Ustawa z 10 maja 2018 r. o ochronie danych osobowych (cz. 2)

Art. 17. [Wniosek o certyfikację]

1. Wniosek o certyfikację zawiera co najmniej:

1) nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania;

2) informacje potwierdzające spełnianie kryteriów certyfikacji;

3) wskazanie zakresu wnioskowanej certyfikacji.

2. Do wniosku dołącza się dokumenty potwierdzające spełnianie kryteriów certyfikacji albo ich kopie oraz, w przypadku certyfikacji dokonywanej przez Prezesa Urzędu, dowód wniesienia opłaty, o której mowa w art. 26.

3. Wniosek składa się pisemnie w postaci papierowej opatrzonej własnoręcznym podpisem albo w postaci elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym. Wniosek składany do Prezesa Urzędu w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

komentarz

• Procedura certyfikacji. Przepisy procedury certyfikacyjnej zostały skonstruowane na wzór zasad obowiązujących w postępowaniu dotyczącym wydania akredytacji przez Polskie Centrum Akredytacji. Podobnie jak w przypadku procedury akredytacyjnej, postępowanie dotyczące certyfikatu poświadczającego zgodność z RODO prowadzone jest na wniosek podmiotu ubiegającego się o jego wydanie. Wnioskodawca ma również obowiązek dołączenia stosownej dokumentacji, zaś sam wniosek może zostać złożony na dwa sposoby: w formie papierowej lub elektronicznej. Przy czym w przypadku omawianej tu procedury ustawodawca dopuścił możliwość podpisywania dokumentów elektronicznych podpisem potwierdzonym profilem zaufanym ePUAP. Niemniej jednak dotyczy to wyłącznie postępowań prowadzonych przed krajowym organem nadzoru. Zatem w przypadku ubiegania się o przeprowadzenie omawianego postępowania przez akredytowany podmiot certyfikujący możliwe jest jedynie złożenie wniosku w postaci papierowej bądź elektronicznej, opatrzonej kwalifikowanym podpisem elektronicznym.
• Elementy wniosku. We wniosku prócz danych określających podmiot wnioskodawcy należy wskazać m.in. informacje potwierdzające spełnianie kryteriów certyfikacji. Spełnienie tego warunku polegać powinno na odniesieniu się w treści uzasadnienia wniosku do poszczególnych kryteriów certyfikacji ogłoszonych przez prezesa Urzędu Ochrony Danych Osobowych oraz wykazaniu, że wnioskujący o udzielenie certyfikatu spełnia te kryteria. Kryteria certyfikacji to szczególne wymogi, które musi spełnić administrator danych osobowych lub podmiot przetwarzający dane w celu uzyskania certyfikatu. W dniu, kiedy zamykaliśmy ten numer, nie zostały one jeszcze ogłoszone.

Kolejnym elementem wniosku jest wskazanie zakresu wnioskowanej certyfikacji, co również powinno odbywać się w nawiązaniu do ww. kryteriów certyfikacji, dodatkowo z uwzględnieniem roli wnioskodawcy w procesie przetwarzania danych osobowych, tj. czy podmiot ten jest administratorem danych osobowych, czy podmiotem przetwarzającym, a może występuje w obu tych rolach jednocześnie? Uzasadnienie wniosku należy uzupełnić, dołączając do niego dokumenty potwierdzające opisane w nim okoliczności, w szczególności zaś fakt spełnienia kryteriów certyfikacji przez wnioskodawcę.

• Opłata za przeprowadzenie certyfikacji. Sposób ustalania opłaty za przeprowadzenie czynności związanych z certyfikacją uregulowano w art. 26 u.o.d.o. (zostanie omówiony w komentarzu do tego artykułu). Na marginesie należy wyjaśnić, że reguły te odnoszą się do przypadku przeprowadzania procesu certyfikacji przez prezesa Urzędu Ochrony Danych Osobowych. W przypadku bowiem przeprowadzania stosownych czynności przez podmiot certyfikujący kwestia wynagrodzenia uregulowana powinna zostać w umowie cywilnoprawnej, zawieranej przez ten podmiot z administratorem danych osobowych albo podmiotem przetwarzającym.

Art. 18. [Rozpatrzenie wniosku o certyfikację]

1. Prezes Urzędu albo podmiot certyfikujący rozpatruje wniosek o certyfikację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku zgodnego z art. 17, po zbadaniu spełniania kryteriów certyfikacji, zawiadamia wnioskodawcę o dokonaniu albo odmowie dokonania certyfikacji.

2. Wniosek złożony do Prezesa Urzędu, niezawierający informacji, o których mowa w art. 17 ust. 1 pkt 1, pozostawia się bez rozpoznania. Jeżeli wniosek nie zawiera informacji, o których mowa w art. 17 ust. 1 pkt 2 lub 3, lub nie spełnia wymagań, o których mowa w art. 17 ust. 2 lub 3, Prezes Urzędu wzywa wnioskodawcę do ich uzupełnienia wraz z pouczeniem, że ich nieuzupełnienie w terminie 7 dni od dnia doręczenia wezwania spowoduje pozostawienie wniosku bez rozpoznania.

komentarz

• Szczególny charakter przepisów o rozpatrywaniu wniosków. W art. 18 u.o.d.o. zawarto podstawowe zasady rozpatrywania wniosków o certyfikację. Są to przepisy szczególne względem przepisów kodeksu postępowania administracyjnego.

Przypomnieć bowiem należy, że k.p.a. znajduje – w myśl art. 7 ust. 1 u.o.d.o. – zastosowanie jedynie w sprawach nieuregulowanych wprost w u.o.d.o. W pierwszej kolejności należy więc zweryfikować treść u.o.d.o. i dopiero jeżeli nie reguluje ona określonej kwestii, konieczne staje się stosowanie przepisów k.p.a. Pamiętać przy tym należy, że zasada ta odnosi się wyłącznie do postępowań prowadzonych przez prezesa Urzędu Ochrony Danych Osobowych. W przypadku bowiem dokonywania certyfikacji przez akredytowany podmiot certyfikujący stosowna procedura wynika z umowy cywilnoprawnej zawartej przez ten podmiot z wnioskodawcą ubiegającym się o certyfikację.

• Czas na rozpatrzenie. Ustawodawca, względem ogólnego postępowania administracyjnego, zdecydował się przede wszystkim na modyfikację terminu, w jakim sprawa ma zostać załatwiona. Określono go na okres trzech miesięcy, a jest on liczony od dnia złożenia wniosku zawierającego wszystkie elementy wymagane przepisami art. 17 u.o.d.o. Jeżeli zatem prezes Urzędu Ochrony Danych Osobowych korzystać będzie z dyspozycji ust. 2 komentowanego przepisu, to termin ten rozpocznie swój bieg dopiero po odpowiednim uzupełnieniu wniosku.
• Usuwanie braków we wniosku. Sam sposób usuwania braków wniosku o certyfikację także różni się od analogicznej instytucji uregulowanej w kodeksie postępowania administracyjnego. O ile bowiem przepis art. 64 par. 2 k.p.a. zastrzega jedynie, że organ wzywający do uzupełnienia podania wyznacza termin, który nie może być krótszy niż siedem dni, a zatem może być – w uzasadnionych przypadkach – zakreślony termin dłuższy, o tyle na gruncie u.o.d.o. zastrzeżony został sztywny termin siedmiu dni na uzupełnienie wniosku. Skutek nieuzupełnienia wskazanych przez organ braków formalnych w obu przypadkach jest taki sam – wniosek pozostawiany zostaje bez rozpoznania.
• Jednoinstancyjność postępowania. Przypomnieć należy, że postępowanie administracyjne prowadzone przed prezesem Urzędu Ochrony Danych Osobowych jest jednoinstancyjne.

Pozostałe odmienności tej procedury, w odniesieniu do ogólnego postępowania administracyjnego, uregulowane zostały w przepisach art. 19–26 u.o.d.o. oraz dotyczą m.in.:

– przyczyn odmowy dokonania certyfikacji (art. 20 u.o.d.o.),

– obowiązków administratora danych osobowych i podmiotu przetwarzającego po dokonaniu certyfikacji oraz przypadków cofnięcia certyfikacji przez prezesa Urzędu Ochrony Danych Osobowych lub podmiot certyfikujący (art. 22 u.d.uo.),

– procedury oceny spełnienia kryteriów certyfikacji przez wnioskodawcę (art. 24 u.o.d.o.),

– uprawnień osoby dokonującej oceny spełnienia kryteriów certyfikacji (art. 25 u.o.d.o.),

– opłat za czynności związane z certyfikacją uiszczanych przez wnioskodawcę (art. 26 u.o.d.o.).

Wskazane wyżej instytucje zostaną omówione w wyjaśnieniach do dalszych artykułów u.o.d.o. Natomiast na temat instytucji pozostawienia wniosku bez rozpoznania więcej w komentarzu do art. 30 niniejszej ustawy.

Art. 19. [Przekazywanie informacji przez podmiot certyfikujący]

Przed dokonaniem certyfikacji albo odmową dokonania certyfikacji podmiot certyfikujący informuje Prezesa Urzędu o planowanym dokonaniu albo planowanej odmowie dokonania certyfikacji.

komentarz

• Obowiązek informacyjny. Artykuł 19 u.o.d.o. nawiązuje do art. 43 ust. 5 RODO, w myśl którego podmioty certyfikujące przedstawiają właściwemu organowi nadzorczemu powody udzielenia lub cofnięcia żądanej certyfikacji. Dotyczy on etapu przed dokonaniem bądź odmową dokonania certyfikacji.
• Uprawnienia prezesa UODO. Dzięki temu prezes Urzędu Ochrony Danych Osobowych może skorzystać – już na tym etapie – ze swoich kompetencji w tym zakresie. W tym miejscu przypomnieć warto, że krajowy organ nadzoru jest uprawniony m.in. do nakazania podmiotowi certyfikującemu, by nie udzielał certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Wykonywanie przez podmioty certyfikujące omawianego obowiązku może służyć prezesowi Urzędu Ochrony Danych Osobowych także do oceny i modyfikacji kryteriów certyfikacji oraz wymogów akredytacji dla podmiotów certyfikujących, jak również weryfikacji, czy podmiot certyfikujący postępuje zgodnie ze swoimi obowiązkami wynikającymi z RODO. W przypadku bowiem naruszenia obowiązków przez ww. podmiot krajowy organ nadzoru uprawniony jest do nałożenia na podmiot certyfikujący administracyjnej kary finansowej w wysokości do 10 mln euro (w przeliczeniu na walutę krajową), a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

• Brak regulacji i wątpliwości. Ustawodawca nie zdecydował się na szczegółowe uregulowanie sposobu przekazywania informacji o planowanym dokonaniu albo planowanej odmowie dokonania certyfikacji. Brak również określenia dokładnych terminów, w jakich obowiązek ten powinien zostać wykonany przez podmiot certyfikujący.

Wszakże z drugiej strony naruszenie omawianego obowiązku i nieprzekazywanie prezesowi UODO wskazanych informacji może wiązać się z negatywnymi konsekwencjami dla podmiotu certyfikującego związanymi z naruszeniem warunków udzielonej mu akredytacji.

wzór skargi na decyzję prezesa uodo

Warszawa, 30 grudnia 2018 r.

Wojewódzki Sąd Administracyjny w Warszawie

Wydział II

za pośrednictwem:

Prezesa Urzędu Ochrony Danych Osobowych

Organ:

Prezes Urzędu Ochrony Danych Osobowych

ul. Stawki 2

00-193 Warszawa

Skarżący:

ABC spółka z o.o.

ul. Warszawska 2, 00-001 Warszawa

reprezentowana przez radcę prawnego Jana Kowalskiego z Kancelarii Radców Prawnych Kowalski i Partnerzy w Warszawie (00-001) przy ul. Warszawskiej 1

sygn. akt organu: CERT.100.18.MK

Skarga na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 2 grudnia 2018 r.

Działając w imieniu skarżącego, pełnomocnictwo w załączeniu, na podstawie art. 3 ust. 2 pkt 1 w zw. z art. 50 par. 1 ustawy – Prawo o postępowaniu przed sądami administracyjnymi (p.p.s.a.), wnoszę skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych w Warszawie z 2 grudnia 2018 r. wydaną w przedmiocie odmowy udzielenia certyfikacji, zaskarżając ją w całości.

