LexDigital

Certyfikat zgodności z RODO

W RODO została uregulowana nowa możliwość uzyskania przez administratorów danych osobowych certyfikatów, które potwierdzają, przestrzeganie przepisów o ochronie danych osobowych. Posiadanie certyfikatu zgodności z RODO może przełożyć się na zwiększone zaufanie klientów, którzy powierzają takiemu administratorowi swoje dane osobowe.

Certyfikat zgodności z RODO

Certyfikacja jako nowa możliwość uregulowana w przepisach o ochronie danych osobowych

Przepisy RODO wprowadzają nieznaną dotąd możliwość certyfikacji w zakresie ochrony danych osobowych. Uzyskanie takiego certyfikatu lub znaku jakości świadczy o tym, że dany podmiot przestrzega przepisów o ochronie danych osobowych i zostało to potwierdzone przez niezależną instytucję. Możliwość uzyskania certyfikatów dotyczy zarówno tych organizacji, które są administratorami danych, jak również tych, które działają jako podmioty przetwarzające.

O uzyskanie certyfikatu może wystąpić każdy podmiot, który przetwarza dane osobowe. Samo wzięcie udziału w takim procesie jest dobrowolne, a jego uzyskanie nie zwalnia podmiotu z obowiązku stosowania przepisów RODO. Uzyskanie certyfikatu nie wpływa również w żadnym stopniu na możliwość kontrolowania danego podmiotu przez organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Tym samym generalne obowiązki wynikające z RODO w odniesieniu do podmiotu, który uzyskał certyfikat, są analogiczne do tych, które obciążają innych administratorów i podmioty przetwarzające.

Prezes UODO zobowiązany jest do opublikowania na swojej stronie internetowej kryteriów certyfikacji dot. ochrony danych osobowych. Kryteria certyfikacji to szczególne wymogi, które musi spełnić administrator danych osobowych lub podmiot przetwarzający dane w celu uzyskania certyfikatu. Certyfikat udzielany jest na określony czas, przy czym RODO wskazuje, że jest to okres do trzech lat. Po jego upływie konieczne będzie wystąpienie o odnowienie certyfikatu. Listę podmiotów, które uzyskały certyfikat publikuje Prezes UODO na swojej stronie internetowej.

RODO, certyfikat, przetwarzanie danych osobowych

Podmioty ubiegające się o wydanie certyfikatu

Certyfikat może być przyznany na rzecz podmiotu, który złożył stosowny wniosek. Wniosek taki musi zawierać co najmniej informacje o nazwie podmiotu ubiegającego się o certyfikację (w przypadku osób prawnych) albo jego imieniu i nazwisku (w przypadku osób fizycznych) oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania. Wniosek powinien także wskazywać na zakres certyfikacji, której dotyczy oraz informacje potwierdzające spełnianie kryteriów certyfikacji. Do wniosku dołącza się dokumenty potwierdzające spełnianie kryteriów certyfikacji albo ich kopie.

W przypadku gdy certyfikat ma zostać udzielony bezpośrednio przez Prezesa UODO, wniosek podlega opłacie w wysokości ustalonej przez Prezesa Urzędu na podstawie zakresu certyfikacji, przewidywanego przebiegu i długości postępowania certyfikującego oraz kosztu pracy pracownika wykonującego czynności związane z certyfikacją.

Maksymalna wysokość opłaty nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego.

Samo nadanie lub odmowa nadania certyfikatu powinno nastąpić w terminie 3 miesięcy od dnia złożenia stosownego wniosku przez administratora danych lub podmiot przetwarzający. W przypadku gdy wniosek został złożony do podmiotu certyfikującego innego niż Prezes Urzędu, podmiot ten musi poinformować Prezesa Urzędu o podjętej przez siebie decyzji dotyczącej nadania albo odmowy nadania certyfikatu.

Dokument certyfikatu ochrony danych osobowych

Dokument certyfikatu zawiera oznaczenie podmiotu, który otrzymał certyfikat, nazwie podmiotu dokonującego certyfikacji oraz wskazanie adresu jego siedziby, numeru lub oznaczeniu certyfikatu, zakresie dokonanej certyfikacji, wskazaniu okresu na jaki został udzielony certyfikat oraz datę wydania i podpis podmiotu dokonującego certyfikacji lub osoby przez niego upoważnionej.

