Zasady przetwarzania danych osobowych

Zasada legalności

Przetwarzanie danych osobowych musi odbywać się na podstawie co najmniej jednej z przesłanek uprawniających do przetwarzania, wskazanych w art. 6 ust. 1 lit. a)-f) RODO, czyli:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych,
• przetwarzanie jest niezbędne do wykonania umowy zawartej z osobą, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Zasada celowości

Aby przetwarzać dane osobowe, administrator musi mieć konkretny, wyraźny (jednoznaczny) i prawnie uzasadniony cel przetwarzania.

Nie wszystkie cele przetwarzania wymagają zgody osoby, której dane dotyczą lub podlegają sprzeciwowi.

Twoje dane osobowe przetwarzamy, w szczególności, w następujących celach:

• zawarcie i realizacja umowy
• sprzedaż produktów i usług
• świadczenie usług
• sprawdzanie wiarygodności płatniczej
• obsługa płatności
• obsługa czynności serwisowych
• prowadzenie działań marketingowych
• prowadzenie analiz i statystyki
• wykrywanie i zapobieganie nadużyciom
• archiwizacja danych i dokumentów
• ustalenie, obrona i dochodzenie roszczeń
• udzielanie odpowiedzi na pisma, wnioski i reklamacje

Zasada adekwatności (minimalizacji danych)

Administrator, który przetwarza dane osobowe powinien kierować się zasadą minimalizacji danych, czyli przetwarzać tyko takie dane, które są niezbędne, konieczne i proporcjonalne do realizacji danego celu przetwarzania.

Zakres danych może być określony wprost przez przepisy prawa (np. Prawo telekomunikacyjne, kodeks pracy). Jeśli nie jest – to administrator musi ocenić, czy zakres danych, które chce przetwarzać, jest niezbędny i proporcjonalny do realizacji celu przetwarzania.

Zasada merytorycznej poprawności

Przetwarzane dane osobowe powinny być poprawne, a jeśli będzie taka potrzeba lub konieczność powinny być także uaktualniane. Administrator jest zobowiązany zapewnić prawidłowość, merytoryczną poprawność, zgodność ze stanem rzeczywistym, kompletność i aktualność danych.

Administrator powinien ocenić wiarygodność źródła pozyskania danych, a także wdrożyć sposób weryfikacji prawdziwości przetwarzanych danych.

Zasada ograniczenia przechowywania danych

Dane osobowe mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do realizacji danego celu przetwarzania.

W tym celu administrator powinien ustalić okres przechowywania danych, termin ich usuwania lub okresowego przeglądu. Okres przechowywania danych może być określony wprost przez przepisy prawa, jak np.:

• 12 miesięcy dla danych o połączeniach lub nieudanych próbach połączenia – określony w ustawie Prawo telekomunikacyjne
• 5 lat od końca okresu podatkowego dla danych finansowych (faktury, obsługa płatności) w ustawie Ordynacja podatkowa

Zasada integralności i poufności danych

Dane osobowe powinny być zabezpieczone przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych, ich przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu administrator powinien stosować odpowiednie środki techniczne lub organizacyjne.

Zasada rozliczalności

Administrator powinien:

• wdrożyć odpowiednie i skuteczne środki, które zapewnią przestrzeganie obowiązków i wymagań RODO,
• być w stanie wykazać, że postępuje zgodnie z zasadami dotyczącymi przetwarzania danych osobowych oraz że zastosowane środki spełniają obowiązki i wymagania RODO.

Wybór środków zależy od administratora oraz rozpoznanego i oszacowanego zagrożenia dla bezpieczeństwa danych osobowych.

Zasada przejrzystości

Informacje przekazywane osobom, których dane dotyczą, powinny być łatwo dostępne, zrozumiałe oraz sformułowane jasnym i prostym językiem.

Informacje mogą być przekazywane w formie pisemnej (w tym elektronicznie) lub ustnie.

Administratorowi przysługuje prawo weryfikacji, czy dana osoba jest rzeczywiście osobą, której dane dotyczą.

Administrator nie powinien pobierać opłaty za udzielanie żądanych informacji.

Mogą być wyjątki – gdy żądania są ewidentnie nieuzasadnione lub nadmierne. Wtedy administrator może pobrać rozsądną opłatę.