Kolejnym tematem jaki chcemy zaprezentować na naszym blogu są zasady przetwarzania danych osobowych wg RODO (Ogólnego rozporządzenia o ochronie danych osobowych).

 Jest to trzecia część naszego cyklu. Zobacz również poprzednie artykuły:

  • Wstęp: Jak być „RODO ready”, nie narażając się na atak serca: LINK
  • Część I - definicje: Czym są dane osobowe wg RODO? LINK

Podobnie jak w poprzednim artykule naszego cyklu o RODO, zasady przetwarzania danych osobowych RODO zostaną zaprezentowane w ujęciu porównawczym, tj.  w odniesieniu do zasad znajdujących się w poprzednio obowiązującej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO).

Zasady przetwarzania danych RODO

Zanim szczegółowo omówione zostaną poszczególne zasady przetwarzania danych RODO, na wstępie chciałbym przedstawić kilka ogólnych spostrzeżeń.

Podkreślenie rangi zasad ogólnych

Po pierwsze, umiejscowienie zasad w strukturze RODO. Ogólne zasady przetwarzania danych osobowych znalazły się w początkowej części aktu prawnego – w art. 5 RODO (rozdział II), tuż za przepisami ogólnymi (rozdział I, art. 1-4), a przed innymi fundamentalnymi regulacjami takimi jak przesłanki legalności przetwarzania danych (art. 6) czy warunkami wyrażania zgody (art. 7-8). Ten z pozoru drobny zabieg redakcyjny pokazuje, że zamiarem prawodawcy europejskiego było wzmocnienie roli zasad przetwarzania danych osobowych na gruncie przepisów RODO.

Przykładem, który jeszcze mocniej podkreśla wzrost znaczenia tych zasad, to możliwość nakładania administracyjnych kar pieniężnych za ich nieprzestrzeganie. Przepisy przewidują, w takim przypadku najwyższe na gruncie RODO sankcje tj. kary w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstw do 4% całkowitego rocznego światowego obrotu za poprzedni rok (art. 83 ust. 5 lit. a RODO).

Zasady przetwarzania danych wg RODO

W przepisach RODO sformułowanych zostało 7 zasad przetwarzania danych osobowych. Są nimi zasady:

  1. zgodności z prawem, rzetelności i przejrzystości,
  2. ograniczenia celu przetwarzania danych,
  3. minimalizacji danych,
  4. prawidłowości danych,
  5. ograniczenia przechowania danych,
  6. integralności i poufności danych,
  7. rozliczalności.

W dalszej części artykułu zostaną kolejno przeanalizowane wszystkie zasady poprzez porównanie ich do rozwiązań przyjętych na gruncie poprzednio obowiązującej Ustawy o ochronie danych osobowych (UODO).

Zasada zgodności z prawem, rzetelności i przejrzystości – porównanie

Poprzednio obowiązująca UODORODO
art. 26 ust. 1 pkt 1

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

przetwarzane zgodnie z prawem;

art. 5 ust. 1 lit. a

Dane osobowe muszą być:

  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

 

motyw 39 preambuły

Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem (…).

motyw 58 preambuły

Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to w szczególności sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w internecie. Zważywszy że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

motyw 60 preambuły

Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania. Informacje te można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, powinny nadawać się do odczytu maszynowego.

Zasada zgodności z prawem, rzetelności i przejrzystości to de facto 3 zasady przetwarzania danych RODO, z czego tylko ta ostatnia stanowi istotną nowość.

Zasada zgodności z prawem to obowiązek przetwarzania danych osobowych na podstawie przesłanek legalności z art. 6 lub art. 9 RODO. Treść tej zasady jest więc identyczna jak w poprzednio obowiązującej UODO.

Sposób rozumienia zasady rzetelności i przejrzystości wyjaśnia preambuła RODO (motywy 39, 58 oraz 60). Wynika z nich, że w praktyce zasada ta będzie realizowana poprzez spełnienie przez administratora obowiązków informacyjnych względem osób, których dane dotyczą. A zatem, prawidłowa realizacja obowiązków informacyjnych jest warunkiem niezbędnym dla osiągnięcia zgodności z zasadą rzetelności i przejrzystości. Obowiązkom informacyjnym poświęcony zostanie jeden z naszych kolejnych artykułów o RODO.

