Zasada rozliczalności w RODO

BySylwia Ostrowska

zasada rozliczalności

Pisaliśmy już o zasadzie przejrzystości, rzetelności i legalności, lecz to nie wszystkie zasady jakie narzuca na nas RODO. Niesformułowana wprost w prawie krajowym ani unijnym Zasada rozliczalności przed RODO – nie dość, że administrator musi przestrzegać to jeszcze musi móc udowodnić. Bardzo często odpowiedzialność za realizację zasady rozliczalności zrzucana jest na IOD-ów.

Rozliczalność

Zasada rozliczalności zakłada, że Administrator danych ma obowiązek wykazać przestrzeganie zasad ochrony danych osobowych wymienionych w art. 5 ust. 1. Czyli, że przetwarzają dane osobowe w sposób zgodny z przepisami o ochronie danych. RODO jest wyrozumiałe w zakresie praktycznego realizowania zasady rozliczalności. Administrator może podjąć dowolne, ale adekwatne działania, aby powyższą zasadę można było uznać za realizowaną i zminimalizować zagrożenie naruszeń.

Realizacja zasady rozliczalności

RODO jest tolerancyjne wobec praktycznego realizowania zasady rozliczalności. Nie ma narzuconych działań przez rozporządzenie, aby powyższą zasadę można było uznać za zrealizowaną oraz zminimalizować zagrożenia wobec naruszeń. Zasadę można zrealizować na podstawie takich narzędzi jak:

  • odpowiednie programy służące do monitorowania efektywności wdrożonych środków organizacyjnych i technicznych, które mogą demonstrować zgodność;
  • wewnętrzne lub zewnętrzne polityki prywatności lub dokumentacje;
  • audyty ochrony danych osobowych zakończone certyfikacją;
  • programy szkoleń;
  • przestrzeganie zasady ochrony danych w fazie projektowania, czyli przed zebraniem danych;
  • przestrzeganie zasady domyślnej ochrony danych — przetwarzane mają być wyłącznie te dane, które są niezbędne dla osiągnięcia celu przetwarzania;
  • powołanie inspektora ochrony danych;
  • ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych, kiedy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Zasada rozliczalności nakłada zatem na administratora danych ciężar dowodowy, polegający na konieczności wykazania przez niego zarówno przed organem nadzorczym, jak również przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych. Administrator może przetwarzać dane samodzielnie lub powierzyć ich przetwarzanie innemu podmiotowi (podmiot przetwarzający – art. 4 pkt 8 ogólnego rozporządzenia o ochronie danych)

Kiedy ta rozliczalność?
  • dowodowość pozyskanych zgód na przetwarzanie danych w określonych celach;
  • obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych;
  • zawieranie umów powierzenia przetwarzania danych – a więc stosowania mechanizmu prawnego, dzięki któremu Administrator ma narzędzia do nadzoru i zabezpieczenia procesu „poza firmą”;
  • zapewnienie, aby dane osobowe były przetwarzane na wyraźne polecenie Administratora (udokumentowanie procesu np. poprzez upoważnienia).
Idea zasady rozliczalności

Zasada rozliczalności wywiera nacisk na przestrzeganie przepisów, nadzorowanie działalności podmiotów przetwarzających dane oraz zapobieganie niewłaściwym skutkom, np. nieuprawnionemu dostępowi, niewłaściwemu użyciu bądź utracie danych. Zasada rozliczalności zobowiązała administratorów danych osobowych do demonstrowania, że podjęli wszystkie niezbędne środki, by zapewnić zgodność z obowiązkami ochrony danych osobowych. Na wypadek kontroli z organu nadzorczego administrator musi się rozliczyć z przestrzegania przepisów, realizacji ich i przedstawić dowody o prawidłowym wykonywaniu obowiązków. Rozliczalność działań zapewnić może np. notatka z analizy konieczności realizacji konkretnego wymogu prawnego w kontekście procesów przetwarzania danych osobowych przez organizację.