Professional Documents
Culture Documents
Autor:
Kurek Justyna
Rodzaj:
komentarz praktyczny
Przepisy RODO przewidują możliwość poddania się przez administratora oraz podmiot
przetwarzający procedurze dobrowolnej certyfikacji. Ustawa z dnia 10 maja 2018 r.
przewiduje, że certyfikacji, zgodnie z art. 42 Rozporządzenia dokonywać będzie Prezes
Urzędu Ochrony Danych Osobowych i podmioty certyfikowane przez Polskie Centrum
Akredytacji (art. 15 Ustawy). Wszystkie te podmioty będą działały na podstawie
zatwierdzonych i opublikowanych na stronach internetowych wytycznych (art. 16 Ustawy),
które będą miały kluczowe znaczenie dla wdrożenia tej instytucji. Wytyczne te zostaną
przygotowane przez nowoutworzony organ Prezesa Urzędu Ochrony Danych Osobowych.
Ponadto, wszystkie mechanizmy certyfikacji oraz informacje o znakach jakości i
oznaczeniach będą udostępniane opinii publicznej przez Europejską Radę Ochrony Danych.
1. Wstęp
Rozporządzenie o ochronie danych osobowych wprowadza instytucję dobrowolnej
certyfikacji. Podstawy do jej wdrożenia przewiduje art. 42 i 43 RODO. Certyfikacja
administratora lub podmiotu przetwarzającego będzie udzielana na okres maksymalny - 3 lat.
Będzie ona mogła zostać przedłużona na tych samych warunkach, o ile nadal spełnione będą
pierwotne wymogi. Podmiot który przyznał certyfikat będzie go mógł również w każdej
chwili cofnąć jeżeli okaże się, że certyfikowany podmiot zaprzestanie spełniać pierwotne
kryteria do otrzymania certyfikatu.
2. Certyfikacja zgodnie z RODO
Zgodnie z RODO certyfikacja jest dobrowolna i w żaden sposób nie gwarantuje wypełnienia
wymogów dotyczących zgodności prowadzenia działalności z prawem. Zarówno
administrator jak i podmiot przetwarzający mają obowiązek również w przypadku posiadania
stosownego certyfikatu, przestrzegania przepisów Rozporządzenia RODO. Przepisy RODO
wyraźnie wskazują, iż posiadanie przez podmiot przetwarzający certyfikacji w zakresie
przetwarzania danych osobowych nie stanowi gwarancji przetwarzania danych zgodnie z
prawem ani nie wyklucza kontroli organu nadzoru.
RODO dopuszcza aby certyfikacja może zostać przeprowadzona zarówno przez organ
nadzoru na podstawie stworzonych przez siebie wytycznych jak i niezależny podmiot trzeci.
Zgodnie z Rozporządzeniem, certyfikacji dokonywać mogą podmioty certyfikujące, o
których mowa w art. 43, lub dokonuje jej właściwy organ nadzorczy – na podstawie
kryteriów zatwierdzonych przez niego zgodnie z art. 58 ust. 3 lub przez Europejską Radę
Ochrony Danych zgodnie z art. 63. Ponadto, wszystkie mechanizmy certyfikacji oraz
informacje o znakach jakości i oznaczeniach będą udostępniane opinii publicznej przez
Europejską Radę Ochrony Danych.
W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to
skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych Prawodawca
Unijny wyraźnie zaleca aby wszelkie rekomendacje do ustanawiania mechanizmów
certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych były
przygotowywane na szczeblu Unii Europejskiej. Zgodnie z art. 42 RODO zachęca się do
ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony
danych osobowych mających świadczyć o zgodności z przepisami RODO przeprowadzanych
przez administratorów i podmioty przetwarzające operacji przetwarzania.
3. Akredytacja podmiotu certyfikującego
Uprawnienie do akredytacji podmiotów certyfikujących będzie posiadało Polskie Centrum
Akredytacji zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (WE) nr
765/2008 (20). Zgodnie z art. 12 ust. 3 ustawy do udzielania akredytacji stosuje się przepisy
rozdziału 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku,
z wyłączeniem art. 24 ust. 4–7 oraz art. 25 ust. 1 i 2, w zakresie dotyczącym ograniczenia
zakresu akredytacji oraz jej zawieszenia. Akredytacja będzie mogła być udzielona na okres
maksymalnie pięciu lat a także cofnięta gdy podmiot nie będzie spełniał lub przestanie
spełniać warunki akredytacji lub jeżeli podejmowane przez niego działania będą naruszały
przepisy RODO.
Ponadto, art. 43 Rozporządzenia zawiera delegację dla Komisji Europejskiej do
przyjmowania aktów delegowanych w celu doprecyzowania wymogów względem
mechanizmów certyfikacji a także akty wykonawcze określające techniczne standardy
mechanizmów certyfikacji oraz znaków jakości i oznaczeń oraz sposoby ich
upowszechniania i uznawania.
Podmiot aby ubiegać się o akredytację, będzie musiał spełnić warunki zdefiniowane w
wydanych aktach wykonawczych oraz wypełnić następujące kryteria:
a) wykazać organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie
ochrony danych osobowych;
5) daty wydania i podpisu podmiotu dokonującego certyfikacji lub osoby przez niego
upoważnionej.