Wiceprezes UODO: Rynek certyfikatów zgodności z RODO wzmocni ochronę danych

Certyfikat zgodności procesów przetwarzania danych administratora będzie sygnałem dla jego klientów i partnerów, że właściwie chroni dane. Jednak najpierw musi powstać rynek, który te certyfikaty będzie przyznawał - pisze Jakub Groszkowski, zastępca prezesa UODO.

Publikacja: 01.01.2024 18:25

Wiceprezes UODO: Rynek certyfikatów zgodności z RODO wzmocni ochronę danych

Foto: Adobe Stock

Przepisy ogólnego rozporządzenia o ochronie danych osobowych, czyli RODO pozwalają na stworzenie mechanizmów certyfikacji, których celem jest zapewnienie skuteczniejszego systemu ochrony danych osobowych. Jest to drugi, obok branżowych kodeksów postępowania, mechanizm mający gwarantować, że określony podmiot zapewnia odpowiedni poziom ochrony danych.

Zanim jednak administratorzy będą mogli uzyskać certyfikaty potwierdzające zgodność ich procesów przetwarzania danych z RODO musi powstać rynek, na którym będzie można się o nie ubiegać. Prezes UODO, aby to umożliwić, zatwierdził „Dodatkowe wymogi akredytacji podmiotów certyfikujących”. W oparciu o ten dokument Polskie Centrum Akredytacji będzie akredytowało podmioty certyfikujące, a więc te, które będą weryfikować zgodność operacji przetwarzania danych osobowych prowadzonych przez administratorów i podmioty przetwarzające. Ten dokument to ważny krok w kierunku regulacji mechanizmów certyfikacji w zakresie ochrony danych osobowych. W ramach certyfikacji oceniana będzie zgodność operacji przetwarzania danych osobowych z kryteriami certyfikacji, zatwierdzonymi przez organ nadzorczy.

Podmiot, który będzie przyznawał certyfikaty administratorom potwierdzające zgodność określonych procesów przetwarzania danych z RODO, musi jednak spełnić szereg wymagań i uzyskać akredytację od PCA.

Odpowiednie procedury

Podmiot certyfikujący będzie musiał wykazać, że stosowane przez niego procedury związane z przyznawaniem certyfikatów administratorom są zgodne z RODO. Przykładowo ma być w stanie potwierdzić, że stosowane przez niego procedury kontroli administratorów nie były przedmiotem kontroli organów nadzorczych w innych sektorach i mogą skutkować niespełnieniem tego wymogu. Ponadto ma też powiadomić PCA o naruszeniach przepisów o ochronie danych osobowych stwierdzonych przez organ nadzorczy albo organy wymiaru sprawiedliwości, które mogą mieć wpływ na przyznanie mu akredytacji.

Czytaj więcej

Ważny wyrok sądu ws. ochrony danych osobowych podczas pracy zdalnej

Konieczne jest także stworzenie odpowiednich umów z administratorami ubiegającymi się o certyfikację. Przede wszystkim nie mogą one ograniczać odpowiedzialności administratora, który uzyska certyfikat, za naruszenia przepisów RODO. Taka umowa musi gwarantować podmiotowi certyfikującemu dostęp do informacji na tematy czynności przetwarzania u administratora. Ponadto ma on zobowiązać ubiegającego się o certyfikat do informowania o zmianach, jakie są związane z procesami przetwarzania objętych certyfikatem.

Przejrzystość i fachowość

Podmiot, który uzyska akredytację PCA i będzie przyznawał certyfikaty administratorom danych musi publikować w łatwo dostępnym miejscu kryteria certyfikacji (zatwierdzone przez organ nadzorczy). Wymóg ten dotyczy również procedury certyfikacji, jak i informacji o tym jak długo jest ona ważna. W ten sam sposób ma udostępniać informacje o skargach i odwołaniach związanych z certyfikacją.

Wśród określonych przez Prezesa UODO wymogów akredytacji znalazł się także zakaz istnienia zależności pomiędzy podmiotem certyfikującym i administratorem ubiegającym się o przyznanie mu certyfikatu. Chodzi np. o to, by podmiot certyfikujący nie był kontrolowany przez firmę ubiegają się o certyfikat. Oba podmioty nie mogą też należeć do tej samej grupy przedsiębiorstw.

Podmioty, które będą starały się uzyskać akredytację, by móc wydawać certyfikaty muszą dysponować odpowiednio wykwalifikowaną kadrą. Personel takiej firmy musi mieć nie tylko wiedzę z zakresu ochrony danych osobowych, ale i doświadczenie na temat ich stosowania. Wymagane jest również doświadczenie w zakresie technicznych i organizacyjnych środków ochrony danych. I trzeba być w stanie to wykazać. Ponadto wiedzę w tym zakresie trzeba będzie cały czas doskonalić.

