Na administratorów danych zostaną nałożone nowe obowiązki, zaś podmioty, których dane są przetwarzane uzyskają nowe prawa. Nowinkami w dziedzinie danych osobowych, które dotychczas nie były ujęte w konkretne ramy prawne będą z pewnością: tzw. profilowanie, prawo do bycia zapomnianym, uprawnienie do przeniesienia danych oraz wiele innych rozwiązań.
W środowisku prawniczym mówi się, że jednym z celów działań legislacyjnych implementujących RODO ma być właśnie certyfikacja, która niewątpliwie będzie rozwiązaniem probiznesowym. Warto zwrócić tu uwagę, że posiadanie certyfikatu nie będzie obowiązkowe.
Niniejszy artykuł porusza kolejną istotną kwestię, jaką jest certyfikacja podmiotów przetwarzających dane osobowe. Zgodnie z RODO w swym założeniu certyfikat ma być dokumentem poświadczającym przestrzeganie przez administratora dobrych praktyk przetwarzania danych osobowych.
Cel certyfikacji
Cel wprowadzenia certyfikacji oddaje bardzo dokładnie motyw 100 preambuły do RODO. Wskazuje on, iż „aby zwiększyć przejrzystość i poprawić przestrzeganie niniejszego rozporządzenia, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi”.
Fakultatywność certyfikacji
W środowisku prawniczym mówi się, że jednym z celów działań legislacyjnych implementujących RODO ma być właśnie certyfikacja, która niewątpliwie będzie rozwiązaniem probiznesowym. Warto zwrócić tu uwagę, że posiadanie certyfikatu nie będzie obowiązkowe - zgodnie z RODO: „certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty”. Zatem to od decyzji administratora danych czy podmiotu przetwarzającego będzie zależało czy wystąpi o certyfikat. Co ważne, certyfikat będzie udzielany na maksymalny okres 3 lat a jego przedłużenie będzie możliwe, o ile nadal spełnione będą stosowne wymogi (art. 42 ust. 7 RODO).
Jak będzie wyglądał proces certyfikacji w Polsce?
Na dzień dzisiejszy odpowiedź na powyższe pytanie może brzmieć jedynie „dokładnie nie wiadomo”. Możemy jednak przeanalizować dotychczasowy przebieg legislacyjny projektu ustawy o ochronie danych osobowych, który wraz z zakończeniem kolejnych jego etapów prowadzi do wypracowania zapisów, które będą najbardziej zbieżne z ostateczną wersją kluczowej przecież w tym temacie ustawy. Pamiętajmy, że wraz z chwilą wejścia w życie nowej ustawy o ochronie danych osobowych przestanie obowiązywać dotychczasowa z 29 sierpnia 1997 r.
Jak wskazuje Ministerstwo Cyfryzacji w uzasadnieniu do najnowszego – tj. z 16 marca 2018 r. – projektu ustawy o ochronie danych osobowych: „w związku z oceną podjętą w ramach przeprowadzonych konsultacji projektowych przepisów zdecydowało się zmodyfikować projektowane regulacje w zakresie mechanizmów certyfikacji”.
W początkowym założeniu, zgodnie z projektem z września 2017 r., wskazywano, że certyfikaty będą mogły być nadawane jedynie przez Prezesa Urzędu Ochrony Danych Osobowych, który będzie też odpowiedzialny za ustalenie kryteriów przyznania certyfikatu. Jednakże już w nowszym projekcie ustawy – z 8 lutego 2018 r. – rozszerzono zakres podmiotów mogących udzielać certyfikacji. Zgodnie z proponowanym brzmieniem art. 12: „Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu i podmioty akredytowane przez Polskie Centrum Akredytacji, zwane dalej „podmiotami certyfikującymi”. Brzmienie tego przepisu zostało już zmienione projektem z marca 2018 r., jednakże sama koncepcja została na szczęście przez ustawodawcę zachowana. Do wydawania certyfikatów będzie uprawniony zatem nie tylko Prezes Urzędu, ale dopuszczeni do tego zostaną także przedsiębiorcy (art. 16 ust. 1 projektu ustawy z marca 2018 r.). Z kolei mając na względzie odciążenie polskiego organu nadzoru od spoczywających na nim licznych obowiązków, zdecydowano, aby kompetencję do akredytacji podmiotów certyfikujących przyznać Polskiemu Centrum Akredytacji (art. 13 ust. 1 projektu ustawy z marca 2018 r.).
Ciekawym jest także rozszerzenie zakresu jednostek uprawnionych do wystąpienia o certyfikację. Pierwotnie, z takim wnioskiem mogli wystąpić jedynie administrator i podmiot przetwarzający. Obecnie przyjmuje się, że będzie mógł to zrobić również producent oraz podmiot wprowadzający usługę lub produkt na rynek.
