Ogólne rozporządzenie o ochronie danych (2016/679), znane powszechnie jako RODO, zawiera regulacje odnośnie przydzielania akredytacji oraz certyfikacji. Co właściwie znaczą te terminy? Jaki jest ich związek z RODO? Jakie znaczenie może mieć wydany certyfikat dla podmiotów przetwarzających dane osobowe? Czy trafiły już do Was oferty usług zawierające deklaracje wydania certyfikatu podmiotom objętym usługami oferenta?
Europejska Rada Ochrony Danych (EROD). która zgodnie z art. 70 rozporządzenia 2016/679 zapewniająca spójne stosowanie RODO, w 2019 r. przyjęła po konsultacjach załączniki do wytycznych w tym zakresie.
Kryteria certyfikacji i akredytacji
Certyfikacja to uzyskanie przez podmioty przetwarzające potwierdzenia, że metody, z wykorzystaniem których przetwarzane są dane osobowe, są zgodne z RODO. Akredytacja z kolei dotyczy podmiotów chcących profesjonalnie wydawać certyfikaty. Certyfikacja nie stanowi obowiązku dla administratorów i podmiotów zamierzających przetwarzać dane osobowe. Według art. 42. Ust. 3 certyfikacja jest procesem charakteryzującym się dobrowolnością. Warto przy tym zaznaczyć, że mógłby to być jednocześnie czynnik łagodzący podczas kontroli przez organy nadzorujące.
Zgodnie z art. 42 ust. 5 RODO certyfikacja jest procedowana na podstawia kryteriów zatwierdzanych przez organ nadzorczy (UODO – Prezes Urzędu Ochrony Danych Osobowych, EROD – Europejska Rada Ochrony Danych). Według informacji znajdujących się na stronie UODO wynika, iż do 29.03.2019 można było zgłaszać uwagi do zaproponowanego przez EROD załącznika do Wytycznych 1/2018 w sprawie certyfikacji i identyfikacji kryteriów certyfikacji zgodnie z art. 42 i 43 Rozporządzenia 2016/679. 4 czerwca 2019r. EROD przyjął załącznik 2 do Wytycznych 1/2018. Tego samego dnia przyjęto również załącznik 1 do Wytycznych 4/2018 w sprawie akredytacji jednostek certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679).
Zadanie PUODO
Zgodnie z rozdziałem 3 ustawy o ochronie danych osobowych, certyfikacji o której mowa w art. 42 rozporządzenia dokonuje Prezes Urzędu lub podmiot certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek. Mimo, iż wytyczne dotyczące akredytacji i certyfikacji wydano w połowie 2019r., to w Polsce, wciąż nie ustalono precyzyjnych wymagań wobec podmiotów chcących zdobyć/wydawać certyfikacje, a na stronie PUODO poświęconej temu tematowi możemy przeczytać:
Obecnie Prezes UODO nie prowadzi prac nad mechanizmem certyfikacji.
W związku z powyższym nie jest jeszcze możliwe uzyskanie od Prezesa Urzędu Ochrony Danych Osobowych czy innego podmiotu certyfikatu zgodności działania z RODO czy wskazanie zatwierdzonych jednostek certyfikujących.
Materiały do wykorzystania: 1. PL_wer.3.0_Wytyczne 1_2018 ws. certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 RODO 2. PL_wer.3.0_Wytyczne 4_2018 w sprawie akredytacji podmiotów certyfikujących na podstawie artykułu 43 RODO
Źródła informacji: 1. Oficjalna strona internetowa PUODO https://www.uodo.gov.pl/pl/427 2. Oficjalna strona internetowa EROD https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en
masz pytania? ten problem dotyczy Ciebie? umów się na konsultację link do Sesje Konsultacyjne