RODO wprowadza szereg zasad, które muszą być przestrzegane podczas przetwarzania danych osobowych. Po pierwsze, przedsiębiorcy muszą przetwarzać dane zgodnie z zasadą legalności, rzetelności i przejrzystości. Oznacza to, że mogą być one przetwarzane tylko wtedy, gdy istnieje ku temu odpowiednia podstawa prawna, a cały proces musi być przejrzysty dla osoby, której dane dotyczą.
Równie ważna jest zasada minimalizacji danych. Firmy powinny zbierać i przetwarzać jedynie te dane, które są absolutnie niezbędne do realizacji określonego celu. Oprócz tego, zgodnie z zasadą ograniczenia celu, dane mogą być wykorzystywane tylko w tych celach, dla których zostały zebrane. Wyjątkiem jest to, gdy osoba zainteresowana wyrazi zgodę na ich dalsze przetwarzanie w innym celu.
Prawidłowość danych to kolejna ważna zasada. Przedsiębiorcy muszą dbać o to, aby dane były aktualne i dokładne, co w praktyce oznacza konieczność regularnego ich przeglądu i aktualizacji. Ponadto, dane powinny być przechowywane przez czas niezbędny do realizacji celu, dla którego zostały zebrane. Wynika to z zasady ograniczenia przechowywania.
Wreszcie, zasada integralności i poufności zobowiązuje firmy do zapewnienia odpowiednich środków bezpieczeństwa, które chronią dane przed nieuprawnionym dostępem, utratą czy uszkodzeniem.
Obowiązki informacyjne wobec osób, których dane dotyczą
Jednym z obowiązków wynikających z RODO jest to, że przedsiębiorcy muszą jasno komunikować swoją tożsamość, cele przetwarzania danych oraz podstawy prawne, na jakich opierają swoje działania.
Informacje te powinny być przedstawiane w sposób zrozumiały, jasny i przejrzysty. Oznacza to, że nie mogą być one ukryte w zawiłych regulaminach czy długich tekstach. W praktyce przedsiębiorca musi zadbać o to, by osoby, których dane dotyczą, miały pełną świadomość, w jaki sposób ich dane będą przetwarzane, kto będzie miał do nich dostęp oraz jakie prawa im przysługują.
Podstawy prawne przetwarzania danych
Przetwarzanie danych osobowych musi opierać się na jednej z określonych w RODO podstaw prawnych. Najczęściej stosowaną jest zgoda osoby, której dane dotyczą. Musi być ona dobrowolna, świadoma i jednoznaczna. Zgoda nie może być domniemana ani wynikać z braku sprzeciwu.
Inne podstawy przetwarzania danych obejmują m.in. realizację umowy, wypełnienie obowiązku prawnego ciążącego na przedsiębiorcy czy ochronę żywotnych interesów osoby, której dane dotyczą. W niektórych przypadkach przetwarzanie danych może być uzasadnione prawnie interesem przedsiębiorcy, pod warunkiem, że nie narusza to praw i wolności osoby zainteresowanej.
Zabezpieczenie danych osobowych
Ochrona danych osobowych nie kończy się na spełnieniu obowiązków informacyjnych i prawnych. RODO nakłada na przedsiębiorców obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych. Do takich środków należą m.in. szyfrowanie danych, regularne kopie zapasowe oraz odpowiednie zarządzanie dostępem do danych.
Firmy powinny również prowadzić regularne audyty bezpieczeństwa i szkolenia dla pracowników, aby wszystkie procedury były przestrzegane, a pracownicy świadomi swoich obowiązków w tym zakresie.
Zgłaszanie naruszeń ochrony danych osobowych
Naruszenia ochrony danych osobowych mogą zdarzyć się nawet w najlepiej zabezpieczonych firmach. RODO zobowiązuje przedsiębiorców do zgłaszania takich incydentów do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od momentu ich wykrycia.
Jeśli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, przedsiębiorca musi również poinformować te osoby o zaistniałej sytuacji.
Prawa osób, których dane dotyczą
RODO przyznaje osobom, których dane są przetwarzane, szereg praw, które przedsiębiorcy muszą respektować. Osoby te mają prawo do dostępu do swoich danych, ich sprostowania, usunięcia, a także do ograniczenia przetwarzania. Mogą również wyrazić sprzeciw wobec ich przetwarzania w określonych sytuacjach, a także zażądać przeniesienia danych do innego administratora.
Spełnienie tych wymagań wymaga od przedsiębiorców wdrożenia odpowiednich procedur, które umożliwią szybkie i skuteczne realizowanie praw osób, których dane dotyczą. Niespełnienie tych wymagań może prowadzić do poważnych konsekwencji prawnych i finansowych.