Certyfikat dla rzetelnych, ale nie na zawsze

opublikowano: 19-10-2017, 22:00

Na tworzenie kodeksów przetwarzania danych osobowych będą miały wpływ organizacje branżowe. Ale społeczne też chcą mieć w tym udział

Konsultacje zostały zakończone, teraz resort cyfryzacji zabierze się do analizy opinii innych organów i wielu środowisk o projektach dwóch ustaw — nowej o ochronie danych osobowych oraz z przepisami sektorowymi wprowadzającymi zasady tej ochrony w różnych branżach.

NA WYSOKIM POZIOMIE:  — Certyfikat zgodności przetwarzania danych osobowych z prawem będzie świadectwem, że firma spełnia wszelkie niezbędne wymagania. To jak znak jakości. Kryteria przyznawania tego dokumentu zostaną opracowane w jednostce prowadzącej postępowanie certyfikacyjne — zapowiada Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji.
Zobacz więcej

NA WYSOKIM POZIOMIE: — Certyfikat zgodności przetwarzania danych osobowych z prawem będzie świadectwem, że firma spełnia wszelkie niezbędne wymagania. To jak znak jakości. Kryteria przyznawania tego dokumentu zostaną opracowane w jednostce prowadzącej postępowanie certyfikacyjne — zapowiada Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji. Fot. Marek Wiśniewski

— Zakładamy, że ta analiza zajmie co najmniej miesiąc. Po zakończeniu prac planujemy zorganizowanie konferencji, w trakcie której przedstawimy nasze stanowisko, odpowiemy na pytania autorom opinii, którzy będą mogli bezpośrednio wyjaśnić z nami swoje wątpliwości. Tę dyskuję będą mogli obserwować także inni zainteresowani zmianami — zapowiada dr Maciej Kawecki kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji (MC). Ze wstępnego przeglądu nadesłanych opinii wynika m.in., że w wielu z nich poruszono kwestię procedur uzyskiwania certyfikatów potwierdzających zgodność przetwarzania danych osobowych z wymaganiami unijnej reformy, która ma być stosowana w praktyce od 25 maja 2018 r.

— O taki dokument, nieobowiązkowy, będzie mógł starać się każdy, kto chce pokazać klientom, że należycie dba o ich dane, np. przedsiębiorca, który pośredniczy w sprzedaży biletów lotniczych. Wystarczy tylko, podobnie jak przy potwierdzaniu zgodności z normą ISO, wystąpić z wnioskiem o podjęcie czynności certyfikacyjnych do właściwego organu — podaje przykład dr Maciej Kawecki.

Na razie nie jest ostatecznie przesądzone, jaka instytucja będzie przeprowadzała ten proces. Projekt ustawy wskazuje na prezesa Urzędu Ochrony Danych Osobowych (UODO), następcę prawnego obecnego organu nadzoru, czyli Generalnego Inspektora Ochrony Danych Osobowych. Uczestniczące w konsultacjach Polskie Centrum Akredytacji (PCA) zadeklarowało natomiast przykładowo w swojej opinii wolę przejęcia funkcji akredytującej jednostki certyfikujące — żeby odciążyć prezesa urzędu.

Standardy do zbadania

— Przygotowując projekt, zależało nam, aby do certyfikacji była uprawniona administracja publiczna, jednak na pewno warto rozważyć inny model działania w tym zakresie — zapowiada przedstawiciel ministerstwa. Jego zdaniem, certyfikat przyniesie sporo korzyści dla firm. Przede wszystkim będą one postrzegane na rynku jako podmioty przykładające większą staranność do ochrony danych osobowych. Ponadto w razie jakiegoś nieprzewidzianego incydentu mają szanse na niższy wymiar ewentualnej kary. Maciej Kawecki zastrzega jednak, że organ certyfikujący będzie mógł cofnąć swoją pierwotną pozytywną decyzję, gdy w wyniku kontroli stwierdzi, że przedsiębiorca nie zachowuje wymaganych standardów. Poza tym certyfikat ma być wydawany na określony czas.

