Każde przetwarzanie danych osobowych prowadzone przez administratora lub podmiot przetwarzający musi być zorganizowane i prowadzone w taki sposób, by było zgodne z zasadami przetwarzania. Przetwarzanie danych osobowych niezgodnie z zasadami przetwarzania stanowi naruszenie RODO i może skutkować odpowiedzialnością prawną.
Kluczowym pojęciem w procesie przetwarzania danych jest cel przetwarzania, który powinien być wyraźny i jasno określony oraz skorelowany z jedną z podstaw przetwarzania wskazanych w RODO.
Cel przetwarzania danych jest kluczowy do określenia innych istotnych parametrów przetwarzania, takich jak zakres czy okres przetwarzania.
Wskazane jest, by administrator tak organizował swoją działalność oraz projektował procesy przetwarzania danych, by mógł wykazać, że przestrzegane są zasady przetwarzania danych. W tym celu powinien np. dokumentować poszczególne czynności, takie jak np. analiza ryzyka.
Jakie są praktyczne implikacje zasad przetwarzania danych osobowych?
Zasady przetwarzania danych osobowych wskazane w art. 5 RODO wyznaczają podstawowe ramy każdego przetwarzania danych osobowych, które objęte jest zakresem zastosowania RODO.
Każde przetwarzanie danych osobowych prowadzone przez administratora lub podmiot przetwarzający musi być zorganizowane i prowadzone w taki sposób, by było zgodne z zasadami przetwarzania. Przetwarzanie danych osobowych niezgodnie z zasadami przetwarzania stanowi naruszenie RODO i może skutkować odpowiedzialnością prawną.
Z praktycznego punktu widzenia wskazane jest, by przed wdrożeniem lub wprowadzeniem nowego procesu przetwarzania danych, w celu zminimalizowania ryzyka niezgodności z RODO, administrator wstępnie ocenił taki proces pod kątem zgodności z zasadami przetwarzania, traktując katalog zasad wskazany w art. 5 RODO jako swego rodzaju „checklistę” przestrzegania RODO.
Poniżej przedstawiamy ogólne wskazówki pomocne przy ocenie, jakie warunki powinny być spełnione, by móc twierdzić, że dany proces przetwarzania jest zgodny z zasadami przetwarzania przewidzianymi w art. 5 RODO.
Kiedy przetwarzanie danych jest zgodne z prawem?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest zgodne z prawem, takie przetwarzanie danych powinno być dokonywane:
w oparciu o jedną z podstaw przetwarzania wskazaną w art. 6, art. 9 (w przypadku danych szczególnych kategorii, np. o zdrowiu) lub art. 10 w przypadku danych dotyczących odpowiedzialności karnej oraz
zgodnie z wymogami związanymi z daną podstawą przetwarzania, w szczególności w sposób wskazany w przepisach prawa, jeśli przetwarzanie danych dokonywane jest w oparciu o przepisy prawa.
Więcej informacji na temat poszczególnych podstaw przetwarzania danych znajduje się w komentarzach do art. 6, art. 9 i art. 10.
Kiedy przetwarzanie danych jest prowadzone przejrzyście?
Zasada przejrzystości przetwarzania znajduje rozwinięcie w art. 13 i art. 14 RODO. Jej istotą jest spoczywający na administratorze danych obowiązek zapewnienia, by osoby, których dane osobowe przetwarza, zdawały sobie sprawę z faktu tego przetwarzania, jego głównych cech oraz praw, jakimi dysponują w związku z tym przetwarzaniem.
Aby móc twierdzić, że dane przetwarzanie danych osobowych realizowane jest przejrzyście, administrator danych powinien zapewnić, by wszystkie osoby, których dane osobowe przetwarza, miały zapewniony dostęp do informacji o przetwarzaniu danych osobowych w zakresie, w momencie oraz w sposób, który jest zgodny z wymogami zawartymi w art. 13 lub art. 14 RODO.
Więcej informacji na temat informowania o przetwarzaniu danych osobowych znajduje się w komentarzach do art. 13 i art. 14.
Kiedy spełniona jest zasada „ograniczenia celu”?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „ograniczenia celu”, podmiot prowadzący takie przetwarzanie musi:
zdefiniować konkretny i wyraźny cel danego przetwarzania danych w korelacji z jedną z podstaw przetwarzania danych, o których mowa w art. 6, art. 9 lub art. 10 RODO,
zapewnić, że dane osobowe przetwarzane w ramach danego procesu będą przetwarzane rzeczywiście jedynie w określonym celu przetwarzania oraz nie będą przetwarzane w innych celach, chyba że zaistnieją ku temu odrębne podstawy.
