Ustawa o ochronie danych osobowych jest stosowana w sposób bezpośredni, a więc przedsiębiorcy przetwarzający dane będą zobowiązani są przestrzegać wprost wszystkich zasad dotyczących ochrony prywatności. Warto przypomnieć sobie czym tak naprawdę jest „przetwarzanie danych osobowych”? Ustawodawca zinterpretował przetwarzanie danych jako "operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Katalog przetwarzania czynności jest otwarty, co wiąże się z jego ciągłym powiększaniem. Zatem jako administratorzy lub też współadministratorzy danych osobowych musimy przestrzegać kierując się przy tym następującymi zasadami: 1. Zasada przejrzystości, rzetelności i legalności Przejrzystość – związana ze spełnieniem obowiązku informacyjnego nałożonym na administratora danych osobowych. Będzie ona dochowana, gdy zainteresowana osoba zostanie poinformowana o przysługujących jej prawach w sposób zwięzły, przejrzysty, jasnym oraz prostym językiem. Rzetelność - wymóg rzetelności to inaczej nakaz przetwarzania danych w zgodzie z zasadami współżycia społecznego (tj. zgodnie z zasadami stanowiącymi fundament porządku prawnego). Legalność - w myśl tej zasady konieczne jest przestrzeganie wszystkich przepisów dotyczących ochrony danych osobowych przy ich przetwarzaniu (o bezprawności przetwarzania mówimy, gdy administrator przetwarza dane bez upoważniającej go do tego podstawy prawnej). 2. Zasada celowości Dane osobowe należy przetwarzać zgodnie z konkretnym, wyraźnym i prawnie uzasadnionym celem, który musi być jasny i konkretny, należy unikać ogólnikowych opisów celów przetwarzania. Zasada ta łączy się z obowiązkiem informacyjnym. 3. Zasada minimalizacji danych Zgodnie z tą zasadą zakres przetwarzanych danych powinien być adekwatny, stosowny i ograniczony do osiągnięcia założonego celu. 4. Zasada prawidłowości Wiąże się z obowiązkiem zapewnienia prawidłowości danych oraz z obowiązkiem uaktualnienia danych w przypadku stwierdzenia ich nieprawdziwości lub niekompletności, a także z obowiązkiem sprostowania ich na wniosek osoby, której dane dotyczą. 5. Zasada ograniczenia przechowywania Zgodnie z tą zasadą dane powinny być przechowywane przez okres nie dłuższy, niż jest to konieczne dla uzyskania celów, dla których były one przetwarzane. 6. Zasada integralności i poufności (bezpieczeństwa danych) Administrator danych osobowych zobowiązany jest do przetwarzania danych w taki sposób, który zapewnia ich bezpieczeństwo przede wszystkim przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem. 7. Zasada rozliczalności Administrator danych jest odpowiedzialny za przestrzeganie wszystkich powyższych zasad, a co bardzo istotne, musi być on w stanie wykazać ich przestrzeganie. Zasada ta nakłada na administratora obowiązek utrwalania i przechowywania informacji pozwalających na wykazanie zgodności podjętych przez administratora działań z przepisami prawa. Mając na uwadze powyższy zapis musimy jako administratorzy lub współadministratorzy danych osobowych rozumieć, że istnieją różne kategorie przetwarzania danych osobowych na szczególną uwagę zasługują dane wrażliwe, a zatem wszystkie te informacje, które związane są bezpośrednio z informacjami dotyczącymi: Dane osobowe Poufne dane osobowe to dane, które można przypisać do osoby fizycznej i które, jeśli zostaną ujawnione, mogą zaszkodzić tej osobie. Informacje takie obejmują: • dane biometryczne, • informacje medyczne, • dane osobowe umożliwiające identyfikację, • niepowtarzalne identyfikatory, takie jak numery paszportu. Informacje biznesowe Poufne informacje biznesowe obejmują wszystko, co stanowi zagrożenie dla danej firmy związane są z zarządzaniem metadanymi i utylizacją dokumentów, w których zawarte są informacje związane z działalnością firmy, jej know-how, sposobem przepływu informacji, produktami, zatrudnieniem oraz innymi informacjami, których ujawnienie w jakimkolwiek stopniu mogłoby zaszkodzić jej funkcjonowaniu. • tajemnice handlowe, • plany przejęć, • dane finansowe, • dane dostawców i klientów. Informacje niejawne Informacje niejawne dotyczą instytucji rządowych i podlegają ograniczeniom zgodnie z poziomem wrażliwości (według podziału na: ograniczone, poufne, tajne i ściśle tajne). Informacje są zazwyczaj odpowiednio klasyfikowane ze względu na ochronę ich bezpieczeństwa. Gdy ryzyko szkody minie lub spadnie, informacje niejawne mogą zostać odtajnione lub również upublicznione. Dane prywatne Są to dane osobowe uważane za "wrażliwe" i podlegają określonym warunkom przetwarzania: • dane osobowe, które ujawniają pochodzenie rasowe lub etniczne, wyrażane poglądy polityczne, przekonania religijne lub filozoficzne; • aktywne członkostwo w związkach zawodowych; • dane genetyczne, dane biometryczne przetwarzane wyłącznie w celu identyfikacji człowieka; • dane związane ze zdrowiem; • dane dotyczące orientacji seksualnej danej osoby i jej życia prywatnego. Podsumowując dane wrażliwe, to wszystkie dane, który powinny być chronione przed nieuzasadnionym ujawnieniem, a wysoki poziom bezpieczeństwa stał się szczególnym wymaganiem dotyczącym danych wrażliwych. Zapewnienie środków bezpieczeństwa przetwarzania danych na poziomie podwyższonym lub wysokim gdzie w odniesieniu do przetwarzania danych osobowych zwykłych wystarczają środki na poziomie podstawowym (biorąc pod uwagę fakt, iż komputery na których dane są przetwarzane nie są połączone z Internetem w myśl § 6 ust. 1-4 rozporządzenie Ministra Administracji i Cyfryzacji z dn. 29 kwietnia 2004 o w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych). Zatem jeśli administrator lub współadministrator danych zamierza przetwarzać dane osobowe wrażliwe, musi stosować zabezpieczenia na poziomie co najmniej podwyższonym. Powyższe informacje powinny być dobrze znane Administratorom Danych, ponieważ za niedopuszczalne lub nieuprawnione przetwarzanie grozi odpowiedzialność karna. Ustawodawca jako środki karne przewiduje grzywnę i karę ograniczenia lub pozbawienia wolności. Za niedopuszczalne lub nieuprawnione przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, natomiast w odniesieniu do katalogu zamkniętego danych wrażliwych – do 3 lat. Dodatkowo przypominamy, iż KNF TEAM Oferuje: AUDYT PRZYGOTOWANIA ORGANIZACJI DO WDROŻENIA WYMOGÓW RODO WDROŻENIE WYTYCZNYCH RODO W PRZEDSIĘBIORSTWIE MONITOROWANIE WDROŻONYCH WYTYCZNYCH RODO PEŁNIENIE FUNKCJI Inspektora Ochrony Danych SZKOLENIA W ZAKRESIE RODO (pracownicy szeregowi oraz IOD)
Zobacz nasze pozostałe posty z tamatu RODO: