Kto jest w praktyce odpowiedzialny za rozliczalność według RODO?
Rozliczalność w świetle RODO to jedna z kluczowych zasad nałożona na administratora danych. Zakłada ona, że administrator musi być w stanie wykazać przestrzeganie przepisów w zakresie ochrony danych osobowych. W praktyce najczęściej kojarzona jest w dokumentowaniem wszelkich procesów związanych z ochroną danych osobowych i bardzo często odpowiedzialność za realizację zasady rozliczalności zrzucana jest na IOD-ów. Czy to właściwe podejście?
Procedury, procesy, instrukcje…
Ciężko do ręki wymienić wszystkie dokumenty, jakie każdy administrator powinien opracować w swojej organizacji, aby mógł sprawnie wykazać, że odpowiednio realizuje zasadę rozliczalności. Jest jednak kilka dokumentów, które traktowane są w praktyce jako niezbędne minimum, np. polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi. Istotne jest więc przeanalizowanie zakresu działalności administratora i odpowiednie stworzenie lub też dostosowanie dokumentacji związanej z ochroną danych osobowych. Ważne jest także, aby cała dokumentacja była odpowiednio sformalizowana (zapisana) i dostępna dla właściwych osób. IOD spełnia istotną rolę w uświadamianiu administratorowi, jak ważne jest opracowanie i stosowanie tej dokumentacji oraz ciągłe edukowanie pracowników w zakresie wynikających z niej zasad.
Upoważniać czy nie upoważniać?
RODO nie nakłada wprost na administratorów danych obowiązku nadawania upoważnień do przetwarzania danych osobowych, ale taki obowiązek wynika z art. 5 RODO w zakresie zapewnienia rozliczalności przetwarzanych danych oraz art. 29 RODO, zgodnie z którym administrator musi zapewnić, aby dane osobowe były przetwarzane na jego wyraźne polecenie. W praktyce okazuje się, że upoważnienia często są nieaktualne (m.in. ze względu na zmieniający się zakres obowiązków pracownika lub też ze względu na zmiany w procesach, w których uczestniczy). Dobrą praktyką jest prowadzenie ewidencji upoważnień.
Podział odpowiedzialności
Odpowiedzialność za opracowanie, aktualizowanie i utrzymywanie wszelkich procedur i dokumentów związanych z ochroną informacji spoczywa na administratorze danych. Inspektor ochrony danych osobowych z kolei monitoruje ich zgodność ze stanem faktycznym, zidentyfikowanym ryzykiem oraz z aktualnymi przepisami prawa, a ponadto wspiera administratora w przypadku konieczności aktualizacji tych dokumentów i potrzeby tworzenia nowych.
Chcesz wiedzieć więcej o roli i odpowiedzialności IOD-a w zakresie realizowania zasady rozliczalności? Przeczytaj najnowszy komentarz praktyczny dostępny w LEX Ochrona Danych Osobowych pt. Okiem IOD-a: dokumentacja ochrony danych zgodna z RODO - zadania IOD-a.
Autorem komentarza jest Sylwia Czub-Kiełczewska - doświadczony inspektor ochrony danych osobowych, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych.
Alicja Plichta
redaktor naczelna działu Biznes
product manager Ochrona Danych Osobowych