Zasady zgodności z prawem i rzetelności należą do fundamentów przetwarzania danych osobowych w świetle RODO. Ich naruszenie często skutkuje dotkliwymi karami finansowymi od Prezesa Urzędu Ochrony Danych Osobowych (PUODO). W praktyce przedsiębiorcy i instytucje publiczne często bagatelizują te obowiązki, co prowadzi do poważnych problemów prawnych i reputacyjnych.
W tym poradniku wyjaśnię, co dokładnie oznaczają te dwie zasady, jakie błędy są najczęściej popełniane, a także jak w praktyce zapewnić zgodność z przepisami, aby uniknąć sankcji.
Zasada zgodności z prawem – fundament przetwarzania 📌
Co oznacza zasada zgodności z prawem?
Zasada zgodności z prawem (ang. lawfulness) to nadrzędna zasada RODO, która warunkuje stosowanie wszystkich pozostałych reguł. Oznacza ona, że dane osobowe można przetwarzać tylko wtedy, gdy istnieje do tego wyraźna podstawa prawna i gdy sposób przetwarzania nie narusza innych przepisów prawa.
Zgodność z prawem obejmuje m.in.:
- wybór właściwej podstawy prawnej dla każdej operacji przetwarzania,
- powiązanie podstawy prawnej z konkretnym celem,
- zakończenie przetwarzania, gdy ustaje podstawa prawna,
- prawidłowe zawieranie umów powierzenia,
- legalny transfer danych poza Europejski Obszar Gospodarczy,
- unikanie zmiany celu przetwarzania w sposób sprzeczny z zasadami RODO.
Najważniejsze elementy analizy legalności:
✔ ustalenie podstawy prawnej przed rozpoczęciem przetwarzania,
✔ dopasowanie podstawy prawnej do konkretnego celu,
✔ test równowagi przy stosowaniu „prawnie uzasadnionego interesu”,
✔ zapewnienie łatwego wycofania zgody (tak prostego jak jej udzielenie),
✔ przerwanie przetwarzania, gdy podstawa prawna ustaje,
✔ jasny podział obowiązków w przypadku współadministrowania.
Przykłady naruszeń zasady zgodności z prawem ⚠️
Przykład 1 – dane biometryczne w szkole
W jednej ze szkół w woj. mazowieckim wprowadzono system identyfikacji uczniów na stołówce za pomocą odcisków palców. Podstawą miała być zgoda rodziców. Problem w tym, że zgoda w takiej sytuacji nie była dobrowolna – rodzice czuli się zmuszeni, aby dziecko mogło korzystać z posiłków. UODO nałożył karę za brak legalnej podstawy.
Przykład 2 – brak umowy powierzenia
Firma „InfoTech” korzystała z zewnętrznej usługi księgowej, która miała dostęp do danych pracowników i klientów. Administrator nie zawarł jednak wymaganej umowy powierzenia z usługodawcą. UODO uznał, że doszło do bezprawnego udostępnienia danych i wymierzył karę finansową.
Zasada rzetelności – uczciwe i przejrzyste przetwarzanie 📄
Co oznacza rzetelność?
Rzetelność (ang. fairness) oznacza, że dane muszą być przetwarzane w dobrej wierze, z poszanowaniem praw osób, których dane dotyczą. Administrator nie może działać podstępnie, wykorzystywać niewiedzy użytkowników ani narażać ich na nieoczekiwane ryzyko.
Zasada ta wymaga, aby:
- przetwarzanie odpowiadało uzasadnionym oczekiwaniom osoby,
- dane nie były wykorzystywane w sposób dyskryminujący,
- administrator nie uzależniał użytkownika od jednego dostawcy usług,
- informacje były przekazywane w sposób jasny, neutralny i bez manipulacji,
- ryzyka biznesowe nie były przenoszone na osoby fizyczne.
Rzetelność w profilowaniu
RODO w motywie 71 podkreśla, że w przypadku profilowania administrator powinien wdrożyć środki techniczne i organizacyjne ograniczające błędy oraz dyskryminację. Niezbędne są m.in.:
✔ kontrola algorytmów i ich dostosowywanie,
✔ interwencja człowieka w przypadku decyzji automatycznych,
✔ ochrona przed wykorzystaniem słabości osób (np. dzieci, seniorów).
Przykłady naruszeń zasady rzetelności ⚠️
Przykład 3 – manipulacyjne komunikaty
Portal rekrutacyjny „JobFinder” w formularzu rejestracyjnym stosował komunikat:
„Jeśli nie wyrazisz zgody na przekazanie danych partnerom, twoje konto może działać nieprawidłowo”.
Takie sformułowanie było wprowadzające w błąd i UODO wskazał, że narusza zasadę rzetelności.
Przykład 4 – profilowanie bez nadzoru
Firma marketingowa „AdSmart” stosowała algorytmy do profilowania klientów, które w praktyce dyskryminowały osoby z małych miejscowości, oferując im gorsze warunki finansowe. Brak nadzoru nad algorytmami i brak interwencji człowieka naruszył zasadę rzetelności.
Podsumowanie – jak stosować zasady zgodności z prawem i rzetelności?
👉 Zgodność z prawem to podstawa – bez legalnej podstawy żadne przetwarzanie nie jest dozwolone.
👉 Rzetelność oznacza działanie uczciwe, przejrzyste i w interesie osoby, której dane dotyczą.
👉 Naruszenia tych zasad najczęściej wynikają z:
- błędnego przyjęcia podstawy prawnej,
- braku umów powierzenia,
- zbyt ogólnych lub manipulacyjnych komunikatów,
- braku kontroli nad profilowaniem i algorytmami.
Administratorzy powinni regularnie weryfikować swoje procesy przetwarzania i upewniać się, że nie tylko spełniają literalne wymogi prawa, ale też działają w sposób rzetelny i zgodny z oczekiwaniami osób fizycznych.
Podstawa prawna
- art. 5 ust. 1 lit. a, art. 6, art. 7, art. 21, art. 25 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO).
- motyw 71 – RODO.
Tematy porad zawartych w poradniku
- zgodność z prawem przetwarzania danych RODO
- zasada rzetelności w ochronie danych
- przykłady naruszeń RODO i kary UODO
- legalne podstawy przetwarzania danych osobowych
- profilowanie i rzetelność w RODO
Przydatne adresy urzędowe
- Urząd Ochrony Danych Osobowych: https://uodo.gov.pl
- Europejska Rada Ochrony Danych: https://edpb.europa.eu
- EUR-Lex – tekst RODO: https://eur-lex.europa.eu/eli/reg/2016/679/oj