RODO nakłada na administratorów wiele obowiązków, ale często nie określa precyzyjnie, w jaki sposób mają być one wykonywane. To właśnie w tym obszarze kluczową rolę pełni zasada rozliczalności, która jest ściśle związana z prawidłowym wypełnianiem obowiązków przez administratorów.
Zasady ochrony danych osobowych w RODO.
Wraz z wejściem w życie RODO w 2018 roku, nastąpiło znaczne zwiększenie rangi zasad przetwarzania danych osobowych. W artykule 5 RODO przewidziano bowiem zasady, którymi powinien kierować się każdy administrator danych osobowych, co wymusza podjęcie przez nich określonych działań. Już samo umieszczenie zasad w pierwszych artykułach RODO może sugerować nam, że prawodawca przywiązuje ogromną wagę do ich przestrzegania. Dodatkowo, wprowadzenie potencjalnie dotkliwych kar finansowych, jakie można ponieść za niedostosowanie się do przepisów o ochronie danych osobowych, stanowi skuteczne zachęcenie do brania ich pod uwagę na każdym etapie przetwarzania danych.
RODO wymienia 6 podstawowych zasad przetwarzania danych osobowych:
- zasada zgodności z prawem, rzetelności i przejrzystości
- zasada ograniczenia celu
- zasada minimalizacji danych
- zasada prawidłowości danych
- zasada ograniczenia przechowywania danych
- zasada integralności i poufności
Ich właściwa realizacja możliwa jest tylko wtedy, gdy wprowadzone zostały odpowiednie procedury, związane z przetwarzaniem danych osobowych. Ważne jest przy tym, że wszystkie zasady powinny być przestrzegane łącznie. Pozwoli to uniknąć administratorom potencjalnych nieprzyjemności, które niesie ze sobą widmo kontroli ze strony organu nadzoru, jakim jest Prezes Urzędu Ochrony Danych Osobowych.
Zadbanie o prawidłowe wdrożenie w swoim przedsiębiorstwie zasad dotyczących przetwarzania danych osobowych jest najprostszym i najskuteczniejszym sposobem na zminimalizowanie ryzyka kontroli oraz kar finansowych.
Jak jednak właściwie wdrożyć wszystkie zasady oraz, co więcej, udowodnić, że wszystkie operacje przetwarzania są przeprowadzane w zgodzie z obowiązującymi przepisami? To właśnie w tym aspekcie, kluczową rolę odgrywa uregulowana w art. 5 ust. 2 RODO zasada rozliczalności.
Czym jest zasada rozliczalności w RODO i jak ją zagwarantować w praktyce?
Zasada ta nakłada na administratora obowiązek, przez który musi on być w stanie przedstawić dowody na przestrzeganie zasad. Jest to pewnego rodzaju ciężar dowodowy spoczywający właśnie na administratorze. Uaktualnia się on przede wszystkim wtedy, gdy zostanie wniesiona skarga do Prezesa Urzędu Ochrony Danych Osobowych, bądź gdy osoba, której dane są przetwarzane, postanowi skorzystać z przysługujących jej praw. Z założenia chodzi tutaj nie tylko o prawidłowe przygotowanie dokumentacji, ale także o jej późniejsze stosowanie i aktualizowanie w miarę potrzeb.
RODO nie precyzuje dokładnie, na czym ma to polegać – zostawia w tym aspekcie dość dużą swobodę. Zaleca się jednak, aby wszystkie czynności były dokumentowane elektronicznie lub na papierze. Zapewnia to nie tylko większą wiarygodność, ale stanowi także ułatwienie, gdyż z materiałami w takiej postaci o wiele łatwiej się zapoznać.
Poza samym przygotowaniem najważniejszych dokumentów, takich jak polityka bezpieczeństwa, klauzule informacyjne, rejestr czynności przetwarzania, rejestr naruszeń, równie ważne jest wprowadzenie procedur w życie poprzez zaznajomienie z nimi wszystkich osób biorących udział w procesie przetwarzania. Warto przy tym udokumentować te zdarzenia. Będzie to stanowiło dowód, że osoby te są świadome, jakie obowiązki na nich spoczywają i jak powinny postępować w określonych sytuacjach. Brak takiego dowodu może bowiem rodzić problemy w udowodnieniu przestrzegania przepisów.
