Certyfikacja w obszarze danych osobowych, czyli sposób na zyskanie zaufania klientów i partnerów

Ochrona danych osobowych jest dziś jednym z fundamentów działalności każdej organizacji, niezależnie od jej wielkości czy branży. Przepisy dotyczące ochrony danych osobowych wprowadziły w Unii Europejskiej rygorystyczne zasady przetwarzania danych, a ich przestrzeganie wymaga wdrożenia odpowiednich środków i procedur.

Podstawowy akt prawny w zakresie ochrony danych osobowych, tj. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – zwane też Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (dalej: RODO) wprowadził m.in. dobrowolne narzędzie pozwalające organizacjom potwierdzić zgodność z przepisami w zakresie ochrony danych osobowych oraz zyskać zaufanie klientów i partnerów.

Czym jest certyfikacja RODO, jaki jest cel jej uzyskania i kto jej udziela?

Zacznijmy od wyjaśnienia samego pojęcia certyfikacji ochrony danych osobowych. Zostało ono wprowadzone do obrotu prawnego artykułem 42 RODO. Zgodnie art. 42 ust. 1 RODO, państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw^[1].

W ramach certyfikacji oceniana jest zgodność operacji przetwarzania danach osobowych z kryteriami certyfikacji, zatwierdzonymi odpowiednio przez organ nadzorczy lub Europejską Radę Ochrony Danych.

Certyfikacja RODO jest dobrowolnym, formalnym procesem, w którym organizacja przetwarzająca dane osobowe otrzymuje potwierdzenie spełniania standardów ochrony danych, zgodnych z wymogami rozporządzenia. Proces ten ma na celu potwierdzenie tego, że dany podmiot wdrożył wymagane przez RODO środki ochrony, procesy przetwarzania danych są zgodne z obowiązującymi przepisami, a także to, że organizacja przestrzega dobrych praktyk przetwarzając dane osobowe. Istotą certyfikacji jest dobrowolne poddanie przez organizację procesów przetwarzania danych osobowych do audytu. Audyt taki powinien wykonać zewnętrzny, niezależny podmiot. Efektem tego audytu mają być wyniki pokazujące, czy przedsiębiorstwo spełnia wymogi wynikające z przepisów RODO. W przypadku uzyskania pozytywnego wyniku, przyznawany jest  stosowny certyfikat.

Należy podkreślić, że certyfikacja RODO nie musi oznaczać certyfikacji zgodności z określoną normą, czy grupą norm ISO.

Co także istotne, zgodnie z art. 42 ust. 4 RODO certyfikacja nie zastępuje obowiązku przestrzegania na zasadach ogólnych przepisów rozporządzenia, jak i pozostaje bez uszczerbku dla zadań i uprawnień organów nadzorczych w zakresie ochrony danych osobowych.^[2]

Dla przedsiębiorstwa, certyfikacja to nie tylko potwierdzanie działania w zgodzie z prawem ochrony danych osobowych, ale także przydatne narzędzie mogące budować reputację i wiarygodność firmy na rynku. Dzięki certyfikatowi firma wysyła swoim klientom sygnał, że ich dane osobowe są bezpieczne. Ponadto, organ nadzorczy, w przypadku naruszenia ochrony danych osobowych, decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, będzie zwracał uwagę na stosowanie przez administratora danych osobowych lub podmiot przetwarzający mechanizmów certyfikacji.^[3]

Norma ISO dotycząca bezpieczeństwa informacji

Normy ISO to uznane na całym świecie standardy ustanowione przez Międzynarodową Organizację Normalizacyjną, które pomagają przedsiębiorstwom zarządzać różnymi obszarami ich działalności. W kontekście ochrony danych osobowych kluczowa jest norma ISO/IEC 27001 – dotycząca systemów zarządzania bezpieczeństwem informacji. Norma ta określa wytyczne dotyczące zabezpieczeń, które powinny być stosowane do ochrony poufności, integralności i dostępności informacji, w tym danych osobowych. Uzyskanie certyfikacji ISO/IEC 27001 stanowi istotny element potwierdzający, że organizacja skutecznie zarządza bezpieczeństwem danych, co może ułatwić przejście przez procedurę certyfikacji RODO.

