Legalność –  dane osobowe muszą być przetwarzane zgodnie z prawem. Dla każdego rodzaju danych i każdego celu przetwarzania administrator danych musi zatem wykazać, że owo przetwarzanie spełnia przynajmniej jeden warunek:

  • jest niezbędne do zawarcia lub wykonania umowy, której stroną jest osoba, której dane dotyczą;
  • osoba, której dane dotyczą, wyraziła na to (jednoznaczną i dobrowolną) zgodę;
  • jest niezbędne do wypełnienia obowiązku wynikającego z prawa UE lub państwa członkowskiego (które jest niezbędnym i proporcjonalnym środkiem, zapewniającym realizację ważnych celów leżących w interesie publicznym);
  • jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
  • ma podstawę w prawnie uzasadnionym interesie administratora lub strony trzeciej, chyba że nad tym interesem przeważają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (jest to oceniane w kontekście rozsądnych oczekiwań osób, których dane dotyczą, i ich powiązań z administratorem).

Ograniczenie celem – dane osobowe mogą być przetwarzane tylko w konkretnym, wyraźnie określonym i zgodnym z prawem celu. Administrator musi ten cel określić, zanim pozyska dane, i nie może go jednostronnie modyfikować. Raz pozyskanych danych nie można przetwarzać w celach niezgodnych z pierwotnie określonym (np. danych zebranych w celu realizacji umowy wykorzystać do marketingu).

Adekwatność, niezbędność i minimalizacja – dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są przetwarzane. To kryterium przekłada się na rodzaj i zakres danych. Nie można zatem zbierać danych osobowych, które nie mają związku z celem przetwarzania (np. dane na temat zdrowia w kontekście usług finansowych), są bezużyteczne dla jego realizacji albo nadmiarowe. Mówiąc najprościej wolno zbierać tylko to, co jest rzeczywiście niezbędne.

Prawidłowość – przetwarzane dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Administrator powinien niezwłocznie usunąć albo sprostować dane, które okazały się nieprawidłowe w świetle celów ich przetwarzania. W praktyce ta zasada oznacza, że nie warto zbierać danych, które szybko się starzeją lub pochodzą z niepewnych źródeł, ponieważ mogą się okazać dla organizacji większym ciężarem niż korzyścią.

Maksymalny czas przetwarzania – dane osobowe można przetwarzać nie dłużej, niż to niezbędne do celów, w których te dane są przetwarzane. W szczególności chodzi tu o dane umożliwiające identyfikację osoby, której dotyczą. Na przykład granicą przechowywania archiwalnych danych o transakcjach z klientami powinien być moment przedawnienia roszczeń lub wygaśnięcia obowiązków prawnych. Granicą dla przetwarzania aktualnych danych o zakupach klientów w celach marketingowych (uzasadniony interes administratora) jest moment, w którym te dane tracą aktualność  lub cel marketingowy zostaje zrealizowany.

Poufność i integralność – dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo o poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu  oraz przed nieuprawnionym ich wykorzystaniem. W praktyce ta zasada oznacza nie tylko konieczność zabezpieczenia systemów informatycznych, ale też wprowadzenia procedur, które ograniczą ryzyko związane z tzw. czynnikiem ludzkim.

     

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać wartościowe treści dotyczące ochrony danych osobowych oraz informacje o naszych usługach i ofertach specjalnych. 

Dziękujemy! Udało Ci się dołączyć do naszej listy subskrybentów.