Gwiazdka nieaktywnaGwiazdka nieaktywnaGwiazdka nieaktywnaGwiazdka nieaktywnaGwiazdka nieaktywna
 

Jednym z celów przyświecających projektodawcom rodo było zapewnienie skuteczności ochrony danych osobowych w zmieniających się środowiskach: technologicznym, organizacyjnym i gospodarczym. Od czasu przyjęcia w 1995 r. dyrektywy 95/46/WE radykalnie zmieniły się metody przetwarzania danych osobowych, a tym samym pojawiły się nowe wyzwania związane ze skutecznym zapewnieniem ich odpowiedniej ochrony. Generowanie danych w postaci cyfrowej oraz zwiększające się możliwości ich wykorzystywania, które jeszcze kilka lat temu nie były dostępne, zrodziły potrzebę zmiany modelu regulacji ochrony danych osobowych. Jednak nie oznacza to konieczności radykalnej zmiany podstawowych zasad ochrony danych osobowych, które wymagają zachowania. Należało jedynie je zmodyfikować oraz wprowadzić nowe instytucje odpowiadające na nowe problemy związane z przetwarzaniem danych osobowych w internecie. Rodo zostało zbudowane na dotychczasowym dorobku legislacyjnym i orzeczniczym rozwijanym przez ostatnie 40 lat w Europie. Skoncentrowanie się na podstawowych zasadach ochrony danych osobowych oraz odejście od istniejących wcześniej obowiązków o charakterze notyfikacyjno-rejestracyjnym spowodowało zmianę modelu ochrony danych osobowych. Ten nowy ma na celu przeniesienie głównych zasad na poziom praktycznych rozwiązań i procedur oraz zapewnienie ich realnego przestrzegania.

Podstawowe zasady przetwarzania danych wg art. 5 rodo

1zasady legalności (zgodności z prawem), rzetelności i przejrzystości, zgodnie z którymi dane powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

2zasada ograniczenia celu, w myśl której dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;

3zasada minimalizacji danych, zgodnie z którą dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

4zasada prawidłowości (poprawności), w myśl której dane mają być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;

5zasada ograniczenia przechowywania, zgodnie z którą dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy;

6zasada zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności, zgodnie z którą dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Rodo w swoich założeniach ma być neutralne technologicznie. Jednocześnie jego postanowienia wprowadzają szczególne instrumenty prawne i mechanizmy odnoszące się do specyfiki gospodarki cyfrowej. Pojawiają się więc nowe lub zdefiniowane na nowo prawa, takie jak: prawo do usunięcia danych i prawo do zapomnienia oraz prawo do przenoszalności danych. Ponadto wprowadzono koncepcje, które dotąd były jedynie postulatami o charakterze teoretycznym, m.in.: zapewnienie ochrony danych na etapie projektowania, domyślna ochrona danych i zgłaszanie naruszeń ochrony danych osobowych. Zmodyfikowano również dotychczasowe zasady dotyczące automatycznego podejmowania decyzji opartych przede wszystkim na profilowaniu. Odniesienia do środowiska cyfrowego odnajdziemy również w modyfikacjach dotychczasowych definicji (np. pojęcie danych osobowych) i w zupełnie nowych definicjach wprowadzonych w rodo. Bardzo ważną koncepcją, która przenika przepisy rodo, jest tzw. podejście oparte na ryzyku. Ryzyko (często stopniowane) naruszenia praw i wolności osób, których dane dotyczą, na gruncie rodo staje się jednym z kluczowych pojęć. Administrator danych oraz w różnym zakresie podmiot przetwarzający muszą brać pod uwagę istniejące i potencjalne ryzyka dla ochrony danych osobowych po to, by zastosować odpowiednie do nich środki bezpieczeństwa. Takie podejście umożliwia skoncentrowanie się na sytuacjach najwyższego ryzyka, przy jednoczesnym zachowaniu odpowiedniego poziomu ochrony, gdy to ryzyko jest niskie i nie wymaga wykorzystywania całego instrumentarium środków przewidzianych przez rodo. Ważne jest to, że ustawodawca unijny promuje wykorzystywanie narzędzi zmniejszających ryzyko, niejednokrotnie zwalniając administratorów danych w takich sytuacjach z innych obowiązków. Można powiedzieć, że przyjęty model regulacji w większym stopniu niż obecnie powoduje konieczność proaktywnego podejścia administratorów danych oraz podmiotów przetwarzających, w tym co do uwzględniania zmieniających się zagrożeń i możliwych sposobów ich minimalizacji. Niewątpliwie kluczową rolę w tym modelu będzie odgrywał inspektor ochrony danych.