Szukaj
Close this search box.

Zasady i fundamenty systemu ochrony danych osobowych zgodnie z RODO

Spis treści

Akty prawne o fundamentalnym znaczeniu dla danej dziedziny prawa (dla ochrony danych osobowych takim aktem jest rozporządzenie UE o ochronie danych osobowych – RODO) zawierają zazwyczaj zasady, zgodnie z którymi akty te mają być stosowane. Brzmienie zasad odzwierciedla intencje prawodawcy, determinuje kształt przepisów szczegółowych, a także pomaga w wydawaniu rozstrzygnięć. Podobne podstawy (fundamenty) powinien mieć system ochrony danych osobowych wdrożony w Twoim przedsiębiorstwie – siłą rzeczy będą one związane z zasadami RODO, lecz będą mieć bardziej techniczny i praktyczny charakter.

Seria artykułów o RODO:

  1. 5 rzeczy, o których musisz pamiętać wysyłając zgodny z prawem newsletter
  2. Polityka prywatności jako obowiązek informacyjny z RODO
  3. Zasady i fundamenty systemu ochrony danych osobowych zgodnie z RODO
  4. Inspektor Ochrony Danych pod RODO – kim jest i czy trzeba go wyznaczyć?
  5. Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe
  6. eBook: RODO w pigułce dla branży kreatywnej
  7. Zasady privacy by default i privacy by design – do czego zobowiązują?
  8. Kiedy i jak usuwać dane osobowe zgodnie z RODO? – poradnik
  9. Chatboty i RODO – wszystko, co musisz wiedzieć
  10. RODO dla fotografa – pytania i odpowiedzi
  11. Legalny newsletter krok po kroku | Kawka z prawnikiem #live nr 9
  12. RODO dla social media ninja | Kawka z prawnikiem #live nr 7
  13. Jakie dokumenty RODO powinieneś posiadać | Kawka z prawnikiem #live nr 4

Podsumowanie na start

Nie chcesz czytać całego artykułu? Zapoznaj się z naszym podsumowaniem poniżej:

 

  1. Do zasad przetwarzania danych osobowych wynikających z RODO należą:
    • zasada zgodności z prawem, rzetelności i przejrzystości;
    • zasada ograniczenia celu;
    • zasada minimalizacji danych;
    • zasada prawidłowości;
    • zasada czasowości;
    • zasada integralności i poufności;
    • zasada rozliczalności.
  2. Wewnętrzny system ochrony danych w Twoim przedsiębiorstwie powinien opierać się na następujących fundamentach:
    • podejście oparte na ryzyku;
    • poszanowanie praw osób fizycznych;
    • legalność;
    • bezpieczeństwo;
    • rozliczalność.

Zasady przetwarzania danych osobowych

Zasady przetwarzania danych osobowych, których musisz przestrzegać jako administrator, unijny prawodawca umieścił w art. 5. Są to:

  • zasada zgodności z prawem, rzetelności i przejrzystości;
  • zasada ograniczenia celu;
  • zasada minimalizacji danych;
  • zasada prawidłowości;
  • zasada czasowości;
  • zasada integralności i poufności;
  • zasada rozliczalności.

Zasada zgodności z prawem, rzetelności i przejrzystości, mimo iż zawarta w jednej jednostce redakcyjnej, stawia przetwarzaniu danych osobowych wymogi trojakiego rodzaju. Są one wprawdzie ze sobą powiązane, ale dla nakreślenia ich pełnego obrazu, konieczna jest osobna charakterystyka.

Przetwarzanie będzie zgodne z prawem, jeżeli będzie odbywało się w oparciu o wyraźną podstawę podstawę prawną (np. zgodę, konieczność wykonania umowy). Oznacza to, że nie tylko nie wolno Ci przetwarzać danych osobowych bez takiej podstawy, ale też “rozciągać” czy stosować na zasadzie podobieństwa (analogii) istniejących podstaw względem sytuacji niejednoznacznych. Musisz zatem zadbać, by w każdym przypadku podstawa przetwarzania została określona jednoznacznie, w sposób niebudzący wątpliwości.

Wymóg rzetelności jest nieco trudniejszy do określenia, lecz przyjmuje się, że oznacza obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Działanie rzetelne to działanie nie tylko zgodne z prawem, ale też spełniające kryteria prawidłowego działania przyjęte w społeczeństwie (np. nierzetelnie postępuje listonosz, który doręczając list polecony, od razu wrzuca do skrzynki awizo bez sprawdzania, czy adresat jest w domu). Można wyprowadzić z tego następującą wskazówkę – przetwarzaj dane osobowe tak, jak chciałbyś by były przetwarzane Twoje własne.

