Resort cyfryzacji, zachęcając ją, by występowała o znak jakości, rekomenduje prezesa UODO. Ale obecny GIODO jest co do tego sceptyczny. Uważa, że takie rozwiązanie może być dyskryminujące. A inni dodają, że jest na to niegotowy.
Do kogo administracja powinna się zwrócić o certyfikację RODO: do państwowego urzędu czy komercyjnych firm? Zdaniem GIODO obie wskazane przez procedowaną w Sejmie ustawę o ochronie danych osobowych możliwości – czyli certyfikat od UODO i od podmiotów prywatnych z akredytacją Polskiego Centrum Akredytacji – są równie wartościowe. Ale dr Maciej Kawecki, dyrektor departamentu zarządzania danymi oraz koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji (MC), rekomenduje uzyskanie takiego certyfikatu od prezesa Urzędu Ochrony Danych Osobowych (UODO).
Rekomendacja czy dyskryminacja
– Jednostki samorządu terytorialnego, czy nawet szerzej, administracja publiczna, na pewno rozważyć powinny skorzystanie z mechanizmu certyfikacji podejmowanej przez prezesa Urzędu Ochrony Danych Osobowych – mówi dr Maciej Kawecki. – Zarówno konstytucja, jak i kodeks postępowania administracyjnego stanowią, że organy administracji publicznej działają co do zasady i domyślnie zgodnie z prawem, tym samym czynności sprawdzające podejmowane wobec nich przez prezesa urzędu wydają się czymś naturalniejszym – tłumaczy. Zaznacza jednak, że nie oznacza to absolutnie, że skorzystanie z usług prywatnych podmiotów certyfikujących nie będzie możliwe. Projekt ustawy tego bowiem nie zakazuje.
Rekomendacja koordynatora nie przekonuje jednak Agnieszki Świątek-Druś, rzecznika prasowego generalnego inspektora ochrony danych osobowych (GIODO po 25 maja ma się przekształcić w UODO). Jej zdaniem przy obecnych propozycjach regulacji nie ma podstaw do tego, aby sądzić, iż certyfikaty zgodności z RODO mogą być dla administracji mniej wartościowe tylko ze względu na to, że wydał je podmiot prywatny. A stanowisko Ministerstwa Cyfryzacji może wręcz dyskryminować podmioty akredytowane. – Jeżeli resort uważa, że certyfikacja dokonywana przez prywatne firmy może być dla administracji publicznej np. niebezpieczna bądź powodować konflikt interesów, to może należy to zagrożenie ująć w przepisach, np. wyłączając możliwość certyfikacji administracji przez podmioty inne niż UODO – zauważa przedstawicielka GIODO. Dodaje, że jeżeli regulacje dopuszczają możliwość certyfikowania przez podmioty prywatne, to należy zakładać, że po przejściu odpowiedniej selekcji będą one działać rzetelnie. Można sobie przecież wyobrazić, że na nasz rynek wejdą podmioty zagraniczne, które będą chciały świadczyć usługę certyfikacji. Stanowisko resortu może podkopać zaufanie do takich firm, wskazując, że korzystanie z ich oferty grozi np. wyciekiem danych osobowych – wyjaśnia Agnieszka Świątek-Druś.
Kogo wpuścić
Ważną kwestią jest to, czy państwowy urząd powinien dawać dostęp do systemów informatycznych, które zawierają dane wrażliwe, podmiotowi komercyjnemu, a zwłaszcza zagranicznemu. Takie dane mogą przecież wyciec bądź zostać wykorzystane w celach przestępczych lub komercyjnych. Wszak zgodnie z art. 42 RODO administrator lub podmiot przetwarzający, którzy poddają swoje działanie mechanizmowi certyfikacji, udzielają podmiotowi certyfikującemu wszelkich informacji i dostępu do swoich czynności przetwarzania, które są niezbędne do przeprowadzenia procedury certyfikacji.
Andrzej Lewiński, zastępca GIODO w latach 2006–2016, a obecnie prezes Fundacji im. Józefa Wybickiego oraz przewodniczący komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej, mówi, że rzetelność podmiotów akredytowanych będzie zależała w głównej mierze od Polskiego Centrum Akredytacji, które może przyznawać prawo do nadawania certyfikatów, ale i je odbierać. – Ustawa nie nakazuje, aby podmiotów akredytowanych było jak najwięcej, tylko żeby spełniały one wyznaczone kryteria. Te wątpliwe nie powinny być dopuszczone do działania. A nierzetelne tracić akredytację – uważa ekspert.