Skarżonej decyzji zarzucam:

1. Naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. naruszenie:

– art. 42 ust. 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE L 119/1 z 4 maja 2016 r. [RODO] oraz art. 20 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych poprzez przyjęcie, że skarżący nie spełnia kryteriów certyfikacji, pomimo wykazania w toku postępowania, iż zostały one spełnione.

Organowi dodatkowo zarzucam:

2. Naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. naruszenie:

a) art. 17 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych przez uznanie, że dołączone do wniosku o udzielenie certyfikacji dokumenty nie potwierdzają spełnienia przez wnioskodawcę kryteriów certyfikacji, co miało bezpośredni wpływ na wydanie decyzji o odmowie udzielenia certyfikacji;

b) art. 18 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych przez niedokonanie wezwania wnioskodawcy do okazania dokumentów wymaganych do spełnienia warunków certyfikacji w postaci rejestru czynności przetwarzania, skoro w ocenie organu dokument ten nie został przedłożony przez wnioskodawcę, co miało istotny wpływ na wynik sprawy, gdyż w przypadku zastosowania tegoż wezwania wnioskodawca miałby możliwość wykazania prawidłowości i kompletności przedłożonych dokumentów.

Mając na uwadze powyższe, wnoszę o:

1. uchylenie – na podstawie art. 145 par. pkt 1 p.p.s.a. – zaskarżonej decyzji w całości oraz przekazanie sprawy organowi do ponownego rozpoznania,

2. zasądzenie na rzecz skarżącego kosztów postępowania sądowoadministracyjnego według norm przepisanych.

Uzasadnienie

Spółka ABC spółka z o.o. wystąpiła do Prezesa Urzędu Ochrony Danych Osobowych z wnioskiem o certyfikację, który spełniał wymogi wskazane w przepisie art. 17 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych. Dodatkowo do wniosku – zgodnie z dyspozycją art. 17 ust. 2 ww. ustawy – dołączono wszystkie dokumenty mające potwierdzać spełnienie kryteriów certyfikacji.

Organ przeprowadzający certyfikację odmówił jej dokonania, wskazując, że wśród przedłożonych przez wnioskodawcę dokumentów brak było rejestru czynności przetwarzania, to zaś uniemożliwiało jego weryfikację oraz potwierdzenie, że jest on prowadzony zgodnie z przepisami prawa oraz kryteriami certyfikacji.

Tymczasem wbrew stanowisku organu rejestr ten znajduje się w aktach sprawy, jako jeden z załączników do wniosku o certyfikację. Omyłkowo jedynie został on zszyty z innym dokumentem, co mogło doprowadzić do tego, że osoba rozpatrująca wniosek o certyfikację nie odnalazła go wśród załączników. Rejestr ten znajduje się na kartach 130–163 akt sprawy.

Niezależnie od powyższego wskazuję, że w przypadku stwierdzenia przez organ certyfikujący braku w przedłożonej przez wnioskodawcę dokumentacji, powinien on zastosować tryb uzupełnienia braków formalnych wniosku, o którym mowa w art. 18 ust. 2 ww. ustawy. Wnioskodawca nie został jednakże wezwany do uzupełnienia wniosku pod rygorem pozostawienia go bez rozpoznania.

Z powyższych względów zaskarżona decyzja podlegać winna uchyleniu. Organ w ponownie prowadzonym postępowaniu powinien natomiast zweryfikować akta sprawy oraz znajdujący się w nich rejestr czynności przetwarzania. Względnie, gdyby uznał, że rejestr ów nie znajduje się w aktach sprawy, wezwać wnioskodawcę do jego przedłożenia w trybie art. 18 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych.

Mając na uwadze powyższe, wnoszę jak na wstępie.

[podpis]

Załączniki:

1. pełnomocnictwo,

2. dowód uiszczenia opłaty od pełnomocnictwa,

3. odpis skargi.

Art. 20. [Odmowa dokonania certyfikacji]

1. W przypadku stwierdzenia, że podmiot ubiegający się o certyfikację nie spełnia kryteriów certyfikacji, Prezes Urzędu albo podmiot certyfikujący odmawia jej dokonania.

2. Odmowa dokonania certyfikacji przez Prezesa Urzędu następuje w drodze decyzji.

3. Podmiot certyfikujący opracowuje i udostępnia zainteresowanym podmiotom procedurę postępowania w przypadku odmowy dokonania certyfikacji.

komentarz

• Przesłanki odmowy certyfikacji. Certyfikacja jest procesem mającym na celu zweryfikowanie zgodności z RODO operacji przetwarzania prowadzonych przez administratorów danych osobowych, podmioty przetwarzające, a także inne wskazane przez ustawodawcę (producenta albo podmiotu wprowadzającego usługę lub produkt na rynek). W przypadku stwierdzenia owej zgodności podmiotowi certyfikowanemu wydawany jest certyfikat (omówiliśmy to szerzej w pierwszej części komentarza). Omawiany artykuł dotyczy natomiast sytuacji odmiennej, w której stwierdzone zostanie, że podmiot certyfikowany nie spełnia warunków dokonania certyfikacji. Dla przypomnienia wskazać należy, że kryteria certyfikacji są określane wyłącznie przez prezesa Urzędu Ochrony Danych Osobowych. Oznacza to, że każdy podmiot certyfikujący dokonywał będzie oceny zgodności operacji przetwarzania prowadzonych przez podmiot certyfikowany w oparciu o te same przesłanki. Ma to zapewnić zarówno ich obiektywny charakter, jak i adekwatność certyfikatów wydawanych przez różne podmioty.
• Forma odmowy. Brak spełnienia ww. kryteriów skutkować będzie odmową dokonania certyfikacji i wydania certyfikatu. Odmowy tej będzie dokonywać prezes UODO bądź inny podmiot certyfikujący – w zależności od tego, który z nich prowadzi postępowanie w przedmiocie certyfikacji. Niemniej jednak ustawa reguluje wprost jedynie sposób odmowy certyfikacji dokonywanej przez prezesa UODO. W takim bowiem przypadku organ nadzoru wydaje decyzję administracyjną.

Ustawodawca nie zdecydował się natomiast na określenie procedury odmowy stosowanej przez inne podmioty certyfikujące. Jest w pełni zrozumiałe, p rezes UODO jest bowiem centralnym organem administracji publicznej, działającym w ramach postępowania administracyjnego. Natomiast podmiot certyfikujący przeprowadza certyfikację w oparciu o umowę cywilnoprawną zawartą z podmiotem certyfikowanym.

• Procedura odwoławcza. W pierwszym przypadku, tj. gdy certyfikacja prowadzona jest przez prezesa UODO, jednostka, która spotkała się z odmową dokonania certyfikacji, może skorzystać z dalszych instrumentów prawnych. Wobec jednoinstancyjnego postępowania administracyjnego prowadzonego przez prezesa UODO przysługiwać jej będzie skarga do wojewódzkiego sądu administracyjnego. Skargę należy wnieść w terminie 30 dni od dnia doręczenia decyzji administracyjnej. Wnoszona jest ona za pośrednictwem prezesa UODO. Jednakże termin do wniesienia skargi będzie zachowany również wtedy, gdy zostanie ona złożona bezpośrednio do sądu administracyjnego. W takim przypadku sąd prześle skargę prezesowi UODO, aby ten nadał jej właściwy bieg.
• Autokontrola decyzji. Co ciekawe, prezes UODO po otrzymaniu skargi na wydaną przez niego decyzję administracyjną w przedmiocie odmowy dokonania certyfikacji ma jeszcze możliwość przeprowadzenia tzw. autokontroli. W jej wyniku uprawniony jest do uwzględnienia skargi w całości. W takim przypadku zaskarżona decyzja podlegałaby uchyleniu przez prezesa UODO.

Jeżeli natomiast organ nadzorczy nie dopatrzy się przesłanek do wydania rozstrzygnięcia po myśli przedsiębiorcy, przesyła skargę wraz z aktami postępowania oraz odpowiedzią na skargę do sądu administracyjnego.

Prezes UODO ma jedynie 30 dni na wykonanie jednej z tych czynności, tj. albo uchylenie decyzji, albo przesłanie skargi do sądu. Termin ten liczony jest od dnia otrzymania skargi. [wzór]

• Zakres kontroli sądu administracyjnego. Wyjaśnienia wymaga również zakres kognicji sądów administracyjnych. Sądy te bowiem sprawują jedynie kontrolę działalności administracji publicznej. Nie rozstrzygają one zatem ponownie sprawy administracyjnej merytorycznie, lecz oceniają zgodność zaskarżonego aktu z przepisami prawa. Oznacza to w praktyce, że kontrola sądu administracyjnego polega wyłącznie na zbadaniu, czy przy wydawaniu zaskarżonego aktu bądź decyzji nie doszło do:

– rażącego naruszenia prawa, które dawałoby podstawę do stwierdzenia jego nieważności,

– naruszenia prawa dającego podstawę do wznowienia postępowania,

– naruszenia prawa materialnego w stopniu mającym wpływ na wynik sprawy lub

– naruszenia przepisów postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy (zob. uzasadnienie wyroku WSA w Krakowie z 25 maja 2018 r., sygn. akt II SA/Kr 340/18).

Powyższe ma niezwykle istotne znaczenie dla podmiotu występującego ze skargą. Musi on bowiem wykazać nie tyle że – wbrew ocenie prezesa UODO – spełnił niezbędne kryteria certyfikacji, ile to, że prezes UODO w toku oceny wniosku podmiotu ubiegającego się o certyfikację naruszył przepisy prawa w jeden z ww. sposobów. Dopiero stwierdzenie przez sąd administracyjny, że doszło do takiego naruszenia prawa, skutkować może uchyleniem zaskarżonej decyzji i przekazaniem sprawy prezesowi UODO do ponownego rozpatrzenia.

Na marginesie należy dodać, że postępowanie sądowoadministracyjne jest dwuinstancyjne. Od wyroku wydanego przez wojewódzki sąd administracyjny przysługuje skarga kasacyjna do Naczelnego Sądu Administracyjnego.

• Certyfikacja przez podmioty certyfikujące. Natomiast ze względu na fakt, że podmiot certyfikujący przeprowadza certyfikację na mocy umowy zawartej z administratorem danych osobowych albo podmiotem przetwarzającym, wskazany powyżej tryb ochrony prawnej nie znajduje w tym przypadku zastosowania.

Przy czym na podmioty certyfikujące nałożony został obowiązek opracowania i udostępnienia zainteresowanym podmiotom procedury postępowania w przypadku odmowy dokonania certyfikacji. Ustawodawca nie wskazał przy tym szczegółowych wymogów w tym zakresie, pozostawiając tym samym swobodę stanowienia podmiotom certyfikującym. Możliwe jest zatem zarówno wprowadzenie quasi-postępowania odwoławczego (wzorowanego na instytucji ponownego rozpatrzenia sprawy, którą uregulowano w kodeksie postępowania administracyjnego), jak i stwierdzenie, że odmowa dokonania certyfikacji jest ostateczna. Komentowany przepis nie nakazuje bowiem wprowadzania procedury odwoławczej przez podmioty certyfikujące.

Procedura w tym zakresie powinna zostać wszakże udostępniona zainteresowanym podmiotom. Bez wątpienia więc dostęp do niej powinien zostać zagwarantowany nie tylko podmiotom ubiegającym się o certyfikację, które zawarły umowę z danym podmiotem certyfikującym, ale także osobom zamierzającym dopiero zawrzeć tego typu umowę. Sposób uregulowania przedmiotowej kwestii może się okazać wręcz jedną z kluczowych przesłanek przy wyborze podmioty certyfikującego.

