Niniejszym artykułem kontynuujemy serię dotyczącą podstawowych zasad przetwarzania danych osobowych, wymienionych w art. 5 RODO. W trzecim odcinku serii zajmiemy się zasadą rozliczalności. Czytelnik znajdzie w nim odpowiedzi na następujące pytania:
czym jest zasada rozliczalności?
na czym polega rozliczalność?
jaką rolę pełni analiza ryzyka w realizacji zasady rozliczalności
jak zapewnić przestrzeganie zasady rozliczalności?
dlaczego warto usystematyzować kwestię rozliczalności?
Czym jest zasada rozliczalności?
Jest to ostatnia z podstawowych zasad ustanowionych w RODO i jako jedyna została opisana w odrębnym ustępie od pozostałych (art. 5 ust. 2 RODO). Być może z tego powodu bywa nazywana „koroną zasad”. Inny powód utworzenia tego określenia może wynikać z samej treści tej zasady, która determinuje także jej położenie redakcyjne w przepisach RODO. A ponad wszystko koronne jest jej znaczenie w stosowaniu RODO, a także – co pokażemy w dalszej części artykułu – może być istotnym elementem wdrożenia RODO i całego systemu ochrony danych osobowych. Właściwa treść przepisu definiującego zasadę brzmi „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”.
Pierwszą konsekwencją, którą możemy wywieźć z powyższej treści jest właśnie owa swoista nadrzędność analizowanej zasady nad pozostałymi – na cóż zdadzą się najlepsze intencje lub rzekome stosowanie zasad (wymienionych w ust. 1), jeśli nie jesteśmy w stanie tego wykazać…
Drugą, poważniejszą konsekwencją jest konieczność udowodnienia przez administratora, że przestrzega wszystkich zasad wymienionych w art. 5 RODO. Dlatego obowiązek ten w środowisku osób zajmujących się tematyką ochrony danych osobowych zaczął być nazywany „domniemaniem winy”. W odróżnieniu od domniemania niewinności obowiązującego w prawie karnym. Rzeczywiście, w przypadku kontroli realizowanej przez organ nadzorczy a nawet podmiot danych musimy być w stanie wykazać, że niczego nie zaniedbano. Brak dowodów, nawet pomimo teoretycznie wypełnionego obowiązku, będzie działał na naszą niekorzyść.
Zatem stosowanie zasady rozliczalności będzie miało kluczowe znaczenie z perspektywy sytuacji, których każdy administrator woli uniknąć. Jednak gdy dojdzie do kontroli UODO, lepiej być do niej dobrze przygotowanym, a systematyczne podejście do realizacji zasady rozliczalności może w tym tylko pomóc.
Na czym polega rozliczalność?
Zanim jednak przejdziemy do porad jak w praktyce stosować rozliczalność zastanówmy się co leży u podstaw tego pojęcia. Słownikowo rozliczalność to właściwość pozwalająca przypisać określone działanie w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. Z perspektywy bezpieczeństwa informacji stanowi jedną z podstawowych funkcji, ponieważ zapewnia, że określone działanie dowolnego podmiotu może być jednoznacznie przypisane temu podmiotowi (w systemach IT również w połączeniu z tzw. niezaprzeczalnością).
Czy z perspektywy RODO musimy osiągnąć aż tak daleko idącą precyzję w ustaleniu kto i w jakim czasie zrealizował poszczególne wymagania przepisów? W większości przypadków zapewne niekoniecznie. Na przykład wykazanie wykonania obowiązku informacyjnego, który jest realizowany każdorazowo przy zbieraniu danych poprzez stałe związanie stosownej klauzuli z formularzem, nie wymaga podania ani czasu, ani osoby odpowiedzialnej za jej przygotowanie. Dowodem będzie sama klauzula informacyjna spełniająca wymagania art. 12 i 13 RODO.
Lecz są wymogi, związane właśnie z bezpieczeństwem danych osobowych, których wypełnienie może wymagać udokumentowania czasu (przynajmniej daty) oraz osoby, która brała udział w realizacji wymagania. Przykładowo w art. 32 ust. 1 lit. d mamy zapisany wymóg regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dwa aspekty tego obowiązku będę kluczowe z perspektywy zasady rozliczalności: regularność i skuteczność. Regularność będzie wymagała potwierdzenia cykliczności testów i audytów poprzez odnotowanie dat ich przeprowadzenia. Natomiast ocena lub zmierzenie skuteczności zabezpieczeń powinno zostać przeprowadzone fachowo z gwarancją rzetelności i wzięcia odpowiedzialności za wynik takiego badania. Zatem podpisanie dokumentu potwierdzającego przeprowadzenia oceny przez specjalistę, który dokonał tego w określonym terminie, będzie istotnym dowodem spełnienia w/w wymagania.
