Zasada rozliczalności
Czy każdy przedsiębiorca musi posiadać politykę ochrony danych? Czy konieczne jest zawsze stosowanie upoważnień do przetwarzania danych osobowych? Jakie wymogi formalne nakazuje spełnić RODO, żeby z czystym sumieniem, bez obaw i groźby kar można było przetwarzać dane osobowe w określonych celach?
Jak było kiedyś?
Do 25 maja 2018 r. nie bardzo liczyło się na jaką skalę przetwarzałeś dane osobowe jako ich administrator. Nie miało również większego znaczenia jakie rzeczywiste ryzyka niosły ze sobą procesy przetwarzania. Aby wykazać stosowanie przepisów ustawy o ochronie danych osobowych konieczne było po pierwsze spełnienie wymogów formalnych w zakresie dokumentacji przetwarzania danych. Od kwietnia 2004 roku obowiązywało rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. To ono precyzowało sposób prowadzenia i zakres dokumentacji jaką musiał wdrożyć Administrator. Rozporządzenie wskazywało wprost wymogi wobec systemów informatycznych i warunków ich zabezpieczenia, które w konkretnym przypadku (w zależności od dostępu do sieci zewnętrznej) trzeba było zastosować. Owszem znalazło się w ustawie również odniesienie, że stopień ochrony powinien być odpowiedni do zagrożeń oraz kategorii danych objętych ochroną. Praktyka jednak pokazywała, że dokumentacja w postaci PB oraz IZSI ograniczała się jedynie do wymaganych rozporządzeniem elementów. I w zasadzie na tym oraz wydaniu upoważnień kończyła się rozliczalność (mimo, że pojęcia takiego ustawa nie wprowadzała).
Zasada rozliczalności jako klamra
Generalne zasady przetwarzania danych osobowych jakie wskazuje RODO nie uległy rewolucyjnej zmianie w porównaniu z poprzednią u.o.d.o. Zmieniła się nomenklatura – nie koniecznie idea i założenia. Podobnie jak przed 25 maja 2018 r. tak i teraz trzeba pamiętać o: legalności, a więc zgodności z prawem i przejrzystości przetwarzania, prawidłowości ich przetwarzania, celowości, minimalizacji danych oraz czasowego ograniczenia przetwarzania. Stosowanie tych wszystkich zasad, przy utrzymaniu atrybutów danych osobowych, w szczególności ich integralności i poufności Administrator danych musi umieć wykazać. Art. 5 ust. 2 RODO jednoznacznie wskazuje, że Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie. I to jest właśnie ta nowość i klamra – to jest rozliczalność, a więc umiejętność i możliwość przedstawienia dowodów na adekwatne do sytuacji i zgodne z RODO postępowanie. W audycie mówi się o tym jako o śladzie rewizyjnym czynności. Takiego śladu szukają w pierwszej linii kontrolerzy, chcący ustalić stan faktyczny i ocenić działania. O tym jakie środki techniczne i organizacyjne Adminstrator powinien wdrożyć RODO nie przesądza – nakazuje je oprzeć na szacowaniu ryzyka. Idzie nawet dalej – w kontekście polityk ochrony sugeruje ich wdrożenie – gdy jest to proporcjonalne w stosunku do czynności przetwarzania. Dla zakładu fryzjerskiego, kosmetyczki czy nawet małej firmy, która nie „żyje z danych osobowych” zasadność posiadania polityk ochrony danych, trudno będzie obronić. To właśnie dla mniejszych przedsiębiorców RODO jest olbrzymią zmianą na plus. Nie wymaga już często sztucznie rozdmuchanych, niestosowanych w praktyce polityk bezpieczeństwa. Tu rozliczalność ograniczy się raczej do świadomości zagrożeń i postępowania, które ich wystąpienia unika lub ogranicza ewentualną wagę skutków. RODO jako „akt inteligentny” jest elastyczne. Poza rejestrowaniem czynności przetwarzania, który to obowiązek pozornie tylko wyłączono dla części administratorów, nie wymaga zbyt wiele dokumentacji. Nawet wymogu stosowania upoważnień do przetwarzania danych wewnątrz organizacji trudno jednoznacznie się w rozporządzeniu doszukać. Co nie znaczy, że z punktu widzenia nadzoru procesów nie warto ich stosować.
