Nawigacja
RODO > Artyku艂 5. Zasady dotycz膮ce przetwarzania danych osobowych
Pobierz jako plik PDF

Artyku艂 5 RODO. Zasady dotycz膮ce przetwarzania danych osobowych

Article 5 GDPR. Principles relating to processing of personal data

1. Dane osobowe musz膮 by膰:

1. Personal data shall be:

a) przetwarzane zgodnie z prawem, rzetelnie i w spos贸b przejrzysty dla osoby, kt贸rej dane dotycz膮 (鈥瀦godno艣膰 z prawem, rzetelno艣膰 i przejrzysto艣膰鈥);

(a)聽processed lawfully, fairly and in a transparent manner in relation to the data subject (鈥榣awfulness, fairness and transparency鈥);

Komentarz eksperta
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 5(1)(a) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law Motywy

(39) Wszelkie przetwarzanie danych osobowych powinno by膰 zgodne z prawem i rzetelne. Dla os贸b fizycznych powinno by膰 przejrzyste, 偶e dotycz膮ce ich dane osobowe s膮 zbierane, wykorzystywane, przegl膮dane lub w inny spos贸b przetwarzane oraz w jakim stopniu te dane osobowe s膮 lub b臋d膮 przetwarzane. Zasada przejrzysto艣ci wymaga, by wszelkie informacje i wszelkie komunikaty zwi膮zane z przetwarzaniem tych danych osobowych by艂y 艂atwo dost臋pne i zrozumia艂e oraz sformu艂owane jasnym i prostym j臋zykiem. Zasada ta dotyczy w szczeg贸lno艣ci informowania os贸b, kt贸rych dane dotycz膮, o to偶samo艣ci administratora i celach przetwarzania oraz innych informacji maj膮cych zapewni膰 rzetelno艣膰 i przejrzysto艣膰 przetwarzania w stosunku do os贸b, kt贸rych sprawa dotyczy, a tak偶e prawa takich os贸b do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotycz膮cych. Osobom fizycznym nale偶y u艣wiadomi膰 ryzyka, zasady, zabezpieczenia i prawa zwi膮zane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przys艂uguj膮cych im w zwi膮zku z takim przetwarzaniem. W szczeg贸lno艣ci konkretne cele przetwarzania danych osobowych powinny by膰 wyra藕ne, uzasadnione i okre艣lone w momencie ich zbierania. Dane osobowe powinny by膰 adekwatne, stosowne i ograniczone do tego, co niezb臋dne do cel贸w, dla kt贸rych s膮 one przetwarzane. Wymaga to w szczeg贸lno艣ci zapewnienia ograniczenia okresu przechowywania danych do 艣cis艂ego minimum. Dane osobowe powinny by膰 przetwarzane tylko w przypadkach, gdy celu przetwarzania nie mo偶na w rozs膮dny spos贸b osi膮gn膮膰 innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres d艂u偶szy, ni偶 jest to niezb臋dne, administrator powinien ustali膰 termin ich usuwania lub okresowego przegl膮du. Nale偶y podj膮膰 wszelkie rozs膮dne dzia艂ania zapewniaj膮ce sprostowanie lub usuni臋cie danych osobowych, kt贸re s膮 nieprawid艂owe. Dane osobowe powinny by膰 przetwarzane w spos贸b zapewniaj膮cy im odpowiednie bezpiecze艅stwo i odpowiedni膮 poufno艣膰, w tym ochron臋 przed nieuprawnionym dost臋pem do nich i do sprz臋tu s艂u偶膮cego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprz臋tu.

(39) Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.

Powi膮zane teksty

b) zbierane w konkretnych, wyra藕nych i prawnie uzasadnionych celach i nieprzetwarzane dalej w spos贸b niezgodny z tymi celami; dalsze przetwarzanie do cel贸w archiwalnych w interesie publicznym, do cel贸w bada艅 naukowych lub historycznych lub do cel贸w statystycznych nie jest uznawane w my艣l art. 89 ust. 1 za niezgodne z pierwotnymi celami (鈥瀘graniczenie celu鈥);

(b)聽collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (鈥榩urpose limitation鈥);

Komentarz eksperta
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(b) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law Powi膮zane teksty

c) adekwatne, stosowne oraz ograniczone do tego, co niezb臋dne do cel贸w, w kt贸rych s膮 przetwarzane (鈥瀖inimalizacja danych鈥);

(c)聽adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (鈥榙ata minimisation鈥);

Komentarz eksperta
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(c) GDPR:

7.4.1 Limit collection

Control

The organization should limit the collection of PII to the minimum that is relevant, proportional and necessary for the identified purposes.

Implementation guidance

The organization should limit the collection of PII to what is adequate, relevant and necessary in relation to the identified purposes. This includes limiting the amount of PII that the organization collects indirectly (e.g. through web logs, system logs, etc.).

Privacy by default implies that, where any optionality in the collection and processing of PII exists, each option should be disabled by default and only enabled by explicit choice of the PII principal.