Warto zwrócić uwagę, iż z zasady rzetelności i przejrzystości wynika obowiązek posługiwania się odpowiednią do okoliczności formą komunikacji tj. jasnym i prostym językiem (szczególnie w przypadku komunikatów kierowanych do dzieci), a nawet w formie znaków graficznych (wizualizacji). 

Zasada ograniczenia celu przetwarzania danych – porównanie

Poprzednio obowiązująca UODORODO
art. 26 ust. 1 pkt 2

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:(…)

  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2;

 

art. 26 ust. 2

Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:

  • w celach badań naukowych, dydaktycznych, historycznych lub statystycznych;

z zachowaniem przepisów art. 23 i 25

art. 5 ust. 1 lit. b

Dane osobowe muszą być: (…)

  1. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

motyw 50 preambuły

Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane (…).

motyw 61 preambuły

(…) Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji  (…).

Zasada ograniczenia celu nie różni się znacząco od tego co przewidują przepisy poprzednio obowiązującej UODO. Podobnie jak dotychczas cel przetwarzania danych musi być wyraźnie określony oraz zgodny z prawem. Przewidziano również wyjątki pozwalające na przetwarzanie danych do celów innych niż te, dla których dane zostały pierwotnie zebrane (szczegółowo opisane w motywie 50 preambuły).

Zgodnie z zapisami RODO dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, jest traktowane jako zgodne z prawem oraz pierwotnymi celami. W porównaniu z zapisami poprzednio obowiązującej UODO w zestawieniu wyjątków brakuje przetwarzania danych w celach dydaktycznych.

Pojawia się natomiast nowy cel – archiwalny w interesie publicznym. Szczegółowe zasady przetwarzania danych w tych celach oraz wymagane środki bezpieczeństwa opisuje art. 89 RODO. Ostateczna treść zasady ograniczenia celu zostanie jeszcze dookreślona, gdyż przepisy RODO przewidują możliwość doregulowania kwestii dalszego przetwarzania danych przez prawo unijne lub prawo państw członkowskich.

kurs IOD

Działaj zgodnie z zasadami RODO. Zostań Super IOD!

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.

Sprawdź terminy:

Sprawdź

Zasada minimalizacji danych – porównanie

Poprzednio obowiązująca UODORODO
art. 26 ust. 1 pkt 3

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:(…)

merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;

art. 5 ust. 1 lit. c

Dane osobowe muszą być: (…)

  1. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

motyw 39 preambuły

(…) Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu (…).

 

Zgodnie z zasadą minimalizacji danych, zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych. Innymi słowy, każdy podmiot przetwarzający dane musi  dokonać selekcji danych i wybrać tylko taką ich ilość oraz rodzaj jakie są dla niego niezbędne. Treść tej zasady jest niemal identyczna, jak treść zasady adekwatności z UODO (https://blog-daneosobowe.pl/zgoda-przetwarzania-danych-zawsze-wystarcza/). Mimo tego podobieństwa, na gruncie RODO faktyczne znaczenie tej zasady istotnie wzrośnie.

Zasada minimalizacji danych została uznana za jedną z podstawowych wytycznych jakie administrator obowiązany będzie uwzględniać przy wdrażaniu procedur privacy by design (uwzględnianie ochrony danych w fazie projektowania nowych rozwiązań) oraz privacy by default (domyślnej ochrony danych osobowych). Obie te procedury – istotne novum na gruncie RODO, zostaną szczegółowo omówione w następnych artykułach naszego cyklu. Zasada minimalizacji danych stanowi także jeden z głównych warunków dopuszczających przetwarzanie danych na podstawie wspomnianego wcześniej art. 89 RODO tj. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Warto również podkreślić, że zgodnie z RODO, przetwarzanie danych powinno być organiczne wyłącznie do tych sytuacji, gdy określony cel przetwarzania nie może być osiągnięty innymi środkami (fragment motywu 39 preambuły oznaczony boldem w tabeli powyżej).