Rozliczalność to również dowodowość pozyskanych zgód na przetwarzanie danych w określonych celach – np. profilowania. Spełnienie zasady przejawiać będzie się również w zawieraniu, tam gdzie to konieczne, umów powierzenia przetwarzania danych – a więc stosowania mechanizmu prawnego, dzięki któremu Administrator ma narzędzia do nadzoru i zabezpieczenia procesu „poza firmą”. To odpowiedzialny dobór podmiotów przetwarzających. Rozliczalność to również wskazany w art. 33 ust. 5 RODO obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych. W każdym w zasadzie przypadku adekwatnym środkiem ochrony, a takich wymaga RODO, będzie podnoszenie świadomości uczestników procesów przetwarzania – warto więc np. dokumentować szkolenia personelu. Tam gdzie wymóg został przez RODO wprost narzucony – a więc w przypadku obowiązku posiadania IOD przez niektóre kategorie administratorów, śladem rewizyjnym, potwierdzającym spełnienie wymogu będzie dokument wyznaczenia i zawiadomienia i wyznaczeniu IOD.
W sytuacjach gdzie „mamy wątpliwości” czy konkretny obowiązek nas dotyczy, rozliczalność działań zapewnić może np. notatka z analizy konieczności realizacji konkretnego wymogu prawnego w kontekście procesów przetwarzania danych osobowych przez organizację. Na tej podstawie można bronić podjętej decyzji czy przeprowadzić ocenę skutków dla ochrony danych, lub co do zastosowanych środków technicznych i organizacyjnych.
Problem z rozliczalnością
Rozliczalność to odpowiedzialność Administratora za utrzymanie pożądanego stopnia ochrony i utrzymania atrybutów danych osobowych, to również umiejętność i możliwość wykazania, że podjęte działania utrzymały nie tylko zasady generalne ale przepisy szczegółowe, dotyczące poszczególnych branż czy sektorów. Łatwiej jest ustalić konkretny wymóg prawny i podjąć próbę jego realizacji (przepisów szczególnych). Trudniej czasem zrealizować założenie generalne. Tu życie zweryfikuje adekwatność i skuteczność konkretnych czynności. Zweryfikować będzie mógł je również organ kontrolny i ocenić, czy ewentualne naruszenie przepisów nie dotyczy sytuacji opisanej w art. 83 ust. 5 lit. a, a więc złamania podstawowych zasad przetwarzania. Jedną z nich jest przecież rozliczalność. Takie odstępstwo wiązać się może z nałożeniem administracyjnej kary pieniężnej przewidzianej w przywołanym artykule. Czy sama niemożność wykazania, że chronię dane osobowe, dla których jestem administratorem, będzie zatem obarczona ryzykiem nałożenia kary?
Gdzie szukać wskazówek
Po pierwsze u praktyków. Warto oceniać proponowane rozwiązania, porównywać mechanizmy w podobnych sektorach czy branżach. Tu z pomocą mogą przyjść zatwierdzone kodeksy postępowania, których opracowanie i stosowanie przewiduje w art. 40 RODO. Kodeksy, na które pewnie jeszcze trochę poczekamy, bo przecież rolą PUODO będzie ich zatwierdzenie, a póki co trwa dopiero, mniej lub bardziej zaawansowany, etap ich tworzenia. Wiele praktycznych przykładów, czy też analizę konkretnych przypadków można odnaleźć również w wytycznych opracowanych przez Grupę Roboczą ds. art. 29. Rozliczalność to umiejętność wykazania zgodności postępowania z RODO w praktyce a nie w teorii – jak często miało to miejsce w przypadku „starej ustawy” i powiązanych rozporządzeń. Praktykę i zagrożenia najlepiej znają zaś administratorzy danych – dla tych więc, którzy do tematu podchodzili do tej pory poważnie, rozliczalność nie powinna stanowić większego wyzwania.
