Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Zasada rozliczalności w rodo

26-02-2018 Autor: Jakub Rzymowski

Prawodawca unijny mówi o rozliczalności w art. 5 ust. 2 rodo, który jest częścią art. 5 rodo zatytułowanego „Zasady dotyczące przetwarzania danych osobowych”. Zatem art. 5 ust. 2 rodo statuuje zasadę rozliczalności, zaś sama rozliczalność to cecha przetwarzania danych, którą można osiągnąć jedynie dzięki realizacji tej zasady.

 

Zasada rozliczalności stanowi, że ADO jest odpowiedzialny za przestrzeganie pozostałych zasad przetwarzania danych osobowych oraz że ADO musi być w stanie wykazać przestrzeganie tych zasad – zasad wymienionych w art. 5 ust. 1 rodo.

Rozliczalność jako odpowiedzialność ADO

Dla realizacji każdej z zasad przetwarzania danych osobowych z art. 5 ust. 1 rodo konieczne jest przestrzeganie odpowiednich przepisów rodo, odpowiadających danej zasadzie i jednoczesne przestrzeganie samej zasady. Za tak rozumiane przestrzeganie zasad odpowiedzialny jest ADO, on też odpowiada za przestrzeganie rodo.

Wniosek ten wynika również z art. 83 ust. 2 lit. i rodo. Jest to istotne dla osób sprawujących funkcje kierownicze w ADO, inspektorów ochrony danych i dla innych osób związanych z przetwarzaniem danych osobowych.

Rozliczalność jako wykazanie przestrzegania zasad

W tym rozumieniu rozliczalność oznacza, że ADO musi być w stanie wykazać przestrzeganie zasad przetwarzania danych osobowych zapisanych w art. 5 ust. 1 rodo. Wpisanie do rodo zasady rozliczalności zmieniło działania ADO. O ile dotychczas ADO działał reaktywnie – zabezpieczał dane – o tyle teraz ADO ma obowiązek działać proaktywnie1.

Artykuł 83 ust. 5 lit. a rodo przewiduje odpowiedzialność administracyjną za naruszenie przepisów dotyczących zasad przetwarzania danych osobowych, opisanych w art. 5 rodo. Zasady realizuje się przez stosowanie odpowiednich przepisów rodo i przez bezpośrednią realizację zasad. Prawodawca unijny przewiduje odpowiedzialność administracyjną za niezrealizowanie zasad zapisanych w art. 5 rodo i osobno za niezrealizowanie kolejnych przepisów rodo. Może się zdarzyć, że przepis szczególny zostanie zrealizowany, zaś zasada zostanie naruszona, co grozi odpowiedzialnością, jest ona jednak w takim przypadku mało prawdopodobna. O ile zwykle wiadomo, jak konkretnie należy realizować kolejne przepisy szczególne, o tyle trudno czasem powiedzieć, jakie czynności zapewniają bezpośrednią realizację zasad, co utrudnia poniesienie odpowiedzialności administracyjnej z uwagi na treść art. 7a ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.

Konkretne przepisy szczególne pomagają w realizacji konkretnych zasad, realizacja przepisu szczególnego nie gwarantuje realizacji zasady, jednak utrudnia skuteczne nałożenie kary administracyjnej. Na zagadnienie należy jednak też spojrzeć z innej strony. Jeżeli ADO nie zrealizuje przepisu szczególnego odpowiadającego konkretnej zasadzie, to niewątpliwe jest, że złamana zostaje zasada, której dany przepis odpowiada.

Szczególną uwagę należy zwrócić na fakt, że art. 83 ust. 5 lit. a rodo przewiduje odpowiedzialność za naruszenie każdego z elementów art. 5 rodo, w tym między innymi za naruszenie zasady rozliczalności, zawartej w art. 5 ust. 2 rodo. Zasady zawarte w art. 5 ust. 1 rodo wskazują, jak należy chronić dane osobowe, by nie ponieść odpowiedzialności. Nie wystarczy jednak chronić danych osobowych zgodnie z zasadami, trzeba jeszcze być w stanie wykazać, że się te dane zgodnie z zasadami chroni, czyli, że realizuje się zasadę rozliczalności. Najlepiej uczynić to poprzez prowadzenie odpowiedniej dokumentacji2. Sama niemożność wykazania, że się dane chroni, jest zagrożona karą.

Realizacja zasady rozliczalności w  kontekście realizacji kolejnych zasad

Zasada zgodności z prawem (art. 5 ust. 1 lit. a rodo)

Zasadę tę realizuje się dzięki przetwarzaniu danych osobowych jedynie na podstawie co najmniej jednej przesłanki przetwarzania danych osobowych, wynikającej z art. 6 rodo lub z art. 9 rodo.

Rozliczalność zasady zgodności z prawem zrealizować można poprzez opisane poniżej działania. Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania (motyw 42 preambuły rodo). Do takiego wykazania nadaje się zarchiwizowany dokument pisemnej zgody, skan takiego dokumentu, wiadomość poczty elektronicznej, zawierająca oświadczenie zgody, wydruk takiej wiadomości, adnotacja w bazie danych, że zgodę wyrażono pisemnie, ustnie, poprzez zaznaczenie okienek zgody w interfejsie sklepu. Jeżeli przetwarzanie odbywa się na podstawie jednej z pozostałych przesłanek, to należy zapisać, o którą przesłankę przetwarzania chodzi.

Przesłanki należy konkretyzować, czyli nie „przetwarzanie niezbędne do wykonania umowy”, ale „przetwarzanie niezbędne do wykonania umowy o pracę”. Najlepszym miejscem do zapisywania poszczególnych sposobów realizacji kolejnych zasad jest polityka ochrony danych. Najlepiej zawrzeć w takiej polityce część o nazwie: „realizacja zasad przetwarzania danych osobowych” i w części tej opisywać właśnie, jak się kolejne zasady realizuje. Można też oczywiście dla każdej zasady stworzyć osobny dokument, dotyczący jej realizacji. Z uwagi na możliwe spory z pracownikami instytucji kontrolnych lepiej jest jednak przyjąć rozwiązanie oparte na wpisywaniu sposobów realizacji zasad do polityki ochrony.
 

[...]

 

Autor jest doktorem nauk prawnych, adiunktem w Katedrze Europejskiego Prawa Gospodarczego Wydziału Prawa i Administracji Uniwersytetu Łódzkiego. Współpracuje z kancelarią adwokacką Eurokancelaria prof. Maria Królikowska-Olczak.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

 

 

 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.