Przykładowo, jeśli chcemy dokonać analizy zachowań klientów sklepu internetowego w celu lepszego dostosowania oferty produktów lub usług czy też stworzyć statystyki sprzedaży, należy rozważyć czy osiągnięcie tego celu będzie możliwe bez przetwarzania danych osobowych klientów.

W wielu przypadkach może się okazać, że takie analizy można skutecznie wykonywać bez dostępu do danych identyfikujących określone osoby (np. imię, nazwisko, adres zamieszkania), lecz w oparciu o informacje takie jak np. płeć, miejscowość, średni rachunek czy częstotliwość zakupów. Jeśli więc okaże się, że cel określonego działania będzie możliwy do osiągnięcia bez przetwarzania danych osobowych to, aby zachować zgodność z zasadą minimalizacji należy wybrać właśnie takie rozwiązanie.

klauzule informacyjne

Klauzule informacyjne oraz klauzule zgód

Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.

Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.

Sprawdź

Zasada prawidłowości danych – porównanie

Poprzednio obowiązująca UODORODO
art. 26 ust. 1 pkt 3

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: (…)

merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;

art. 5 ust. 1 lit. d

Dane osobowe muszą być: (…)

  1. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

 

motyw 39 preambuły

(…) Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe (…).

Zasada prawidłowości danych jest kolejną zasadą, która miała swój odpowiednik na gruncie przepisów poprzednio obowiązującej UODO. Przestrzeganie  zasady prawidłowości danych sprowadza się do tego, aby stworzone zostały odpowiednie rozwiązania techniczne oraz organizacyjne umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych.

Zasada ograniczenia przechowania danych – porównanie

 

Poprzednio obowiązująca UODORODO
art. 26 ust. 1 pkt 4

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:(…)

przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

art. 5 ust. 1 lit. e

Dane osobowe muszą być: (….)

  1. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

motyw 39 preambuły

(…) Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu (…).

Zasada ograniczenia przechowania danych – ściśle związana z opisaną wyżej zasadą minimalizmu, sprowadza się do tego, aby okres przetwarzania danych był ograniczony do czasu jaki jest niezbędny do tego, aby osiągnąć założony cel przetwarzania danych. Podobnie jak przy zasadzie ograniczenia celu przetwarzania danych przewidziany został wyjątek wynikający z art. 89 RODO. Oznacza to, że dane mogą być przetwarzane dłużej – tj. po osiągnięciu celu dla którego zostały zebrane, jednakże wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Warunkiem skorzystania z takiego wyjątku jest wdrożenie odpowiednich środków technicznych i organizacyjnych.

Głównym celem zasady ograniczenia przechowania danych jest ograniczenie do minimum czasu przechowania danych osobowych. Osiągniecie tego będzie możliwe poprzez wdrożenie odpowiednich procedur wyznaczających terminy przechowania danych (okresy retencji) lub procedur określających terminy okresowych przeglądów danych.

Zasada integralności i poufności – porównanie

Poprzednio obowiązująca UODORODO

BRAK

 

art. 5 ust. 1 lit. f

Dane osobowe muszą być: (….)

  1. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

 

motyw 39 preambuły

(…) Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Zasada integralności i poufności nie ma swojego odpowiednika w poprzednio obowiązującej UODO. Nie oznacza to jednak, że nie jest ona znana w polskim systemie prawa ochrony danych osobowych.

Odwoływały się do niej zapisy art. 36 ust. 1 UODO, który zobowiązuje administratora danych do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych m. in. przed ich przetwarzaniem z naruszeniem ustawy oraz zmiana, utratą, uszkodzeniem lub zniszczeniem. Pojęcie poufności i integralności danych od lat funkcjonuje także, na gruncie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W tym zakresie RODO nie wprowadza więc istotnej zmiany.

Realizacja zasady integralności i poufności danych będzie więc polegała na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. „Odpowiednie środki” będą zawsze pojęciem niedookreślonym. Najprawdopodobniej zostaną w pewnym zakresie doprecyzowane w drodze dobrych praktyk, które ma  wydać  regulator – Prezes Urzędu Ochrony Danych Osobowych (nazwa organu w nowej UODO) .

