Zasada rozliczalności.

We wcześniejszych wpisach wskazywaliśmy, iż dane osobowe muszą być przetwarzane w oparciu o właściwie dobraną podstawę prawną, rzetelnie i przejrzyście, w określonym celu, w ilości adekwatnej do tego celu, przez ograniczony tym celem okres oraz bezpiecznie, a dane te winny być prawidłowe i aktualizowane.

Administrator jest odpowiedzialny za przestrzeganie wszystkich wyżej wymienionych zasad i musi być w stanie wykazać ich przestrzeganie zgodnie z art. 5 ust. 2 RODO. Jest to istota zasady rozliczalności, która wymusza na administratorach poważne podejście we wdrażaniu RODO. Podczas kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych respektowanie obowiązków wynikających z ogólnego rozporządzenia będzie rozliczane w oparciu o przedkładane dowody, zazwyczaj mające postać dokumentów takich jak rejestr czynności przetwarzania danych, raport z analizy ryzyka czy polityka ochrony danych osobowych zawierająca m.in. spis stosowanych w organizacji zabezpieczeń technicznych i organizacyjnych.

RODO wprowadza więc zasadę domniemania winy. To administrator musi wykazać kontrolerowi, iż przetwarza dane osobowe w sposób zgody z prawem. Nastawienie niektórych przedsiębiorców (i nie tylko przedsiębiorców) przejawiające się w myśleniu "kontroler niczego u nas nie znajdzie" jest myśleniem zgubnym. To administrator znaleźć musi bowiem argumenty konieczne do wykazania, iż dane osobowe przetwarza zgodnie z prawem.

Sama dokumentacja mająca na celu wykazanie przestrzegania zasad przetwarzania danych osobowych może się jednak okazać niewystarczająca, gdyż w toku kontroli przesłuchaniu podlegać mogą pracownicy administratora, a ich zeznania pozwolą kontrolerom na zweryfikowanie czy sporządzona dokumentacja pokrywa się ze stanem rzeczywistym, czy też ma charakter jedynie życzeniowy. Administrator nie powinien zatem zapomnieć, iż równie ważne jak sporządzenie dokumentacji i wdrożenie środków bezpiecznego przetwarzania danych jest zapoznanie podwładnych z przepisami RODO oraz rozwiązaniami przyjętymi w organizacji.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Obowiązek informacyjny RODO

Rejestr czynności przetwarzania danych osobowych.

Analiza ryzyka.

Kary pieniężne wynikające z RODO.

Zasady RODO.

Wdrożenie RODO.

Kontrola zgodności z RODO.

Polityka ochrony danych osobowych

Powierzenie przetwarzania danych osobowych.

Data publikacji: 24.07.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz