Zasada rozliczalności jest wyrazem zmiany podejścia w ochronie danych osobowych. Nasz radca prawny wyjąsnia czym jest i w jaki sposób realizaować zasadę rozliczalności. Dotychczas rozliczalność była rozumiana jako możliwość przypisania działania danemu podmiotowi. Aby wykazać realizację zasady rozliczalności wystarczyło stworzyć odpowiednią dokumentację przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych.
Jak wskazuje prawnik z naszej kancelarii prawnej - zgodnie z zasadą rozliczalności to administrator jest odpowiedzialny za przestrzeganie obowiązków wynikających z zasad ogólnych przetwarzania danych osobowych (katalog z art. 5 ust. 1 RODO) i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Po porównaniu innych wersji językowych tego przepisu, należy stwierdzić, że unijnemu ustawodawcy chodziło o wprowadzenie zasady odpowiedzialności za przetwarzanie danych. Zatem zasadę rozliczalności należy rozumieć jako ponoszenie przez administratora odpowiedzialności za przetwarzanie danych i obarczenie go ciężarem dowodu. To głównie z powodu wprowadzenia tej zasady do przepisów dotyczących ochrony danych, obawy administratorów przed sankcjami w postaci wysokich kar finansowych przewidzianych przez RODO są tak wyraźne. Od czasu wejścia w życie RODO, to administrator musi wykazać, że przestrzega wszystkich zasad przetwarzania danych, a zatem ujmując to prościej – przetwarza dane osobowe w sposób zgodny z przepisami RODO. W razie jakiejkolwiek kontroli organów, powołanych do ochrony danych osobowych, to administrator będzie stawał na głowie, żeby pokazać, że poza przygotowaną dokumentacją i całą teorią, wdrożył również odpowiednie środki ochrony danych osobowych w swojej działalności i są one rzeczywiście stosowane.
W jaki sposób realizować zasadę rozliczalności
W celu realizacji zasady rozliczalności zaleca się co najmniej:
• przeprowadzenie analizy ryzyka i ustalenie na jej podstawie zagrożeń, jakie występują w działalności prowadzonej przez administratora dla ochrony danych osobowych,
• zastosowanie reguł privacy by design i privacy by default,
• określenie celów przetwarzania danych i dokonywanie ich regularnych przeglądów,
• wskazanie podstaw legalizujących przetwarzania danych,
• określenie maksymalnych terminów, w których przetwarzanie danych osobowych jest możliwe,
• określenie jakościowych (zas. prawidłowości danych) oraz ilościowych (zas. minimalizacji danych) granic przetwarzania danych po uwzględnieniu celów przetwarzania danych,
• zapewnienie możliwości realizacji przez osoby, których dane dotyczą swoich uprawnień,
• zapewnienie odpowiednich środków technicznych i organizacyjnych, które zapobiegną przypadkowej utracie lub uszkodzeniu danych, a także ustrzegą przed dostępem osób nieuprawnionych do danych osobowych przetwarzanych przez administratora.
Pamiętajmy, że najlepszym sposobem wykazania, że administrator przestrzega przepisy RODO, będzie stworzenie odpowiedniej dokumentacji, która będzie regularnie uzupełniana i aktualizowana.
Nie jesteś pewny, czy w sposób prawidłowy realziaujesz zasadę rozliczalności? Skontaktuj się z naszą kancelarią prawną we Wrocławiu.