Z kolei dr Marlena Sakowska-Baryła, która podziela zdanie GIODO co do ewentualnej dyskryminacji podmiotów akredytowanych, wskazuje, że dziś i tak wiele samorządów jest narażonych na wycieki danych, bo prowadzi wiele swoich rejestrów (np. rekrutację do szkół i przedszkoli lub dzienniki elektroniczne) w ramach outsourcingu u zewnętrznych podmiotów. Powód jest bardzo prosty – to dużo bardziej opłacalne rozwiązanie niż prowadzenie ich na własnych serwerach. Ekspertka nie podziela też obawy o wyciek danych z powodu dokonywania certyfikacji przez podmiot komercyjny.
– Samorząd może przecież udostępnić takiej firmie jedynie informacje o sposobie przepływu danych, niekoniecznie oddając jej dostęp do faktycznych danych. A jeśli zaszłaby taka potrzeba, takie informacje można wciąż zaszyfrować bądź pseudonimizować. Nie widzę wówczas żadnego ryzyka wycieku – podkreśla dr Sakowska-Baryła.
Może być drogo
Ważnym kryterium wyboru może być jednak cena certyfikacji. Kwota za proces wykonywany przez UODO jest już znana – to maksymalnie czterokrotność przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację (ok. 16 tys. zł). Jak zauważa dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”, projekt ustawy nie reguluje maksymalnej stawki za certyfikację dokonywaną przez podmioty prywatne. Z tego też względu samorządy rzeczywiście mogą być zmuszone ustawić się w kolejce po certyfikat do UODO. Mogą bowiem nie być w stanie zapłacić wysokiej stawki ustalonej przez rynek w celu zarobienia na firmach, które potrzebują znaku jakości dla wyrobienia sobie przewagi nad konkurencją. Również zdaniem dr. Kaweckiego dodatkowym czynnikiem przemawiającym za urzędową certyfikacją są kwestie ekonomiczne i konieczność zachowania dyscypliny finansowej przez jednostki publiczne.
– Przy podejmowaniu decyzji o wyborze mechanizmu certyfikacji administracja publiczna będzie z pewnością uwzględniała element finansowy. To prawda, projektowane przepisy prawne nie przesądzają maksymalnej opłaty pobieranej w ramach certyfikacji przez sektor prywatny, co oznacza, że może być ona wyższa niż ta, jaką będzie pobierał prezes UODO, który z założenia nie prowadzi działań komercyjnych – mówi dr Kawecki.
I tu nasuwa się pytanie, czy zapłacenie przez administrację wyższej ceny za uzyskanie certyfikatu mogłoby być potraktowane jako naruszenie dyscypliny finansów publicznych? Zdaniem ekspertów to mało prawdopodobne, ale też nie można tego wykluczyć. Konkretną sytuację musiałaby ocenić regionalna komisja orzekająca działająca przy regionalnej izbie obrachunkowej.
Pobłażliwe traktowanie
Osobliwą zaletą skorzystania z certyfikacji UODO może być fakt, że urząd w przypadku stwierdzenia jakichkolwiek nieprawidłowości w systemach przetwarzania danych osobowych samorządu będzie miał obowiązek wszczęcia postępowania w tej sprawie. Proces akredytacji może się więc stać jednocześnie bardzo wnikliwą kontrolą. Warto jednak podkreślić, że urząd nie musi od razu nałożyć kary – RODO daje możliwość upomnienia, jeśli oczywiście stwierdzone naruszenie nie wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych. Z kolei podmioty komercyjne nie będą w ogóle wszczynać takich postępowań. Mogłyby zatem – choć trudno domniemywać, żeby Polskie Centrum Akredytacji dało na to przyzwolenie – wskazywać samorządowi błędy do „załatania” bez zgłaszania ich do UODO. Natomiast nie zawsze stwierdzenie naruszenia ochrony ujdzie administracji płazem. Jeżeli bowiem podmiot komercyjny odkryje naruszenie, to i tak administrator danych osobowych zgodnie z RODO ma od tego momentu 72 godziny na zakomunikowanie tego organowi nadzorczemu, o ile mogło to powodować ryzyko naruszenia praw lub wolności osób fizycznych.
