nr tel.: 22 390 91 05

Inne marki
Rzetelnej Grupy

Rzetelny Regulamin Rzetelny Prawnik Rzetelna Umowa Prawo Konsumenckie Rzetelny Konkurs

Certyfikacja w nowych przepisach o ochronie danych osobowych

Autor: Rafał Stępniewski Data: 19 października 2017

Wraz z wejściem w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) wiele firm czekają ogromne zmiany, dzięki którym będą one mogły przetwarzać dane zgodnie z prawem - unikając tym samym wysokich kar. Sposobem na to, aby przedsiębiorstwo mogło potwierdzić, że zarządza danymi osobowymi w sposób rzetelny będą wprowadzone przez RODO certyfikaty.

Certyfikaty ochrony danych osobowych

O świadectwie przyznawanym przedsiębiorstwom, które przetwarzają dane osobowe zgodnie z założeniami RODO mowa jest w artykule 42 tego rozporządzenia:

Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

O certyfikat ubiegać się będą mogli wszyscy administratorzy danych osobowych, którzy zajmują się ich przetwarzaniem w przedsiębiorcach, ale również tak zwani procesorzy, czyli zewnętrzne podmioty, którym powierzane są dane osobowe w celu ich dalszego przetwarzania.

Warto zwrócić uwagę na fakt, że posiadanie certyfikatu nie jest obowiązkowe, zgodnie z artykułem 42, punktem 3:

Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty.

Kto przyznaje certyfikat?

Ponownie zaglądając do rozdziału 42 RODO, punktu 5, znaleźć tam możemy zapis, informujący że:

Certyfikacji (...) dokonują podmioty certyfikujące (...) lub dokonuje jej właściwy organ nadzorczy (...).

Zatem w przypadku Polski podmiotem tym będzie Urząd Ochrony Danych Osobowych - mający powstać po wejściu w życie unijnego rozporządzenia w maju 2018 roku. Stojący na czele urzędu Prezes będzie też odpowiedzialny za ustalenie kryteriów przyznania certyfikatu - publikowane będą one następnie w Biuletynie Informacji Publicznej na stronie Urzędu.

Powyższe informacje wynikają bezpośrednio z projektu nowej ustawy o ochronie danych osobowych (powstającej w celu dostosowania krajowych przepisów do rozporządzenia unijnego), mającej również wejść w życie w maju 2018 roku. Z uwagi na fakt, że dokument ten jest w fazie projektowej, jego treść często ulega zmianie.

W poprzedniej wersji projektu ustawy o ochronie danych osobowych - przygotowanej przez Ministerstwo Cyfryzacji - certyfikaty miały nadawać akredytowane podmioty. W ustawie w obecnym (stan na 14 września 2017) brzmieniu świadectwa przetwarzania danych osobowych zgodnie z RODO ma nadawać wyłącznie Prezes Urzędu Ochrony Danych Osobowych.

Rola certyfikatu w ocenie zgodności z przepisami o ochronie danych osobowych

Jak zostało wspomniane - przyznanie certyfikatu skutkować będzie uznaniem danego administratora danych osobowych lub procesora za podmiot, który wywiązuje się z wszystkich obowiązków dotyczących przetwarzania danych osobowych wymienionych w unijnym rozporządzeniu.

Certyfikat pomoże też zidentyfikować klientom podmioty, które są godne zaufania i rzetelnie dbają o udostępnione lub powierzone im dane osobowe.

Nie oznacza to jednak, że podmioty, które nie będą ubiegać się o przyznanie certyfikatu przetwarzają dane w sposób niezgodny z RODO. Niestosowanie się do przepisów znajdujących się w rozporządzeniu skutkuje bowiem surowymi karami finansowymi (nawet do 20 milionów euro!), co samo w sobie jest wystarczającą motywacją do przestrzegania zapisów RODO.

Czy warto ubiegać się o certyfikat RODO?

Na to pytanie trudno udzielić jednoznacznej odpowiedzi. Z uwagi na fakt, że proces ten jest dobrowolny, a mechanizm przyznania certyfikatu może wymagać sporo pracy oraz nakładów finansowych (wysokość opłaty ustala Prezes Urzędu Ochrony Danych Osobowych) - nie musi go przechodzić każdy podmiot. Trudno jednak spodziewać się sytuacji, w której globalne korporacje - działające również na rynku europejskim - takiego certyfikatu nie posiadały, co mogłoby narazić je na utratę reputacji.

Firmy, które zastanawiają się nad certyfikacją dodatkowo skłonić do tego kroku może fakt, że jego przyznanie może być traktowane jako okoliczność łagodząca, w przypadku kiedy organ nadzorczy będzie rozważał o przyznaniu kary finansowej.

Jeżeli ar­ty­kuł przydał Ci się, udostępnij go in­nym. Pomóż nam dzielić się wiedzą. Dzięki po­niż­szym przy­ci­skom zaj­mie ci to chwilę.


Podziel się na Facebook Podziel się na Twitter Podziel się na LinkedIn