Zasady RODO - nowe podejście do ochrony danych osobowych

W swym założeniu RODO ma na celu wzmocnienie podstawowych praw obywateli w epoce cyfrowej oraz ułatwienie przedsiębiorstwom i organizacjom działania na wspólnym rynku (gdyż gwarantuje jednolitą ochronę danych osobowych w Unii Europejskiej). RODO ma zastosowanie od 25 maja 2018 r. Nowe unijne przepisy o ochronie danych osobowych wpływają na krajowe przepisy w tym zakresie. Z uwagi na to w Polsce przyjęto nową ustawę o ochronie danych osobowych, która ma zapewnić skuteczne stosowanie przepisów rozporządzenia.

W ramach dostosowania przepisów dowyzwań XXI wieku – nowe przepisy są neutralne technologicznie. 

Podejście oparte na ryzyku

RODO nie zmienia istotnie podstaw prawnych lub zasad przetwarzania danych osobowych. Wprowadza jednak nowe przepisy, które zwiększają samodzielność, ale też odpowiedzialność administratorów danych. W praktyce oznacza to np., że obecne przepisywymagające zawiadamiania PUODO o przetwarzaniu danych osobowych (obowiązek zgłaszania zbiorów do rejestracji) przestają obowiązywać. W ich miejsce RODO wprowadza skuteczne procedury dotyczące tych operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Podejście oparte na ryzyku określa sposób,w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie to przetwarzanie może spowodować dla prywatności osób, których te dane dotyczą.

Zasada rozliczalności

Zupełnie nową zasadą wprowadzoną przez rozporządzenie jest zasada rozliczalności. Zgodnie z nią, aby spełnić wymogi rozporządzenia, każdy administrator danych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Rozporządzenie nie podaje jednak konkretnych przykładów najlepszych rozwiązań. Nie określa też minimalnych standardów technicznych zabezpieczenia danych (zachęca tylko do skorzystania z narzędzi pseudonimizacji, bądź też szyfrowania danych).

Przestaje także obowiązywać rozporządzenie MSWiA określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych.

Od 25 maja 2018 r. każdy administrator - biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych - musi samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć. Pomocne w podjęciu tych decyzji mogą być wskazane w RODO dokumenty, takie jak zatwierdzane przez GIODO tzw. kodeksy postępowania, a także mechanizm certyfikacji, wytyczne Europejskiej Rady Ochrony Danych lub sugestie inspektora ochrony danych. Ponadto źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy oraz zarządzania środkami bezpieczeństwa mogą być również np. normy ISO.

Zasada rozliczalności oznacza, iż administrator danych jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie.

Zgodnie z rozporządzeniem: „administrator jest odpowiedzialnyza przestrzeganie przepisów (…) i musi być w stanie wykazać ich przestrzeganie”. To ogólne zdanie przenosi ciężar zapewnienia zgodności przetwarzania danych z prawem na administratora. To administrator musi mieć pewność, iż przetwarzanie danych w jego przedsiębiorstwie czy organizacji jest zgodne z prawem, rzetelne i przejrzyste.

Z zasady rozliczalności wynika, że administrator ma obowiązek wykazania przestrzegania prawa (RODO). Oznacza to konieczność sporządzenia dokumentacji z wdrożenia instrumentów takich, jak: ocena skutków dla ochrony danych, wdrożenie zasady uwzględniania ochrony danych w fazie projektowania i zasady domyślnej ochrony danych oraz stosowanie zatwierdzonych kodeksów postępowania. Zasady te mają tworzyć solidne ramy ochrony praw i wolności osób, których dotyczą.

Zasada uwzględniania ochrony danych w fazie projektowania i zasada domyślnej ochrony danych

Ochrona prywatności powinna być brana pod uwagę i stosowana w praktyce przy prowadzeniu wszelkich projektów i działań, tak w sferze publicznej, jak też prywatnej. Oznacza to prawnie wiążący obowiązek uwzględnienia ochrony danych w fazie projektowania oraz zasadę domyślnej ochrony danych.

 Uwzględnianie ochrony danych w fazie projektowania zakłada, że ochrona prywatności powinna być wbudowana w każdy nowy projekt. Oznacza to, że prywatność będzie chroniona nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, ale jest wbudowana w jego konstrukcję od początku, jako składowa projektu.

Zasada domyślnej ochrony danych oznacza konieczność zapewnienia jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu czy platformy internetowej. Zabezpieczenia mają być ustawione domyślnie, czyli bez konieczności jakiegokolwiek działania osób, których dane dotyczą – i to w kluczowym dla użytkownika momencie przyłączenia się do danego systemu bądź wejścia na stronę internetową.

Domyślnie powinny być przetwarzane tylko te dane, które są niezbędne do osiągnięcia celu, dla którego zostały zebrane (minimalizacja danych).

Inne zasady przetwarzania danych

Przetwarzanie danych osobowych w świetle RODO podlega również następującym zasadom:

  • zgodności z prawem, rzetelności i przejrzystości - przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
  • minimalizacji danych - dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
  • ograniczeniu celu dane mogą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami;
  • ograniczonego przechowywania - dane mogą być przechowywane w formie umożliwiającej identyfikację osoby, którejdotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami);
  • integralności i poufności danych - dane osobowe muszą być przetwarzane w sposób, który zapewni odpowiednie bezpieczeństwo danych, w tym ochronę przednie dozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
  • prawidłowości danych - dane muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe,które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub poprawione;

 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika