W kolejnych artykułach pod wspólną nazwą RODOwskaz znajdziecie Państwo najważniejsze informacje wyjaśniające zapisy ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Jako jedne z pierwszych zostaną omówione zapisy znajdujące się w Rozdziale II art. 5 RODO i dotyczące zasad przetwarzania danych osobowych.
Rozdział II (RODO)
Artykuł 5 Zasady dotyczące przetwarzania danych osobowych
Dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Przepis ust. 1 artykułu określa sześć ogólnych (podstawowych) zasad odnoszących się do sposobu przetwarzania danych. Prawodawca unijny wskazał w nim następujące zasady:
- legalności, rzetelności i przejrzystości – lit. a;
- celowości (ograniczenia celu) – lit. b;
- adekwatności (minimalizacji danych) – lit. c;
- merytorycznej poprawności (prawidłowości danych) – lit. d;
- ograniczenia czasowego (ograniczenia przechowywania) – lit. e;
- zabezpieczenia danych (integralności i poufności danych) – lit. f.
Zasady te powinny być spełnione łącznie, a administrator jest odpowiedzialny za ich przestrzeganie i powinien być w stanie wykazać ich przestrzeganie, o czym mowa w ust. 2 komentowanego artykułu.
Zasady ogólne przetwarzania danych odgrywają szczególną rolę wśród norm prawnych dotyczących ochrony danych. Zasady te nie są jedynie ideami, wartościami czy postulatami odczytywanymi z całokształtu przepisów o ochronie danych osobowych, a mają charakter normatywny – są wiążącymi normami prawa, wyznaczającymi określony sposób postępowania. Mają one szczególne znaczenie dla stosowania i interpretacji przepisów o ochronie danych osobowych. Z faktu uznania w akcie normatywnym określonych norm prawnych za zasady wywieść można wniosek, że prawodawca pragnął w ten sposób podkreślić ich znaczenie i uczynić z nich swoiste normy nadrzędne nad pozostałymi normami określonymi w tych przepisach. Nadrzędność zasad oznacza m.in. konieczność odczytywania norm zawartych w przepisach o ochronie danych w sposób zgodny z tymi zasadami
Większość z zasad ogólnych nie ma charakteru absolutnego i podlegać może ograniczeniom. Ograniczenia zasad powinny być jednak wyraźnie określone przepisami prawa i jako wyjątki nie mogą być one interpretowane rozszerzająco.
Pierwsza z zasad, określona w ust. 1 lit. a komentowanego artykułu, to zasada zgodności z prawem (legalności), rzetelności i przejrzystości przetwarzania. W istocie mamy tu do czynienia z kilkoma zasadami połączonymi w jedną grupę wymogów, odnoszących się do sposobu przetwarzania danych. W myśl tego przepisu dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zgodność z prawem, określana również mianem legalności przetwarzania danych, oznacza wymóg przestrzegania norm ustanowionych w przepisach prawa. Zasada zgodności przetwarzania danych z prawem ma szeroki zakres przedmiotowy, nie chodzi tu tylko o przepisy komentowanego rozporządzenia, ale także o przepisy zawarte w innych aktach normatywnych. Wymóg zgodności z prawem oznacza, że podmioty przetwarzające dane osobowe (administrator i inne wskazane przepisami podmioty) mają określone obowiązki, które powinny spełniać, a osoby, których dane dotyczą, mają zagwarantowane określone uprawnienia, które powinny być respektowane.
Wśród przepisów dotyczących przetwarzania danych szczególną rolę pełnią wymogi odnoszące się do zgodności przetwarzania z prawem (określane także jako tzw. podstawy dopuszczalności przetwarzania danych lub przesłanki legalności przetwarzania danych), określone w przepisach art. 6, 9 i 10 RODO. Przepisy te wskazują przypadki, gdy przetwarzanie danych jest prawnie dopuszczalne (ujmując to najprościej: kiedy można zgodnie z prawem przetwarzać dane osobowe).
Legalność przetwarzania danych odnosi się do przestrzegania zarówno przepisów prawa materialnego, jak i przepisów proceduralnych, obejmuje zgodność przetwarzania danych nie tylko z przepisami prawa unijnego, ale także z przepisami krajowymi rangi ustawowej, jak również z przepisami zawartymi w aktach wykonawczych.
Jednym z elementów wskazanej powyżej zasady jest wymóg rzetelności przetwarzania danych. Rzetelność odczytywana być może jako dokładność, staranność, należyte wypełnianie obowiązków, wydaje się jednak, że taka interpretacja nie oddaje istoty omawianego tu wymogu. Określenie „rzetelnie” jest tłumaczeniem angielskiego słowa „fair”, natomiast w niemieckiej wersji rozporządzenia 2016/679 użyto sformułowania „nach Treu und Glauben”, można zatem twierdzić, że wymóg rzetelności obejmuje postępowanie w sposób uczciwy i w dobrej wierze.
W kontekście zasady legalności i rzetelności przetwarzania może pojawić się wątpliwość, czy przepisy RODO zabraniają przetwarzania danych uzyskanych ze źródeł nielegalnych. Nowością, jaką w zakresie omawianej zasady wprowadza RODO, jest wymóg przejrzystości przetwarzania. Zgodnie z brzmieniem przepisu ust. 1 lit. a in fine komentowanego artykułu, dane osobowe powinny być przetwarzane „w sposób przejrzysty dla osoby, której dane dotyczą”. Oznacza to, że podmiot danych powinien być informowany o przetwarzaniu jego danych, powinien mieć także świadomość typowych konsekwencji, jakie z przetwarzaniem się wiążą.
W motywie 39 preambuły wyjaśniono, że „dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane”.
Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.
Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.
Konsekwencją wprowadzenia omawianego wymogu jest rozszerzenie obowiązków informacyjnych, określonych przepisami art. 12–15 RODO.
Wyjątkiem od wymogu przejrzystości jest przetwarzanie danych w sposób niejawny, nieinformowanie osób, których dane dotyczą, o przetwarzaniu danych. Tego rodzaju działania, jako wyjątki od zasady, powinny mieć wyraźną podstawę w przepisach prawa i nie mogą być interpretowane w sposób rozszerzający. (cdn)