Innymi słowy, każde przetwarzanie danych osobowych regulowane RODO, aby było legalne, musi być prowadzone w wyraźnym i zdefiniowanym celu. Taki zdefiniowany cel przetwarzania danych jest kluczowy dla weryfikacji podstawy przetwarzania, a także będzie miał kluczowe znaczenie dla organizacji procesu przetwarzania, co wynika z innych zasad przetwarzania, o których mowa poniżej.
Kiedy spełniona jest zasada „minimalizacji danych”?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „ograniczenia celu”, podmiot prowadzący takie przetwarzanie musi zapewnić, by zakres danych przetwarzanych w ramach danego procesu obejmował tylko dane niezbędne z punktu widzenia celów ich przetwarzania w procesie.
Wskazane jest, by „niezbędność” rozumieć możliwie wąsko, tzn. by w ramach danego procesu przetwarzane były jedynie takie dane, bez których przetwarzania, obiektywnie oceniając, nie jest możliwe osiągnięcie celów przetwarzania. Administratorzy, co do zasady, powinni wystrzegać się zbierania i przetwarzania danych osobowych, które „mogą im się przydać” lub „na wszelki wypadek”.
Kiedy spełniona jest zasada „prawidłowości” przetwarzania?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „prawidłowości”, podmiot prowadzący takie przetwarzanie musi zapewnić wdrożenie takich rozwiązań, by dane osobowe przetwarzane w ramach danego procesu były prawidłowe przez cały okres ich przetwarzania.
W celu realizacji tej zasady administrator powinien szczególnie zwrócić uwagę na:
wdrożenie mechanizmów zapewniających zbieranie prawidłowych danych, np. poprzez wprowadzenie automatycznych rozwiązań minimalizujących ryzyko zebrania nieprawidłowych danych od podmiotu danych (np. uniemożliwiających zapisanie w formularzu kontaktowym numeru telefonu z nieprawidłową liczbą cyfr lub adresu email bez wskazania domeny albo weryfikujących prawidłowość adresu email poprzez wysłanie kontrolnej wiadomości),
wdrożenie mechanizmów umożliwiających łatwą aktualizację danych w trakcie ich przetwarzania zarówno z inicjatywy administratora (kiedy zidentyfikuje ich nieaktualność), jak i na wniosek podmiotu danych,
wdrożenie mechanizmów zapewniających, że zmienione dane będą odpowiednio zaktualizowane we wszystkich zbiorach danych administratora, gdzie powinno mieć to miejsce.
Realizacja zasady „prawidłowości” przetwarzania następuje również poprzez realizację obowiązków wynikających z przyznanego podmiotom danych prawa do sprostowania ich danych. Więcej informacji o tym prawie znajduje się w komentarzu do art. 16 RODO.
Kiedy spełniona jest zasada „ograniczenia przechowywania”?
Zasada „ograniczenia przechowywania” wyznacza dozwolony okres retencji danych osobowych.
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „ograniczenia przechowywania”, podmiot prowadzący takie przetwarzanie musi zapewnić, by dane osobowe przetwarzane w określonym celu były przetwarzane i przechowywane przez niego jedynie tak długo, jak jest to niezbędne z punktu widzenia realizacji celów przetwarzania.
Podobnie jak w przypadku zasady „minimalizacji danych” wskazane jest, by „niezbędność” rozumieć możliwie wąsko, tzn. by w ramach danego procesu dane były przetwarzane jedynie przez taki okres, w którym, obiektywnie oceniając, muszą być przetwarzane, by osiągnięcie celów przetwarzania było możliwe (innymi słowy, bez ich przetwarzania w danym okresie cel przetwarzania nie będzie osiągnięty).
Wskazane jest, by administratorzy danych wyznaczali okres retencji danych dostosowany do indywidualnych celów i procesów przetwarzania oraz, z uwagi na zasadę „rozliczalności”, udokumentowali (wraz z uzasadnieniem) przyjęte okresy retencji, np. w ramach wewnętrznej polityki retencji danych.
Kiedy spełniona jest zasada „integralności i poufności”?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „integralności i poufności”, podmiot prowadzący takie przetwarzanie musi zapewnić, by dane osobowe były odpowiednio chronione. Zasada ta znajduje rozwinięcie przede wszystkim w art. 32 RODO, w którym zawarte są m.in. bardziej wyraźne dyrektywy sposobu wyznaczenia odpowiednich środków ochrony danych. Więcej informacji w tym zakresie znajduje się w komentarzu do art. 32.
Kiedy spełniona jest zasada „rozliczalności”?
Istotą zasady „rozliczalności” jest nałożony na administratora danych obowiązek zapewnienia możliwości wykazania, że przestrzega on zasad przetwarzania danych.