Inny przykład bardziej złożonej rozliczalności wiąże się z wykazaniem, że osoba, której dane dotyczą, wyraziła zgodę, która ma być podstawą przetwarzania danych. Pamiętajmy, że warunkiem skuteczności zgody jest jej świadome i jednoznaczne wyrażenie oraz że może ona zostać w każdym czasie wycofana. Względy te w niektórych czynnościach przetwarzania, np. związanych z marketingiem, będą wymagały zapisywania dat wyrażenia i wycofania zgody, dla jednoznacznego wykazania jaka wola podmiotu danych została wyrażona później.
Dla rozstrzygnięcia ewentualnych sporów istotna może być również data, od której obowiązuje aktualna treść składanego oświadczenia zgody, a nawet każdorazowe zarejestrowanie samej treści, a nie tylko faktu jej wyrażenia. Będzie to szczególnie ważne, gdy treści oświadczeń zgody często się zmieniają lub prawdopodobne są spory z klientami, którzy będą przedstawiali swoją wersję okoliczności wyrażenia zgody, niezgodną z rzeczywistym przebiegiem tego procesu.
Jak widać z powyższych przykładów, rozumienie rozliczalności w RODO jest nieco inne niż definicja, którą posługujemy się w bezpieczeństwie informacji czy tym bardziej w bezpieczeństwie teleinformatycznym. Mimo to doświadczenia w zapewnianiu tej cechy systemom informatycznym można z powodzeniem stosować w systemie ochrony danych osobowych.
Analiza ryzyka a zasada rozliczalności
W poprzednim artykule pisaliśmy jak ważna dla realizacji zasady „integralność i poufność” jest analiza ryzyka. W kontekście rozliczalności będzie ona istotna z dwóch różnych punktów widzenia.
Oczywiście wyniki analizy ryzyka naruszenia praw lub wolności osób fizycznych (w postaci raportu, wypełnionego arkusza lub informacji zapisanych w stosownym narzędziu) będą stanowiły dowód na realizację szeregu obowiązków wynikających m.in. z art. 24 RODO.
Z drugiej strony, analiza ryzyka powinna uwzględniać także ryzyko konsekwencji braku realizacji lub błędnego wywiązywania się z poszczególnych obowiązków określonych w przepisach RODO. Na poziom ryzyka i dolegliwość konsekwencji z tej perspektywy będzie miał wpływ stopień naruszenia wymagań lub brak dowodów na ich spełnienie. Ten aspekt analizy ryzyka to nic innego jak ocena, na ile udało się nam wywiązać z wymogu stosowania zasady rozliczalności. Brak dowodów na spełnienie wymagań nie musi zawsze oznaczać, że nie zostały one wypełnione. Jednak w kontekście konsekwencji dla organizacji tak należy do tego podejść. Środkiem minimalizującym ten zakres ryzyka będzie więc zbieranie dowodów na przestrzeganie przepisów RODO.
Jak zapewnić przestrzeganie zasady rozliczalności?
Częściowo odpowiedź na to pytanie została udzielono powyżej – należy gromadzić dowody potwierdzające realizacją poszczególnych wymagań RODO i innych przepisów prawa, które dotyczą przetwarzania danych osobowych. W tym krótkim artykule niemożliwe jest przedstawienie wszystkich sposobów na zapewnienie rozliczalności. Trudno też wymienić przykłady dowodów realizacji każdego z wymagań RODO. Spróbujmy omówić te najbardziej kluczowe.
Najważniejszym dokumentem dowodowym systemu ochrony danych osobowych jest rejestr czynności przetwarzania (RCP). Jego istnienie oraz prawidłowe i rzetelne wypełnienie potwierdza oczywiście spełnienie wymagań art. 30 RODO. Ale może on również zawierać informacje na temat stopnia spełnienia niektórych podstawowych zasad przetwarzania danych osobowych (art. 5), czy też zgodności przetwarzania z prawem (art. 6), w tym odnośnie szczególnych kategorii danych (art. 9). RCP może zawierać dodatkowe informacje, które nie są wymagane w art. 30, ale pomogą w realizacji zasady rozliczalności. Na przykład można w RCP wskazać miejsca dostępności klauzul informacyjnych dotyczących poszczególnych czynności przetwarzania – ułatwi to rozliczenie realizacji obowiązków informacyjnych (art. 13 i 14) oraz ułatwi monitorowanie ich aktualności oraz poprawności.