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law Powi膮zane teksty

d) prawid艂owe i w razie potrzeby uaktualniane; nale偶y podj膮膰 wszelkie rozs膮dne dzia艂ania, aby dane osobowe, kt贸re s膮 nieprawid艂owe w 艣wietle cel贸w ich przetwarzania, zosta艂y niezw艂ocznie usuni臋te lub sprostowane (鈥瀙rawid艂owo艣膰鈥);

(d)聽accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (鈥榓ccuracy鈥);

Komentarz eksperta
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(d) GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.


aby uzyska膰 dost臋p do pe艂nego tekstu

Powi膮zane teksty

e) przechowywane w formie umo偶liwiaj膮cej identyfikacj臋 osoby, kt贸rej dane dotycz膮, przez okres nie d艂u偶szy, ni偶 jest to niezb臋dne do cel贸w, w kt贸rych dane te s膮 przetwarzane; dane osobowe mo偶na przechowywa膰 przez okres d艂u偶szy, o ile b臋d膮 one przetwarzane wy艂膮cznie do cel贸w archiwalnych w interesie publicznym, do cel贸w bada艅 naukowych lub historycznych lub do cel贸w statystycznych na mocy art. 89 ust. 1, z zastrze偶eniem 偶e wdro偶one zostan膮 odpowiednie 艣rodki techniczne i organizacyjne wymagane na mocy niniejszego rozporz膮dzenia w celu ochrony praw i wolno艣ci os贸b, kt贸rych dane dotycz膮 (鈥瀘graniczenie przechowywania鈥);

(e)聽kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article聽89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (鈥榮torage limitation鈥);

Komentarz eksperta
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(e) GDPR:

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

Implementation guidance

Organizations should identify how the specific PII and amount of PII collected and processed is limited relative to the identified purposes.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law Powi膮zane teksty

f) przetwarzane w spos贸b zapewniaj膮cy odpowiednie bezpiecze艅stwo danych osobowych, w tym ochron臋 przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow膮 utrat膮, zniszczeniem lub uszkodzeniem, za pomoc膮 odpowiednich 艣rodk贸w technicznych lub organizacyjnych (鈥瀒ntegralno艣膰 i poufno艣膰鈥).

(f)聽processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (鈥榠ntegrity and confidentiality鈥).

Komentarz eksperta
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.2.1.

Here is the relevant paragraphs to article 5(1)(f) GDPR:

6.3.2.1 Mobile device policy

Implementation guidance

The organization should ensure that the use of mobile devices does not lead to a compromise of PII.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law Powi膮zane teksty

2. Administrator jest odpowiedzialny za przestrzeganie przepis贸w ust. 1 i musi by膰 w stanie wykaza膰 ich przestrzeganie (鈥瀝ozliczalno艣膰鈥).

2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph聽1 (鈥榓ccountability鈥).

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.1.3.

Here is the relevant paragraphs to article 5(2) GDPR:

6.15.1.3 Protection of records

Implementation guidance

Review of current and historical policies and procedures can be required (e.g. in the cases of customer dispute resolution and investigation by a supervisory authority).


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law Motywy

(82) Dla zachowania zgodno艣ci z niniejszym rozporz膮dzeniem, administrator lub podmiot przetwarzaj膮cy powinni prowadzi膰 rejestry czynno艣ci przetwarzania, za kt贸re s膮 odpowiedzialni. Ka偶dy administrator i ka偶dy podmiot przetwarzaj膮cy powinni mie膰 obowi膮zek wsp贸艂pracowa膰 z organem nadzorczym i na jego 偶膮danie udost臋pnia膰 mu te rejestry w celu monitorowania tych operacji przetwarzania.

(82) In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations.

Powi膮zane teksty
Motywy Wytyczne & Case Law zostaw komentarz
Motywy

(39) Wszelkie przetwarzanie danych osobowych powinno by膰 zgodne z prawem i rzetelne. Dla os贸b fizycznych powinno by膰 przejrzyste, 偶e dotycz膮ce ich dane osobowe s膮 zbierane, wykorzystywane, przegl膮dane lub w inny spos贸b przetwarzane oraz w jakim stopniu te dane osobowe s膮 lub b臋d膮 przetwarzane. Zasada przejrzysto艣ci wymaga, by wszelkie informacje i wszelkie komunikaty zwi膮zane z przetwarzaniem tych danych osobowych by艂y 艂atwo dost臋pne i zrozumia艂e oraz sformu艂owane jasnym i prostym j臋zykiem. Zasada ta dotyczy w szczeg贸lno艣ci informowania os贸b, kt贸rych dane dotycz膮, o to偶samo艣ci administratora i celach przetwarzania oraz innych informacji maj膮cych zapewni膰 rzetelno艣膰 i przejrzysto艣膰 przetwarzania w stosunku do os贸b, kt贸rych sprawa dotyczy, a tak偶e prawa takich os贸b do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotycz膮cych. Osobom fizycznym nale偶y u艣wiadomi膰 ryzyka, zasady, zabezpieczenia i prawa zwi膮zane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przys艂uguj膮cych im w zwi膮zku z takim przetwarzaniem. W szczeg贸lno艣ci konkretne cele przetwarzania danych osobowych powinny by膰 wyra藕ne, uzasadnione i okre艣lone w momencie ich zbierania. Dane osobowe powinny by膰 adekwatne, stosowne i ograniczone do tego, co niezb臋dne do cel贸w, dla kt贸rych s膮 one przetwarzane. Wymaga to w szczeg贸lno艣ci zapewnienia ograniczenia okresu przechowywania danych do 艣cis艂ego minimum. Dane osobowe powinny by膰 przetwarzane tylko w przypadkach, gdy celu przetwarzania nie mo偶na w rozs膮dny spos贸b osi膮gn膮膰 innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres d艂u偶szy, ni偶 jest to niezb臋dne, administrator powinien ustali膰 termin ich usuwania lub okresowego przegl膮du. Nale偶y podj膮膰 wszelkie rozs膮dne dzia艂ania zapewniaj膮ce sprostowanie lub usuni臋cie danych osobowych, kt贸re s膮 nieprawid艂owe. Dane osobowe powinny by膰 przetwarzane w spos贸b zapewniaj膮cy im odpowiednie bezpiecze艅stwo i odpowiedni膮 poufno艣膰, w tym ochron臋 przed nieuprawnionym dost臋pem do nich i do sprz臋tu s艂u偶膮cego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprz臋tu.

(39) Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.

Wytyczne & Case Law zostaw komentarz
[js-disqus]