Certyfikacja w obszarze ochrony danych osobowych nie jest szeroko stosowana, ale powinna być. Jej potencjał dla przedsiębiorców jest ogromny. Oficjalny certyfikat może nie tylko uwiarygodnić organizację w oczach klientów i partnerów, lecz także istotnie wesprzeć procesy biznesowe w czasach, gdy konieczne jest przestrzeganie surowych wymogów RODO.

Kodeksy postępowania i certyfikacja (a szerzej – także znaki jakości i oznaczenia w zakresie ochrony danych osobowych) to mechanizmy uregulowane w sekcji 5 ogólnego rozporządzenia o ochronie danych osobowych (RODO). Ich wspólnym celem jest szeroko rozumiane ułatwienie stosowania przepisów o ochronie danych i zapewnienie większego bezpieczeństwa z punktu widzenia administratorów, podmiotów przetwarzających oraz osób, których dane dotyczą.

Zgodnie z art. 40 ust. 3 RODO, po zatwierdzeniu kodeksu postępowania przez właściwy organ nadzorczy (w Polsce Urząd Ochrony Danych Osobowych, dalej: UODO) i po uznaniu go przez Komisję Europejską za powszechnie obowiązujący w Unii Europejskiej „mogą przestrzegać go oraz stosować administratorzy lub podmioty przetwarzające niepodlegające RODO znajdujące się w państwach trzecich w celu zapewnienia odpowiednich zabezpieczeń danych przekazywanych do państw trzecich. Od takich administratorów oraz podmiotów przetwarzających wymaga się podejmowania wiążących i egzekwowalnych zobowiązań – w drodze umowy lub poprzez inne prawnie wiążące instrumenty – do stosowania odpowiednich zabezpieczeń przewidzianych w kodeksie, w tym w odniesieniu do praw osób, których dane dotyczą”.

Różne instytucje, różne korzyści dla firmy

Administratorzy i podmioty przetwarzające powinni być szczególnie zainteresowani certyfikacją i kodeksami postępowania, bo mogą one w znacznym stopniu ułatwić realizację obowiązków, a zarazem podkreślić wiarygodność firmy.

O ile w przypadku kodeksów pewne działania zostały już podjęte (np. pod koniec 2023 r. prezes UODO zatwierdził „Kodeks postępowania dla sektora ochrony zdrowia” przygotowany przez Polską Federację Szpitali, a 14 grudnia 2022 r. – „Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie)”), to prace nad certyfikacją są wciąż uśpione w poszczególnych sektorach. Potencjał jest jednak ogromny – nie chodzi wyłącznie o zapewnienie pewnych ram i bezpieczeństwa prawnego w systemie przetwarzania (podstawy przetwarzania, realizację praw osób, kwestie zabezpieczeń), lecz także o przyspieszenie i uproszczenie obrotu danymi. W realiach biznesowych może się to przełożyć na realną przewagę konkurencyjną.

Ważne: Certyfikację można określić jako istotny instrument formalnego bezpieczeństwa prawnego, który w zamyśle twórców RODO ma potwierdzać przestrzeganie przepisów o ochronie danych osobowych. W wielu sektorach może to mieć kluczowe znaczenie dla reputacji i konkurencyjności.

Przed ISO i po nim

Certyfikacja zgodności z przepisami ochrony danych osobowych pojawiła się wraz z rozpoczęciem stosowania RODO. Przed 2018 r. funkcjonowały i nadal funkcjonują certyfikaty oparte o normy ISO, ale nie zapewniają one pełnej gwarancji spełnienia wszystkich wymagań RODO, choć bywają pomocne w budowaniu systemu bezpieczeństwa informacji.

