Co to jest zasada rozliczalności i jak ją stosować?
Słyszałeś o zasadzie rozliczalności ale nie wiesz co ona oznacza? Nie wiesz do jakich obowiązków w zakresie ochrony danych osobowych zasada ta się odnosi? A może chcesz prawidłowo ją wdrożyć? W artykule znajdziesz informacje na temat:
- treści zasady rozliczalności,
- obowiązków administratora danych związanych z zasadą rozliczalności,
- praktycznego stosowania zasady rozliczalności.
Ogólne rozporządzenie o ochronie danych osobowych (RODO) odeszło od dotychczasowego modelu zapewnienia bezpieczeństwa przetwarzania, który polegał na ustawowym określeniu metod i środków ochrony danych. Obecnie to na administratorach danych oraz podmiotach przetwarzających spoczywa obowiązek ustalenia oraz wdrożenia właściwych zabezpieczeń. Dopełnieniem tychże obowiązków jest zasada rozliczalności.
Zgodnie z nią bowiem, będąc administratorem danych albo podmiotem przetwarzającym masz obowiązek wykazania (udowodnienia), że w sposób prawidłowych stosujesz inne przepisy o ochronie danych. Obowiązek ten odnosi się przede wszystkim do następujących zasad RODO:
- zasady zgodności z prawem, rzetelność i przejrzystość,
- zasady ograniczenia celu przetwarzania, zgodnie z którą dane osobowe mogą być zbierane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
- zasady minimalizacji danych, w myśl której dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
- zasady prawidłowości nakazującej by dane osobowe były prawidłowe i w razie potrzeby uaktualniane,
- zasady ograniczenia przetwarzania, czyli przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
- zasady integralności i poufności, która stanowi że dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Podmioty uczestniczące w procesie przetwarzania danych muszą dysponować środkami pozwalającymi na wykazania, iż ww. zasady wdrożyły oraz stosują prawidłowo. W przypadku zatem wniesienia skargi na administratora danych, bądź podmiot przetwarzający, a także w każdym innym postępowaniu prowadzonym w przedmiocie ochrony danych osobowych, to na ww. podmiotach spoczywać będzie ciężar wykazania, że postępują zgodnie z obowiązującymi zasadami. Sposób wykazywania okoliczności faktycznych danej sprawy jest zatem odmienny od ogólnych zasad postępowania administracyjnego, w którym to organ administracji publicznej ma obowiązek zebrania i rozpatrzenia materiału dowodowego.
Z uwagi na fakt, że RODO odchodzi od pisemności, zarówno administrator danych, jak i podmiot przetwarzający mogą wykazywać fakt przestrzegania prawa w dowolny sposób.
Jeżeli zatem ciąży na tobie taki obowiązek możesz posługiwać się szeregiem środków dowodowych, aby wykazać w toku ewentualnego postępowania prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych, że przetwarzasz dane osobowe prawidłowo. Przykładowo, mogą do tego posłużyć:
- wprowadzone przez ciebie polityki i procedury będące podstawą organizacyjnych środków bezpieczeństwa,
- skrypty na twojej stronie internetowej wykonujące czy to obowiązek informacyjny, czy też odbierające zgodę na przetwarzanie danych,
- korespondencją e-mail wysyłana w celu wykonania twoich obowiązków,
- dokumentacją fotograficzną dokumentującą wprowadzenie odpowiednich zabezpieczeń, bądź rozmieszczenie klauzul i informacji przeznaczonych dla osób, których dane dotyczą.
Jak widzisz, RODO pozwala podmiotom przetwarzającym dane na samodzielny dobór metod stosowania przewidzianych przez nie zasad. Z drugiej jednakże strony musisz liczyć się z tym, że w czasie ewentualnej kontroli albo innego postępowania prowadzonego przez organ nadzorczy, to na tobie ciążyć będzie obowiązek wykazania, że postępujesz zgodnie z prawem.