Jak twierdzi Kamila Bogacewicz z departamentu Komunikacji Społecznej Urzędu Miejskiego w Białymstoku, ocena umiejętności potencjalnego IOD jest trudna dla administratora, który nie posiada możliwości zweryfikowania wskazanych kwalifikacji. Można się przy tym posiłkować certyfikatami potwierdzającymi umiejętność zarządzania zgodnie z normami np. ISO 27001, dyplomami ze studiów podyplomowych szkolących IOD, ale również i różnego rodzaju kursami z zakresu ochrony danych osobowych, bezpieczeństwa systemów informatycznych.
- Nie ma przy tym jednego dokumentu potwierdzającego takie kwalifikacje. Przy ocenie kwalifikacji niezwykle istotna jest praktyka zawodowa i doświadczenie obecnych ABI mówi Bogacewicz.
A Bogdan Stachowicz, ABI w Starostwie Powiatowym w Bełchatowie zauważa, że na dzień dzisiejszy nikt nie ma prawa oferować, ani chwalić się posiadaniem certyfikatów na zgodność z RODO (certyfikatów w rozumieniu przepisów unijnego rozporządzenia).
- Nie oznacza to bynajmniej, że firmy oferujące usługi doradcze w procesie dostosowania do RODO, oszukują klientów. Z reguły takie podmioty posiadają certyfikaty (lub mogą certyfikować) na zgodność z normami np. serii ISO 27000, co niewątpliwie świadczy o znajomości problematyki ochrony danych. Ich działania określiłbym raczej jako agresywny marketing i skorzystanie na małej histerii wywołanej wejściem, w życie RODO – mówi ABI.
Certyfikat certyfikatowi równy?
Do tej pory przedsiębiorcy mogli i wciąż będą mogą legitymować się certyfikatami lub kodeksami dobrych praktyk, sporządzonymi samodzielnie bądź uzyskanymi od innego przedsiębiorcy, który przedstawia się jako ekspert w ochronie danych osobowych i niejako zapewnia, że podmiot certyfikowany przez niego spełnia pewne wymogi. Wymogi te ustala ekspert i według swoich zasad przeprowadza bądź nie – audyt.
- Co do znaczenia takich certyfikatów, to mogą one mieć raczej wymowę marketingową w stosunku do klientów. Natomiast rozporządzenie UE oraz nowa ustawa o ochronie danych osobowych (która niedawno została uchwalona przez sejm) przewidują sformalizowaną formę certyfikacji oraz kodeksów postępowań (tzw. dobrych praktyk) – mówi Anita Poniatowska-Maj radca prawny, partner w GP Kancelaria Radców Prawnych.
A Maj dodaje, że na wzmocnienie wartości takiego certyfikatu będzie na pewno miało też wpływ wprowadzenie przez UE jasnych wytycznych i warunków, jakie dany podmiot powinien spełniać, aby uzyskać certyfikat.
- Nadal na nie czekamy – mówi radca.
Zdaniem urzędów
Resort cyfryzacji zapewnia, że jeśli w procesach ochrony danych dany podmiot będzie legitymował się wspomnianym certyfikatem, to w przypadku ew. naruszeń będą one penalizowane łagodniej i uznawane jako „wypadek przy pracy”. Pozostaje w to wierzyć.
Warto też pamiętać o tym, co mówi GIODO. Jego zdaniem, legitymowanie się zgodnością z wytycznymi RODO – bez certyfikacji w reżimie nowej ustawy o ochrony danych - nie oznacza gorszej znajomości problematyki ochrony danych osobowych i nie dyskwalifikuje podmiotu szkolącego czy podmiotu przetwarzającego, który taki certyfikat uzyskał.
Kodeksy postępowania
Innym, bardziej elastycznym rozwiązaniem problematyki przetwarzania danych osobowych jest kodeks postępowania. Kodeksy mogą sporządzać podmioty przetwarzające dane osobowe, zrzeszenia lub grupy administratorów danych. Plusem takich dokumentów jest to, że mogą one być sporządzone według potrzeb danego podmiotu, branży. Uwzględniać jej charakterystykę. Mogą być dostosowywane w razie zmian.
Takie kodeksy wymagają sprawdzenia i zatwierdzenia przez Generalnego Inspektora Ochrony Danych Osobowych. Jeśli chodzi o urzędy, zatwierdzone będą następnie, rejestrowane i publikowane w BIP. Jest to na pewno ciekawe rozwiązanie dla organów administracyjnych. Osoby fizyczne będą miały możliwość zapoznania się, jak chronione są ich dane osobowe i jakie przysługują im uprawnienia.