W Europie, jeszcze przed wejściem w życie RODO, istniały także quasi-certyfikacje nakierowane na ochronę danych. Niezależne Centrum Ochrony Prywatności w Szlezwiku-Holsztynie wydawało certyfikaty w obszarze IT, potwierdzając zgodność programów wspierających administrację publiczną ze standardami ochrony danych. Formalna certyfikacja w rozumieniu RODO ma jednak zupełnie inny charakter, ponieważ jest oficjalnie uznawana przez organy nadzoru (UODO), które muszą ją uwzględniać przy kontrolach i nakładaniu kar. Co więcej, zgodnie z art. 46 ust. 2 lit. f RODO, może ona służyć za podstawę legalnego transferu danych osobowych do państw trzecich. Choć w lipcu 2023 r. przyjęto nowy mechanizm transferu danych do USA (EU-US Data Privacy Framework), certyfikacja może nadal wzmocnić pewność prawną i chronić przed ryzykami.

Ważne: Wszystkie tzw. rodo-certyfikaty sprzętu, urządzeń czy oprogramowania – wydawane w celach marketingowych – nie są tożsame z certyfikacją w rozumieniu RODO i nie są uznawane przez UODO.

Proces certyfikacji - przepisy a praktyka

Proces certyfikacji wynika z art. 42 i 43 RODO oraz rozdziału 4 ustawy o ochronie danych osobowych (dalej: u.o.d.o.), który opisuje warunki i tryb jego przeprowadzenia. Zgodnie z art. 42 ust. 3 RODO jest on dobrowolny, a procedura musi być klarowna i przejrzysta. Jednak ust. 4 tej regulacji stanowi, że przyznanie certyfikatu nie zwalnia z odpowiedzialności przed organem nadzorczym – nie jest więc rodzajem immunitetu.

Zgodnie z art. 15 u.o.d.o., certyfikacji w Polsce dokonuje prezes UODO lub podmiot certyfikujący akredytowany przez Polskie Centrum Akredytacji (PCA). PCA działa na podstawie art. 12 u.o.d.o, a akredytację wydaje na maksymalnie 5 lat, z opcją przedłużenia. Podmioty certyfikujące przeprowadzają procedurę, weryfikują jej jakość i odnawiają certyfikat. Certyfikat wydawany jest maksymalnie na 3 lata, z możliwością przedłużenia, o ile nadal spełniane są wszystkie wymogi. W razie istotnych naruszeń istnieje też możliwość cofnięcia certyfikacji.

Warto czekać (i inwestować)

Przed 2018 r. typowy europejski proces certyfikacji kosztował ok. 7000 euro. Obecnie – jak wynika z art. 26 u.o.d.o. – opłata za certyfikację przeprowadzaną przez prezesa UODO nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku poprzedzającym złożenie wniosku (w 2024 r. wynosiło ono 7140,52 zł).

Z perspektywy przedsiębiorcy należy jednak postrzegać certyfikację przede wszystkim jako inwestycję o wielostronnych korzyściach. Oficjalny certyfikat umacnia wiarygodność firmy w oczach klientów i partnerów, co może być kluczowe w wielu branżach. Wykazanie stosowania zatwierdzonego mechanizmu certyfikacji ułatwia też udowodnienie, że firma przestrzega wymogów RODO. Zgodnie z art. 32 ust. 3 RODO, taka certyfikacja jest dowodem na wdrożenie odpowiednich środków technicznych i organizacyjnych.

Nie bez znaczenia jest potencjalna przewaga rynkowa: posiadanie oficjalnego certyfikatu wyróżnia przedsiębiorcę na tle konkurencji, szczególnie tam, gdzie przetwarzanie danych stanowi podstawę biznesu. Szerokie stosowanie certyfikacji oznacza również rosnące standardy ochrony danych osobowych, co służy całemu rynkowi. ©℗

Podstawa prawna

Podstawa prawna

• art. 32 ust. 3, art. 42, art. 43, art. 46 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)

• art. 12, art. 15 ust. 1, art. 26 ustawy z 10 maja 2019 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781)

• Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i uchylające rozporządzenie (EWG) nr 339/93 (Dz.Urz. UE z 2019 r. L169, s. 1)