Czy warto ubiegać się o certyfikat RODO

Przepisy RODO przewidują możliwość uzyskania certyfikatu poświadczającego przestrzeganie przez przedsiębiorcę dobrych praktyk przetwarzania danych osobowych. Posiadanie certyfikatu jest całkowicie dobrowolne, to do przedsiębiorcy należy zatem decyzja, czy o niego się ubiegać. Przedstawiamy, kiedy warto ubiegać się o certyfikaty i jak ma wyglądać procedura ich uzyskiwania.

Po co przedsiębiorcy certyfikaty

W preambule do RODO (motyw 100) stwierdzono, iż:

 "należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi".

Z zapisu tego wynika, że posiadanie certyfikatu oznacza dla przedsiębiorcy możliwość wykazania przed klientami, że ich dane osobowe są chronione w sposób rzetelny. Certyfikat może stanowić przewagę nad konkurencją, która certyfikatu nie posiada. Przykładowo, jeżeli przedsiębiorca zajmuje się przetwarzaniem danych (np. telemarketingiem, obsługą kadrową), łatwiej uzyska zamówienie od dużego podmiotu, który ma ścisłe wymogi dotyczące ochrony danych osobowych. Przy tym posiadanie certyfikatu może pomóc nie tylko w pozyskiwaniu klientów w Polsce, lecz także w innych krajach.

Co ważne, posiadanie certyfikatu będzie łatwo weryfikowalne. Lista podmiotów, które uzyskały certyfikat, ma być publikowana przez Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO) na jego stronie internetowej (art. 23 ust. 2 ustawy o ochronie danych osobowych - dalej "uodo"). Dodatkowo posiadanie certyfikatu może pomóc w uniknięciu kar nakładanych na podstawie RODO. A przypominamy, że kary za naruszenie przepisów o RODO mogą sięgnąć nawet 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie, w zależności od tego, która z tych kwot będzie wyższa.

Należy tu jednak zauważyć, że uzyskanie certyfikatu nie wpływa w żadnym stopniu na możliwość kontrolowania danego podmiotu przez Prezesa UODO. Także obowiązki wynikające z RODO w odniesieniu do podmiotu, który uzyskał certyfikat, są analogiczne do tych, które obciążają innych administratorów i podmioty przetwarzające.

Czym są kryteria certyfikacji i co zawierają certyfikaty

Prezes UODO zobowiązany jest do opublikowania na swojej stronie internetowej kryteriów certyfikacji dotyczących ochrony danych osobowych (art. 16 uodo). Kryteria certyfikacji to szczególne wymogi, które musi spełnić administrator danych osobowych lub podmiot przetwarzający dane w celu uzyskania certyfikatu. Niestety dotychczas kryteria te nie zostały jeszcze opublikowane.

 Certyfikaty mają zawierać, co najmniej:

• oznaczenie podmiotu, który otrzymał certyfikat,
• nazwę podmiotu dokonującego certyfikacji oraz wskazanie adresu jego siedziby (czyli Prezes UODO lub prywatny podmiot akredytowany do wydawania certyfikatów przez Prezesa UODO),
• numer lub oznaczenie certyfikatu,
• zakres, w tym okres, na jaki została dokonana certyfikacja (RODO wskazuje, że jest to okres do trzech lat, po upływie tego okresu konieczne będzie wystąpienie o odnowienie certyfikatu),
• datę wydania i podpis podmiotu dokonującego certyfikacji lub osoby przez niego upoważnionej.

Warto dodać, że podmiot certyfikujący może cofnąć przedsiębiorcy certyfikat przed upływem okresu, na który został on wydany, gdy stwierdzi, że przepisy dotyczące ochrony danych nie są przestrzegane.

Jak uzyskać certyfikat

Zasady certyfikacji polskich przedsiębiorców na potrzeby RODO określa ustawa o ochronie danych osobowych (uodo). Certyfikacji będzie dokonywał Prezes UODO lub podmiot certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek (art. 15 uodo). Należy jednak zauważyć, że obecnie na stronie internetowej Prezesa UODO (https://uodo.gov.pl/) brakuje jakichkolwiek informacji na temat certyfikatów. Z informacji prasowych wynika, że certyfikaty będą wydawane dopiero po zakończeniu prac nad procesem oceny certyfikatów prowadzonych przez Europejską Rady Ochrony Danych. O faktycznym rozpoczęciu procesu certyfikacji będziemy informować na łamach Mk.

Sam proces certyfikacji polega na:

1) złożeniu pisemnie lub elektronicznie przez przedsiębiorcę wniosku o certyfikację zawierającego co najmniej:

• nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania,
• informacje potwierdzające spełnianie kryteriów certyfikacji,
• wskazanie zakresu wnioskowanej certyfikacji (art. 17 ust 1 uodo);

2) zbadaniu spełniania kryteriów certyfikacji przez Prezesa UODO albo podmiot certyfikujący;

3) zawiadomieniu przedsiębiorcy w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku o dokonaniu albo odmowie dokonania certyfikacji (art. 18 uodo).

Ile kosztuje certyfikacja

Maksymalna wysokość opłaty za certyfikację nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację, ogłaszanego przez Prezesa GUS (art. 26 uodo). Przeciętne wynagrodzenie w gospodarce narodowej w 2017 r. wyniosło 4271,51 zł. Tym samym opłaty za pierwsze wystawiane certyfikaty mają nie przekraczać 17 086, 04 zł (przy założeniu, że pierwsze certyfikaty zostaną wystawione w 2018 r.).

Podsumowując, można założyć, że uzyskaniem certyfikatu będą zainteresowani jedynie przedsiębiorcy, którzy są w stanie wdrożyć wiele zabezpieczeń i procedur i jednocześnie ponieść wysoką opłatę za wydany certyfikat.

Podstawa prawna:

• preambuła do rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Dz.Urz. UE L 119, s. 1

• art. 15 - art. 18, art. 23 i art. 26 ustawy z 10 maja 2018 r. o ochronie danych osobowych - Dz.U. z 2018 r., poz. 1000

Sławomir Biliński

prawnik, redaktor "MONITORA księgowego", ekspert podatkowy, autor licznych publikacji z prawa podatkowego i gospodarczego

Czytaj także:

"RODO - nowe obowiązki w zakresie ochrony danych osobowych" - www.mk.infor.pl