Kryteria jego przyznawania zostaną opracowane przez podmiot certyfikujący. Ani projekt polskiej ustawy, ani unijne rozporządzenie reformujące ochronę danych osobowych ich nie regulują. Ustawodawca określił natomiast wysokość opłaty za czynności związane z postępowaniem z udzieleniem certyfikacji. Ma ona stanowić trzykrotność średniego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w danym roku. Obecnie to ok. 12 tys. zł. Jednocześnie, zgodnie z projektowaną ustawą, prezes UODO będzie publikował dobre praktyki zapewnienia bezpieczeństwa przetwarzania danych osobowych, tzw. kodeksy postępowania. Mają one dotyczyć aspektów technicznych i organizacyjnych koniecznych przy przestrzeganiu zasad tej ochrony.

— Te kodeksy mają być tworzone przy współpracy z zainteresowanymi podmiotami, w tym izbami gospodarczymi i zrzeszeniami przedsiębiorców. To będą zalecenia przede wszystkim branżowe, uwzględniające specyfikę danego sektora. Na przykład w medycznym mogą dotyczyć zachowania poufności informacji, a w pożyczkowym — zasad powielania danych z dowodów osobistych — mówi dr Maciej Kawecki.

Jego zdaniem, te rekomendacje nie będą miały mocy wiążącej. Istotą reformy jest podejście do ochrony danych osobowych na zasadzie ryzyka. Każdy podmiot musi sam je ocenić i dostosować do niego procedury bezpieczeństwa. Rekomendacje publikowane przez prezesa UODO mają podpowiedzieć kierunek działań, ale będą aktualizowane.

Postulat fundacji

Do trybu przygotowywania branżowych reguł przetwarzania danych osobowych z obawą podchodzi Fundacja Panoptykon. Jej przedstawiciele podkreślają,że w przewidywanych procedurach tworzenia takich kodeksów zabrakło miejsca dla organizacji społecznych. Może je proponować reprezentacja każdego sektora gospodarki, ale przedstawicielom osób, od których pozyskiwane są określone informacje, projekt przyszłej ustawy takiego uprawnienia nie przyznaje. Katarzyna Szymielewicz, współzałożycielka i prezeska fundacji, zwraca uwagę, że głos organizacji społecznych jest istotny z uwagi na materię, którą mają regulować zapowiadane dobre praktyki.

— Będą one dotyczyć kwestii bardzo ważnych dla ludzi i ochrony wymaganej ustawą. To np. sposób wyrażenia zgody na przetwarzanie danych, zakres informacji przekazywanych konsumentom, np. o ich prawach, czy wykładnie pojmowania uzasadnionego interesu administratora zbioru w pozyskiwaniu danych osobowych, co zawsze budzi kontrowersje — wylicza Katarzyna Szymielewicz.

W jej ocenie specyfika danego sektora może być wykorzystywana jako argument za stworzeniem rozwiązań wygodnych dla branży jako niezbędnych do świadczenia jej usług, a gdy uzyskają one akceptację prezesa UODO, staną się wręcz obowiązującym prawem.

— Obawiamy się, że pojawią się tam różne kruczki, dotyczące nie tylko pozyskiwania zgody na przetwarzanie danych czy np. profilowania, i o tych zasadach konsumenci dowiedzą się po ich zatwierdzeniu przez organ. Dlatego uważamy, że udział organizacji społecznych w ich ustalaniu jest konieczny. Analizując przyszłą ustawę oraz inne przepisy, w tym Kodeksu postępowania administracyjnego, nie widzimy możliwości włączenia się w ten proces. Co istotne, projektów dobrych praktyk nikt nie zobaczy, bo nie przewidziano ich prezentowania publicznie, czyli na etapie, w którym można byłoby na nie wpłynąć — podkreśla prezeska Fundacji Panoptykon.

Fundacja postuluje wprowadzenie możliwości udziału organizacji społecznych w tych pracach, a przynajmniej obowiązku publikowania projektów kodeksów dobrych praktyk, dając 30 dni różnym izbom i stowarzyszeniom na zgłoszenie uwag.

WAŻNA DATA: 25.05.18

Od tego dnia przedsiębiorcy będą musieli stosować się do nowych wymagań ochrony danych osobowych.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Certyfikat dla rzetelnych, ale nie na zawsze