Certyfikacja RODO jest w RODO przewidziana jako mechanizm dobrowolny, o którym mowa w art. 42 RODO. Jej celem jest wspieranie rozliczalności i pokazanie, że dany podmiot stosuje określone standardy ochrony danych. Certyfikacja nie jest jednak obowiązkowa i nie zwalnia administratora z odpowiedzialności za zgodność z przepisami.
Warto jasno zaznaczyć, że w Polsce nie funkcjonują obecnie krajowe certyfikaty RODO zatwierdzone w trybie art. 42 RODO. Oznacza to, że wiele ofert „certyfikacji RODO” ma charakter marketingowy i nie daje formalnego statusu certyfikatu w rozumieniu rozporządzenia.
Certyfikacja, jeżeli będzie dostępna w prawidłowej formie, może mieć znaczenie wizerunkowe i kontraktowe, zwłaszcza w relacjach B2B. Nie zastępuje jednak audytu, dokumentacji ani realnego wdrożenia RODO. To narzędzie uzupełniające, a nie dowód pełnej zgodności.
Spis treści
Certyfikacja - cel, charakter prawny, zastosowanie
Certyfikacja RODO to narzędzie przewidziane w rozdziale IV, sekcji 5 rozporządzenia 2016/679 (RODO), umożliwiające administratorom i podmiotom przetwarzającym formalne potwierdzenie zgodności ich operacji przetwarzania danych osobowych z wymaganiami wynikającymi z przepisów. Poniżej przedstawiono szczegółową analizę istoty, funkcji oraz struktury certyfikacji w świetle art. 42 i 43 RODO.
Cel i istota certyfikacji
Celem certyfikacji RODO jest:
- potwierdzenie zgodności konkretnych operacji przetwarzania z przepisami RODO,
- zwiększenie przejrzystości praktyk przetwarzania danych,
- wspieranie stosowania standardów ochrony danych w sposób jednolity w całej UE,
- promowanie mechanizmów jakości i zaufania w relacjach między podmiotami danych, administratorami oraz procesorami.
Certyfikacja jest inicjatywą wspieraną przez państwa członkowskie, organy nadzorcze, Europejską Radę Ochrony Danych (EROD) oraz Komisję Europejską. System został zaprojektowany z myślą o wszystkich uczestnikach rynku – w szczególności z uwzględnieniem specyfiki i ograniczeń mikro, małych i średnich przedsiębiorstw.
Charakter prawny i dobrowolność
Certyfikacja ma charakter dobrowolny i stanowi instrument pomocniczy, co oznacza, że jej uzyskanie nie zwalnia administratora ani podmiotu przetwarzającego z obowiązku przestrzegania przepisów RODO. Certyfikat nie ogranicza również kompetencji organów nadzorczych do prowadzenia postępowań lub stosowania środków nadzorczych.
Proces certyfikacyjny musi być transparentny, a informacje o przyznanych certyfikatach oraz o mechanizmach ich udzielania są upubliczniane przez właściwe organy i EROD.
Zakres stosowania i funkcje certyfikatu
Mechanizm certyfikacji może być wykorzystywany:
- do potwierdzenia zgodności operacji przetwarzania z przepisami RODO,
- jako dowód odpowiednich zabezpieczeń w przypadku transferów danych osobowych do państw trzecich (art. 46 ust. 2 lit. f RODO),
- w ramach wspólnej certyfikacji na poziomie unijnym, której efektem może być uzyskanie europejskiego znaku jakości ochrony danych.
Certyfikacja RODO wiąże się z koniecznością przyjęcia przez administratora lub procesora egzekwowalnych zobowiązań umownych, zwłaszcza w kontekście stosowania odpowiednich zabezpieczeń w relacjach transgranicznych.
Udzielanie i utrzymanie certyfikatu
Certyfikacji dokonuje:
- akredytowany podmiot certyfikujący, zgodnie z art. 43 RODO, lub
- właściwy organ nadzorczy, na podstawie zatwierdzonych kryteriów (art. 42 ust. 5).
Administrator lub podmiot przetwarzający, ubiegający się o certyfikację, ma obowiązek udostępnić wszystkie niezbędne informacje oraz umożliwić dostęp do operacji przetwarzania, które podlegają ocenie. Procedura certyfikacyjna wymaga następnie przeprowadzenia weryfikacji zgodności z określonymi kryteriami zatwierdzonymi przez właściwy organ nadzorczy lub Europejską Radę Ochrony Danych. Po uzyskaniu certyfikatu, podmiot musi przez cały okres jego ważności utrzymywać zgodność z tymi kryteriami, co może podlegać dalszemu nadzorowi i okresowym przeglądom.
Certyfikat jest ważny maksymalnie przez 3 lata, z możliwością przedłużenia. Cofnięcie certyfikacji następuje, gdy podmiot przestaje spełniać kryteria zgodności.
Akredytacja i rola podmiotów certyfikujących (art. 43 RODO)
Podmiot certyfikujący może zostać akredytowany przez:
- organ nadzorczy właściwy zgodnie z art. 55 lub 56 RODO, lub
- krajową jednostkę akredytującą działającą zgodnie z rozporządzeniem (WE) nr 765/2008, przy uwzględnieniu normy EN-ISO/IEC 17065:2012 i dodatkowych wymogów ustanowionych przez organ nadzorczy.
