Certyfikacja w zakresie ochrony danych osobowych

Począwszy od dnia 25 maja 2018 r. na terenie całej Unii Europejskiej zaczną obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – dalej RODO. W związku z powyższym Ministerstwo Cyfryzacji szykuje dużą nowelizację m.in. w zakresie przepisów polskiej ustawy o chronie danych osobowych – dalej UODO, w celu dostosowania jej zapisów do RODO jako aktu prawa unijnego. Jednym z nowych rozwiązań przewidywanych w projekcie nowej UODO jest wprowadzenie mechanizmu certyfikacji w zakresie ochrony danych osobowych, mających świadczyć o zgodności z treścią RODO operacji przetwarzania danych osobowych przez administratorów danych osobowych i podmioty przetwarzające te dane.

Regulacja dotychczasowa a założenia nowych aktów prawnych

Dotychczas obowiązująca ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie zawiera przepisów dotyczących mechanizmu certyfikacji. Z tego względu projekt nowelizacji UODO przewiduje wprowadzenie takiego mechanizmu. Wynika to z art. 42 ust. 1 Rozporządzenia Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych, mających świadczyć o zgodności z Rozporządzeniem operacji przetwarzania, prowadzonych przez administratorów i podmioty przetwarzające.

Powołanie nowych organów w zakresie ochrony danych osobowych i certyfikacji

Zgodnie z przepisami projektu UODO powołany zostanie nowy organ - Prezes Urzędu Ochrony Danych Osobowych (dalej Prezes Urzędu), który to będzie uprawniony m.in. do wydawania certyfikatów. Tym niemniej – w celu jak najpełniejszej realizacji założeń art. 42 RODO - wydawania certyfikatów dopuszczeni zostaną również przedsiębiorcy. Celem jest odciążenia działań podejmowanych przez Prezesa Urzędu. Według treści uzasadnienia do projektu kompetencja do akredytacji podmiotów certyfikujących przyznana będzie Polskiemu Centrum Akredytacji, będącemu krajową jednostką akredytującą w rozumieniu art. 2 pkt 11 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiającego wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylającego rozporządzenie (EWG) nr 339/93 (Dz. Urz. UE L 218 z 13.08.2008, str. 30).

Należy wskazać, że przepisy RODO nie precyzują zakresu możliwej certyfikacji. Dlatego też polski projekt UODO zakłada szeroki zakres certyfikacji, obejmujący również administratora, podmiot przetwarzający, producenta albo podmiot wprowadzający produkt na rynek.

Według założeń projektu certyfikacja będzie dokonywana na wniosek administratora lub podmiotu przetwarzającego oraz na podstawie kryteriów określonych przez Prezesa Urzędu bądź podmiot certyfikujący.

Należy wspomnieć, iż projekt ustawy przewiduje również powołanie Rady do Spraw Ochrony Danych Osobowych, zwana dalej „Radą”. Organ ten ma spełniać funkcje opiniodawczo-doradcze. Do zadań Rady zaliczane będą: opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych, opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych, w tym także opracowywanie propozycji kryteriów certyfikacji dla certyfikacji prowadzonej przez Prezesa Urzędu. Pozwoli to na zachowanie dodatkowych warunków bezstronności zasad dokonywania certyfikacji przez Prezesa Urzędu.

Odpłatność certyfikacji

Projekt zakłada również odpłatność certyfikacji. W treści uzasadnienia projektu uznano, że adekwatną opłatą będzie tutaj czterokrotność przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego.

Warto jeszcze nadmienić, iż w ocenie projektodawcy UODO ważką kwestią jest niedopuszczenie do wystąpienia konfliktu interesów pomiedzy podmiotem certyfikującym a tym, który ubiega się o przyznanie certyfikatu. Dlatego też w ocenie projektodawcy niedopuszczalna byłaby sytuacja, w której certyfikacja podejmowana byłaby przez podmiot certyfikujący wobec podmiotów będących w chwili certyfikacji bądź kiedyś klientami podmiotu certyfikującymi w zakresie porad prawnych dotyczących ochrony danych osobowych.


Michał Pichór

Radca prawny

Radca prawny, prawnik biznesu. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Swoją pracę magisterską napisał w Instytucie Prawa Własności Intelektualnej UJ. Ukończył aplikację radcowską prowadzoną przy Okręgowej Izbie Radców Prawnych w Krakowie. Specjalista w zakresie obsługi prawnej przedsiębiorców, ze szczególnym uwzględnieniem windykacji należności oraz prawa umów.

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika