Jesteś już użytkownikiem programów LEX?

Kto jest w praktyce odpowiedzialny za rozliczalność według RODO?

15 lipca 2019

Rozliczalność w świetle RODO to jedna z kluczowych zasad nałożona na administratora danych. Zakłada ona, że administrator musi być w stanie wykazać przestrzeganie przepisów w zakresie ochrony danych osobowych. W praktyce najczęściej kojarzona jest w dokumentowaniem wszelkich procesów związanych z ochroną danych osobowych i bardzo często odpowiedzialność za realizację zasady rozliczalności zrzucana jest na IOD-ów. Czy to właściwe podejście?  

Procedury, procesy, instrukcje…

Ciężko do ręki wymienić wszystkie dokumenty, jakie każdy administrator powinien opracować w swojej organizacji, aby mógł sprawnie wykazać, że odpowiednio realizuje zasadę rozliczalności. Jest jednak kilka dokumentów, które traktowane są w praktyce jako niezbędne minimum, np. polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi. Istotne jest więc przeanalizowanie zakresu działalności administratora i odpowiednie stworzenie lub też dostosowanie dokumentacji związanej z ochroną danych osobowych. Ważne jest także, aby cała dokumentacja była odpowiednio sformalizowana (zapisana) i dostępna dla właściwych osób. IOD spełnia istotną rolę w uświadamianiu administratorowi, jak ważne jest opracowanie i stosowanie tej dokumentacji oraz ciągłe edukowanie pracowników w zakresie wynikających z niej zasad.  

Upoważniać czy nie upoważniać?  

RODO nie nakłada wprost na administratorów danych obowiązku nadawania upoważnień do przetwarzania danych osobowych, ale taki obowiązek wynika z art. 5 RODO w zakresie zapewnienia rozliczalności przetwarzanych danych oraz art. 29 RODO, zgodnie z którym administrator musi zapewnić, aby dane osobowe były przetwarzane na jego wyraźne polecenie. W praktyce okazuje się, że upoważnienia często są nieaktualne (m.in. ze względu na zmieniający się zakres obowiązków pracownika lub też ze względu na zmiany w procesach, w których uczestniczy). Dobrą praktyką jest prowadzenie ewidencji upoważnień.

Podział odpowiedzialności

Odpowiedzialność za opracowanie, aktualizowanie i utrzymywanie wszelkich procedur i dokumentów związanych z ochroną informacji spoczywa na administratorze danych. Inspektor ochrony danych osobowych z kolei monitoruje ich zgodność ze stanem faktycznym, zidentyfikowanym ryzykiem oraz z aktualnymi przepisami prawa, a ponadto wspiera administratora w przypadku konieczności aktualizacji tych dokumentów i potrzeby tworzenia nowych.    

 

Chcesz wiedzieć więcej o roli i odpowiedzialności IOD-a w zakresie realizowania zasady rozliczalności? Przeczytaj najnowszy komentarz praktyczny dostępny w LEX Ochrona Danych Osobowych pt. Okiem IOD-a: dokumentacja ochrony danych zgodna z RODO - zadania IOD-a.

 

Autorem komentarza jest Sylwia Czub-Kiełczewska - doświadczony inspektor ochrony danych osobowych, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych.

 

Zainteresował Cię ten tekst, a nie masz dostępu do LEX Ochrona Danych Osobowych? Sprawdź naszą ofertę. 

 

Alicja Plichta

redaktor naczelna działu Biznes

product manager Ochrona Danych Osobowych

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.