1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Zasada rozliczalności w RODO – jak ją stosować w praktyce i uniknąć kar UODO?
Wyszukiwanie...

Zasada rozliczalności w RODO – jak ją stosować w praktyce i uniknąć kar UODO?

Spis treści

Zasada rozliczalności to jedna z najważniejszych reguł wynikających z RODO. Administrator danych ma obowiązek nie tylko przetwarzać dane zgodnie z przepisami, ale także umieć wykazać, że faktycznie stosuje odpowiednie zabezpieczenia i procedury. Brak realizacji tego obowiązku często skutkuje dotkliwymi karami finansowymi nakładanymi przez Prezesa UODO.

W tym poradniku wyjaśniam:

  • na czym polega zasada rozliczalności,
  • jakie środki techniczne i organizacyjne należy wdrożyć,
  • jak dokumentować zgodność z RODO,
  • jakie błędy popełniają administratorzy (na przykładach decyzji UODO),
  • jak w praktyce ograniczyć ryzyko sankcji.

Na czym polega zasada rozliczalności?

Podstawą jest art. 5 ust. 2 RODO, który stanowi:

„Administrator jest odpowiedzialny za przestrzeganie [zasad przetwarzania danych] i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).”

Innymi słowy – administrator nie tylko ma działać zgodnie z przepisami, ale musi posiadać dowody, że tak robi.

Przykładowo: jeśli w firmie istnieje procedura nadawania uprawnień do systemu informatycznego, to nie wystarczy samo jej opracowanie. Trzeba też prowadzić rejestry i raporty, które pokażą, kto i kiedy otrzymał dostęp oraz na jakiej podstawie.

Obowiązek wdrażania środków technicznych i organizacyjnych

Z zasadą rozliczalności wiąże się art. 24 ust. 1 RODO:

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych (…) administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.”

Oznacza to, że:

  • środki bezpieczeństwa nie są identyczne dla wszystkich,
  • powinny być dostosowane do specyfiki działalności i skali ryzyka,
  • konieczne jest ich regularne przeglądanie i aktualizacja.

🔎 Przykład 1:
Biuro rachunkowe z Olsztyna obsługujące mikrofirmy może wdrożyć prostsze rozwiązania (np. szyfrowanie dysków, dwuetapowe logowanie do systemu, procedury niszczenia dokumentów).
Duża spółka medyczna z Warszawy przetwarzająca dane pacjentów musi zapewnić dużo wyższy poziom bezpieczeństwa (np. systemy SIEM monitorujące incydenty, cykliczne testy penetracyjne, rozbudowane polityki backupów).

Rola Prezesa UODO i ekspertów zewnętrznych

Prezes UODO ma prawo samodzielnie oceniać, czy środki przyjęte przez administratora są adekwatne. Jeśli sprawa wymaga wiedzy specjalistycznej, organ – na podstawie art. 84 Kodeksu postępowania administracyjnego – może powołać biegłego.

W wyroku NSA z 22 listopada 2022 r. (III OSK 6189/21) podkreślono, że organ powinien wykazać, iż ma kompetencje do dokonania oceny albo że konieczne jest powołanie specjalisty z zewnątrz.

Najczęstsze błędy administratorów – decyzje UODO

Jednym z kluczowych naruszeń wskazywanych przez Prezesa UODO jest niewykazanie zgodności z RODO, czyli złamanie zasady rozliczalności.

📄 Przykłady decyzji UODO:

  1. Brak odpowiedniego monitoringu systemów IT
    Decyzja z 21.08.2020 r. (ZSOŚS.421.25.2019) – uczelnia wyższa korzystała z systemu do rekrutacji kandydatów, ale nie prowadziła szczegółowych rejestrów zdarzeń. Nie była więc w stanie wykazać, że dane są przetwarzane zgodnie z RODO.🔎 Praktyczny wniosek: każde oprogramowanie przetwarzające dane osobowe powinno posiadać logi zdarzeń (np. kto i kiedy edytował dane).
  2. Brak dokumentów potwierdzających legalność przetwarzania
    Decyzja z 10.09.2019 r. (ZSPR.421.2.2019) – firma udzielająca kredytów ratalnych nie potrafiła udowodnić, że dane klientów były zbierane na podstawie ważnej zgody.🔎 Praktyczny wniosek: zgody muszą być archiwizowane (np. elektronicznie z datą i źródłem pozyskania).
  3. Brak regularnych testów i ocen
    Decyzja z 16.11.2022 r. (DKN.5112.1.2020) – spółka nie prowadziła planowych testów bezpieczeństwa ani ocen skuteczności przyjętych środków.🔎 Praktyczny wniosek: trzeba udokumentować przeprowadzanie testów, np. raporty z audytów, wyniki symulacji ataków.

Jak w praktyce wdrożyć zasadę rozliczalności?

Aby uniknąć kar, administrator powinien zadbać o:

✔ prowadzenie rejestru czynności przetwarzania,
✔ opracowanie i stosowanie polityk ochrony danych (np. nadawanie uprawnień, reagowanie na incydenty),
✔ dokumentowanie zgód i podstaw prawnych przetwarzania,
✔ prowadzenie rejestru naruszeń wraz z opisem podjętych działań,
✔ regularne testowanie i aktualizowanie zabezpieczeń,
✔ szkolenia pracowników oraz potwierdzanie ich udziału,
✔ gromadzenie dowodów (raporty, logi, protokoły, korespondencja z podmiotami przetwarzającymi).

Podsumowanie

Zasada rozliczalności to nie tylko formalny obowiązek, ale fundament skutecznej ochrony danych osobowych. Brak dowodów na zgodność z RODO jest traktowany tak samo poważnie, jak faktyczne naruszenie.

👉 Pamiętaj:

  • samo posiadanie procedur nie wystarczy – trzeba wykazać ich stosowanie,
  • środki bezpieczeństwa muszą być dopasowane do ryzyka i regularnie aktualizowane,
  • dokumentacja to Twój najlepszy „parasol ochronny” w razie kontroli UODO.

Podstawa prawna

  • art. 5 ust. 2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO),
  • art. 24 ust. 1 – RODO,
  • art. 84 – ustawa z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz.U. 1960 nr 30 poz. 168 ze zm.).

Tematy porad zawartych w poradniku

  • zasada rozliczalności RODO
  • dokumentacja zgodności RODO
  • decyzje Prezesa UODO kary
  • środki techniczne i organizacyjne RODO

Przydatne linki urzędowe

Ostatnia aktualizacja: 27.10.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: