W przepisach RODO sformułowanych zostało siedem zasad przetwarzania danych osobowych [1], które omawiamy niżej.
- Zasada zgodności z prawem, rzetelności i przejrzystości - art. 5 ust. 1 a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”)
- Zasada ograniczenia celu przetwarzania danych - art. 5 ust. 1 b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; („ograniczenie celu”)
- Zasada minimalizacji danych - art. 5 ust. 1 c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)
- Zasada prawidłowości danych - art. 5 ust. 1 d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”)
- Zasada ograniczenia przechowania danych - art. 5 ust. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”)
- Zasada integralności i poufności danych - art. 5 ust.1 f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)
- Zasada rozliczalności oznacza, że administrator musi być w stanie wykazać, że podejmowane przez niego działania są zgodne z w/w zasadami
Ustawa o ochronie danych osobowych przewidywała maksymalny wymiar kary właśnie za złe przetwarzanie danych wrażliwych. Za niedopuszczalne lub nieuprawnione przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, natomiast w odniesieniu do katalogu zamkniętego danych wrażliwych – do 3 lat. RODO nie zawiera przepisów karnych. Może je dodać ustawodawca krajowy w ustawie. Natomiast istnieją dwie kategorie, dotyczące karania Administratorów Danych (ADO), w kwestii administracyjnych kar pieniężnych. Każda osoba, która poczuła się poszkodowana przez administratora, może złożyć stosowne zawiadomienie w tym temacie z prośbą o odszkodowanie. Do 10 milionów euro (lub w przypadku przedsiębiorcy – do 2 procent jego całego światowego obrotu w roku poprzednim) należy zapłacić za brak informacji o przetwarzaniu i wykorzystywaniu danych osobowych, nieuwzględnienie ochrony danych w momencie projektowania, niewłaściwie prowadzenie rejestru przetwarzania danych lub jego brak. Oprócz tego taka kara dotyczy także zabezpieczania systemów informatycznych w nieprawidłowy sposób czy braku powołania Inspektora Ochrony Danych w momencie, gdy sytuacja tego wymagała. Natomiast aż do 20 milionów euro kary (lub w przypadku przedsiębiorcy - do 4 procent jego całego światowego obrotu w roku poprzednim) należy się ADO w momencie złamania przez niego podstawowych zasad przetwarzania danych. Należą do nich takie zaniedbania, jak niedopilnowanie uzyskania zgody, łamanie praw osób, które taką zgodę wyraziły, a także niewłaściwe przekazywanie tych danych do państw trzecich lub organizacji międzynarodowych. Prezes Urzędu Ochrony Danych indywidualnie rozpatruje każdą sprawę i na podstawie wielu czynników określa, czy taka kara zostanie nałożona i w jakiej będzie wysokości. Ważne w tym przypadku jest stwierdzenie, czy takie wykroczenie zostało stworzone umyślnie lub nieumyślnie, czy inne zaniedbania miały miejsce wcześniej, jaka jest waga przewinienia i długość jej trwania, kategorie danych osobowych, których dotyczyła sprawa, sposób współpracy z organem nadzorczym w celu usunięcia problemu lub zminimalizowaniu szkód. Istnieje oczywiście możliwość odwołania się od nałożonej kary, należy wtedy jednak udowodnić, że takie skutki nie wynikały z zaniedbania przez administratora [2].
[1] Ustawa z dnia 10 maja 2018 r., op-cit., art.5.
[2] Uniwersytet Jagielloński w Krakowie, Zasady przetwarzania danych osobowych, źródło: https://iod.uj.edu.pl/aktualnosci/-/journal_content/56_INSTANCE_FXVpkOlZ7X7Q/138774264/139187454 (dostęp: 08.07.2020).