Rola podmiotu certyfikującego nie skończy się na samym przyznaniu certyfikatu administratorowi, który spełni określone wymagania. Podmiot certyfikujący ma reagować np. gdy wobec takiego administratora będzie toczyło się postępowanie organu nadzorczego. Konieczne wówczas będzie dokonanie oceny czy administrator nadal spełnia kryteria certyfikacji.

Wymogi akredytacji wymuszają ciągłą aktywność podmiotów certyfikujących. Mają one monitorować zmiany w przepisach prawnych, obserwować rozwój nowych technologii czy analizować decyzje organów oraz orzecznictwo w obszarach, które mogą mieć wpływ na przyznawaną przez nie certyfikację.

Szansa dla rynku i ochrony

Stworzenie systemu certyfikacji dla procesów przetwarzania danych może mieć ogromny wpływ na rynek. Przede wszystkim to szansa na zagospodarowanie nowej gałęzi w usługach związanych z ochroną danych osobowych, z której mogą skorzystać np. kancelarie prawne czy firmy doradcze, zainteresowane przyznawaniem certyfikatów. Z kolei dla administratorów uzyskanie certyfikatu w określonym obszarze związanym z przetwarzaniem danych osobowych, to duża szansa na zyskanie przewagi rynkowej. Taki certyfikat, przyznawany po spełnieniu określonych wymagań, będzie sygnałem dla klientów i partnerów biznesowych na temat jakości w podejściu do ochrony danych osobowych w danym podmiocie. W ten sposób administrator może zyskać większe zaufanie klientów, którzy powierzą mu swoje dane. Ma to być bowiem potwierdzenie spełnienia przez administratora najwyższych standardów przestrzegania przepisów o ochronie danych osobowych.

Czytaj więcej

Ile warte są dane osobowe w internecie i za co nimi płacimy

Trzeba tu jednak zaznaczyć, że certyfikat nie zwolni administratora z konieczności dbania o ochronę danych osobowych. Wręcz przeciwnie. Będzie musiał dbać o to, by móc utrzymać ten certyfikat, gdyż jeżeli okaże się, że przestał spełniać odpowiednie wymagania, to zostanie mu on odebrany albo nie będzie go w stanie odnowić. Jego posiadanie nie uchroni też przed kontrolą Prezesa UODO i egzekwowaniem przestrzegania przepisów o ochronie danych osobowych przez organ nadzorczy. Certyfikat to prestiż i potwierdzenie wysokiej jakości danego podmiotu, wyróżniający go na rynku.

Jakub Groszkowski jest zastępcą prezesa Urzędu Ochrony Danych Osobowych

Przepisy ogólnego rozporządzenia o ochronie danych osobowych, czyli RODO pozwalają na stworzenie mechanizmów certyfikacji, których celem jest zapewnienie skuteczniejszego systemu ochrony danych osobowych. Jest to drugi, obok branżowych kodeksów postępowania, mechanizm mający gwarantować, że określony podmiot zapewnia odpowiedni poziom ochrony danych.

Zanim jednak administratorzy będą mogli uzyskać certyfikaty potwierdzające zgodność ich procesów przetwarzania danych z RODO musi powstać rynek, na którym będzie można się o nie ubiegać. Prezes UODO, aby to umożliwić, zatwierdził „Dodatkowe wymogi akredytacji podmiotów certyfikujących”. W oparciu o ten dokument Polskie Centrum Akredytacji będzie akredytowało podmioty certyfikujące, a więc te, które będą weryfikować zgodność operacji przetwarzania danych osobowych prowadzonych przez administratorów i podmioty przetwarzające. Ten dokument to ważny krok w kierunku regulacji mechanizmów certyfikacji w zakresie ochrony danych osobowych. W ramach certyfikacji oceniana będzie zgodność operacji przetwarzania danych osobowych z kryteriami certyfikacji, zatwierdzonymi przez organ nadzorczy.

Pozostało 84% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Sądy i trybunały
Rosati: Manowska blokuje posiedzenie Trybunału Stanu
Materiał Promocyjny
Wykup samochodu z leasingu – co warto wiedzieć?
Nieruchomości
Trybunał: nabyli działkę bez zgody ministra, umowa nieważna
Sądy i trybunały
Jest nowy prezes sądu w Olsztynie. W miejsce Macieja Nawackiego
Prawnicy
Prokurator Ewa Wrzosek: Nie popełniłam żadnego przestępstwa
Prawnicy
Rzecznik dyscyplinarny adwokatów przegrał w sprawie zgubionego pendrive'a