• Znaczenie informacji o odmowie certyfikacji. Jak już wcześniej było wspomniane, podmiot certyfikujący zobowiązany jest do poinformowania prezesa UODO o planowanej odmowie dokonania certyfikacji. Może to mieć znaczenie dla jednostek certyfikujących, zwłaszcza w przypadku, w którym jeden z podmiotów certyfikujących odmówił dokonania certyfikacji, a w niedalekim czasie jednostka ubiegająca się o certyfikację uzyskała ją od innego podmiotu certyfikującego. Pojawienie się dwóch odmiennych informacji o wyniku certyfikacji u tego samego podmiotu może prowadzić do tego, że prezes UODO zdecyduje się przeprowadzić czynności sprawdzające w celu oceny, czy dany podmiot spełnia kryteria certyfikacji. Te zaś mogą zakończyć się nawet cofnięciem certyfikatu. A w przypadku stwierdzenia naruszenia przepisów prawa przez podmiot certyfikujący prezes UODO może poinformować o tym Polskie Centrum Akredytacji. To zaś uprawnione jest do cofnięcia akredytacji wydanej podmiotowi certyfikującemu.

Art. 21. [Zawartość certyfikatu]

1. Dokumentem potwierdzającym certyfikację jest certyfikat.

2. Certyfikat zawiera co najmniej:

1) oznaczenie podmiotu, który otrzymał certyfikat;

2) nazwę podmiotu dokonującego certyfikacji oraz wskazanie adresu jego siedziby;

3) numer lub oznaczenie certyfikatu;

4) zakres, w tym okres, na jaki została dokonana certyfikacja;

5) datę wydania i podpis podmiotu dokonującego certyfikacji lub osoby przez niego upoważnionej.

komentarz

• Minimalny zakres informacji na certyfikacie. RODO nie zawiera wymogów bądź wytycznych względem dokumentu, który potwierdzać ma dokonanie certyfikacji. Swobodę w tym zakresie rozporządzenie pozostawiło przepisom krajowym. Polski ustawodawca lukę tę wypełnił częściowo w przepisach komentowanego art. 21 u.o.d.o. Wskazano w nich minimalny zakres informacji zamieszczanych na certyfikatach.

Posłużenie się w treści art. 21 w ust. 2 zwrotem „co najmniej” oznacza, że podmioty certyfikujące mogą rozszerzać zakres informacji umieszczanych na wydawanych przez nie certyfikatach. Nie obowiązują również jakiekolwiek wzorce graficznego wyglądu certyfikatów, ich kolorystyki, formatu itp. Co wskazuje zatem, że każdy z podmiotów certyfikujących będzie mógł ustanowić swój wzór.

• Elementy obowiązkowe. Poszczególne, wymagane przez ustawę elementy certyfikatu muszą spełniać określone wymogi. Oznaczenie podmiotu certyfikowanego powinno być dokonane w taki sposób, aby nie budziło wątpliwości w odniesieniu do osoby, na rzecz której dokument ten został wydany. Bez wątpienia prócz firmy, nazwy bądź imienia i nazwiska takiego podmiotu należy wskazać chociażby miejsce jego siedziby lub zamieszkania, a gdy to może okazać się niewystarczające – dalsze dane identyfikacyjne. Pamiętać bowiem należy, że zarówno oznaczenia osób fizycznych, jak i innych jednostek organizacyjnych mogą być powtarzalne, zwłaszcza na większym obszarze. I tak:

– oznaczenie podmiotu certyfikującego – w tym przypadku ustawodawca wprost wskazał, jakie elementy powinny co najmniej znaleźć się na certyfikacie. Są nimi nazwa (firma) podmiotu oraz adres jego siedziby. Nie będzie zatem wystarczające wskazane samej siedziby, którą określa się poprzez nazwę miejscowości, ale konieczne jest podanie kompletnego adresu tegoż podmiotu;

– numer lub oznaczenie certyfikatu – określenie sposobu ewidencjonowania i weryfikowania certyfikatów pozostawiono podmiotom certyfikującym. Może on polegać na opatrywaniu ich kolejnymi numerami bądź znakowaniu w inny sposób;

– zakres certyfikacji – na certyfikacie powinno zostać oznaczone, w jakim zakresie przetwarzania danych osobowych został on wydany, tj. czy wydano go administratorowi danych, podmiotowi przetwarzającemu bądź producentowi albo podmiotowi wprowadzającemu usługę lub produkt na rynek;

– okres certyfikacji – certyfikacja może zostać udzielona maksymalnie na okres trzech lat. Przyjąć zatem należy, że możliwe jest udzielenie certyfikacji i wydanie certyfikatu również na krótszy okres;

– data wydania – jeżeli certyfikat zostaje wydany w innej dacie niż dzień udzielenia certyfikacji, co jest możliwe z uwagi na fakt, iż certyfikat stanowi jedynie dokument potwierdzający certyfikację, dla stwierdzenia okresu obowiązywania certyfikacji nie będzie miało to znaczenia. Dla rozwiązania wszelkich wątpliwości w tym zakresie jednym z obligatoryjnych jego elementów uczyniono wskazanie okresu certyfikacji;

– podpis podmiotu certyfikującego – jeżeli certyfikat podpisywany jest przez osobę upoważnioną do tego przez podmiot certyfikujący, powinno zostać to odzwierciedlone w treści certyfikatu, przy podpisie tejże osoby.

• Baza danych o procedurach certyfikacji. Na marginesie należy wskazać, że Europejska Rada Ochrony Danych gromadzi w specjalnie w tym celu utworzonym rejestrze informacje o wszystkich mechanizmach certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych, a także udostępnia je opinii publicznej za pomocą środków, które uzna za odpowiednie. Ma to z jednej strony umożliwić zapoznanie się z procedurami certyfikacji wprowadzonymi przez poszczególne podmioty certyfikujące, a także łatwe ich porównywanie. Z drugiej strony umożliwia porównanie certyfikatu bądź innego znaku jakości, którym legitymuje się dany uczestnik obrotu gospodarczego, z jego oficjalnym wzorem. Dzięki temu możliwe będzie zweryfikowanie, czy dany podmiot faktycznie uzyskał takowe oznaczenie.

Art. 22. [Dalsze spełnianie kryteriów certyfikacji]

1. W okresie, na jaki została dokonana certyfikacja, podmiot, któremu udzielono certyfikacji, jest obowiązany spełniać kryteria certyfikacji obowiązujące na dzień jego wydania.

2. Prezes Urzędu albo podmiot certyfikujący cofa certyfikację w przypadku stwierdzenia, że podmiot, któremu udzielono certyfikacji, nie spełnia lub przestał spełniać kryteria certyfikacji.

3. Cofnięcie certyfikacji przez Prezesa Urzędu następuje w drodze decyzji.

komentarz

• Cofnięcie certyfikatu. Zgodnie z art. 42 ust. 7 RODO podmioty certyfikujące lub właściwy organ nadzorczy w stosownym przypadku cofają certyfikację, jeżeli jej wymogi są niespełnione lub przestały być spełniane. Dopełnienie wskazanego przepisu na gruncie krajowym stanowi komentowany art. 22 u.o.d.o. Niezwykle istotne jest przy tym, że podmiot, któremu udzielono certyfikacji, ma obowiązek spełniać kryteria certyfikacji obowiązujące w chwili jej udzielenia. Oznacza to, że późniejsze zmiany tychże kryteriów – w okresie obowiązywania już udzielonych certyfikacji – nie będą wiązały się z:

– koniecznością powtórzenia procedury certyfikacyjnej;

– utratą ważności certyfikatu wydanego w oparciu o uprzednio obowiązujące kryteria;

– koniecznością dostosowania się podmiotu, który uzyskał certyfikację do nowych kryteriów, chyba że obowiązek taki wynikać będzie z przepisów prawa powszechnie obowiązującego, bądź decyzji skierowanych do tegoż podmiotu przez właściwe organy.

• Uprawnienia i obowiązki podmiotu certyfikującego. Powyższa norma jest powiązana z wymaganiami stawianymi podmiotom certyfikującym. Mianowicie, jednostka ubiegająca się o akredytację w zakresie certyfikowania ma obowiązek dysponowania procedurami wydawania okresowego przeglądu oraz cofania certyfikacji. Zatem to kolejne obowiązki tego typu podmiotów – obok tych w zakresie wprowadzenia procedury postępowania w przypadku odmowy dokonania certyfikacji, o którym była mowa w komentarzu do art. 20 ustawy. Jednakże, podobnie jak przy procedurze odmowy certyfikacji (patrz art. 20), również w przypadku procedury cofnięcia certyfikatu z art. 22 ustawodawca nie zdecydował się na wprowadzenie szczegółowych wymogów co do ich przebiegu. A to oznacza, że zasady okresowego przeglądu, jak i zasady cofania certyfikatu przez podmiot certyfikujący ustalać będzie samodzielnie dana jednostka certyfikująca.
• Uprawnienie prezesa UODO. W tym miejscu zwrócić należy uwagę, że certyfikacja może być cofnięta nie tylko przez podmiot certyfikujący, który jej udzielił, ale także przez prezesa UODO. Krajowy organ nadzorczy może dokonać tego w wyniku uprzedniego podjęcia wielu różnego typu środków. Wśród nich należy wskazać następujące:

– prezes UODO może przeprowadzić czynności sprawdzające u administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek. Co ważne, tego typu postępowanie może zostać przeprowadzone nie tylko w toku procedury certyfikacji, ale także już po jej udzieleniu (co zostanie szerzej omówione w komentarzu do przepisów art. 24 ustawy);

– w toku innych prowadzonych przez prezesa UODO postępowań uprawniony jest on do cofnięcia certyfikacji lub nakazania podmiotowi certyfikującemu cofnięcia certyfikacji bądź nakazania podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Jak już wskazywano przy okazji komentowania innych artykułów ustawy, na podmiot certyfikujący nałożony został obowiązek informowania prezesa UODO zarówno o udzieleniu, jak i o cofnięciu certyfikacji, a nawet o planowanym powzięciu tychże czynności. Powyższe może prowadzić nie tylko do wszczęcia stosownych postępowań administracyjnych przez prezesa UODO, o czym szerzej była mowa w komentarzu do art. 21 ustawy, ale także umożliwia organowi nadzoru upublicznienie informacji o udzielonych oraz cofniętych certyfikacjach. Kwestie z tym związane zostaną omówione w komentarzu do art. 23 ustawy.

• Ostateczność decyzji o cofnięciu certyfikacji. Prezes UODO może cofnąć certyfikację udzieloną przez ten organ bądź przez podmiot certyfikujący. Rozstrzygnięcie prezesa UODO zapada w drodze decyzji administracyjnej. Fakt jednoinstancyjności postępowania administracyjnego prowadzonego przed tym organem oznaczać będzie zatem w praktyce, iż decyzja taka staje się ostateczna z chwilą wydania. Innymi słowy, co podkreślono również w uzasadnieniu do projektu komentowanej ustawy, od decyzji wydanej przez prezesa UODO nie służy odwołanie (czyli wniosek o ponowne rozpatrzenie sprawy). Konsekwencją wprowadzenia jednoinstancyjnego postępowania jest to, że decyzje wydane przez prezesa UODO są ostateczne i wykonalne z mocy samego prawa. Podlegają one wykonaniu z chwilą doręczenia decyzji stronie oraz bez konieczności nadawania takiej decyzji rygoru natychmiastowej wykonalności.

Wystąpienie przez podmiot, któremu cofnięto certyfikację, do wojewódzkiego sądu administracyjnego nie spowoduje zatem wstrzymania skutku decyzji prezesa UODO wydanej w omawianym zakresie. Skutek w postaci cofnięcia certyfikatu zaistnieje więc z chwilą wydania decyzji administracyjnej przez prezesa UODO.

