W swoich założeniach RODO miało być dokumentem uniwersalnym, nienarzucającym konkretnych środków ochrony danych osobowych. Z tego właśnie powodu niezmiernie istotne są zasady wprowadzane przez rozporządzenie – to one bowiem wyznaczają zakres, w ramach którego powinny poruszać się zainteresowane podmioty.

Podstawowy katalog zasad znajduje się w art. 5, otwierającym rozdział zatytułowany właśnie „Zasady”. Należy jednak pamiętać, że RODO, jako akt prawny, podlega interpretacji. W wyniku wykładni prawa można więc wskazać także inne zasady niż te określone w przywołanym przepisie. Podkreśla się, że sprzeczność przetwarzania danych z zasadami RODO stanowi naruszenie rozporządzenia, choćby administrator nie postąpił wbrew jakiemukolwiek innemu przepisowi.

W art. 5 unijny ustawodawca określił następujące zasady ochrony danych osobowych:

  1. rzetelności i legalności;
  2. przejrzystości;
  3. ograniczenia celu;
  4. minimalizacji danych;
  5. prawidłowości;
  6. ograniczenia przechowywania;
  7. integralności i poufności;
  8. rozliczalności.

Zasada rzetelności i legalności sprowadza się do tego, że dane osobowe muszą być przetwarzane zgodnie z prawem (tzn. na podstawie jednej z podstaw wskazanych w art. 6 ust. 1 oraz w sposób nienaruszający innych przepisów), przy uwzględnieniu nie tylko interesów administratora, ale także (a może przede wszystkim) praw i obowiązków osób, których dane dotyczą.

Zasada przejrzystości dotyczy relacji między administratorem a osobą, której dane dotyczą. Zgodnie z jej założeniami operacje na danych osobowych powinny być transparentne dla zainteresowanych, chociażby poprzez odpowiednie informowanie o sposobach i celach przetwarzania. Jak wskazano w motywie 39 preambuły, zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.

Jedna z najbardziej kontrowersyjnych zasad znalazła się w art. 5 ust. 1 lit. b. Ograniczenie celu oznacza, że dane osobowe muszą być zbierane w konkretnych, wyraźnych oraz prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami. Kontrowersje dotyczą przede wszystkim sposobów oznaczania celu (a dokładnie jak bardzo szczegółowo należy go określić) oraz zachowania administratorów w sytuacji, gdy cele przetwarzania zostały osiągnięte, a mimo to podmiot wyraża chęć dalszego przetwarzania danych w innym celu niż ten pierwotny.

Bezpośrednio z wcześniej opisanej zasady wynika obowiązek minimalizacji danych. Zgodnie z jego założeniami nie można gromadzić i przetwarzać danych, które są zbędne do osiągnięcia założonego celu.

Wielkich sporów nie budzi zasada prawidłowości, która nakazuje pilnować, by przetwarzane dane były zgodne z rzeczywistością. Adresaci RODO powinni podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

Zasada ograniczenia przechowywania wynika bezpośrednio z zasad ograniczenia celu i minimalizacji danych. Polega ona na przechowywaniu danych osobowych w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jednocześnie wskazano, że dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane przez RODO w celu ochrony praw i wolności osób, których dane dotyczą.

Zasada integralności i poufności oznacza, że podmiot odpowiedzialny powinien czuwać nad bezpieczeństwem danych osobowych na każdym etapie ich przetwarzania. Przede wszystkim chodzi tutaj o ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu należy stosować odpowiednie środki techniczne i organizacyjne.

Kwintesencją filozofii przyjętej w RODO jest zasada rozliczalności ujęta w art. 5 ust. 2. Administrator musi umieć wykazać, że przestrzega wszystkich przewidzianych przez rozporządzenie zasad. RODO generalnie nie wskazuje bowiem, jakie konkretnie środki należy stosować lub jakie dokumenty wprowadzić do przedsiębiorstwa. Kluczowe jest to, by zastosowane przez nas metody umożliwiły „wytłumaczenie się” podczas ewentualnej kontroli i udowodnienie, że spełniamy wszystkie nałożone na nas standardy.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018