W artykule kontynuujemy wyjaśnianie zasad przetwarzania danych osobowych opisanych w artykule 5 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).
Niejako podsumowaniem zasad opisanych w poprzednich artykułach z serii RODOWskaz jest ustęp 2 komentowanego artykułu który stanowi, że administrator jest odpowiedzialny za przestrzeganie zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane „rozliczalnością”.
Przepisy nakładają na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. W komentowanym rozporządzeniu można zaobserwować tendencję do zapewnienia administratorom większej swobody w zakresie stosowanych zabezpieczeń, z jednoczesnym zwiększeniem odpowiedzialności za naruszenia przepisów o ochronie danych. Administrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia, aby móc zastosować odpowiednie środki pozwalające skutecznie zabezpieczyć przetwarzane dane.
Pojęcie rozliczalności jest wieloznaczne i może być różnie rozumiane także na obszarze ochrony danych osobowych. Rozliczalność w znaczeniu technicznym, jakim posługiwał się przepis § 2 pkt 6 nieobowiązującego już rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 21.04.2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników, wydanym na podstawie przepisów ustawy o informatyzacji, oznaczała „właściwość systemu pozwalającą przypisać określone działanie w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie”. Tak rozumiana rozliczalność stanowi istotny element zabezpieczeń.
W podobnym znaczeniu omawianym pojęciem posługiwał się także polski prawodawca w § 2 pkt 7 nieobowiązującego już rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z definicją zawartą w tym przepisie rozliczalność oznaczała „właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi”. W tym rozumieniu rozliczalność była jednym z wymogów, jakie administrator danych miał obowiązek zapewnić przy wykorzystaniu środków technicznych i organizacyjnych służących zabezpieczeniu danych, wykazanych w dokumencie polityki bezpieczeństwa.
Na gruncie komentowanego unijnego rozporządzenia znaczenie pojęcia rozliczalności jest odmienne, oznacza ono odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania. W literaturze przedmiotu wskazuje się, że określenie „rozliczalność” (ang. accountability) powinno być rozumiane odmiennie od dotychczas przypisywanego mu znaczenia, jako synonim ponoszenia odpowiedzialności przez administratora, co prowadzi do wniosku, że polska wersja językowa komentowanego przepisu nie odpowiada w istocie jego zamierzonej.
Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów komentowanego rozporządzenia, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte np. w polityce bezpieczeństwa lub w innym dokumencie, natomiast przewidziany w art. 30 obowiązek prowadzenia rejestru czynności przetwarzania ograniczony jest w tym zakresie jedynie do ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa.
Naruszenie zasad przetwarzania danych, określonych w artykule 5 RODO, może pociągnąć za sobą odpowiedzialność w postaci nałożenia na administratora przez organ nadzorczy administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 5 rozporządzenia, w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.