• Skutki ewentualnego zaskarżenia. Natomiast w wyniku późniejszego postępowania sądowo-administracyjnego decyzja ta może zostać usunięta z obrotu prawnego. Nie będzie to wszakże definitywnie kończyło sprawy, bowiem wróci ona do ponownego rozpoznania przez organ nadzoru. Ten zaś – w zależności od okoliczności danego przypadku będzie mógł:

– umorzyć postępowanie – gdy uzna, że nie ma podstaw do cofnięcia certyfikacji. Podstawę prawną takiego rozstrzygnięcia stanowić będzie art. 105 Kodeksu postępowania administracyjnego;

– wydać nową decyzję w przedmiocie cofnięcia certyfikacji. Uchylenie decyzji przez sąd administracyjny nie oznacza każdorazowo, że organ administracji nie może wydać ponownie decyzji o tożsamym skutku prawnym. Wynika to z omówionej w komentarzu do art. 21 ustawy ograniczonej kognicji sądów administracyjnych, które nie rozstrzygają sprawy merytorycznie, a jedynie oceniają zgodność zachowania organu z przepisami prawa. [przykład 1]

przykład 1

Sąd może nakazać ponowne przeprowadzenie czynności sprawdzających

U przedsiębiorcy X organ nadzoru przeprowadził czynności sprawdzające, mające na celu ocenić, czy firma spełnia kryteria związane z wydanym mu wcześniej certyfikatem. Ponieważ dopatrzono się nieprawidłowości, prezes UODO wydał decyzję o cofnięciu certyfikacji. Przedsiębiorca jest jednak przekonany, że przeprowadzający czynności sprawdzające naruszyli procedury. Podstawowy zarzut dotyczy tego, że nie zostały dochowane terminy zawiadomienia o planowanym przeprowadzeniu czynności sprawdzających, o których mowa w art. 24 ust. 3 ustawy, co uniemożliwiło należyte przygotowanie się podmiotu poddanego sprawdzeniu. Zdaniem przedsiębiorcy organ naruszył również zasady przeprowadzania dowodów, błędnie oceniając przedłożone mu dokumenty.

W takiej sytuacji przedsiębiorca może wystąpić do wojewódzkiego sądu administracyjnego o uchylenie zaskarżonej decyzji o cofnięciu certyfikacji. Jeżeli sąd administracyjny doszedłby do wniosku, że zarzucane uchybienia mogły mieć wpływ na wynik postępowania prowadzonego przez prezesa UODO, wówczas uchyli zaskarżoną decyzję, nakazując jednocześnie organowi przeprowadzenie tychże czynności w sposób zgodny z prawem.

Sprawa wróci zatem do organu nadzoru. Finalnie organ nadzoru – przy ponownym rozpoznaniu sprawy – zobligowany będzie do powtórzenia czynności wskazanych przez sąd administracyjny. Niemniej jednak prawidłowe przeprowadzenie czynności sprawdzających nadal może skończyć się decyzją o cofnięciu certyfikacji – jeśli prowadzone postępowanie potwierdzi, że podmiot, który uzyskał certyfikację, przestał spełniać kryteria certyfikacji. ©℗

Rzecz jasna od kolejnej decyzji prezesa UODO w przedmiocie cofnięcia certyfikacji wydanej po ponownym rozpatrzeniu sprawy, stronie przysługiwać również będzie skarga do sądu administracyjnego.

Art. 23. [Informacje o podmiocie certyfikowanym]

1. Podmiot certyfikujący przekazuje Prezesowi Urzędu dane podmiotu, któremu udzielono certyfikacji, oraz podmiotu, któremu cofnięto certyfikację, wraz ze wskazaniem przyczyny jej cofnięcia.

2. Prezes Urzędu prowadzi publicznie dostępny wykaz podmiotów, o których mowa w ust. 1.

3. Prezes Urzędu dokonuje wpisu do wykazu niezwłocznie po dokonaniu certyfikacji albo otrzymaniu informacji o dokonaniu certyfikacji przez podmiot certyfikujący.

4. Prezes Urzędu udostępnia wykaz na swojej stronie podmiotowej w Biuletynie Informacji Publicznej i dokonuje jego aktualizacji.

komentarz

• Wpis do wykazu podmiotów certyfikowanych. Artykuł 23 dopełnia obowiązek nałożony na podmiot certyfikujący, o których mowa w art. 19 u.o.d.o. Przypomnijmy, że zgodnie z nim przed dokonaniem certyfikacji albo odmową dokonania certyfikacji podmiot certyfikujący informuje o swoich planach prezesa UODO – a więc przekazuje mu odpowiednio wiadomość o planowanym dokonaniu certyfikacji albo planowanej odmowie jej dokonania.

Jak wynika z przepisów komentowanego artykułu, informacje te podlegają upublicznieniu przez prezesa UODO. Dokonywane jest to poprzez dokonanie wpisu do specjalnego, ogólnodostępnego wykazu podmiotów, którym udzielono certyfikacji. Wykaz udostępniony jest na stronie BIP prezesa UODO. Organ nadzoru zobowiązany został również do jego aktualizacji – ma być dokonywana niezwłocznie. Na marginesie należy dodać, że co prawda przepisy komentowanej ustawy milczą na ten temat, ale nic nie stoi na przeszkodzie, aby poszczególne podmioty certyfikujące prowadziły własne wykazy podmiotów, którym udzieliły certyfikacji. Może to być wręcz elementem procedury certyfikacyjnej lub procedury okresowego przeglądu udzielonych certyfikacji ustanawianych przez te instytucje.

• Charakter wpisu. Wpis do wykazu jest czynnością techniczną i nie wymaga wydania w tym przedmiocie decyzji administracyjnej. Stanowi on następstwo już udzielonej certyfikacji. Wpisanie danego podmiotu do rejestru nie stanowi zatem ani kryterium ważności certyfikacji, ani nie jest jej ostatnim etapem. Innymi słowy, podmiot – któremu udzielono certyfikacji – może informować o tym fakcie innych uczestników obrotu gospodarczego, jak również korzystać z dobrodziejstw płynących z udzielonej certyfikacji już od momentu jej udzielenia. Wpis jest zatem deklaratywny, nie zaś konstytutywny.
• Wykreślenie z wykazu. Wykreślenie z wykazu prowadzonego przez prezesa UODO może być skutkiem zaistnienia kilku różnego typu okoliczności, którymi są:

– cofnięcie udzielonej certyfikacji przez podmiot certyfikujący oraz przekazania informacji o tym fakcie prezesowi UODO;

– cofnięcie przez prezesa UODO certyfikacji udzielonej przez ten organ, np. na skutek przeprowadzenia czynności sprawdzających;

– cofnięcie przez prezesa UODO certyfikacji udzielonej przez podmiot certyfikujący, w wyniku decyzji organu nadzoru wydanej w toku prowadzonego przez ten organ postępowania;

– upływ okresu, na który certyfikacja została udzielona oraz jej nieprzedłużenie.

• Rola wykazu podmiotów certyfikowanych. Wykaz ma spełniać rolę informacyjną, a także pozwalać na weryfikację, czy podmiot legitymujący się certyfikatem faktycznie jest do tego uprawniony. Wykaz zwiększać ma zatem pewność obrotu gospodarczego z udziałem podmiotów, którym udzielono certyfikacji.
• Wątpliwości co do terminów. Podobnie jak w przypadku art. 19 ustawy, również i w komentowanym artykule ustawodawca nie zdecydował się na określenie zasad oraz terminów przekazywania informacji przez podmiot certyfikujący prezesowi UODO. Niemniej jednak niewykonanie bądź niewłaściwe wykonywanie tegoż obowiązku może skutkować konsekwencjami dla podmiotu certyfikującego, o czym szerzej pisaliśmy w komentarzu do art. 19.

Art. 24. [Czynności sprawdzające prowadzone przez Prezesa UODO]

1. Prezes Urzędu w terminie, o którym mowa w art. 18 ust. 1, a także po dokonaniu certyfikacji jest uprawniony, w celu oceny spełniania przez podmiot kryteriów certyfikacji, do przeprowadzenia czynności sprawdzających u administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek.

2. Prezes Urzędu zawiadamia podmiot, o którym mowa w ust. 1, o zamiarze przeprowadzenia czynności sprawdzających.

3. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia podmiotowi, o którym mowa w ust. 1, zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia.

4. Czynności sprawdzające przeprowadza się na podstawie imiennego upoważnienia wydanego przez Prezesa Urzędu, które zawiera:

1) imię i nazwisko osoby przeprowadzającej czynności sprawdzające;

2) oznaczenie administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek;

3) wskazanie podstawy prawnej przeprowadzenia czynności sprawdzających;

4) zakres czynności sprawdzających;

5) datę i miejsce jego wystawienia;

6) podpis osoby uprawnionej do wydania upoważnienia w imieniu Prezesa Urzędu.

komentarz

• Czynności sprawdzające. Uprawnieniem prezesa UODO jest możliwość przeprowadzenia swoistej kontroli przestrzegania zasad przetwarzania danych osobowych. Może on w tym zakresie sprawdzić:

– podmiot, który wystąpił z wnioskiem o udzielenie certyfikacji (czyli administratora danych, podmiot przetwarzający, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek);

– podmiot już certyfikowany – w okresie ważności udzielonej mu certyfikacji.

Przy czym w pierwszym przypadku czynności sprawdzające powinny odbyć się w terminie nie dłuższym niż trzy miesiące od dnia złożenia wniosku o udzielenie certyfikacji.

Co istotne, przeprowadzenie czynności o charakterze sprawdzającym nie jest obowiązkiem, a jedynie możliwością. Prezes UODO może zatem podjąć decyzję o ich podjęciu w zależności od okoliczności. Niezależnie wszakże od tego, już w odniesieniu do każdej procedury certyfikacyjnej, konieczne jest zbadanie spełnienia kryteriów certyfikacji przez wnioskującego o jej udzielenie. Zatem jeśli prezes UODO nie zdecydował się na przeprowadzenie czynności sprawdzających, zbadanie przestrzegania kryteriów certyfikacji odbywa się w oparciu o dostarczone przez wnioskodawcę dokumenty i informacje – względnie uzupełnione na żądanie prezesa UODO.

Inaczej będzie w przypadku innych podmiotów certyfikujących. Sposób badania przez nie tego, czy wnioskodawca spełnia kryteria certyfikacji, określony powinien zostać w procedurze certyfikacji oraz umowie cywilnoprawnej zawartej przez wnioskodawcę z podmiotem certyfikującym.

• Obowiązek zawiadomienia. Podobieństwo omawianych czynności sprawdzających do kontroli prowadzonej przez organy administracji publicznej można odnaleźć w kolejnych ustępach komentowanego artykułu. Uwaga! Prezes UODO jest przede wszystkim zobowiązany do zawiadomienia o zamiarze podjęcia czynności kontrolnych w danym podmiocie.
• Termin przeprowadzenia czynności. W art. 24 ust. 3 określony został termin, w którym mogą zostać wszczęte czynności sprawdzające. Ustawa ogranicza się jednakże do wskazania:

– najwcześniejszego momentu, w którym mogą zostać one przeprowadzone – jest nim ósmy dzień po doręczenia zawiadomienia;

– końcowego momentu, w którym można je przeprowadzić – nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia.

Powyższe, w połączeniu z regulacją, która stanowi, że w sytuacji gdy czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia, nakazuje przyjąć, iż czynności sprawdzające mogą trwać nawet do 23 dni. Ustawodawca nie zdecydował się bowiem na określenie wprost czasu trwania czynności sprawdzających, tak jak chociażby uczynił to w odniesieniu do kontroli prowadzonej przez prezesa UODO (zob. art. 89 komentowanej ustawy).

• Przebieg czynności sprawdzających. Kolejny element upodabniający omawiane czynności do kontroli, stanowi fakt przeprowadzania ich na podstawie imiennego upoważnienia wydanego przez prezesa UODO. Wśród elementów istotnych – z punktu widzenia podmiotu poddanego tymże czynnościom – należy wskazać w szczególności na następujące:

– zakres czynności sprawdzających – bardzo szerokie kompetencje osoby przeprowadzającej czynności sprawdzające, o czym będzie mowa w komentarzu do kolejnego artykułu ustawy, mogą być wykonywane jedynie w odniesieniu do zakresu czynności wskazanego w upoważnieniu. Zaznajomienie się z zakresem czynności sprawdzających umożliwi zatem kontrolowanemu na weryfikowanie żądań kontrolującego – pod kątem ich zgodności z wystawionym mu upoważnieniem;

– datę i miejsce jego wystawienia – może to stanowić argument względem dochowania bądź niedochowania ww. terminów na przeprowadzenie czynności sprawdzających.

Rzecz jasna podmiot sprawdzany powinien zweryfikować wszystkie elementy upoważnienia celem sprawdzenia jego poprawności. Ewentualne zarzuty w tym zakresie będą bowiem mogły zostać podniesione przez podmiot kontrolowany w pisemnych zastrzeżeniach do protokołu sporządzonego z czynności sprawdzających.

