Nowe przepisy o ochronie danych osobowych (ANALIZA)

8 listopada 2017, 07:30 Innowacje

Wielkimi krokami zbliża się koniec okresu przejściowego na dostosowanie się do wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO, rozporządzenie), które będzie mieć zastosowanie od 25 maja 2018 r. Obok licznych zmian RODO wprowadza m.in. mechanizm certyfikacji – piszą Aneta Pankowska i Hubert Kutkiewicz z Kancelarii Prawnej RKKW – KWAŚNICKI, WRÓBEL & Partnerzy.

fot. Wiktor Dabkowski, flickr.com/bankenverband (CC BY-ND 2.0)

Czym jest certyfikacja na gruncie rozporządzenia ? 

Certyfikacja stanowi zupełną nowość na gruncie prawa ochrony danych osobowych. Ani dyrektywa 95/46/WE, ani obecnie obowiązująca ustawa o ochronie danych osobowych nie przewidywała instytucji certyfikacji w dziedzinie ochrony danych osobowych. RODO to zmienia. Zgodnie z art. 42 ust. 1 rozporządzenia państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności przetwarzania danych z RODO. W swym założeniu certyfikat ma być dokumentem poświadczającym przestrzeganie przez administratora dobrych praktyk przetwarzania danych osobowych. Certyfikacja przypomina w pewnym zakresie System Zarządzania Bezpieczeństwa Informacji (Information Security Management System) zgodnym z wymaganiami normy ISO/IEC 27001. System bezpieczeństwa podobniej jak mechanizm certyfikacji polega na wdrożeniu odpowiednich systemów zabezpieczeń, w szczególności ustanowienia polityki bezpieczeństwa oraz dostosowaniu systemów informatycznych do potencjalnych zagrożeń związanych m.in.: z ryzykiem utraty danych, naruszeniem poufności danych, a także brakiem integralności danych tj. dokładności i kompletności przetwarzanych danych. Innymi słowy mechanizm certyfikacji polega na stworzeniu domniemania zgodności przetwarzania danych osobowych zgodnie z przepisami rozporządzenia. Niemniej jednak będzie to domniemanie wzruszalne, ponieważ certyfikat nie zwalnia od odpowiedzialności za naruszenie zasad przetwarzania danych określonych w RODO.  Warto podkreślić, że certyfikacja jest całkowicie fakultatywna – to od decyzji administratora danych czy podmiotu przetwarzającego będzie zależało czy wystąpi o certyfikat.

Do kogo po certyfikat?

W ramach wstępnych założeń, tylko Prezes UODO będzie mógł udzielić certyfikacji mimo, że RODO dopuszcza udzielenie certyfikatu również przez inne podmioty certyfikujące tj. podmioty prywatne posiadające stosowną akredytację krajowego organu nadzorczego. Takie rozwiązanie ma swoje plusy i minusy. Niewątpliwą korzyścią „urzędowej” certyfikacji „będzie zapewnienie jednolitości certyfikacji i wyeliminowanie niepewności związanej z oddaniem certyfikacji z prywatne ręce” (P. Litwiński, Certyfikacja w nowych przepisach o ochronie danych osobowych, Firma i Prawo). Z drugiej strony, postępowania administracyjne toczące się przed Prezesem GIODO notorycznie się przedłużają co z kolei stoi w sprzeczności z interesem administratora, który zainteresowany jest uzyskaniem certyfikatu w możliwie najkrótszym czasie.

Administrator danych lub podmiot przetwarzający chcący uzyskać certyfikat będzie musiał wykazać spełnienie kryteriów do jego uzyskania, które w przyszłości określi Prezes UODO. Kryteria zostaną udostępnione w Biuletynie Informacji Publicznej na stronie internetowej. Na obecną chwilę Prezes GIODO nie określił wspomnianych kryteriów i raczej w najbliższym czasie nie należy się spodziewać ich publikacji. Przyznanie bądź odmowa przyznania certyfikatu będzie następować w drodze decyzji Prezesa UODO. Certyfikat będzie udzielany na czas określony – na okres maksymalny do 3 lat (art. 42 ust. 7 RODO) – przy czym istnieje możliwość przedłużenia ważności certyfikatu na kolejne okresy.  W trakcie ważności certyfikatu możliwe są kontrole w zakresie spełniania wymogów certyfikacji.

