Przepisy RODO przewidują możliwość uzyskania certyfikatu poświadczającego przestrzeganie przez przedsiębiorcę dobrych praktyk przetwarzania danych osobowych. Posiadanie certyfikatu jest całkowicie dobrowolne, to do przedsiębiorcy należy zatem decyzja, czy się o niego starać. Przedstawiamy, kiedy warto ubiegać się o certyfikaty i jak ma wyglądać procedura ich uzyskiwania.

 

Czy warto ubiegać się o certyfikat RODO

Po co przedsiębiorcy certyfikaty

W preambule do RODO (motyw 100) stwierdzono, iż: „należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi”.

Z zapisu tego wynika, że posiadanie certyfikatu oznacza dla przedsiębiorcy możliwość wykazania przed klientami, że ich dane osobowe są chronione w sposób rzetelny. Certyfikat może stanowić przewagę nad konkurencją, która certyfikatu nie posiada. Przykładowo, jeżeli przedsiębiorca zajmuje się przetwarzaniem danych (np. telemarketingiem, obsługą kadrową), łatwiej uzyska zamówienie od dużego podmiotu, który ma ścisłe wymogi dotyczące ochrony danych osobowych. Przy tym posiadanie certyfikatu może pomóc w pozyskiwaniu klientów nie tylko w Polsce, lecz także w innych krajach.

Co ważne, posiadanie certyfikatu będzie łatwo weryfikowalne. Lista podmiotów, które uzyskały certyfikat, ma być publikowana przez Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO) na jego stronie internetowej (art. 23 ust. 2 ustawy o ochronie danych osobowych – dalej „u.o.d.o.”). Dodatkowo posiadanie certyfikatu może pomóc w uniknięciu kar nakładanych na podstawie RODO. Przypominamy, że kary za naruszenie przepisów o RODO mogą sięgnąć nawet 20 mln euro lub czterokrotność całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie, w zależności od tego, która z tych kwot będzie wyższa.

Należy tu jednak zauważyć, że uzyskanie certyfikatu nie wpływa w żadnym stopniu na możliwość kontrolowania danego podmiotu przez Prezesa UODO. Także obowiązki wynikające z RODO w odniesieniu do podmiotu, który uzyskał certyfikat, są analogiczne do tych, które obciążają innych administratorów i podmioty przetwarzające.

Czym są kryteria certyfikacji i co zawierają certyfikaty

Prezes UODO zobowiązany jest do opublikowania na swojej stronie internetowej kryteriów certyfikacji dotyczących ochrony danych osobowych (art. 16 u.o.d.o.). Kryteria certyfikacji to szczególne wymogi, które musi spełnić administrator danych osobowych lub podmiot przetwarzający dane w celu uzyskania certyfikatu. Niestety dotychczas kryteria te nie zostały jeszcze opublikowane.

Certyfikaty mają zawierać co najmniej:

  • oznaczenie podmiotu, który otrzymał certyfikat,
  • nazwę podmiotu dokonującego certyfikacji oraz wskazanie adresu jego siedziby (czyli Prezes UODO lub prywatny podmiot akredytowany do wydawania certyfikatów przez Prezesa UODO),
  • numer lub oznaczenie certyfikatu,
  • zakres, w tym okres, na jaki została dokonana certyfikacja (RODO wskazuje, że jest to okres do 3 lat, po upływie tego okresu konieczne będzie wystąpienie o odnowienie certyfikatu),
  • datę wydania i podpis podmiotu dokonującego certyfikacji lub osoby przez niego upoważnionej.

Warto dodać, że podmiot certyfikujący może cofnąć przedsiębiorcy certyfikat przed upływem okresu, na który został on wydany, gdy stwierdzi, że przepisy dotyczące ochrony danych nie są przestrzegane.

Jak uzyskać certyfikat

Zasady certyfikacji polskich przedsiębiorców na potrzeby RODO określa ustawa o ochronie danych osobowych (u.o.d.o.). Certyfikacji będzie dokonywał Prezes UODO lub podmiot certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek (art. 15 u.o.d.o.). Należy jednak zauważyć, że obecnie na stronie internetowej Prezesa UODO (https://uodo.gov.pl/) brakuje jakichkolwiek informacji na temat certyfikatów. Z informacji prasowych wynika, że certyfikaty będą wydawane dopiero po zakończeniu prac nad procesem oceny certyfikatów prowadzonych przez Europejską Radę Ochrony Danych.

Sam proces certyfikacji polega na:

  1. złożeniu pisemnie lub elektronicznie przez przedsiębiorcę wniosku o certyfikację zawierającego co najmniej:
    • nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania,
    • informacje potwierdzające spełnianie kryteriów certyfikacji,
    • wskazanie zakresu wnioskowanej certyfikacji (art. 17 ust. 1 u.o.d.o);
  2. zbadaniu spełniania kryteriów certyfikacji przez Prezesa UODO albo podmiot certyfikujący;
  3. zawiadomieniu przedsiębiorcy w terminie nie dłuższym niż trzy miesiące od dnia złożenia wniosku o dokonaniu albo odmowie dokonania certyfikacji (art. 18 u.o.d.o).

Ile kosztuje certyfikacja

Maksymalna wysokość opłaty za certyfikację nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację, ogłaszanego przez Prezesa GUS (art. 26 u.o.d.o.). Przeciętne wynagrodzenie w gospodarce narodowej w 2017 r. wyniosło 4271,51 zł. Tym samym opłaty za pierwsze wystawiane certyfikaty mają nie przekraczać 17 086,04 zł (przy założeniu, że pierwsze certyfikaty zostaną wystawione w 2018 r.).

Podsumowując, można założyć, że uzyskaniem certyfikatu będą zainteresowani jedynie przedsiębiorcy, którzy są w stanie wdrożyć wiele zabezpieczeń i procedur i jednocześnie ponieść wysoką opłatę za wydany certyfikat.

Przypisy / Źródła / Podstawa prawna
  • preambuła do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – Dz.Urz. UE L 119, s. 1,
  • art. 15–18, 23 i 26 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – Dz. U. z 2018 r., poz. 1000. |

Możesz zobaczyć ten artykuł, jak i wiele innych w naszym portalu Controlling 24. Wystarczy, że klikniesz tutaj.

Zobacz również

Ministerstwo Finansów pracuje nad zmianami w pkpir od 1 stycznia 2025 r.

Minister Finansów przygotował projekt rozporządzenia w sprawie zmian w pkpir. Proponowane zmiany są związane z koniecznością dostosowania pkpir do wprowadzanego od 1 stycznia 2025 r. kasowego PIT.

Czytaj więcej

Kiedy pracodawca odpowiada za faktury sfałszowane przez pracownika?

Kiedy pracodawca odpowiada za faktury sfałszowane przez pracownika?

Odpowiedzialność podatników VAT za „puste” lub fałszywe faktury to wciąż gorący temat. W praktyce zdarzają się sytuacje, gdy takie faktury wystawi pracownik, bez wiedzy i zgody pracodawcy. Pojawia się wówczas pytanie, kto w takich przypadkach obowiązany jest do zapłaty kwoty podatku wskazanej na fakturze – pracodawca czy pracownik?

Czytaj więcej

Polecamy

Przejdź do

Partnerzy

Reklama

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.