Certyfikat RODO – w oczekiwaniu na publikację kryteriów certyfikacji

Certyfikat RODO – w oczekiwaniu na publikację kryteriów certyfikacji

Zarówno ogólne rozporządzenie o ochronie danych („RODO”), jak i ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych („Ustawa”) regulują kwestie związane z mechanizmami certyfikacji. Mają one świadczyć o zgodności z RODO operacji przetwarzania danych osobowych prowadzonych przez administratorów i podmioty przetwarzające. Przepisy te stanowią istotne novum na gruncie prawa ochrony danych osobowych. Nadal nie wiadomo, jakie kryteria decydować będą o przyznaniu certyfikatów, warto jednak – w oczekiwaniu na ich publikację – prześledzić procedurę certyfikacji i zastanowić się, czy gra warta jest świeczki.

 

 

Przetwarzanie danych pod kontrolą

Do tej pory przedsiębiorcy mogli i wciąż mogą legitymować się certyfikatami lub kodeksami dobrych praktyk, sporządzonymi samodzielnie bądź uzyskanymi od innego przedsiębiorcy czy też organizacji. Jednocześnie do 25 maja 2018 r. nie istniały de facto mechanizmy umożliwiające zweryfikowanie, czy dany podmiot rzeczywiście posiada takie kwalifikacje, jak twierdzi i stosuje takie rozwiązania, jakie powinien stosować zgodnie z prawem. Wraz z wejściem w życie RODO oraz Ustawy, wprowadzone zostały formalne procedury mające na celu weryfikację podmiotów zaangażowanych w przetwarzanie danych osobowych – przy udziale Prezesa Urzędu Ochrony Danych Osobowych („Prezes Urzędu”) lub akredytowanych jednostek certyfikujących.

 

Certyfikacja

Certyfikat świadczyć ma o zgodności operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające z przepisami RODO (art. 42 ust.1 RODO). Będzie to więc urzędowe potwierdzenie tego, że dany podmiot działa zgodnie z prawem. Stosownie do treści art. 15 ust. 1 Ustawy, certyfikacji dokonuje Prezes Urzędu lub podmiot certyfikujący na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek. Co istotne certyfikacja jest dobrowolna. Nie mamy tutaj do czynienia ze szczególnego rodzaju zezwoleniem na prowadzenie działalności w opisywanym obszarze.

 

Wniosek o certyfikację

Certyfikat wydawany będzie na wniosek. Powinien on zawierać co najmniej:

(1) nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania;

(2) informacje potwierdzające spełnianie kryteriów certyfikacji;

(3) wskazanie zakresu wnioskowanej certyfikacji.

Do wniosku dołącza się dokumenty potwierdzające spełnianie kryteriów certyfikacji albo ich kopie oraz, w przypadku certyfikacji dokonywanej przez Prezesa Urzędu, dowód wniesienia opłaty. W Ustawie została określona tylko maksymalna wysokość opłaty. Dla podmiotów składających wnioski w 2018 r. może ona wynieść do 17.086,04 zł.

Wniosek do Prezesa Urzędu lub do podmiotu certyfikującego składa się pisemnie w postaci papierowej opatrzonej własnoręcznym podpisem albo w postaci elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym. Ponadto, wniosek  do Prezesa Urzędu w postaci elektronicznej można także podpisać  potwierdzonym profilem zaufanym ePUAP.

Prezes Urzędu albo podmiot certyfikujący rozpatruje wniosek o certyfikację  w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku. Po jego zbadaniu, zawiadamia wnioskodawcę o dokonaniu albo odmowie dokonania certyfikacji.

 

Kontrola spełniania kryteriów certyfikacji

Oczywiście certyfikaty nie mają charakteru bezterminowego – wydawane będą na czas określony, maksymalnie 3 lata. W trakcie trwania tego okresu, podmioty certyfikowane będą zobowiązane do spełniania kryteriów certyfikacji (obowiązujących na dzień wydania certyfikatu), co może podlegać weryfikacji Prezesa Urzędu w ramach czynności sprawdzających. Należy mieć na uwadze, że osoba przeprowadzająca czynności sprawdzające jest uprawniona do: (1) wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek; (2) wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją; (3) oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych; (4) żądania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją. Co istotne, Prezes Urzędu albo podmiot certyfikujący cofa certyfikację w przypadku stwierdzenia, że podmiot, któremu udzielono certyfikacji, nie spełnia lub przestał spełniać kryteria certyfikacji.

 

Czy warto starać się o certyfikat?

Pomimo wspominanej wyżej dobrowolności, wydaje się, że pozyskiwanie urzędowych potwierdzeń zgodności działalności z przepisami RODO może zyskać na popularności.  Powodów jest  kilka. Po pierwsze należy wskazać, że stosownie do treści art. 28 ust. 1 RODO, administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Po drugie, podkreślenia wymaga, że stosowanie zatwierdzonego mechanizmu certyfikacji może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków prawnych, np. w zakresie zabezpieczenia danych osobowych. Wreszcie należy wskazać, że Prezes Urzędu decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość powinien zwrócić w każdym indywidualnym przypadku należytą uwagę na stosowanie zatwierdzonych mechanizmów certyfikacji, co wynika wprost z art. 83 ust. 2 lit. j) RODO.

Mając na uwadze powyższe, wydaje się, że przedsiębiorcy powinni być zainteresowani korzystaniem  z usług podmiotów dysponujących certyfikatami RODO. Jednocześnie – z drugiej strony – podmiot te mogą upatrywać swojej szansy na budowanie przewagi konkurencyjnej w oparciu o opisane zaświadczenia, co może znaleźć odzwierciedlenie w prowadzonych kampaniach marketingowych podmiotów działających w obszarze ochrony danych osobowych.

 

W oczekiwaniu na kryteria certyfikacji

Na zakończenie podkreślić należy, że absolutnie kluczowe znaczenie dla całego procesu, będzie miało opublikowanie kryteriów certyfikacji. Informacje potwierdzające spełnienie kryteriów certyfikacji powinny stanowić najistotniejsze elementy wniosków o przyznanie certyfikatów. Kryteria certyfikacji mają zostać udostępnione przez Prezesa Urzędu w Biuletynie Informacji Publicznej. Na chwilę obecną brak jest informacji co do planowanego terminu publikacji kryteriów, jak również przewidywanej treści, poziomu ich szczegółowości, itp. Niewątpliwie publikacja kryteriów stanowić będzie bardzo istotny dzień dla podmiotów działających w obszarze ochrony danych osobowych.

 

 

Autorem publikacji jest Michał Wieliński, aplikant radcowski w GWW.