Dokumentacja, głupcze! Czyli o tym jak czytać przepisy RODO z uwzględnieniem zasady rozliczalności

Gdy wchodzi w życie nowy akt prawny, jego twórcy mają zazwyczaj jasne wyobrażenie na temat tego, co chcą osiągnąć. Najważniejsze cele eksponują, zapisując je w postaci zasad przewodnich nowej regulacji. Nigdy jednak nie da się przewidzieć wszystkich skutków nowo uchwalanego prawa. Ujawniają się one dopiero, gdy akt prawny zaczyna być stosowany i jego postanowienia są przekładane na praktykę działania podmiotów, do których jest adresowany. Może się wtedy okazać, że rozwiązania, które twórcy regulacji uważali za uzupełniające, pomocnicze, z perspektywy adresatów przepisów stają się kluczowe, a konieczność ich przestrzegania urasta do rangi podstawowego zadania wynikającego z nowych przepisów.

W przypadku RODO tak właśnie stało się z zasadą rozliczalności. Stanowi ona, że administratorzy nie tylko ponoszą odpowiedzialność za przestrzeganie przepisów określających zasady przetwarzania danych osobowych, ale muszą też być w stanie wykazać, że to robią. Przewidziana jako metoda zapewnienia realizacji określonych w art. 5 ust. 1 przewodnich zasad RODO, wyrażona w kolejnym ustępie – 2, niejako poza nawiasem, stała się istotnym punktem odniesienia dla praktyków, którzy powinność dostosowania się do RODO musieli przekuć na konkretne działania i rozwiązania wewnętrzne. Cóż bowiem oznacza „być w stanie wykazać” przestrzeganie przepisów? Odpowiedź narzuca się sama. Nie wystarczy działać zgodnie z RODO. To, co się robi należy ponadto dokumentować, tak by w razie wątpliwości móc udowodnić, że postępowało się zgodnie z prawem. Zasada rozliczalności przekłada się zatem na wymóg prowadzenie dokumentacji ochrony danych osobowych.

Uświadomienie sobie powyższej zależności jest kluczowe, jeśli chce się w sposób prawidłowy odczytać nakazy zawarte w postanowieniach RODO. Przepisy te zawierają niejako dwie warstwy obowiązków. Pierwszą warstwę stanowią wyrażone wprost w danej normie nakazy lub zakazy odnoszące się do ochrony danych osobowych. Warstwę drugą stanowi wymóg wyboru takiego sposobu realizacji obowiązków wskazanych na poziomie warstwy pierwszej, by dało się to udokumentować. Jako przykład niech posłuży nam art. 13 RODO. Przepis ten nakłada na administratorów wymóg podania podmiotom danych, od których dane są zbierane, pewnych informacji oraz aktualizacji tych informacji w przypadku dalszego przetwarzania danych w celu innym niż ten, dla którego zostały pierwotnie zebrane (warstwa pierwsza). Odczytanie tego przepisu z uwzględnieniem zasady rozliczalności pokazuje, że na administratorach spoczywa jeszcze jeden obowiązek. Muszą oni zapewnić możliwość wykazania, że wskazane wymogi zostały prawidłowo zrealizowane (warstwa druga). Oznacza to, że są zobowiązani wybrać taką metodę realizacji wskazanych obowiązków informacyjnych, by ich wykonanie dało się udokumentować. Tylko wtedy możliwe będzie spełnienie wymogu nałożonego na administratorów w art. 5 ust. 2 RODO. Tworzenie dokumentacji należy traktować jako integralny element przestrzegania wymogów RODO. Gdy realizuje się poszczególne nakazy i zakazy, trzeba tę powinność uwzględnić.       

Rzecz jasna, nie wszystkie przepisy RODO mają taki charakter, że staną się podstawą tworzenia dokumentacji. Muszą one być tak skonstruowane, że wynikają z nich jakieś wymagania nałożone na adresatów tego aktu prawnego. Prezes Urzędu Ochrony Danych Osobowych w swoich wytycznych sporządzonych jeszcze w 2018 r. wskazuje następujące przypadki obowiązków administratora, które powiązane są bezpośrednio z koniecznością wykazania ich realizacji:

1. stosuje się on do ogólnych zasad przetwarzania określonych w art. 5 RODO,
2. zapewnia, aby dane przetwarzane były zgodnie z prawem (art. 6–11 RODO),
3. zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane (art. 12–23 RODO),
4. zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym (art. 24–31 RODO),
5. zapewnia bezpieczeństwo przetwarzania danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania danych (art. 32–36 RODO),
6. zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące czy monitorujące przestrzeganie przyjętych kodeksów postępowania (art. 27–43 RODO),
7. stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych (art. 44–49 RODO).