Rzetelnie wypełniony RCP będzie też punktem wyjścia do przeprowadzenia analizy ryzyka, gdyż zawiera:
ewidencję wszystkich czynności przetwarzania realizowanych w organizacji,
zestawienie aktywów informacyjnych w postaci kategorii danych przetwarzanych w poszczególnych procesach,
listę kategorii podmiotów danych,
może również zawierać wykaz aktywów wspierających – zasobów (w tym narzędzi i podmiotów przetwarzających) wykorzystywanych w procesach przetwarzania,
oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – czyli wykaz zabezpieczeń (związanych z aktywami wspierającymi).
Prawidłowo prowadzony rejestr czynności przetwarzania jest świetnym dowodem na realizację wymagań związanych z prawidłowym przetwarzaniem danych osobowych. Musimy jednak zadbać również o dowody potwierdzające odpowiednie zabezpieczenie danych. Sam wykaz zabezpieczeń w RCP to za mało.
Środki ochrony fizycznej mają tę zaletę, że nie ma potrzeby ich dodatkowego udokumentowania (oprócz wymienienia w RCP), ponieważ je po prostu widać (np. pracownicy ochrony, systemy kontroli dostępu do pomieszczeń, monitoring wizyjny, zamki, ogrodzenia itp.). Jednakże w sytuacji, gdy przetwarzamy dane w systemach IT, zwłaszcza w Internecie, wykazanie stosowania adekwatnych środków technicznych nie będzie rzeczą trywialną. A jeszcze przecież należy udowodnić, że są one regularnie testowane i oceniane przez pryzmat skuteczności.
Oto przykładowe dowody, na realizację wymagań art. 32 RODO:
wyniki analiz ryzyk i plany postępowania z ryzykiem,
maile z zaszyfrowanymi załącznikami,
protokół https wykorzystywany na serwerze www,
pozytywne wyniki testów penetracyjnych lub dowody na „załatanie” luk,
pozytywne wyniki audytów bezpieczeństwa,
udokumentowane incydenty bezpieczeństwa bez spowodowania naruszeń ochrony danych osobowych (obrazujące skuteczność zabezpieczeń),
plan ciągłości działania,
procedury awaryjne i plany odtwarzania systemów po awarii wraz z wynikami testów ich odtwarzania,
harmonogram testów i audytów bezpieczeństwa z informacją o ich realizacji,
i dowody pośrednie w postaci procedury audytu wewnętrznego lub procedury zarządzania ryzykiem.
Usystematyzowanie rozliczalności
Jednak samo posiadanie dowodów w przypadku kontroli organu, gdy trzeba „udowodnić niewinność”, może okazać się niewystarczające. Może się zdarzyć, że przedstawione przez administratora dowody nie zostaną uznane za potwierdzające prawidłową realizację jakiegoś obowiązku. Wówczas Prezes UODO może wszcząć postępowanie administracyjne, a jedyną argumentacją działającą na korzyść administratora w tej sprawie będą dowody przedstawione w toku wcześniejszej kontroli. Jeśli zapomniano wówczas o przedstawieniu pewnych istotnych dowodów, to nie będą one uwzględnione w opisie stanu faktycznego zawartego w decyzji administracyjnej. Co więcej, na tym opisie będzie opierał się również sąd administracyjny w przypadku złożenia skargi na decyzję organu.
Należy więc zapewnić, że będziemy maksymalnie przygotowani na ewentualną kontrolę i przedstawimy wszystkie możliwe dowody realizacji wymagań. Aby mieć tego pewność, poza gromadzeniem dowodów warto prowadzić również ich ewidencję. Choćby przy wykorzystaniu arkusza programu MS Excel.
Zastosowanie w systemie ochrony danych osobowych mechanizmu inwentaryzacji zgromadzonych dowodów nie tylko przygotuje administratora na kontrolę organu nadzorczego i zapewni mu „spokojny sen”. Posiadanie takiego narzędzia, czy po prostu listy dowodów potwierdzającej realizację zasady rozliczalności, może być przydatne również z innych powodów. W sytuacji, gdy organizacja przechodzi cykliczne audyty, np. związane z wdrożonym certyfikowanym systemem zarządzania lub przeprowadzane przez jednostkę nadrzędną, przedstawienie zbiorczego zestawienia dowodów na zgodność z RODO może przyspieszyć audyt w tym obszarze. Poza tym stawia podmiot w korzystnym świetle jako organizację świadomą i dojrzałą.
Zachęcamy więc do aktywnego stosowania zasady rozliczalności, która jest zwieńczeniem zmagań związanych z poprawnych wdrożeniem RODO. Nawet w przypadku, gdy organizacja ma do przejścia jeszcze długą drogę w wypełnianiu poszczególnych wymagań, wdrożony mechanizm kontrolny będzie na bieżąco pokazywał na jakim etapie tej drogi jesteśmy.