Jakie kryteria należy spełnić aby uzyskać certyfikację RODO? Procedura uzyskania certyfikacji

Proces uzyskania certyfikacji RODO jest wieloetapowy i wymaga spełnienia szeregu kryteriów, które szczegółowo opisano w wytycznych europejskich organów ochrony danych. 

Kluczowe etapy procedury uzyskania certyfikacji są następujące:

1. Przygotowanie organizacji do certyfikacji: w ramach tego etapu administrator danych osobowych (lub podmiot przetwarzający) powinien przeprowadzić audyt wewnętrzny, który pozwoli zidentyfikować procesy przetwarzania danych, zrozumieć ryzyka związane z ochroną danych osobowych oraz wdrożyć odpowiednie polityki i procedury.
2. Przygotowanie dokumentacji: do celów certyfikacji kluczowe jest przygotowanie odpowiedniej dokumentacji zgodnie z wytycznymi RODO, tj. dokumentów takich jak polityka prywatności, klauzule informacyjne, wzory zgód na przetwarzanie danych.
3. Wniosek o certyfikację: po zakończeniu przygotowań, organizacja składa formalny wniosek o certyfikację . We wniosku o wydanie certyfikatu należy zawrzeć informacje potwierdzające spełnienie kryteriów certyfikacji oraz wskazać zakres certyfikacji. Ponadto, jeśli wniosek składa się do Prezesa Urzędu Ochrony Danych Osobowych należy do niego dołączyć także potwierdzenie wniesienia opłaty, o której mowa w art. 26 ustawy o ochronie danych osobowych. Opłata jest pobierana za przeprowadzenie procesu certyfikacji, a jej wysokość odpowiada przewidywanym kosztom poniesionym z tytułu wykonywania tych czynności. Ustalając wysokość opłaty, Prezes UODO powinien wziąć pod uwagę zakres certyfikacji, przewidywany przebieg i długość postępowania certyfikującego oraz koszt pracy pracownika wykonującego czynności związane z certyfikacją. Maksymalna wysokość opłaty nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 20 pkt 1 lit. a ustawy z 17.12.1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz.U. z 2021 r. poz. 291 ze zm.).^[4]
4. Termin na rozpatrzenie: podmiot certyfikujący rozpatruje wniosek w terminie nie dłuższym niż trzy miesiące od jego złożenia, pod warunkiem że spełnia on wymogi formalne. W przypadku braków formalnych wnioskodawca otrzymuje wezwanie do ich uzupełnienia w terminie 7 dni, przy czym brak odpowiedzi skutkuje pozostawieniem takiego wniosku bez rozpoznania.
5. Ocena przez podmiot certyfikujący: wyznaczony audytor z ramienia podmiotu certyfikującego przeprowadza ocenę zgodności działań administratora danych osobowych lub podmiotu przetwarzającego z przepisami RODO. Audyt obejmuje analizę procedur i polityk, a także rzeczywistych działań organizacji w zakresie ochrony danych osobowych. Rolą podmiotu certyfikującego jest nie tylko udzielenie certyfikacji, ale także dokonywanie jej przeglądu, przedłużania, jak również w stosowanych okolicznościach, cofanie. Wymaga to od podmiotu certyfikującego lub od właściciela systemu certyfikacji określenia i ustalenia kryteriów certyfikacji oraz procedur certyfikacji.
6. Przyznanie certyfikatu: jeśli organizacja spełnia wszystkie wymagania, otrzymuje certyfikat RODO, który jest ważny przez określony czas (najczęściej są to 3 lata). Po upływie tego okresu konieczne jest przeprowadzenie ponownej ocenę, by utrzymać certyfikację.^[5]

Europejski Znak Jakości Ochrony Danych Osobowych

Europejski Znak Jakości Ochrony Danych Osobowych to certyfikat, który stanowi dowód na przestrzeganie najwyższych standardów ochrony danych osobowych. Przyznanie takiego certyfikatu jest potwierdzeniem, że organizacja wdraża nie tylko podstawowe środki ochrony danych, ale również zaawansowane rozwiązania i dobre praktyki w zakresie przetwarzania danych osobowych. Jest to szczególnie przydatne dla podmiotów działających na rynkach międzynarodowych, gdzie wysoki poziom ochrony danych osobowych stanowi o przewadze konkurencyjnej. Europejski Znak Jakości Ochrony Danych Osobowych jest udzielany przez Europejską Radę Ochrony Danych osobowych na wniosek podmiotu, który chce taki certyfikat uzyskać. Udziela się go w oparciu o kryteria certyfikacji wspólne dla wszystkich państw członkowskich Europejskiego Obszaru Gospodarczego.