Art. 25. [Uprawnienia przeprowadzającego czynności sprawdzające]

1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:

1) wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń w dniach i godzinach pracy administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek;

2) wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją;

3) oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

4) żądania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.

2. Czynności sprawdzających dokonuje się w obecności administratora, podmiotu przetwarzającego, producenta lub podmiotu wprowadzającego usługę lub produkt na rynek lub osoby przez niego upoważnionej.

3. Z czynności sprawdzających sporządza się protokół i przedstawia go administratorowi, podmiotowi przetwarzającemu, producentowi albo podmiotowi wprowadzającemu usługę lub produkt na rynek. Przepis art. 88 stosuje się odpowiednio.

komentarz

• Uprawnienia prowadzącego czynności sprawdzające. Choć zakres uprawnień osoby przeprowadzającej czynności sprawdzające sprawia wrażenie niezwykle szerokiego, to i tak jest zdecydowanie okrojony w porównaniu z kompetencjami osoby przeprowadzającej kontrolę w imieniu prezesa UODO (zob. art. 84 ustawy). Owo ograniczenie jest związane z odmiennymi podstawami oraz celem każdej z tych instytucji. W przypadku czynności sprawdzających organ nadzorczy skupia się na zweryfikowaniu zgodności postępowania danego podmiotu z kryteriami certyfikacji. Kontrola jest natomiast przeprowadzana w szerszym zakresie i obejmuje przestrzeganie wszelkich bezwzględnie obowiązujących przepisów o ochronie danych osobowych – zarówno krajowych, jak i unijnych.

Wszelkie czynności sprawdzające podejmowane przez upoważnionego pracownika muszą mieć bezpośredni związek z oceną spełnienia kryteriów certyfikacji. Czynności sprawdzające nie mogą zatem obejmować kontroli innych elementów funkcjonowania podmiotu, u którego są przeprowadzane – także w zakresie ochrony danych osobowych. Jeżeli osoba przeprowadzająca czynności sprawdzające uznałaby, że zachodzi prawdopodobieństwo innych naruszeń w zakresie ochrony danych osobowych, które nie są objęte przedmiotem czynności sprawdzających, powinna zawiadomić prezesa organu nadzorczego. Ten zaś może podjąć decyzję o przeprowadzeniu stosownej kontroli.

• Obecność przedsiębiorcy. Przy przeprowadzaniu wszelkich czynności sprawdzających obecny może być podmiot, u którego są one prowadzone, bądź osoba przez niego upoważniona. Stosowne upoważnienie należy okazać osobie przeprowadzającej omawiane czynności. Fakt ten zostanie również odnotowany w protokole sporządzanym po ich przeprowadzeniu.
• Zawartość protokołu. W protokole z przeprowadzonych czynności sprawdzających powinny znaleźć się następujące elementy:

1) wskazanie nazwy albo imienia i nazwiska oraz adresu podmiotu, u którego przeprowadzono czynności sprawdzające;

2) imię i nazwisko osoby reprezentującej ww. podmiot oraz nazwę organu reprezentującego ten podmiot;

3) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia osoby wyznaczonej do przeprowadzenia czynności sprawdzających;

4) datę rozpoczęcia i zakończenia czynności sprawdzających;

5) określenie zakresu przeprowadzonych czynności sprawdzających;

6) opis stanu faktycznego ustalonego w toku czynności sprawdzających oraz inne informacje mające istotne znaczenie dla oceny spełnienia kryteriów certyfikacji przez podmiot, u którego przeprowadzono czynności sprawdzające;

7) wyszczególnienie załączników;

8) omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;

9) pouczenie o prawie zgłaszania zastrzeżeń do protokołu oraz o prawie odmowy podpisania protokołu;

10) datę i miejsce podpisania protokołu.

• Podpis pod protokołem. Protokół powinien zostać podpisany przez osobę przeprowadzającą czynności sprawdzające, a następnie przekazany podmiotowi, u którego je przeprowadzono. Ten zaś, w terminie siedmiu dni od dnia przedstawienia protokołu do podpisu:

– podpisuje go albo

– może złożyć pisemne zastrzeżenia do jego treści.

• Zastrzeżenia do protokołu. W przypadku złożenia zastrzeżeń pracownik przeprowadzający czynności sprawdzające dokonuje ich analizy i – w razie potrzeby – podejmuje dodatkowe czynności sprawdzające.

W przypadku stwierdzenia zasadności zastrzeżeń – osoba przeprowadzająca czynności sprawdzające zmienia lub uzupełnia odpowiednią część protokołu w formie aneksu do protokołu. W razie nieuwzględnienia zastrzeżeń w całości albo części podmiotowi, u którego przeprowadzano czynności sprawdzające, przekazuje się informacje o tym wraz z uzasadnieniem.

• Forma protokołu. Protokół z czynności sprawdzających może zostać sporządzony bądź w postaci elektronicznej, bądź też w postaci papierowej w dwóch egzemplarzach, z czego jeden doręczany jest podmiotowi, u którego przeprowadzono czynności sprawdzające. [przykład 2]

przykład 2

Protokół na zakończenie czynności sprawdzających

Prezes UODO postanowił przeprowadzić czynności sprawdzające w ABC sp. z o.o. w Gdańsku. W pierwszej kolejności wysłał zatem do spółki zawiadomienie o zamiarze przeprowadzenia czynności, wskazując przy tym cel ich przeprowadzenia oraz podstawę prawną.

Po upływie siedmiu dni od daty doręczenia zawiadomienia ABC spółka z o.o., co zostało stwierdzone za pomocą druku zwrotnego potwierdzenia odbioru, osoba wyznaczona do prowadzenia czynności sprawdzających udała się do siedziby spółki. Po okazaniu upoważnienia prezesowi zarządu spółki – występującemu w imieniu administratora danych osobowych – kontrolujący przystąpił do audytu dokumentów przedłożonych przez spółkę z zakresu ochrony danych osobowych, w tym m.in. wprowadzonych polityk bezpieczeństwa, rejestrów, ewidencji oraz procedur. Następnie zapoznał się z logicznymi, fizycznymi oraz proceduralnymi zabezpieczeniami danych osobowych w firmie, a także zwrócił się o wyjaśnienia w zakresie faktycznego ich stosowania przez pracowników i członków organów spółki. Na zakończenie zweryfikowano sposób przetwarzania danych osobowych w systemach informatycznych, a także przechowywania ich na optycznych nośnikach danych. We wszystkich czynnościach uczestniczył, w roli obserwatora, pracownik upoważniony przez zarząd spółki.

Po zakończeniu czynności sprawdzających sporządzony został protokół, który przedstawiono zarządowi spółki. Wobec tego, że czynności sprawdzające potwierdziły dalsze spełnianie warunków certyfikacji przez ABC spółka z o.o., zarząd podpisał protokół bez sporządzania pisemnych zastrzeżeń. ©℗

Art. 26. [Opłata za przeprowadzenie certyfikacji]

1. Prezes Urzędu pobiera za czynności związane z certyfikacją opłatę, której wysokość odpowiada przewidywanym kosztom poniesionym z tytułu wykonywania tych czynności.

2. Prezes Urzędu, ustalając wysokość opłaty, bierze pod uwagę zakres certyfikacji, przewidywany przebieg i długość postępowania certyfikującego oraz koszt pracy pracownika wykonującego czynności związane z certyfikacją.

3. Maksymalna wysokość opłaty nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2017 r. poz. 1383, z późn. zm.).

4. Prezes Urzędu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej podaje wysokość opłaty, którą podmiot, o którym mowa w art. 15, obowiązany jest ponieść z tytułu czynności związanych z certyfikacją.

5. Opłata stanowi dochód budżetu państwa.

komentarz

• Wysokość opłaty. Jak można wnioskować z wcześniejszych przepisów komentowanej ustawy, proces certyfikacji jest postępowaniem skomplikowanym oraz czasochłonnym. Nie dziwi zatem fakt, że z tego tytułu pobierana będzie opłata. Jej wysokość z jednej strony powinna odpowiadać przewidywanym kosztom poniesionym z tytułu wykonywania czynności związanych z certyfikacją, ale z drugiej nie może przekraczać czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację.
• Podstawa do wyliczeń. Na marginesie należy wskazać, że przeciętne wynagrodzenie, o którym mowa w komentowanym przepisie w 2017 r., wynosiło 4271,51 zł, a zatem maksymalna wysokość opłaty za czynności certyfikacji, jeżeli wniosek o jej udzielenie zostałby złożony w 2018 r., wyniosłaby 17086,04 zł. Co ważne, opłata ta może być w każdym roku inna – w zależności od ogłoszonej przez prezesa Głównego Urzędu Statystycznego wysokości przeciętnego wynagrodzenia w gospodarce narodowej.

Przy czym prezes UODO nie musi decydować się na określenie opłaty na maksymalnym poziomie dopuszczonym przez komentowaną ustawę. Nie ma bowiem przeszkód, aby ustalił opłatę w wysokości niższej niż maksymalna oraz nie podwyższał jej w każdym kolejnym roku kalendarzowym.

• Zmiana limitu wysokości opłaty. Zwrócić można również uwagę na to, że ewentualna aktualizacja wysokości maksymalnej wysokości przedmiotowej opłaty – w związku ze zmianą wysokości przeciętnego wynagrodzenia za pracę – możliwa będzie najwcześniej w drugim tygodniu lutego danego roku kalendarzowego. Wynika to z tego, iż prezes GUS jest zobowiązany do ogłoszenia kwoty ww. przeciętnego wynagrodzenia do siódmego roboczego dnia lutego każdego roku – za rok poprzedni.
• Zróżnicowanie wysokości. Opłata maksymalna stanowić będzie górną granicę wynagrodzenia za podejmowane przez prezesa UODO czynności z zakresu certyfikacji. Nie będzie to zatem opłata stała, pobierana od każdego z podmiotów ubiegających się o certyfikację. Intencją ustawodawcy jest bowiem, aby pobierana opłata ulegała zmianie w zależności od podmiotu, który ubiega się o certyfikację, oraz od zakresu dokonywanej certyfikacji. Pozwolić to ma na zróżnicowanie jej wysokość, tak aby była ona akceptowalna dla małych podmiotów, w tym mikroprzedsiębiorstw. W tym celu prezes UODO każdorazowo po otrzymaniu wniosku o udzielenie certyfikacji analizować będzie zakres certyfikacji, a zatem także rodzaj podmiotu, który wystąpił z wnioskiem, przewidywany przebieg i długość postępowania certyfikującego oraz koszt pracy pracownika wykonującego czynności związane z certyfikacją. Pamiętać bowiem należy, że o udzielenie certyfikacji ubiegać się mogą cztery kategorie podmiotów, w przypadku każdej z nich zakres certyfikacji będzie inny. Mowa tu o podmiotach występujących w roli:

– administratora danych osobowych,

– podmiotu przetwarzającego (procesora),

– producenta,

– podmiotu wprowadzającego usługę lub produkt na rynek.

• Publikacja opłat maksymalnych. Wysokość opłat publikowana będzie na stronie internetowej prezesa UODO – w zakładce BIP. Obecnie, tj. na moment zamknięcia niniejszej części komentarza, nie opublikował on wysokości ww. opłat.

Opłaty pobierane przez prezesa UODO stanowić będą dochód budżetu państwa – bez konkretnego ich przypisania bądź określenia celów jego wydatkowania.

• Opłaty pobierane przez inne podmioty. Co ważne, komentowany artykuł reguluje wyłącznie maksymalną wysokość opłaty pobieranej przez prezesa UODO i nie odnosi się do wysokości opłat za czynności certyfikacyjne dokonywane przez inne podmioty certyfikujące. Kwestie te podlegać będą regulacji przez te podmioty. Można się spodziewać, iż będą one starały się konkurować o klienta nie tylko pomiędzy sobą, ale także z prezesem UODO, który również jest uprawniony do udzielania certyfikacji. Dlatego raczej nie należy spodziewać się znaczących różnic między wysokością opłat pobieranych przez prezesa UODO oraz ustalanych przez podmioty certyfikujące. Na wytworzenie się konkretnej praktyki w tym zakresie należy jednak poczekać. Bez wątpienia wysokość opłaty za czynności certyfikacyjne będzie jednym z negocjowanych elementów umów cywilnoprawnych zawieranych przez podmioty certyfikujące z ich klientami.

