Czasopisma logo

Monitor Prawniczy

nr 23/2020

Dokumentowanie zgodności z przepisami RODO (dodatek MoP 23/2020)

Karolina Gałęzowska
Autorka kieruje Biurem Ochrony Danych w Banku Millenium, jest doktorantką na WPiA UW.
Abstrakt

W artykule przeanalizowano zagadnienie dokumentowania oraz demonstrowania zgodności z przepisami RODO. Głównym źródłem obowiązków analizowanych w tym artykule są przepisy art. 5 sek. 2 i art. 24 RODO, którą dotyczą obowiązków w zakresie rozliczalności i odpowiedzialności.Dokumentowanie zgodności z przepisami RODO dla wielu wydaje się być kwestią drugorzędną lub mniej istotną z punktu widzenia mnogości wyzwań stojących przed podmiotami stosującymi przepisy RODO. Uważam takie podejście za błędne, czego dowodem jest dotychczasowa praktyka Prezesa Urzędu Ochrony Danych Osobowych („PUODO”) wskazująca, jak surowo karane może być nieprzestrzeganie tych obowiązków. Dokumentowanie zgodności jest też problemem praktycznego stosowania prawa europejskiego, gdyż idea rozliczalności musi być zastosowana w reżimie polskiego postępowania administracyjnego i sądowo-administracyjnego. Wiele wyzwań stojących przed administratorami wynika właśnie z wątpliwości dotyczących ciężaru dowodu i niepewności co do oceny przez PUODO środków mających wykazanie zgodności z przepisami RODO. Pewne pytania rodzą się również w związku z określonymi błędami w tłumaczeniu tekstu RODO na język polski.Niemniej jednak należy pamiętać, że najważniejszym celem omawianych przeze mnie przepisów jest zapewnienie faktycznej zgodności działania podmiotów zobowiązanych z wymogami RODO. Można ten cel potencjalnie osiągnąć na różne sposoby. Dlatego choć przepisy RODO wymagają rozliczalności, to należy pamiętać, że z ostatecznej wersji art. 3 usunięto konkretny katalog narzędzi, które miałyby posłużyć do udokumentowania i zapewnienia rozliczalności, co sugeruje zaakceptowanie przez prawodawcę unijnego pewnej elastyczności w tej kwestii. Warto pamiętać, że ostatecznym celem regulacji jest zapewnienie ochrony prawa do prywatności, a nie dążenie do tworzenia niekończących się regulacji wewnętrznych przedsiębiorstw. Mając to na uwadze, moim zdaniem postępowania w sprawie naruszenia przepisów RODO wymagają istotnej rewizji i elastycznego podejścia do dowodów wykorzystywanych przez strony.