W związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: RODO) bardzo głośno zrobiło się między innymi na temat przygotowywania procedur ochrony danych osobowych. Często zadawanym pytaniem było „czy procedury takie są konieczne?”
Procedury przetwarzania danych osobowych – wymysł czy obowiązek?
- Artykuły
- 31/05/2023
Łukasz Pyjek
RODO wprowadziło szereg zasad przetwarzania danych osobowych, tj.:
• zgodność z prawem, rzetelność i przejrzystość,
• ograniczenie celu,
• minimalizacja danych,
• prawidłowość,
• ograniczenie przechowywania,
• integralność i poufność
oraz
• rozliczalność.
O ile powyższe zasady rozumiemy intuicyjnie, tj. np. ograniczenie celu rozumiemy jako przetwarzanie danych osobowych w celu, dla którego zostały zebrane, określonego w sposób konkretny i zgodny z prawem, a minimalizację danych rozumiemy jako zbieranie wyłącznie danych niezbędnych do realizacji określonego celu, bez danych nadmiarowych, to zasada rozliczalności wydaje się bardziej enigmatyczna.
Zgodnie z art. 5 ust. 2 RODO Administrator musi przestrzegać zasad, które przytoczyliśmy powyżej, a dodatkowo musi być w stanie wykazać przestrzeganie tych zasad. I to właśnie jest zasada rozliczalności.
Przekładając powyższe na kwestię tego czy procedury przetwarzania danych są potrzebne czy nie, zasadniczo należy stwierdzić, że trudno jest wykazać przestrzeganie zasad nałożonych na administratorów przez RODO bez wdrożenia i stosowania odpowiednich procedur. Dlatego też, o ile obowiązek posiadania konkretnej spisanej procedury nie wynika wprost z postanowień RODO, to praktyczna realizacja obowiązków w zakresie ochrony danych osobowych determinuje konieczność posiadania odpowiedniej dokumentacji. Z kolei posiadanie odpowiedniej dokumentacji pomoże uniknąć dotkliwych kar pieniężnych.
Aktualności
Najnowsze artykuły
Korekta cen transferowych – kiedy jest możliwa i gdzie podatnicy popełniają błąd
Korekta cen transferowych (tzw. KCT) jest jednym z kluczowych mechanizmów stosowanych przez…
Oświadczenie o stosowaniu cen rynkowych w TPR – co realnie potwierdza zarząd i gdzie jest ryzyko
W wielu organizacjach obowiązki w obszarze cen transferowych sprowadzają się do przygotowania…
Darowizna od rodziców a zwolnienie z podatku – NSA skierował pytanie do Trybunału Konstytucyjnego
Darowizna środków pieniężnych otrzymana od najbliższej rodziny podlega zwolnieniu z podatku od…
Korekta cen transferowych – kiedy jest możliwa i gdzie podatnicy popełniają błąd
Korekta cen transferowych (tzw. KCT) jest jednym z kluczowych mechanizmów stosowanych przez…
Oświadczenie o stosowaniu cen rynkowych w TPR – co realnie potwierdza zarząd i gdzie jest ryzyko
W wielu organizacjach obowiązki w obszarze cen transferowych sprowadzają się do przygotowania…
Darowizna od rodziców a zwolnienie z podatku – NSA skierował pytanie do Trybunału Konstytucyjnego
Darowizna środków pieniężnych otrzymana od najbliższej rodziny podlega zwolnieniu z podatku od…
RODO wprowadziło szereg zasad przetwarzania danych osobowych, tj.:
• zgodność z prawem, rzetelność i przejrzystość,
• ograniczenie celu,
• minimalizacja danych,
• prawidłowość,
• ograniczenie przechowywania,
• integralność i poufność
oraz
• rozliczalność.
O ile powyższe zasady rozumiemy intuicyjnie, tj. np. ograniczenie celu rozumiemy jako przetwarzanie danych osobowych w celu, dla którego zostały zebrane, określonego w sposób konkretny i zgodny z prawem, a minimalizację danych rozumiemy jako zbieranie wyłącznie danych niezbędnych do realizacji określonego celu, bez danych nadmiarowych, to zasada rozliczalności wydaje się bardziej enigmatyczna.
Zgodnie z art. 5 ust. 2 RODO Administrator musi przestrzegać zasad, które przytoczyliśmy powyżej, a dodatkowo musi być w stanie wykazać przestrzeganie tych zasad. I to właśnie jest zasada rozliczalności.
Przekładając powyższe na kwestię tego czy procedury przetwarzania danych są potrzebne czy nie, zasadniczo należy stwierdzić, że trudno jest wykazać przestrzeganie zasad nałożonych na administratorów przez RODO bez wdrożenia i stosowania odpowiednich procedur. Dlatego też, o ile obowiązek posiadania konkretnej spisanej procedury nie wynika wprost z postanowień RODO, to praktyczna realizacja obowiązków w zakresie ochrony danych osobowych determinuje konieczność posiadania odpowiedniej dokumentacji. Z kolei posiadanie odpowiedniej dokumentacji pomoże uniknąć dotkliwych kar pieniężnych.