Zgodność z RODO – kilka słów o zasadzie rozliczalności.

Zapewne widziałeś już dziesiątki ofert na wdrożenie RODO – od gotowych dokumentacji, przez szafy „zgodne z RODO”, kłódki, widziałem nawet ostatnio kubki z napisem „zgodny z RODO”. Ze wszystkich wyżej wymienionych rzeczy, akurat ta ostatnia może być najbardziej praktyczna – można chociaż wypić z nich herbatę. Wszystko to w żaden sposób nie przybliży Cię do celu, jakim jest przetwarzanie danych zgodnie z przepisami rozporządzenia.

Musisz wiedzieć, w jakim celu masz podejmować działania, aby kiedyś stwierdzić, że – używając oklepanego sloganu – jesteś zgodny z RODO. Podstawową zasadą, jaką musisz się kierować, to zasada rozliczalności – w razie kontroli musisz wykazać, że stosujesz przepisy. Innymi słowy – któregoś dnia przyjdzie kontroler i powie: „A teraz pokaż mi, jak stosujesz przepisy ogólnego rozporządzenia o ochronie danych”. Szafa zgodna z RODO na niewiele się zda w takiej sytuacji. Zatem wszystko to, co robisz w ochronie danych osobowych, robisz tak, aby móc wykazać Twoje starania w tym temacie – od odpowiednich zabezpieczeń fizycznych, po procedury organizacyjne, środki techniczne i bezpieczeństwo systemów informatycznych w Twojej organizacji. Za każdym razem, gdy deklarujesz coś w swojej polityce bezpieczeństwa, musisz podeprzeć te słowa praktyką. Gdy deklarujesz, że podjąłeś środki organizacyjne – np. przeszkoliłeś personel, to musisz fakt ten wykazać. Jak? Na przykład kartą szkolenia z zakresem tematycznym i podpisem pracowników i szkoleniowca. Jak deklarujesz, że realizujesz prawa osób, których dane dotyczą, to musisz to wykazać. Jak? Na przykład wypełnianiem kart realizacji zgłoszenia przez pracowników, każdorazowo, gdy ktoś chce zrealizować swoje prawa zagwarantowane przez RODO. Gdy deklarujesz, że na bieżąco czuwasz nad bezpieczeństwem danych osobowych jakie masz w posiadaniu, musisz dowieść, że robisz to w praktyce. Jak? Na przykład zlecając cykliczne audyty z działania procedur bezpieczeństwa w Twojej organizacji.

Wszystko to wpisuje się w zasadę rozliczalności – wszystko co deklarujesz musi mieć swoje odzwierciedlenie w rzeczywistości. Co więcej, gdy czegoś nie deklarujesz, np. powołania inspektora ochrony danych – wykaż, dlaczego uznałeś jego obecność za zbędną w Twojej organizacji.  Powinieneś to zrobić tym bardziej, gdy sporna jest kwestia, czy jesteś zobowiązany przez prawo do powołania IOD. Sporządź dokument, opisz motywy takiej albo innej decyzji. Z tego powodu, jak się pewnie domyślasz, gotowe wzory dokumentacji za kilkaset złotych nie są wiele warte. Od 25 maja 2018 r., nie jest znany cały katalog dokumentów, który jest dla Ciebie obligatoryjny. Sam musisz ocenić, co jest niezbędne, aby zapewnić bezpieczeństwo danych, które masz w swoim posiadaniu, oraz jak stosować takie procedury w praktyce. Wydaje mi się, że z perspektywy kontrolera zobaczenie nieadekwatnej do Twoich potrzeb dokumentacji kupionej w sklepie internetowym z “gotowymi wdrożeniami” może być gorzej odebrane, niż samodzielne napisanie prostym niebranżowym językiem, jak w rzeczywistości dbasz o bezpieczeństwo danych osobowych. Oczywiście, ani jedno, ani drugie, nie pozwala w rzeczywistości na przetwarzanie danych zgodnie z przepisami rozporządzenia, a tym samym na uniknięcie sankcji.

Wdrożenie i przestrzeganie RODO to proces, który musi być dopasowany do specyfiki danej organizacji. Musi być odpowiednio dokumentowany i realizowany, musi być kontrolowany i korygowany. Stanu zgodności działania organizacji z przepisami rozporządzenia, nie da się osiągnąć na skróty.