Pojawiają się też głosy, że certyfikacja wykonana przez UODO powinna sprawić, że urząd podczas stwierdzenia naruszenia podczas kontroli spojrzy przychylniejszym okiem na jednostkę, która uzyskała urzędową certyfikację. Jednak zdaniem Andrzeja Lewińskiego to nieprawda. Ekspert podkreśla, że certyfikacji i kontroli mają przecież dokonywać inni urzędnicy. Sam fakt skorzystania z certyfikacji UODO nie powinien więc dawać samorządowi żadnych szans na pobłażliwe traktowanie. W przeciwieństwie do posiadania certyfikatu zgodności z RODO – czy to urzędowego, czy komercyjnego. Doktor Maciej Kawecki na naszych łamach też podkreślał, że w przypadku stwierdzenia naruszenia organ nadzorczy może wziąć pod uwagę, że samorząd posiadał certyfikat. Wówczas naruszenie może uznać za „wypadek przy pracy” i np. nałożyć niższą karę.
Kolejka po znak jakości
Co ważne, po 25 maja br. jedynie UODO będzie miał kompetencje do nadawania certyfikatów zgodności z RODO. Niestety proces akredytacji podmiotów zewnętrznych jeszcze nie ruszył. Projekt rodzimej ustawy zakłada jednak, że Polskie Centrum Akredytacji będzie miało trzy miesiące na rozpatrzenie wniosku o akredytację. Radca prawny Andrzej Lewiński zauważa jednak, że ustawienie się w kolejce po certyfikat do UODO pod koniec maja wcale nie musi oznaczać, że szybciej uzyska się ten znak jakości. – Urząd jest wciąż niedoinformowany, niedofinansowany i brakuje mu odpowiedniej liczby pracowników. Tymczasem firmy prywatne tylko czekają na formalne zielone światło, żeby z rozpędu ruszyć ze świadczeniem usługi – mówi ekspert. Dodaje, że nie widzi sensu, aby samorządy upierały się na uzyskaniu certyfikatu od UODO – bo na te najprawdopodobniej trzeba będzie czekać nie miesiące, ale nawet lata. – Podmioty prywatne będą zaś działać błyskawicznie i konkurencyjnie względem pozostałych firm świadczących tę samą usługę – podkreśla Andrzej Lewiński.
I rzeczywiście GIODO wciąż ma kłopot z oceną, co tak naprawdę UODO będzie musiał certyfikować np. w urzędzie gminy. Czy będzie to system informatyczny, czy też cała droga, jaką przechodzą dane osobowe w urzędzie? – Sprawa komplikuje się jeszcze bardziej, gdy weźmiemy pod uwagę niejasność interpretacji w sprawie tego, jaką rolę w procesie przetwarzania danych osobowych pełnią jednostki pomocnicze. Trudno określić, czy certyfikować będzie trzeba jedynie urząd, czy także podległe mu wszystkie jednostki pomocnicze. To byłby już prawie audyt, a nie tylko sprawdzenie zgodności z RODO – powątpiewa rzeczniczka GIODO. Radzi uzbroić się w cierpliwość i podkreśla, że rozmowy na temat certyfikacji wciąż trwają.
Odnawianie certyfikatu
Zgodnie z art. 42 ust. 7 RODO certyfikat ma być ważny przez maksymalnie trzy lata, może być jednak cofnięty wcześniej – podczas kontroli. Co jednak stanie się z certyfikatem wydanym przez podmiot prywatny, który po pewnym czasie zbankrutował, albo utracił akredytację? Na naszych łamach dr Kawecki wyjaśniał, że w takiej sytuacji odnowienie certyfikatu będzie trzeba przeprowadzić w innym podmiocie. Zapewniał jednak, że eliminowanie takich przypadków jest jednym z celów opracowywanego przez resort mechanizmu akredytacji podmiotów certyfikujących. Tymczasem przy certyfikacie od UODO w ogóle nie będzie obaw o to, że urząd przestanie z czasem funkcjonować.
!Uzyskane certyfikaty bezpieczeństwa trzeba będzie co trzy lata odnowić. Z tym może być problem – jeśli świadectwo potwierdzające spełnienienie wymogów RODO zostało wydane przez firmę zewnętrzną, która zbankrutowała lub utraciła akredytację. Na szczęście w takiej sytuacji certyfikat będzie mógł być odnowiony w innym uprawnionym podmiocie.
WAŻNE
Opłata za certyfikat wydany przez UODO ma wynosić maksymalnie czterokrotność przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację (ok. 16 tys. zł). W przypadku prywatnych firm opłata za wydanie certyfikatu nie jest określona i może być znacznie wyższa.