LexDigital

Certyfikat zgodności z RODO

W RODO została uregulowana nowa możliwość uzyskania przez administratorów danych osobowych certyfikatów, które potwierdzają, przestrzeganie przepisów o ochronie danych osobowych. Posiadanie certyfikatu zgodności z RODO może przełożyć się na zwiększone zaufanie klientów, którzy powierzają takiemu administratorowi swoje dane osobowe.

Certyfikat zgodności z RODO

Certyfikacja jako nowa możliwość uregulowana w przepisach o ochronie danych osobowych

Przepisy RODO wprowadzają nieznaną dotąd możliwość certyfikacji w zakresie ochrony danych osobowych. Uzyskanie takiego certyfikatu lub znaku jakości świadczy o tym, że dany podmiot przestrzega przepisów o ochronie danych osobowych i zostało to potwierdzone przez niezależną instytucję. Możliwość uzyskania certyfikatów dotyczy zarówno tych organizacji, które są administratorami danych, jak również tych, które działają jako podmioty przetwarzające.

O uzyskanie certyfikatu może wystąpić każdy podmiot, który przetwarza dane osobowe. Samo wzięcie udziału w takim procesie jest dobrowolne, a jego uzyskanie nie zwalnia podmiotu z obowiązku stosowania przepisów RODO. Uzyskanie certyfikatu nie wpływa również w żadnym stopniu na możliwość kontrolowania danego podmiotu przez organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Tym samym generalne obowiązki wynikające z RODO w odniesieniu do podmiotu, który uzyskał certyfikat, są analogiczne do tych, które obciążają innych administratorów i podmioty przetwarzające.

Prezes UODO zobowiązany jest do opublikowania na swojej stronie internetowej kryteriów certyfikacji dot. ochrony danych osobowych. Kryteria certyfikacji to szczególne wymogi, które musi spełnić administrator danych osobowych lub podmiot przetwarzający dane w celu uzyskania certyfikatu. Certyfikat udzielany jest na określony czas, przy czym RODO wskazuje, że jest to okres do trzech lat. Po jego upływie konieczne będzie wystąpienie o odnowienie certyfikatu. Listę podmiotów, które uzyskały certyfikat publikuje Prezes UODO na swojej stronie internetowej.

Podmioty ubiegające się o wydanie certyfikatu

Certyfikat może być przyznany na rzecz podmiotu, który złożył stosowny wniosek. Wniosek taki musi zawierać co najmniej informacje o nazwie podmiotu ubiegającego się o certyfikację (w przypadku osób prawnych) albo jego imieniu i nazwisku (w przypadku osób fizycznych) oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania. Wniosek powinien także wskazywać na zakres certyfikacji, której dotyczy oraz informacje potwierdzające spełnianie kryteriów certyfikacji. Do wniosku dołącza się dokumenty potwierdzające spełnianie kryteriów certyfikacji albo ich kopie.

W przypadku gdy certyfikat ma zostać udzielony bezpośrednio przez Prezesa UODO, wniosek podlega opłacie w wysokości ustalonej przez Prezesa Urzędu na podstawie zakresu certyfikacji, przewidywanego przebiegu i długości postępowania certyfikującego oraz kosztu pracy pracownika wykonującego czynności związane z certyfikacją.

Maksymalna wysokość opłaty nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego.

Samo nadanie lub odmowa nadania certyfikatu powinno nastąpić w terminie 3 miesięcy od dnia złożenia stosownego wniosku przez administratora danych lub podmiot przetwarzający. W przypadku gdy wniosek został złożony do podmiotu certyfikującego innego niż Prezes Urzędu, podmiot ten musi poinformować Prezesa Urzędu o podjętej przez siebie decyzji dotyczącej nadania albo odmowy nadania certyfikatu.

Dokument certyfikatu ochrony danych osobowych

Dokument certyfikatu zawiera oznaczenie podmiotu, który otrzymał certyfikat, nazwie podmiotu dokonującego certyfikacji oraz wskazanie adresu jego siedziby, numeru lub oznaczeniu certyfikatu, zakresie dokonanej certyfikacji, wskazaniu okresu na jaki został udzielony certyfikat oraz datę wydania i podpis podmiotu dokonującego certyfikacji lub osoby przez niego upoważnionej.

