Jak udokumentować, że realizujesz prawa osób, których dane dotyczą, zgodnie z RODO

Osoba, której dane są przetwarzane przez administratora lub procesora, na mocy ogólnego rozporządzenia o ochronie danych (RODO) zyska wiele nowych praw. Artykuł 15 RODO uprawnia taką osobę (tzw. podmiot danych) m.in. do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to jest uprawniona do uzyskania dostępu do nich oraz takich informacji, jak np.:

• cele przetwarzania,
• kategorie przetwarzanych danych osobowych,
• informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
• planowany okres przechowywania danych osobowych (w miarę możliwości),
• informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
• informacje o prawie wniesienia skargi do organu nadzorczego,
• jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Ogólne rozporządzenie o ochronie danych (RODO) czyni administratora odpowiedzialnym nie tylko za realizowanie praw osób, których dane dotyczą, ale także przewiduje, że musi on być w stanie wykazać ich przestrzeganie (zasada rozliczalności). Ponadto administrator będzie musiał wykazać, że:

• żądanie osoby, której dane dotyczą, jest ewidentnie nieuzasadnione lub nadmierne (np. ze względu na swój ustawiczny charakter), jeżeli powołuje się na taki charakter żądania, odmawiając podjęcia działań lub wymagając opłaty,
• wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO – uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia,
• uwzględniał ochronę danych w fazie projektowania oraz przestrzegał zasady domyślnego przetwarzania danych osobowych wyłącznie w niezbędnym zakresie – będzie można to wykazać m.in. poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji.

Jedną z zasad przetwarzania danych osobowych wprowadzanych przez RODO jest zasada rozliczalności. Ogólne rozporządzenie o ochronie danych daje administratorowi większą niż do tej pory swobodę w wyborze i stosowaniu konkretnych środków organizacyjnych i technicznych służących zabezpieczeniu przetwarzania danych. Z większą wolnością wiąże się jednak większa odpowiedzialność – ADO będzie musiał udowodnić skuteczność tych środków w razie kontroli Prezesa Urzędu Ochrony Danych Osobowych (następcy GIODO). Rozliczalność to więc zdolność administratora do wykazania, że realizuje wszystkie zasady przetwarzania danych osobowych:

• zgodność z prawem, rzetelność i przejrzystość,
• ograniczenie,
• minimalizacja danych,
• prawidłowość,
• ograniczenie przechowywania,
• integralność i poufność.

Administrator powinien się przygotować nie tylko do możliwie szybkiego realizowania żądań podmiotów danych, ale i do dokumentowania całego procesu obsługi żądania. Oznacza to zarówno rejestrację (np. w systemie informatycznym działającym na zasadzie ticketów) samej treści żądania i jego autora, jak i każdego kolejnego działania. Dla własnego bezpieczeństwa prawnego trzeba być w stanie udowodnić, kiedy i jaka czynność została podjęta albo nie podjęta i z jakich przyczyn. To może nieść za sobą konieczność podjęcia dalszych kroków organizacyjnoprawnych, takich jak zakup systemu (być może z uwzględnieniem procedur zakupowych obowiązujących u administratora), stworzenie regulaminu korzystania z tego systemu przez pracowników i przeszkolenia pracowników.

Administrator musi zapewnić spójność działań wewnątrz organizacji. Konieczne może być opracowanie pełnej procedury usuwania danych, zakładającej współpracę osób odpowiedzialnych za np. umowy, portal internetowy, wysyłkę materiałów reklamowych czy administrowanie forum albo blogiem. Dokumentacja przestrzegania praw podmiotów danych nie będzie więc jednym dokumentem, ale poszczególnymi postanowieniami rozproszonymi w instrukcji zarządzania systemami informatycznymi, regulaminach poszczególnych systemów informatycznych czy w polityce bezpieczeństwa.