Skąd mam wiedzieć, czy mam wdrożone RODO?

Najprościej byłoby odpowiedzieć na to pytanie w kontekście sytuacyjnym, czyli poczekać na zgłoszenia żądania osoby fizycznej lub incydent bezpieczeństwa, by sprawdzić, czy zadziałały procedury (na bazie zidentyfikowanego wcześniej ryzyka), czy rozumiemy zgłoszone żądanie, czy zaczynamy na oślep szukać odpowiedzi w internecie. Jeżeli tak, to z pewnością nie wdrożyliśmy unijnego rozporządzenia. Nie powinniśmy jednak czekać, by wydarzyły się takie sytuacje, ponieważ RODO oparte jest na zasadzie rozliczalności.

Rozliczalność

Rozliczalność oznaczać będzie spełnienie wszystkich zasad określonych w ust. 1 art. 5 RODO. Zgodnie z tym artykułem przetwarzane dane osobowe muszą być zgodne z prawem, rzetelne i w sposób przejrzysty dla osoby, której dotyczą dane.

Oznacza to, że administrator posiada ważne podstawy prawne wynikające z art. 6, 9 lub 10 RODO na przetwarzanie tych danych. Dodatkowo dane przetwarzane są w sposób rzetelny i przejrzysty, co przekłada się na prostą komunikację z osobami fizycznymi, opisaniem aspektów przetwarzania.

Dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami, np. danych zebranych w procesie rekrutacji nie można wykorzystywać do procesu marketingu własnych produktów. RODO nakłada także zasadę adekwatności, czyli zbierania tylko tych danych, które są niezbędne do realizacji celu, np. pracodawca żąda od pracownika podania jego numeru PESEL, a nie NIP, ponieważ nr PESEL jest właściwy do rejestracji w ZUS, a nie nr NIP.

Dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami.

Dane muszą być przetwarzane w sposób prawidłowy (z koniecznością realizacji żądania do sprostowania danych, ich aktualizacji), a także przetwarzane tylko przez okres do realizacji celu do którego zostały zebrane. Po tym czasie dane oraz ich kopie muszą zostać trwale usunięte, zarówno w systemach informatycznych, jak i zbiorach papierowych.

Ostatnią przesłanką składającą się na rozliczalność jest zasada integralności i poufności, czyli dane muszą być przetwarzane w sposób zgody z prawem, chronione przed utratą, modyfikacją, zniszczeniem, uszkodzeniem i dostępem osób nieupoważnionych. W praktyce oznacza to, że każdy administrator powinien mieć oszacowane ryzyko i wdrożone odpowiednie środki zabezpieczeń, odpowiadające temu ryzyku.

Przykładowy zestaw takich zabezpieczeń to:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (będzie to np. polityka kopii zapasowych, która musi zawierać informacje o sprawdzeniach wykonywania tych kopii),
  • zdolność do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego, czyli szczegółowe procedury składające się na tzw. ciągłość działania.

Ponadto RODO wskazuje, że administrator powinien regularne testować, mierzyć i oceniać skuteczność wybranych przez siebie środków technicznych i organizacyjnych poprzez monitorowanie poziomu ryzyka. Należy pamiętać, że RODO jest procesem, który powinno się stale monitorować.

Spełnienie powyższych przesłanek (wszystkich jednocześnie) będzie traktowane jako rozliczalność, która przełoży się na konkretne działania administratora i posiadaną przez niego dokumentację.