W Polsce ten instrument mógłby poprawić przestrzeganie ochrony danych osobowych. Nie tylko podnieść ich bezpieczeństwo, lecz także przyśpieszyć i ułatwić obrót nimi. Tymczasem żaden podmiot jeszcze jej nie otrzymał.

Certyfikat poświadcza, że administrator (lub procesor) danych osobowych przestrzega dobrych praktyk, przetwarzając te dane. Podmiot, który otrzymał taki dokument, może wykazać przed kontrahentami, że ich dane są chronione w sposób bezpieczny i rzetelny. W Polsce jednak instytucja ta pozostaje praktycznie martwa i w tym określeniu nie ma wcale przesady. A szkoda, bo jej rola może być ogromna – chodzi zarówno o zwykłą pewność ram systemu przetwarzania danych (m.in. dotyczącą tego, jakie podstawy przetwarzania są dopuszczalne), co oznaczałoby komfort i bezpieczeństwo (w tym prawne) po stronie wszystkich zainteresowanych, jak i o przyśpieszenie i ułatwienie obrotu danymi, na czym także zależy zainteresowanym.

Czym jest certyfikacja

Kodeksy postępowania i certyfikacja, a szerzej także znaki jakości i oznaczenia w zakresie ochrony danych osobowych, to mechanizmy ustanowione w sekcji 5 RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Ich wspólnym celem jest szeroko rozumiane ułatwienie stosowania RODO z punktu widzenia zarówno administratorów danych, podmiotów przetwarzających, jak i osób, których dane dotyczą, a więc nas wszystkich.

Certyfikację można określić jako istotny instrument bezpieczeństwa prawnego, który ma stanowić potwierdzenie przestrzegania przepisów o ochronie danych osobowych. Dla przedsiębiorców to wysoce atrakcyjne narzędzie, które pozwala potwierdzać standard ochrony danych osobowych w organizacji oficjalnym certyfikatem wskazującym, że przetwarzanie danych odbywa się zgodnie z RODO. W wielu sytuacjach może się okazać to bezcenne i bezkonkurencyjne.

Certyfikacja zgodności z przepisami ochrony danych osobowych pojawiła się wraz z rozpoczęciem stosowania RODO. Przed wejściem w życie tego aktu prawnego (zresztą jest tak i obecnie) funkcjonowały certyfikaty oparte na normach ISO (ang. International Organization for Standarization; Międzynarodowa Organizacja Normalizacyjna). Jednak nie gwarantowały one (i nadal nie gwarantują) pełnej instytucjonalnej zgodności z RODO.

!Wszystkie „RODO -certyfikaty” zgodności sprzętu (np. RODO-szafy, czy RODO -niszczarki), urządzeń czy oprogramowania są wyłącznie chwytem marketingowym. Innymi słowy, jeśli zafundujemy sobie taki „RODO-certyfikat”, to może nam to tylko chwilowo poprawić samopoczucie, a wystawcy ‒ kondycję finansową.

W Europie, jeszcze przed wprowadzeniem RODO, dostępne były także quasi-certyfikacje nakierowane wyłącznie na ochronę danych. Rynek starał się standaryzować ten obszar, ale siła oddziaływania takich certyfikatów była nieporównywalna z mechanizmem ustanowionym w RODO. Jednym z najbardziej znanych przedsięwzięć tego typu była certyfikacja prowadzona przez Niezależne Centrum Ochrony Prywatności, które zostało założone przez pełnomocnika ds. ochrony danych osobowych w niemieckim Szlezwiku-Holsztynie. Ta instytucja wydawała certyfikaty w obszarze IT, potwierdzając zgodność programów nakierowanych na wsparcie administracji publicznej ze standardami ochrony danych. Dostępne były też certyfikacje o szerszym zakresie, jak np. Datenschutz Cert, EuroPriSe GmbH. Nie były to jednak procedury certyfikacji nastawione stricte na ochronę danych osobowych, ale na bezpieczeństwo informacji.

Certyfikacja, o której mowa w RODO, ma zupełnie inny wymiar. Przede wszystkim jest ona jedyną oficjalnie uznawaną przez organy nadzoru, a więc taką, którą organ musi brać pod uwagę przy przeprowadzaniu kontroli, wydawaniu decyzji czy nakładaniu kar za naruszenia. Ponadto certyfikacja może być podstawą legalnego transferu danych osobowych do państw trzecich zgodnie z art. 46 ust. 2 lit. f RODO, co w obecnej niepewnej sytuacji prawnej trans feru danych do USA może okazać się niezwykle ważne i przydatne.

