Certyfikacja i akredytacja na gruncie RODO

strony książki

Nowelizacja przepisów dotyczących ochrony danych osobowych wprowadza nowość w zakresie standardów ochrony danych w postaci certyfikatów potwierdzających zgodność podmiotu z przepisami o ochronie danych. Certyfikaty mają zachęcać administratorów danych i podmioty przetwarzające do wdrażania ochrony danych do ich organizacji i postępowania w zgodzie z przepisami. Mechanizmy certyfikacji i akredytacji ustanowione w RODO i właściwych przepisach krajowych mają służyć realizacji tego celu.

RODO wskazuje, że wszelkie certyfikaty i znaki jakości wydawane na tej podstawie powinny podlegać rejestracji przez Europejską Radę Ochrony Danych ( „EROD”), na którą nałożono obowiązek prowadzenia rejestru wszystkich mechanizmów certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych. Warto wspomnieć, że podmiotami akredytowanymi, inaczej mówiąc uprawnionymi do udzielania certyfikacji, na gruncie RODO będą organy nadzorcze państw członkowskich Unii Europejskiej oraz krajowe jednostki akredytujące określone zgodnie z Rozporządzeniem nr 765/2008 i dodatkowymi wymogami wskazanymi przez organy nadzorcze.

Organizacja może zostać akredytowana do udzielania certyfikacji, gdy:

  • W sposób satysfakcjonujący wykaże organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie ochrony danych osobowych;
  • Zobowiąże się do przestrzegania kryteriów certyfikacji określonych przez organ nadzorczy lub EROD;
  • Dysponuje procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;
  • Dysponuje procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie warunków certyfikacji i które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą i dla opinii publicznej;
  • Wykaże organowi nadzorczemu, że jej zadania i obowiązki nie powodują konfliktu interesów.

Podmioty certyfikujące dokonują oceny organizacji administratora lub procesora przed udzieleniem lub cofnięciem certyfikacji bez uszczerbku dla obowiązków w zakresie przestrzegania postanowień RODO. W ten sposób ustawodawca unijny chciał uniknąć kumulacji kompetencji kontrolera i certyfikującego w jednym ciele. Nietrudno bowiem wyobrazić sobie sytuację, kiedy to w trakcie procedury certyfikacyjnej wykryte zostaną nieprawidłowości mogące skutkować sankcją na gruncie RODO. Takie sformułowanie procedury pozwala, przynajmniej w teorii, liczyć na wstrzemięźliwość certyfikującego, nawet jeśli jest nim organ nadzorczy.

Istotnym elementem jest także możliwość cofnięcia certyfikacji w przypadku gdy podmiot przestał spełniać pierwotne wymogi. Istotna jest w tym kontekście możliwość reagowania podmiotów akredytujących  na skargi osób, których dane dotyczą i bieżącego sprawdzania przestrzegania przepisów ochrony danych przez podmioty certyfikowane. Certyfikacja jest udzielana na maksymalnie pięć lat i po tym czasie powinna zostać odnowiona.

Bartosz Czernek

Autor

Bartosz Czernek

Praktykował w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Ma doświadczenie w prowadzeniu audytów ochrony danych osobowych, opiniowaniu umów i regulaminów.