Aby podmiot certyfikujący mógł uzyskać akredytację, musi spełniać szereg wymagań. Przede wszystkim zobowiązany jest wykazać swoją niezależność oraz posiadanie odpowiedniej wiedzy fachowej w zakresie ochrony danych osobowych. Kluczowe jest również stosowanie kryteriów certyfikacyjnych, które zostały zatwierdzone przez właściwy organ nadzorczy lub Europejską Radę Ochrony Danych. Podmiot powinien posiadać jasno określone i przejrzyste procedury przyznawania, przeglądu oraz cofania certyfikatów. Ponadto musi zagwarantować dostępność mechanizmów składania skarg dotyczących naruszenia warunków certyfikacji lub niewłaściwego jej stosowania. Warunkiem koniecznym jest również brak konfliktu interesów w realizacji zadań związanych z prowadzeniem certyfikacji.
Akredytacja udzielana jest na okres do 5 lat, z możliwością jej przedłużenia.
Rejestr certyfikacji i jawność
EROD prowadzi rejestr wszystkich mechanizmów certyfikacji oraz znaków jakości zatwierdzonych w UE. Rejestr ten jest udostępniany publicznie w celu zapewnienia przejrzystości i jednolitego stosowania standardów.
Dodatkowo, organy nadzorcze mają obowiązek upubliczniać kryteria certyfikacyjne oraz wymogi dla podmiotów certyfikujących – zarówno w skali krajowej, jak i europejskiej.
Możliwość interwencji Komisji Europejskiej
Komisja Europejska posiada uprawnienia do ustanawiania szczegółowych regulacji w zakresie certyfikacji ochrony danych. W ramach aktów delegowanych może doprecyzowywać wymogi, jakie powinny spełniać mechanizmy certyfikacji, w celu zapewnienia ich spójności i skuteczności na poziomie Unii Europejskiej. Ponadto, poprzez akty wykonawcze, Komisja może ustalać techniczne standardy obowiązujące w procesie certyfikacji, a także określać sposoby upowszechniania certyfikatów oraz procedury ich wzajemnego uznawania pomiędzy państwami członkowskimi. Działania te mają na celu harmonizację systemów certyfikacyjnych i zwiększenie ich transparentności oraz efektywności w całej UE.
System certyfikacji RODO w Polsce
Zgodnie z rozdziałem 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, procedurę certyfikacji może przeprowadzać Prezes Urzędu Ochrony Danych Osobowych lub akredytowany podmiot certyfikujący, jednak wyłącznie na wniosek administratora danych lub podmiotu przetwarzającego. Mimo że ramy prawne umożliwiające funkcjonowanie tego mechanizmu zostały ustanowione wraz z wejściem w życie RODO, a wytyczne Europejskiej Rady Ochrony Danych dotyczące certyfikacji i akredytacji opublikowano już w 2019 r., to wdrożenie systemu certyfikacyjnego w Polsce wciąż pozostaje w fazie oczekiwania.
W świetle przepisów krajowych certyfikacja będzie mogła być udzielana przez podmioty, które uzyskają akredytację od Polskiego Centrum Akredytacji (PCA), zgodnie z normą ISO/IEC 17065:2012 oraz dodatkowymi wymaganiami określonymi przez Prezesa UODO. Akredytacja może zostać udzielona na okres do pięciu lat, z możliwością jej przedłużenia. PCA ma również ustawowy obowiązek informowania Prezesa Urzędu o każdym przypadku udzielenia lub cofnięcia akredytacji.
Rola akredytowanego podmiotu certyfikującego obejmuje nie tylko wydawanie certyfikatów, ale również ich przegląd, przedłużenie oraz cofanie w przypadku niespełniania kryteriów. Zgodnie z art. 42 ust. 7 RODO, certyfikacja jest przewidziana wyłącznie dla administratorów danych oraz podmiotów przetwarzających, co zostało szczegółowo doprecyzowane w punktach 50–57 Wytycznych 1/2018 EROD. Certyfikat może być przyznany na okres maksymalnie trzech lat i przedłużany pod warunkiem dalszego spełniania odpowiednich wymagań.
Zgodnie z art. 23 ustawy z dnia 10 maja 2018r. o ochronie danych osobowych, Prezes UODO prowadzi wykaz podmiotów, którym udzielono certyfikacji, a także tych, którym została ona cofnięta – wraz ze wskazaniem przyczyn. Obecnie jednak wykaz ten pozostaje pusty. Do chwili sporządzenia niniejszego opracowania żaden podmiot nie uzyskał certyfikacji na podstawie zatwierdzonych kryteriów, ani nie został jej pozbawiony. Co więcej, Prezes UODO nie zatwierdził dotąd żadnych kryteriów, które mogłyby stanowić podstawę do formalnego rozpoczęcia procedury certyfikacyjnej.
W związku z powyższym należy zachować szczególną ostrożność wobec dostępnych na rynku informacji sugerujących możliwość uzyskania certyfikacji RODO. W praktyce często pojawiają się błędne przekazy marketingowe sugerujące istnienie mechanizmów certyfikacyjnych. W konsekwencji, na dzień sporządzenia niniejszego opracowania, nie istnieje prawna możliwość uzyskania certyfikacji zgodności z RODO w Polsce – ani od organu nadzorczego, ani od jakiegokolwiek podmiotu rynkowego.
Certyfikacja RODO jest narzędziem wspierającym podmioty przetwarzające dane w wykazywaniu zgodności z przepisami. Pomimo braku wydanych certyfikatów na dzień dzisiejszy, instrument ten ma potencjał stać się jednym z kluczowych elementów systemu zgodności. Dla podmiotów planujących uzyskanie certyfikacji istotne jest śledzenie kryteriów publikowanych przez Prezesa UODO oraz EROD, a także przygotowanie wewnętrznych procedur odpowiadających wymaganym standardom.
