Firmy będą mogły uzyskać branżowe certyfikaty zgodności przetwarzania danych osobowych z RODO

Firmy będą mogły uzyskać branżowe certyfikaty zgodności przetwarzania danych osobowych z RODO
Fot. stock.adobe.com / thodonal
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Prezes Urzędu Ochrony Danych Osobowych zatwierdził Dodatkowe wymogi akredytacji podmiotów certyfikujących. W oparciu o ten dokument będzie dokonywana akredytacja podmiotów certyfikujących, które będą weryfikować zgodność operacji przetwarzania danych osobowych prowadzonych przez administratorów i podmioty przetwarzające. Certyfikacja ma na celu zwiększenie przejrzystości i poprawę przestrzegania norm ochrony danych osobowych z uwzględnieniem specyfiki branży. Podmioty certyfikujące będą przyznawały certyfikaty ubiegającym się o to firmom z konkretnych sektorów. Posiadanie certyfikatu będzie dobrowolne, a jego zadaniem ma być potwierdzenie najwyższych standardów przestrzegania przepisów o ochronie danych osobowych.

– Zatwierdzony dokument to ważny krok w kierunku regulacji mechanizmów certyfikacji w zakresie ochrony danych osobowych.

W ramach certyfikacji oceniana jest zgodność operacji przetwarzania danych osobowych z kryteriami certyfikacji, zatwierdzonymi przez organ nadzorczy – powiedział Jakub Groszkowski, zastępca prezesa UODO.

Dodatkowe wymogi akredytacji podmiotów certyfikujących zostały podpisane po uwzględnieniu pozytywnej opinii Europejskiej Rady Ochrony Danych. Dokument sporządzono w oparciu o Wytyczne 4/2018 w sprawie akredytacji podmiotów certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679).

Czytaj także: LINK4 z ukarany przez UODO za niezgłoszenie na czas naruszenia ochrony danych osobowych

Kto będzie dokonywał certyfikacji?

W Polsce certyfikacji będą dokonywały akredytowane podmioty certyfikujące posiadające akredytacje udzielane przez Polskiego Centrum Akredytacji (PCA). Akredytacja będzie odbywała się na podstawie normy ISO/IEC 17065/2012 oraz Dodatkowych wymogów akredytacji podmiotów certyfikujących zatwierdzonych właśnie przez Prezesa UODO.

– Mechanizmy certyfikacji, w tym kryteria certyfikacji, mogą być opracowane przez podmioty chcące uzyskać certyfikację zgodnie z wymaganiami charakterystycznymi dla poszczególnych branż. Musimy mieć świadomość, że zastosowanie uniwersalnych zasad ochrony danych osobowych nie zawsze jest wystarczające. Często potrzebne są wskazówki uwzględniające specyfikę danej branży.

Takie szczegółowe kryteria sprawdzone przez podmiot certyfikujący pomogą skuteczniej chronić dane osobowe, a na tym nam wszystkim zależy – powiedział Jakub Groszkowski.

Zgodnie z art. 12 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych, o której mowa w art. 43 RODO, udzielać będzie PCA.

Czytaj także: Europejska Rada Ochrony Danych zakazała spersonalizowanych reklam na Facebooku i Instagramie

Mechanizmy certyfikacji – kryteria certyfikacji

Zatwierdzenie i publikacja Dodatkowych wymogów akredytacji podmiotów certyfikujących nie oznacza jednak, że podmioty zainteresowane udzielaniem certyfikacji mogą już dziś występować do PCA z wnioskiem o akredytację, o której mowa w ogólnym rozporządzeniu o ochronie danych.

Pierwszym krokiem musi być stworzenie przez rynek mechanizmów certyfikacji, w tym kryteriów certyfikacji, o których mowa w art. 42 ust. 5 RODO, gdyż akredytacja będzie dokonywana w ramach konkretnego mechanizmu certyfikacji.

Kryteria certyfikacji podlegają zatwierdzeniu przez właściwy organ nadzorczy lub Europejską Radę Ochrony Danych (w przypadku, gdy kryteria są zatwierdzane przez EROD, może to skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych).

– Certyfikacja to niezmiernie ważny element regulacji ochrony danych osobowych. Podmioty, które otrzymają certyfikat dostają potwierdzenie, że procesy przetwarzania danych osobowych realizowane w ramach ich działalności są zgodne, od strony operacyjnej, z wymogami organu nadzorującego i certyfikowane w ramach konkretnej specyfiki ustalonej przez akredytowany podmiot w ramach certyfikatu branżowego.

To swojego rodzaju znak jakości przyznawany dla procesu ochrony danych osobowych. Muszę tu jednak podkreślić, że podmioty posiadające ważny certyfikat nie będą mogły liczyć na ulgowe traktowanie przez UODO i w przypadku zgłoszenia naruszenia ochrony danych osobowych będą w stosunku do nich stosowane standardowe procedury kontroli – powiedziała Monika Krasińska, dyrektor Departamentu Orzecznictwa i Legislacji UODO.

Więcej informacji na temat certyfikacji można znaleźć w zakładce Certyfikacja na stronie internetowej UODO: Certyfikacja – UODO

Źródło: Urząd Ochrony Danych Osobowych / UODO