Resort cyfryzacji zmienił zdanie w sprawie zaświadczeń o zgodności firmowych systemów przetwarzania danych osobowych z unijnym rozporządzeniem. Oprócz UODO będą je wydawać również akredytowane podmioty.
dr hab. Mariusz Krzysztofek radca prawny, Director, Privacy Counsel – EMEA w Herbalife, prezes Instytutu Ochrony Danych Osobowych / Dziennik Gazeta Prawna

Podczas konferencji podsumowującej konsultacje społeczne dr Maciej Kawecki, koordynator prac nad krajową reformą ochrony danych osobowych w Ministerstwie Cyfryzacji, ogłosił, że certyfikat zgodności systemów przetwarzania danych osobowych z rozporządzeniem unijnym RODO będzie mógł wydać nie tylko prezes Urzędu Ochrony Danych Osobowych (PUODO), ale również wyspecjalizowane podmioty, które otrzymają akredytację Polskiego Centrum Akredytacji. To powrót do pierwotnej koncepcji resortu. A zmiana frontu to z kolei efekt lawiny krytyki – także na łamach naszego tygodnika – jaka spadła na ministerstwo po tym, jak chciało odciąć biznes od możliwości przeprowadzania certyfikacji.

Przypomnijmy: we wrześniu 2016 r. pisaliśmy, że w przypadku udzielania certyfikatów tylko przez PUODO może istnieć konflikt interesów. Organ ten w przypadku stwierdzenia nieprawidłowości podczas certyfikowania przedsiębiorcy musiałby bowiem wszcząć postępowanie z urzędu. – To zniechęcałoby przedsiębiorców do starania się o uzyskanie certyfikatu – przyznaje nam dziś dr Kawecki. Ponadto sam urząd mógłby nie poradzić sobie z wyznaczonym zadaniem. To byłoby dla niego duże obciążenie administracyjne, bo chętnych na uzyskanie certyfikatu może być bardzo wielu. Nie dość, że firma (np. biuro rachunkowe, agenci ubezpieczeniowi, prawnicy, podmioty zajmujące się obsługą informatyczną) będzie mogła się nim pochwalić przed potencjalnymi kontrahentami, to w resorcie pojawił się pomysł, aby takie podmioty były dodatkowo punktowane w przetargach.

Zdaniem ekspertów powstanie wolnego rynku podmiotów certyfikujących to dobra wiadomość dla przedsiębiorców zainteresowanych uzyskaniem takiego zaświadczenia. Większa konkurencja może oznaczać niższe ceny (te bowiem nie będą regulowane ustawowo) oraz możliwość szybszego uzyskania certyfikatu.

Trwają prace nad projektem ustawy o ochronie danych osobowych, który wdroży do polskiego prawa rozporządzenie Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych; Dz.Urz. UE z 2016 r. L 199, s. 1 (tzw. RODO). Rozporządzenie przewiduje możliwość uzyskania przez przedsiębiorców certyfikatów potwierdzających, że ich systemy przetwarzania danych są zgodne z RODO. Takim znakiem jakości firma (np. biuro rachunkowe, agenci ubezpieczeniowi, prawnicy, podmioty zajmujące się obsługą informatyczną) będzie mogła się pochwalić przed potencjalnymi kontrahentami, zwłaszcza obawiającymi się o bezpieczeństwo przekazywanych przez nich danych osobowych.
Powrót do założeń
Zgodnie z pierwotną koncepcją certyfikaty miał przyznawać prezes Urzędu Ochrony Danych Osobowych (PUODO), mający zastąpić obecnego generalnego inspektora ochrony danych osobowych (GIODO) oraz wyspecjalizowane firmy akredytowane przez Polskie Centrum Akredytacji, ale z czasem została ona zmieniona. I w projekcie ustawy z 13 września 2017 r. zapisano, że certyfikacji będzie dokonywać tylko PUODO. Eksperci wypowiadający się na łamach DGP nie pozostawili na tym pomyśle suchej nitki (pisaliśmy o tym: „Biznes nie zarobi na certyfikatach RODO” w DGP nr 186 z 26 września 2017 r.). 17 stycznia br. podczas konferencji podsumowującej konsultacje społeczne dr Maciej Kawecki, koordynator prac nad krajową reformą ochrony danych osobowych w Ministerstwie Cyfryzacji,ogłosił, że resort wraca do pierwotnej koncepcji. Przyznaje, że powodem tej zmiany była duża liczba osób wskazujących problemy, które poruszaliśmy także w naszej publikacji. Chodziło o możliwy konflikt interesów w przypadku podejmowania działań certyfikacyjnych tylko przez PUODO, który w razie wykrycia nieprawidłowości, musiałby wszcząć postępowanie z urzędu.
– To zniechęcałoby przedsiębiorców do starania się o jego uzyskanie. Dodatkowo certyfikacja podejmowana wyłącznie przez PUODO stanowiłaby dla niego znaczne obciążenie administracyjne – dodaje dr Kawecki.
Doktor Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński uważa, że decyzja resortu jest słuszna. – Dotychczasowe działania GIODO pokazały, że szybkość przeprowadzania kontroli nie jest najmocniejszą cechą tego urzędu. Tymczasem wielu przedsiębiorców jest żywo zainteresowanych uzyskaniem certyfikatu najszybciej jak będzie to możliwe – mówi dr Litwiński.
Wolny rynek
Tak więc podmioty ostrzące sobie zęby na możliwość zarobku z certyfikowania innych przedsiębiorców będą miały taką możliwość. Zwłaszcza że cena przeprowadzenia certyfikacji ma być sztywna tylko dla prezesa UODO – w projekcie z 13 września 2017 r. zaproponowano trzykrotność przeciętnego miesięcznego wynagrodzenia w gospodarce narodowej w roku poprzednim, a zatem ponad 12 tys. zł. Nie przewiduje się natomiast ingerencji w wysokość opłat za certyfikację podejmowaną na rynku.
– To rynek kreuje potrzebę certyfikatu i jego cenę. Musi być ona przecież uzależniona od kosztów – wyjaśnia dr Kawecki. – Zakładam, że będzie tu z czasem działała pewna konkurencyjność podmiotów, zarówno jeżeli chodzi o jakość, jak i cenę certyfikacji, no i relację jakości do ceny – dodaje. Większa konkurencja na rynku może sprawić, że przedsiębiorcy zainteresowani uzyskaniem certyfikatu, będą mogli liczyć np. na niższą cenę bądź sprawniejsze przeprowadzenie całego procesu.
Bankructwo. I co dalej?
Pojawiła się jednak niejasność. Co mianowicie stanie się z certyfikatem wydanym przez podmiot, który po pewnym czasie zbankrutował? Zgodnie z art. 42 ust. 7 projektu, dokument ten ma być ważny przez maksymalnie trzy lata. Ale jak wyjaśnia dr Kawecki, naturalnie jego odnowienie będzie trzeba przeprowadzić w innym podmiocie. Zaznacza, że zdaje sobie sprawę z presji rynkowej, która po upadku podmiotu certyfikującego zmuszałaby przedsiębiorcę do podjęcia starań o kolejną certyfikację. Zapewnia jednak, że eliminowanie takich sytuacji jest jednym z celów opracowywanego przez resort mechanizmu akredytacji podmiotów certyfikujących. Te mechanizmy certyfikacji mają znaleźć się w projekcie ustawy o ochronie danych osobowych. Ustawa powinna wejść w życie z datą rozpoczęcia stosowania RODO czyli 25 maja tego roku. I z tą datą formalnie w Polsce pojawi się mechanizm certyfikacji. Czy zatem już od tego dnia będzie można starać się o zaświadczenie? – To zależy od modelu, jaki przyjmiemy w naszych przepisach. A te tworzymy. Na pewno przedsiębiorcy będą musieli uzyskać czas, by otrzymać akredytację jako podmioty certyfikujące – 25 maja 2018 r. żadnego z takich przedsiębiorców jeszcze więc nie będzie – odpowiada dr Kawecki.
Fory w przetargach
Przy podsumowywaniu konsultacji społecznych pojawił się jeszcze jeden ciekawy wątek. Chodzi o to, że podmioty posiadające certyfikat będą mogły być lepiej traktowane w przetargach o wykonanie zamówienia publicznego.
– Posiadanie certyfikatu nie będzie jednak obowiązkiem wynikającym z przepisów prawnych, a przywilejem. A zatem nie powinno być obligatoryjnym wymogiem stawianym startującym w przetargach. Może być jednak kryterium premiowanym przez organizatora przetargu – tłumaczy dr Kawecki. Czyli za posiadanie certyfikatu przedsiębiorca będzie mógł uzyskać dodatkowe punkty, ale za jego brak nie zostanie wykluczony z konkursu. To zdaniem dr. Pawła Litwińskiego dobre rozwiązanie. Dotychczas zdarzało się bowiem, że zadania polegające np. na dostarczaniu przesyłek pocztowych były świadczone przed podmioty, które co prawda oferowały korzystną cenę za ich wykonanie, ale nie były do tego przygotowane. Dochodziło przez to do wycieków danych obywateli.
!Jeśli akredytowana firma padnie, wystawiony przez nią ceryfikat wdrożenia RODO trzeba będzie odnowić w innym uprawnionym podmiocie. Ale dopiero po trzech latach
OPINIA EKSPERTA
Popieram rozwiązanie przyjęte przez resort cyfryzacji. Nie sądzę, aby miało ono realną alternatywę. Ograniczenie podmiotów certyfikujących do PUODO, dla którego certyfikacja byłaby jednym z licznych obowiązków ustawowych, sprawiłoby, że uzyskanie certyfikatu wymagałoby niezwykle długiego czasu oczekiwania. W praktyce liczba podmiotów certyfikowanych w Polsce byłaby niewielka. Miałoby to wpływ nie tylko na poziom ochrony danych osobowych, ale i na konkurencyjność polskich firm na rynku wtedy, gdy certyfikacja byłaby oczekiwaną przez dużych administratorów formą wykazania odpowiedniego standardu ochrony np. przez firmę informatyczną uczestniczącą w przetargu na obsługę.
Brak dolnej granicy ceny za uzyskanie certyfikacji nie powinien prowadzić do konkurencji między podmiotami certyfikującymi kosztem jakości, jeżeli akredytacja podmiotów certyfikujących zapewni ich odpowiedni poziom. Prawidłowo przeprowadzony audyt zmierzający do certyfikacji musi objąć analizę wielu elementów, w tym polityk i ich działania w praktyce, kluczowych systemów informatycznych. Wymaga to zaangażowania odpowiedniej liczby ekspertów prezentujących wysoki poziom kwalifikacji zawodowych. Dumping cenowy wskazywałby, że tego warunku podmiot certyfikujący nie spełnił.