W przypadku gdyby podmiot certyfikujący przestał spełniać kryteria dotyczące certyfikacji, podmiot który jej udzielił ma prawo do cofnięcia certyfikatu. W przypadku gdy podmiot certyfikujący cofnie certyfikat, obowiązany jest zawiadomić o tym Prezesa UODO. Sam Prezes Urzędu może również dokonywać czynności sprawdzających polegających na możliwości weryfikacji, czy podmiot który otrzymał certyfikat przestrzega kryteriów certyfikacji.

Przepisy RODO wskazują, że certyfikaty będą udzielane przez podmioty certyfikujące lub bezpośrednio przez organ nadzorczy, zajmujący się ochroną danych osobowych w określonym państwie. Potwierdza to przyjęta przez Sejm dnia 10 maja 2018 r. polska ustawa o ochronie danych osobowych.

Aby dana instytucja uzyskała status podmiotu certyfikującego, musi uzyskać odpowiednią akredytację, udzielaną przez organ nadzorczy lub krajową jednostkę akredytującą. Tak więc akredytacja jest wymagana do tego aby zostać podmiotem certyfikującym. Następnie podmiot ten może przyznawać certyfikaty dotyczące ochrony danych osobowych na rzecz poszczególnych administratorów danych lub podmiotów przetwarzających.

Szczególne wymogi certyfikacji zgodnie z ustawą o ochronie danych osobowych. Akredytacja oraz certyfikacja

Zgodnie z ustawą o ochronie danych osobowych, uchwaloną 10 maja 2018 r., nadawaniem akredytacji zajmowało się będzie Polskie Centrum Akredytacji. O każdorazowym udzieleniu akredytacji Polskie Centrum Akredytacji będzie musiało zawiadomić Prezesa UODO. Sam Prezes będzie zobowiązany do opublikowania na swojej stronie internetowej kryteriów akredytacji, czyli wymogów, które musi spełnić określony podmiot aby uzyskać akredytację, a tym samym zostać upoważnionym do nadawania certyfikatów na rzecz administratorów danych i podmiotów przetwarzających.

Podmioty certyfikujące

Aby otrzymać akredytację, podmiot który się o nią ubiega musi wykazać swoją niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji. Tym samym podmiot taki powinien posiadać rozległą praktyczną wiedzę dotyczącą zabezpieczania danych osobowych, przestrzegania przepisów RODO czy też szczególnych wymogów nałożonych na podmioty, które przetwarzają dane osobowe na podstawie innych aktów prawnych. Ponadto podmiot taki musi być niezależny. Pozwoli to na nieuleganie naciskom administratorów danych, którzy chcą uzyskać certyfikat i mogłyby próbować wpłynąć na podmioty certyfikujące np. finansowo. Podmioty certyfikujące muszą także zobowiązać się do przestrzegania kryteriów certyfikacji, ustalonych przez Prezesa Urzędu Ochrony Danych Osobowych.

Od podmiotów certyfikujących wymaga się także opracowania oraz stosowania procedur wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych,

Podmioty te powinny także dysponować procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot przetwarzający. Ponadto, są one zobowiązane aby w sposób satysfakcjonujący wykazać właściwemu organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów.

Podsumowanie

Podsumowując, certyfikacja wydaje się być interesującym instrumentem dla tych administratorów danych lub podmiotów, którym powierzono przetwarzanie danych, którzy chcieliby wykazać przed swoimi klientami, że przestrzegają przepisów dotyczących ochrony danych osobowych i spełniają odpowiednie standardy zabezpieczania przekazywanych im informacji. Należy jednak wskazać, iż wymogi, które trzeba spełnić aby uzyskać certyfikat, mogą zostać ustalone przez Prezesa Urzędu na wysokim poziomie. Konsekwentnie, możliwość uzyskania certyfikatu będzie ograniczona tylko dla tych podmiotów, które będą w stanie wdrożyć cały szereg zabezpieczeń i procedur.



Sprawdź również:



Polecane

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Sztuczna inteligencja (AI) coraz częściej stanowi ważny czynnik wspierania procesów biznesowych organizacji. Jest wykorzystywana na masową skalę i nie jest już zarezerwowana jakiemuś szczególnemu sektorowi działalności. Opracowywane prognozy plasują AI jako jeden z głównych czynników, który ma napędzać gospodarki przyszłości.

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk