zasady przetwarzania danych osobowych według RODO przytaczane są na blogu kancelarii prawnej Informatica Legis. Czym więc w świetle tych przepisów administratorzy danych muszą się teraz kierować?

Rozporządzenie stanowi aktualizację wcześniej obowiązującej dyrektywy 95/46/WE z 1995 roku, która przestała odpowiadać wymogom cyfrowej rzeczywistości. RODO nie tylko rozszerza zakres obowiązków podmiotów przetwarzających dane, ale również wzmacnia prawa osób fizycznych – takie jak prawo dostępu do danych, ich sprostowania, usunięcia (tzw. prawo do bycia zapomnianym) oraz przenoszenia. Wprowadza także sankcje finansowe za naruszenia – do 20 milionów euro lub 4% globalnego rocznego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.

Privacy by design

Ta zasada mówi o tym, że administrator powinien przy określaniu sposobów przetwarzania danych, a także w trakcie samego przetwarzania, wdrożyć odpowiednie środki techniczne i organizacyjne, by skutecznie realizować zasady ochrony danych. Privacy by design wymaga uwzględnienia prywatności już na etapie projektowania systemów informatycznych, a nie dopiero po ich uruchomieniu.

Oznacza to, że każdy system, narzędzie czy proces powinny być zaprojektowane tak, aby minimalizować ryzyko naruszenia prywatności. Przykłady wdrażania tej zasady to: szyfrowanie danych w trakcie ich przesyłania i przechowywania, stosowanie mechanizmów pseudonimizacji, kontrola dostępu oparta na rolach oraz regularne audyty bezpieczeństwa.

Privacy by default

Ta zasada mówi, że ochrona danych osobowych powinna stanowić domyślne ustawienie każdego programu. Każda zatem aplikacja, usługa czy portal powinny mieć domyślną ochronę prywatności ustawioną automatycznie. W praktyce oznacza to, że użytkownik nie musi samodzielnie aktywować ustawień prywatności – powinny one być dla niego najbardziej restrykcyjne od momentu pierwszego uruchomienia.

Przykładowo, konto w mediach społecznościowych powinno mieć domyślnie ustawione najwyższe ograniczenia widoczności profilu, a dopiero użytkownik może je świadomie rozszerzyć. Taka logika stosowana jest również w narzędziach marketingowych – wyrażenie zgody na newslettery, personalizację reklam czy udostępnienie danych osobowych zewnętrznym podmiotom nie może następować automatycznie.

Zgodność z prawem, rzetelność i przejrzystość

Co do zgodności z prawem, chodzi o to, by dane osobowe były przetwarzane na podstawie przesłanek zawartych w art. 6 lub 9 RODO. Jak natomiast należy rozumieć rzetelność i przejrzystość? Otóż fundamentem jest tu prawidłowe realizowanie przez administratora obowiązków informacyjnych. Należy posługiwać się przy tym jasną, prostą i zrozumiałą formą komunikacji.

Przejrzystość oznacza, że osoba, której dane są przetwarzane, musi wiedzieć: kto, dlaczego, jak długo i w jakim zakresie korzysta z jej danych. Informacje te powinny być przekazywane w sposób zrozumiały dla przeciętnego odbiorcy, bez nadmiernego żargonu prawniczego. Dotyczy to zarówno klauzul informacyjnych przy zbieraniu danych, jak i odpowiedzi na wnioski osób o dostęp do danych, ich sprostowanie czy usunięcie.

Rzetelność natomiast wymaga, aby administrator dotrzymywał deklarowanych celów i nie wykorzystywał danych w sposób sprzeczny z oczekiwaniami osoby, która je powierzyła. Przykładem nierzetelnego postępowania byłoby zbieranie adresu e-mail „do realizacji zamówienia”, a następnie wysyłanie na niego niechcianych materiałów reklamowych bez dodatkowej zgody.

