Zasady przetwarzania danych

rules

Wyrażone w art. 5 ust. 1 RODO zasady: legalności, minimalizacji danych, przejrzystości, ograniczenia celu, prawidłowości oraz ograniczenia czasowego przechowywania są kluczowe dla właściwego stosowania RODO. Widać to wyraźnie na przykładzie decyzji wydawanych przez Prezesa UODO, w których organ nadzorczy kładzie duży nacisk na interpretację szczegółowych przepisów rozporządzenia 2016/679 w kontekście powyższych zasad i także na nich opiera wydawane decyzje.

Znaczenie zasad w analizie ryzyka

Wymienione zasady są również istotne dla analizy ryzyka. Po określeniu czynności przetwarzania oraz tła oceny ryzyka, na które składa się m.in. charakter, zakres, kontekst i cele przetwarzania, administrator dysponuje wiedzą, jakie dane osobowe przetwarza albo planuje przetwarzać dla realizacji określonego celu. Jest to odpowiedni moment na sprawdzenie czy przetwarzanie nie naruszy zasad wyrażonych w art. 5 ust. 1 RODO. Jeżeli bowiem okaże się, że nie będą one spełnione, to dalsze prowadzenie analizy ryzyka nie będzie miało sensu. W takiej sytuacji ryzyko dla praw podmiotów danych będzie bowiem w każdym przypadku wysokie.

Zasada legalności

Zasada ta oznacza konieczność zachowania zgodności z wszystkimi wymogami przewidzianymi przez RODO. Natomiast z perspektywy analizy ryzyka kluczowym jej elementem staje się zweryfikowanie czy administrator dysponuje przesłanką legalizującą przetwarzanie przez niego danych osobowych dla realizacji założonego celu. Dlatego na tym etapie analizy ryzyka trzeba sprawdzić czy spełniona jest jedna z przesłanek wskazanych w art. 6 ust. 1 RODO, a jeżeli przetwarzane będą dane osobowe szczególnych kategorii, to weryfikację należy przeprowadzić przez pryzmat przesłanek wskazanych w art. 9 ust. 2 RODO. W przypadku z kolei planowania przez administratora wykorzystania zautomatyzowanego przetwarzania, o którym mowa w art. 22 ust. 1 RODO, spełniony musi być jeden z warunków określonych w art. 22 ust. 2 RODO.

Zasada minimalizacji danych

Zgodnie z tą zasadą zakres przetwarzanych danych osobowych musi być adekwatny, stosowny i ograniczony do tego co niezbędne dla osiągnięcia celu przetwarzania. Ustalając w ramach tła oceny ryzyka, kategorie danych osobowych, które są przetwarzane administrator musi zweryfikować, czy każda z nich spełnia powyższe wymogi.

Zasada przejrzystości

Wymaga ona od administratora, by m.in. realizował obowiązki informacyjne wynikające z art. 13 oraz 14 RODO. Informacje te muszą być przekazywane podmiotowi danych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Administrator powinien zatem upewnić się, czy spełnia ten kluczowy element zasady przejrzystości.

Zasada ograniczenia celu

Nakłada ona na administratora obowiązek, by dane osobowe były zbierane jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach. Z kolei oznaczenie celu determinuje wiele pozostałych elementów przetwarzania, jak zakres danych, które mogą być przetwarzane dla realizacji celu, a także czas przetwarzania. Prowadząc analizę ryzyka administrator musi więc zweryfikować, czy założony przez niego cel przetwarzania spełnia powyższą zasadę.

Zasada prawidłowości danych

Oznacza ona, że dane osobowe przez cały czas przetwarzania są prawidłowe i administrator podejmuje rozsądne działania dla osiągnięcia tego celu.

Zasada ograniczenia czasowego przetwarzania

Jest ona konsekwencją zasady ograniczenia celu i oznacza, że dane mogą być przetwarzane tak długo, jak jest to uzasadnione dla realizacji celu przetwarzania. Jeżeli zatem zostanie on zrealizowany, to dane osobowe powinny zostać usunięte. Dlatego administrator przystępując do analizy ryzyka powinien upewnić się czy dane osobowe nie są przetwarzane przez dłuższy czas niż uzasadniony celem przetwarzania.