Audyt celu przetwarzania

Artykuł 5 ust. 1 lit. b RODO stanowi, że dane osobowe powinny być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach. Przetwarzanie danych, które później następuje, powinno odbywać się zgodnie z tymi celami. Nie oznacza to, że w każdym przypadku zakazana jest zmiana celu lub jego poszerzenie. RODO nie formułuje bowiem zakazu przetwarzania danych w celach „innych”, lecz jedynie zakaz przetwarzania w celach „niezgodnych” z pierwotnym celem przetwarzania.

Określenie celu jest koniecznym pierwszym krokiem w stosowaniu przepisów o ochronie danych osobowych oraz jest krokiem niezbędnym, by zaprojektować odpowiednie zabezpieczenia dla procesów przetwarzania danych. Zasada ograniczenia celu przetwarzania wyznacza granice, w których dane osobowe zebrane dla określonego celu mogą być przetwarzane i mogą być przekazane do dalszego użycia. Zasada ta składa się z dwóch
wytycznych:

  • administrator może zbierać dane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach,
  • raz zebrane dane nie mogą być przetwarzane na cele sprzeczne z celem pierwotnym.

Powyższą zasadę można łatwo wytłumaczyć, przyjmując perspektywę osoby, której dane są przetwarzane. Kiedy ktoś dzieli się danymi osobowymi z podmiotem zewnętrznym, zazwyczaj ma jakieś oczekiwania co do celów, dla jakich te dane zostaną użyte. Przestrzeganie tych celów stanowi pewną wartość, przyczynia się do większego zaufania i pewności prawnej w obrocie danymi, co jest tym bardziej istotne w dobie Big Data, gdy użytkownicy właś­ciwie nie panują już nad tym, w jaki sposób i gdzie ich dane są przechowywane, przetwarzane czy udostępniane. Dlatego właśnie zasada ograniczonego celu jest tak ważna – stanowi podwaliny pod wszystkie pozostałe zasady ochrony danych osobowych.

Poza tym dane, które już zostały zebrane, mogą być także przydatne do innych celów. Pewne wartości przemawiają zatem również za tym, by dozwolone było przetwarzanie danych osobowych również na dodatkowe cele, w starannie określonych granicach.