RODO wprowadza wprost zasady dotyczące przetwarzania danych osobowych (Art. 5 RODO).
Zasada przejrzystości, rzetelności i zgodności z prawem. Przejrzystość zapewniana jest przez obowiązki informacyjne nałożone na administratora danych osobowych. Podmiot danych musi zostać poinformowany o przysługujących mu prawach w sposób jasny, zwięzły, przejrzysty oraz wyrażony prostym językiem. Obowiązek rzetelności to nakaz przetwarzania danych zgodnie z zasadami współżycia społecznego. Wymóg legalności oznacza zgodność przetwarzania z prawem, gdy np. administrator danych przetwarza dane na podstawie prawnej (np. zgodzie).
Zasada celowości. Dane osobowe należy przetwarzać zgodnie z konkretnym, wyraźnym i prawnie uzasadnionym celem. Cel powinien zostać określony w sposób konkretny, należy unikać ogólnych opisów celów przetwarzani. Zasada ta łączy się z obowiązkiem informacyjnym, czyli z koniecznością informowania zainteresowanych przez administratora o celu przetwarzania danych osobowych.
Zasada minimalizacji danych oznacza, że zakres przetwarzanych danych powinien być adekwatny, stosowny i ograniczony do osiągnięcia założonego celu. Zgodnie z tą zasadą należy zbierać i przetwarzać tylko te dane osobowe, które będą konieczne do osiągnięcia zamierzonego celu. Dla przykładu, w celu zawarcia umowy zwykle wystarczającym jest przetwarzanie imienia i nazwiska danej osoby, adresu email oraz numeru telefonu, ale już nie koniecznie jej wieku czy też stanu rodzinnego czy formy spędzania wolnego czasu.
Zasada prawidłowości. Należy zapewnić prawidłowość danych oraz ich aktualizację w przypadku stwierdzenia ich nieprawdziwości lub niekompletności, a także z obowiązkiem sprostowania ich na wniosek osoby, której dane dotyczą. Dane osobowe powinny być kompletne, zgodne z prawdą i odpowiadać aktualnemu stanowi rzeczy.
Zasada ograniczenia przechowywania, czyli dane w formie umożliwiającej identyfikację osoby, której te dane dotyczą, powinny być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Pamiętać należy, że różny zakres danych może być przetwarzany w celu wykonania umowy, a inny w celu ustalenia i dochodzenia roszczeń wynikających z tej umowy po jej rozwiązaniu.
Zasada integralności i poufności (bezpieczeństwa danych). Administrator danych osobowych zobowiązany jest do przetwarzania danych w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Zasada rozliczalności. Administrator danych jest odpowiedzialny za przestrzeganie wszystkich ww. zasad i musi być w stanie wykazać ich przestrzeganie. Zasada ta nakłada na administratora danych obowiązek utrwalania i przechowywania informacji pozwalających na wykazanie zgodności podjętych przez administratora działań z przepisami prawa.
Podczas negocjowania umowy, której elementem jest przetwarzanie danych osobowych lub przygotowywania innych dokumentów związanych z ochroną danych (Klauzuli informacyjnej czy Polityki prywatności), dobrze jest sprawdzić, czy dokumenty te są zgodne z powyżej wskazanymi uniwersalnymi zasadami RODO.
dr Marlena Wach