Potencjalne korzyści płynące z certyfikacji 

Można zadać pytanie, po co zdobywać certyfikat, skoro nie wyłącza on odpowiedzialności za ewentualne naruszenie przepisów RODO ?. Argumentów za wprowadzeniem takiego rozwiązania jest co najmniej kilka.

Po pierwsze uzyskanie certyfikatu może mieć istotny walor  wizerunkowy. Obecnie brak jest odpowiednich instrumentów, które pozwoliłby podmiotom danych zweryfikować czy określony administrator danych rzetelnie wywiązuje się ze swoich obowiązków związanych z ochroną danych osobowych.  Dzięki certyfikacji administrator będzie mógł się wyróżnić na tle konkurencji co w przyszłości może się przełożyć na wzmocnienie jego pozycji rynkowej. Co więcej, certyfikacja będzie pomocna również samym administratorom, ponieważ ułatwi wybór odpowiedniego podmiotu przetwarzającego dane osobowe na zlecenie (podwykonawcy) w ramach outsourcingu czynności związanych z przetwarzaniem danych. Naturalnym powinien być wybór podwykonawcy mającego certyfikat niż tego, który go nie ma.

Po drugie certyfikat będzie niezwykle użytecznym instrumentem do wykazania realizacji wielu obowiązków przewidzianych wprost w RODO np.: obowiązku zapewnienia bezpieczeństwa danych oraz wdrożenia odpowiednich rozwiązań technicznych i prawnych mające na celu realizację zasady privacy by design / privacy by default.

Po trzecie, co chyba najbardziej istotne, posiadanie certyfikatu będzie miało wpływ na wysokość administracyjnej kary pieniężnej w sytuacji naruszenia przez administratora przepisów rozporządzenia. Zgodnie z art. 83 ust. 2 lit. j RODO krajowy organ nadzorczy decydując się na nałożenie kary pieniężnej musi przy ustalaniu jej wysokości wziąć pod uwagę czy podmiot dopuszczający się naruszeń stosował zatwierdzone mechanizmy certyfikacji. W ten sposób podmiot posiadający certyfikat może liczyć na łagodniejszy wymiar kary.

Po czwarte, mechanizm certyfikacji może odegrać istotną rolę w zamówieniach publicznych. Niewykluczone, że od maja 2018 r. zamawiający w Specyfikacji Istotnych Warunkach Zamówienia (tzw. SIWZ) będą wymagać od potencjalnych wykonawców posiadania certyfikatu poświadczającego zgodność przetwarzania danych osobowych zgodnie z wymogami RODO. W świetle art. 28 ust. 1 rozporządzenia, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Zamawiający jako administrator danych powinien tym samym zagwarantować, że wykonawca zamówienia któremu powierzono dane w sposób należyty wywiązuje się z obowiązku ochrony danych osobowych. Od strony praktycznej, jak wskazuję się w piśmiennictwie: „(…) zamawiający powinien sformułować warunki udziału w postępowaniu, kryteria oceny ofert np. poprzez postawienie wymogów w zakresie posiadania certyfikatów, zabezpieczeń bądź posiadania odpowiednich systemów albo poprzez odpowiednie punktowanie wyższych standardów ochrony, tak by potwierdzały one, że dane osobowe powierzył podmiotowi, który zapewnia ich przetwarzanie zgodnie z prawem”.

Po piąte, certyfikacja jest rozwiązaniem relatywnie tanim. W świetle art. 16 ust. 1 projektu UODO za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego. Biorąc pod uwagę, że przeciętne miesięczne wynagrodzenie za pracę w II kwartale 2017 r. wynosiło 4220,69 zł to całkowity koszt certyfikacji wyniesie ok. 13 000 zł.

Uwagi końcowe 

W ramach zakończenia niniejszego artykułu autorzy pragną dodać, iż wyżej przedstawione regulacje związane z mechanizmem certyfikacji są obecnie w fazie projektowania i niewątpliwe do 25 maja 2018 r. ulegną zmianie. O konieczności zmian modelu certyfikacji wspomina chociażby Prezes GIODO, który w Uwagach do  projektu ustawy o ochronie danych osobowych z dnia 20 października 2017 r. wskazuje na szereg problemów jakie powinny być rozwiązane w nowej ustawie o ochronie danych osobowych.