Treść artykułu dostarcza informacji na temat realizacji wymagań zasady prawidłowości określonej w art. 5 RODO. Publikacja stanowi kontynuację serii artykułów poświęconych analizie wymagań w zakresie podstawowych zasad przetwarzania danych osobowych.
Spis treści:
1) O czym stanowi art. 5 ust. 1 lit. d RODO?
Zasada „prawidłowość” została określona w art. 5 ust. 1 lit. d RODO i stanowi, że dane osobowe muszą być:
„prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”)”.
2) Jak należy interpretować prawidłowość?
Przedmiotowa zasada wskazuje na dwa obowiązki administratora. Jest on zobligowany, aby zadbał o prawidłowość danych oraz (w razie potrzeby) o ich aktualność.
Pierwszy obowiązek ma znaczenie w procesie zbierania danych osobowych, gdyż właśnie odpowiednia organizacja tego procesu ma największy wpływ na poprawną realizację zasady prawidłowości.
Zatem, aby zagwarantować jak najwyższy poziom poprawności zbieranych danych administrator powinien:
zastosować działania mające na celu weryfikację poprawności danych (dotyczy sytuacji zbierania danych od osób, których dane dotyczą);
ocenić wiarygodność źródła pozyskiwanych danych (dotyczy sytuacji zbierania danych w sposób inny niż od podmiotu danych).
Co więcej, w celu zapewnienia, iż przetwarzanie danych osobowych odbywać się będzie w zgodzie z zasadą prawidłowości, administrator powinien:
wziąć pod uwagę ewentualną potrzebę cyklicznego aktualizowania przetwarzanych danych;
z rozwagą analizować wszelkie wyzwania dotyczące poprawności danych jakie mogą się pojawić przy realizacji procesów ich przetwarzania;
wprowadzić mechanizmy weryfikacji poszczególnych kategorii danych (np. prosty algorytm może weryfikować poprawność numeru PESEL, w którym ostania cyfra stanowi sumę kontrolną);
uwzględnić skutki braku poprawności danych dla osoby, której dane dotyczą.
3) Prawo do sprostowania a zasada prawidłowości
Warto podkreślić związek zasady prawidłowości z prawem do poprawiania danych. Obowiązek dla administratora, a uprawnienie dla osoby fizycznej zostało określone w art. 16 RODO. Administrator jest zobowiązany do niezwłocznego sprostowania danych nieprawidłowych lub uzupełnienia niekompletnych danych osobowych.
Należy zwrócić uwagę, że warunkiem przysługiwania omawianego uprawnienia jest wystąpienie nieprawidłowości lub braku kompletności danych osobowych. Wykazanie wystąpienia braku poprawności danych spoczywa po stronie osoby fizycznej. Może to oznaczać, że administrator – stosując zasadę prawidłowości – nie sprostuje danych, jeśli nie uzna argumentacji podmiotu danych za wiarygodną.
4) Kiedy dane są prawidłowe/nieprawidłowe (dokładne/niedokładne) ?
W angielskiej wersji przepisów RODO, w art. 5 ust. 1 lit. d posłużono się terminem „accurate” (dokładny). Natomiast w polskiej wersji przepisów, w analogicznym miejscu użyto słowa „prawidłowe”.
Niestety próżno szukać w RODO definicji określających czym są dane prawidłowe/nieprawidłowe, podobnie jak nie znajdzie się definicji danych dokładnych/niedokładnych, gdyż ich tam nie ustanowiono.
Natomiast pewnych wskazówek można doszukać się w brytyjskich przepisach regulujących przetwarzanie danych osobowych (Data Protection Act 2018), gdzie w sekcji „General Interpretation” określono termin danych niedokładnych:
” “inaccurate”, in relation to personal data, means incorrect or misleading as to any matter of fact;”
Zatem dane niedokładne oznaczają dane nieprawidłowe lub wprowadzające w błąd, co do okoliczności faktycznych. W większości przypadków oczywistym będzie kiedy dane osobowe będą dokładne/prawidłowe, a kiedy nie. W szczególności zbyt mały zakres danych może nie identyfikować jednoznacznie osoby, a zatem dane o tej osobie będą wówczas niedokładne.
5) Czy dane osobowe zawsze powinny być aktualne?
Odpowiedź na pytanie dotyczące drugiego obowiązku wynikającego z zasady prawidłowości uwarunkowana jest tym, w jakim celu wykorzystuje się dane osobowe. W przypadku procesów przetwarzania, dla których bieżąca poprawność jest kluczowa to administrator powinien szczególnie zadbać o ich poprawność przez cały czas przetwarzania. W szczególności, o ciągłą aktualność administrator powinien zadbać w sytuacji, gdy jej brak będzie mógł skutkować dotkliwymi konsekwencjami dla osób, których dane dotyczą (np. w sytuacji przetwarzania danych dotyczących leków przyjmowanych przez pacjenta).
Z drugiej strony jeżeli dla procesów przetwarzania poprawność danych nie jest krytyczna (np. wizerunek prelegentów przeprowadzających szkolenia online), to dane mogą być rzadziej aktualizowane lub nawet mogą nie być nigdy aktualizowane (np. dane wykorzystywane w celach statystycznych/historycznych).
Zatem to z jaką starannością oraz intensyfikacją administrator powinien działać, aby zachować poprawność danych osobowych wynika z celów i kontekstu przetwarzania danych osobowych.
6) Kara nałożona przez UODO za naruszenie ochrony danych, do którego doszło w wyniku braku poprawności danych
Omawiając zasadę prawidłowości nie sposób nie wspomnieć o decyzji Prezesa UODO z dnia 9 grudnia 2020 r., na mocy której nałożył na TUiR WARTA S.A. karę pieniężną w wysokości 85 588 złotych, o której pisaliśmy w jednym z naszych Komunikatów IOD-y.
W przywołanym przypadku, w procesie zawierania umowy, klient podał nieprawidłowy adres e-mail. W konsekwencji spowodowało to naruszenie ochrony jego danych osobowych – w wyniku braku poprawności danych administrator wysłał polisę do niewłaściwego adresata. Fakt, że to osoba, której dane dotyczą podała niewłaściwe dane kontaktowe nie zwalniało TUiR WARTA S.A. z realizacji obowiązków wynikających z art. 33 i art. 34 RODO.
Wspomnianego naruszenia można było uniknąć, gdyby administrator wdrożył jakiekolwiek mechanizmy weryfikujące prawidłowość zbieranych danych (np. wysłanie wiadomości e-mail z linkiem aktywacyjnym, potwierdzającym adres e-mail) lub wdrożył stosowne środki bezpieczeństwa (w postaci zabezpieczenia dokumentu elektronicznego hasłem, którego treść przekazywano by innym kanałem komunikacji, np. via SMS).
Podsumowanie
Przetwarzanie danych w zgodzie z zasadą prawidłowości wymaga od administratora przemyślanej organizacji procesów zbierania danych osobowych. Każdy proces powinien być analizowany pod względem realizacji zasady prawidłowości oraz ryzyka dla osób, których dane dotyczą, które może powstać w wyniku braku jej przestrzegania. Prawidłowa realizacja zasad przetwarzania może uchronić nie tylko osoby, których dane dotyczą przed negatywnymi skutkami wynikającymi z braku poprawności danych osobowych, ale również organizację przed konsekwencjami nieprzestrzegania przepisów RODO.
Polecamy nasze pozostałe artykuły dotyczące prawidłowej realizacji zasad przetwarzania określonych w art. 5 RODO: