W Polsce ten instrument pozostaje praktycznie martwy. A szkoda, bo mógłby poprawić przestrzeganie ochrony danych osobowych, podnieść ich bezpieczeństwo, a także przyśpieszać i ułatwiać obrót nimi - pisze Tomasz Osiej, radca prawny, Kancelaria Prawna Osiej i Partnerzy.

Kodeksy postępowania i certyfikacja, a szerzej także znaki jakości i oznaczenia w zakresie ochrony danych osobowych, to mechanizmy ustanowione w sekcji 5 RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Ich wspólnym celem jest szeroko rozumiane ułatwienie stosowania RODO z punktu widzenia zarówno administratorów danych, podmiotów przetwarzających, jak i osób, których dane dotyczą, a więc nas wszystkich.

Różne instytucje, różne korzyści

Podmioty danych mogą zyskać na przejrzystości i czytelności komunikacji przede wszystkim dzięki znakom jakości oraz oznaczeniom w zakresie ochrony danych (czytelne i zwięzłe obowiązki informacyjne). Administratorzy oraz podmioty przetwarzające powinni być z kolei bardziej zainteresowani certyfikacją i kodeksami postępowania, chociaż skrócenie obowiązku informacyjnego jest także bardzo wskazane z ich punktu widzenia. O ile w przypadku tych ostatnich pewne działania zostały już podjęte (przyjęto w Polsce pierwszy kodeks, a prace nad następnymi są mocno zaawansowane), o tyle certyfikacja pozostaje praktycznie martwa i wcale w tym określeniu nie ma przesady. A szkoda, bo jej rola może być ogromna i chodzi tu nie tylko o zwykłą pewność ram i systemu przetwarzania danych (m.in. jakie podstawy przetwarzania są dopuszczalne, jak realizować prawa osób, jak zabezpieczać dane?), co oznaczałoby komfort i bezpieczeństwo (w tym prawne) po stronie wszystkich zainteresowanych, lecz także o przyśpieszenie i ułatwienie obrotu danymi, o co przecież także toczy się ta gra.

Atrakcyjne narzędzie

Wracając do samej instytucji certyfikacji, można ją określić jako istotny instrument bezpieczeństwa prawnego, który wedle założeń stanowić ma potwierdzenie przestrzegania przepisów o ochronie danych osobowych. Dla przedsiębiorców byłoby to wysoce atrakcyjne narzędzie pozwalające potwierdzać standard ochrony danych osobowych w organizacji oficjalnym certyfikatem, że przetwarzanie danych odbywa się zgodnie z RODO. W wielu sytuacjach może okazać się to bezcenne i bezkonkurencyjne.

Certyfikacja zgodności z przepisami ochrony danych osobowych pojawiła się wraz z rozpoczęciem stosowania RODO. Przed 2018 r. funkcjonowały ‒ i obecnie również funkcjonują ‒ certyfikaty oparte na normach ISO. Jednak nie gwarantują one pełnej instytucjonalnej zgodności z RODO.

W Europie, jeszcze przed wprowadzeniem RODO, dostępne były także quasi-certyfikacje nakierowane wyłącznie na ochronę danych. Rynek starał się standaryzować ten obszar, ale siła oddziaływania takich certyfikatów była nieporównywalna z mechanizmem ustanowionym w RODO. Jednym z najbardziej znanych przedsięwzięć tego typu była certyfikacja prowadzona przez Niezależne Centrum Ochrony Prywatności, które zostało założone przez pełnomocnika ds. ochrony danych osobowych w niemieckim Szlezwiku-Holsztynie. Ta instytucja wydawała certyfikaty w obszarze IT, potwierdzając zgodność programów nakierowanych na wsparcie administracji publicznej ze standardami ochrony danych. Dostępne były też certyfikacje o szerszym zakresie, jak np. Datenschutz Cert, EuroPriSe GmbH. Nie były to jednak procedury certyfikacji nastawione stricte na ochronę danych osobowych, ale na bezpieczeństwo informacji.

