Dagmara Rutkowska

Prawo

Tytuł zastępczy

Zasady przetwarzania danych osobowych

 

Temat zasad na jakich odbywać się będzie przetwarzanie danych osobowych po 25 maja 2018r. przewija się ostatnio bardzo często w naszych zawodowych rozmowach. Można śmiało powiedzieć, że artykuł 5 (piąty) rozporządzenia jest kluczowym i jednocześnie jednym z najważniejszych artykułów w całym rozporządzeniu. Wprowadza on bowiem zasady o charakterze ogólnym, nadrzędnym, a wszelkie procesy przetwarzania danych osobowych muszą być zgodne właśnie z tymi zasadami. Dlatego tak istotne jest poznanie tych zasad i właściwe ich rozumienie.

W rozporządzeniu zasady przetwarzania danych osobowych zostały wprost wymienione co jest nowością. W obecnie obowiązujących przepisach prawa dotyczących przetwarzania danych osobowych nie mamy bowiem takiego przepisu prawa, który by te normy wymieniał w jednym miejscu, musimy je wyinterpretować z treści ustawy, co stanowi dodatkową trudność.

Warto w tym miejscu podkreślić, że wskazane w artykule 5 (piątym) rozporządzenia zasady przetwarzania danych osobowych muszą być przestrzegane łącznie przez podmiot przetwarzający dane, a naruszenie choćby jednej z nich powoduje, że przetwarzanie danych osobowych będzie niezgodne z prawem.

Artykuł 5 (piąty) rozporządzenia wprowadza następujące zasady dotyczące przetwarzania danych:

1) zasadę rzetelności i legalności (zgodności z prawem);

2) zasadę ograniczenia celu;

3)zasadę minimalizacji danych;

4) zasadę prawidłowości (poprawności danych);

5) zasadę ograniczenia przechowywania;

6) zasadę integralności i poufności (bezpieczeństwa danych);

7) zasadę rozliczalności.

Na pierwszy ogień przyjrzymy się zasadzie 5 (piątej) czyli zasadzie ograniczenia przechowywania danych osobowych. Wynika z niej, iż dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Zgodnie z omawianą zasadą dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.

Jak należy zatem tę zasadę rozumieć? Dane mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, dla których dane te są przetwarzane. Zasadą jest zatem, iż dane nie mogą być przechowywane w nieskończoność. O tym jak długo przechowujemy dane decyduje de facto cel przetwarzania danych osobowych. Oczywiście ten okres przechowywania może być wymuszony przepisami prawa np. w przypadku przechowywania danych pracowniczych czy dokumentów księgowych. Jednocześnie cel ten może być, zgodnie z art. 6 ust. 4 rozporządzenia, zmieniony. Z tego względu określenie okresów przechowywania danych jest skomplikowane, zwykle wymaga analizy wszystkich celów i przepisów, które w tym zakresie mogą mieć zastosowanie.

Jaki obowiązki dla administratorów wynikają z tej zasady? Przede wszystkim usuwanie lub zanonimizowanie danych po okresie, w jakim są one niezbędne do spełnienia określonego celu przetwarzania. W myśl rozporządzenia administratorzy powinni ustalać termin usuwania danych, bądź przeprowadzać audyty celem usuwania danych, które już nie powinny być przetwarzane.

Czy przekroczenie tego okresu może mieć dla administratorów negatywne konsekwencje? Tak, gdyż przekroczenie dopuszczalnego czasu przetwarzania danych oznacza, że przetwarzanie danych od tego momentu jest niezgodne z prawem. 

Pojawia się także pytanie czy administrator danych powinien w ramach obowiązku informacyjnego podać także informację o okresie przetwarzania danych osobowych? Co do zasady tak, natomiast trzeba sobie zdawać sprawę, że nie zawsze będzie możliwe podanie konkretnej daty, w takich sytuacjach wydaje się, że właściwe będzie wskazanie po prostu sposobu ustalania tego okresu poprzez wskazanie, że będzie to np. okres nie dłuższy niż zakończenie okresu gwarancji i przedawnienia roszczeń. Informacje na temat okresu przetwarzania danych osobowych administrator danych powinien przekazać w formie zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej oraz jasnym i prostym językiem w szczególności gdy informacje są kierowane do dziecka (art. 12 ust. 1 rozporządzenia). Natomiast rozporządzenie nie wskazuje wprost dokumentu, w ramach którego taka informacja może być zawarta, dlatego może to być np. w przypadku sklepu internetowego np. polityka prywatności.