29 kw. Akredytacja i certyfikacja na gruncie RODO

Ogólne Rozporządzenie w sprawie ochrony danych osobowych (dalej: RODO) zawiera przepisy dotyczące akredytacji oraz certyfikacji. Co oznaczają te pojęcia? Czy akredytacja bądź certyfikacja może ułatwić spełnienie wymogów RODO? Te i inne problemy poruszymy w dzisiejszym wpisie.

Akredytacja i certyfikacja

W dużym skrócie można powiedzieć, że proces certyfikacji oznacza zdobycie przez administratorów i podmioty przetwarzające pewnego zaświadczenia, że sposób przetwarzania przez nich danych osobowych jest zgodny z wymogami RODO i innych przepisów z zakresu ochrony danych.

Z kolei akredytacja jest kierowana do podmiotów, które chcą profesjonalnie trudnić się wydawaniem certyfikatów dla tej pierwszej grupy podmiotów.

Certyfikacja nie jest obowiązkiem ani administratorów, ani podmiotów przetwarzających. Zgodnie z art. 42 ust. 3 certyfikacja jest dobrowolnym procesem mającym na celu pomoc w wykazaniu zgodności z RODO.  Jednakże, jak wskazuje Europejska Rada Ochrony Danych w wytycznych dotyczących certyfikacji [1], „przestrzeganie zatwierdzonych mechanizmów certyfikacji jest czynnikiem, który organy nadzorcze muszą brać pod uwagę jako czynnik obciążający lub łagodzący przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej i przy podejmowaniu decyzji w sprawie kwoty takiej kary (art. 83 ust. 2 lit. j))”. Oznacza to, że posiadanie certyfikatu zgodności z RODO prawdopodobnie może przyczynić się do wykazania wymogu rozliczalności, a tym samym zmniejszyć grożącą karę, w przypadku gdy istnieją inne przesłanki do jej wymierzenia.

Kryteria certyfikacji i wymogi akredytacji

Art. 42 ust. 5 RODO stanowi, że certyfikacja odbywa się na podstawie kryteriów certyfikacji, które powinien zatwierdzić właściwy organ nadzorczy (w przypadku polskich podmiotów jest to Prezes Urzędu Ochrony Danych Osobowych – dalej: UODO) lub Europejska Rada Ochrony Danych (dalej: EROD).

Pracę nad wytycznymi kryteriów certyfikacji wciąż trwają. Z informacji podawanych na stronie UODO wynika, iż do dnia 29 marca 2019 r. można było zgłaszać uwagi do proponowanego przez EROD „Załącznika nr 2” do Wytycznych 1/2018 dotyczących certyfikacji.

Analogiczna sytuacja występuje w odniesieniu do tzw. wymogów akredytacji, które z kolei stanowią wytyczne dla podmiotów, które chcą wydawać certyfikaty dla administratorów i podmiotów przetwarzających dane. W odniesieniu do tych wymogów EROD wydał Wytyczne 4/2018 w sprawie akredytacji jednostek certyfikujących. Załącznik do tych wytycznych również podlegał konsultacjom społecznym, a uwagi do niego można było zgłaszać do dnia 1 lutego 2019 r.[2]

Pomimo, iż kształt wymogów akredytacji wciąż nie jest znany, wiadomym jest, że będą one jedynie uzupełnieniem normy ISO 17065/2012. Podmioty, które myślą o uzyskaniu statutu „podmiotu akredytowanego” powinny już teraz rozpocząć pracę nad wdrażaniem w swojej firmie normy ISO 17065/2012.

Od wejścia w życie RODO minęło już 10 miesięcy, a mimo to wciąż nie są znane dokładne wymagania, jakie mają spełniać podmioty, które chcą uzyskać certyfikację oraz podmioty, które chcą takie certyfikaty wydawać.  Możemy się jednak spodziewać, że z uwagi na upływ terminów na wnoszenie zastrzeżeń, konsultacje społeczne tych dokumentów dobiegają końca i niedługo właściwe organy opublikują niezbędne kryteria.

[1] https://uodo.gov.pl/pl/138/725

[2] https://uodo.gov.pl/pl/138/645