Przedsiębiorca powinien regularnie przeprowadzać dla pracowników szkolenia dotyczące przetwarzania danych osobowych. Pracownicy natomiast powinni po jego zakończeniu złożyć oświadczenie, że zapoznali się z informacjami, które zostały im przekazane. To pozwoli wykazać, że osoby zatrudnione są prawidłowo przeszkolone oraz wiedzą, jak mają postępować.
Administrator musi ponadto podejmować aktywne działania, a więc na bieżąco sprawdzać skuteczność obowiązujących procedur i aktualizować je w miarę potrzeb. W przypadku sporządzania nowego dokumentu, czy zmiany obecnie funkcjonującego, zaleca się również zamieszczenie informacji o dacie czynności lub skrótowe podsumowanie wprowadzonych zmian. Każda taka poprawka powinna być także zatwierdzona przynajmniej przez Inspektora Ochrony Danych albo, jeśli nie został powołany, przez pracownika sprawującego nadzór nad konkretnym obszarem.
Przydatny w tym aspekcie może być korzystanie z systemu, które umożliwi odtworzenie poprzednich wersji danego dokumentu, a także pozwoli zweryfikować, kto i w jakim czasie wprowadził w nim zmiany. Takie rozwiązania zazwyczaj są częścią najbardziej znanych pakietów biurowych.
Nie można przy tym zapomnieć, aby zaznajomić adresatów (osoby, których dane dotyczą) z tymi dokumentami w niezbędnym dla nich zakresie oraz z przysługującymi im prawami. Należy reagować na bieżąco na zaistniałe sytuacje – a więc np. uzupełniać rejestr naruszeń o kolejną pozycję w przypadku wystąpienia naruszenia, czy przeprowadzać konieczne analizy ryzyka. Aby jeszcze bardziej usprawnić ten proces, warto zadbać o regularne audyty, w czasie których dokona się weryfikacji procedur związanych z ochroną danych osobowych.
Przy zbieraniu od klientów zgód na przetwarzanie ich danych osobowych, powinno się zapisać każdą zgodę w wewnętrznym systemie CRM lub w osobnym rejestrze. Kluczowe są tutaj informacje o dacie, treści, podmiocie danych oraz o czasie, na jakim została wyrażona zgoda. Dzięki temu bezproblemowo można wykazać, że zgoda została udzielona dobrowolnie i świadomie.
Możliwe konsekwencje naruszenia zasady rozliczalności według RODO.
Brak spełnienia wymogu rozliczalności może okazać się znamienny w skutkach. Należy liczyć się z faktem, że brak prowadzenia dokumentacji ochrony danych zostanie zauważony przez Urząd Ochrony Danych Osobowych w przypadku podjęcia kontroli przez ten organ. Na tym etapie najpewniej będzie już za późno, aby zadbać o uzupełnienie zaistniałych braków. Potencjalne kary w tym przypadku mogą wynosić, w zależności od rodzaju przewinienia, do 20 mln euro lub do 4% całkowitego rocznego obrotu z poprzedniego roku.
W Polsce, najczęściej spotykano się dotychczas z karami, których wysokość wynosiła od kilkunastu do kilkudziesięciu tysięcy złotych, ale nie trudno o przypadki, w których sięgały one aż kilkuset tysięcy złotych. Bardzo często jest to spowodowane właśnie uprzednim niedostosowaniem się do przepisów RODO, brakiem możliwości wykazania działania zgodnego z prawem, a także brakiem chęci współpracy z organem nadzoru.
Rozliczalność to kluczowy aspekt prawidłowego wdrożenia RODO u każdego administratora. Każdy przedsiębiorca powinien mieć ją na uwadze, aby sprostać nałożonym na siebie obowiązkom zarówno wobec organu nadzoru, jak i podmiotów danych.
W naszej kancelarii oferujemy pomoc związaną z przygotowaniem i wdrożeniem przepisów o ochronie danych osobowych dla podmiotów z sektora gospodarki. Gwarantujemy również możliwość wyznaczenia naszych specjalistów do pełnienia zadań Inspektora Ochrony Danych, a także reprezentujemy Klientów w kontakcie z Prezesem Urzędu Ochrony Danych Osobowych.