Rozdział 5

Opracowywanie i zatwierdzanie kodeksu postępowania oraz warunki i tryb akredytacji podmiotu monitorującego jego przestrzeganie

Art. 27. [Opracowywanie, opiniowanie i zatwierdzanie kodeksów postępowania]

1. Kodeks postępowania jest opracowywany, opiniowany i zatwierdzany na zasadach określonych w rozporządzeniu 2016/679.

2. Kodeks postępowania przed przekazaniem do zatwierdzenia Prezesowi Urzędu podlega konsultacjom z zainteresowanymi podmiotami.

3. Informację o przeprowadzonych konsultacjach oraz ich wyniku przekazuje się Prezesowi Urzędu wraz z kodeksem postępowania.

4. W przypadku uznania przez Prezesa Urzędu zakresu konsultacji za niewystarczający, wzywa on podmiot do przeprowadzenia ponownych konsultacji, wskazując ich zakres.

5. Stroną postępowania w sprawie zatwierdzenia kodeksu postępowania jest wyłącznie wnioskodawca występujący o zatwierdzenie tego kodeksu. Przepisu art. 31 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

6. Do zmiany zatwierdzonego kodeksu postępowania lub jego rozszerzenia stosuje się ust. 1–5.

komentarz

• Kodeksy postępowania. Nazwa omawianego instrumentu może być myląca. Nie chodzi tu bowiem o ustawy w randze kodeksów, ale swoiste zbiory dobrych praktyk wydawane przez określone podmioty. Uprawnienie takie przysługuje zrzeszeniom oraz innym podmiotom reprezentującym określone kategorie administratorów danych osobowych lub podmioty przetwarzające. Będą to zatem w szczególności samorządy i izby gospodarcze, a także stowarzyszenia i zrzeszenia skupiające określone kategorie przedsiębiorców, przedstawicieli wolnych zawodów itp.
• Obowiązkowe konsultacje. Pierwszym krokiem po opracowaniu projektu kodeksu postępowania jest przeprowadzenie obowiązkowych konsultacji z zainteresowanymi podmiotami. W określeniu sposobu ich przeprowadzenia pomocny jest motyw 99 preambuły do RODO. Wskazano w nim mianowicie, że sporządzając kodeks postępowania bądź zmieniając go lub rozszerzając jego zakres, zrzeszenia i inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających, powinny konsultować się z odpowiednimi stronami, których sprawa dotyczy, w tym – jeżeli jest to wykonalne – z osobami, których dane dotyczą, oraz mieć na względzie uwagi i opinie otrzymane w ramach takich konsultacji. Polski ustawodawca nie zdecydował się na wprowadzenie katalogu podmiotów, z którymi jednostka wprowadzająca kodeks postępowania powinna się konsultować. Komentowana ustawa nakłada zatem jedynie ogólny obowiązek konsultacji.

Dobór podmiotów do konsultacji nie został jednakże pozostawiony pełnej swobodzie projektodawcy danego kodeksu postępowania. Informację o przeprowadzonych konsultacjach oraz ich wyniku przekazuje się bowiem prezesowi UODO wraz z kodeksem postępowania. Organ nadzoru natomiast, o ile uzna zakres konsultacji za niewystarczający, wezwie wnioskodawcę do przeprowadzenia ponownych konsultacji, wskazując ich zakres. [przykład 3]

przykład 3

Jak izba gospodarcza powinna przeprowadzić konsultacje

Izba gospodarcza zrzeszająca przedsiębiorców z branży X zdecydowała się przygotować kodeks dobrych praktyk, który będzie obowiązywał administratorów danych osobowych.

W tej sytuacji władze izby powinny najpierw przygotować projekt, a następnie przedstawić go swoim członkom, dając im czas na wnoszenie do niego swoich uwag. W przypadku ich wniesienia powinny one zostać rozpatrzone przez powołaną do tego komisję bądź organ izby, co należy stwierdzić protokołem albo innym dokumentem pozwalającym na weryfikację sposobu rozpatrzenia danej uwagi.

przykład 4

Weryfikacja deklaracji

Spółka Kowalski i Partnerzy zobowiązała się do stosowania kodeksu postępowania wprowadzonego przez samorząd zawodowy, którego członkami są jej wspólnicy.

Podmiot akredytowany, posiadający akredytację prezesa UODO do przeprowadzania monitoringu zatwierdzonego danego kodeksu branżowego, będzie mógł przeprowadzić czynności sprawdzające. Monitoring ten będzie miał m.in. na celu sprawdzenie, czy dany podmiot przestrzega ustalonych w kodeksie zasad. Poddanie się monitoringowi jest obowiązkiem podmiotu, który podpisał deklarację o przestrzeganiu kodeksu postępowania. ©℗

• Zatwierdzenie projektu kodeksu lub zmian w kodeksie. W celu wprowadzenia, rozszerzenia bądź zmiany kodeksu postępowania dane zrzeszenie zobowiązane jest do zastosowania jednej z niżej wskazanych procedur. Wybór właściwej zależy od tego, czy dany kodeks postępowania ma dotyczyć czynności przetwarzania prowadzonych w jednym czy też w kilku państwach członkowskich.
• Procedura krajowa przed prezesem UODO. Jeżeli kodeks postępowania ma dotyczyć czynności przetwarzania prowadzonych w jednym kraju, organizacja powinna przedłożyć jego projekt (ewentualnie odpowiednio: projekt jego zmiany lub rozszerzenia) prezesowi UODO. Ten zaś, zgodnie z procedurą, wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z przepisami RODO, a następnie zatwierdza taki projekt, zmiany lub rozszerzenia bądź odmawia takiego zatwierdzenia. Po zatwierdzeniu kodeks postępowania jest rejestrowany i publikowany przez prezesa UODO, a organizacja może zacząć go stosować.

Co ważne, stroną postępowania w sprawie zatwierdzenia kodeksu postępowania jest wyłącznie wnioskodawca występujący o dokonanie tej czynności. Ustawodawca krajowy do postępowań administracyjnych prowadzonych w tym zakresie przez prezesa UODO wprost bowiem wyłączył stosowanie art. 31 kodeksu postępowania administracyjnego (przyznaje on uprawnienie organizacjom społecznym do występowania z żądaniem wszczęcia bądź dopuszczenia do udziału w postępowaniu dotyczącym innej osoby).

• Zatwierdzenie przez Komisję Europejską. W przypadku jeżeli kodeks postępowania ma być stosowany do czynności przetwarzania prowadzonych w więcej aniżeli jednym państwie członkowskim, wówczas prezes UODO przed zatwierdzeniem przedłożonego projektu ma obowiązek zwrócić się do Europejskiej Rady Ochrony Danych. Ta zaś wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z przepisami RODO. Następnie, jeżeli wskazana opinia potwierdza, że projekt kodeksu, zmiany lub rozszerzenia jest zgodny z rozporządzeniem, Europejska Rada Ochrony Danych przedkłada tę opinię Komisji Europejskiej. W kolejnym kroku tej procedury KE może stwierdzić, że zatwierdzony kodeks postępowania, zmiana lub rozszerzenie będą powszechnie obowiązujące w Unii Europejskiej.
• Baza informacji o kodeksach. Na marginesie należy dodać, że Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie zatwierdzone kodeksy postępowania, zmiany czy rozszerzenia i udostępnia je opinii publicznej za pomocą odpowiednich środków. Baza danych tego organu będzie zatem źródłem wiedzy o treści zatwierdzonych kodeksów postępowania.

W przypadku woli dokonania zmiany albo rozszerzenia zatwierdzonego kodeksu postępowania podmiot, który go wprowadził, powinien postąpić analogicznie, jak w przypadku jego pierwotnego wprowadzenia. Oznacza to w szczególności konieczność przeprowadzenia konsultacji w odpowiednim zakresie, a także wystąpienie do prezesa UODO o zatwierdzenie nowego brzmienia kodeksu postępowania.

Art. 28. [Podmiot monitorujący]

Przestrzeganie zatwierdzonego kodeksu postępowania monitoruje podmiot akredytowany przez Prezesa Urzędu na zasadach określonych w art. 41 rozporządzenia 2016/679.

komentarz

• Monitorowanie przestrzegania kodeksów. Niezależnie od nadzorczych kompetencji prezesa UODO monitorowanie przestrzegania zatwierdzonych kodeksów postępowania może zostać powierzone podmiotom, które dysponują odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem danego kodeksu oraz uzyskały akredytację organu nadzoru. Z uwagi na uregulowanie podstawowych zasad odnoszących się do monitorowania przestrzegania kodeksów postępowania bezpośrednio w przepisach RODO (art. 40–41) polski ustawodawca nie był zobowiązany do wprowadzania w tym zakresie regulacji krajowej. Z tych też względów przepisy rozdziału 5 komentowanej ustawy odsyłają w zasadniczych kwestiach wprost do odpowiednich artykułów RODO. Ustawa zaś skupia się na unormowaniu zasad akredytacji podmiotów monitorujących. [przykład 4]

• Zakres monitorowania. Monitorowanie przestrzegania zatwierdzonego kodeksu postępowania nie obejmuje badania zgodności samego dokumentu z przepisami prawa ochrony danych osobowych. Kompetencję do zatwierdzenia takiego kodeksu posiada jedynie prezes UODO. Wspomniany podmiot monitorujący nie prowadzi również nadzoru nad instytucją, która wprowadziła kodeks postępowania. Do jego zadań należy zaś weryfikacja, czy administratorzy danych bądź podmioty przetwarzające, którzy zadeklarowali stosowanie kodeksu postępowania, faktycznie postępują zgodnie z jego postanowieniami. Co ważne, monitoring, o którym mowa w komentowanym przepisie, nie znajduje zastosowania do przetwarzania danych osobowych prowadzonego przez organy i podmioty publiczne.
• Obowiązki i uprawnienia podmiotu akredytowanego. Akredytacja w zakresie monitorowania przestrzegania kodeksów postępowania może zostać udzielona jednostce, która spełnia zarówno kryteria akredytacji wynikające z przepisów art. 41 ust. 1 i 2 RODO, jak i wprowadzone przez prezesa UODO. Kryteria te zostaną szczegółowo omówione w komentarzu do kolejnego artykułu niniejszej ustawy.

Monitorowanie zatwierdzonych kodeksów postępowania ma dwojakie cele. Z jednej strony pozwala na potwierdzenie faktycznego wdrożenia zasad w nich przyjętych. Ale z drugiej dzięki działaniom weryfikującym możliwe jest wyeliminowanie z listy podmiotów stosujących kodeksy tych jednostek, które wbrew złożonym deklaracjom naruszają ustanowione postanowienia. Aby było to możliwe, podmiotom certyfikującym przyznano dodatkowe uprawnienia. Mają one prawo do podejmowania odpowiednich działań w przypadku naruszenia kodeksu przez administratora lub podmiot przetwarzający, w tym do zawieszania lub wykluczania administratora lub podmiot przetwarzający spośród stosujących dany kodeks.

Co więcej, podmiot monitorujący jest zobowiązany do poinformowania prezesa UODO o ww. działaniach oraz powodach podjęcia takich decyzji. To zaś może skutkować dalszymi działaniami względem danej jednostki, już bezpośrednio przez prezesa UODO. Tak może się stać, gdyby przeprowadzony monitoring wykazał, że dana jednostka nie tylko nie przestrzega kodeksu postępowania, ale dodatkowo narusza przepisy prawa bezwzględnie obowiązującego w zakresie ochrony danych osobowych.

• Możliwość cofnięcia akredytacji dla podmiotu monitorującego. Na marginesie należy dodać, że prezes UODO jest uprawniony do cofnięcia akredytacji podmiotowi monitorującemu, jeżeli ten nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania przez niego podejmowane są niezgodne z przepisami RODO. Więcej na ten temat w komentarzu do art. 32 u.o.d.o.