Krok po kroku

Certyfikacja oraz proces jej uzyskiwania są uregulowane w art. 42 i 43 RODO oraz w rozdziale 4 polskiej ustawy o ochronie danych osobowych (dalej: u.o.d.o.), który opisuje warunki i tryb jej dokonania. Zgodnie z art. 42 ust. 3 RODO certyfikacja jest dobrowolna, a proces uzyskania certyfikatu musi być jasny i przejrzysty. Co ważne, ust. 4 ustala zasadę, nad którą w trakcie prac nad rozporządzeniem toczyła się długa dyskusja, a z której wynika, że certyfikacja pozostaje bez uszczerbku dla zadań i uprawnień właściwych organów nadzorczych. Oznacza to, że nie stanowi swoistego immunitetu przyznanego podmiotowi, który takim certyfikatem się posługuje.

Zgodnie z art. 15 u.o.d.o. certyfikacji w Polsce dokonuje prezes Urzędu Ochrony Danych Osobowych lub podmiot certyfikujący. Ten ostatni może być akredytowany przez krajową jednostkę akredytującą określoną zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 765/2008 ustanawiającym wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzenia produktów do obrotu i uchylającym rozporządzenie (EWG) nr 339/93 oraz zgodnie z dodatkowymi wymogami określonymi przez właściwy organ nadzorczy. W Polsce taką jednostką jest Polskie Centrum Akredytacji, które działa na podstawie art. 12 u.o.d.o. Akredytacji udziela się maksymalnie na pięć lat, z możliwością jej przedłużenia (art. 43 ust. 4 RODO). Podmioty certyfikujące są odpowiedzialne za przeprowadzenie certyfikacji, kontrolę jej jakości oraz odnowienie. Proces certyfikacji opiera się na warunkach określonych przez ten organ.

Pusty wykaz

Na podstawie art. 23 u.o.d.o. prezes UODO prowadzi wykaz podmiotów, którym udzielono certyfikacji, i tych, którym ją cofnięto, wraz ze wskazaniem przyczyny.

Obecnie nie ma żadnych podmiotów, którym taki dokument zostałby wydany albo cofnięty, na podstawie kryteriów certyfikacji zatwierdzonych przez prezesa UODO. ©℗

UODO, na podstawie art. 16 u.o.d.o., musi określać kryteria certyfikacji, czyli precyzyjnie wskazać, jakie wymagania ma spełnić wnioskujący, aby otrzymać certyfikat. Zgodnie z art. 15 ust. 1 u.o.d.o. wnioskującym (zainteresowanym certyfikacją) może być administrator danych, podmiot przetwarzający, producent albo podmiot wprowadzający usługę lub produkt na rynek, który także w istocie będzie albo administratorem, albo podmiotem przetwarzającym. W kryteriach tych powinny się znaleźć nie tylko aspekty związane z samą procedurą certyfikacji, lecz także informacje dotyczące opłat (mają być one adekwatne i proporcjonalne) oraz przede wszystkim warunków, jakie musi spełnić wnioskujący, by otrzymać certyfikat.

Artykuł 42 ust. 6 RODO stanowi, że administrator danych lub podmiot przetwarzający muszą udzielić wydającemu certyfikat niezbędnych informacji i zapewnić dostęp do swoich procesów przetwarzania. Innymi słowy, są zobowiązani do ujawnienia wszelkich informacji, które są niezbędne, aby uzyskać certyfikat, nawet jeśli są poufne.

Sama certyfikacja udzielana jest maksymalnie na trzy lata, z możliwością jej przedłużenia, o ile podmiot wciąż spełnia wymogi. Istnieje również możliwość cofnięcia certyfikacji.

Przewidywane korzyści

Trudno obecnie szacować, jakie będą koszty certyfikacji w Polsce. Przed 2018 r. typowy europejski proces certyfikacji kosztował ok. 7000 euro. Obecnie, zgodnie z art. 26 u.o.d.o., maksymalna wysokość opłaty za certyfikację, która przeprowadzana jest przez prezesa UODO (a przypomnijmy, że certyfikować mogą też jednostki akredytowane), nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację.

Jednak oprócz kosztów związanych z uzyskaniem certyfikatu (zarówno finansowych, jak i organizacyjnych) są również, a może przede wszystkim, korzyści. Jedną z wielu jest wzrost zaufania do certyfikowanego administratora lub podmiotu przetwarzającego, zarówno ze strony kontrahentów, jak i osób, których dane są przetwarzane. Postrzegany jest on bowiem jako profesjonalista. Dodatkowo stosowanie sprawdzonego mechanizmu certyfikacji może być wykorzystane jako element dla potwierdzenia przestrzegania przez administratora ciążących na nim obowiązków. Zgodnie z art. 32 ust. 3 RODO mechanizm certyfikacji może być wykorzystany do wykazania wdrożenia odpowiednich środków technicznych i organizacyjnych. Ponadto posiadanie wspomnianego dokumentu wyróżni przedsiębiorcę wśród innych organizacji i da mu przewagę rynkową. Niezależnie od tego upowszechnienie certyfikacji będzie prowadziło do podnoszenia standardów ochrony danych osobowych. ©℗