Jakie podmioty mogą wnioskować o otrzymanie certyfikatu?

Z art. 42 RODO wynika, że certyfikacji na podstawie RODO udziela się administratorom danych osobowych i podmiotom przetwarzającym. W związku z tym, o certyfikację RODO mogą starać się wszystkie podmioty, które przetwarzają dane osobowe – od przedsiębiorstw prywatnych, przez instytucje publiczne, po organizacje pozarządowe. Szczególnie ważne może być to dla firm przetwarzających dane osobowe na masową skalę lub działających w sektorach, w których przetwarzane są wrażliwe dane osobowe, np. firm technologicznych, finansowych, sektora bankowego, podmiotów medycznych, czy branży edukacyjnej. Certyfikat RODO może być wartościowym atutem także dla mniejszych organizacji, które chcą zyskać zaufanie swoich klientów oraz partnerów.

Czym jest podmiot certyfikujący i jakie są jego kompetencje w omawianym zakresie?

Podmiot certyfikujący to organizacja, której zadaniem jest przeprowadzanie audytów zgodności z RODO i przyznawanie certyfikatów potwierdzających przestrzeganie zasad ochrony danych osobowych.      

Zgodnie z art. 42 RODO certyfikacji może dokonywać:

1) podmiot certyfikujący, o którym mowa w art. 43 RODO;

2) organ nadzorczy; w przypadku Polski będzie to Prezes UODO.

Niestety, przepisy rozporządzenia nie przesądzają jednoznacznie, czy w systemie prawnym każdego państwa członkowskiego oba te podmioty powinny mieć takie same kompetencje w zakresie certyfikacji. Jednak, jak można wyczytać w wytycznych Europejskiej Rady Ochrony Danych, jeśli organ nadzorczy zajmuje się certyfikacją, powinien on zapewnić maksymalny rozdział kompetencji nadzorczych od tych związanych z certyfikacją, aby maksymalnie zabezpieczyć się przed konfliktem interesów[6].

W ślad za przepisami RODO, w polskim systemie prawnym przyjęto, że certyfikacji może dokonywać zarówno Prezes Urzędu Ochrony Danych Osobowych, jak i akredytowane podmioty certyfikujące. W uzasadnieniu do ustawy o ochronie danych osobowych^[7], wskazano, że takie rozwiązanie odzwierciedla intencje unijnego ustawodawcy, który przewidział mechanizm certyfikacji z udziałem zarówno organów nadzorczych, jak i innych podmiotów.

Aby pełnić w Polsce funkcje podmiotu certyfikującego, organizacja chcąca ubiegać się o taki status musi uzyskać akredytację od Polskiego Centrum Akredytacji (PCA). Akredytacja jest przyznawana na podstawie spełnienia rygorystycznych wymagań normy ISO/IEC 17065:2012 oraz dodatkowych wymagań określonych przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Wymagania Prezesa UODO są publikowane na stronie Urzędu Ochrony Danych Osobowych i mają na celu zapewnienie, że proces certyfikacji jest przejrzysty, obiektywny i zgodny z międzynarodowymi standardami. Dokument ten pełni swego rodzaju rolę przewodnika w procesie akredytacji podmiotów certyfikujących. Poza podstawowymi informacjami, w dokumencie są zawarte szczegółowe wymogi dotyczące kwalifikacji personelu zajmującego się certyfikacją. Ponadto opisane są tam szczegółowe procedury dotyczące oceny wniosków, wydawania lub cofania certyfikatów, czy też rozpatrywania skarg, aktualizacji metod oceny oraz reagowania na naruszenia.^[8]

Akredytacja jest przyznawana na okres maksymalnie pięciu lat, jednak podmiot, który ją uzyskał może ubiegać się o jej przedłużenie. Polskie Centrum Akredytacji ma obowiązek informować Prezesa Urzędu Ochrony Danych Osobowych o każdej nowo udzielonej lub cofniętej akredytacji. Takie regulacje wspierają nadzór nad procesem certyfikacyjnym i gwarantują, że podmioty certyfikujące działają w sposób kompetentny i rzetelny.

