Dwie ostatnie zasady ujęte w treści RODO wydają się mieć najbardziej ogólny charakter poprzez odniesienia do szeroko zakreślonych pojęć obowiązku zapewnienia bezpieczeństwa danych oraz faktycznego przestrzegania wszystkich zasad dotyczących przetwarzania danych osobowych. Mowa oczywiście o zasadzie integralności i poufności oraz zasadzie rozliczalności, które stanowią dobre podsumowanie zmian jakie niosą ze sobą nowe przepisy. Nie możemy spodziewać się rewolucji w tym zakresie, niemniej warto docenić precyzyjnie ustawowe dookreślenie najważniejszych reguł rządzących ochroną danych osobowych, niejednokrotnie bardziej dotychczas obecnych w sferze doktryny i orzecznictwa.
Art. 5 ust.2 lit. f RODO stanowi, że — Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Wskazany przepis formułuje jeden z podstawowych i najważniejszych obowiązków nakładanych na administratorów danych, którego zasadniczy charakter widoczny jest zwłaszcza przy uwzględnieniu idei przyświecających nowemu prawu, podkreślającemu wyższość i pierwszeństwo ochrony danych osobowych, przed innymi licznymi regulacjami.
Zobowiązanie zapewnienia przetwarzanym danym odpowiedniego bezpieczeństwa i poufności wydaje się oczywistością, niemniej pewną trudność stanowi wskazanie środków technicznych lub organizacyjnych, za pomocą których zachowane zostaną zasady zapewniające odpowiednie bezpieczeństwo danych osobowych. Z pomocą przychodzi art. 32 uszczegółowiający kwestię bezpieczeństwa przetwarzania wskazując, że za owe odpowiednie środki mogą zostać uznane, m.in. pseudonimizacja i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Otwartą kwestią pozostaje jaką ostatecznie formę przybiorą wskazane środki w obrocie gospodarczym. Przykładowo zdolność do ciągłego zapewnienia poufności może zostać osiągnięta za pomocą szeregu narzędzi programistycznych, czy też stosowania odpowiednich procedur administracyjno-prawnych. Niemniej kategoria odpowiednich środków pozostanie do końca otwarta, a poprzez swoje niedookreślenie pozwoli na stałe poszerzania katalogu realnie obecnych instrumentów chroniących dane osobowe.
Zasada rozliczalności ujęta w art. 5 ust.2 w brzmieniu — Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”), to w uproszczeniu obowiązek wykazania przez administratora wypełniana wszystkich obowiązków określonych w katalogu zasad dotyczących przetwarzania danych osobowych, w tym przede wszystkim zapewnienia bezpieczeństwa, ochrony i dostępu do danych osobowych.
Tak skonstruowana rozliczalność to nic innego jak konieczność ponownego przeanalizowania wszelkich stosowanych środków, procedur oraz sposobów zachowań pod kątem wypełniania dyspozycji zawartych w zasadach (zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność). Każdy administrator danych będzie tym samym musiał wykazać przestrzeganie wszystkich zasad dotyczących przetwarzania danych osobowych bez wyjątku, w innym wypadku dopuści się naruszenia przepisów RODO.
Piotr Gutowski dla IT Law Solutions
Polecamy także pozostałe wpisy z cyklu, w którym omawiamy zasady przetwarzania danych osobowych: