Aby zrozumieć zmiany wprowadzone przez RODO do praktyki przetwarzania danych osobowych, warto najpierw zapoznać się z głównymi zasadami odnośnie przetwarzania danych. Bez ich właściwego zrozumienia nie możliwa jest prawidłowa działalność w tym zakresie, a więc i zachowanie odpowiedniego stopnia zgodności z obowiązującym prawem. To z kolei może skutkować nie tylko nieprzyjemnościami w czasie kontroli ze strony organu nadzorczego, ale i bolesnymi karami finansowymi. 

Zasady zawarte w RODO stanowią podstawę prawidłowego przetwarzania danych osobowych. Centralnym punktem Rozporządzenia gdzie sformułowano ich katalog jest ustęp 1 artykułu 5 RODO. W sześciu punktach zawarto osiem zasad dotyczących prawidłowego przetwarzania. Przyjrzymy im się więc bliżej.

Zasada legalności, rzetelności i przejrzystości

Zasada legalności oznacza, że przetwarzanie danych osobowych może odbywać się wyłącznie gdy istnieje do tego podstawa prawna. W związku z tym, przetwarzając dane osobowe musimy być w stanie powołać się na stosowany akt stanowiący podstawę do tegoż przetwarzania (przykładowo może to być zgoda osoby, której dane dotyczą, bądź ustawa, która pozwala nam na takie działanie).

Ponadto legalność przetwarzania odnosi się do uczynienia za dość także innym przepisom RODO (przykładowo: jeśli nie ustalimy jakie środki bezpieczeństwa winniśmy zastosować bądź ich nie zastosujemy, to również naruszamy zasadę legalności).

Rzetelność odnosi się głównie do relacji z podmiotami danych i – przedstawiając rzecz najprościej – oznacza bycie uczciwym i lojalnym w stosunku do nich (naszych klientów, kontrahentów i innych osób fizycznych, których dane przetwarzamy).

Z kolei zasada przejrzystości nakazuje maksymalne uproszczenie języka i formy przekazu informacji osobom, których dane są albo mają być przetwarzane (świetnym przykładem jest tutaj uproszczenie i stworzenie przejrzystego i jednoznacznego oświadczenie o zezwoleniu na przetwarzanie danych osobowych).

Zasada celowości

Zasada ta ogranicza przetwarzanie przez nas danych jedynie do takiego celu do jakiego zostały zebrane.

Praktyczną implikacją tej zasady dla administratora jest to, że nie może on pominąć lub zataić żadnego z celów, do których ma zamiar wykorzystywać dane osobowe.

Niezgodne z tą zasadą (a więc i z prawem) będzie nie tylko wykorzystanie zebranych danych do celu innego niż ten zadeklarowany, ale także niejasne lub nieprecyzyjne określenie ujawnionych celów.

Zasada celowości wiąże się silnie z obowiązkiem informacyjnym, gdyż to w jego ramach powinniśmy poinformować podmiot danych o wspomnianych celach.

Minimalizacja danych

Minimalizacja danych oznacza adekwatność, zgodność i ograniczenie do konkretnego celu, w jakim odbywa się przetwarzanie danych. Innymi słowy przetwarzając dane osobowe w konkretnym celu powinniśmy podejmować jedynie niezbędne działania pozwalające nam osiągnąć cel dla jakiego dane przetwarzamy.

Administratora powinien zatem przetwarzać tylko takie rodzaju dane i tylko o takiej treści, które są niezbędne w kontekście celu, w jakim zostały zebrane.

Zgodnie z tą zasadą zbieranie danych „na zapas” – z myślą, że kiedyś mogą się przydać – jest zabronione.

Minimalizacja danych powinna skłaniać także administratorów do krytycznej oceny swojego zapotrzebowania na dane, co z oczywistych względów w praktyce okazuje się niełatwe.

Prawidłowość i aktualność

Podmiot gromadzący i przetwarzający dane winien dążyć do tego aby dane te był prawidłowe i aktualne (jeśli ich aktualność jest wymagana). Nieprawidłowe w świetle celów przetwarzania dane, powinny zostać bezzwłocznie uaktualnione bądź usunięte.

Zasada ta zmusza administratorów do wdrożenia procedur weryfikacji jakości posiadanych danych osobowych oraz opracowania procedur pozwalających na sprawną aktualizację posiadanych danych.

Ograniczenie przechowywania (ograniczenia czasowego)

Niedopuszczalne jest przechowywanie danych w takim formacie, który umożliwi identyfikację osoby, jeśli ta identyfikacja nie jest już konieczna.

Obowiązkiem administratora jest określenie z góry czasu retencji (okresu przechowywania) danych. Co więcej powinien on o planowanym czasie przechowywania danych poinformować osoby, których dane dotyczą.

Bezpieczeństwo danych

Przetwarzanie danych musi uwzględniać ich bezpieczeństwo. Podmiot odpowiadający za dane powinien zapewnić im ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem. Ochrona ta powinna również uwzględnić zagrożenie danych ich utratą, zniszczeniem lub uszkodzeniem. W tym celu koniczne jest wykorzystanie odpowiednich środków technicznych lub organizacyjnych – jak np. powołanie IOD, szyfrowanie plików z danymi, przechowywanie papierowych nośników w sejfie. (O różnych rodzajach środków służących do zabezpieczenia danych przeczytasz: tutaj, tutaj, tutaj  i tutaj.)

Bezpieczeństwo danych definiowane jest w RODO za pomocą trzech atrybutów: poufności, integralności i dostępności.

Zabezpieczenie danych powinno być odpowiednie do poziomu zagrożenia. Zatem aby mówić w ogóle o konkretnych środkach, czy rozwiązaniach musimy najpierw przeanalizować ryzyko. Prosty sposób na analizę ryzyka znajdziesz tutaj. 

Dodatkowa zasada – rozliczalność

Administrator danych musi być w stanie wykazać, że uczynił zadość powyższym zasadom. Można zatem powiedzieć, iż RODO jednoznacznie wskazuje administratora, jako podmiot szczególnie obciążony odpowiedzialnością, nie tylko za przestrzeganie przepisów Rozporządzenia, ale także za wykazanie, że rzeczywiście ich przestrzega.

Co więcej po stronie administratora leży wykazanie, że jego działania i stosowane metody są zgodne z RODO.

Zasada rozliczalności wskazuje też potrzebę prowadzenia odpowiedniej dokumentacji wewnętrznej, stanowiącej dowód na to, że administratora rzeczywiście robi to co powinien w sposób jaki powinien.