Należy podkreślić, że wskazane wyliczenie nie jest wyczerpujące. Dodatkowe wymagania, których realizacja także będzie wymagała „wykazania”, a zatem odpowiedniego udokumentowania, mogą znajdować się bowiem także w niektórych regulacjach implementujących RODO. W polskim kontekście należy w tym miejscu wskazać zwłaszcza przepisy zawarte w ustawie z dnia 21 lutego 2019 o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. z 2019 r., poz. 730) – tzw. „ustawa dostosowująca”, które wprowadziły modyfikacje w licznych aktach sektorowych wskazując sposób dostosowania prowadzonej działalności do wymogów RODO. Czasem pociągało to za sobą konieczność opracowania stosownych dokumentów. Taka potrzeba pojawiła się w szczególności w dziedzinie prawa pracy, ale także jeśli chodzi o wykorzystanie technologii telekomunikacyjnych do przetwarzania danych osobowych oraz w przypadku wszystkich stosowanych form monitoringu.   

Dla dopełnienia obrazu zauważmy jeszcze, że RODO zawiera także przepisy, z których obowiązek dokumentacyjny wynika wprost. Chodzi o następujące wymagania:

1. prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
2. zgłaszanie naruszenia ochrony danych do organu nadzorczego (UODO) – art. 33 ust. 3 RODO;
3. prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust. 5 RODO;
4. zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7 RODO.

Cechą charakterystyczną wskazanych przepisów jest to, że określają one konkretne treści, które adresat jest zobowiązany opracować. W powyższych przypadkach nie ma więc konieczności odwoływania się do zasady rozliczalności.  

Jednak sytuacja, gdy przepisy wprost wskazują zakres wymaganej dokumentacji, to wyjątek od zasady. W większości przypadków adresaci przepisów muszą treść dokumentów ustalać sami. Także w tym względzie za wskazówkę może posłużyć nam zasada rozliczalności. W jej świetle przygotowanie dokumentacji ochrony danych osobowych nie jest wszak celem samym w sobie. Ma stanowić metodę realizacji wskazanego w art. 5 ust. 2 RODO wymogu, by można było wykazać, że przetwarzanie odbywa się zgodnie z przepisami. Treść dokumentacji powinna być więc do tego celu dostosowana.

Zobacz więcej publikcji z zakresu ochrony danych osobowych

w księgarni Profinfo.pl

Rozwinięcie powyższej idei znajdujemy w art. 24 RODO. Odczytując ten przepis w kontekście wymogu wykazania, że podejmowane działania pozostają w zgodzie z RODO, należy potraktować dokumentację jako „środek organizacyjny”, który administrator „wdraża” w celu realizacji wymogów RODO. Przepis ten wymaga, by uwzględnić w tym względzie „charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia”.

Tak więc zarówno art. 5 ust. 2, jak i art. 24 należy odczytywać w ten sposób, że twórcy RODO pozostawili administratorom pewną swobodę co do sposobu dokumentowania podejmowanych działań. Chodziło o to, by nie umieszczać w dokumentach treści niepotrzebnych, takich, których opracowanie zabiera czas, a których funkcjonalność jest wątpliwa. Dokumentacja powinna realizować cele RODO i tylko w takim zakresie jest wymagana.        

Z art. 5 ust. 2 i art. 24 wynika jeszcze jeden wymóg dotyczący dokumentacji. Musi być ona  dostosowana do potrzeb konkretnego podmiotu. Każdy dokument powinien być zindywidualizowany i uwzględniać zarówno specyfikę przetwarzania, jak i rolę jaką w tym procesie odgrywa jego twórca (czy jest administratorem, współadministratorem, czy podmiotem przetwarzającym). Nie ma więc dwóch podmiotów, które będą prowadziły identyczną dokumentację. Należy o tym pamiętać, zwłaszcza gdy przygotowuje się dokumentację w oparciu o gotowe wzorce i formatki. Powinny być one zaopatrzone w instrukcję umożliwiającą ich indywidualizację.

Zgodnie ze znaną anegdotą Bill Clinton w trakcie kampanii wyborczej w 1992 r., gdy po raz pierwszy kandydował na urząd prezydenta USA, kazał swoim współpracownikom przygotować plakat z hasłem „Gospodarka, głupcze!”, tak, by stale przypominał mu o tym, że jeśli zapomni o uwzględnieniu kwestii gospodarczych w swoich wystąpieniach wyborczych, to nie ma szans na zwycięstwo. Gdyby odnieść tę anegdotę do działań podmiotów próbujących sprostać wyzwaniom RODO, to śmiało można powiedzieć, że rolę clintonowskiej gospodarki w ich przypadku będzie odgrywać dokumentacja ochrony danych osobowych. Gdy realizuje się obowiązki w omawianej dziedzinie, konieczność jej przygotowania zawsze trzeba mieć z tyłu głowy. Jeśli się o tym zapomni i wybierze taką metodę postępowania, której nie da się odpowiednio udokumentować, to nie zrealizuje się zasady rozliczalności. To zaś oznacza naruszenie wymogów RODO. Bez względu na to jakie faktycznie działania ochronne się podejmuje i jaki poziom bezpieczeństwa danych się zapewnia.

Więcej na temat dokumentacji w najnowszej publikacji pod redakcją naukową Mariusza Jagielskiego „Dokumentacja ochrony danych osobowych ze wzorami”

---