07 maj Certyfikacja ochrony danych i kodeksy postępowania – RODO na skróty?

Stosowane już od 25 maja 2018 r. ogólne rozporządzenie o ochronie danych (RODO) wymaga od administratorów danych osobowych nie tylko wypełniania licznych obowiązków, ale przede wszystkim wykazania, że wynikające z RODO reguły są faktycznie stosowane. O ile samo wdrożenie RODO – dzięki rozwijającej się praktyce i rosnącej świadomości przedsiębiorców – nie stanowi już większego problemu, o tyle pojawia się pytanie o kolejny krok: jak w razie kontroli uprawnionego organu pokazać, że stosowane metody ochrony danych są zgodne z przepisami?

Co dają nowe rozwiązania?

RODO przewiduje odpowiedź na to pytanie, pozwalając na oficjalne potwierdzenie adekwatności wdrażanych mechanizmów na dwa sposoby. Pierwszym z nich jest certyfikacja, drugim tzw. kodeksy postępowania. Rozwiązania te różnią się istotnie – jednak oba pozwalają „na skróty” wykazać, że stosowane metody ochrony danych i zasady ich przetwarzania w przedsiębiorstwie, są zgodne z przepisami.

Przykładowo, RODO dopuszcza wykorzystanie mechanizmów certyfikacji i kodeksów postępowania w przypadku wykazywania odpowiedniości stosowanych środków technicznych i organizacyjnych, wewnętrznych polityk, gwarancji bezpieczeństwa przekazywania danych do państw trzecich. Co więcej, stosowanie kodeksów postępowania może korzystnie wpływać na ocenę skutków dla ochrony danych (tzw. DPIA – data protection impact assessment) – w przypadkach w których RODO wymaga jej przeprowadzania.

Co za tym idzie, wdrożenie mechanizmów certyfikacji i kodeksów postępowania pozwala w dużym stopniu uprościć przedsiębiorcom wykazywanie przestrzegania zasad wynikających z RODO. Pomysł nie jest nowy – już na gruncie obecnych przepisów, istnieje możliwość stosowania np. wiążących reguł korporacyjnych zatwierdzanych przez organy ochrony danych, które pozwalają wykazać zgodność z prawem przekazywania danych osobowych do państw trzecich. Reguły takie są w praktyce stosowane przez duże grupy kapitałowe, przy czym w Polsce najczęściej wynikają z akceptacji analogicznych reguł przez inne organy ochrony danych działające na terenie UE. Kodeksy postępowania to rozbudowanie tego pomysłu i ułatwienie jego zastosowania przez małych i średnich przedsiębiorców (w dalszym ciągu będzie jednak możliwe przyjmowanie również wiążących reguł korporacyjnych w dotychczasowym zakresie).

Kodeksy i certyfikacja – główne różnice  

Czym jednak w praktyce są nowe rozwiązania? Kodeksy postępowania to po prostu dokumenty – procedury, których wdrożenie zapewnia (w zakresie potwierdzonym przez właściwy organ) zgodność z RODO. Co istotne w praktyce, Kodeksy postępowania mogą dotyczyć nie tylko jednego przedsiębiorcy, ale najczęściej całej grupy czy sektora przedsiębiorstw. W praktyce, powinno to ułatwić wykazywanie stosowania RODO – przedsiębiorca, zamiast każdorazowo samodzielnie wykazywać zgodność z przepisami, będzie mógł schować się pod „parasolem” zapewnianym np. przez branżowy kodeks – oczywiście pod warunkiem, że będzie się do niego stosował.

Z kolei certyfikacja nie dotyczy konkretnego dokumentu, jest raczej potwierdzeniem, że całokształt działań podejmowanych przez przedsiębiorcę zapewnia zgodność z RODO w określonym zakresie. Zamiast przyjęcia, że określony, wspólny dla wielu przedsiębiorców model postępowania jest zgodny z przepisami – certyfikacja jest ukierunkowana na zbadanie sytuacji konkretnego przedsiębiorcy. Sam pomysł może mieć duże praktyczne znaczenie – RODO umożliwia zaangażowanie sektora prywatnego w proces certyfikacji i upoważnianie wyspecjalizowanych audytorów do jej prowadzenia.

Warto przy tym podkreślić, że pomimo wcześniejszych zapowiedzi monopolizowania przez państwo usługi certyfikacji, obecnie procedowany w Sejmie projekt ustawy o ochronie danych osobowych przewiduje jednak udział w tym procesie sektora prywatnego. Warto śledzić ten temat – od ostatecznie przyjętego modelu będzie w dużej mierze zależała jego przydatność w praktyce (przedsiębiorcy mogą niechętnie dzielić się informacjami o ich firmie z organem, który jest jednocześnie upoważniony do kontrolowania przedsiębiorców i nakładania na nich kar).

Droga na skróty 

Co więc powinien zrobić przedsiębiorca, który chce zweryfikować zgodność swoich działań z przepisami, a jednocześnie nie jest gotowy na konfrontację z organem? Pierwszym krokiem może być monitorowanie – i stosowanie – przyjmowanych w poszczególnych sektorach kodeksów postępowania. Jeżeli nie ma takich kodeksów – warto rozważyć uzyskanie certyfikacji zgodności z RODO.

W każdym jednak przypadku warto pamiętać, że żaden z tych mechanizmów jeszcze nie funkcjonuje w praktyce – a zarówno kodeksy postępowania jak i mechanizmy certyfikacji są jeszcze na etapie ich tworzenia. Dlatego, przedsiębiorcy powinni szczególnie uważać na liczne oferty „certyfikacji zgodności z RODO” – które poza chwytliwą nazwą nie mają wiele wspólnego z rzeczywistymi rozwiązaniami wprowadzonymi w obowiązujących przepisach.