Certyfikacja, o której mowa w RODO, ma zupełnie innym wymiar. Przede wszystkim jest ona jedyną oficjalnie uznawaną przez organy nadzoru, a więc taką, którą organ nadzoru musi brać pod uwagę przy przeprowadzaniu kontroli, wydawaniu decyzji czy nakładaniu kar. Ponadto certyfikacja może być podstawą legalnego transferu danych osobowych do państw trzecich zgodnie z art. 46 ust. 2 lit. f RODO, co w obecnej niepewnej sytuacji prawnej transferu danych do USA może okazać się niezwykle ważne i przydatne.

Ramka 1

Nowe oczekiwania

Wraz z nadejściem RODO pojawiły się oczekiwania i nadzieje związane z certyfikacją. Wojciech Wiewiórowski, ówczesny generalny inspektor ochrony danych osobowych, a obecnie europejski inspektor ochrony danych, na pytanie o problemy z zapewnieniem standardów, wskazywał: „(…) rozwiązanie widziałbym w samoregulacji rynku. Jednym ze sposobów mogą być certyfikaty poświadczające zachowywanie pewnych standardów ochrony prywatności”. Podobnie wypowiadał się Jan Nowak, obecny prezes Urzędu Ochrony Danych Osobowych, przedstawiając stworzenie sytemu certyfikacji jako jedno z wyznań jego kadencji. Sami przedsiębiorcy w certyfikacji upatrywali możliwości wskazywania swoim klientom, że ich organizacja przestrzega przepisów rozporządzenia. Jednak już w 2020 r. w podsumowaniu pierwszego roku stosowania RODO Wojciech Wiewiórowski wyraził rozczarowanie z powodu braku uruchomienia certyfikacji na poziomie europejskim. Podczas jednego ze spotkań stwierdził, że brak certyfikacji jest jedną z niezrealizowanych szans i zawiedzionych nadziei związanych z RODO. ©℗

Warto zatem pamiętać, że wszystkie „RODO-certyfikaty” zgodności sprzętu (RODO-szafy, czy RODO-niszczarki), urządzeń czy oprogramowania mają wyłącznie wymiar chwytu marketingowego. Innymi słowy, jeśli zafundujemy sobie taki „RODO-certyfikat”, to może nam to tylko chwilowo poprawić samopoczucie, a wystawcy ‒ kondycję finansową.

Krok po kroku

Certyfikacja oraz proces jej uzyskiwania są uregulowane w przepisach unijnego rozporządzenia (art. 42 i 43 RODO) oraz w rozdziale 4 polskiej ustawy o ochronie danych osobowych, który opisuje warunki i tryb jej dokonania. Zgodnie z art. 42 ust. 3 RODO certyfikacja jest dobrowolna, a proces uzyskania certyfikatu musi być jasny i przejrzysty. Co ważne, ust. 4 statuuje zasadę, nad którą w trakcie prac nad rozporządzeniem toczyła się długa dyskusja, a z której wynika, że certyfikacja przewidziana w niniejszym artykule pozostaje bez uszczerbku dla zadań i uprawnień właściwych organów nadzorczych. Oznacza to, że nie stanowi swoistego immunitetu przyznanego podmiotowi, który takim certyfikatem się posługuje.

Zgodnie z art. 15 ustawy o ochronie danych osobowych certyfikacji w Polsce dokonuje prezes Urzędu Ochrony Danych Osobowych lub podmiot certyfikujący. Ten ostatni może być akredytowany przez krajową jednostkę akredytującą określoną zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 765/2008 ustanawiającym wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzenia produktów do obrotu i uchylającym rozporządzenie (EWG) nr 339/93 oraz zgodnie z dodatkowymi wymogami określonymi przez właściwy organ nadzorczy. W Polsce taką jednostką jest Polskie Centrum Akredytacji, które działa na podstawie art. 12 ustawy o ochronie danych osobowych. Akredytacji udziela się maksymalnie na okres pięciu lat, z możliwością jej przedłużenia (art. 43 ust. 4 RODO). Podmioty certyfikujące są odpowiedzialne za przeprowadzenie certyfikacji, kontrolę jej jakości oraz odnowienie. Proces certyfikacji opiera się na warunkach określonych przez ten organ.

