Kurek Justyna, Procedura dobrowolnej certyfikacji w świetle RODO

Opublikowano: LEX/el. 2018

Status: aktualny

Autor:
Kurek Justyna
Rodzaj:
komentarz praktyczny

Przepisy RODO przewidują możliwość poddania się przez administratora oraz podmiot
przetwarzający procedurze dobrowolnej certyfikacji. Ustawa z dnia 10 maja 2018 r.
przewiduje, że certyfikacji, zgodnie z art. 42 Rozporządzenia dokonywać będzie Prezes
Urzędu Ochrony Danych Osobowych i podmioty certyfikowane przez Polskie Centrum
Akredytacji (art. 15 Ustawy). Wszystkie te podmioty będą działały na podstawie
zatwierdzonych i opublikowanych na stronach internetowych wytycznych (art. 16 Ustawy),
które będą miały kluczowe znaczenie dla wdrożenia tej instytucji. Wytyczne te zostaną
przygotowane przez nowoutworzony organ Prezesa Urzędu Ochrony Danych Osobowych.
Ponadto, wszystkie mechanizmy certyfikacji oraz informacje o znakach jakości i
oznaczeniach będą udostępniane opinii publicznej przez Europejską Radę Ochrony Danych.
1. Wstęp
Rozporządzenie o ochronie danych osobowych wprowadza instytucję dobrowolnej
certyfikacji. Podstawy do jej wdrożenia przewiduje art. 42 i 43 RODO. Certyfikacja
administratora lub podmiotu przetwarzającego będzie udzielana na okres maksymalny - 3 lat.
Będzie ona mogła zostać przedłużona na tych samych warunkach, o ile nadal spełnione będą
pierwotne wymogi. Podmiot który przyznał certyfikat będzie go mógł również w każdej
chwili cofnąć jeżeli okaże się, że certyfikowany podmiot zaprzestanie spełniać pierwotne
kryteria do otrzymania certyfikatu.
2. Certyfikacja zgodnie z RODO
Zgodnie z RODO certyfikacja jest dobrowolna i w żaden sposób nie gwarantuje wypełnienia
wymogów dotyczących zgodności prowadzenia działalności z prawem. Zarówno
administrator jak i podmiot przetwarzający mają obowiązek również w przypadku posiadania
stosownego certyfikatu, przestrzegania przepisów Rozporządzenia RODO. Przepisy RODO
wyraźnie wskazują, iż posiadanie przez podmiot przetwarzający certyfikacji w zakresie
przetwarzania danych osobowych nie stanowi gwarancji przetwarzania danych zgodnie z
prawem ani nie wyklucza kontroli organu nadzoru.
RODO dopuszcza aby certyfikacja może zostać przeprowadzona zarówno przez organ
nadzoru na podstawie stworzonych przez siebie wytycznych jak i niezależny podmiot trzeci.
Zgodnie z Rozporządzeniem, certyfikacji dokonywać mogą podmioty certyfikujące, o
których mowa w art. 43, lub dokonuje jej właściwy organ nadzorczy – na podstawie
kryteriów zatwierdzonych przez niego zgodnie z art. 58 ust. 3 lub przez Europejską Radę
Ochrony Danych zgodnie z art. 63. Ponadto, wszystkie mechanizmy certyfikacji oraz
informacje o znakach jakości i oznaczeniach będą udostępniane opinii publicznej przez
Europejską Radę Ochrony Danych.
W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to
skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych Prawodawca
Unijny wyraźnie zaleca aby wszelkie rekomendacje do ustanawiania mechanizmów
certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych były
przygotowywane na szczeblu Unii Europejskiej. Zgodnie z art. 42 RODO zachęca się do
ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony
danych osobowych mających świadczyć o zgodności z przepisami RODO przeprowadzanych
przez administratorów i podmioty przetwarzające operacji przetwarzania.
3. Akredytacja podmiotu certyfikującego
Uprawnienie do akredytacji podmiotów certyfikujących będzie posiadało Polskie Centrum
Akredytacji zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (WE) nr
765/2008 (20). Zgodnie z art. 12 ust. 3 ustawy do udzielania akredytacji stosuje się przepisy
rozdziału 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku,
z wyłączeniem art. 24 ust. 4–7 oraz art. 25 ust. 1 i 2, w zakresie dotyczącym ograniczenia
zakresu akredytacji oraz jej zawieszenia. Akredytacja będzie mogła być udzielona na okres
maksymalnie pięciu lat a także cofnięta gdy podmiot nie będzie spełniał lub przestanie
spełniać warunki akredytacji lub jeżeli podejmowane przez niego działania będą naruszały
przepisy RODO.
Ponadto, art. 43 Rozporządzenia zawiera delegację dla Komisji Europejskiej do
przyjmowania aktów delegowanych w celu doprecyzowania wymogów względem
mechanizmów certyfikacji a także akty wykonawcze określające techniczne standardy
mechanizmów certyfikacji oraz znaków jakości i oznaczeń oraz sposoby ich
upowszechniania i uznawania.
Podmiot aby ubiegać się o akredytację, będzie musiał spełnić warunki zdefiniowane w
wydanych aktach wykonawczych oraz wypełnić następujące kryteria:
a) wykazać organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie
ochrony danych osobowych;

b) zobowiązać się do przestrzegania kryteriów zgodnie z art. 42 ust. 5 ,

zatwierdzonych przez organ nadzorczy lub przez Europejską Radę Ochrony Danych;

c) dysponować procedurami wydawania, okresowego przeglądu i cofania certyfikacji,

znaków jakości i oznaczeń w dziedzinie ochrony danych;

d) dysponować procedurami i strukturami, które pozwalają rozpatrywać skargi na

naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający lub
na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot
przetwarzający, oraz które zapewniają przejrzystość tych procedur i struktur dla
podmiotów danych; oraz

e) wykazać organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu

interesów.
 4. Wytyczne organu nadzoru wobec certyfikacji
Szczególne wytyczne i rekomendacje w zakresie certyfikacji i procesu certyfikacji zostaną
wydane po wejściu w życie przepisów reformujących ochronę danych osobowych w Polsce i
powołaniu nowego Urzędu Ochrony Danych Osobowych, który zastąpi instytucję
Generalnego Inspektora Ochrony Danych Osobowych.
5. Certyfikacja zgodnie z ustawą o ochronie danych osobowych
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych przewiduje, że Certyfikacji, o
której mowa w art. 42 rozporządzenia 2016/679, dokonywać będzie Prezes Urzędu Ochrony
Danych Osobowych lub podmiot certyfikujący (art. 15 Ustawy). Wszystkie te podmioty będą
działały na podstawie zatwierdzonych i opublikowanych na stronach internetowych
wytycznych (art. 16 Ustawy).
Procedura certyfikacji będzie mogła być dokonana jedynie na wniosek administratora,
podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek.
Wniosek będzie się składało w postaci papierowej albo elektronicznej. Wniosek w postaci
papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci
elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo w przypadku
wniosku skierowanego do Prezesa Urzędu podpisem potwierdzonym profilem zaufanym
ePUAP. Procedura certyfikacji będzie polegała na audycie procedur i czynności
przetwarzania. Podmiot poddawany procedurze certyfikacji zobowiązany będzie do
udzielenia właściwemu organowi nadzorczemu wszelkich informacji i dostępu do swoich
czynności przetwarzania.
Podmiot dokonujący certyfikacji musi rozpoznać wniosek o certyfikację i w terminie nie
dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadomić wnioskodawcę
o udzieleniu lub odmowie udzielenia certyfikacji. Odmowa wydania certyfikatu będzie miała
postać decyzji. Przed udzieleniem certyfikacji lub jej przedłużeniem podmiot certyfikujący
będzie informował Prezesa Urzędu Ochrony Danych Osobowych o planowanym
rozstrzygnięciu w celu umożliwienia mu wykonywania uprawnień, o których mowa w art. 58
ust. 2 lit h rozporządzenia 2016/679.
Wniosek zgodnie z ustawą o ochronie danych osobowych będzie musiał zawierać najmniej
(art. 17 ustawy):
1) nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz
wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej
albo adresu zamieszkania;

2) informacje potwierdzające spełnianie kryteriów certyfikacji;

3) wskazanie zakresu wnioskowanej certyfikacji

Wnioskodawca będzie zobligowany dołączyć do wniosku dokumenty potwierdzające

spełnienie kryteriów certyfikacji albo ich elektroniczne kopie, a w przypadku ubiegania się o
certyfikację dokonywaną przez Prezesa Urzędu, także dowód wniesienia stosownej opłaty.
6. Certyfikat zgodnie z ustawą o ochronie danych osobowych
Certyfikat będzie dokumentem potwierdzającym certyfikację. Obligatoryjnie będzie się on
składał z następujących elementów:
1) oznaczenia podmiotu, który otrzymał certyfikat;

2) nazwy podmiotu dokonującego certyfikacji oraz wskazania adresu jego siedziby;

3) numeru lub oznaczenia certyfikatu;

4) zakresu, w tym okresu, certyfikacji;

5) daty wydania i podpisu podmiotu dokonującego certyfikacji lub osoby przez niego
upoważnionej.

7. Obowiązki certyfikowanego podmiotu

Sam fakt posiadania przez podmiot przetwarzający certyfikacji w zakresie przetwarzania
danych osobowych nie stanowi gwarancji przetwarzania danych zgodnie z prawem ani nie
wyklucza kontroli organu nadzoru w trakcie ważności takiego certyfikatu. W przypadku
stwierdzenia, że administrator, podmiot przetwarzający, producent albo podmiot
wprowadzający produkt na rynek nie spełnia kryteriów certyfikacji Prezes Urzędu albo
podmiot certyfikujący, do którego wystąpiono z wnioskiem o udzielenie certyfikacji,
odmawia udzielania certyfikacji. W takich przypadkach podmioty którym odmówiono
certyfikacji będą musiały zastosować się do procedury szczególnie w tym celu ustalonej
przez podmiot certyfikujący.
W okresie, na jaki została udzielona certyfikacja podmiot certyfikowany będzie zobowiązany
spełniać kryteria certyfikacji. W przypadku stwierdzenia, że zaprzestał on spełniać kryteria
certyfikacji, Prezes Urzędu albo podmiot certyfikujący, cofnie certyfikację w drodze decyzji.
W decyzji Prezes Urzędu wskaże przyczyny cofnięcia certyfikacji.
8. Zakończenie
RODO wprowadza instytucję dobrowolnej certyfikacji. Wprawdzie sposób wdrożenia tych
mechanizmów będzie w dużej mierze zależny od kształtu jaki przyjmą procedury wdrażane
zgodnie z przepisami nowej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych
oraz wytycznych wydanych w tym zakresie przez Prezesa Urzędu Ochrony Danych
Osobowych, jednakże można się spodziewać, iż procedura ta będzie się cieszyła dużym
zainteresowaniem. Sama certyfikacja jako taka nie ma naturalnie wpływu na zakres praw i
obowiązków obciążających administratora i podmiot przetwarzających. Także oczywiście
podmioty posiadające certyfikat będą musiały spełniać wszystkie wymogi wynikające z
RODO. Niewątpliwie jednak certyfikat taki będzie stanowił przewagę nad konkurencją i
będzie postrzegany jako znak jakości i dodatkowa gwarancja wiarygodności na rynku.