Zasada rozliczalności według RODO

Dotychczas niesformułowana wprost w prawie krajowym ani unijnym zasada rozliczalności zostanie wprowadzona rozporządzeniem ogólnym o ochronie danych osobowych już 25 maja bieżącego roku. Administratorzy będą już nie tylko odpowiedzialni za przestrzeganie przepisów, ale w razie kontroli będą także musieli ich przestrzeganie udowodnić.

  • Rafał Stępniewski
  • /
  • 19 marca 2018

Dotychczas niesformułowana wprost w prawie krajowym ani unijnym zasada rozliczalności zostanie wprowadzona rozporządzeniem ogólnym o ochronie danych osobowych już 25 maja bieżącego roku. Administratorzy będą już nie tylko odpowiedzialni za przestrzeganie przepisów, ale w razie kontroli będą także musieli ich przestrzeganie udowodnić.

Na czym polega nowa zasada?

Zasada rozliczalności zakłada, że administrator danych ma obowiązek wykazać przestrzeganie zasad ochrony danych osobowych wymienionych w art. 5 ust. 1:

• zgodność z prawem, rzetelność i przejrzystość

RODO nakłada na administratora danych osobowych konieczność kierowania się zasadą przejrzystości (transparentności). Oznacza ona, że wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem, w stosownych przypadkach, dodatkowo wizualizowane (motyw 39 i 58 preambuły RODO).

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

• ograniczenie celu przetwarzania danych

Cel przetwarzania danych musi być wyraźnie określony oraz zgodny z prawem. Zgodnie z przepisami RODO dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, jest traktowane jako zgodne z prawem oraz pierwotnymi celami.

• minimalizacja danych

Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Do przetwarzania danych osobowych można dopuścić tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami (motyw 39 preambuły RODO).

• prawidłowość danych

Dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Oznacza to, że należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

• ograniczenie przechowywania danych

Zasada ma zapewnić ograniczenie okresu przechowywania danych do ścisłego minimum. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu.

• integralność i poufność

Zgodnie z art. 5 ust. 1 lit. f dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Sposoby realizacji zasady rozliczalności

RODO zostawia dużą elastyczność w zakresie praktycznego realizowania zasady rozliczalności. Administrator może podjąć dowolne, ale adekwatne działania, aby powyższą zasadę można było uznać za realizowaną i zminimalizować zagrożenie naruszeń. Wytycznych dla swoich działań powinien szukać np. w opiniach Grupy Roboczej Art. 29 (unijny organ doradczy), decyzjach organu nadzorczego oraz kodeksach postępowania, które mogą tworzyć przedstawiciele poszczególnych branż.

Zasadę rozliczalności można realizować za pomocą różnorodnych instrumentów, na przykład poprzez:

a) odpowiednie programy służące do monitorowania efektywności wdrożonych środków organizacyjnych i technicznych, które mogą demonstrować zgodność,

b) wewnętrzne lub zewnętrzne polityki prywatności lub dokumentacji,

c) audyty ochrony danych osobowych zakończone certyfikacją (przepisy RODO przewidują mechanizmy certyfikacji oraz nadawania specjalnych pieczęci i oznaczeń),

d) programy szkoleń (sprawdzanie wiedzy pracowników na temat ochrony danych),

e) przestrzeganie zasady ochrony danych w fazie projektowania, czyli przed zebraniem danych,

f) przestrzeganie zasady domyślnej ochrony danych — przetwarzane mają być wyłącznie te dane, które są niezbędne dla osiągnięcia celu przetwarzania,

g) powołanie inspektora ochrony danych,

h) ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych, kiedy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Jaki jest cel zasady rozliczalności?

Chociaż pozornie mogłoby się wydawać, że nowe rozwiązanie będzie stanowić dodatkowe utrudnienie dla administratora danych osobowych, to w rzeczywistości jest wdrożeniem ochrony danych osobowych w życie, przeniesieniem jej „z teorii do praktyki”. Zasada rozliczalności prowadzi też do stworzenia nowego narzędzia organu ochrony danych, służącego do egzekwowania przestrzegania przepisów, nadzorowania działalności podmiotów przetwarzających dane oraz zapobiegania niepożądanym skutkom, np. nieuprawnionemu dostępowi, niewłaściwemu użyciu bądź utracie danych. Nowa zasada uzyskała poparcie w opinii Europejskiego Inspektora Ochrony Danych Osobowych Petera Hustinxa. Stwierdził on, że zasada rozliczalności powinna zobowiązywać administratorów danych osobowych do demonstrowania, że podjęli wszystkie niezbędne środki, by zapewnić zgodność z obowiązkami ochrony danych osobowych. Co więcej, była również przewidziana w przez Grupę Roboczą art. 29 w projekcie Międzynarodowych Standardów Ochrony Prywatności Światowego Kodeksu Antydopingowego.

Sprawdzanie i monitorowanie poziomu ochrony danych osobowych odbywa się poprzez wdrożone programy polegające na wypełnianiu przez grupy kapitałowe cyklicznych ankiet, stanowiących deklarację, którą potem należy poprzeć dowodami. Na koniec system oblicza procentowy poziom ochrony danych w poszczególnych dziedzinach i całej organizacji.

Podsumowanie

Przepisy RODO uszczegóławiają zasady obecne w ustawie o ochronie danych osobowych oraz wprowadzają nową zasadę — rozliczalności. Równocześnie zwiększają także zakres odpowiedzialności administratora. Będzie on musiał rozliczać się z przestrzegania przepisów, raportować ich realizację oraz przedstawiać dowody świadczące o prawidłowym wykonywaniu obowiązków na wypadek kontroli organu nadzorczego.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!