Już od kilku lat obowiązuje w Polsce ustawa o ochronie danych osobowych. 25 maja 2018 roku wchodzi jednak w życie nowe, unijne rozporządzenie o ochronie danych osobowych. Wszystkie firmy, które muszą stosować się do RODO czekają bardzo duże zmiany. Firmy, które nie będą stosować RODO muszą liczyć się z tym, że zostaną na nie nałożone wysokie kary.
Jakie zmiany muszą zostać wprowadzone?
Unijne rozporządzenie o ochronie danych osobowych dotyczy każdej firmy niezależnie od jej wielkości. Muszą się do nich stosować bardzo małe, rodzinne firmy, przedsiębiorstwa średniej wielkości oraz te największe. Sposoby i metody zabezpieczania i przetwarzania danych osobowych muszą zostać dostosowane do specyfiki danego przedsiębiorstwa. Zmianą, którą między innymi wprowadza RODO są certyfikaty. Uzyskanie certyfikatu ma być świadectwem tego, że firma zarządza danymi osobowymi zgodnie z przepisami prawa.
Kto może ubiegać się o certyfikat RODO?
Artykuł 42 rozporządzenia RODO przewiduje, że certyfikat mogą uzyskać wszyscy administratorzy, którzy w danym przedsiębiorstwie odpowiedzialni są za pozyskiwanie, zabezpieczanie i przetwarzanie danych osobowych. Dodatkowo prawo do ubiegania się o certyfikat RODO mają tak zwani procesorzy. Pod tym pojęciem kryją się zewnętrzne podmioty, którym firma może powierzyć dane osobowe do dalszego ich przetwarzania. Posiadanie certyfikatu nie jest dla administratorów i procesorów obowiązkowe. Brak certyfikacji nie oznacza jednak, że nie są oni zobowiązani do przestrzegania RODO.
Kto będzie przyznawał certyfikat?
Zmiany w przepisach o ochronie danych osobowych, które wprowadza RODO skutkują powołaniem do życia nowej instytucji: Urzędu Ochrony Danych Osobowych. Urząd ten zostanie utworzony już po wejściu w życie RODO czyli najpóźniej w maju 2018 roku. Certyfikaty ma wydawać Prezes Urzędu Ochrony Danych Osobowych.
Jak uzyskać certyfikat?
Administratorzy danych oraz podmioty zewnętrzne, które zamierzą wystąpić do Prezesa Urzędu Ochrony Danych Osobowych o przyznanie certyfikatu muszą udowodnić, że spełnia wszelkie kryteria do jego przyznania. Konieczne jest więc wcześniejsze dostosowanie wszelkich procesów związanych z zabezpieczaniem i przetwarzaniem danych osobowych do wymagań, które nakłada RODO. Certyfikacja nie będzie dożywotnia. Maksymalny okres, na który może zostać udzielona wynosi 3 lata. Po jej wygaśnięciu, może zostać przedłużona na kolejny okres. Oczywiście pod warunkiem, że administrator bądź podmiot zewnętrzny nadal spełnia kryteria niezbędne do jej otrzymania. Przyznany certyfikat może też zostać w każdej chwili cofnięty, gdy okaże się, że administrator bądź procesor przestał wypełniać obowiązki, które nakłada na niego RODO.
Czy warto ubiegać się o certyfikację RODO?
Do wejścia w życie unijnego Rozporządzenia o Ochronie Danych Osobowych zostało jeszcze trochę czasu. Na chwilę obecną trudno jest wie na to pytanie udzielić jednoznacznej odpowiedzi. Biorąc jednak pod uwagę fakt, iż podmioty, które nie będą stosowały się do zapisów RODO mogą zostać ukarane bardzo wysokimi karami finansowymi (mogą one wynieść nawet 20 milionów euro!), z pewnością uzyskanie certyfikacji może być dla nich korzystne. Uzyskanie certyfikacji będzie procesem dobrowolnym, na pewno też pociągnie za sobą pewne wydatki, stąd też nie wszyscy administratorzy zdecydują się, aby się o niego ubiegać. Można przypuszczać, że o certyfikację będą się głównie ubiegać najwięksi administratorzy i proceserzy, którzy działają nie tylko na terenie Polski. Zachętą dla firm, które w przyszłości będą zastanawiać się czy warto ubiegać się o certyfikację RODO może być fakt, iż w przypadku nakładania kary finansowej przez organ nadzorujący, posiadanie certyfikatu może zostać przez niego uznane za podstawę do jej złagodzenia.
25 maja 2018 roku wchodzą w życie nowe przepisy o ochronie danych osobowych. RODO wprowadza bardzo duże zmiany. Jedną z nich jest możliwość uzyskania przez administratorów danych osobowych certyfikatu RODO. Certyfikację mogą uzyskać także procesorzy.
Monika Zygmunt - Jakuć (Durektor Zarządzający "bez owijania")