Rola kodeksów postępowania

Zasadniczym celem kodeksów postępowania jest doprecyzowanie sposobu stosowania przepisów RODO, m.in. w odniesieniu do:

a) rzetelnego i przejrzystego przetwarzania;

b) prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;

c) zbierania danych osobowych;

d) pseudonimizacji danych osobowych (termin ten oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej);

e) informowania opinii publicznej i osób, których dane dotyczą;

f) wykonywania przez osoby, których dane dotyczą, przysługujących im praw;

g) informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;

h) środków i procedur ochrony danych stosowanych przez administratorów, w tym uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32 RODO;

i) zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;

j) przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, lub

k) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą.

Prócz doprecyzowania sposobu stosowania ww. elementów bądź tylko niektórych z nich każdy kodeks postępowania musi zawierać mechanizmy, które pozwalają akredytowanemu podmiotowi prowadzić obowiązkowe monitorowanie. Ma to umożliwić sprawdzenie, czy administratorzy lub podmioty przetwarzające, które zobowiązały się do stosowania przepisów kodeksu postępowania, przestrzegają zapisanych w nich wymogów.

Stosowanie kodeksu postępowania jest dobrowolne, jednakże może się wiązać z korzyściami dla podmiotu, który zobowiązał się do jego stosowania. Przykładowo, należy wskazać na następujące udogodnienia:

– wykazanie spełnienia przez administratora danych bądź podmiot przetwarzający obowiązków w zakresie bezpieczeństwa przetwarzania danych osobowych może nastąpić poprzez stosowanie zatwierdzonego kodeksu postępowania;

– oceniając skutki operacji przetwarzania wykonywanych przez administratora lub podmiot przetwarzający – w szczególności do celów oceny skutków dla ochrony danych – uwzględnia się przez takiego administratora lub taki podmiot przetwarzający przestrzeganie zatwierdzonych kodeksów postępowania;

– administrator danych i podmiot przetwarzający z państwa trzeciego mogą stosować zatwierdzone kodeksy postępowania w celu zapewnienia odpowiednich zabezpieczeń w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych. W takim przypadku podmioty te podejmują wiążące i egzekwowalne zobowiązanie – w drodze umowy lub poprzez inne prawnie wiążące instrumenty – do stosowania tych odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Z drugiej wszakże strony podmioty, które zobowiązały się do stosowania kodeksu postępowania, muszą się liczyć z możliwością przeprowadzenia monitoringu względem nich w zakresie przestrzegania postanowień danego kodeksu postępowania. Monitoring taki przeprowadzają jednostki posiadające specjalną akredytację, o czym niżej w komentarzu do art. 28 ustawy. ©℗

Art. 29. [Wniosek o udzielenie akredytacji w zakresie monitorowania]

1. Akredytacja podmiotu, o którym mowa w art. 28, jest udzielana na wniosek, który zawiera co najmniej:

1) nazwę podmiotu ubiegającego się o akredytację oraz adres jego siedziby;

2) informacje potwierdzające spełnianie kryteriów, o których mowa w art. 41 ust. 1 i 2 rozporządzenia 2016/679.

2. Do wniosku dołącza się dokumenty potwierdzające spełnianie kryteriów, o których mowa w art. 41 ust. 1 i 2 rozporządzenia 2016/679, albo ich kopie.

3. Wniosek składa się pisemnie w postaci papierowej opatrzonej własnoręcznym podpisem albo w postaci elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

komentarz

• Wniosek o udzielenie akredytacji podmiotowi monitorującemu. Składany jest bezpośrednio do prezesa UODO. Jego zasadniczą część, prócz danych samego wnioskodawcy, stanowi informacja mająca wykazać spełnienie kryteriów akredytacji wskazanych w RODO.

Jak wynika natomiast z norm zawartych w rozporządzeniu, akredytacja w zakresie monitorowania przestrzegania kodeksów postępowania może zostać udzielona jednostce, która spełnia niżej wskazane kryteria akredytacji:

– dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem zatwierdzonego kodeksu postępowania, którego przestrzeganie ma podlegać monitorowaniu przez wnioskodawcę. Jak już była o tym mowa w komentarzu do poprzedniego artykułu ustawy, podmiot monitorujący musi posiadać wiedzę nie tylko z zakresu przepisów o ochronie danych osobowych, ale także regulujących działalność podmiotów z danej branży, dla której kodeks postępowania został wprowadzony. Co więcej, ma być to nie tylko ogólna wiedza teoretyczna, ale, jak stanowi RODO, wiedza fachowa. Termin ten pojawia się w rozporządzeniu również w kontekście wymagań stawianych inspektorom ochrony danych osobowych. Jak wynika natomiast z motywu 97 preambuły do RODO, wiedza fachowa w tym kontekście powinna obejmować zarówno wiedzę na temat prawa, jak i praktyk w danej dziedzinie. Nadto, niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający. Powyższe wyjaśnienia mogą być posiłkowo stosowane również w celu określenia terminu wiedza fachowa na gruncie art. 41 ust. 1 RODO,

– w sposób satysfakcjonujący wykazuje swoją niezależność i wiedzę fachową w dziedzinie będącej przedmiotem kodeksu postępowania. Ważne jest zatem nie tylko, aby podmiot monitorujący posiadał wiedzę z zakresu ochrony danych osobowych, ale także miał specjalistyczną wiedzę z dziedziny, w której działalność prowadzi instytucja, która wprowadziła kodeks postępowania. Innymi słowy, jeżeli monitorowaniu podlegałyby kodeksy postępowania ustanowione przez samorządy zawodów medycznych, to podmiot monitorujący musi legitymować się także wiedzą fachową z tej branży,

– dysponuje procedurami, które pozwalają mu: ocenić zdolność konkretnych administratorów i podmiotów przetwarzających do stosowania kodeksu, monitorować przestrzeganie przez nich jego przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania,

– dysponuje procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie kodeksu przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania kodeksu przez administratora lub podmiot przetwarzający, oraz które pozwalają zapewnić przejrzystość tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej oraz

– w sposób satysfakcjonujący wykazuje, że jego zadania i obowiązki nie powodują konfliktu interesów. Konieczne jest zatem wykluczenie możliwości, w których podmiotowi monitorującemu można by zarzucić brak obiektywizmu bądź istnienie jakiegokolwiek typu powiązań mogących rodzić wątpliwości w tym zakresie. Wykluczone jest zatem przeprowadzanie monitorowania przestrzegania kodeksu postępowania w jednostkach, które współpracują z podmiotem monitorującym, czy też których pracownicy są zatrudnieni bądź współpracują jednocześnie z podmiotem monitorującym. [przykład 5]

przykład 5

Konflikt interesów wyklucza monitorowanie

Akredytację uzyskuje prywatny instytut badawczy, który współpracuje z wybitnymi specjalistami z danej branży. Jeden z kluczowych ekspertów, który przeprowadzać ma zadania z zakresu monitorowania, jest dodatkowo członkiem rady nadzorczej spółki powołanej w celu komercjalizacji wyników badań naukowych i prac rozwojowych. Spółka ta stosuje kodeks postępowania wprowadzony przez zrzeszenie, którego jest członkiem. Ze względu na opisane powyżej powiązanie podmiot monitorujący, którym jest ww. prywatny instytut badawczy, nie może przeprowadzić monitoringu w tejże spółce.

Co więcej, podmiot monitorujący powinien posiadać przejrzystą procedurę eliminowania sytuacji obarczonych ryzykiem wystąpienia konfliktu interesów. ©℗

Wskazane powyżej podstawowe warunki udzielenia certyfikacji wynikają wprost z RODO, a ich rozwinięcie będzie miało miejsce w kryteriach akredytacji. Ich spełnienie – w tym, czy dany podmiot wykazał w sposób satysfakcjonujący istnienie poszczególnych przesłanek – oceniać będzie prezes UODO w postępowaniu o udzielenie akredytacji (uwaga – procedura akredytacji zostanie omówiona przy okazji komentowania dalszych artykułów ustawy). Kryteria akredytacji ustanawia prezes UODO, niemniej jednak ma on obowiązek uzyskania opinii Europejskiej Rady Ochrony Danych Osobowych w ramach tzw. mechanizmu spójności. Wspomniana procedura ma przyczynić się do spójnego stosowania RODO w całej Unii Europejskiej. Dzięki niej kryteria akredytacji stosowane przez organy nadzorcze poszczególnych państw członkowskich będą do siebie zbliżone. To zaś ma zapewnić, że monitorowanie przestrzegania zatwierdzonych kodeksów postępowania będzie się odbywało na zbliżonych zasadach oraz podobnym poziomie rzetelności i fachowości na terenie całej Unii Europejskiej.

• Niezbędne dokumenty. Podmiot ubiegający się o przedmiotową akredytację powinien dołączyć do swojego wniosku dokumenty potwierdzające spełnianie kryteriów. Mogą to być bez wątpienia różnego typu certyfikaty bądź dyplomy potwierdzające wiedzę kadry zatrudnionej przez wnioskodawcę, a także stwierdzające stosowanie różnego typu standardów (np. ISO). Dokumentami takimi mogą być także umowy, zaświadczenia lub referencje dokumentujące doświadczenie podmiotu ubiegającego się o akredytację w dziedzinie, w której zamierza on prowadzić monitoring kodeksów postępowania. Z uwagi na treść art. 41 ust. 2 RODO dokumentami takimi będą również treści procedur, które pozwalają:

– ocenić zdolność konkretnych administratorów i podmiotów przetwarzających do stosowania kodeksu, monitorować przestrzeganie przez nich jego przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania;

– rozpatrywać skargi na naruszenie kodeksu przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania kodeksu przez administratora lub podmiot przetwarzający oraz zapewniające przejrzystość tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej;

– unikać konfliktu interesów.

Ustawodawca nie zawęża katalogu dokumentów, którymi wnioskodawca może wykazywać spełnienie kryteriów certyfikacji. Zatem podmiot ubiegający się o nią może przedkładać inne dokumenty niż wymienione powyżej. Dokumentacja nie musi być przedłożona prezesowi UODO w oryginałach. Ustawa wprost bowiem zezwala na dołączenie do wniosku o udzielenie akredytacji kopi niezbędnych dokumentów. Nie wskazuje przy tym obowiązku przedkładania odpisów poświadczonych notarialnie czy też poświadczonych za zgodność z oryginałem przez profesjonalnego pełnomocnika reprezentującego wnioskodawcę. Jest to o tyle zrozumiałe, że wniosek może zostać złożony również w formie elektronicznej.

Nadto prezes UODO może, w toku rozpatrywania wniosku o dzielenie certyfikacji, wezwać wnioskodawcę do uzupełnienia złożonego przez niego wniosku, jeżeli w ocenie organu nadzoru nie spełnia on ww. wymagań ustawowych. Szerzej na ten temat w komentarzu do art. 30 ustawy.

• Forma wniosku. Wniosek o udzielenie certyfikacji podmiotowi monitorującemu może zostać złożony na kilka sposobów. Tradycyjnie, w postaci papierowej z podpisem wnioskodawcy albo w postaci elektronicznej – opatrzonej kwalifikowanym podpisem elektronicznym bądź podpisem potwierdzonym profilem zaufanym ePUAP. Ustawodawca nie przewidział przy tym urzędowego wzorca wniosku o udzielenie certyfikacji. Wystarczające jest zatem, aby wniosek taki zawierał opisane powyżej elementy oraz dołączono do niego niezbędne dokumenty potwierdzające treść informacji zawartych we wniosku.

Art. 30. [Procedura rozpatrzenia wniosku]

1. Prezes Urzędu rozpatruje wniosek, o którym mowa w art. 29 ust. 1, i w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku zgodnego z art. 29, po zbadaniu spełniania kryteriów, o których mowa w art. 41 ust. 1 i 2 rozporządzenia 2016/679, zawiadamia podmiot ubiegający się o akredytację o udzieleniu lub odmowie udzielenia akredytacji.

