Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Akredytacja dla podmiotów certyfikujących oraz przebieg procesu certyfikacji

05-12-2017 Autor: Jan Anisimowicz
Diagram. Zależności...

Niniejszy artykuł porusza istotną kwestię certyfikacji i akredytacji podmiotów dokonujących przetwarzania danych osobowych. Proces certyfikacji powinien rozpocząć się w drugiej połowie 2018 r.

 

Z uwagi na opisaną w dalszej części organizację procesu certyfikacji można z dużym prawdopodobieństwem założyć, że powinien zostać on efektywnie uruchomiony dopiero od początku 2019 r. Obecnie można znaleźć na ten temat jedynie pewne kierunkowe postanowienia w rodo, wzmianki w projekcie nowej ustawy o ochronie danych osobowych oraz krótkie zapisy w publikacjach eksperckich. Ostateczna wersja dotycząca należytego przygotowania procesu certyfikacji podmiotów będzie leżała w gestii organu nadzorczego – być może nowego Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes Urzędu) albo dotychczasowego organu – Generalnego Inspektora Ochrony Danych Osobowych.

Na podstawie dostępnych informacji i ich analizy przedstawimy możliwy scenariusz działań w tym obszarze, który może mieć miejsce w niedalekiej przyszłości, kiedy już podstawowe dostosowanie do rodo będzie za nami.

Proces certyfikacji – po co?

Cel wprowadzenia certyfikacji oddaje bardzo dokładnie motyw 100 preambuły do rodo: „Aby zwiększyć przejrzystość i poprawić przestrzeganie niniejszego rozporządzenia, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi”.

Certyfikacja ma być dobrowolnym procesem, któremu może się poddać dowolny podmiot przetwarzający dane osobowe. W swoim założeniu takie podejście certyfikacyjne ma zapewnić obiektywne spojrzenie na przetwarzającego dane osobowe.

Certyfikacja ma zapewnić, że dane osobowe w organizacji posiadającej certyfikat są przetwarzane zgodnie z zasadami opisanymi w rodo, uwzględniając cele przetwarzania oraz respektując prawa podmiotów danych.
W tym miejscu należy zaznaczyć, że posiadanie formalnej certyfikacji stanowi także potwierdzenie dołożenia należytych starań przez organizację w aspekcie ochrony danych osobowych. Unijny prawodawca w przepisach rodo zaleca współpracę z podmiotami przetwarzającymi dane (procesor danych), które zostały należycie zweryfikowane przez administratora danych. Powyższa weryfikacja ogranicza ryzyko nałożenia kar lub wycieku poufnych informacji, na jakie może zostać narażony administrator danych w przypadku przetwarzania danych przez zewnętrzną organizację. W tym kontekście posiadanie przez organizację certyfikatu może stanowić obiektywny dowód właściwego podejścia do zapewnienia bezpieczeństwa przetwarzanych danych. Tym samym powinno pozwolić szybciej i efektywniej nawiązać współpracę przy jednoczesnej minimalizacji ryzyka dla obu stron.

W dłuższej perspektywie mechanizm certyfikacji podmiotów na pewno podniesie poziom bezpieczeństwa ochrony danych osobowych, zwiększając jednocześ­nie poziom dojrzałości organizacji.

Proces udzielania certyfikacji

Kryteria związane z certyfikacją będą przygotowywane i zatwierdzane przez organ nadzorczy (Prezesa Urzędu). Po przygotowaniu kryteria będą udostępniane w Biuletynie Informacji Publicznej oraz na stronie internetowej Urzędu Ochrony Danych Osobowych (dalej: UODO). Przeprowadzenie procesu certyfikacji nie będzie realizowane bezpośrednio przez organ państwowy, ale przez prywatne podmioty, które na podstawie udzielonej akredytacji uzyskanej od UODO będą dokonywać certyfikacji podmiotów zewnętrznych. Sposób procesu certyfikacji przedstawiony jest na diagramie.

Każdy podmiot certyfikujący przed rozpoczęciem świadczenia usług certyfikacji powinien uzyskać od organu państwowego akredytację, która ukonstytuuje zakres jego odpowiedzialności i nada odpowiednie prawa w przedmiocie certyfikacji.

Po uzyskaniu akredytacji podmiot certyfikujący może świadczyć usługę certyfikującą dla podmiotów zewnętrznych. Aktualnie nie ma jeszcze zamkniętych ustaleń związanych z tym, co będzie podlegało procesowi certyfikacji. Można jednak z dużym prawdopodobieństwem założyć, że w ramach takiego procesu powinny być weryfikowane m.in. następujące obszary:

  • proces zbierania i zarządzania zgodami podmiotów, których dane są przetwarzane;
  • mechanizmy zabezpieczeń dla systemów IT w odniesieniu do przeprowadzonej analizy ryzyka;
  • proces zapewnienia Privacy By Design oraz Privacy By Default;
  • zastosowanie i wprowadzenie w życie ustaw sektorowych oraz dobrych praktyk (jeżeli powstaną);
  • proces realizacji spełnienia praw podmiotów, których dane przetwarzamy (m.in. prawo do bycia zapomnianym, prawo do sprzeciwu co do przetwarzania danych, prawo do przenoszenia danych, prawo do uzyskania wyjaśnienia co do decyzji zautomatyzowanej);
  • proces implementacji reakcji na incydent związany z ochroną danych osobowych w danej organizacji.

[...]

Autor jest ekspertem GRC w C&F Sp. z o.o. prelegentem na polskich i zagranicznych konferencjach z obszaru GRC, BI, big data, rodo. Propagatorem podejścia RegTech i FinTech.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

 

 

 

 

 

 

« Powrót

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.