Zasada rozliczalności według RODO

Czym jest rozliczalność

Na początku ustalmy, na czym polega zasada rozliczalności. Artykuł 5 ust. 2 RODO wskazuje, że administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie. Tym właśnie jest rozliczalność – administrator musi być w stanie udokumentować realizację zasad związanych z ochroną danych osobowych, np. na wypadek audytu RODO czy kontroli organu nadzorczego, a także na żądanie osób, których dane dotyczą.

Jak wykazać, że przestrzegamy RODO

Przypomnijmy, że zasady związane z ochroną danych osobowych to m.in.:

• zgodność przetwarzania danych z prawem, jego rzetelność i przejrzystość,
• ograniczenie celu przetwarzania,
• minimalizacja danych,
• prawidłowość danych,
• ograniczenie przechowywania danych,
• integralność i poufność.

Realizowanie tych zasad jest możliwe jedynie wtedy, gdy organizacja wprowadziła odpowiednie procedury związane z ochroną danych osobowych, takie jak: polityka ochrony danych, ocena skutków dla ochrony danych (tzw. DPIA) czy instrukcja zgłaszania naruszeń ochrony danych osobowych. Nie wystarczy jednak wydrukować dokument nazwany np. polityką ochrony danych i włożyć go do segregatora. Organizacja musi udowodnić, że faktycznie przestrzega przepisów RODO. Wykazywanie się stosowaniem zasady rozliczalności jest przecież obowiązkiem administratora.

W tym celu administrator najpierw powinien sporządzić listę dokumentów, na podstawie których organizacja przetwarza dane osobowe. Na początku tej listy znajdują się najczęściej polityki ochrony danych, regulaminy (np. monitoringu wizyjnego ) czy rejestr czynności przetwarzania.

Następnie administrator musi się upewnić, czy ma pisemny dowód na to, że w organizacji wprowadzono daną procedurę lub dany rejestr oraz że poinformował o tym fakcie pracowników bądź osoby odpowiedzialne za realizację tych zadań lub nadzór nad tymi zadaniami. Jeżeli administrator nie ma takiego dokumentu, nie będzie w stanie udowodnić, że stosuje zasadę rozliczalności, a co za tym idzie – nie będzie mógł wskazać, w jaki sposób przestrzega przepisów RODO.

Zasada rozliczalności w praktyce

Jak należy podchodzić do zasady rozliczalności w praktyce? Kiedy organizacja wprowadza nowy dokument, którego ranga wskazuje np. na konieczność podjęcia uchwały zarządu, oprócz podjęcia samej uchwały można dodatkowo na pierwszej stronie sporządzić adnotację informującą o tym, że jest to pierwsza wersja tego dokumentu, wprowadzona uchwałą z dnia… (wskazać datę). Gdy mamy do czynienia ze zmianą dokumentu, również można dokonać takiej modyfikacji uchwałą, a na dokumencie sporządzić adnotację, że jest to kolejna wersja, po zmianach wprowadzonych uchwałą, oraz wskazać odpowiednią datę.

Bardzo ważne jest to, aby nie zapomnieć przy tym o konieczności wykazania, że z dokumentem zaznajomione zostały osoby będące adresatami zawartych w nim postanowień. Na przykład, gdy dokument dotyczy wprowadzenia regulaminu monitoringu wizyjnego na terenie zakładu pracy, administrator powinien udokumentować, że cała załoga pracownicza zapoznała się z tym regulaminem. Jak to zrobić? Oprócz wprowadzenia dokumentu zgodnie z zasadami przewidzianymi w regulacjach wewnętrznych organizacji oraz w przepisach z zakresu prawa pracy (art. 22² Kodeksu pracy) pracodawca musi zrealizować obowiązek informacyjny wobec osób, których dane będą przetwarzane (art. 13 i 14 RODO).

Ponadto, aby wykazać się zasadą rozliczalności, może np. zorganizować krótkie spotkanie, na którym przekaże informację o planowanym terminie wprowadzenia nowego regulaminu. Obecni na spotkaniu pracownicy powinni podpisać się na liście obecności swoim imieniem i nazwiskiem – ta lista będzie dla administratora dokumentem świadczącym o tym, że realizuje zasadę rozliczalności. Inny przykład: firma, która będzie aktualizować postanowienia polityki prywatności, powinna rozesłać (np. mailowo) informację o tym do wszystkich klientów, a następnie wygenerować listę odbiorców tej wiadomości. Raport nie musi być drukowany. Ważne, aby jego elektroniczną formę można było łatwo odnaleźć na wypadek np. audytu czy kontroli.

Dla administratora kluczowe jest to, aby móc wykazać, że dana procedura została wprowadzona, a osoby, których ta procedura dotyczy, miały możliwość zapoznania się z opisującym ją dokumentem. Ponadto administrator musi wskazać, w jaki sposób zrealizował te zadania.

Aktywność administratora danych osobowych

Administrator musi wykazać także swoją aktywność i ciągłość działania. Na przykład, gdy otrzyma od zespołu inspektora ochrony danych zaktualizowany rejestr czynności przetwarzania, powinien zapoznać się z tym dokumentem i go zaakceptować. Następnie powinien wprowadzić do rejestru adnotację o tym, którego dnia zmiana została dokonana, czego dotyczyła i że została przez niego zatwierdzona po rekomendacji zespołu inspektora ochrony danych. Pamiętajmy, że nie każdy dokument wymaga udostępnienia szerszej grupie osób. W tym przypadku wystarczy, że administrator lub wyznaczone przez niego osoby udokumentują wprowadzenie zmiany. Dzięki temu administrator zawsze będzie mógł określić, w jaki sposób i na podstawie jakiego dokumentu nastąpiła dana zmiana, czyli wykazać stosowanie zasady rozliczalności.

Realizując zasadę rozliczalności, administrator musi też pamiętać o dokumentowaniu wielu innych obowiązków związanych z procesami, w których są wykorzystywane dane osobowe. Do najważniejszych z nich można zaliczyć: posiadanie odpowiednich zgód na przetwarzanie danych osobowych, posiadanie podpisanych przez obie strony (administratora i procesora) umów powierzenia przetwarzania danych, prowadzenie rejestru incydentów ochrony danych osobowych, prowadzenie rejestru czynności przetwarzania, posiadanie dokumentacji z przeprowadzonej analizy ryzyka czy oceny skutków dla ochrony danych. Przykładów działań administratora w obszarze realizacji zasady rozliczalności można by wskazać dużo więcej. W każdym przypadku istotne jest jednak to, aby organizacja potrafiła zidentyfikować te działania, które wiążą się z koniecznością posiadania dokumentów poświadczających, że dana procedura została wdrożona, oraz wskazujących, na jakiej podstawie się to stało.

Podsumowanie

Zasada rozliczalności jest jedną z najważniejszych zasad, o których mówi RODO. Na administratorze spoczywa odpowiedzialność za odpowiednie wdrożenie procedur i za udokumentowanie tego faktu. Trzeba też pamiętać, że RODO nakłada na administratora obowiązek przestrzegania innych zasad odnoszących się do przetwarzania danych. W razie naruszenia którejś z nich administrator może więc zostać pociągnięty do odpowiedzialności. Jednak dzięki współpracy całej organizacji zasada rozliczalności nie powinna być trudna w realizacji. Najważniejsze jest to, aby móc udokumentować, w jaki sposób przestrzegamy przepisów RODO, na podstawie jakich dokumentów i z wykorzystaniem jakich narzędzi czy procedur.