Raport specjalny Horyzonty Bankowości 2018: Świadectwo dojrzałości ochrony danych osobowych

BANK 2018/03

Stworzenie aktu prawnego, który w dobie dynamicznych zmian technologii informatycznych zbyt szybko się nie zdezaktualizuje stanowiło priorytet dla twórców ogólnego rozporządzenia o ochronie danych. Konsekwencją neutralności technologicznej RODO jest niski poziom konkretyzacji norm prawnych, zwiększający ryzyko zakwestionowania przez organ nadzoru wdrożonych procedur. Unijny ustawodawca przewidział jednakże instrumenty istotnie zwiększające bezpieczeństwo prawne administratorów danych.

Stworzenie aktu prawnego, który w dobie dynamicznych zmian technologii informatycznych zbyt szybko się nie zdezaktualizuje stanowiło priorytet dla twórców ogólnego rozporządzenia o ochronie danych. Konsekwencją neutralności technologicznej RODO jest niski poziom konkretyzacji norm prawnych, zwiększający ryzyko zakwestionowania przez organ nadzoru wdrożonych procedur. Unijny ustawodawca przewidział jednakże instrumenty istotnie zwiększające bezpieczeństwo prawne administratorów danych.

Karol Materna

Istotnym wsparciem dla organizacji wdrażających aktualne wymogi w zakresie danych osobowych będzie możliwość przeprowadzenia procesu certyfikacji wdrażanych procedur odnośnie zgodności z postanowieniami RODO. Rozwiązanie takie przewiduje art. 42 tego rozporządzenia. „Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające” – zaznaczono w ust. 1 wspomnianego przepisu. Twórcy rozporządzenia podkreślili równocześnie, iż proces certyfikacji dedykowany jest w szczególnym stopniu podmiotom z sektora mikro i MŚP, które z uwagi na brak wyspecjalizowanego zaplecza prawnego mogą mieć poważne trudności z samodzielnym wypracowaniem i wdrożeniem odpowiednich mechanizmów.

Egzamin co trzy lata

Przeprowadzenie certyfikacji będzie dokonywane wyłącznie na wniosek administratora lub procesora danych, a uzyskane certyfikaty i oznaczenia obowiązywać mają nie dłużej niż trzy lata, z możliwością wcześniejszego cofnięcia w przypadku, kiedy dany podmiot przestałby spełniać ustalone wymogi. Zgodnie z art. 43 RODO, proces certyfikacji powinien być dokonywany przez podmioty „dysponujące odpowiednim poziomem wiedzy fachowej w dziedzinie ochrony danych”. Potwierdzenia kompetencji poszczególnych placówek certyfikujących powinno dokonywać organy ochrony danych osobowych poszczególnych państw lub krajowe jednostki akredytujące, wyodrębnione zgodnie z postanowieniami unijnego rozporządzenia nr 765/2008 w sprawie wymagań w zakresie akredytacji i nadzoru rynku, przy jednoczesnym uwzględnieniu postanowień RODO.

Szczegółowe zasady certyfikacji podmiotów działających na rynku polskim określić ma nowa ustawa o ochronie danych osobowych, której projekt opublikowany został we wrześniu ub.r. W myśl pierwotnej wersji dokumentu prawo dokonywania certyfikacji przysługiwałoby wyłącznie Prezesowi Urzędu Ochrony Danych Osobowych. Z uwagi na liczne obawy odnośnie możliwego konfliktu interesów (urząd mógłby nakładać kary za ewentualne uchybienia ujawnione w toku certyfikacji) zapis ten najprawdopodobniej ulegnie zmianie, zaś lista podmiotów upoważnionych do oceny zgodności z RODO poszerzona zostanie o pozostałe instytucje wskazane w art. 43 ust. 1 rozporządzenia.

<...>

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: