RODO | 2 marca 2020

Zasady Ochrony Danych Osobowych, o których musisz pamiętać!

W 2017 roku dyrektor ds. badań w F-Secure Mikko Hypponen, z okazji Dnia Ochrony Danych Osobowych obchodzonego 28 stycznia, użył stwierdzenia, że dane to nowa ropa naftowa. Powiedział wprost: „Ropa naftowa przyniosła nam zarówno dobrobyt, jak i problemy. Tak samo będzie w przypadku danych”. (całe przemówienie można oglądnąć na stronie: https://www.youtube.com/watch?v=JAChQaySECY). Użyte określenie w sposób wymowny obrazuje, jaką wartość posiadają dzisiaj dane osobowe oraz informacje jako takie. Wiele osób ocenia je jako najcenniejsze dobro w XXI wieku. Jednakże z powszechnym i masowym przetwarzaniem danych osobowych wiąże się także spore ryzyko. Wobec tego ustawodawcy krajów rozwiniętych stoją na straży ochrony danych osobowych, która wywodzi się z szeroko pojętego prawa do prywatności.

Jeśli jesteś zainteresowany pomocą prawną i bezpłatną wyceną skontaktuj się z nami. Radca prawny Kraków

RODO a ochrona danych osobowych

Obecnie najczęściej kojarzonym z ochroną danych osobowych w Polsce jest akronim RODO oznaczający Rozporządzenie o Ochronie Danych Osobowych (w oryginale z ang.: General Data Protection Regulation — GPDR), będący unijnym rozporządzeniem, które w sposób kompleksowy ujednoliciło kwestie prawne związane z tym tematem w ramach UE. Rozporządzenie, w przeciwieństwie do dyrektywy, nie nakłada na kraje członkowskie obowiązku wdrożenia danych regulacji na szczeblu ustawowym, a stanowi prawo obowiązujące bezpośrednio w każdym z państw unijnym. Pomimo, że rozporządzenie jest obszernym dokumentem, wiele z jego zapisów ma charakter na tyle ogólny, by umożliwić dostosowanie jego zapisów do wielości sytuacji faktycznych, jakie mogą się pojawić w codziennym życiu. Przykładowo przepisy Rozporządzenia nie stanowią wprost, że serwis internetowy zobowiązany jest posiadać politykę prywatności lub że dane osobowe klientów sklepu internetowego powinny być zabezpieczone poprzez ich szyfrowanie kluczem 256-bitowym. Zamiast tego Rozporządzenie w sposób ogólny i elastyczny wskazuje zasady przyświecające ochronie danych, a przedsiębiorca internetowy po analizie swojej sytuacji zmuszony jest dobrać metody i środki ochrony przetwarzanych danych osobowych.

Należy pamiętać, że nawet samo przechowywanie danych osobowych stanowi ich przetwarzanie a do wdrożenia zasad wynikających z RODO zobowiązani są wszyscy, którzy przetwarzają dane w celach innych niż czysto osobiste lub domowe (np. prywatna książka telefoniczna). RODO dotyczy też podmiotów spoza Unii Europejskiej, jeśli przetwarzają dane jej obywateli.

Przeanalizujmy zatem po kolei główne zasady przetwarzania danych osobowych zawarte w RODO. Poznanie tych zasad ułatwia ocenę konkretnych sytuacji, z jakimi przedsiębiorca internetowy może się spotkać w codziennej pracy i pozwala dokonać wyboru, co do norm postępowania.

Zasada przejrzystości

Zasada ta wskazuje, że przedsiębiorca internetowy przetwarzający dane osobowe użytkowników czy klientów powinien być transparentny w temacie przetwarzania danych osobowych. Powinien on zatem informować o tym, w jaki sposób dane przetwarza, w jakim celu oraz w jasny, przystępny sposób informować o prawach, które mają osoby udostępniające swoje dane. Chodzi tutaj między innymi o prawo do usunięcia danych lub ich sprostowania oraz prawo do bycia zapomnianym.

Zasada rzetelności

Zasada dotyczy tego, aby informacje udzielane w temacie przetwarzania danych były w pełni zgodne ze stanem faktycznym i wyczerpujące.

Zasada legalności

Dane osobowe powinny być przetwarzanie w zgodzie z prawem (przede wszystkim z brzmieniem rozporządzenia), a ich przetwarzanie powinno być oparte o legalną podstawę prawną. Taką podstawą najczęściej będzie zgoda osoby, której dane będziemy przetwarzać.

W praktycznym ujęciu obowiązek ten najlepiej spełnić poprzez sporządzenie odpowiednio przejrzystej polityki prywatności. Pamiętajmy o użyciu zrozumiałego języka.

Zasada celowości

Z zasady tej wynika, że dane, które zabraliśmy w konkretnym celu, powinniśmy wykorzystać w tym celu. Nie możemy danych zebranych w celu prowadzenia systemu komentarzy na naszym portalu wykorzystać do prowadzenia newslettera. Powinniśmy również jasno określić cel zbierania danych osobowych już w momencie odbierania zgody na ich przetwarzanie. W praktyce pamiętajmy więc, że jeśli przykładowo prowadzimy sklep internetowy, to dane naszych klientów powinny być użyte tylko w niezbędnym zakresie do realizacji zamówienia i ewentualnych późniejszych roszczeń.