UODO, na podstawie art. 16 ustawy, jest zobligowany do określenia kryteriów certyfikacji, co oznacza, że musi precyzyjnie określić, jakie wymagania musi spełnić wnioskujący, aby otrzymać certyfikat. Zgodnie z art. 15 ust. 1 ustawy o ochronie danych wnioskującym (zainteresowanym certyfikacją) może być administrator danych, podmiot przetwarzający, producent albo podmiot wprowadzający usługę lub produkt na rynek, który także w istocie będzie albo administratorem, albo podmiotem przetwarzającym. W kryteriach tych powinny znaleźć się nie tylko aspekty związane z samą procedurą certyfikacji, lecz także informacje dotyczące opłat (powinny być one adekwatne i proporcjonalne) oraz przede wszystkim warunków, jakie musi spełnić wnioskujący, by otrzymać certyfikat.

Artykuł 42 ust. 6 RODO stanowi, że administrator danych lub podmiot przetwarzający muszą udzielić wydającemu certyfikat niezbędnych informacji i zapewnić dostęp do swoich działań przetwarzania. Innymi słowy, są zobowiązani do ujawnienia wszelkich informacji, które są niezbędne do uzyskania certyfikatu, nawet jeśli są poufne.

Sama certyfikacja udzielana jest maksymalnie na okres trzech lat, z możliwością jej przedłużenia, o ile podmiot wciąż spełnia wymogi. Istnieje również możliwość cofnięcia certyfikacji.

Ramka 2

Europejskie działania

Po rozpoczęciu stosowania RODO nie tylko w Polsce pojawiły się wielkie oczekiwania wobec certyfikacji. Jednak zarówno u nas, jak i w całej Europie certyfikacja nie złapała wiatru w żagle. Mamy jednak pierwszą jaskółkę ‒ opracowany przez organizację Europrivacy mechanizm certyfikacji, który wykazuje zgodność z RODO, co potwierdza na swojej stronie Komisja Europejska (https://digital-strategy.ec.europa.eu/pl/news/europrivacy-first-certification-mechanism-ensure-compliance-gdp). Stanowi to krok naprzód w zapewnianiu poszanowania przełomowych przepisów Unii Europejskiej dotyczących ochrony prywatności. ©℗

Warto czekać

Trudno obecnie szacować, jakie będą koszty certyfikacji w Polsce. Przed 2018 r. typowy europejski proces certyfikacji kosztował ok. 7000 euro. Obecnie, zgodnie z art. 26 ustawy o ochronie danych osobowych, maksymalna wysokość opłaty za certyfikację, która przeprowadzana jest przez prezesa UODO (a przypomnijmy, że certyfikować mogą też jednostki akredytowane), nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację.

Jednak certyfikacja to nie tylko koszty i to zarówno finansowe, jak i organizacyjne, lecz przede wszystkim korzyści. Jedną z wielu korzyści jest wzrost zaufania do administratora lub podmiotu przetwarzającego, zarówno ze strony kontrahentów, jak i osób, których dane są przetwarzane, wynikający z tego, że właściciel certyfikatu to profesjonalista. Dodatkowo stosowanie sprawdzonego mechanizmu certyfikacji może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków. Zgodnie z art. 32 ust. 3 RODO mechanizm certyfikacji może być wykorzystany do wykazania wdrożenia odpowiednich środków technicznych i organizacyjnych. Ponadto posiadanie takiego certyfikatu będzie znacząco wyróżniało przedsiębiorcę wśród innych organizacji, a więc dawało przewagę rynkową. Niezależnie od tego upowszechnienie certyfikacji będzie prowadziło do podnoszenia standardów ochrony danych osobowych, a więc będzie z korzyścią dla nas wszystkich. ©℗