Rola podmiotu certyfikującego nie kończy się na przyznaniu certyfikatu zgodności z RODO. Organizacja certyfikująca odpowiada również za regularne przeglądy zgodności, przedłużenie ważności certyfikatu oraz jego ewentualne cofnięcie w przypadku stwierdzonych naruszeń lub uchybień. Aby realizować te zadania, podmiot certyfikujący musi opracować jasne kryteria certyfikacji, które są zgodne z przepisami RODO, jak również wdrożyć procedury zapewniające bezstronność i dokładność oceny.

Jakie korzyści przynosi uzyskanie certyfikacji RODO

Uzyskanie certyfikacji RODO niesie ze sobą szereg korzyści. Oto najważniejsze z nich:

• Zwiększenie zaufania: certyfikat RODO to dowód zgodności z przepisami prawa, co zwiększa wiarygodność przedsiębiorstwa w oczach klientów i partnerów biznesowych.
• Redukcja ryzyka prawnego: proces certyfikacji pomaga organizacjom wdrożyć skuteczne mechanizmy ochrony danych, co zmniejsza ryzyko naruszeń w zakresie ochrony danych osobowych, a co za tym idzie, związanych z nimi kar finansowych.
• Przewaga konkurencyjna: posiadanie certyfikatu to atut w negocjacjach i przetargach, zwłaszcza na rynku europejskim.
• Ochrona przed sankcjami: certyfikacja może pełnić rolę okoliczności działającej na korzyść kontrolowanego w przypadku toczącego się postępowania ze strony organów nadzoru w zakresie ochrony danych, co może ułatwić obronę w przypadku ewentualnych zarzutów o naruszenia przepisów.

Podsumowanie

Certyfikacja w zakresie ochrony danych osobowych jest niezwykle wartościowym narzędziem, które umożliwia organizacjom wykazanie zgodności z przepisami RODO. Dla firm i instytucji jest to nie tylko sposób na potwierdzenie spełnienia wymogów prawnych, ale także narzędzie o znaczeniu biznesowym, zwiększające konkurencyjność, podnoszące reputację i poziom zaufania do przedsiębiorstwa. Warto rozważyć skorzystanie z procesu certyfikacji RODO, aby zyskać przewagę w stale rozwijającym się cyfrowym świecie, gdzie bezpieczeństwo i ochrona danych osobowych odgrywają coraz większą rolę.

Adrianna Krzysztofik

Adrianna Krzysztofik jest prawniczką współpracującą z kancelarią prawa własności intelektualnej LGL – Lewandowski Gradek Lewandowska. LGL oferuje wsparcie prawników w zakresie stosowania prawa własności intelektualnej, pomoc mediatorów w rozwiazywaniu sporów związanych z własnością intelektualną i doradztwo rzeczników patentowych w zakresie postępowań przed urzędami patentowymi dla ochrony innowacyjnych rozwiązań opartych o wiedzę, kreację i naukę. LGL świadczy unikalną usługę audytu zasobów intelektualnych przedsiębiorstwa, np. do celów raportowania ESG czy sukcesji, pomoc prawną przy wdrożeniach technologii, doradztwo w prawnych aspektach marketingu i reklamy, a także oferuje narzędzia LegalTech, szkolenia i gotowe produkty prawne.

^[1] Art. 42 ust. 1 RODO

^[2] Art. 42 ust. 4 RODO

^[3] Art. 83 ust. 2 lit. j RODO

^[4] art. 26 ust. 1-3 ustawa z dnia 10 maja 2018 r. - o ochronie danych osobowych (Dz.U. z 2019r. poz. 1781 ze zm.)

^[5] art. 15 - 26 ustawy z dnia 10 maja 2018 r. - o ochronie danych osobowych (Dz.U. z 2019r. poz. 1781 ze zm.)    

[6] Wytyczne 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia Wersja 3.0, 4 czerwca 2019 r, Europejska Rada Ochrony Danych Osobowych, wejście 18. 11. 2024r..

^[7] Druk Sejmowy nr 2410, VIII kadencja

^[8]”Dodatkowe wymogi akredytacji podmiotów certyfikujących”, 8 grudnia 2023 r. Wersja 1.2, Urząd Ochrony Danych Osobowych