Najpevnejšia európska legislatíva o ochrane údajov GDPR stanovuje, ako by sa osobné údaje mali zhromažďovať, spracovávať a používať v súlade s modernými zásadami a normami ochrany údajov. Zásady, na ktorých sa zakladá legislatíva, sa nemusia veľmi meniť, ale tretia generácia zákonov o osobných údajoch v Európe veľmi modernizovala svoje aplikácie. Prinášame vám zopár zásad ochrany osobných údajov.
Pre spracovanie osobných údajov je potrebné dodržiavať niekoľko zásad:
- vymedziť účel spracovania osobných údajov, ak sa osobné údaje nespracúvajú na základe osobitných zákonov,
- určiť podmienky spracovania osobných údajov,
- získavať osobné údaje výlučne na vymedzený alebo ustanovený účel,
- zabezpečiť, aby sa spracovali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu spracovania,
- zabezpečiť, aby sa osobné údaje spracovali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené,
- spracovať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracovania,
- zabezpečiť, aby zhromaždené osobné údaje boli spracované vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracovania,
- zlikvidovať tie osobné údaje, ktorých účel spracovania sa skončil,
- spracovať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.
Zákonnosť, spravodlivosť a transparentnosť
Prvý princíp je pravdepodobne najdôležitejší. Všetky osobné údaje musia byť spracované spravodlivo a zákonne a spôsobom, ktorý je úplne transparentný. Organizácia má povinnosť informovať každého jednotlivca o tom, že o ňom zhromažďuje údaje, ako presne sa tieto údaje používajú a komu budú odovzdané. Zhromažďovanie, spracovanie a zverejňovanie údajov sa musí robiť v súlade so zákonom.
Obmedzenie účelu
Zhromažďovanie údajov musí byť z daného dôvodu, ktorý je zákonný a transparentný, nesmie byť spracovaný spôsobom, ktorý by bol v rozpore s týmto pôvodným účelom.
Minimalizácia údajov
Organizácie zodpovedné za zhromažďovanie údajov sú povinné zabezpečiť, aby informácie boli primerané, relevantné a nie nadbytočné vzhľadom na pôvodný dôvod, prečo boli zhromaždené. Predmet údajov má tiež právo na prístup k všetkým údajom, ktoré sa v nich nachádzajú, v akomkoľvek formáte, v ktorom sa údaje ukladajú, či už ide o rukou písané poznámky, e-maily alebo formálne dokumenty.
Presnosť
Organizácie sú povinné zabezpečiť presné a aktuálne osobné údaje. Znamená to, že organizácia by mala v pravidelných intervaloch hodnotiť informácie o jednotlivcoch a zmeniť a doplniť neaktuálne alebo nepresné informácie. Jednotlivci majú právo na vymazanie alebo zničenie nepresných údajov o nich.
Obmedzenie ukladania
Ak údaje o jednotlivcovi slúžia svojmu účelu, musia byť vymazané alebo zničené, pokiaľ neexistujú iné dôvody na ich zachovanie. Organizácie by mali mať k dispozícii proces kontroly na vyčistenie databáz.
Bezúhonnosť a dôvernosť
Údaje, ktoré organizácia má, musia byť zachované. Riaditeľ údajov má povinnosť podniknúť primerané kroky na zabezpečenie spoľahlivosti všetkých zamestnancov, ktorí majú prístup k osobným údajom. Ak sa na spracovávanie údajov podieľa tretia strana, organizácia musí zabezpečiť, aby bola uzavretá zmluva s týmto spracovateľom údajov, ktorá zabezpečuje primerané bezpečnostné opatrenia.
Zodpovednosť
Potreba spracovávať osobné údaje v súlade s právami jednotlivcov a prenos údajov do zahraničia boli podľa predchádzajúceho zákona dvoma princípmi, ale v rámci GDPR boli poskytnuté vlastné samostatné kapitoly, ktoré podrobne vysvetľujú, ako sa tieto predpisy uplatňujú podľa zákona. Zásada zodpovednosti sa tiež uplatňuje v rámci nového súboru nariadení EÚ, pričom kontrolóri údajov by mali prevziať väčšiu zodpovednosť za to, čo sa deje s osobnými údajmi a ako dodržiavať ostatné zásady.