W tym miesiącu kończymy serię poświęconą zasadom przetwarzania danych osobowych, które zostały uregulowane w art. 5 RODO. Jako ostatnia przybliżona zostanie zasada „rozliczalność”.
Została ona uregulowana w art. 5 ust. 2 RODO, zgodnie z którym: „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie”.
Zgodnie ze wskazanym wyżej przepisem administrator nie tylko powinien przetwarzać dane zgodnie z zasadami określonymi w RODO, ale także być przygotowany do wykazania ich stosowania w praktyce. Oznacza to odejście od formalnego modelu polegającego wyłącznie na posiadaniu dokumentacji regulacyjnej na rzecz podejścia opartego na realnym zarządzaniu procesami przetwarzania danych, przy jednoczesnym zachowaniu dokumentów i dowodów potwierdzających zgodność z przepisami.
Zasada ta przenosi jednocześnie ciężar wykazania zgodności z przepisami na administratora. To on musi być w stanie udowodnić, że przetwarzanie odbywa się zgodnie z RODO, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą.
„ROZLICZALNOŚĆ” W PRAKTYCE
Zasada rozliczalności stanowi fundament systemu ochrony danych osobowych wprowadzonego przez RODO. Nakłada ona na administratora obowiązek aktywnego zarządzania procesami przetwarzania danych oraz stałego monitorowania ich zgodności z przepisami, a nie jedynie jednorazowego wdrożenia procedur.
Realizacja tej zasady polega na świadomym i udokumentowanym podejściu do ochrony danych osobowych. Administrator powinien być w stanie wykazać, że przeanalizował sposób przetwarzania danych, zidentyfikował możliwe ryzyka oraz dobrał środki techniczne i organizacyjne adekwatne do charakteru, zakresu i celu przetwarzania oraz zminimalizowania ryzyka. Istotne znaczenie ma nie tylko opracowanie procedur, lecz przede wszystkim ich faktyczne stosowanie w codziennej działalności organizacji. Ważniejsze więc są dowody funkcjonowania procedury niż sama jej treść, która nie zawsze musi być udokumentowana (może być ona zautomatyzowana w systemie IT).
Zgromadzona dokumentacja dowodowa odzwierciedla rzeczywiste procesy przetwarzania i dzięki temu umożliwia wykazanie, że administrator realizuje obowiązki w sposób systemowy i uporządkowany. W jej skład powinny wchodzić efekty realizacji procesów przetwarzania (np. wypełnione formularze), stosowanych zabezpieczeń (np. wyniki testów penetracyjnych) oraz podejmowanych działań organizacyjnych (np. listy obecności na szkoleniu z ochrony danych).
„ROZLICZALNOŚĆ” JAKO PROCES
Istotnym elementem zasady rozliczalności jest podejście oparte na analizie ryzyka, które pozwala dostosować środki ochrony do faktycznych zagrożeń związanych z przetwarzaniem danych osobowych. Ochrona danych powinna więc być adekwatna do realnych warunków funkcjonowania organizacji.
Realizacja zasady rozliczalności wymaga również zapewnienia odpowiedniego poziomu świadomości osób uczestniczących w przetwarzaniu danych, a także bieżącego nadzoru nad stosowaniem przyjętych procedur. Administrator powinien regularnie weryfikować i aktualizować przyjęte rozwiązania, dostosowując je do zmian organizacyjnych, technologicznych oraz prawnych.
W tym znaczeniu zasada rozliczalności pełni funkcję nadrzędną wobec pozostałych zasad przetwarzania danych osobowych, ponieważ zapewnia mechanizm pozwalający ocenić, czy są one faktycznie realizowane w praktyce.
PODSUMOWANIE
Zasada rozliczalności ma charakter ciągły i stanowi mechanizm zapewniający rzeczywiste stosowanie wszystkich pozostałych zasad przetwarzania danych osobowych określonych w art. 5 ust. 1 RODO. Brak możliwości wykazania zgodności z przepisami może zostać uznany za naruszenie obowiązków administratora, nawet jeśli deklaruje on przestrzeganie zasad ochrony danych w dokumentach regulacyjnych. „Rozliczalność” stanowi więc nie tylko obowiązek formalny, lecz przede wszystkim element kultury organizacyjnej opartej na świadomym i odpowiedzialnym podejściu do ochrony danych osobowych.
Osoby zainteresowane pogłębioną analizą tematu, więcej informacji mogą znaleźć w tym artykule.