Certyfikacja w nowych przepisach o ochronie danych osobowych
Wraz z wejściem w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) wiele firm czekają ogromne zmiany, dzięki którym będą one mogły przetwarzać dane zgodnie z prawem — unikając tym samym wysokich kar. Sposobem na to, aby przedsiębiorstwo mogło potwierdzić, że zarządza danymi osobowymi w sposób rzetelny będą wprowadzone przez RODO certyfikaty.
- Rafał Stępniewski
- /
- 19 października 2017
Certyfikaty ochrony danych osobowych
O świadectwie przyznawanym przedsiębiorstwom, które przetwarzają dane osobowe zgodnie z założeniami RODO mowa jest w artykule 42 tego rozporządzenia:
Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
O certyfikat ubiegać się będą mogli wszyscy administratorzy danych osobowych, którzy zajmują się ich przetwarzaniem w przedsiębiorcach, ale również tak zwani procesorzy, czyli zewnętrzne podmioty, którym powierzane są dane osobowe w celu ich dalszego przetwarzania.
Warto zwrócić uwagę na fakt, że posiadanie certyfikatu nie jest obowiązkowe, zgodnie z artykułem 42, punktem 3:
Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty.
Kto przyznaje certyfikat?
Ponownie zaglądając do rozdziału 42 RODO, punktu 5, znaleźć tam możemy zapis, informujący że:
Certyfikacji (...) dokonują podmioty certyfikujące (...) lub dokonuje jej właściwy organ nadzorczy (...).
Zatem w przypadku Polski podmiotem tym będzie Urząd Ochrony Danych Osobowych — mający powstać po wejściu w życie unijnego rozporządzenia w maju 2018 roku. Stojący na czele urzędu Prezes będzie też odpowiedzialny za ustalenie kryteriów przyznania certyfikatu — publikowane będą one następnie w Biuletynie Informacji Publicznej na stronie Urzędu.
Powyższe informacje wynikają bezpośrednio z projektu nowej ustawy o ochronie danych osobowych (powstającej w celu dostosowania krajowych przepisów do rozporządzenia unijnego), mającej również wejść w życie w maju 2018 roku. Z uwagi na fakt, że dokument ten jest w fazie projektowej, jego treść często ulega zmianie.
W poprzedniej wersji projektu ustawy o ochronie danych osobowych — przygotowanej przez Ministerstwo Cyfryzacji — certyfikaty miały nadawać akredytowane podmioty. W ustawie w obecnym (stan na 14 września 2017) brzmieniu świadectwa przetwarzania danych osobowych zgodnie z RODO ma nadawać wyłącznie Prezes Urzędu Ochrony Danych Osobowych.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Rola certyfikatu w ocenie zgodności z przepisami o ochronie danych osobowych
Jak zostało wspomniane — przyznanie certyfikatu skutkować będzie uznaniem danego administratora danych osobowych lub procesora za podmiot, który wywiązuje się z wszystkich obowiązków dotyczących przetwarzania danych osobowych wymienionych w unijnym rozporządzeniu.
Certyfikat pomoże też zidentyfikować klientom podmioty, które są godne zaufania i rzetelnie dbają o udostępnione lub powierzone im dane osobowe.
Nie oznacza to jednak, że podmioty, które nie będą ubiegać się o przyznanie certyfikatu przetwarzają dane w sposób niezgodny z RODO. Niestosowanie się do przepisów znajdujących się w rozporządzeniu skutkuje bowiem surowymi karami finansowymi (nawet do 20 milionów euro!), co samo w sobie jest wystarczającą motywacją do przestrzegania zapisów RODO.
Czy warto ubiegać się o certyfikat RODO?
Na to pytanie trudno udzielić jednoznacznej odpowiedzi. Z uwagi na fakt, że proces ten jest dobrowolny, a mechanizm przyznania certyfikatu może wymagać sporo pracy oraz nakładów finansowych (wysokość opłaty ustala Prezes Urzędu Ochrony Danych Osobowych) — nie musi go przechodzić każdy podmiot. Trudno jednak spodziewać się sytuacji, w której globalne korporacje — działające również na rynku europejskim — takiego certyfikatu nie posiadały, co mogłoby narazić je na utratę reputacji.
Firmy, które zastanawiają się nad certyfikacją dodatkowo skłonić do tego kroku może fakt, że jego przyznanie może być traktowane jako okoliczność łagodząca, w przypadku kiedy organ nadzorczy będzie rozważał o przyznaniu kary finansowej.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?