Zasada minimalizacji

W zasadzie tej chodzi o to, by przetwarzać tylko tyle danych osobowych, ile rzeczywiście potrzebujemy do realizacji naszego celu. Nie powinniśmy gromadzić większej ilości danych niż potrzebna w konkretnym celu. Dla przykładu – w sprzeczności z tą zasadą stały ostatnio niektóre tak zwane gminne „deklaracje śmieciowe”, czyli deklaracje o wysokości opłaty za gospodarowanie odpadami komunalnymi, w których obywatele składali gminie oświadczenie o ilości mieszkańców domu w celach obliczenia opłaty za wywóz odpadów. Treść tych deklaracji ustalana była przez same gminy. W niektórych z nich pojawiały się pytania o numer telefonu lub o PESEL. W sprawie wypowiedział się Generalny Inspektor Ochrony Danych Osobowych (wtedy jeszcze urząd funkcjonujący – obecnie zastąpił go Prezes Urzędu Ochrony Danych Osobowych), który podkreślił, że w deklaracji nie może znaleźć się pytanie o dane niewykazane wprost w ustawie o utrzymaniu czystości i porządku w gminach. Następnie wypowiedziało się Ministerstwo Środowiska, które opublikowało katalog pozycji, które powinien zawierać wzór deklaracji, katalog pozycji fakultatywnych oraz katalog takich, których gmina umieszczać nie może. Wspominając na marginesie – jeśli władze publiczne zbierają o obywatelu więcej informacji niż to potrzebne, stanowi to dodatkowo naruszenie art. 51 Konstytucji Rzeczypospolitej Polskiej.

W przypadku sklepu internetowego należy się zastanowić, jakich danych potrzebujemy od klienta do realizacji zamówienia i nie wymagać podania tych, które nie są do tego celu niezbędne. Sklepy internetowe pytają zazwyczaj o imię, nazwisko, adres, numer telefonu, e-mail. Nie pytają natomiast o numer rejestracyjny samochodu czy narodowość albo o nałogi. O te kwestie może zapytać natomiast hotel, który numer rejestracyjny samochodu wykorzystuje do zarządzania miejscem na parkingu a informację o paleniu papierosów wykorzystuje do przydzielenia odpowiedniego pokoju, narodowość może natomiast służyć do określenia języka, jakim posługuje się dana osoba.

Zasada prawidłowości

Z zasady tej wynika po prostu wymóg, by przetwarzane przez nas dane były aktualne i prawidłowe. To przedsiębiorca internetowy, jako administrator, musi o to zadbać. Oczywiście nie oznacza to konieczności regularnego monitorowania aktualności wszystkich danych osobowych, lecz w razie powzięcia informacji o tym, że czyjeś dane wymagają aktualizacji, należy dołożyć starań, by tego dokonać.

Zasada ograniczenia przechowywania

Zgodnie z tą zasadą, nie powinniśmy przetwarzać danych osobowych dłużej, niż jest to potrzebne do osiągnięcia celu, dla którego je przetwarzamy. Jeśli przetwarzamy dane w związku z prowadzeniem sklepu internetowego, to okres konieczności przetwarzania danych kupującego zakończy się wraz z okresem, w którym kupującemu przysługują jakieś roszczenia względem nas (gwarancja, rękojmia). W innym przypadku, gdy klient banku wypowie umowę prowadzenia konta, to w teorii bank już nie może przetwarzać jego danych, bo nie ma do tego uprawnienia. W praktyce jednak z licznymi umowami w parze idą zgody na przetwarzanie danych do celów marketingowych. Wtedy nasze dane będą przetwarzane na podstawie tej zgody tak długo, aż jej nie cofniemy.

Zasada bezpieczeństwa danych (integralności i poufności)

Na łamach tej zasady RODO wprowadziło większą dowolność niż poprzednio obowiązujące założenia ustawy o ochronie danych osobowych. Należy po prostu dobrze zabezpieczyć przetwarzane przez nas dane a sposób, w jaki to zrobimy, zależy od konkretnego przypadku. Dane przetwarzane są w tak różnych celach, że ciężko by było narzucić uniwersalne rozwiązania wszystkim administratorom. Jeżeli przechowujemy dane osobowe na dysku, zaleca się zadbać o szyfrowanie, jeśli przechowujemy je w formie papierowej, zaleca się ukrywać dane przed wzrokiem osób postronnych oraz zamknąć je na klucz w przypadku nieobecności osób upoważnionych.

Podsumowanie

Wyżej opisane zasady są ogólnymi wskazówkami pomagającymi ocenić daną sytuację. Nie wynika z tych zasad żaden bezpośredni nakaz sposobu, w który postulaty te mają zostać spełnione. Zasady te stanowią niejako ogólne normy postępowania i są konkretyzowane przez przepisy bardziej szczegółowe. O konkretnych założeniach

Rozporządzenia napiszemy w kolejnych artykułach.

Jeśli jesteś zainteresowany pomocą prawną i bezpłatną wyceną skontaktuj się z nami. Kancelaria prawna Kraków.