Jakie dane można przetwarzać i na jakich warunkach?

Odpowiedź

Rodzaj i ilość danych osobowych, które firma/organizacja może przetwarzać, zależy od uzasadnienia(podane uzasadnienie prawne) oraz od celu ich przetwarzania. Firma/organizacja musi przy tym przestrzegać, między innymi, kilku podstawowych zasad:

• dane osobowe muszą być przetwarzane w sposób przejrzysty oraz zgodny z prawem, zapewniający rzetelność wobec osób, których dane osobowe są przetwarzane („zgodność z prawem, rzetelność i przejrzystość”),
• muszą istnieć konkretne cele przetwarzania, a firma/organizacja musi przedstawić je w momencie zbierania danych osobom, których one dotyczą. Firma/organizacja nie może po prostu zbierać danych osobowych w dowolnym celu („ograniczenie celu”),
• firma/organizacja może zbierać i przetwarzać wyłącznie dane osobowe, które są niezbędne do osiągnięcia tych konkretnych celów („minimalizacja danych”),
• firma/organizacja musi zapewnić, aby dane osobowe były prawidłowe i aktualne, biorąc pod uwagę cele ich przetwarzania, a jeśli nie są prawidłowe i aktualne, musi je poprawić („prawidłowość”),
• firma/organizacja nie może wykorzystywać danych osobowych winnych celach, niezgodnych z celami ich pierwotnego zebrania,
• firma/organizacja musi zapewnić, aby dane osobowe były przechowywane przez okres nie dłuższy, niż jest to niezbędne dla celów ich zebrania („ograniczenie przechowywania”),
• firma/organizacja musi wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa, które zapewnią ochronę danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiedniej technologii („integralność i poufność”).

Przykład

Twoja firma/organizacja prowadzi biuro podróży. Gdy otrzymujesz dane osobowe od swoich klientów, powinieneś wyjaśnić im w jasny i prosty sposób, dlaczego potrzebujesz tych danych, w jaki sposób je wykorzystasz i jak długo zamierzasz je przechowywać. Przetwarzanie danych powinno się odbywać w sposób, który pozwoli zapewnić zgodność z podstawowymi zasadami ochrony danych.

Odnośniki

• art. 5 ust. 1 oraz motyw 39 RODO
• Grupa Robocza Art. 29: Opinia 03/2013 w sprawie ograniczenia celu (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)