Zasada rozliczalności – porównanie

Poprzednio obowiązująca UODORODO

BRAK

art. 5 ust. 2

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Zasada rozliczalności, także nie została uregulowana w poprzednio obowiązującej UODO. Zasada  ma szczególny charakter, gdyż odnosi się… do wszystkich opisanych wyżej zasad przetwarzania danych osobowych.

Zgodnie z zasadą rozliczalności, administrator musi być w stanie wykazać, że podejmowane przez niego działania są zgodne z tymi zasadami.

Administrator będzie więc musiał wykazać, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Podsumowanie

Przepisy RODO nie wprowadzają rewolucyjnych zmian w zakresie ogólnych zasad przetwarzania danych. Zasady przetwarzania danych RODO mają swoje odpowiedniki w przepisach poprzednio obowiązującej Ustawy o ochronie danych osobowych.

Do istotnych zmian należy jednak zaliczyć przede wszystkim ogólne podniesienie rangi zasad w systemie ochrony danych osobowych

Nastąpiło to głównie poprzez wprowadzenie sankcji (administracyjne kary pieniężne) za nieprzestrzeganie zasad. Szczególnego znaczenia nabrały także zasady: minimalizacji oraz ograniczenia przechowania danych, które podkreślają przyjęty na gruncie RODO prymat ochrony danych osobowych.

Stopień zmian30%

Lista rzeczy do zrobienia


dokonaj przeglądu zbiorów danych z punktu widzenia: ilości oraz zakresu znajdujących się w nich danych, czasu ich przechowania, lokalizacji w których dane się znajdują,


zweryfikuj zapisy Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemami Informatycznymi w zakresie zgodności z zasadami,


opracuj procedury retencji dla poszczególnych kategorii danych.

Przepisy prawa użyte w artykule

Art. 5 ust. 1 lit. a

Art. 5 ust. 1 lit. b

Art. 5 ust. 1 lit. c

Art. 5 ust. 1 lit. d

Art. 5 ust. 1 lit. e

Art. 5 ust. 1 lit. f

1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

1. Dane osobowe muszą być:
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

1. Dane osobowe muszą być:
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

1. Dane osobowe muszą być:
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

1. Dane osobowe muszą być:

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

1. Dane osobowe muszą być:
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Art. 83 ust. 5 lit. a

Art. 5 ust. 2

motyw 39

motyw 50

motyw 58

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

/gdlr_tab]

5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:
a) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;

Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych. Jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii lub prawo państwa członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie powinno być uznawane za zgodne z prawem i z pierwotnymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych powinny być uznawane za operacje przetwarzania zgodne z prawem i z pierwotnymi celami. Podstawa prawna przetwarzania danych osobowych przewidziana prawem Unii lub prawem państwa członkowskiego może być również podstawą prawną dalszego przetwarzania. Aby ustalić, czy cel dalszego przetwarzania danych osobowych jest zgodny z celem, w którym dane te zostały pierwotnie zebrane, administrator – po spełnieniu wszystkich wymogów warunkujących zgodność pierwotnego przetwarzania z prawem – powinien uwzględnić między innymi: wszelkie powiązania pomiędzy tymi celami a celami zamierzonego dalszego przetwarzania; kontekst, w którym dane osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych oparte na rodzaju ich powiązania z administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania. Jeżeli osoba, której dane dotyczą, wyraziła zgodę lub jeżeli przetwarzanie ma za podstawę prawo Unii lub prawo państwa członkowskiego stanowiące w demokratycznym społeczeństwie niezbędny i proporcjonalny środek, który zapewnia w szczególności realizację ważnych celów leżących w ogólnym interesie publicznym, administrator powinien móc dokonać dalszego przetwarzania danych osobowych, bez względu na jego zgodność z pierwotnymi celami. W każdym przypadku należy zapewnić stosowanie zasad przewidzianych w niniejszym rozporządzeniu, w szczególności stosowanie zasady informowania osoby, której dane dotyczą, o tych innych celach oraz o jej prawach, w tym prawie do sprzeciwu. Wskazanie przez administratora ewentualnych czynów zabronionych czy zagrożeń dla bezpieczeństwa publicznego oraz przesłanie w indywidualnym przypadku – lub w różnych przypadkach związanych z tym samym czynem zabronionym lub zagrożeniem dla bezpieczeństwa publicznego – odpowiednich danych osobowych właściwemu organowi należy uznać za zrealizowanie przez administratora prawnie uzasadnionego interesu. Jednak takie przesłanie w prawnie uzasadnionym interesie administratora lub dalsze przetwarzanie danych osobowych powinno być zabronione, jeżeli jest niezgodne z prawnym, zawodowym lub innym wiążącym obowiązkiem zachowania tajemnicy.

Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to w szczególności sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w internecie. Zważywszy że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

motyw 60

motyw 61

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Jeżeli dane osobowe można zgodnie z prawem ujawnić innemu odbiorcy, należy poinformować o tym osobę, której dane dotyczą, w momencie pierwszorazowego ujawnienia danych temu odbiorcy. Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny.

 

Źródła:

 

 

Powiązane artykuły

rodo faq
Szkolenia RODO – jak skutecznie budować świadomość ochrony danych osobowych?
Jak zarejestrować IOD? Czyli wypełnianie e-formularza zawiadomienia UODO krok-po-kroku
rodo faq
Jak długo przechowywać dane osobowe w rejestrach RODO? #RODOFAQ

8 Odpowiedzi

  1. Ewa

    Dzień dobry,

    uważam Państwa artykuły za bardzo przydatne i pomocne, jeśli chodzi o sygnalizowanie najważniejszych kwestii związanych z RODO, przydałaby się jednak możliwość łatwego wydrukowania tych treści. Czy jest możliwe dodanie opcji do wydruku albo pobrania pliku w formacie pdf?

    Pozdrawiam serdecznie

    1. Kancelaria Lex Artist

      Bardzo dziękujemy za cenne uwagi! Taką możliwość dodamy już w przyszłym tygodniu. Na początku tylko dla artykułów o RODO, a z czasem dla wszystkich pozostałych. Pozdrawiamy również serdecznie 🙂

    1. Kancelaria Lex Artist

      Administrator danych, zgodnie z RODO, jest obligowany do podjęcia rozsądnych działań, aby dane były aktualne. To oznacza np. stworzenie możliwości łatwego aktualizowania swoich danych przez osobę, której dane dotyczą, ale także bieżące ich aktualizowanie, jeśli administrator danych poweźmie informację, że dane osobowe poszczególnej osoby mogły się zmienić (np. doręczamy paczkę na inny adres niż został pierwotnie podany przy rejestracji w sklepie internetowym). Pozdrawiamy!

  2. Justyna

    Dzień dobry, proszę o pomoc w interpretacji jak długo można przechowywać dane klientów toru kartingowego, gdzie podstawą przetwarzania jest akceptacja regulaminu, który określa umowę użyczenia gokarta? Nowy klient po akceptacji regulaminu i opłaceniu jazdy, otrzymuje kartę klienta, która identyfikuje go przy następnych wizytach. Czy okres przechowywania takich danych da się jednoznacznie określić czy trzeba przyjąć jakiś rozsądny, np. dezaktywacja konta w przypadku braku aktywności użytkownika przez okres np. 6mcy? Czy tutaj jakiś przepis prawa narzuca termin usunięcia? Serdecznie dziękuję za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. Wątpimy, aby w tym konkretnym przypadku przepisy narzucały jakieś terminy. Proponowany przez Panią termin wydaje się być w porządku. Można jednak dodać zastrzeżenie, iż po okres 6 miesięcy dane będą przechowywane do czasu przedawnienia ewentualnych roszczeń związanych z umową użyczenia. Pozdrawiamy!

  3. Lid

    Dzień dobry. Proszę o podpowiedź w kontekście Art 5 i 13 czy w okresach retencji klauzul informacyjnej powinnam poza celami procesu wskazać także cel archiwalny z okresem retencji np. 50 lat. Bo de facto w tym terminie pozbede się danych, a wynika to z ustawy o zasobie archiwalnym? Czy pomijam ten cel i wskazuje np. termin 3 letni jako przedawnienie roszczeń?

    1. Lex Artist

      Dzień dobry :-), w naszej ocenie należy dodatkowo napisać że dane będą przechowywane przez okres, w którym przepisy prawa nakazują ich przechowanie. Pozdrawiamy

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO