RODO w firmie

Certyfikacja jest nową instytucją dotyczącą ochrony danych osobowych, nieznaną przed wejściem w życie RODO – dyrektywa 95/46/WE i polska ustawa o ochronie danych osobowych z 1997 r. nie przewidywały mechanizmów certyfikacji w zakresie ochrony danych osobowych.

W ramach certyfikacji oceniana jest zgodność operacji przetwarzania danach osobowych z kryteriami certyfikacji, zatwierdzonymi odpowiednio przez organ nadzorczy lub Europejską Radę Ochrony Danych (EROD).

W celu spójnego stosowania we wszystkich państwach Europejskiego Obszaru Gospodarczego (EOG) przepisów RODO w zakresie certyfikacji oraz akredytacji podmiotów certyfikujących Europejska Rada Ochrony Danych wydała:

• Wytyczne 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia,  
• Wytyczne 4/2018 w sprawie akredytacji podmiotów certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679), 
• Wytyczne 7/2022 w sprawie certyfikacji jako narzędzia do przekazywania danych,
• Poradnik dotyczący oceny kryteriów certyfikacji (Uzupełnienie do Wytycznych 1/2018 w sprawie certyfikacji i identyfikacji kryteriów certyfikacji zgodnie z art. 42 i 43 Rozporządzenia) – czyli Guidance – Addendum (Annex to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation),
• Procedurę przyjmowania opinii EROD w sprawie krajowych kryteriów certyfikacji i europejskiego znaku jakości ochrony danych.

Zgodnie z art. 42 ust. 5 RODO certyfikacji dokonuje akredytowany podmiot certyfikujący lub właściwy organ nadzorczy, natomiast akredytacji – właściwy organ nadzorczy lub krajowa jednostka akredytująca, co wynika z art. 43 ust. 1 RODO. Zatem możliwe są różne rozwiązania co do zaangażowanych w proces certyfikacji instytucji.