29 kw. Akredytacja i certyfikacja na gruncie RODO
Ogólne Rozporządzenie w sprawie ochrony danych osobowych (dalej: RODO) zawiera przepisy dotyczące akredytacji oraz certyfikacji. Co oznaczają te pojęcia? Czy akredytacja bądź certyfikacja może ułatwić spełnienie wymogów RODO? Te i inne problemy poruszymy w dzisiejszym wpisie.
Akredytacja i certyfikacja
W dużym skrócie można powiedzieć, że proces certyfikacji oznacza zdobycie przez administratorów i podmioty przetwarzające pewnego zaświadczenia, że sposób przetwarzania przez nich danych osobowych jest zgodny z wymogami RODO i innych przepisów z zakresu ochrony danych.
Z kolei akredytacja jest kierowana do podmiotów, które chcą profesjonalnie trudnić się wydawaniem certyfikatów dla tej pierwszej grupy podmiotów.
Certyfikacja nie jest obowiązkiem ani administratorów, ani podmiotów przetwarzających. Zgodnie z art. 42 ust. 3 certyfikacja jest dobrowolnym procesem mającym na celu pomoc w wykazaniu zgodności z RODO. Jednakże, jak wskazuje Europejska Rada Ochrony Danych w wytycznych dotyczących certyfikacji [1], „przestrzeganie zatwierdzonych mechanizmów certyfikacji jest czynnikiem, który organy nadzorcze muszą brać pod uwagę jako czynnik obciążający lub łagodzący przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej i przy podejmowaniu decyzji w sprawie kwoty takiej kary (art. 83 ust. 2 lit. j))”. Oznacza to, że posiadanie certyfikatu zgodności z RODO prawdopodobnie może przyczynić się do wykazania wymogu rozliczalności, a tym samym zmniejszyć grożącą karę, w przypadku gdy istnieją inne przesłanki do jej wymierzenia.
Kryteria certyfikacji i wymogi akredytacji
Art. 42 ust. 5 RODO stanowi, że certyfikacja odbywa się na podstawie kryteriów certyfikacji, które powinien zatwierdzić właściwy organ nadzorczy (w przypadku polskich podmiotów jest to Prezes Urzędu Ochrony Danych Osobowych – dalej: UODO) lub Europejska Rada Ochrony Danych (dalej: EROD).
Pracę nad wytycznymi kryteriów certyfikacji wciąż trwają. Z informacji podawanych na stronie UODO wynika, iż do dnia 29 marca 2019 r. można było zgłaszać uwagi do proponowanego przez EROD „Załącznika nr 2” do Wytycznych 1/2018 dotyczących certyfikacji.
Analogiczna sytuacja występuje w odniesieniu do tzw. wymogów akredytacji, które z kolei stanowią wytyczne dla podmiotów, które chcą wydawać certyfikaty dla administratorów i podmiotów przetwarzających dane. W odniesieniu do tych wymogów EROD wydał Wytyczne 4/2018 w sprawie akredytacji jednostek certyfikujących. Załącznik do tych wytycznych również podlegał konsultacjom społecznym, a uwagi do niego można było zgłaszać do dnia 1 lutego 2019 r.[2]
Pomimo, iż kształt wymogów akredytacji wciąż nie jest znany, wiadomym jest, że będą one jedynie uzupełnieniem normy ISO 17065/2012. Podmioty, które myślą o uzyskaniu statutu „podmiotu akredytowanego” powinny już teraz rozpocząć pracę nad wdrażaniem w swojej firmie normy ISO 17065/2012.
Od wejścia w życie RODO minęło już 10 miesięcy, a mimo to wciąż nie są znane dokładne wymagania, jakie mają spełniać podmioty, które chcą uzyskać certyfikację oraz podmioty, które chcą takie certyfikaty wydawać. Możemy się jednak spodziewać, że z uwagi na upływ terminów na wnoszenie zastrzeżeń, konsultacje społeczne tych dokumentów dobiegają końca i niedługo właściwe organy opublikują niezbędne kryteria.
[1] https://uodo.gov.pl/pl/138/725
[2] https://uodo.gov.pl/pl/138/645