Ogólne Rozporządzenie o ochronie danych osobowych wprowadza szereg obowiązków, które musi spełnić każdy administrator. Obowiązki te mają zapewnić zgodność przetwarzania danych osobowych z Ogólnym Rozporządzeniem, jak również mają zapewnić, że prawa osób, których dane osobowe są przetwarzane są przestrzegane. Ogólne Rozporządzenie o ochronie danych osobowych za nieprzestrzeganie zasad przetwarzania danych osobowych wprowadza sankcje pieniężne, które mogą sięgać 20.000.000 euro.
Administrator danych osobowych, czyli kto?
Przypomnijmy, że zgodnie z art. 4 pkt 7) Ogólnego Rozporządzenia administrator danych osobowych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Pojęcie administratora danych osobowych jest więc bardzo szerokie i obejmuje wszystkie podmioty, które gromadzą dane osobowe i decydują o celach i środkach ich przetwarzania. Zgodnie z pkt 1) tego samego artykułu dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Również pojęcie danych osobowych jest bardzo szerokie i obejmuje praktycznie wszystkie informacje o osobach fizycznych. W szczególności, za dane osobowe uważa się imiona i nazwiska, daty urodzenia, numery identyfikacyjne takie jak PESEL, dane o stanie zdrowia (dane medyczne). Ogólne Rozporządzenie o ochronie danych osobowych uznaje również za dane osobowe takie informacje jak loginy (nicki) wykorzystywane w portalach internetowych, jak również dane o miejscu, w którym dana osoba przebywa (dane o lokalizacji).
Obowiązki administratora danych osobowych
Administrator danych osobowych może przetwarzać dane osobowe zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, których dane dotyczą. Te ogólne zasady zostały wyrażone w art. 5 ust. 1 pkt a. Ogólnego Rozporządzenia. Ponadto, administrator danych osobowych może zbierać i przetwarzać dane osobowe tylko w konkretnych, wyraźnych i prawnie usprawiedliwionych celach, co oznacza, że administrator danych osobowych, co do zasady, nie może przetwarzać danych osobowych w celach innych, niż zostały one zebrane. Ogólne Rozporządzenie w art. 5 ust. 1 pkt b wprost zakazuje dalszego przetwarzania danych osobowych w sposób niezgodny z tymi celami. Administrator danych osobowych jest również zobowiązany do przetwarzania danych osobowych zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Ogólne Rozporządzenie wprowadza również nową zasadę zwaną minimalizacją danych, która w zakresie przetwarzania danych osobowych oznacza, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Administrator danych osobowych może przetwarzać danych osobowych tylko w okresie czasu, który jest niezbędny do osiągnięcia celów, dla których dane osobowe zostały zebrane.
Szczegółowe podstawy prawne przetwarzania danych osobowych
Jak widzimy, ogólne obowiązki administratora danych osobowych są bardzo rozbudowane i mają zapewnić ochronę praw i wolności osób, których dane są przetwarzane. Jednocześnie, Ogólne Rozporządzenie wprowadza szczegółowe podstawy prawne dla przetwarzania danych osobowych. Zgodnie z art. 6 Ogólnego Rozporządzenia Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Wykazanie zgodności z prawem przetwarzania
Jak administrator danych osobowych może wykazać, że przy przetwarzaniu danych osobowych spełnia wymogi Ogólnego Rozporządzenia określone w art. 5, jak również, że przetwarza dane osobowe zgodnie z podstawami określonymi w art. 6? Rozwiązaniem, które wprowadza w tym zakresie Ogólne Rozporządzenie jest certyfikacja mechanizmów przetwarzania danych osobowych. Mechanizmy certyfikacji danych osobowych mają świadczyć, o zgodności Ogólnym Rozporządzeniem operacji przetwarzania prowadzonych przez administratorów danych osobowych. Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty. Certyfikacja przetwarzania danych osobowych jest dokonywana przez podmioty certyfikujące, posiadające stosowne zezwolenie i będące nadzorowane przez państwowy organ ochrony danych osobowych. Certyfikacja przetwarzania danych osobowych ma za zadanie pomóc administratorom w zgodny z prawem przetwarzaniu danych osobowych, jak również wykazać, że administrator danych osobowych postępuje rzetelnie i uczciwie. Ogólne Rozporządzenie wskazuje wprost, że wykazanie obowiązków w zakresie bezpieczeństwa przetwarzania danych osobowych czy zastosowanych środków technicznych i organizacyjnych może mieć miejsce poprzez wprowadzenie u administratora mechanizmu certyfikacji danych osobowych.
Mechanizmy certyfikacji
Mechanizmy certyfikacji danych osobowych będą więc pomocne dla wszystkich administratorów danych osobowych, a ich wdrożenie będzie świadczyło o spełnianiu obowiązków administratora danych osobowych nałożonych Ogólnym Rozporządzeniem.
