Jakie dane osobowe może przetwarzać dana organizacja oraz na jakich zasadach powinno to przebiegać?
Rodzaj oraz ilość danych osobowych, które może przetwarzać dana organizacja, są uzależnione od uzasadnienia. Co ważne – dot. to podanego uzasadnienia prawego oraz celu przetwarzania danych.
Podstawowe zasady przetwarzania danych zgodnie z RODO:
- Zgodność z prawem, rzetelność i przejrzystość – dane osobowe powinny być przetwarzane w sposób przejrzysty oraz zgodny z prawem, które zapewniają rzetelność przetwarzania danych;
- Ograniczenie celu – instytucja musi posiadać konkretne cele przetwarzania. W momencie zbierania danych organizacja musi przedstawić cele, których przetwarzanie danych dotyczy. Instytucja nie może zbierać danych w dowolnym celu;
- Minimalizacja danych – organizacja może zbierać i przetwarzać wyłącznie dane, które są niezbędne do osiągnięcia konkretnych celów;
- Prawidłowość – organizacja musi zapewnić, aby dane osobowe były prawidłowe i aktualne, biorąc pod uwagę cele ich przetwarzania. Jeśli nie są prawidłowe i aktualne – musi je poprawić;
- Niezgodność z celami ich pierwotnego gromadzenia – organizacja nie może wykorzystywać danych osobowych w innych celach. Dotyczy to przetwarzania niezgodnego z pierwotnym celem;
- Ograniczenie przechowywania – organizacja musi zagwarantować, że dane osobowe przechowywano przez okres, który nie był dłuższy, niż było to niezbędne;
- Integralność i poufność – organizacja musi wdrożyć odpowiednie i organizacyjne środki bezpieczeństwa, które mają na celu zapewnienie ochrony danych osobowych. W tym również ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem z wykorzystaniem odpowiedniej technologii.