Od kogo certyfikat dla administracji - od UODO czy od akredytowanej firmy

Zdobycie certyfikatu zgodności systemów przetwarzania danych osobowych z RODO, choć nie jest obowiązkowe, może być przydatne nie tylko dla samorządów, ale i szeroko pojętej administracji. Przy kontroli ochrony danych i stwierdzeniu pomniejszych naruszeń organ nadzorczy może bowiem wziąć pod uwagę, że systemy działające w danej jednostce były przygotowane zgodnie z wytycznymi unijnego rozporządzenia. Naruszenie zaś było jedynie "wypadkiem przy pracy". Dzięki temu może np. nałożyć niższą karę - tak wskazywał na naszych łamach dr Maciej Kawecki, dyrektor departamentu zarządzania danymi oraz koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji (MC). Warto się jednak zastanowić, do kogo administracja po taki certyfikat powinna się zgłosić - do Urzędu Ochrony Danych Osobowych czy do prywatnych firm akredytowanych przez Polskie Centrum Akredytacji. Doktor Kawecki rekomenduje UODO - niekoniecznie zaś prywatne podmioty. Podkreśla, że choć projektowana ustawa dopuszcza oba rozwiązania, to czynności sprawdzające, podejmowane wobec instytucji przez prezesa urzędu, wydają się być czymś bardziej naturalnym.

Nieco inaczej widzi to GIODO (wkrótce mające przekształcić się w Urząd Ochrony Danych Osobowych). Agnieszka Świątek-Druś, rzecznik prasowy urzędu, uważa, że przy obecnych propozycjach regulacji nie ma podstaw do tego, aby sądzić, iż certyfikaty zgodności z RODO będą np. dla samorządów mniej wartościowe tylko ze względu na to, że wydał je podmiot prywatny. Zwraca też uwagę, że jeżeli MC dostrzega niebezpieczeństwo bądź konflikt interesów przy certyfikacji przez podmioty prywatne, to wątpliwości powinny znaleźć odbicie w odpowiednio zaprojektowanych przepisach, np. nakazujących samorządom przeprowadzanie certyfikacji wyłącznie przez UODO (gdy zamykaliśmy numer, trwała w Sejmie debata nad nimi). W obecnej wersji projektu takich przepisów jednak nie ma. Czyli przynajmniej na razie wybór będzie należał do administratora. A ten musi wiedzieć, że skorzystanie z certyfikacji UODO ma istotne wady. Zdaniem ekspertów - urząd może być zarzucony wnioskami już od 25 maja br., a przy niewielkim budżecie i wciąż małej liczbie urzędników proces certyfikacji może potrwać długo. Ponadto, jeżeli UODO podczas certyfikacji stwierdzi, że jakaś instytucja narusza przepisy RODO, to będzie miał obowiązek wszcząć postępowanie w tej sprawie, a podmiot komercyjny - nie.

Za certyfikatem od UODO przemawia jednak to, że znana jest już jego maksymalna cena, a w przypadku podmiotów prywatnych górnego pułapu nie będzie. Tu kwotę ukształtuje najpewniej silnie konkurencyjny rynek. Ponadto uzyskanie znaku jakości od urzędu może być też teoretycznie bezpieczniejsze - wszak podmiot prywatny buszujący np. po systemach danej instytucji mógłby natrafić na dane, których widzieć nie powinien. Przy czym można to zminimalizować, bo podmiot certyfikujący ma ocenić samo przygotowanie systemów do RODO, a więc nie ma przeciwwskazań, aby udostępniać mu dane zaszyfrowane lub pseudonimizowane.ⒸⓅ C3

@RY1@i02/2018/089/i02.2018.089.08800010a.801.jpg@RY2@

@RY1@i02/2018/089/i02.2018.089.08800010a.802.jpg@RY2@

@RY1@i02/2018/089/i02.2018.089.08800010a.803.jpg@RY2@

@RY1@i02/2018/089/i02.2018.089.08800010a.804.jpg@RY2@

@RY1@i02/2018/089/i02.2018.089.08800010a.805.jpg@RY2@

@RY1@i02/2018/089/i02.2018.089.08800010a.806.jpg@RY2@

@RY1@i02/2018/089/i02.2018.089.08800010a.807.jpg@RY2@

Monitoring i internetowa sprzedaż biletów zobowiązują muzea do stosowania RODO

Wydawać by się mogło, że muzea nie gromadzą zbyt wielu danych osobowych i unijne rozporządzenie dotknie je w niewielkim stopniu. Nic bardziej mylnego - coraz powszechniejsza sprzedaż biletów przez internet, wysyłanie newsletterów, wypożyczanie audiobooków, monitorowanie sal powodują, że i te placówki muszą przygotować się na 25 maja. Zbierać mogą jedynie te informacje, które faktycznie są im niezbędne. Np. dane pozyskane w procesie sprzedaży biletu - bez jednoznacznej zgody osoby, której dotyczą - nie mogą być wykorzystywane do promocji. A chroniąc zbiory np. przez monitoring sal, trzeba mieć na uwadze, że ochronie podlega też wizerunek osób, które w nich przebywają.C2 ⒸⓅ

@RY1@i02/2018/089/i02.2018.089.08800010a.808.jpg@RY2@

Jakub Styczyński