Ograniczenie celu przetwarzania

W myśl tej zasady cel przetwarzania danych musi być wyraźnie określony oraz oczywiście zgodny z prawem. Pewne wyjątki pozwalają na przetwarzanie danych w innych celach niż te, w jakich zostały one zebrane. W porównaniu do wcześniej obowiązujących przepisów, RODO wprowadza też nowy cel przetwarzania danych – archiwalny w interesie publicznym.

Zasada ograniczenia celu oznacza, że dane zebrane do jednego konkretnego celu nie mogą być automatycznie wykorzystywane do zupełnie innych działań. Jeśli firma zbiera numer telefonu w celu potwierdzenia zamówienia, nie może bez dodatkowej zgody użyć go do prowadzenia kampanii telemarketingowej. Wyjątkiem są tu cele kompatybilne, które RODO wymienia: cel archiwalny w interesie publicznym, cele badań naukowych, historycznych lub statystycznych.

Zmiana celu przetwarzania wymaga przeprowadzenia testu zgodności, który uwzględnia: związek między pierwotnym a nowym celem, kontekst zbierania danych, charakter danych osobowych, potencjalne konsekwencje dla osób oraz stosowane zabezpieczenia. Jeśli test wypadnie negatywnie, do nowego przetwarzania niezbędna jest nowa podstawa prawna.

biznesmen na stanowisku pracy

Minimalizacja danych

W minimalizowaniu danych chodzi o to, by zakres przetwarzanych danych nie przekraczał tego, jaki jest niezbędny, by uzyskać cel, dla którego są one owemu przetwarzaniu poddawane. Zasada ta jest jednym z głównych warunków dopuszczających przetwarzanie danych do celów naukowych, historycznych, statystycznych lub archiwalnych w interesie publicznym. Przetwarzanie danych powinno mieć miejsce jedynie wtedy, gdy określony cel nie może być osiągnięty innymi środkami.

Minimalizacja wymaga regularnej oceny rzeczywistych potrzeb. Jeśli dla realizacji usługi wystarczy imię i adres e-mail, żądanie dodatkowo numeru telefonu, adresu zamieszkania, PESEL-u czy daty urodzenia może być uznane za naruszenie tej zasady. Administrator musi również usuwać dane, które przestały być niezbędne do realizacji deklarowanego celu – przykładowo usunąć CV kandydatów, którzy nie zostali zatrudnieni, zaraz po zakończeniu procesu rekrutacyjnego.

W praktyce zasada minimalizacji przekłada się na konstrukcję formularzy, gdzie każde pole powinno być uzasadnione konkretnym celem biznesowym lub prawnym. Dobrą praktyką jest oznaczanie pól obowiązkowych i opcjonalnych, aby użytkownik miał świadomość, które dane są rzeczywiście wymagane.

Prawidłowość danych

Ta zasada nakłada na administratora konieczność stworzenia takich organizacyjnych i technicznych rozwiązań, dzięki którym będzie się dało korygować nieprawidłowe lub nieaktualne dane. Administrator musi umożliwić osobom dostęp do ich danych oraz wprowadzić mechanizmy, które pozwalają na szybkie i sprawne sprostowanie błędnych informacji.

Prawidłowość obejmuje nie tylko poprawianie literówek czy błędnie wpisanych adresów, ale także aktualizację danych, które zmieniły się w czasie – zmiany miejsca zamieszkania, nazwiska po ślubie, statusu zawodowego itp. W firmach stosujących złożone systemy szyfrowania i przechowywania danych procedury aktualizacji powinny uwzględniać wszystkie kopie oraz miejsca, w których dane są powielone.

Nieaktualne lub błędne dane mogą prowadzić do niewłaściwych decyzji biznesowych – np. odmowy kredytu na podstawie przestarzałych informacji finansowych – dlatego RODO zobowiązuje administratorów do bieżącej weryfikacji ich poprawności. Osoba, której dane dotyczą, ma prawo zażądać ich sprostowania, a administrator ma obowiązek to wykonać bez zbędnej zwłoki.