Korzyści płynące z certyfikacji
Jak zostało wyżej wspomniane – przyznanie certyfikatu skutkować będzie uznaniem danego administratora danych osobowych lub procesora za podmiot, który prawidłowo realizuje wskazane w RODO obowiązki. Posiadanie certyfikatu z pewnością będzie zatem stanowić ważną cechę pozwalającą wskazać podmiot, który jest godny zaufania i rzetelnie dba o proces przetwarzania danych osobowych. Tym samym powinno to pozwolić na szybsze nawiązanie współpracy pomiędzy niezależnymi podmiotami przy jednoczesnej minimalizacji ryzyka. To dlatego mówi się o jego probiznesowym charakterze.
W tym miejscu warto także zasygnalizować, iż mechanizm certyfikacji odegra zapewne istotną rolę w zamówienia publicznych. Niewykluczone bowiem, iż zamawiający w Specyfikacji Istotnych Warunkach Zamówienia (SIWZ) będą wymagali od wykonawców posiadania certyfikatu poświadczającego zgodność przetwarzania danych osobowych zgodnie z wymogami RODO.
Ponadto, niewątpliwą korzyścią posiadania certyfikatu będzie jego wpływ na wysokość administracyjnej kary pieniężnej w sytuacji naruszenia przez administratora przepisów. Zgodnie bowiem z art. 83 ust. 2 lit. j) RODO - krajowy organ nadzorczy, decydując się na nałożenie kary pieniężnej, przy ustalaniu jej wysokości musi wziąć pod uwagę okoliczność, czy podmiot dopuszczający się naruszeń stosował zatwierdzone mechanizmy certyfikacji. Co za tym idzie, jednostka posiadająca certyfikat będzie mogła na przykład liczyć na ewentualny łagodniejszy wymiar kary.
Na koniec nie sposób nie poruszyć istotnej kwestii, którą jest odpłatność certyfikacji. Polski ustawodawca w art. 27 ust. 1 projektu (z 16 marca 2018 r.) ustawy o ochronie danych osobowych przewiduje, że za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobierać będzie opłatę w wysokości czterokrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa GUS. Biorąc pod uwagę, że przeciętne miesięczne wynagrodzenie za pracę w czwartym kwartale 2017 r. wynosiło 4739,51 zł to koszt certyfikacji wyniesie ok. 19.000 zł. Zdaniem biznesu oraz organizacji pozarządowych opłata ta jest zbyt wysoka. Ministerstwo Cyfryzacji jest oczywiście odmiennego zdania, uzasadniając swoje stanowisko profesjonalizmem podmiotów certyfikujących (cena za jakość usług) oraz okolicznością, że opłaty będą pobierane od samego wniosku a nie dopiero od wydanych certyfikatów. Jednak również i to stanowisko ulega już złagodzeniu. Do projektu ustawy zgłoszono w tym zakresie autopoprawkę do art. 27 – polegającą na zastąpieniu opłaty stałej, którą Prezes Urzędu będzie mógł pobierać za czynności związane przeprowadzeniem certyfikacji, na opłatę maksymalną. Rozwiązanie to z pewnością zasługuje na aprobatę, bowiem pozwoli ono zróżnicować wysokość należnej opłaty, tak by była ona akceptowalna również dla małych i mikroprzedsiębiorców.
Trzeba mieć jednak na uwadze, że powyższe informacje wynikają cały czas jedynie z projektu nowej ustawy o ochronie danych osobowych, która ma na celu dostosowanie krajowych przepisów do rozporządzenia unijnego. A zatem skoro ustawa ta jest jeszcze w fazie projektowej (27 marca 2018 r. przyjęta przez Radę Ministrów), jej treść często ulega zmianie i należy liczyć się z tym, że certyfikacja oraz procedura jej udzielania może ostatecznie odbiegać od jej obecnie proponowanych założeń. Niemniej, już teraz można przypuszczać, że instytucja ta wpłynie pozytywnie na gospodarkę i pobudzi konkurencyjność na rynku – z pewnością będzie cieszyć się zainteresowaniem dużych przedsiębiorców, chcących przetwarzać dane osobowe zgodnie z prawem i mających na to stosowny budżet. Obowiązki z RODO są jednakowe, bez względu na uzyskanie certyfikatu, a za ich nieprzestrzeganie grożą wysokie kary finansowe (nawet do 20 milionów euro), co jest chyba wystarczającą motywacją do przestrzegania nowego rozporządzenia.