RODO dotyczy każdej firmy, która przetwarza dane osobowe. Znaczenia nie ma tutaj wielkość ani specyfika organizacji. Metody i sposoby zabezpieczania i przetwarzania danych osobowych należy dostosować do danego przedsiębiorstwa. Zmianą, jaką wprowadziło wejście w życie RODO są certyfikaty zgodności, które może nadać organ nadzorczy w danym kraju. Nadać je mogą też prywatne podmioty, które mają możliwość udzielania certyfikacji.
Certyfikat RODO
Certyfikat zgodności jest to dokument poświadczający, iż administrator danych osobowych przestrzega dobrych praktyk przetwarzając dane osobowe. Posiadanie takiego certyfikatu jest całkowicie dobrowolne, to do organizacji należy decyzja, czy chce się o taki certyfikat ubiegać. Podmiot, który otrzymał certyfikat ma możliwość wykazania przed kontrahentami, iż ich dane osobowe są chronione w sposób bezpieczny i rzetelny. Dokument ten może stanowić przewagę nad konkurencją. Dodatkowo certyfikat może pomóc w uniknięciu kar nakładanych za naruszenie RODO. Kary nakładane przez UODO za naruszenie przepisów mogą sięgnąć choćby 20 mln euro lub cztery procent całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie.
Kto może ubiegać się o certyfikację RODO?
Certyfikat mogą uzyskać wszyscy administratorzy, którzy odpowiedzialni są za przetwarzanie danych osobowych. Prawo do ubiegania się o certyfikat RODO mają także tak zwani procesorzy. Procesorzy, czyli zewnętrzne podmioty, którym firma może powierzyć dane osobowe do dalszego ich przetwarzania. Certyfikacja RODO nie jest obowiązkowa dla firm, które przetwarzają dane osobowe.
W jaki sposób przebiega certyfikacja RODO?
Administratorzy danych, którzy zamierzą wystąpić do danego Organu Nadzorczego o przyznanie certyfikatu muszą udowodnić, iż spełnią wszelkie kryteria, aby taki certyfikat otrzymać. Należy więc wcześniej dostosować wszelkie procesy związane z zabezpieczaniem i przetwarzaniem danych osobowych do wymagań, które nakłada RODO. Certyfikacja nie jest dożywotnia. Okres, na który może zostać udzielona certyfikacja RODO wynosi maksymalnie 3 lata. Po trzyletnim okresie certyfikacja może zostać przedłużona na kolejny okres. Warunkiem przedłużenia jest udowodnienie, iż administrator bądź podmiot zewnętrzny przez cały czas spełniają kryteria niezbędne do jej otrzymania. Certyfikat w każdej chwili może także zostać cofnięty, gdy okaże się, iż administrator bądź procesor przestał wypełniać obowiązki, które nakłada na niego RODO.
Uzyskanie certyfikacji przebiega w trzech etapach:
Ocena zgodności – Audyt RODO przewiduje zebranie wszystkich zasobów, ocenę ich znaczenia i poziomu poufności, a następnie ustalenie sposobu przechowywania i przetwarzania danych, nadanych uprawnień i dostępów względem tożsamości. Przegląd stosowanych systemów zarządzania zasobami i mechanizmów zabezpieczeń danych oraz analiza ryzyka pod kątem zgodności z obowiązującym prawem. Efektem przeprowadzenia audytu jest otrzymanie informacji dotyczącej poziomu zgodności z normami prawnymi i zawierającej konkretne zalecenia, dotyczące wprowadzenia odpowiednich usprawnień.
Wdrożenie zaleceń – Do uzyskania certyfikacji zgodności niezbędne jest przygotowanie odpowiedniej strategii zwiększenia bezpieczeństwa danych, adekwatnie do norm prawnych i zaplanowanie zmian w obszarze procesów zarządzania danymi oraz implementacji odpowiednich technologii. Koniecznym etapem jest wdrożenie zmian oraz implementacja adekwatnych systemów w obszarze IT, które podnoszą poziom ochrony poufnych danych, a następnie monitorowanie ewentualnych incydentów bezpieczeństwa.
Zarządzanie operacyjne – Należy zaplanować mechanizmy ograniczenia incydentów bezpieczeństwa wraz z wdrożeniem niezbędnych usprawnień w środowiskach IT. Należy także utrzymać wysoki poziom bezpieczeństwa danych w zgodzie z RODO. Certyfikacja przewiduje także konieczność szkolenia pracowników i podnoszenia świadomości w zakresie ochrony danych.
Certyfikacja RODO w Polsce
Zgodnie z rozdziałem 3 ustawy o ochronie danych osobowych, certyfikacji, o której mowa w art. 42 rozporządzenia dokonuje Prezes Urzędu lub podmiot certyfikujący, na wniosek administratora lub podmiotu przetwarzającego. Mimo, iż wytyczne dotyczące akredytacji i certyfikacji wydano w połowie 2019 r., to w Polsce, wciąż nie ustalono precyzyjnych wymagań wobec podmiotów chcących zdobyć/wydawać certyfikacje.
Obecnie Prezes UODO nie prowadzi prac nad mechanizmem certyfikacji. W związku z powyższym nie pozostało możliwe uzyskanie w Polsce od PUODO czy innego podmiotu certyfikatu zgodności działania z RODO.
Nikt nie straci na certyfikacji RODO
Sébastien Ziegler, przewodniczący Europrivacy stwierdził, że: „możliwość certyfikacji ma zachęcić podmioty do aktywności w zakresie zwiększania bezpieczeństwa danych osobowych, a korzystających z ich usług do zwiększenia zaufania do działań podmiotów posiadających taki certyfikat. Niesie to zatem korzyści dla obu stron. Z których jedna będzie się czuć bezpiecznie korzystając z usług danego podmiotu. Druga zaś może liczyć na zwiększenie liczby klientów ufających jej działaniom. Ma to szczególne znaczenie w przypadku małych i średnich przedsiębiorstw i jest szansą na ogólne zwiększenie bezpieczeństwa danych w społeczeństwie”.