W przypadku gdyby podmiot certyfikujący przestał spełniać kryteria dotyczące certyfikacji, podmiot który jej udzielił ma prawo do cofnięcia certyfikatu. W przypadku gdy podmiot certyfikujący cofnie certyfikat, obowiązany jest zawiadomić o tym Prezesa UODO. Sam Prezes Urzędu może również dokonywać czynności sprawdzających polegających na możliwości weryfikacji, czy podmiot który otrzymał certyfikat przestrzega kryteriów certyfikacji.

Przepisy RODO wskazują, że certyfikaty będą udzielane przez podmioty certyfikujące lub bezpośrednio przez organ nadzorczy, zajmujący się ochroną danych osobowych w określonym państwie. Potwierdza to przyjęta przez Sejm dnia 10 maja 2018 r. polska ustawa o ochronie danych osobowych.

Aby dana instytucja uzyskała status podmiotu certyfikującego, musi uzyskać odpowiednią akredytację, udzielaną przez organ nadzorczy lub krajową jednostkę akredytującą. Tak więc akredytacja jest wymagana do tego aby zostać podmiotem certyfikującym. Następnie podmiot ten może przyznawać certyfikaty dotyczące ochrony danych osobowych na rzecz poszczególnych administratorów danych lub podmiotów przetwarzających.

Szczególne wymogi certyfikacji zgodnie z ustawą o ochronie danych osobowych. Akredytacja oraz certyfikacja

Zgodnie z ustawą o ochronie danych osobowych, uchwaloną 10 maja 2018 r., nadawaniem akredytacji zajmowało się będzie Polskie Centrum Akredytacji. O każdorazowym udzieleniu akredytacji Polskie Centrum Akredytacji będzie musiało zawiadomić Prezesa UODO. Sam Prezes będzie zobowiązany do opublikowania na swojej stronie internetowej kryteriów akredytacji, czyli wymogów, które musi spełnić określony podmiot aby uzyskać akredytację, a tym samym zostać upoważnionym do nadawania certyfikatów na rzecz administratorów danych i podmiotów przetwarzających.

Podmioty certyfikujące

Aby otrzymać akredytację, podmiot który się o nią ubiega musi wykazać swoją niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji. Tym samym podmiot taki powinien posiadać rozległą praktyczną wiedzę dotyczącą zabezpieczania danych osobowych, przestrzegania przepisów RODO czy też szczególnych wymogów nałożonych na podmioty, które przetwarzają dane osobowe na podstawie innych aktów prawnych. Ponadto podmiot taki musi być niezależny. Pozwoli to na nieuleganie naciskom administratorów danych, którzy chcą uzyskać certyfikat i mogłyby próbować wpłynąć na podmioty certyfikujące np. finansowo. Podmioty certyfikujące muszą także zobowiązać się do przestrzegania kryteriów certyfikacji, ustalonych przez Prezesa Urzędu Ochrony Danych Osobowych.

Od podmiotów certyfikujących wymaga się także opracowania oraz stosowania procedur wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych,

Podmioty te powinny także dysponować procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot przetwarzający. Ponadto, są one zobowiązane aby w sposób satysfakcjonujący wykazać właściwemu organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów.

Podsumowanie

Podsumowując, certyfikacja wydaje się być interesującym instrumentem dla tych administratorów danych lub podmiotów, którym powierzono przetwarzanie danych, którzy chcieliby wykazać przed swoimi klientami, że przestrzegają przepisów dotyczących ochrony danych osobowych i spełniają odpowiednie standardy zabezpieczania przekazywanych im informacji. Należy jednak wskazać, iż wymogi, które trzeba spełnić aby uzyskać certyfikat, mogą zostać ustalone przez Prezesa Urzędu na wysokim poziomie. Konsekwentnie, możliwość uzyskania certyfikatu będzie ograniczona tylko dla tych podmiotów, które będą w stanie wdrożyć cały szereg zabezpieczeń i procedur.



Sprawdź również:



Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.