W praktyce oznacza to, że administrator powinien w taki sposób zorganizować procesy przetwarzania, by – np. w wypadku kontroli organu nadzorczego – móc przedstawić dowody na przestrzeganie przez niego obowiązków wynikających z art. 5 ust. 1 RODO. Co istotne, brak możliwości wykazania przestrzegania obowiązków wynikających z art. 5 ust. 1 RODO sam w sobie może być uznany za naruszenie RODO, nawet jeśli nie doszło jednocześnie do naruszeń innych przepisów RODO.
RODO nie precyzuje, w jaki sposób administrator powinien zapewnić możliwość wykazania przestrzegania zasad przetwarzania danych. Sposób ten będzie różny w zależności od rodzaju obowiązku. Przykładowo przestrzeganie zasady integralności i poufności może być wykazane poprzez sporządzenie i udokumentowanie analizy ryzyka, która będzie podstawą do określenia środków ochrony danych, o których mowa w art. 32 RODO (szerzej na ten temat w komentarzu do art. 32 RODO) oraz następnie poprzez udokumentowanie wdrożenia odpowiednich środków.
Wskazane jest, by administrator organizował swoją działalność oraz projektował procesy przetwarzania danych z uwzględnieniem konieczności zapewniania możliwości wykazania przestrzegania zasad przetwarzania danych.
Komentarz do art. 5
Zasady dotyczące przetwarzania danych osobowych
Jakie są praktyczne implikacje zasad przetwarzania danych osobowych?
Zasady przetwarzania danych osobowych wskazane w art. 5 RODO wyznaczają podstawowe ramy każdego przetwarzania danych osobowych, które objęte jest zakresem zastosowania RODO.
Każde przetwarzanie danych osobowych prowadzone przez administratora lub podmiot przetwarzający musi być zorganizowane i prowadzone w taki sposób, by było zgodne z zasadami przetwarzania. Przetwarzanie danych osobowych niezgodnie z zasadami przetwarzania stanowi naruszenie RODO i może skutkować odpowiedzialnością prawną.
Z praktycznego punktu widzenia wskazane jest, by przed wdrożeniem lub wprowadzeniem nowego procesu przetwarzania danych, w celu zminimalizowania ryzyka niezgodności z RODO, administrator wstępnie ocenił taki proces pod kątem zgodności z zasadami przetwarzania, traktując katalog zasad wskazany w art. 5 RODO jako swego rodzaju „checklistę” przestrzegania RODO.
Poniżej przedstawiamy ogólne wskazówki pomocne przy ocenie, jakie warunki powinny być spełnione, by móc twierdzić, że dany proces przetwarzania jest zgodny z zasadami przetwarzania przewidzianymi w art. 5 RODO.
Kiedy przetwarzanie danych jest zgodne z prawem?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest zgodne z prawem, takie przetwarzanie danych powinno być dokonywane:
Więcej informacji na temat poszczególnych podstaw przetwarzania danych znajduje się w komentarzach do art. 6, art. 9 i art. 10.
Kiedy przetwarzanie danych jest prowadzone przejrzyście?
Zasada przejrzystości przetwarzania znajduje rozwinięcie w art. 13 i art. 14 RODO. Jej istotą jest spoczywający na administratorze danych obowiązek zapewnienia, by osoby, których dane osobowe przetwarza, zdawały sobie sprawę z faktu tego przetwarzania, jego głównych cech oraz praw, jakimi dysponują w związku z tym przetwarzaniem.
Aby móc twierdzić, że dane przetwarzanie danych osobowych realizowane jest przejrzyście, administrator danych powinien zapewnić, by wszystkie osoby, których dane osobowe przetwarza, miały zapewniony dostęp do informacji o przetwarzaniu danych osobowych w zakresie, w momencie oraz w sposób, który jest zgodny z wymogami zawartymi w art. 13 lub art. 14 RODO.
Więcej informacji na temat informowania o przetwarzaniu danych osobowych znajduje się w komentarzach do art. 13 i art. 14.
Kiedy spełniona jest zasada „ograniczenia celu”?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „ograniczenia celu”, podmiot prowadzący takie przetwarzanie musi:
Innymi słowy, każde przetwarzanie danych osobowych regulowane RODO, aby było legalne, musi być prowadzone w wyraźnym i zdefiniowanym celu. Taki zdefiniowany cel przetwarzania danych jest kluczowy dla weryfikacji podstawy przetwarzania, a także będzie miał kluczowe znaczenie dla organizacji procesu przetwarzania, co wynika z innych zasad przetwarzania, o których mowa poniżej.
Kiedy spełniona jest zasada „minimalizacji danych”?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „ograniczenia celu”, podmiot prowadzący takie przetwarzanie musi zapewnić, by zakres danych przetwarzanych w ramach danego procesu obejmował tylko dane niezbędne z punktu widzenia celów ich przetwarzania w procesie.
Wskazane jest, by „niezbędność” rozumieć możliwie wąsko, tzn. by w ramach danego procesu przetwarzane były jedynie takie dane, bez których przetwarzania, obiektywnie oceniając, nie jest możliwe osiągnięcie celów przetwarzania. Administratorzy, co do zasady, powinni wystrzegać się zbierania i przetwarzania danych osobowych, które „mogą im się przydać” lub „na wszelki wypadek”.
Kiedy spełniona jest zasada „prawidłowości” przetwarzania?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „prawidłowości”, podmiot prowadzący takie przetwarzanie musi zapewnić wdrożenie takich rozwiązań, by dane osobowe przetwarzane w ramach danego procesu były prawidłowe przez cały okres ich przetwarzania.
W celu realizacji tej zasady administrator powinien szczególnie zwrócić uwagę na:
Realizacja zasady „prawidłowości” przetwarzania następuje również poprzez realizację obowiązków wynikających z przyznanego podmiotom danych prawa do sprostowania ich danych. Więcej informacji o tym prawie znajduje się w komentarzu do art. 16 RODO.
Kiedy spełniona jest zasada „ograniczenia przechowywania”?
Zasada „ograniczenia przechowywania” wyznacza dozwolony okres retencji danych osobowych.
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „ograniczenia przechowywania”, podmiot prowadzący takie przetwarzanie musi zapewnić, by dane osobowe przetwarzane w określonym celu były przetwarzane i przechowywane przez niego jedynie tak długo, jak jest to niezbędne z punktu widzenia realizacji celów przetwarzania.
Podobnie jak w przypadku zasady „minimalizacji danych” wskazane jest, by „niezbędność” rozumieć możliwie wąsko, tzn. by w ramach danego procesu dane były przetwarzane jedynie przez taki okres, w którym, obiektywnie oceniając, muszą być przetwarzane, by osiągnięcie celów przetwarzania było możliwe (innymi słowy, bez ich przetwarzania w danym okresie cel przetwarzania nie będzie osiągnięty).
Wskazane jest, by administratorzy danych wyznaczali okres retencji danych dostosowany do indywidualnych celów i procesów przetwarzania oraz, z uwagi na zasadę „rozliczalności”, udokumentowali (wraz z uzasadnieniem) przyjęte okresy retencji, np. w ramach wewnętrznej polityki retencji danych.
Kiedy spełniona jest zasada „integralności i poufności”?
Aby móc twierdzić, że dane przetwarzanie danych osobowych jest prowadzone zgodnie z zasadą „integralności i poufności”, podmiot prowadzący takie przetwarzanie musi zapewnić, by dane osobowe były odpowiednio chronione. Zasada ta znajduje rozwinięcie przede wszystkim w art. 32 RODO, w którym zawarte są m.in. bardziej wyraźne dyrektywy sposobu wyznaczenia odpowiednich środków ochrony danych. Więcej informacji w tym zakresie znajduje się w komentarzu do art. 32.
Kiedy spełniona jest zasada „rozliczalności”?
Istotą zasady „rozliczalności” jest nałożony na administratora danych obowiązek zapewnienia możliwości wykazania, że przestrzega on zasad przetwarzania danych.
W praktyce oznacza to, że administrator powinien w taki sposób zorganizować procesy przetwarzania, by – np. w wypadku kontroli organu nadzorczego – móc przedstawić dowody na przestrzeganie przez niego obowiązków wynikających z art. 5 ust. 1 RODO. Co istotne, brak możliwości wykazania przestrzegania obowiązków wynikających z art. 5 ust. 1 RODO sam w sobie może być uznany za naruszenie RODO, nawet jeśli nie doszło jednocześnie do naruszeń innych przepisów RODO.
RODO nie precyzuje, w jaki sposób administrator powinien zapewnić możliwość wykazania przestrzegania zasad przetwarzania danych. Sposób ten będzie różny w zależności od rodzaju obowiązku. Przykładowo przestrzeganie zasady integralności i poufności może być wykazane poprzez sporządzenie i udokumentowanie analizy ryzyka, która będzie podstawą do określenia środków ochrony danych, o których mowa w art. 32 RODO (szerzej na ten temat w komentarzu do art. 32 RODO) oraz następnie poprzez udokumentowanie wdrożenia odpowiednich środków.
Wskazane jest, by administrator organizował swoją działalność oraz projektował procesy przetwarzania danych z uwzględnieniem konieczności zapewniania możliwości wykazania przestrzegania zasad przetwarzania danych.