Przejrzystość przetwarzania posiada dwa aspekty:

  • formalny, polegający na wykonaniu obowiązku informacyjnego w wymaganym czasie (przed pobraniem danych osobowych) i formie. Jego zakres określa art. 13 RODO.
  • materialny, polegający na wykonaniu obowiązku informacyjnego w taki sposób, aby osoby, których dane przetwarzasz, rzeczywiście rozumiały istotne elementy i konsekwencje tych działań. Stosowne komunikaty formułuj zatem prostym językiem, biorąc pod uwagę specyfikę odbiorców (dzieci, osoby dorosłe, konsumentów, przedsiębiorców itp.), a także unikaj w miarę możliwości pojęć stricte prawniczych i technicznych.

Zasada ograniczenia celu oznacza, że dane osobowe możesz przetwarzać wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach, z czego wynika zakaz przetwarzania ich dalej w sposób niezgodny z tymi celami. Cel przetwarzania musisz wskazać najpóźniej w momencie ich pobierania, ponadto wskazanie to musi być maksymalnie precyzyjne, by wykluczona była jego “elastyczna” interpretacja

Zasada minimalizacji danychsprowadza się się do obowiązku przetwarzania jedynie takich danych, które są niezbędne dla realizacji celów przetwarzania. Nie wolno Ci zatem pobierać i dalej przetwarzać danych zbędnych, a także mogących przydać się dopiero w przyszłości.

Zasada prawidłowości stawia wymóg zgodności przetwarzanych danych ze stanem rzeczywistym i ich aktualizowania w razie potrzeby. Powinieneś zatem podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

Porozmawiaj z ekspertem

Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? Sprawdź, czy jestem w stanie Ci pomóc.

Napisz do mnie poprzez poniższy formularz i umów się na rozmowę.

Uzupełnij poniższy formularz, jeżeli np.:

  • masz pytania z zakresu o którym pisałem w tym artykule,
  • szukasz najlepszego rozwiązania dla swojego problemu,
  • chcesz wiedzieć, jak wygląda współpraca z nami, terminy oraz koszty.

Pierwszy kontakt jest bezpłatny i ma on na celu ustalenie zakresu potencjalnej naszej pomocy oraz Twoich pytań i wątpliwości.

Po przesłaniu formularza skontaktujemy się z Tobą w ciągu 24h w celu ustalenia dalszych szczegółów.


Przed wysłaniem wiadomości zapoznaj się z naszą Polityką prywatności.

Zasada czasowości, oznacza, że możesz przechowywać dane osobowe w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Po tym okresie, dane mogą być wprawdzie przechowywane nadal, ale wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (musisz wtedy wdrożyć środki techniczne i organizacyjne mające na celu ochronę praw i wolności osób, których dane dotyczą).

Zasada integralności i poufności nakłada obowiązek przetwarzania danych osobowych za pomocą takich środków technicznych i organizacyjnych, które zapewnią im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Wykluczona musi być też możliwość udostępnienia danych podmiotom nieuprawnionym.

Zasada rozliczalności wywodzi się z anglo-amerykańskiej tradycji prawnej. Oznacza ona z jednej strony wdrożenie środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych osobowych, z drugiej zaś odpowiedniego udokumentowania tych czynności w celu wskazania osobom, których dane dotyczą, oraz organom nadzorczym, jakie dokładnie środki podjęto. Musisz zatem nie tylko zapewnić przestrzeganie przepisów, ale też gromadzić tego dowody.

Fundamenty ochrony danych osobowych 

Tak jak RODO ma swoje zasady, tak Twój wewnętrzny system ochronydanych powinienmieć swoje fundamenty. Dzięki nim nie będzie on zlepkiem niezwiązanych ze sobą wskazówek, lecz zwartym organizmem, funkcjonującym wedle ustalonych schematów. Wśród nich powinno znaleźć się:

  • podejście oparte na ryzyku;
  • poszanowanie praw osób fizycznych;
  • legalność;
  • bezpieczeństwo;
  • rozliczalność.

Podejście oparte naryzyku, oznacza konieczność zidentyfikowania ryzyka towarzyszącego przetwarzaniu danych osobowych oraz możliwych skutków naruszeń dla praw i wolności osób fizycznych. W dynamicznie zmieniającej się rzeczywistości powinieneś na bieżąco analizować pojawiające się zagrożenia, a nawet w miarę możliwości przewidywać powstanie nowych. Tylko takie podejście uchroni Cię przed zaskoczeniem oraz pozwoli odpowiednio przygotować środki ochronne.

Poszanowanie praw osób fizycznych powinno być wpisane nie tylko w wewnętrzne regulacje, a także faktyczne postępowanie Twoje i osób działających w Twoim imieniu. Stosowane przez Ciebie procedury nie mogą uniemożliwiać lub utrudniać realizacji praw dotyczących danych osobowych (np. “prawa do bycia zapomnianym”), np. poprzez długą lub nadmiernie drobiazgową weryfikację zgłoszonych żądań.

Legalność oznacza, że wszystkie operacje związane z danymi osobowymi muszą być przeprowadzane przy zachowaniu pełnej zgodności z obowiązującym prawem (niedopuszczalne jest zatem “naginanie” prawa, czy działanie na jego granicy). Musisz wystrzegać się wszelkich działań, które sprawiają choćby pozór bezprawności

Bezpieczeństwo to podstawa każdego systemu ochrony danych osobowych. Budując go, powinieneś wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Pomocne w tym obszarzesą normy ISO, a także wskazania Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Rozliczalność jako fundament jest tożsama z rozliczalnością jako zasadą. W praktyce głównym jej przejawem będzie dokumentowanie czynności podejmowanych w celu wykonania obowiązków wynikających z przepisów z zakresu ochrony danych osobowych.

Podsumowanie

Tak jak człowiek bez zasad szybko schodzi na złą drogę, a budynek pozbawiony fundamentów się wali, tak system ochrony danych osobowych stworzony bez tych elementów może okazać się pełen sprzecznych rozwiązań i zawieść w najmniej odpowiednim momencie.

Porozmawiaj z ekspertem

Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? Sprawdź, czy jestem w stanie Ci pomóc.

Napisz do mnie poprzez poniższy formularz i umów się na rozmowę.

Uzupełnij poniższy formularz, jeżeli np.:

  • masz pytania z zakresu o którym pisałem w tym artykule,
  • szukasz najlepszego rozwiązania dla swojego problemu,
  • chcesz wiedzieć, jak wygląda współpraca z nami, terminy oraz koszty.

Pierwszy kontakt jest bezpłatny i ma on na celu ustalenie zakresu potencjalnej naszej pomocy oraz Twoich pytań i wątpliwości.

Po przesłaniu formularza skontaktujemy się z Tobą w ciągu 24h w celu ustalenia dalszych szczegółów.

Przed wysłaniem wiadomości zapoznaj się z naszą Polityką prywatności.

Oparcie go na tych podstawach zagwarantuje jego spójność oraz trwałość, co w szybko zmieniającej się rzeczywistości ma niebagatelne znaczenie (nieważne, z pomocą jakich technologii przetwarzasz dane – ważne, byś robił to bezpiecznie, legalnie itd.). W przypadku niepewności szczególnie ważne jest posiadanie sprawdzonego punktu odniesienia – jeżeli przyjmie on postać dobrze sformułowanych zasad i fundamentów, nie będziesz miał wątpliwości, jak należy w danej sytuacji postąpić.

Pomóż nam dotrzeć do innych osób! Udostępnij ten artykuł dalej, niech więcej osób uzyska dzięki niemu potrzebną wiedzę. Dziękujemy!

Gotowy regulamin dla sklepu internetowego

Nasze gotowe dokumenty dla sklepów internetowych stanowią szybkie i ekonomiczne rozwiązanie dla przedsiębiorców, chcących rozwijać swój biznes dynamicznie i zgodnie z prawem.

Pozwalają one nie tylko zaoszczędzić czas, ale również pieniądze, które zazwyczaj trzeba przeznaczyć na wiele różnych spraw.

A jeżeli potrzebujesz indywidualnej pomocy przy swoim sklepie internetowym, napisz do nas korzystając z formularza kontaktowego!

Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain. Poznaj autora.

Subskrybuj nasz newsletter i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Po zapisaniu się odbierz od nas maila z potwierdzeniem. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.


Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. 

Zapoznaj się z naszą Polityką prywatności.

Ta strona jest chroniona przez reCAPTCHA. Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.

Newsletter, który pomoże Ci rozwinąć 🚀
Twój e-commerce pod kątem prawnym i biznesowym.

Dołącz do społeczności ok. 5500 właścicieli oraz kadry zarządzającej i managerskiej w branży e-commerce! Otrzymuj co 2 tygodnie najważniejsze informacje.

Więcej o naszym newsletterze „Let’s talk e-com” przeczytasz pod linkiem: https://letstalkecom.pl

Po zapisaniu się odbierz od nas powitalnego maila z bonusami. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.


Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. 

Zapoznaj się z naszą Polityką prywatności.