Kiedy pytają mnie, na czym tak naprawdę polega RODO, zawsze odpowiadam: nie na formularzach, nie na checkboxach i nie na „papierze do szuflady”. Rdzeniem RODO jest rozliczalność. I to nie w sensie deklaratywnym, ale bardzo konkretnym, operacyjnym obowiązku administratora danych. Dokładnie to wyraża art. 5 ust. 2 RODO, który w praktyce zmienił podejście do ochrony danych bardziej niż jakikolwiek inny przepis.
RODO nie pyta dziś administratora, czy uważa, że działa zgodnie z prawem. RODO pyta, czy potrafi to udowodnić. Zasada rozliczalności oznacza, że to ja, jako administrator, ponoszę odpowiedzialność nie tylko za samo przestrzeganie zasad przetwarzania danych, ale również za możliwość wykazania, że rzeczywiście je stosuję. I nie w teorii, lecz w odniesieniu do konkretnych procesów, decyzji i zdarzeń.
W praktyce rozliczalność oznacza, że każda decyzja dotycząca danych osobowych musi mieć swoje uzasadnienie, kontekst i ślad w dokumentacji. Jeżeli nie zgłaszam naruszenia, muszę umieć wykazać, dlaczego uznałem, że nie powstało ryzyko dla praw lub wolności osób fizycznych. Jeżeli powierzam dane innemu podmiotowi, muszę pokazać umowę spełniającą wymogi art. 28 RODO. Jeżeli opieram przetwarzanie na konkretnej podstawie prawnej, muszę umieć ją wskazać i obronić. Brak dokumentu w praktyce oznacza, że decyzja nie istniała.
Z mojego doświadczenia wynika, że właśnie w tym miejscu pojawia się najwięcej problemów. Administratorzy skupiają się na tym, co robią, a nie na tym, czy potrafią to wykazać. Tymczasem art. 5 ust. 2 RODO nie pozostawia wątpliwości. Odpowiedzialność za zgodność z zasadami przetwarzania spoczywa na administratorze i to on musi być przygotowany na jej udowodnienie w dowolnym momencie, a nie dopiero w chwili kontroli.
RODO nie jest więc zbiorem abstrakcyjnych obowiązków. Jest systemem, który wymusza świadome zarządzanie danymi osobowymi, podejmowanie decyzji opartych na analizie ryzyka i dokumentowanie tego procesu. Bez rozliczalności RODO sprowadza się do deklaracji. Z rozliczalnością staje się realnym mechanizmem odpowiedzialności.
Spis treści
RODO to skrót od Rozporządzenia o Ochronie Danych Osobowych, które zostało uchwalone przez Unię Europejską. Podstawowym celem tego rozporządzenia było stworzenie przepisu, mającego ochronić osoby fizyczne w związku z rozpowszechnieniem przetwarzania danych osobowych, jak również umożliwić swobodnych ich przepływu. Rozporządzenie RODO zostało przyjęte przez UE 27 kwietnia 2016 roku i jego przepisy weszły w życie w Polskim systemie prawnym – 25 maja 2018 roku.
RODO, co to?
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, to unijne rozporządzenie mające na celu ochronę danych osobowych osób fizycznych w Unii Europejskiej. RODO zastąpiło dotychczasową dyrektywę o ochronie danych osobowych i jest bezpośrednio obowiązujące we wszystkich państwach członkowskich UE, w tym również w Polsce. Wprowadzenie RODO miało na celu ujednolicenie i wzmocnienie ochrony danych osobowych w całej Unii Europejskiej. Przestrzeganie przepisów RODO jest istotne dla podmiotów przetwarzających dane osobowe, w tym dla firm, instytucji publicznych i innych organizacji, w celu zapewnienia zgodności z przepisami i ochrony praw osób, których dane są przetwarzane.
Linia czasu ochrony danych.
Na czym polega RODO? - 5 założeń RODO
1. Na czym polega RODO? Neutralność technologiczna.
Jedną z głównych zalet nowych przepisów o ochronie danych osobowych jest ich technologiczna neutralność. RODO nie wskazuje wprost, jakie technologie należy wdrożyć w celu ochrony danych. W zasadzie administratorzy mogą swobodnie dobierać najbardziej odpowiednie środki. Małe firmy nie są zmuszone do stosowania odgórnie narzuconych rozwiązań technologicznych. Z kolei duże przedsiębiorstwa mogą sięgać po najbardziej zaawansowane technologie.
Należy uwzględniać:
- charakter
- zakres
- kontekst
- cele
- ryzyko
Aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. RODO nie wskazuje konkretnych rozwiązań=pozostawia wybór.
2. Na czym polega RODO? Podejście oparte na ryzyku.
Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. Zasada podejścia opartego na ryzyku stanowi, że administrator danych lub podmiot przetwarzający powinien zastosować takie środki bezpieczeństwa, które w danych okolicznościach przetwarzania minimalizują związane z tym przetwarzaniem ryzyko naruszenia praw i wolności.
3. Na czym polega RODO? Rozliczalność.
Zasada rozliczalności wynika wprost z art. 5 ust. 2 RODO. Zgodnie z zasadą rozliczalności administrator jest zobowiązany nie tylko do przestrzegania przepisów i wdrożenia odpowiednich środków ochrony danych, ale także do odpowiedniego udokumentowania podjętych działań i decyzji w sprawie wyboru określonych rozwiązań oraz do wykazania przestrzegania przepisów w razie kontroli.
4. Na czym polega RODO? Wzmocnienie praw podmiotów danych.
RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały większy dostęp do informacji na temat podejmowanych przez administratorów działań. Osoby mają też mieć większą kontrolę nad danymi dzięki uprawnieniom opisanym w art. 15, 16, 17, 18, 20, oraz 21 RODO.
5. Na czym polega RODO? Ujednolicenie porządków prawnych państw członkowskich.
Ogólne rozporządzenie o ochronie danych (RODO) weszło w życie 25 maja 2018, od tego czasu obowiązuje w całej Unii Europejskiej. RODO ma zastosowanie zarówno do europejskich organizacji przetwarzających dane osobowe osób fizycznych w UE (W tym przypadku 27 państw członkowskich UE i Wielka Brytania (do końca okresu przejściowego) oraz Islandia, Liechtenstein i Norwegia), jak i do organizacji spoza UE kierujących swoją ofertę do mieszkańców Unii.