2. Wniosek złożony do Prezesa Urzędu niezawierający informacji, o których mowa w art. 29 ust. 1 pkt 1, pozostawia się bez rozpoznania. Jeżeli wniosek nie zawiera informacji, o których mowa w art. 29 ust. 1 pkt 2, lub nie spełnia wymagań, o których mowa w ust. 2 lub 3, Prezes Urzędu wzywa wnioskodawcę do ich uzupełnienia wraz z pouczeniem, że ich nieuzupełnienie w terminie 7 dni od dnia doręczenia wezwania spowoduje pozostawienie wniosku bez rozpoznania.

3. W przypadku stwierdzenia, że podmiot ubiegający się o akredytację nie spełnia kryteriów, o których mowa w art. 41 ust. 1 i 2 rozporządzenia 2016/679, Prezes Urzędu odmawia udzielenia akredytacji. Odmowa udzielenia akredytacji następuje w drodze decyzji.

komentarz

• Rozpatrzenie wniosku. Procedura rozpatrzenia wniosku o udzielenie akredytacji dla podmiotu monitorującego zbliżona jest do postępowania prowadzonego w przedmiocie certyfikacji. Podobnie jak w przypadku wniosku o certyfikację, prezes urzędu powinien rozpatrzyć wniosek o udzielenie akredytacji w terminie nie dłuższym niż trzy miesiące.

Termin ten jest liczony od dnia złożenia wniosku spełniającego ustawowe wymagania. W przypadku gdy złożony zostanie wniosek zawierający braki formalne, termin ten zacznie biec dopiero od momentu ich uzupełnienia.

Podobnie jak w ogólnym postępowaniu administracyjnym, brak we wniosku danych adresowych wnioskodawcy będzie skutkować pozostawieniem wniosku bez rozpoznania. Jednakże należy zwrócić uwagę na art. 64 par. 1 kodeksu postępowania administracyjnego. Zgodnie z nim podanie pozostawia się bez rozpoznania, jeżeli nie wskazano w nim adresu wnoszącego oraz dodatkowo nie ma możności ustalenia tego adresu na podstawie posiadanych danych. Komentowana ustawa nie zawiera ostatniego z zastrzeżeń. Niemniej jednak nie sposób wykluczyć całkowicie sytuacji, że adres wnioskodawcy zostanie ustalony nie w oparciu o samą treść wniosku, ale załączonych do niego dokumentów. W dokumentach potwierdzających informacje wskazane we wniosku może znajdować się bowiem adres wnioskodawcy. Przy czym musi on z nich wynikać w sposób jednoznaczny. Przykładowo, na poszczególnych dokumentach nie mogą znajdować się różne adresy wnioskodawcy.

• Wezwanie do uzupełnienia braków. Jeżeli wniosek nie zawiera innych wymaganych elementów, bądź nie załączono do niego niezbędnych załączników, prezes UODO przeprowadzi procedurę uzupełnienia braków formalnych wniosku. W tym celu, podobnie jak w postępowaniu o udzielenie certyfikacji, wezwie wnioskodawcę do uzupełnienia określonych braków wniosku wraz z pouczeniem, że ich nieuzupełnienie w terminie siedmiu dni od dnia doręczenia wezwania spowoduje pozostawienie wniosku bez rozpoznania.
• Odpowiedź na pozostawienie bez rozpoznania. Pozostawienie bez rozpoznania to niezaskarżalna czynność materialno-techniczna organu (zob. wyrok NSA z 24 lipca 2012 r., sygn. akt I OSK 842/12). Wnioskodawca nie może zatem wnieść skargi na nią do sądu administracyjnego. Nie pozbawia go to jednak możliwości obrony swoich praw. Rzecz jasna może on wystąpić z ponownym wnioskiem, który zawierać będzie wszystkie elementy wymagane prawem. Może on również wystąpić do sądu administracyjnego ze skargą na bezczynność organu administracji publicznej – wobec zaniechania wszczęcia jurysdykcyjnego postępowania administracyjnego na podstawie wniesionego przez wnioskodawcę podania (zob. wyrok WSA w Szczecinie z 5 grudnia 2007 r., sygn. akt II SA/Sz 542/07).

Wniesienie skargi na bezczynność organu w zakresie rozpatrzenia wniosku o udzielenie akredytacji wymaga uprzedniego wystosowania do prezesa UODO ponaglenia. W myśl bowiem art. 53 par. 2b ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2018 r. poz. 1302) skargę na bezczynność lub przewlekłe prowadzenie postępowania można wnieść w każdym czasie po wniesieniu ponaglenia do właściwego organu. Co prawda, przewidziany w art. 53 par. 2b ww. ustawy wymóg wniesienia ponaglenia trzeba odnieść do bezczynności organu w zakresie spraw rozpoznawanych w trybie k.p.a. (zob. wyrok WSA w Poznaniu z 4 października 2017 r., sygn. akt II SAB/Po 116/17). Niemniej jednak, zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed prezesem UODO, o których mowa w rozdziałach 4–7 i 11, stosuje się kodeks postępowania administracyjnego. Procedura akredytacji została natomiast uregulowana w rozdziale 5 u.o.d.o. W ponagleniu należy wezwać organ nadzoru do przeprowadzenia postępowania, którego zaniechał w związku z pozostawieniem wniosku bez rozpoznania. Zasadne jest także wskazanie w treści pisma argumentacji mającej dowodzić niesłuszność rozstrzygnięcia prezesa UODO. Jeżeli organ nie zastosuje się do treści ponaglenia (a więc. np. w odpowiedzi na ponaglenie podtrzyma dotychczasową argumentację mającą przemawiać za pozostawieniem wniosku bez rozpoznania), wnioskodawca będzie uprawniony do wystąpienia ze skargą na jego bezczynność.

• Skutki uwzględnienia skargi na bezczynność. W przypadku uwzględnienia skargi na bezczynność sąd administracyjny zobowiązuje w wyroku organ nadzoru do dokonania stosownych czynności w określonym przez sąd terminie. Ponadto, z urzędu albo na wniosek strony, sąd ten może orzec o wymierzeniu organowi grzywny lub przyznać od organu na rzecz skarżącego sumę pieniężną do wysokości połowy kwoty grzywny. Grzywnę tę wymierza się do wysokości dziesięciokrotnego przeciętnego wynagrodzenia miesięcznego w gospodarce narodowej w roku poprzednim, ogłaszanego przez prezesa GUS. [przykład 6]

przykład 6

Co zrobić, gdy prezes pozostawi wniosek o akredytację bez rozpoznania

ABC spółka z o.o. wystąpiła do prezesa UODO z wnioskiem o udzielenie akredytacji. Organ nadzoru po zbadaniu wniosku wezwał spółkę w trybie art. 30 ust. 2 ustawy o ochronie danych osobowych do uzupełnienia wniosku we wskazany sposób. W wezwaniu zostało zawarte także pouczenie, iż nieuzupełnienie wniosku w terminie siedmiu dni od dnia doręczenia wezwania spowoduje pozostawienie wniosku bez rozpoznania.

Wnioskodawca w odpowiedzi wskazał, że wszystkie informacje i dokumenty, których obecnie żąda organ nadzoru, zostały złożone wraz z wnioskiem. Wobec powyższego prezes UODO uznał, że wniosek nie został uzupełniony oraz pozostawił go bez rozpoznania.

ABC spółka z o.o. po uzyskaniu informacji o pozostawieniu jej wniosku bez rozpoznania wystąpiła do prezesa UODO z ponagleniem, domagając się udzielenia certyfikacji. W odpowiedzi prezes UODO podtrzymał swoje dotychczasowe stanowisko. Spółka wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na bezczynność organu nadzoru. ©℗

• Badanie spełniania kryteriów. Jeżeli zostanie złożony wniosek spełniający warunki ustawowe, ewentualnie wnioskodawca uzupełni go na wezwanie organu nadzoru, prezes UODO przeprowadzać będzie merytoryczne badanie w zakresie spełniania kryteriów akredytacji przez wnioskodawcę.
• Odmowa akredytacji. W przypadku stwierdzenia, że podmiot ubiegający się o akredytację nie spełnia tychże kryteriów, prezes UODO wyda decyzję administracyjną w przedmiocie odmowy udzielenia akredytacji. Wobec jednoinstancyjności postępowania administracyjnego prowadzonego przed prezesem UODO decyzja ta ma status ostatecznej.

Wnioskodawca może wnieść na nią skargę do wojewódzkiego sądu administracyjnego. Więcej informacji na ten temat zamieszczono w komentarzu do art. 20 niniejszej ustawy.

• Pozytywny wynik badania. W przypadku uznania przez prezesa UODO, że wnioskodawca spełnia wszystkie warunki akredytacji, organ nadzoru informuje go o tym fakcie oraz wydaje certyfikat akredytacyjny, który zostanie omówiony w komentarzu do kolejnego artykułu ustawy.

Art. 31. [Treść certyfikatu akredytacyjnego]

1. Dokumentem potwierdzającym akredytację jest certyfikat akredytacyjny.

2. Certyfikat akredytacyjny zawiera co najmniej:

1) oznaczenie podmiotu akredytowanego i adres jego siedziby;

2) numer lub oznaczenie certyfikatu akredytacyjnego;

3) datę wydania i podpis Prezesa Urzędu albo osoby przez niego upoważnionej.

komentarz

• Certyfikat potwierdzający akredytację. Podobnie jak w przypadku certyfikatu potwierdzającego pozytywne rozpatrzenie wniosku o udzielenie certyfikacji, tak i w tym przypadku RODO nie wprowadza rozwiązań szczegółowych. Co więcej, rozporządzenie to nie zajmuje się tym zagadnieniem w jakiejkolwiek części. Przepisy unijne nie wymagają zatem, aby krajowe organy nadzorcze wydawały certyfikaty akredytacyjne podmiotom uprawnionym do monitorowania przestrzegania zatwierdzonych kodeksów postępowania.

Rozwiązanie takie zostało jednak wprowadzone w polskiej ustawie. Bez wątpienia to dobry krok: ułatwi ono weryfikację podmiotów monitorujących pod kątem ich faktycznych uprawnień, co przyczynić się może do zwiększenia zaufania wobec tych podmiotów.

Certyfikatem akredytacyjnym będzie mógł posługiwać się wyłącznie podmiot, który uzyskał certyfikację prezesa UODO.

• Treść certyfikatu. Certyfikat akredytacyjny będzie zawierać w szczególności informacje wskazane w ust. 2 komentowanego artykułu. Na dokumencie tym nie ma zatem konieczności wskazywania dziedziny będącej przedmiotem kodeksu postępowania, który to ma być monitorowany przez dany podmiot legitymujący się certyfikatem. Przy czym, jak wynika z konstrukcji omawianego przepisu, „zawiera on co najmniej” dane wymienione w treści ust. 2. Brzmienie tego przepisu nie stoi zatem na przeszkodzie, aby w treści certyfikatu znalazły się również inne informacje, które mogą być istotne z punktu widzenia zadań i obowiązków podmiotu akredytowanego.
• Termin obowiązywania. Jednym z obligatoryjnych elementów omawianego dokumentu będzie data jego wydania. Inaczej jednakże niż ma to miejsce w przypadku udzielania certyfikacji, akredytacja przyznawana jest bezterminowo. Data ta nie będzie miała zatem tak doniosłego znaczenia jak w przypadku certyfikatu, o którym mowa w art. 21 komentowanej ustawy. Zamieszczenie daty w treści certyfikatu akredytacyjnego nie jest wszakże całkowicie pozbawione znaczenia. Jak wynika bowiem z brzmienia przepisu art. 32 ust. 1 komentowanej ustawy, data ta jest wyznacznikiem kryteriów akredytacji, które winien spełniać podmiot akredytowany. Więcej na ten temat w komentarzu do kolejnego artykułu ustawy.
• Wykaz podmiotów akredytowanych. Na marginesie należy wskazać, że certyfikat akredytacyjny nie będzie stanowił jedynej możliwości udokumentowania posiadanych uprawnień przez podmiot, który się nim posługuje. Prezes UODO zobowiązany bowiem został do prowadzenia publicznie dostępnego wykazu podmiotów akredytowanych, o czym szerzej będzie mowa w komentarzu do art. 33 ustawy. Oba te elementy pozwolą na łatwe sprawdzenie, czy dana jednostka faktycznie posiada uprawnienia w zakresie monitorowania przestrzegania zatwierdzonych kodeksów postępowania.©℗