Ograniczenie przechowania

Ta zasada dotyczy okresu przetwarzania danych. Zgodnie z nią nie powinien on być dłuższy niż czas, który jest niezbędny do osiągnięcia założonego celu. Dane mogą być przetwarzane dłużej jedynie do celów statystycznych, badań naukowych lub historycznych, oraz archiwalnych w interesie publicznym, i to też tylko pod warunkiem, że zostaną wdrożone odpowiednie środki organizacyjne i techniczne. Ograniczenie okresu przechowywania danych osiąga się wdrażając procedury wyznaczające terminy, czyli okresy retencji, oraz procedury określające terminy okresowych przeglądów takich danych.

W praktyce oznacza to, że każda kategoria danych musi mieć określony maksymalny czas przechowywania. Po jego upływie administrator ma obowiązek usunąć dane lub je zanonimizować. Wyjątkiem są sytuacje, w których dalsze przetwarzanie jest wymagane przez przepisy prawa – np. obowiązek przechowywania dokumentacji księgowej przez 5 lat.

Administrator powinien prowadzić rejestry terminów retencji dla poszczególnych kategorii danych oraz wprowadzić automatyczne mechanizmy przypominające o zbliżających się terminach usunięcia. Regularne przeglądy zbiorów danych pozwalają uniknąć sytuacji, w której przechowywane są informacje od dawna niepotrzebne do realizacji celów biznesowych.

Integralność i poufność

Ta zasada wprowadzona przez RODO nie ma swojego odpowiednika w poprzednio obowiązującej UODO. Nakłada ona na administratora obowiązek wdrożenia takich środków organizacyjnych i technicznych, które będą mogły zapewnić danym bezpieczeństwo. Integralność oznacza, że dane nie mogą być zmieniane w sposób nieuprawniony, natomiast poufność wymaga ochrony przed dostępem osób nieuprawnionych.

W praktyce zasada ta przekłada się na stosowanie mechanizmów kontroli dostępu, uwierzytelniania wieloskładnikowego, szyfrowania danych zarówno w trakcie przesyłania, jak i przechowywania, a także regularnych kopii zapasowych. Bezpieczeństwo obejmuje również ochronę przed incydentami takimi jak awarie sprzętu, działania hakerów, ataki ransomware czy wyciek danych spowodowany błędem ludzkim.

Administrator zobowiązany jest do przeprowadzania oceny ryzyka oraz wdrażania środków adekwatnych do poziomu zagrożenia. Im bardziej wrażliwe dane (np. dane zdrowotne, biometryczne, dane dzieci), tym bardziej zaawansowane zabezpieczenia są wymagane. W przypadku naruszenia ochrony danych administrator ma obowiązek zgłoszenia incydentu organowi nadzorczemu w ciągu 72 godzin od jego wykrycia.

Rozliczalność

Zasada ta ma odniesienie do wszystkich innych zasad przetwarzania danych osobowych. Zgodnie z nią, administrator musi być w stanie wykazać, że podejmując się przetwarzania danych osobowych, postępował zgodnie z wyżej wymienionymi zasadami. Jeśli zajdzie potrzeba, będzie musiał udowodnić, że podjęte przez niego decyzje były analizowane pod względem zgodności ze wspomnianymi zasadami.

Rozliczalność (accountability) wymaga prowadzenia dokumentacji działań przetwarzania, w tym rejestrów czynności przetwarzania, wyników ocen skutków dla ochrony danych (DPIA), dokumentów opisujących środki bezpieczeństwa oraz procesów obsługi wniosków osób, których dane dotyczą. Administrator powinien również przechowywać dowody uzyskania zgód (w przypadku gdy zgoda jest podstawą przetwarzania) oraz dokumentować szkolenia pracowników z zakresu ochrony danych.

W razie kontroli organu nadzorczego administrator musi być gotowy przedstawić pełną dokumentację potwierdzającą legalność przetwarzania oraz adekwatność zastosowanych zabezpieczeń. Zasada rozliczalności oznacza także obowiązek wyznaczenia inspektora ochrony danych (IOD) w przypadkach określonych w RODO – np. gdy podstawową działalność administratora stanowi regularne i systematyczne monitorowanie osób na dużą skalę.