25 maja 2018 r. wybije godzina zero, w której wszystkie podmioty przetwarzające dane osobowe będą musiały działać całkowicie zgodnie z uchwalonym w zeszłym roku rozporządzeniem ogólnym o ochronie danych osobowych (UE) 2016/679 (tzn. „RODO"). Ta nowa regulacja będąca wynikiem ponad czteroletnich prac w Brukseli zastąpi obecnie obowiązującą krajową ustawę o ochronie danych osobowych i będzie miała bezpośrednie zastosowanie do wszystkich administratorów i przetwarzających w Unii Europejskiej.
Już teraz z całą pewnością można powiedzieć, że wprowadzone przez RODO zmiany są raczej rewolucyjne niż ewolucyjne. Nowa regulacja nie tylko przewiduje wiele nowych uprawnień podmiotów danych osobowych, takich jako prawo do bycia zapomnianym czy do przenoszenia danych i co za tym idzie nowych obowiązków administratorów, ale wprowadziła także dwie kluczowe zasady, na których oparta ma być ochrona prywatności tj. zasadę rozliczalności i zasadę podejścia opartego na ryzyku. Obie te zasady wymagają wdrożenia nowego dla polskich administratorów danych podejścia, a co za tym idzie odpowiedniego opracowania procedur i wdrożenia swoistej korporacyjnej kultury przetwarzania danych osobowych. Zasady te oczywiście nie pojawiły się znikąd. Zostały wypracowane przez wiele lat obowiązywania dotychczasowych regulacji. Niemniej jednak dla polskich przedsiębiorców będą one stanowiły istotne novum.
Pokaż mi jak chronisz dane
Aby przygotować się na RODO i sprostać wymaganiom stawianym przez tę regulację przedsiębiorcy, a przynajmniej część z nich, będą musieli przemodelować dotychczasowy sposób myślenia o ochronie danych osobowych, a w konsekwencji również sposób podejścia do realizacji obowiązków jakie się z tym wiążą. Dlaczego? RODO bardzo wyraźnie w kilku miejscach podkreśla, że podmioty przetwarzające dane nie tylko muszą przestrzegać zasad ochrony danych osobowych (co jest oczywiste), ale też muszą być w stanie wykazać się z przestrzegania tych zasad. Przewidziana w RODO konieczność czy umiejętność wykazania się w konkretnym przypadku przez przedsiębiorcę z przestrzegania przepisów RODO jest określana mianem zasady rozliczalności (ang. accountability) i bez wątpienia stanowi jedną z istotnych zmian wprowadzanych przez RODO, mimo, że sama zasada niczym nowym nie jest. Koncepcja rozliczalności w temacie ochrony danych osobowych pojawiła się kilkadziesiąt lat temu, a jej pierwowzory można znaleźć w wytycznych OECD dotyczących prywatności z 1980 r. czy też w Kanadyjskiej ustawie o ochronie danych osobowych i dokumentach elektronicznych. Cele zasady oraz omówienie istoty oraz sposób jej realizacji były również przedmiotem opinii Grupy Roboczej Art. 29 w 2010 r. Nie powinno więc dziwić, że licząca blisko 40 lat koncepcja przebiła się do świadomości ustawodawcy europejskiego i została bardzo wyraźnie wyartykułowana w przepisach RODO. Sam termin „rozliczalność" pochodzi z kultury anglosaskiej i łączy w sobie sposób realizację działania i możliwość odpowiedniej weryfikacji.
Z teorii do praktyki
Jakie jest praktyczne znaczenie zasady rozliczalności dla przedsiębiorców? Czytając o zasadzie rozliczalności bardzo często możemy spotkać się z twierdzeniem o przeniesieniu zasad ochrony danych osobowych z „teorii do praktyki". I to zdanie doskonale opisuje istotę całego problemu. RODO bowiem wymaga i oczekuje od przedsiębiorców, że ochrona danych osobowych nie będzie traktowana jako jeden z obowiązków, któremu trzeba sprostać w sposób czysto formalny. Niestety, bardzo wiele podmiotów nadal prezentuje bardzo „teoretyczne" podejście do ochrony danych. Opracowują konieczną na chwilę obecną dokumentację czyli politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym, w razie konieczności rejestrują w GIODO zbiór danych osobowych, ale na tym kończy się myślenie o ochronie danych osobowych. Nie wprowadza się w życie określonych procedur, raz przygotowane dokumenty nie są później aktualizowane, nie przeprowadza się szkoleń wewnętrznych, etc. Dlatego właśnie na wstępie powiedzieliśmy, że RODO wymaga od części przedsiębiorców zmiany sposobu myślenia i podejścia do ochrony danych osobowych.
Realizacja obowiązku
Lektura poszczególnych przepisów RODO pokazuje, że w rozporządzeniu jest blisko 40 artykułów, które w sposób jednoznaczny lub nie wprost, ale jednak odwołują się do zasady rozliczalności, a więc wymagają od przedsiębiorców wykazania się z przestrzegania określonych zasad. Pamiętajmy przy tym, że w praktyce chodzi o zademonstrowanie przestrzegania przepisów RODO zarówno przed regulatorem, ale i przed osobami fizycznymi, których dane są przetwarzane.